ELISS
Experts of Lawful Interception and Security Standards
Lawful Interception Academy



Osservatorio_privacy

Osservatorio Privacy 2013

ELISS fornisce gratuitamente un servizio di Newsletter esclusivamente rivolto al tema della Privacy.

Il servizio è fornito in collaborazione con la rivista Sicurezza e Giustizia: le notizie selezionate entrano nella linea editoriale della rivista e sono analizzate dagli Autori della stessa, approfondite e pubblicate nelle diverse uscite. Il servizio è curato dall’avv. Gianpiero Passeri e dal dott. Marco Tornari collaboratori dell’Associazione.

Di seguito è riportato l’archivio delle news del 2013. E’ possibile ricevere le news direttamente sulla propria email iscrivendosi al servizio di newsletter di ELISS.

Osservatorio fonti Istituzionali e di Settore – 16 febbraio 2013 N°21

Garante Privacy“NEWSLETTER N. 369 del 14 febbraio 2013”Nell’ambito del Notiziario curato dell’Autorità Garante sono state evidenziate le seguenti attività:a)      L’attività ispettiva del Garante privacy. 95 ispezioni, circa 3 milioni e 800 mila euro le somme riscosse a seguito di sanzioni. Un bilancio significativo quello riguardante l’attività ispettiva svolta dal Garante privacy nel 2012. Gli accertamenti, effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza – Nucleo speciale privacy, hanno riguardato il telemarketing, l’uso dei sistemi di localizzazione (gps)  nell’ambito del rapporto di lavoro, i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment),  il credito al consumo e le “centrali rischi”, le banche dati del fisco, l’attività di profilazione dei clienti da parte delle aziende. […]b)     Patente a punti più trasparente. L’automobilista deve poter conoscere nel dettaglio tutte le variazioni relative ai punti della sua patente. Negli estratti cronologici inviati agli automobilisti il Ministero delle infrastrutture e dei trasporti  dovrà indicare tutte le attribuzioni o decurtazioni di punteggio, anche quelle effettuate in modo automatico,  compresa  l’attribuzione di  quei punti che in un secondo momento vengono tolti perché assegnati illegittimamente. Il Ministero inoltre, dovrà garantire all’automobilista che lo richiede la conoscibilità, nel dettaglio e cronologicamente, di tutte la variazioni riferite agli eventi passati.[…]

c)      Controlli sui pc aziendali sì, ma nel rispetto di precise regole. Una società non può controllare il contenuto del pc di un dipendente senza averlo prima informato di questa possibilità e senza il pieno rispetto della libertà e della dignità del lavoratore. Questa la decisione del Garante sul ricorso [doc. web n. 2149222] presentato da un dipendente che era stato licenziato senza preavviso dalla propria azienda. L’uomo si era rivolto sia alla magistratura ordinaria, per contestare la stessa fondatezza dell’accusa e il relativo licenziamento, sia al Garante per opporsi alle modalità con cui la società avrebbe acquisito e trattato i suoi dati.[…]

d)     Imprese e trasferimento dei dati all’estero. A oltre un anno dalla presentazione delle proposte della Commissione europea di un nuovo quadro giuridico europeo in materia di protezione dei dati, la situazione complessiva risulta ancora poco definita. Il “pacchetto”, presentato il 25 gennaio 2012,  comprende un Regolamento che andrà a sostituire la direttiva 95/46/CE, e  una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE). Il “pacchetto protezione dati” dovrà essere adottato attraverso la procedura di co-legislazione, che vede il contributo paritario del Parlamento europeo e del Consiglio dell’Unione europea. Entrambe le istituzioni stanno per terminare quella che viene definita “prima lettura” dei due testi e sono sul punto di  presentare le rispettive proposte emendative.[…]

 

continua…

Privacy“Garante privacy, alt alle trappole dei social network”Tutelare la privacy nell’era delle reti sociali: con questo intento è stata realizzata dal Garante per la privacy  la guida “Social Network: Attenzione agli effetti collaterali”. È un agile vademecum per persone alle prime armi, ma anche utenti più esperti, pensato per aiutare chi intende entrare in un social network o chi ne fa già parte a usare questo strumento in modo consapevole.[…][…]è riportato il decalogo stilato dal Garante, con consigli utili per tenere sotto controllo i pericoli che si possono incontrare nell’uso dei social network. Tra questi cambiare spesso password e usare pseudonimi. Infine “Il gergo della rete” offre una spiegazione, rigorosamente non tecnica, dei termini informatici o delle espressioni gergali che si incontrano con maggiore frequenza nelle reti sociali.[…]

continua…

Privacy“BCR (Binding Corporate Rules) per Responsabili del trattamento”Gli Stati membri possono, oggi, affidare in outsourcing il trattamento dei dati personali di cui dispongono a società multinazionali con sedi dislocate anche in Paesi terzi, laddove queste aderiscano agli standard di sicurezza vigenti all’interno dell’Unione.Dal 1° gennaio scorso, infatti, i Garanti europei riuniti nel “Gruppo Articolo 29” hanno esteso ai Responsabili del trattamento la possibilità, già operante per i Titolari, di poter trasferire dati, nell’ambito di uno stesso gruppo societario, al di fuori dell’UE.In particolare, “la procedura prevede l’approvazione da parte delle Autorità garanti nazionali delle cosiddette “Norme d’impresa vincolanti” (Binding Corporate Rules, BCR) per “responsabili del trattamento” (“BCR for Processors”).[…]

continua…

Privacy“Privacy, l’ondata del Regolamento Europeo”Il nuovo Regolamento Europeo si preannuncia una vera e propria rivoluzione. Presentato alla Commissione Europea lo scorso 25 Gennaio 2012, il testo ha subito emendamenti pubblicati a fine gennaio 2013, e si presenta sempre più come un ambizioso progetto considerato che sarà valido in tutta l’Unione andando a cambiare radicalmente i presenti scenari, depauperando per molti aspetti, del suo ruolo il vigente Codice privacy.Tra gli argomenti attualmente in fase di definizione, uno dei più importanti riguarda proprio il margine di autonomia decisionale che manterranno gli Stati Membri nell’applicazione di alcune regole specifiche sul proprio territorio. Secondo quanto previsto dal Regolamento saranno conservate alcune norme nazionali.[…][…]Le definizioni fondamentali rimangono invariate, ma contano alcune aggiunte significative come quella relativa al dato genetico e quella del dato biometrico. Il Regolamento introduce inoltre il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi ai cittadini UE o tali da permettere il monitoraggio dei comportamenti dei cittadini dell’Unione Europea.[…][…]Tra le novità più rilevanti ricordiamo l’obbligo per talune aziende e per gli enti pubblici di nominare un “data protection officer”. Figura interessante, considerato che una volta acquisita dovrà essere “mantenuta” per alcuni anni all’interno della struttura, ed il rapporto potrà essere interrotto solo ed esclusivamente per cause tassativamente riportate dal legislatore europeo, proprio per garantire continuità della protezione ed oggettività e trasparenza del soggetto.[…] 

continua…

Garante Privacy“Internet: Garante privacy, presto più trasparenza sui cookie”Avviata una consultazione, entro 90 giorni i contributi di gestori e consumatori su informativa per gli utenti.Chi naviga on line potrà presto decidere in maniera libera e consapevole se far usare o no le informazioni sui siti visitati per ricevere pubblicità mirata. Lo aiuterà un’informativa semplice, chiara e di immediata comprensione sull’uso dei cookie che il Garante sta mettendo a punto.Sulla base di quanto previsto dalla direttiva europea 2009/136, recepita di recente in Italia, l’Autorità ha infatti avviato una consultazione pubblica (Pubblicato sulla Gazzetta Ufficiale n. 295 del 19 dicembre 2012) diretta a tutti i gestori, grandi e piccoli, dei siti e alle associazioni maggiormente rappresentative dei consumatori allo scopo di acquisire contributi e suggerimenti.[…]

continua…

Osservatorio fonti Istituzionali e di Settore – 22 aprile 2013 N°22

Garante Privacy“Google: il Garante per la privacy avvia   un’istruttoria sul rispetto della normativa italiana”

Azione   coordinata con le Autorità di protezione dati di altri 5 paesi europei:

Il   Garante per la privacy italiano ha aperto un’istruttoria nei confronti di   Google Inc. per verificare il rispetto della disciplina sulla protezione dei   dati personali e, in particolare, la conformità dei trattamenti effettuati   dalla società di Mountain View ai principi di pertinenza, necessità e non   eccedenza dei dati trattati nonché agli obblighi riguardanti l’informativa   agli utenti e l’acquisizione del loro consenso.[…]

[…]“Google non può   raccogliere e trattare i dati personali dei cittadini europei senza tenere   conto del fatto che nell’Unione europea vigono norme precise a tutela dei   diritti fondamentali dei cittadini dell’Ue. L’azione congiunta dei Garanti   europei mira a riaffermare questo principio e a far sì che questi diritti   vengano garantiti”  – ha commentato il Presidente Antonello   Soro.[…]

 

continua…

Garante Privacy“Trattamento di dati personali attraverso un   impianto di videosorveglianza”

Il Garante si è espresso a seguito della   richiesta di verifica preventiva ex art. 17, comma 2° del Codice, da parte di   una Società operante nel settore dei trasporti e della logistica, al fine di   poter conservare per 30 giorni le immagini registrate attraverso il sistema   di videosorveglianza istallato presso il proprio magazzino.

A fondamento della richiesta, tale   Società, ha assunto l’esigenza di raggiungere uno standard di sicurezza più   elevato, ciò al fine di ottenere il rilascio dell’apposita certificazione da   parte della “Transported Asset Protection Association” (TAPA).

In tal senso il Garante si è così   pronunciato:

[…]autorizza la conservazione delle   immagini fino a trenta giorni al solo fine dell’accertamento di eventuali   illeciti e dell’individuazione, da parte dell’Autorità giudiziaria, dei   possibili responsabili; tali modifiche al sistema di videosorveglianza   dovranno essere apportate nel rispetto di quanto previsto dall’art. 4, comma   2 della legge n. 300/1970.

L’accesso alle immagini registrate potrà   essere effettuato solo nel caso in cui vengano ravvisati o segnalati   eventuali illeciti, oppure allorché pervenga una richiesta in tal senso da   parte dell’Autorità giudiziaria.[…]

 

continua…

Ministero dello   Sviluppo Economico “Indirizzi PEC di imprese e professionisti in un   grande registro nazionale”

[…]chiunque potrà reperire   qualsiasi indirizzo PEC, dall’impresa al semplice cittadino. Un richiamo alla   legge privacy lo si trova in un passaggio del decreto dove si precisa che   “al fine di facilitare l’utilizzo   dei dati relativi agli indirizzi PEC, possono essere resi disponibili da   InfoCamere alle Pubbliche amministrazioni, ai gestori dei servizi pubblici e   agli operatori economici interessati, nel rispetto di quanto disposto in   materia di tutela della privacy, servizi evoluti di accesso, consultazione ed   estrazione da regolamentarsi tramite apposite convenzioni“. In   sostanza, dunque, InfoCamere potrà organizzare secondo specifici criteri i   dati. Sono ancora da definire ovviamente i limiti in considerazione della   privacy, ma tenuto conto che ad oggi la definizione di dato personale si   ferma al soggetto persona fisica e non ha niente più a che vedere con la   persona giuridica, si tratterà più che altro di valutare alcune tipologie di   dati inseriti con particolare riferimento ai professionisti. […]

 

continua…

Garante Privacy“Trattamento di dati biometrici”

Con il Provvedimento   n.37 del 31 gennaio 2013 il Garante per la protezione dei dati personali ha   espresso parere favorevole rispetto alla possibilità di utilizzare un sistema   di rilevazione biometrica in ambito bancario.

La   proposta è stata avanzata da un gruppo bancario italiano al fine di   accrescere  la qualità di erogazione   dei propri servizi, in pratica il servizio è volto a:

[…]rendere disponibile a   vantaggio (anche) della clientela un servizio di sottoscrizione dei documenti   con firma digitale basato su una procedura di autenticazione biometrica   effettuata tramite signpad (c.d. “tablet”), volta a conferire, tra   l’altro, maggiore sicurezza nello svolgimento delle operazioni allo   sportello. Il sistema, secondo quanto riferito, raccoglierebbe le caratteristiche   biometriche di natura comportamentale del cliente, rilevando e, in pari   tempo, analizzando alcuni parametri (ritmo; velocità; pressione;   accelerazione; movimento) relativi alla sua firma autografa[…]

 

continua…

Garante Privacy“In un video   tutorial le indicazioni del Garante per proteggere la privacy su smartphone e   tablet”

[…]Per sensibilizzare gli utenti italiani   sull’importanza proteggere queste informazioni, il Garante per la protezione   dei dati personali ha realizzato un video tutorial con l’obiettivo di offrire   alcune semplici e utili indicazioni su come tutelare la propria privacy   quando si utilizzano smartphone e tablet.

Il Garante raccomanda agli utenti di adottare semplici ma fondamentali   accorgimenti, di tenersi sempre informati e di gestire responsabilmente la   conservazione e la condivisione di dati personali, e ricorda che è sempre   possibile rivolgersi ai suoi uffici per ottenere informazioni e chiarimenti o   per richiedere interventi a tutela della propria riservatezza.[…]

 

continua…

Privacy“Privacy officer”

[…]   entrata in vigore una norma che detta disposizioni in materia di professioni   non organizzate.

Il   popolo dei professionisti non riconosciuti si organizza e riparte dalla   regolamentazione prevista nella Legge n. 4/2013, pubblicata lo scorso 26   gennaio in Gazzetta Ufficiale

L’ottica meno restrittiva   con cui si pone il nuovo testo normativo non solo mira a un riconoscimento   formale delle professioni da lungo tempo in attesa di essere normate, ma   anche di quelle “neo-nate”, come ad esempio il Responsabile della   conservazione digitale (Record Document Manager) o il Responsabile del trattamento dei dati personali (Privacy officer),   diventate figure obbligatorie e necessarie all’interno della pubblica   amministrazione e non solo.[…]

[…]Spetta poi al Ministero   dello Sviluppo Economico il compito di vigilare sulla corretta attuazione di   questa legge e di promuovere l’informazione dell’avvenuta adozione della   norma tecnica UNI nei confronti dei professionisti e degli utenti.[…]

 

continua…

Osservatorio fonti Istituzionali e di Settore – 04 giugno 2013 N°23

Garante Privacy

“M5S: Garante privacy, vietato pubblicare le   mail hackerate. Chi le detiene dovrà cancellarle”

Il   Garante per la protezione dei dati personali ha disposto il divieto di   divulgare e trattare ulteriormente il contenuto delle mail dei deputati del   Movimento 5 Stelle [doc. web n. 2411368] originariamente diffuse in rete. Le   testate giornalistiche, i siti web e chiunque detenga queste mail, per averle   eventualmente scaricate, dovrà provvedere a cancellarle,  anche dai propri archivi.[…]

[…]L’attività   posta in essere dagli hacker, oltre che una responsabilità di natura penale   (art. 616  e seguenti del codice   penale) – il cui accertamento è già al vaglio dell’autorità giudiziaria – ha   comportato una violazione del Codice privacy per quanto attiene a tutte le   informazioni contenute nella corrispondenza che sono state diffuse   all’insaputa e contro la volontà degli interessati, violando il principio   generale in base al quale i dati personali dei cittadini devono essere   trattati in modo lecito, secondo correttezza    e raccolti e utilizzati per scopi legittimi.[…]

[…]Il   Garante ha dunque disposto il divieto di “ogni eventuale ulteriore   trattamento” delle mail dei deputati M5S e ha di conseguenza imposto   l’obbligo per chi le detiene di provvedere alla loro cancellazione. Il   mancato rispetto delle prescrizioni del Garante espone a sanzioni   amministrative e penali.

 

continua…

Garante Privacy

“No all’uso generalizzato delle webcam negli   asili nido. Troppi rischi per la riservatezza e il libero sviluppo della   personalità dei bambini”

[…]Lo ha stabilito il   Garante privacy [doc. web n. 2433401] che ha vietato l’uso delle webcam   installate in un asilo nido privato di Ravenna. Nel corso dell’istruttoria   avviata a suo tempo dall’Autorità per conoscere le modalità di funzionamento   e gli scopi delle webcam, la società che gestisce l’asilo aveva spiegato che   il sistema era stato installato come deterrente contro i malintenzionati, ma   soprattutto per fornire un servizio che consentisse via web, ai genitori   impegnati al lavoro, di monitorare costantemente in presa diretta ciò che i   loro figli facevano.[…]

[…]Il Garante ha dunque   dichiarato illecito il trattamento dei dati operato e ha vietato all’asilo   nido l’ulteriore trattamento delle immagini.

Sistemi di controllo così intrusivi come   le webcam – ha commentato Antonello Soro, Presidente dell’Autorità – devono   essere usati con estrema cautela perché, oltre a incidere sulla libertà di   insegnamento, possono ingenerare nel minore, fin dai primi anni di vita, la   percezione che sia “normale” essere continuamente sorvegliati, come   pure condizionare la spontaneità del rapporto con gli insegnanti. La   tranquillità dei genitori non può essere raggiunta a scapito del libero   sviluppo dei figli. Non possiamo, per placare le nostre ansie di adulti,   trasformare la società in cui viviamo in un mondo di ipersorvegliati, a   partire dai nostri bambini“.

 

continua…

Privacy/231

“Whistleblowing e privacy, un connubio ancora   difficile”

Il recente varo della normativa anticorruzione ha   riportato l´attenzione su un fenomeno che fatica a trovare una chiara   collocazione nel nostro ordinamento, ossia le procedure aziendali di   segnalazione di illeciti ad opera dei dipendenti.[…]

[…]Il   whistleblowing, infatti, impone procedure interne di denuncia che siano di   facile attivazione ed utilizzabilità per il lavoratore, al quale deve essere   altresì garantito un elevato livello di tutela contro successive ritorsioni   da parte dei colleghi o superiori denunciati. Il lavoratore, purché in buona   fede, infatti, deve poter segnalare, confidando nella riservatezza del   sistema, senza esporsi a conseguenze nefaste, le irregolarità di cui viene a   conoscenza nello svolgimento della propria attività lavorativa.[…]

[…]Il   Garante per la protezione dei dati personali aveva segnalato al Parlamento e   al Governo, nel 2009 (DOC web 1693019), la necessità di un intervento   legislativo che considerasse la peculiarità del fenomeno, perché nonostante   le indicazioni positive fornite dal parere del gruppo dei garanti europei nel   2006 rispetto alla parziale compatibilità del whistleblowing con la direttiva   95/46/ CE, questo non pareva affatto conforme alla normativa privacy   nazionale e poneva, invece, seri problemi, ad esempio, sia in ordine al   trattamento senza consenso dei dati del denunciato, per il quale non può   certo rinvenirsi la base giuridica in una norma straniera del tutto   indifferente alla nostra legislazione interna, sia in ordine alle esigenze di   segretezza dei dati del denunciante, che non sembrano poter superare il   dettato dell´art. 7 del Codice della Privacy, che impone di far conoscere,   all´interessato che ne faccia richiesta, l´origine dei dati.[…]

[…]La   giurisprudenza sarà presto chiamata, unitamente all´autorità Garante, ma   senza necessariamente raccordarsi con questa, a compiere un ulteriore sforzo   interpretativo per delimitare autonomamente la liceità di simili procedure   anche sotto questo ultimo, diverso aspetto. Ciò in assenza di una lettura   comune e condivisa porterà    inevitabilmente ulteriore incertezza, in un quadro che si attesta già   sufficientemente complesso, che, comunque, racchiude in sé una normativa   sulla riservatezza che è in grado di far implodere lo strumento offerto dal   whistleblowing, polverizzandone i componenti principali, come la segretezza   della identità del segnalante.[…]

 

continua…

Privacy

“Banche: sì a firma digitale garantita dai   dati biometrici”

[…]Il   Garante per la protezione dei dati personali, con due recenti provvedimenti,   ha dato il via libera ai progetti, presentati da alcuni noti istituti di   credito, relativi all’uso di un servizio di firma digitale remota con   autenticazione biometrica basato su dispositivi che consentono di rilevare le   caratteristiche dinamiche distintive della firma autografa, ma solo se   accompagnati dall’adozione di apposite garanzie a tutela della privacy.

Il nuovo   sistema prevede, in particolare, che l’utente apponga la propria firma di   “specimen” su un tablet elettronico “grafometrico” in grado di   rilevare e acquisire alcuni parametri biometrici della persona come il ritmo,   la velocità nonché l’accelerazione e la pressione esercitata durante il   movimento di sottoscrizione. I dati registrati vengono, quindi, inviati a un   server ad hoc che li converte in una sequenza di caratteri. Il database   utilizzerà poi questo codice come parametro ogni qualvolta il cliente apporrà   la propria firma.[…]

[…]Sebbene   non siano stati rilevati significativi profili di criticità nel primo   progetto presentato, è stato comunque rimarcato che, data la particolare   delicatezza delle informazioni raccolte (dati biometrici che potrebbero anche   consentire, tra l’altro, di risalire a eventuali patologie dell’utente che   appone la firma), queste potranno essere usate esclusivamente per effettuare   l’identificazione dell’utente. Prescrizioni integrative sono invece state   imposte al secondo progetto di firma biometrica, al fine di renderlo conforme   alla normativa sulla privacy. […]

 

continua…

Pubblica   Amministrazione

“Il nuovo   Sistema Unificato d’Identità Digitale: peculiarità e profili privacy”

[…]Il Sistema Unificato d’Identità Digitale è il   risultato dell’interazione di una serie di tecnologie e innovazioni, quali la   firma digitale, la PEC, il domicilio digitale, il documento digitale e   l’Anagrafe Nazionale della Popolazione Residente.

Parlare di privacy nell’ambito di questo Sistema –   così come delineato nel Codice della PA Digitale – CAD (d.lgs. n. 82/2005) –   è d’obbligo, in quanto i nuovi scenari aperti dalle modifiche introdotte dal   Decreto Crescita 2.0 implicano la necessità di adottare tutta una serie di   accorgimenti e di misure di sicurezza per la tutela dei dati personali.[…]

[…]Il Garante, con provvedimento n. 39 del 31   gennaio 2013, ha rilevato che lo schema di decreto portato alla sua   attenzione si è limitato a prevedere l’unificazione, su un medesimo supporto   (documento digitale unificato), della carta d’identità elettronica e della   tessera sanitaria, attualmente disponibili su distinti supporti, e ha   demandato, invece, a un successivo D.P.C.M. (da adottarsi con le medesime   modalità di quello esaminato) le regole tecniche. Sulla base di questa   constatazione, il Garante Privacy ha espresso il proprio parere favorevole   sul decreto esaminato col presupposto che la disciplina della materia è   ancora incompleta e si riserva, quindi, l’esame complessivo delle procedure   di unificazione dei documenti in sede di espressione del parere sullo schema   di decreto di attuazione, potendo solo in quella sede valutare la conformità   alla normativa in materia di protezione dei dati personali della disciplina   complessivamente stabilita.[…]

 

continua…