Conti correnti e privacy

Pare non essere legittima sul piano europeo, o meglio non costituzionale, la norma del decreto legge che dal 2 gennaio, in funzione anti-evasione fiscale, obbligherà gli intermediari finanziari a comunicare all’ Agenzia delle Entrate tutte le movimentazioni relative a operazioni finanziarie di tutti i cittadini. A dirlo è il Garante Europeo aggiunto della Privacy. Cio’ che non va è la raccolta indiscriminata, il fatto che si realizzerebbe uno screening preventivo di massa su tutti i contribuenti. Strasburgo boccia questa ingerenza sproporzionata nella vita privata. L’ Italia non riuscirebbe a dimostrare che questa ingerenza è una condicio sine qua non per il contrasto all’evasione, a fronte di altre misure possibili.

Per Giovanni Buttarelli “intensificare i controlli a fini fiscali è doveroso, ma la soluzione sui conti bancari suggerita al governo non è praticabile”. L’ Italia deve difatti rispettare gli obblighi internazionali e, tra questi, la copiosa giurisprudenza della Corte di Strasburgo e il Trattato di Lisbona parlano chiaro a tutela della privacy. Lo scopo della legge difatti è elaborare “specifiche liste selettive di contribuenti a maggior rischio di evasione”. La schedatura non servirebbe a raccogliere elementi di raffronto a carico di potenziali evasori già individuati, ma ad affidare a sofisticati software la profilazione centralizzata di liste di possibili sospettabili, a carico dei quali un futuro ed eventuale controllo potrebbe anche essere negativo. Si finirebbero per acquisire miliardi di dati trasmessi da banche e altri operatori, dati che in larga parte riguardano non il fisco, ma la vita di tutti i giorni e, talvolta, la sfera intima delle persone. E ciò quand’ anche i dati bancari non fossero poi utilizzati, o non portassero pregiudizio (quale non è essere obbligati a pagare le tasse) o fossero custoditi in modo sicuro. Non è un caso che una misura così non ci sia in alcun Paese europeo. Non è un problema specifico dei dati bancari: dai dati telefonici a Internet, dai biglietti aerei al Dna, le iniziative che si intromettono in modo sproporzionato nella sfera personale degli individui sono sotto la lente delle Corti che le cassano una a una. E dal 2 gennaio cosa rischia di accadere? «Strasburgo a parte, chiunque potrebbe opporsi per motivi legittimi a che una banca invii questi dati al fisco. E chiedere al giudice civile di sollevare questione di costituzionalità». Con quale esito? «Scontato, se si guardano le pronunce della Corte costituzionale adottate dal 2007 e quest’ anno (n. 80 e 113) sull’incostituzionalità delle norme contrastanti con la Cedu come interpretata dalla Corte di Strasburgo.

Comments(0)

Telefonate mute nel telemarketing, interviene il Garante Privacy

Il Garante privacy è intervenuto sul fenomeno delle cosiddette telefonate “mute” nel settore del marketing, quelle cioè nelle quali il destinatario, dopo aver sollevato il ricevitore, non viene messo in comunicazione con alcun interlocutore. Sono sempre di più le persone che protestano presso il Garante Privacy poiché ricevono chiamate mute a ripetizione (anche per 15 volte di seguito). Il fenomeno della chiamata muta nasce dalla tecnica dell’instradamento in automatico delle chiamate che si ha quando le aziende mettono in comunicazione attraverso dei software automatici gli utenti contattati con i call center di promozione dei prodotti aziendali. Il sistema utilizzato spesso inoltra ai call center molte più chiamate di quante questi riescono a smaltire. Non essendoci un addetto disponibile la chiamata veniva pertanto instradata a vuoto e l’utente subiva la telefonata muta. Il Garante ha previsto che chi utilizza l’instradamento automatico delle chiamate non possa ripetere la telefonata se non dopo 30 giorni, pena una sanzione amministrativa che va da 30mila a 120mila euro.

Comments(0)

Privacy del cittadino in farmacia: ticket sanitari

Il Garante annuncia, nessuna dichiarazione dei redditi da comunicare in farmacia. Per il calcolo dei ticket e per le altre prestazioni sanitarie, saranno i medici ad apporre sulle ricette un codice indicativo del livello di reddito e quindi del livello di esenzione. Diversi cittadini si erano difatti lamentati al Garante Privacy per aver dovuto comunicare al farmacista, anche in presenza di altri utenti della farmacia, il proprio reddito al fine di stabilire il ticket da pagare o meno. Alcune Regioni, infatti, differenziando il ticket richiesto in base alla fascia di reddito familiare, avevano finito per non garantire un’adeguata protezione dei dati personali dei pazienti.

Comments(0)

Credito, affidabilità, puntualità dei pagamenti e privacy del cliente

Ricordiamo a chi cerca informazioni sulle centrali rischi e i comportamenti corretti/scorretti di banche e finanziarie di consultare il provvedimento:

Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (Provvedimento del Garante n. 8 del 16 novembre 2004, Gazzetta Ufficiale 23 dicembre 2004, n. 300, come modificato)

Comments(0)

Raccolta di dati online: nel form solo i dati personali necessari possono essere raccolti. Raccogliere dati ulteriori rispetto a quelli necessari per erogare il servizio richiesto da parte di un utente concretizza un trattamento di dati personali eccedente e non pertinente. Il principio è stato ribadito dal Garante per la protezione dei dati personali che ha vietato ad una università telematica il trattamento di alcuni dati degli studenti che si erano iscritti online per essere informati sulle attività dell’ateneo. Nel corso di una ispezione è emerso infatti che l’università, mediante il form di registrazione al sito, raccoglieva anche informazioni ulteriori rispetto a quelle necessarie ad erogare il servizio di informazione richiesto. All’utente che voleva restare aggiornato sul mondo universitario venivano difatti chiesti dati non necessari, come ad esempio luogo e data di nascita, codice fiscale, cittadinanza. Il Garante ha dunque vietato l’uso dei dati eccedenti e ha richiesto la modifica del form di raccolta dati, ovvero la cancellazione dei dati ritenuti non pertinenti.  L’università, inoltre, forniva un’unica informativa per tutti i trattamenti, non dando la possibilità agli utenti di acconsentire a un trattamento e non ad un altro. In particolare prima dell’intervento del Garante, l’ateneo informava e otteneva il consenso per 3 finalità differenti insieme: registrazione al sito, valutazione del CV dell’utente e  iscrizione e immatricolazione ai corsi. Così facendo si richiedevano tutti i dati (anche cognome e nome, luogo e data di nascita, codice fiscale, cittadinanza, indirizzi di residenza, domicilio, indirizzo mail, numero di cellulare) anche solo per la registrazione al sito. Non risultava possibile acconsentire a un trattamento ma non ad un altro, in pratica era negata la libertà di scelta. Fondamentale l’intervento del Garante dunque, che ha richiesto un informativa esaustiva e un consenso modulare, scindibile in diverse parti. Quante volte vi è capitato di dover mettere una sola firma per più trattamenti diversi con finalità differenti? Troppe.

Comments(0)

Siti della Pubblica amministrazione, come devono essere

Il Ministro per la pubblica amministrazione e l’innovazione per rispondere alle richieste di chiarimento delle pubbliche amministrazioni, e dei comuni italiani in particolare, ha adottato un provvedimento contenente indicazioni su come deve essere un sito istituzionale di una PA e su come deve trattare i dati personali degli utenti. In particolare il provvedimento si occupa della Policy privacy dei siti web e della reperibilità sul web degli indirizzi di posta elettronica, nonché dell’uso dei cookies, dei tempi di conservazione dei dati comunicati alla PA ecc. Per maggiori informazioni consultate il sito del Garante privacy dove trovate pubblicato il provvedimento: http://www.garanteprivacy.it/garante/doc.jsp?ID=1826713.

Comments(0)

E’ on line la relazione del Garante privacy per l’anno 2010, a questo link:

http://www.garanteprivacy.it/garante/doc.jsp?ID=1819662 trovate una sintesi della relazione per orientarvi negli argomenti trattati. A questo link potete invece scaricare la relazione:

http://www.garanteprivacy.it/garante/document?ID=1819554&DOWNLOAD=true sono 2.1 Mega di materiale. In alternativa potete scaricare da questa pagina solo le parti di relazione di vostro interesse suddivise tra i seguenti argomenti:

I. STATO DI ATTUAZIONE DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

II. L’ATTIVITÀ SVOLTA DAL GARANTE

III – L’UFFICIO DEL GARANTE

IV – DOCUMENTAZIONE

Comments(0)

Privacy in ospedale e privacy dei pazienti

E’ online sul sito del Garante Privacy un vademecum per il corretto trattamento dei dati dei pazienti. Il vademecum è rivolto ai pazienti stetti, in ospedale, o comunque in caso di problemi di salute che impattano sempre anche sulla loro riservatezza personale. L’opuscolo viene definito semplice nel linguaggio, e lo è abbastanza. All’interno troverete domande e risposte utili e una sezione utile anche per i datori di lavoro e per i medici stessi. Per consultarlo http://www.garanteprivacy.it/garante/document?ID=1812198

Comments(0)

Art. 37 codice privacy: obbligo di notificazione del trattamento al Garante

1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell’articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione.

3. La notificazione è effettuata con unico atto anche quando il trattamento comporta iltrasferimento all’estero dei dati.4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile achiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.

Comments(0)

Documento programmatico sulla sicurezza semplificato, semplificazioni privacy

Ricordiamo che alcune aziende usufruendo di quanto previsto nel provvedimento generale denominato “Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all’Allegato B) al Codice in materia di protezione dei dati personali” (G.U. n. 287 del 9 dicembre 2008) possono redigere un documento programmatico sulla sicurezza (DPS) semplificato.

Possono redigere il dps semplificato solo: i titolari che trattano dati personali unicamente per correnti finalità amministrative e contabili;  i piccoli imprenditori ai sensi dell’art. 2083 del Codice Civile ovvero i coltivatori diretti del fondo, gli artigiani, i piccoli commercianti e coloro che esercitano un’attività professionale organizzata prevalentemente con il lavoro proprio e dei componenti della famiglia; piccola e media impresa (PMI)  ovvero imprese che  hanno meno di 250 occupati e un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro.

Tutti gli altri titolari devono redigere il documento programmatico sulla sicurezza ordinario, in forma integrale.

Comments(0)