L’Autorità Garante per la protezione dei dati personali, composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano, ha presentato oggi la Relazione sul diciassettesimo anno di attività e sullo stato di attuazione della normativa sulla privacy.
La Relazione sull’attività 2013 [doc. web n. 3182545] traccia il bilancio del lavoro svolto dall’Autorità e indica le prospettive di azione verso le quali occorre muoversi nell’obiettivo di costruire una autentica ed effettiva protezione dei dati personali, in particolare riguardo all’uso delle nuove forme di comunicazione e dei nuovi sistemi tecnologici.
Gli interventi più rilevanti
La sorveglianza globale e il Datagate; Internet e il ruolo dei grandi provider; la trasparenza della Pa on line e le garanzie da assicurare ai cittadini; i social network e i problemi posti dal cyberbullismo; il fisco e la tutela delle riservatezza dei contribuenti; i sistemi di pagamento mediante smartphone e tablet (mobile payment); l’uso dei dati biometrici, anche sul posto di lavoro; la tutela dei minori sui media e sul web; la protezione dei dati usati a fini di giustizia; le telefonate promozionali indesiderate; i diritti dei consumatori; le semplificazioni per le imprese; le banche dati pubbliche e private; il mondo della scuola; i partiti e i movimenti politici; la conservazione dei dati di traffico telefonico e telematico: sono stati questi alcuni dei principali campi di intervento del Garante privacy nel 2013.
Particolare importanza ha assunto il lavoro svolto dall’Autorità riguardo al mondo della Rete. Il Garante ha sanzionato per un milione di euro Google per il servizio Street View e ha intrapreso un’azione, in coordinamento con le altre Autorità europee, sempre nei confronti di Mountain View per le nuove regole privacy adottate. E’ intervenuto per garantire maggiore trasparenza agli utenti dei servizi di messaggistica, anche vocale. E ha dettato regole per proteggere la privacy su smartphone e tablet. Di recente ha definito un modello di consenso per l’uso dei cookie da parte degli utenti. E’ stato inoltre ulteriormente rafforzato il diritto delle persone interessate a vedere aggiornati gli archivi giornalistici on line.
Per garantire un corretto rapporto tra trasparenza della Pa e riservatezza delle persone sono stati presi provvedimenti di divieto nei confronti di decine di Comuni che avevano pubblicato sul web dati sanitari dei cittadini e, di recente, sono state adottate le Linee guida sulla trasparenza on line.
L’Autorità ha fissato le regole sull’obbligo per le società di Tlc di comunicare agli utenti e al Garante le violazione subite dai data base in caso di attacchi informatici, eventi avversi o calamità (i c.d. “data breach”).
Rilevante anche l’impegno nel dettare regole per la tutela dei cittadini nei confronti dei call center delocalizzati nei Paesi extra Ue; per la tutela degli abbonati telefonici contro il telemarketing aggressivo (con prescrizioni e sanzioni adottate nei confronti di società che operano nel settore) e contro le cosiddette “telefonate mute”; per una corretta gestione dei dati presenti nelle centrali rischi; per la tutela della privacy nel condominio. Sono state adottate le Linee guida in materia di attività promozionale e contrasto allo spam.
Significativi anche gli interventi svolti per regolare l’uso della firma biometrica nelle banche e l’uso delle impronte digitali sul posto di lavoro.
Da ricordare, infine, il rinnovo delle autorizzazioni generali sull’uso dei dati sensibili e giudiziari da parte di diverse categorie, dell’autorizzazione generale sull’uso dei genetici e di quella sulla ricerca medico scientifica.
Le cifre
Nel 2013 sono stati adottati oltre 606 provvedimenti collegiali.
L’Autorità ha fornito riscontro a 4.185 tra quesiti, reclami e segnalazioni con specifico riferimento alle seguenti aree tematiche: telefonia, centrali rischi, centrali rischi, videosorveglianza, rapporti di lavoro, giornalismo.
Sono stati decisi 222 ricorsi, inerenti soprattutto a banche e società finanziarie, datori di lavoro pubblici e privati, attività di marketing, compagnie di assicurazione, operatori telefonici e telematici.
I pareri resi dal Collegio al Governo e Parlamento sono stati 22 ed hanno riguardato, in particolare, l’informatizzazione delle banche dati della Pa, l’attività di polizia e sicurezza nazionale, la formazione.
Sono state effettuate 411 ispezioni (+4% rispetto al 2012), che hanno riguardato diversi settori: call center e telefonate promozionali indesiderate; banche dati del fisco; credito al consumo e “centrali rischi”; sistema informativo dell’Inps; nuovi strumenti di pagamento elettronico gestiti dalle compagnie telefoniche (mobile payment); violazioni delle banche dati dei gestori tlc (data breaches).
Le violazioni amministrative contestate sono state 850, in aumento rispetto all’anno precedente (578): una parte consistente ha riguardato il trattamento illecito dei dati, legato principalmente al telemarketing e all’uso dei dati personali senza consenso; all’omessa o inadeguata informativa agli utenti; alla conservazione eccessiva dei dati di traffico telefonico e telematico; alla mancata adozione di misure di sicurezza; all’omessa o mancata notificazione al Garante; all’inosservanza dei provvedimenti dell’Autorità.
Le sanzioni amministrative riscosse ammontano a oltre 4 milioni di euro.
Le violazioni segnalate all’autorità giudiziaria sono state 71, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati.
L’attività di relazione con il pubblico è aumentata rispetto all’anno precedente: si è dato riscontro a oltre 31.000 quesiti, che hanno riguardato, in particolare, le problematiche legate alle telefonate indesiderate, a Internet, alla pubblicazione di documenti da parte della Pa, alla videosorveglianza, al rapporto di lavoro.
L’attività internazionale
Non meno rilevante l’attività del Garante a livello internazionale, a partire da quella svolta nel Gruppo delle Autorità per la privacy europee (Gruppo Articolo 29) riguardo ai numerosi pareri e documenti adottati (cookies, app per telefonia mobile, sistemi di misurazione “intelligenti” nel settore energetico, open data, droni, data breach, anonimizzazione dei dati, cloud computing, clausole contrattuali per le multinazionali, etc.) o alle iniziative assunte, come quella nei confronti di Google.
I Garanti europei si sono occupati del nuovo Regolamento in materia di protezione dati che sostituirà la Direttiva del 1995 e della Direttiva che dovrà disciplinare il trattamento di dati per finalità di giustizia e di polizia.
In quest’ambito, l’Autorità italiana ha seguito costantemente il dibattito sulla revisione del quadro normativo europeo, in particolare partecipando quale esperto tecnico alle riunioni del competente Gruppo di lavoro (DAPIX) del Consiglio dell’Unione europea.
Da ricordare anche l’attività del Garante italiano per il Consiglio d’Europa, che sta rivedendo la Convenzione del 1981 sulla protezione dei dati, nonché quella svolta in seno ad altri gruppi di lavoro (anche OCSE).
Intenso infine il lavoro svolto nell’ambito delle Autorità di controllo Schengen, Europol, Eurodac.
Roma, 10 giugno 2014
Garante Privacy