La Relazione, oltre a tracciare un bilancio, indica le prospettive di azione verso le quali l'Autorità intende muoversi, anche in vista dell'applicazione del nuovo Regolamento Ue a partire dal maggio 2018, con l'obiettivo di assicurare una sempre più efficace protezione dei dati personali, innanzitutto on line, e rispondere alle sfide poste dai nuovi modelli di crescita economica e alle esigenze di tutela sempre più avvertite dalle persone.
Gli interventi più rilevanti
Il crimine informatico e la cybersicurezza; la profilazione on line e i social media; i rischi della Rete e il cyberbullismo; la lotta al terrorismo e la sorveglianza di massa; i Big Data; l'uso delle nuove tecnologie nel mondo del lavoro; la trasparenza della Pa on line e le garanzie da assicurare ai cittadini; il fisco e la tutela della riservatezza dei contribuenti; il telemarketing; le intercettazioni e la protezione dei dati contenuti negli atti processuali; la tutela dei minori da parte dei media; i diritti dei consumatori; le grandi banche dati pubbliche; il mondo della scuola; il diritto all'oblio; le garanzie per il trasferimento dei dati negli Usa; la sanità: sono stati questi alcuni dei principali campi di intervento del Garante nel 2016.
E' proseguito il lavoro svolto per assicurare la protezione dei dati on line, a partire dai grandi motori di ricerca e dai social network. Nel 2016 Google ha adempiuto, sulla base del protocollo sottoscritto con il Garante, agli impegni presi per rendere conforme il trattamento dei dati degli utenti alla normativa italiana. A Facebook l'Autorità ha imposto di bloccare i falsi profili (i cosiddetti fake) e di assicurare più trasparenza e controllo agli utenti.
Sempre sul fronte di Internet, il Garante ha partecipato ad un'indagine internazionale sulle problematiche poste dall' Intenet delle cose, concentrando la sua analisi soprattutto sulla domotica. E ha vietato la realizzazione di un progetto che affidava ad un algoritmo la misurazione della reputazione delle persone.
Il 2016 ha visto il Garante impegnato nella illustrazione delle importanti novità introdotte dal nuovo Regolamento europeo in materia di protezione dei dati e, insieme alle altre Autorità Ue, ha partecipato alla elaborazione di linee guida (sul Responsabile della protezione dei dati, sulla portabilità dei dati, sull'Autorità di controllo capofila, e sulla valutazione di impatto) in vista della sua applicazione nel nostro Paese.
Sono stati definiti i criteri per coniugare memoria collettiva e dignità della persona nei casi di esercizio del diritto all'oblio su Internet. E' stato inoltre ulteriormente rafforzato il diritto delle persone a vedere aggiornati gli archivi giornalistici on line.
Riguardo alla cybersecurity, l'Autorità ha proseguito anche nel 2016 l'attività di vigilanza procedendo sia d'ufficio che in seguito a specifiche segnalazioni o comunicazioni relative a violazioni di dati personali (data breach). Quelle inviate da soggetti pubblici sono state 15.
Nel settore privato il 2016 vede confermata la tendenza rilevata nell'anno precedente: sono state infatti 43 le comunicazioni di violazioni pervenute da parte dei più importanti fornitori di servizi di comunicazione elettronica stabiliti sul territorio nazionale.
Nel settore della sanità, il Garante è intervenuto per regolamentare l'uso delle impronte digitali per controllare gli accessi nelle strutture ospedaliere. E sempre in ambito sanitario ha dato indicazioni sul registro dei tumori, sul nuovo sistema informativo dei trapianti, sulla procreazione assistita.
Sul fronte della scuola ha pubblicato una guida per aiutare studenti, famiglie, professori e la stessa amministrazione scolastica a muoversi agevolmente nel mondo della protezione dei dati. Ha dato via libera alla consultazione da parte dell'università dell'anagrafe nazionale degli studenti.
Nel mondo del lavoro il Garante ha fissato le regole per l'uso delle nuove tecnologie dopo l'introduzione del Jobs Act.
In materia di trasparenza on line della Pa il Garante ha richiamato il Governo alla necessità di contemperare obblighi di pubblicità degli atti e dignità delle persone. E ha bloccato in alcuni casi la diffusione on line di dati sensibili delle persone.
Una particolare azione è stata intrapresa per aumentare il livello di sicurezza della Pa digitale e per rafforzare le garanzie per i cittadini nell'attuazione dello Spid.
Per quanto riguarda la fiscalità e l'adozione del 730 precompilato, il Garante è intervenuto per garantire maggiore sicurezza nell'accesso degli intermediari e definire i tempi di conservazione dei dati.
Particolare impegno è stato rivolto anche nel 2016 alla messa in sicurezza delle grandi banche dati pubbliche, prima fra tutte quella dell'Anagrafe tributaria.
Nel 2016 è entrato in vigore il Codice sulle informazioni commerciali adottato dal Garante per conciliare esigenze delle imprese e corretto uso dei dati sull'affidabilità di imprenditori e manager.
L'Autorità ha pubblicato un vademecum sulle corrette procedure da adottare nel settore del recupero crediti.
Ha dedicato interventi sull'uso sempre più diffuso delle biometrie e delle tecniche di profilazione dei clienti in diversi settori economici.
E' proseguito l'impegno per evitare l'invasività del cosiddetto telemarketing selvaggio, un fenomeno che non tende purtroppo a diminuire. Il Garante ha accertato rilevanti illeciti da parte di società di telefonia, ha svolto ispezioni presso alcuni call center albanesi e ha suggerito al legislatore modifiche normative per rafforzare le garanzie dei cittadini.
Un capitolo importante ha riguardato il rapporto tra privacy e diritto di cronaca, con particolare riguardo alla tutela dei minori.
Le cifre
Nel 2016 sono stati adottati 561 provvedimenti collegiali.
L'Autorità ha fornito riscontro a oltre 4.600 quesiti, reclami e segnalazioni con specifico riferimento ai seguenti settori: marketing telefonico (in costante aumento); credito al consumo; videosorveglianza; concessionari di pubblico servizio; recupero crediti; settore bancario e finanziario; assicurazioni; lavoro; giornalismo; enti locali; sanità e servizi di assistenza sociale.
Sono stati decisi 277 ricorsi, riguardanti soprattutto editori (anche televisivi); banche e società finanziarie; datori di lavoro pubblici e privati; sistemi di informazione creditizia; Pa e concessionari di pubblici servizi.
I pareri resi dal Collegio al Governo e Parlamento sono stati 20 ed hanno riguardato, in particolare, l'attività di polizia e sicurezza nazionale; l'informatizzazione delle banche dati della Pa; il fisco; lo Spid; la carta elettronica degli studenti e dei docenti; i dai sanitari.
Le audizioni sono state 9 e hanno riguardato innanzitutto le norme in materia di telemarketing, di lotta al terrorismo, di trasparenza, di videosorveglianza.
Le violazioni segnalate all'autorità giudiziaria sono state 53, in particolare per mancata adozione di misure minime di sicurezza a protezione dei dati.
In aumento il numero delle violazioni amministrative contestate, che nel 2016 sono state 2.339 (con un incremento del 38% rispetto al 2015). Una parte consistente (1.817 violazioni contestate) ha riguardato l'omessa comunicazione agli interessati di data breach da parte dei gestori di telefonia e comunicazione elettronica. Vengono poi, il trattamento illecito dei dati per uso senza consenso; l'omessa o inadeguata informativa agli utenti sul trattamento dei loro dati personali; la conservazione eccessiva dei dati di traffico telefonico e telematico; la mancata adozione di misure di sicurezza; l'omessa esibizione di documenti al Garante; l'inosservanza dei provvedimenti dell'Autorità.
Le sanzioni amministrative riscosse ammontano a circa 3 milioni e 300 mila euro.
Sono state effettuate 282 ispezioni. Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell'ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da società che operano nel settore del car sharing; a quelle che si occupano di web marketing e marketing telefonico; alle società che si occupano di ricerca genetica; alle agenzie di lavoro interinale; alle società di assistenza tecnica e recupero dati per pc e telefonia mobile; ai giochi on line; alle finanziarie. Una importante operazione è stata svolta nei confronti di società operanti nel settore del trasferimento di denaro (money transfer) nell'ambito delle attività di contrasto al riciclaggio che ha portato all'applicazione di sanzioni per 11 milioni di euro. Per quanto riguarda il settore pubblico l'attività di verifica si è concentrata particolarmente sui Caf, sulle grandi banche dati pubbliche e sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit.
Per quanto riguarda l'attività di relazione con il pubblico si è dato riscontro a oltre 24.000 quesiti, che hanno riguardato, in particolare, le problematiche legate alle telefonate promozionali indesiderate (33%); agli adempimenti legati al nuovo Regolamento Ue (11%); a Internet; alla videosorveglianza; a mail, fax e sms indesiderati; al rapporto di lavoro; ai dati bancari.
L'attività internazionale
Non meno rilevante e intensa l'attività del Garante a livello internazionale. Particolare importanza ha assunto l'attività connessa alla riforma della disciplina europea in materia di protezione dati (il cosiddetto "Pacchetto protezione dati"), che ha portato all'approvazione del nuovo Regolamento generale e della Direttiva che disciplina il trattamento di dati per finalità di giustizia e di polizia, entrambi pubblicati nella Gazzetta Ue il 4 maggio 2016. Il Garante ha seguito costantemente le riunioni del competente Gruppo di lavoro (DAPIX) del Consiglio dell'Unione europea, partecipando alle riunioni in qualità di esperto tecnico.
Importanti, come sempre, i contributi forniti dal Garante all'attività del Gruppo delle Autorità per la privacy europee (Gruppo Articolo 29), del quale Antonello Soro è stato, fino a tutto il 2016, Vice presidente. Oltre al lavoro svolto in vista dell'attuazione del nuovo Regolamento Ue sulla protezione dei dati, l'Autorità ha partecipato attivamente alla elaborazione dei numerosi pareri e documenti adottati dal Gruppo concernenti il futuro regolamento sull'e-Privacy (per il settore delle comunicazioni elettroniche); i social media (in particolare Facebook e WhatsApp); i Big Data; la protezione dati in ambito finanziario; la pubblicazione di dati a fini di trasparenza nel settore pubblico; il trasferimento di dati con riguardo alle norme vincolanti d'impresa e alle clausole contrattuali tipo; la cooperazione giudiziaria e di polizia.
Particolarmente significativo il parere adottato ai fini dell'adozione del nuovo accordo sul trasferimento dei dati negli Usa, il cosiddetto "Privacy Shield".
Da ricordare anche l'attività del Garante italiano per il Consiglio d'Europa - che sta rivedendo la Convenzione 108 del 1981 sulla protezione dei dati e ha predisposto Linee guida in materia di Big Data - e quella svolta in seno all'OCSE, in particolare riguardo alla sicurezza e alla tutela della privacy nell'economia digitale. Si è intensificata anche la collaborazione nell'ambito di gruppi internazionali (quali la Global Privacy Enforcement Network, GPEN) che promuovono interventi congiunti e mirati di verifica del rispetto della normativa in materia di protezione dei dati e privacy.
Intenso, infine, il lavoro svolto nell'ambito delle Autorità di controllo Schengen, Europol, Eurodac, Sistema informativo doganale, Sistema dei visti.
Il Garante ha stipulato accordi di cooperazione con omologhe autorità di Paesi dell'Est europeo al fine di promuovere scambi di informazioni e attività congiunte anche di carattere ispettivo.
download Allegato
Garanteprivacy.it