Pubblicato il

Intervista a Pasquale Stanzione- Presidente del Garante per la protezione dei dati personali

Il Garante: “privacy non prerogativa per ricchi, ma presidio di democrazia”
Intervista a Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali

(Di Egidio Lorito, Panorama, 18 settembre 2020)

La privacy permea la vita quotidiana di tutti, non solo delle persone note al pubblico o di quelle comuni, quanto soprattutto persone meno protette, cui dedicheremo massima attenzione”. Il neo Garante per la protezione dei dati personali, Pasquale Stanzione, uno dei massimi studiosi italiani di diritto privato, è chiamato a entrare nel merito di delicate questioni che spaziano dalla riservatezza sui dati personali e sensibili, alla libertà dell’informazione e della comunicazione. Senza dimenticare l’accesso all’universo telematico e il riconoscimento dei nuovissimi diritti che vengono a situarsi sul crinale complesso e spesso inquietante del tema a tutti più caro: quello della libertà. Professore emerito di Istituzioni di diritto privato all’Università degli Studi di Salerno, ha iniziato giovanissimo la carriera universitaria a Camerino, arricchendo il suo percorso con numerose esperienze a Parigi, Barcellona, Madrid, New York e in Germania. Oggi è professore straordinario di Diritto privato presso la Link Campus University di Roma. Panorama.it lo ha incontrato, toccando con mano i prossimi scenari della disciplina.

Professor Stanzione, è stato nominato garante della privacy: presiederà il Collegio chiamato a occuparsi di temi fondamentali per la vita di tutti i cittadini.
“L’Autorità è un’istituzione sempre più centrale nella società: spazio di garanzia di un irrinunciabile diritto fondamentale ma, allo stesso tempo, presidio di democrazia e di un governo sostenibile del digitale”.

Storicizziamo partendo proprio dalle radici: quando inizia la lunga vicenda della privacy come diritto contemporaneo?
“Questa straordinaria “costellazione di diritti” ha molte radici: il “right tobe let alone” dei giuristi statunitensi Samuel Warren e Louis Brandeis del 1890, la “constitutional privacy” delle pronunce americane degli anni Sessanta, quale libertà su essenziali scelte esistenziali, l’autodeterminazione informativa della sentenza costituzionale tedesca del 1983, la”protezione dati” vera e propria, nella sua evoluzione, dalla Convenzione 108/1981 del Consiglio d’Europa, alla direttiva 95/46, fino al Garante della protezione dei dati personali”.

Viste le origini, non le sembra che questo diritto sia stato, più che altro, appannaggio esclusivo della borghesia?
“No. L’emancipazione della privacy dalla dimensione originaria, in favore del “codice dell’eguaglianza”, avviene in Italia sin dagli anni Settanta, con le garanzie sancite dallo Statuto a tutela della libertà dei lavoratori “.

A proposito, la privacy, come nuovo diritto, giunge nel nostro Paese nel 1970…
“Giunge appunto con lo Statuto dei lavoratori, con una priorità che non è solo cronologica ma anche valoriale: l’immunità da ingerenze esterne, tradizionale presidio delle persone note, si afferma da noi come garanzia di libertà, eguaglianza, pari dignità sociale dei lavoratori, parti deboli di un rapporto strutturalmente asimmetrico”.

Utilizziamo le classiche categorie storico-politiche: la privacy vista da “destra” e da “sinistra”.
“Credo che le declinazioni più o meno politiche (o politiciste) debbano cedere il passo alla constatazione della straordinaria poliedricità di questo diritto, capace di coniugare libertà, eguaglianza, dignità. Ciascuno potrà, poi, secondo le proprie sensibilità, mettere l’accento più su uno o sull’altro aspetto, la cui sinergia determina l’innovatività di un diritto “inquieto””.

Al di là del dato prettamente giuridico, la gente comune come continua a vedere la privacy nella vita quotidiana?
“La privacy permea, come un’esigenza fortissima, la vita quotidiana di tutti: dalla difesa rispetto all’aggressività del mercato espressa dal telemarketing selvaggio alla protezione dei riders dal caporalato digitale; dalla tutela dei ragazzi dal cyberbullismo al diritto all’oblio”.

L’opinione pubblica ha spesso l’impressione che la tutela della privacy riguardi, sostanzialmente, la gente ricca e famosa…
“Impressione più che legittima, considerata anche l’immagine pubblica certamente più forte di una certa fascia sociale della popolazione, quella ricca e famosa cui si accenna. Il nuovo Garante ha intenzione di promuovere una vera “cultura della privacy”, a livello popolare, diretta a far comprendere il concetto, l’idea, la filosofia sottesa alla disciplina, soprattutto nei confronti delle categorie meno protette, minori, anziani, disagiati…”

Cioè, il Garante come pedagogista della privacy?
“In un certo senso! È questa la linea evolutiva che vorremmo imprimere, in considerazione del fatto che sia in corso un vero e proprio processo di reificazione del dato personale, un’allarmante monetizzazione della persona e della sua dignità, un’obsoleta mercificazione dei dati sensibili. Occorre invertire la rotta verso una visione, appunto, “personalistica” del concetto di cui stiamo discutendo. La “pedagogia della privacy” sarà indispensabile”.

E nella pratica?
“In caso di necessità, il cittadino potrà rivolgersi al Garante attraverso la procedura dell’accesso civico generalizzato: recepita una problematica, il Garante aprirà un’istruttoria che vaglierà tutte le situazioni in cui il suo “profilo sensibile” possa essere effettivamente stato violato, e se del caso, si procederà anche con l’irrogazione di sanzioni. Facendo cessare l’abuso denunciato, ovviamente”.

Oggi può valere la definizione di privacy come “diritto alla protezione dei dati personali”?
“Delle varie “anime” della privacy, quella espressa dal diritto alla protezione dati è senz’altro la più rilevante, in quanto capace di garantire un governo antropocentrico della tecnica, cui offrire un orizzonte di senso, non certo soggiacere”.

Da una ventina d’anni abbiamo a che fare con Internet…
“Internet ha rappresentato una delle più significative rivoluzioni dell’antropologia umana, annullando – come poi la pandemia avrebbe dimostrato plasticamente – le distanze fisiche, i limiti spazio-temporali e scardinando così le coordinate tradizionali entro cui si sviluppavano l’uomo e, con essa, la società”.

Il tema della privacy si lega indissolubilmente a quello dell’informazione e della comunicazione.
“La privacy, come rispetto della persona e della sua dignità, è la condizione necessaria di un’informazione che, per essere veramente indipendente e libera, deve essere anche responsabile e, come tale, attenta al valore della persona”.

La storia recente ci ha messo di fronte a eventi centrali della nostra vita quotidiana: la pandemia da Covid-19 non è che l’ultimo esempio…
“La pandemia ci ha dimostrato, ancora una volta, l’ambivalenza della tecnica: straordinaria risorsa capace di impedire che il distanziamento “fisico”divenisse “sociale”, ma anche fonte di rischi individuali e collettivi se non ben governata”.

Non le pare che si stia virando su un concetto di “privacy collettiva”?
“Le tecniche di profilazione si sono talmente affinate da prescindere, in molti casi, dall’identificazione del singolo, per costruire cluster, gruppi di “soggetti digitali” accomunati da determinate caratteristiche, non di rado appartenenti alle minoranze più fragili. La “group privacy”, in questo senso, rappresenta un potente strumento di contrasto delle discriminazioni, vecchie e nuove”.

Ha parlato di minori, disabili, anziani come obiettivi primari del Garante?
“La tutela accordata dal Garante è “universalistica”, ma non certo indifferente alle esigenze di protezione rafforzata dei gruppi soggettivi maggiormente vulnerabili ed esposti ai rischi della combinazione di tecnica, potere, intolleranza. È il personalismo cui accennavo”.

Stiamo vivendo, in presa diretta, una terribile emergenza sanitaria: il Garante come affronterà il rapporto tra protezione dei dati e tutela della salute pubblica?
“La pandemia ha, tra l’altro, dimostrato la funzione sociale della protezione dati: diritto non tiranno perché duttile e capace di inattese sinergie anche con interessi collettivi primari, quali appunto la salute pubblica”.

In merito alla recente vicenda del “Bonus-Covid”, il Garante ha appena aperto un’istruttoria riferita alla metodologia seguita dall’Inps rispetto al trattamento dei dati dei beneficiari e alle notizie al riguardo diffuse…
“L’istruttoria – di una qualche complessità – è tuttora in corso: ne riferirò, tra l’altro, al Parlamento in sede di audizione dinanzi alla Commissione lavoro della Camera dei deputati”.

Il primo Garante, l’indimenticato Stefano Rodotà – un civilista – definì la privacy come “il diritto di mantenere il controllo sulle proprie informazioni (…) come una dimensione della libertà esistenziale, costitutiva non solo della sfera privata, ma pure di quella pubblica”. E per il privatista Stanzione?
“La privacy, oggi, è il diritto di costruire liberamente la propria persona, di scrivere la propria biografia, ma è anche il presupposto necessario della democrazia in una società sempre più “datificata””.

Una domanda tipicamente giornalistica: come fa Pasquale Stanzione a difendere la sua privacy?
“Coniugando fiducia, attenzione e responsabilità: prestando il mio consenso in maniera consapevole, non disperdendo in maniera irriflessa i miei dati in rete, ma anche credendo nelle potenzialità di una tecnica sapientemente guidata dal pensiero democratico”.

Ci lasci una riflessione riassuntiva…
“Sono all’inizio di un percorso in cui il Garante si misurerà con un orizzonte amplissimo: dall’intelligenza artificiale ai “neurodiritti”, dalla gig economy (modello economico basato sul lavoro a chiamata, occasionale e temporaneo e non su prestazioni stabili econtinuative, nda) all’e-government. Affronteremo queste sfide con sguardo presbite ma contando su radici solide, per garantire che il progresso non smarrisca il suo senso più profondo: la tutela della persona e della sua dignità”

Fonte: Garante Privacy

Pubblicato il

Le novità sul Fascicolo sanitario elettronico – Domande più frequenti

Le novità sul FSE 

1) Che cos’è il fascicolo sanitario elettronico?
Il fascicolo sanitario elettronico (di seguito, “FSE”) è “l’insieme di dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi riguardanti l’assistito” (art. 12, comma 1, d.l. n. 179/2012), generati oltre che da strutture sanitarie pubbliche anche da quelle private.

 

2) Da cosa è regolato il FSE?
Il FSE è stato previsto dall´art. 12, del d.l. n. 179/2012 e successivamente disciplinato dal D.P.C.M. n. 178/2015 e dall’ art. 11 d.l. 19.05.2020 n. 34. Molte utili informazioni sullo stato di realizzazione del FSE nelle diverse regioni italiane sono disponibili sul portale www.fascicolosanitario.gov.it.

 

3) Quali sono le finalità del FSE?
Il FSE persegue tre finalità:

1) finalità di cura (prevenzione, diagnosi, cura e riabilitazione);
2) finalità di ricerca (studio e ricerca scientifica in campo medico, biomedico ed epidemiologico);
3) finalità di governo (programmazione sanitaria, verifica della qualità delle cure e valutazione dell’assistenza sanitaria).

 

4) Cosa deve indicare l’informativa del FSE?
L’informativa deve essere formulata con linguaggio chiaro e indicare, oltre a tutti gli elementi richiesti dall’art. 13 del Regolamento (titolare, finalità del trattamento, etc.), che i dati che confluiscono nel fascicolo sono relativi allo stato di salute attuale ed eventualmente pregresso dell’interessato. L’informativa deve, inoltre, indicare il diritto di conoscere quali accessi sono stati effettuati al proprio FSE.

 

5) L’interessato deve esprimere il suo consenso?
Una volta che l’assistito abbia espresso il proprio consenso alla consultazione del fascicolo, che deve essere reso una tantum e può essere sempre revocato, il personale sanitario che lo ha in cura può accedere al suo FSE. La prestazione sanitaria è comunque garantita anche in caso di mancato consenso. Con i recenti interventi di semplificazione, il FSE viene automaticamente alimentato in modo che lo stesso assistito possa facilmente consultare i propri documenti socio-sanitari, anche se generati da strutture sanitarie situate al di fuori della Regione di appartenenza, grazie all’interoperabilità assicurata dal Sistema Tessera Sanitaria. A prescindere dal consenso dell’assistito, gli organi di governo sanitario possono accedere a dati pseudonimizzati presenti nel FSE per svolgere le relative funzioni istituzionali (es. programmazione delle cure, gestione delle emergenze sanitarie).

 

6) Il personale amministrativo operante nella struttura sanitaria può accedere al fascicolo?
Il personale amministrativo può, in qualità di soggetto autorizzato, consultare solo le informazioni necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente correlate all’erogazione della prestazione sanitaria (ad esempio, il personale addetto alla prenotazione di esami diagnostici o visite specialistiche può consultare unicamente i dati indispensabili per la prenotazione stessa).

 

7) Può il medico di medicina generale/pediatra di libera scelta (MMG/PLS) dell’interessato accedere al FSE?
Sì. Il fascicolo può essere consultato da tutti gli esercenti le professioni sanitarie (pubblici e privati) che a vario titolo prenderanno in cura l’interessato. Il MMG/PLS ha poi il compito specifico di redigere il profilo sanitario sintetico (il cosiddetto patient summary).

 

8) Che cosa è il patient summary?
Il patient summary, o profilo sanitario sintetico, è il documento socio-sanitario informatico redatto e aggiornato dal MMG/PLS, che riassume la storia clinica dell’interessato, al fine di facilitare la continuità di cura mediante il rapido inquadramento del paziente al momento di un contatto con il servizio sanitario nazionale (SSN).

 

9) Quali sono i soggetti che possono accedere al FSE?
L’assistito, che potrà così consultare i propri documenti sanitari sia clinici che amministrativi, come le ricette o i certificati di malattia. Con il consenso dell’assistito, tutti gli esercenti le professioni sanitarie (pubblici e privati) che intervengono nel processo di cura dell’assistito, compreso il medico di base, cui compete anche il compito di redigere il patient summary (profilo sanitario sintetico). Le Regioni e il Ministero della salute per finalità di governo e di ricerca (senza i dati identificativi diretti dell’assistito e nel rispetto dei principi di indispensabilità, necessità, pertinenza e non eccedenza).

 

10) Quali sono i soggetti che non possono accedere al FSE?
I periti, le compagnie di assicurazione, i datori di lavoro, le associazioni scientifiche e gli organismi amministrativi pur se operanti in ambito sanitario, e comunque i terzi non autorizzati non possono accedere al FSE.


11) L’interessato può decidere di non rendere accessibili alcuni dati nel FSE?
Sì. L’interessato ha il diritto di richiedere l’oscuramento dei dati e dei documenti sanitari e sociosanitari sia prima dell’alimentazione del FSE sia successivamente. In questi casi, i dati e i documenti oscurati potranno essere consultati esclusivamente dall’interessato e dai titolari che hanno generato i predetti documenti. L’oscuramento deve avvenire con modalità tali da garantire che gli altri soggetti abilitati all’accesso al FSE per le finalità di cura non possano venire automaticamente a conoscenza del fatto che l’assistito ha effettuato tale scelta e che esistano dati “oscurati”. L’assistito può decidere di revocare in ogni momento l’oscuramento.

 

12) L’interessato può inserire dati ulteriori nel FSE?
Sì. L’interessato può inserire informazioni personali e documenti relativi ai propri percorsi di cura nel “taccuino personale dell’assistito”, che è una sezione riservata del FSE.

 

13) L’interessato può accedere al proprio FSE?
Sì. L’interessato può accedere al proprio FSE in forma protetta e riservata e può anche consultare l’elenco degli accessi che sono stati eseguiti sul proprio fascicolo.

 

Fonte: Garante Privacy

 

Pubblicato il

EDPB – 37esima sessione plenaria: Linee-guida

  • Comitato europeo per la protezione dei dati – Trentasettesima sessione plenaria: Linee-guida su titolare e responsabile del trattamento

  • Linee-guida sul targeting  degli utenti dei social media; task force sui reclami presentati a seguito della sentenza Schrems II della CGUE

  • Task force incaricata di fornire raccomandazioni su misure supplementari che gli esportatori  e gli importatori di dati possono essere tenuti ad adottare per garantire un’adeguata protezione in caso di trasferimento dei dati, alla luce della sentenza Schrems II della CGUE

Bruxelles, 3 settembre – Il comitato ha adottato linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel regolamento generale sulla protezione dei dati (RGPD) e linee-guida sul targeting degli utenti dei social media. Inoltre, il comitato ha creato una task force che si occuperà dei reclami pervenuti a seguito della sentenza Schrems II della CGUE, oltre a una task force dedicata alle misure supplementari che gli esportatori e gli importatori di dati possono essere tenuti ad adottare per garantire una protezione adeguata in caso di trasferimento dei dati, alla luce della sentenza Schrems II della CGUE.

Il comitato ha adottato Linee-guida sui concetti di titolare del trattamento e responsabile del trattamento nel RGPD. Dopo l’entrata in vigore del RGPD sono stati sollevati vari interrogativi in merito agli effetti del RGPD stesso su tali concetti, in particolare per quanto riguarda la nozione di contitolarità del trattamento (di cui all’articolo 26 del RGPD, anche alla luce di alcune sentenze della CGUE), nonché gli obblighi dei responsabili del trattamento (fissati, in particolare, all’articolo 28 del RGPD) di cui al capo IV del RGPD.

Nel marzo 2019 il comitato, insieme al suo segretariato, ha organizzato un evento pubblico con le parti interessate che ha segnalato chiaramente la necessità di orientamenti più pratici e ha consentito al comitato di comprendere meglio le esigenze e le preoccupazioni in tale ambito. Le nuove linee-guida si articolano in due sezioni principali: una prima sezione in cui sono illustrati i singoli concetti, e una seconda sezione contenente orientamenti dettagliati sulle principali conseguenze che ne derivano per i titolari e i responsabili del trattamento nonché per i contitolari del trattamento. Un diagramma di flusso fornisce ulteriori orientamenti pratici. Le linee-guida saranno oggetto di una consultazione pubblica.

Il comitato ha adottato Linee-guida sul targeting degli utenti dei social media. Le linee-guida mirano a fornire orientamenti pratici alle parti interessate e presentano esempi di situazioni diverse così da consentire di individuare rapidamente lo “scenario” più vicino all’attività di targeting che i singoli soggetti intendono mettere in pratica. L’obiettivo principale delle linee-guida è chiarire ruoli e  responsabilità del fornitore di social media e della persona interessata. A tal fine, vengono delineati, tra l’altro, i potenziali rischi per le libertà individuali, i principali attori e i rispettivi ruoli, l’applicazione dei requisiti fondamentali in materia di protezione dei dati, quali la liceità e la trasparenza dei trattamenti e la valutazione d’impatto sulla protezione dei dati, nonché gli elementi chiave degli accordi che disciplinano i rapporti tra i fornitori di social media e gli interessati. Inoltre, le linee-guida si concentrano sui diversi meccanismi di targeting, sul trattamento di categorie particolari di dati e sull’obbligo per i contitolari del trattamento di prevedere un accordo adeguato a norma dell’articolo 26 del RGPD. Le linee-guida saranno oggetto di una consultazione pubblica.

Il comitato ha creato una task force incaricata di esaminare i reclami presentati a seguito della sentenza Schrems II della CGUE. Sono stati presentati complessivamente 101 reclami identici alle autorità per la protezione dei dati del SEE nei confronti di diversi titolari del trattamento negli Stati membri del SEE, in merito al loro utilizzo di servizi di Google/Facebook che comportano il trasferimento di dati personali. In particolare, i reclamanti, rappresentati dall’ONG NOYB, sostengono che Google/Facebook trasferiscano dati personali negli Stati Uniti basandosi sullo scudo UE-USA per la privacy (Privacy Shield) o sulle clausole contrattuali tipo e che, alla luce della recente sentenza della CGUE nella causa C-311/18, il titolare del trattamento non sia in grado di garantire un’adeguata protezione dei dati personali dei reclamanti. La task force analizzerà la questione e garantirà una stretta cooperazione tra i membri del comitato.

A seguito della sentenza Schrems II della CGUE, e in aggiunta alle FAQ adottate il 23 luglio, il comitato ha creato una task force specifica con il compito di elaborare raccomandazioni per titolari e responsabili del trattamento nell’individuazione e nell’attuazione di adeguate misure supplementari finalizzate a garantire un’adeguata protezione in caso di trasferimento di dati verso paesi terzi.

Andrea Jelinek, la presidente del comitato europeo per la protezione dei dati, ha dichiarato: “Il comitato è ben consapevole del fatto che la sentenza Schrems II attribuisce ai titolari del trattamento una responsabilità importante. Oltre alla dichiarazione e alle FAQ pubblicate subito dopo la sentenza, elaboreremo raccomandazioni per supportare titolari e responsabili del trattamento nella necessaria individuazione e attuazione di adeguate misure supplementari di natura giuridica, tecnica e organizzativa al fine di soddisfare il requisito di « equivalenza sostanziale » nel trasferimento di dati personali verso paesi terzi. Tuttavia, la sentenza ha implicazioni di ampia portata e i contesti dei trasferimenti di dati verso paesi terzi sono molto diversi. Pertanto, non si può pensare a una soluzione unica e di immediata applicazione. Ciascun titolare o responsabile dovrà valutare i trattamenti svolti e i relativi trasferimenti, adottando le misure opportune.”

Nota editoriale: si osservi che tutti i documenti adottati durante la plenaria del comitato sono soggetti ai necessari controlli giuridici, linguistici e di formattazione e saranno messi a disposizione sul sito web del comitato una volta completati tali controlli.

Comunicato stampa EDPB_2020_14

Fonte:  Garante Privacy

Pubblicato il

Insediato il nuovo Collegio del Garante privacy

Pasquale Stanzione Presidente

Si è riunito oggi, nella sua nuova composizione, il Garante per la protezione dei dati personali.

Erano presenti tutti i componenti dell’Autorità: la Prof.ssa Ginevra Cerrina Feroni, il Dott. Agostino Ghiglia, l’Avv. Guido Scorza, il Prof. Pasquale Stanzione.

Il Prof. Pasquale Stanzione e la Prof.ssa Ginevra Cerrina Feroni sono stati eletti all’unanimità rispettivamente Presidente e Vice Presidente dell’Autorità.

Roma, 29 luglio 2020

Fonte: Garante Privacy

Pubblicato il

La Corte di Giustizia dell’Ue invalida il ‘Privacy shield’, stop a trasferimenti di dati personali negli Usa

16 Luglio 2020

Con la sentenza nella causa C-311/18 del 16 luglio 2020, la Corte di Giustizia dell’Unione europea ha invalidato il “Privacy Shield”, ovvero l’accordo largamente difuso con cui grandi organizzazioni e multinazionali potevano fino ad ora legittimare il trasferimento di dati personali tra Europa e Stati Uniti.

Secondo i giudici della Corte, il Privacy Shield non fornisce ai cittadini europei sufficienti garanzie contro le leggi statunitensi in materia di sorveglianza e sicurezza della privacy, e perciò ai sensi del Gdpr il trasferimento di dati dall’Ue verso un Paese terzo può avvenire, in linea di principio, “solo se tale Paese terzo garantisce un adeguato livello di protezione”.

Se l’annullamento del Privacy Shield rappresenta una vittoria per gli attivisti della privacy che da tempo accusavano gli Stati Uniti per le pratiche invasive e di sorveglianza inammissibili sui cittadini europei, la decisione dei giudici adesso creerà notevoli problemi alle multinazionali americane e europee che fanno business proprio sul trasferimento e l’utilizzo di dati personali. Società come Facebook, Apple, Google, ed Amazon, dovranno quindi ripensare le loro strategie industriali per adeguarsi alla decisione della Corte dell’Unione Europea.

Clicca qui per leggere la sentenza nella causa C-311/18 del 16 luglio 2020!

Fonte: Federprivacy

Pubblicato il

Garante Privacy e Agcom, il Senato ha eletto i componenti delle Autorità

15 Luglio 2020

Il Senato ha eletto i componenti delle Autorità. Come ha riferito il presidente Casellati, per il collegio del Garante per la protezione dei dati personali (Privacy) si sono espressi 272 senatori e gli eletti sono Agostino Ghiglia con 123 voti e Pasquale Stanzione con 121. Riguardo all’Autorità per le garanzie nelle comunicazioni (Agcom), i senatori votanti sono stati 272 e gli eletti sono Laura Aria con 123 voti e Elisa Giomi con 110 voti.

Fonte: TGCOM24

Pubblicato il

Garante privacy: sanzione a Wind e Iliad!

Operatori telefonici: continua l’attività di controllo del Garante privacy, sanzione a Wind per 17 milioni di euro e a Iliad per 800 mila euro

Continua l’attività di controllo del Garante per la protezione dei dati personali nei confronti degli operatori telefonici anche a seguito delle centinaia di segnalazioni e reclami che settimanalmente pervengono all’Autorità per lamentare casi di “marketing selvaggio”.

Nell’ambito di tali attività di controllo, nella riunione del 9 luglio scorso, l’Autorità ha sanzionato Wind Tre Spa per circa 17 milioni di euro per numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali. Per analoghe violazioni, la società era già stata destinataria di un provvedimento inibitorio e prescrittivo quando era ancora in vigore il vecchio Codice privacy.

Il nuovo provvedimento è stato adottato all’esito di una complessa attività istruttoria ed ispettiva. Gli utenti lamentavano la ricezione di contatti promozionali indesiderati, effettuati senza consenso tramite sms, e-mail, fax, telefonate e chiamate automatizzate. In numerosi casi, inoltre i segnalanti dichiaravano di non esser stati messi in grado di poter esercitare il proprio diritto di revoca del consenso o di opposizione al trattamento dei loro dati per finalità di marketing (anche a causa di imprecisioni nell’indicazione dei canali di contatto presenti nell’informativa). In altri casi veniva lamentata la pubblicazione di dati personali negli elenchi telefonici pubblici nonostante l’opposizione (a volte reiterata) degli interessati.

Dall’istruttoria è inoltre emerso che le app MyWind e My3 erano impostate in maniera tale da obbligare l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione), salvo poi consentire di revocarli trascorse 24 ore.

Al di là di queste lacune “di sistema”, gli accertamenti del Garante hanno messo in luce diversi gravi illeciti nella filiera dei partner commerciali di Wind Tre, anche con impropria attivazione di contratti. Per queste violazioni, uno dei partner del gestore telefonico – che aveva sub affidato (peraltro senza alcun atto giuridico) intere fasi dei trattamenti a call-center che raccoglievano i dati illecitamente – è stato multato per 200mila euro dal Garante e si è visto imporre il divieto di utilizzare i dati raccolti e trattati da agenti presenti sul territorio nazionale (denominati “procacciatori”) in totale spregio delle norme in materia di protezione dati.

Le argomentazioni portate a propria difesa da Wind Tre e la serie di misure correttive implementate dalla società, anche riguardo alla centralizzazione delle campagne promozionali, non sono state ritenute adeguate dal Garante. Oltre a sanzionare la società telefonica per 16.729600 euro, l’Autorità ha vietato a Wind il trattamento dei dati acquisiti senza consenso e le ha ordinato di adottare misure tecniche e organizzative per un effettivo controllo della filiera dei partner, nonché procedure per rispettare la volontà degli utenti di non essere disturbati.

Nel corso della stessa riunione del 9 luglio, il Garante ha preso in esame anche le risultanze degli accertamenti disposti nei confronti di un altro gestore telefonico, Iliad, che è stato trovato carente sotto altri profili, in particolare in merito alle modalità di accesso dei propri dipendenti ai dati di traffico e che per tali ragioni, è stato sanzionato per 800.000 euro.

Roma, 13 luglio 2020

Fonte: Garante Privacy

Pubblicato il

Fatturazione elettronica: la precisazione del Garante privacy

Di fronte alle prese di posizione di rappresentanti politici e organizzazioni sindacali riguardo al recente parere adottato dal Garante per la privacy sulla fatturazione elettronica, l’Autorità ritiene doveroso precisare quanto segue.

Il parere del Garante non riguarda l’istituto della fattura elettronica – su cui l’Autorità si è, a suo tempo, e più di una volta espressa favorevolmente – ma le innovazioni con le quali il legislatore – e, conseguentemente, l’Agenzia delle entrate – ha esteso l’utilizzo, a fini di controllo, di ulteriori dati ricavati dalle fatture elettroniche, non fiscalmente rilevanti.

Con lo schema di provvedimento del Direttore dell’Agenzia delle Entrate si è infatti disposto, tra l’altro, l’utilizzo, a fini fiscali, dei c.d. “dati fattura integrati”, comprensivi di dati di dettaglio inerenti anche l’oggetto della prestazione del bene o del servizio. Molti di questi dati – quali ad esempio quelli contenuti negli allegati delle fatture – non rilevano a fini fiscali e possono invece rivelare dati di natura sanitaria o la sottoposizione dell’interessato a procedimenti penali, come nel caso di fatture per prestazioni in ambito forense o ancora specifiche informazioni su merci o servizi acquistati. La memorizzazione, a prescindere dall’eventuale utilizzo, delle fatture nella loro integralità comporta dunque l’acquisizione massiva di una mole rilevantissima dei dati contenuti nei circa 2 miliardi di fatture emesse annualmente, inerenti tra l’altro i rapporti fra cedente, cessionario ed eventuali terzi, fidelizzazioni, abitudini e tipologie di consumo, regolarità dei pagamenti, appartenenza dell’utente a particolari categorie.

Tale estensione del novero dei dati trattati dall’amministrazione fiscale contrasta con il principio di proporzionalità su ci si basano l’ordinamento interno ed  europeo, ingolfa le banche dati dell’Agenzia delle Entrate rendendole più vulnerabili, perché estese e interconnesse in misura tale da divenire assai più difficilmente presidiabili, e configura un sistema di controllo irragionevolmente pervasivo della vita privata di tutti i contribuenti, senza peraltro migliorare il doveroso contrasto dell’evasione fiscale.

E’ questo l’elemento di maggiore criticità delle recenti innovazioni normative, su cui il Garante ha chiesto un supplemento di riflessione sin dall’esame parlamentare del decreto fiscale: non è ammissibile, perché sproporzionata, l’estensione a dati rilevantissimi per la vita privata dei contribuenti, ma fiscalmente irrilevanti e, come tali, incapaci di apportare alcun minimo miglioramento all’azione di contrasto dell’evasione. Essa va resa più efficiente, non più orwelliana. per garantire quell’equità fiscale promessa dalla Costituzione.

Roma, 13 luglio 2020

Fonte: Garante Privacy