Articoli

Corso di Alta formazione sul NUOVO REGOLAMENTO EUROPEO sulla PRIVACY

25-26 Maggio 2018 – European School of Economics – Via della Cordonata, 7 Roma

Sono aperte le iscrizioni per il Corso di Alta formazione sul NUOVO REGOLAMENTO EUROPEO sulla PRIVACY – General Data Protection Regulation (GDPR).  A partire dal 25 Maggio 2018, sarà il nuovo codice della Privacy in materia di diffusione dei dati personali voluto fortemente da tutti gli Stati Membri dell’Unione Europea e a quale tutte le organizzazioni/aziende devono aderire, dotandosi di competenze e risorse sufficienti a soddisfare i propri requisiti di GDPR.
Il corso di Alta Formazione è organizzato e promosso dal Dipartimento di Scienze Giuridiche della European School of Economics di Roma.

La partecipazione al corso consente il rilascio di attestato di frequenza e il conseguimento di 10 crediti dal Consiglio Nazionale Forense per la formazione professionale continua.

Date:
25 – 26 maggio 2018

Orari:
Venerdì, 25 Maggio – 9:00-13.00 / 14.00-19.00
Sabato, 26 Maggio – 8.30-13.30

Direttore: Avv. Prof. Giuseppe Cassano 
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics
Relatore: Avv. Vincenzo Colarocco
Responsabile del Dipartimento Protezione dei dati personali, Compliance e Sicurezza informatica dello “Studio Previti”.

E’ possibile iscriversi tramite questo link.

Dati sanitari, Telemarketing, Rating: ecco il piano ispettivo del Garante

Dati sanitari a fini di ricerca, rating sulla solvibilità delle imprese, sistema statistico nazionale (Sistan), Spid, telemarketing: ecco il piano ispettivo per il primo semestre 2018 del Garante Privacy.

L’attività ispettiva, svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza sulla base del protocollo di intesa siglato con Guardia di finanza, riguarderà innanzitutto i trattamenti di dati effettuati dalle ASL e poi trasferiti a terzi per il loro utilizzo a fini di ricerca, il rilascio dell’identità digitale ai cittadini italiani (Spid), l’attività delle società che si occupano di valutare il rischio e la solvibilità delle imprese, il telemarketing, il Sistema Integrato di Microdati (Sim) dell’Istat.

I controlli si concentreranno anche sull’adozione delle misure di sicurezza da parte di pubbliche amministrazioni e di imprese che trattano dati sensibili, il rispetto delle norme sull’informativa e il consenso, la durata della conservazione dei dati da parte di soggetti pubblici e privati. L’attività ispettiva verrà svolta anche in riferimento a segnalazioni e reclami con particolare attenzione alle violazioni più gravi.

La rivoluzione del Telemarketing: ecco le nuove regole

Avv. Vincenzo Colarocco

A pochi giorni dalla sanzione di 840.000,00 erogata dal Garante a Telecom Italia s.p.a. – per aver effettuato telefonate promozionali senza il consenso nei confronti di tutti gli ex clienti che non avevano espressamente autorizzatola ricezionedi chiamate commerciali o l’avevano revocata- è entrata in vigore il 4.2.2018 la novella legislativa sul telemarketing.

La recente riforma offre all’interessato la possibilità di iscriversi al Registro Pubblico delle Opposizioni (“Registro”) non solo per le utenze fisse di cui è intestatario, bensì anche le utenze indipendentemente dal fatto che tali numerazioni siano o meno riportate negli elenchi pubblici.

Inoltre, con l’iscrizione al Registro si intendono revocati tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo e a qualsiasi soggetto, per il trattamento delle proprie numerazioni telefoniche fisse o mobili effettuato mediante operatore con l’impiego del telefono per finalità di marketing, comunicazione commerciale o profilazione. Dunque, le società che avevano ricevuto il consenso al trattamento del dato telefonico, con l’iscrizione dell’interessato al Registro non potranno in alcun modo effettuare comunicazioni per le finalità di cui sopra, mentre restano valide le operazioni di marketing effettuate via e-mail, sempre previo consenso dell’interessato.

La legge fa salvi comunque quei trattamenti fondati su consensi prestati nell’ambito di specifici rapporti contrattuali in essere con oggetto la fornitura di beni o servizi, o cessati da non più di trenta giorni.

In ogni caso resta valido il consenso al trattamento dei dati personali prestato dall’interessato, ai titolari da questo indicati, successivamente all’iscrizione nel Registro. Ciò impone  una costante verifica di allineamento tra la numerazione prima iscritta nel Registro e successivamente “consensata”: infatti, diventa fondamentale cristallizzare la prova della posteriorità del consenso rispetto all’iscrizione nel Registro.

Inoltre, gli operatori che utilizzano i sistemi di pubblicità telefonica e di vendita telefonica o che compiono ricerche di mercato o comunicazioni commerciali telefoniche hanno l’obbligo di consultare mensilmente, e comunque precedentemente all’inizio di ogni campagna promozionale, il Registro e provvedere all’aggiornamento delle proprie liste.

La Legge introduce anche il divieto per il titolare del trattamento di comunicazione, trasferimento e diffusione a terzi -con qualsiasi forma o mezzo- dei dati personali degli interessati iscritti al Registro, per fini pubblicitari o di vendita ovvero per ricerche di mercato o di comunicazione commerciale non riferibili alle attività, prodotti o ai servizi offerti dallo stesso, e l’obbligo per il titolare di informare gli interessati ogni volta che i loro numeri sono ceduti a terzi.

Infine, i call center dovranno garantire l’identificazione della linea chiamante tramite due “codici o prefissi specifici, atti a identificare e distinguere in modo univoco le chiamate telefoniche finalizzate ad attività statistiche da quelle finalizzate al compimento di ricerche di mercato e ad attività di pubblicità, vendita e comunicazione commerciale”.  L’AGCOM ha il compito, entro il 5.5.2018, di identificare i codici o prefissi specifici suindicati, mentre i call center dovranno adeguare tutte le numerazioni telefoniche utilizzate per i servizi di call center, anche delocalizzati, facendo richiesta di assegnazione delle relative numerazioni entro il 5.4.2018 sempre all’AGCOM.

Seppur la nuova legge è già entrata in vigore, la stessa sarà operativa dopo l’emanazione del Regolamento attuativo (ovvero l’aggiornamento del D.P.R. n. 178/2010), in cui saranno definite le modalità tecniche di iscrizione degli abbonati al nuovo Registro e gli obblighi di consultazione degli operatori di telemarketing: ciò, secondo la Fondazione Ugo Bordoni, che gestisce il Registro, non avverrà prima del secondo semestre 2018.

Vietato postare sui social foto dei figli minori

Avv. Flaviano Sanzari

Deve essere disposta, a tutela del minore e al fine di evitare il diffondersi di informazioni anche nel nuovo contesto sociale frequentato dal ragazzo, l’immediata cessazione della diffusione da parte della madre sui social network di immagini, notizie e dettagli relativi ai dati personali e alla vicenda giudiziaria inerente il figlio.

Lo ha stabilito il Tribunale di Roma, sez. I civ., con ordinanza del 23 dicembre 2017, pronunciata nell’ambito di un giudizio di divorzio caratterizzato da una fortissima conflittualità tra i genitori, a tutela del figlio minore.

Il Tribunale riconosce il pregiudizio per il minore insito nella diffusione on line delle immagini, delle notizie e dei dettagli sulla vicenda giudiziaria che lo vede coinvolto suo malgrado; vieta la prosecuzione di tali condotte e ordina la rimozione di quanto già pubblicato.

Pur in mancanza di un espresso richiamo normativo, è da ritenere che la pronuncia trovi il suo fondamento nel dettato degli artt. 10 c.c. e 96 della legge sulla protezione del diritto d’autore (legge 22.4.1941 n. 633), concernenti la tutela del diritto all’immagine, nonché degli artt. 1 e 16, comma 1 , della Convenzione di New York sui diritti del Fanciullo, ai sensi dei quali è vietata ogni interferenza arbitraria nella vita privata dei minori degli anni diciotto.

Giova, infine, richiamare il provvedimento del Garante per la protezione dei dati personali del 23 febbraio 2017, n. 75, emesso in una fattispecie analoga a quella presa in esame dall’ordinanza in rassegna. In quel caso, infatti, era coinvolta una minore, il cui padre denunciava al Garante una lesione del diritto alla riservatezza della medesima da parte della madre. Costei aveva pubblicato un post su Facebook, contenente due sentenze relative al divorzio tra i coniugi e genitori della suddetta minore, nella quali erano rivelati dettagli riguardanti la vita familiare, compresi quelli della figlia minore. Il Garante dà atto dell’illegittima pubblicazione dei dati e ordina la rimozione del post, facendo interessanti osservazioni sulla pertinente disciplina. Il Garante rileva, innanzitutto, che le sentenze pubblicate rendono identificabile la minore: riportano, infatti, dei dati personali, perché così il c.d. Codice Privacy definisce “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione”, e per di più dati identificativi, perché “dati personali che permettono l’identificazione diretta dell’interessato” (Art. 4, lett. b e c del D.Lgs. 196/2003). L’Autorità ricorda, inoltre, che gli articoli 50 e 52  del Codice Privacy vietano la divulgazione di informazioni che rendano identificabili minori coinvolti in procedimenti giudiziari.

 

DPIA: arriva il software gratuito del Garante francese

Il CNIL, l’autorità francese per la protezione dei dati, lo scorso 29 gennaio ha reso disponibile gratuitamente sul proprio sito l’update della versione beta del “PIA software”, tool informatico (disponibile anche in lingua inglese) che il titolare e il Data Protection Officer possono utilizzare per l’esecuzione di una valutazione d’impatto sulla protezione dei dati (DPIA) secondo i dettami del GDPR. Al fine di facilitare l’utilizzo del PIA software è stato messo a disposizione anche il relativo tutorial.

Sì al controllo dei consumi telefonici aziendali

Il Garante della Privacy con il provvedimento dell’11.1.2018 ha dato il via libera al controllo dei consumi telefonici aziendali, al fine di verificare l’andamento complessivo sui consumi e ridurre gli eventuali costi in eccesso.

Le società potranno dunque trattare alcune informazioni desunte dalla fatturazione bimestrale relative alle chiamate in uscita dei dipendenti assegnatari di una o più sim aziendali.      Tuttavia, sarà consentito alle aziende monitorare le informazioni sul traffico telefonico «solo se necessarie, pertinenti e non eccedenti, o comunque se, in base alle condizioni contrattuali applicabili dal provider, comportino dei costi». Sulla scorta delle medesime evidenze il Garante ha precisato che le società -nell’eventualità in cui venisse avviato il trattamento- dovranno adottare le seguenti misure necessarie:

  • trattare i dati solo se in base alle condizioni contrattuali applicabili tale tipo di chiamata comporti specifici costi per la società;
  • commisurare i tempi di conservazione dei dati trattati entro un limite temporale non superiore ai sei mesi;
  • adottare un disciplinare interno per regolare sia le condizioni di utilizzo delle sim, sia gli altri profili relativi ai trattamenti che si intendono effettuare ed infine si adottino misure e tecniche adeguate di cifratura e anonimizzazione.

 

GDPR: i nuovi orientamenti della Commissione Europea

La Commissione Europea ha pubblicato lo scorso 24 gennaio i nuovi orientamenti volti a facilitare l’applicazione diretta nell’Unione Europea delle norme in materia di protezione dei dati a partire dal 25 maggio p.v..

A poco più di 100 giorni dalla data di applicazione della nuova normativa, il documento illustra quali sono i provvedimenti che la Commissione europea, le autorità nazionali di protezione dei dati e le amministrazioni nazionali devono ancora adottare in vista di una completa preparazione.

La Commissione ha pubblicato anche un nuovo strumento online per aiutare cittadini, imprese -soprattutto le PMI– e organizzazioni a conformarsi alle nuove norme in materia di protezione dei dati e a trarne vantaggi.

Privacy, banche e dati sanitari: non ammesso il consenso implicito. Necessari crittografia e autorizzazione specifica scritta

Avv. Vincenzo Colarocco

Le Sezioni Unite della Corte di Cassazione, con la sentenza del 27 dicembre n. 30981/17, hanno sancito il principio per cui i dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l’interessato, anche nell’ipotesi in cui la pubblica amministrazione o le imprese, agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale.

Nel caso di specie la Suprema Corte ha ritenuto che la Regione Campania e un istituto di credito privato hanno detenuto e comunicato illecitamente i dati sanitari di una persona fisica beneficiaria dell’indennizzo erogato “a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni” previsto dalla legge 210/92. Ciò, in quanto la Regione Campania – ente pubblico erogatore dell’indennità – indicava nella causale di accredito la dizione “pagamento rateo arretrati bimestrali e posticipati l. n. 210/92”.

In particolare la Sezioni Unite hanno ritenuto che “i dati desumibili dal richiamo alla l. 210/92 sono personali in quanto relativi ad una persona fisica identificata, e sensibili perché aventi un contenuto idoneo a rivelare lo stato di salute della persona identificata” e che “non può essere desunto implicitamente il consenso al trattamento dei dati sensibili da condotte diverse dall’adesione espressa dell’interessato”, essendo il sistema di protezione dati sensibili, fondato sul principio generale della necessità del consenso espresso dell’interessato.

Pertanto, essendo la dizione “pagamento rateo arretrati bimestrali e posticipati l. n.210/92”, una rivelazione di dato personale e sensibile, riguardante la salute del ricorrente, la Corte impone al titolare del trattamento – in linea con quanto disposto dallo stesso art. 22 D. Lgs. n.196/2003 comma 6 e 7 – l’acquisizione di specifico consenso in forma scritta e l’adozione di tecniche di crittografia o di cifratura salvo deroghe ex lege.

La tutela effettiva del diritto all’oblio: Google dovrà effettuare la deindicizzazione globale

Avv. Vincenzo Colarocco

Il Garante per la privacy con il provvedimento del 21.12.2017 ha ordinato a Google di deindicizzare gli URL riguardanti informazioni offensive della dignità e reputazione di un cittadino italiano, da tutti i risultati di ricerca forniti sia nelle versioni europee che nelle versioni extraeuropee. Nel caso di specie venivano diffusi sulla rete internet messaggi o brevi articoli anonimi pubblicati su forum o siti amatoriali ove erano riportate anche informazioni ritenute false sullo stato di salute dell’interessato e su gravi reati connessi alla sua attività di professore universitario.

A fondamento di questa decisione il Garante ha ritenuto che la “perdurante reperibilità” sul web di contenuti “sproporzionatamente negativi” che incidono sulla sfera dell’interessato, “anche in ragione del trattamento di dati potenzialmente sensibili” è in contrasto anche con i principi contenuti nelle Linee Guida dei Garanti Europei del 26.11.2014 sull’attuazione della sentenza Google Spain. Pertanto, le informazioni che toccano potenzialmente una moltitudine di aspetti della vita privata e presenti nei motori di ricerca – indipendentemente dalla versione territoriale degli stessi- non possono giustificare il semplice interesse economico del gestore nel trattamento dei dati. Infatti, i Garanti individuano nel trattamento di dati sulla salute uno dei criteri maggiori da considerare per un corretto bilanciamento tra il diritto all’oblio e il dovere all’informazione.

Legge di bilancio e GDPR: ecco le novità

Avv. Vincenzo Colarocco

Il 23 dicembre 2017 è stata approvata dal Senato della Repubblica la nuova Legge di Bilancio la quale ha introdotto alcune novità (cfr. commi 1020-1025) volte a fornire attuazione al Regolamento Generale per la Protezione dei Dati Personali (“GDPR”).

In particolare si prevedono degli oneri per il Garante Privacy che, entro due mesi dall’entrata in vigore del Regolamento (fissata il 25 maggio 2018), dovrà adottare un provvedimento volto a:

  • disciplinare le modalità mediante le quali vigilare sulla corretta applicazione del GDPR;
  • fornire adeguate infrastrutture sia ai fini della portabilità dei dati ai sensi dell’articolo 20 del GDPR, sia ai fini dell’adeguamento tempestivo alle disposizioni del regolamento stesso;
  • definire linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare;
  • predisporre un modello di informativa da compilare a cura dei titolari di dati personali che effettuino un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati.

Con particolare riferimento a tale ultima circostanza si prevede, inoltre, che il titolare dovrà dare “tempestiva comunicazione” del trattamento al Garante Privacy indicando l’oggetto dello stesso, nonché le relative finalità. A questo punto troverà applicazione un meccanismo di silenzio-assenso che prevede il via libera al trattamento dei dati trascorsi quindici giorni dalla comunicazione. Entro questo lasso di tempo il Garante, nel caso in cui ravvisi il rischio “di una lesione dei diritti e delle libertà dei soggetti interessati”, potrà inibire il trattamento per un massimo di trenta giorni e richiedere ulteriori informazioni; laddove continuasse a ravvisare elementi di rischio potrebbe  vietare l’utilizzo dei dati raccolti.