ATTENZIONE ALLA CORRETTA IMPOSTAZIONE DEL SISTEMA DI TRATTAMENTO DEI DATI DEGLI AUTOMOBILISTI CON I PARCOMETRI CHE REGISTRANO LE TARGHE – GARANTE SULLA PRIVACY ORDINANZA DEL 22.07.2021

ATTENZIONE ALLA CORRETTA IMPOSTAZIONE DEL SISTEMA DI TRATTAMENTO DEI DATI DEGLI AUTOMOBILISTI CON I PARCOMETRI CHE REGISTRANO LE TARGHE - GARANTE SULLA PRIVACY ORDINANZA DEL 22.07.2021

Il Garante per la protezione dei dati personali ha sanzionato per una somma complessiva di oltre 1 milione di euro Roma Capitale, la società di servizi Atac Spa e un subfornitore, per non aver tutelato i dati degli automobilisti che parcheggiano nel territorio del Comune.

La decisione è stata assunta all’esito di un’istruttoria avviata in seguito alla segnalazione di un utente che si lamentava dei nuovi parcometri installati nel territorio comunale nel 2018. La società Atac Spa, incaricata dal Comune anche per la gestione dei parcheggi, aveva infatti avviato un aggiornamento tecnologico dei parcometri per offrire nuovi servizi (ad esempio il pagamento di sanzione/tributi o l’acquisto/rinnovo dei titoli del trasporto pubblico) e per introdurre nuove modalità di pagamento, inserendo anche il numero di targa del veicolo. Parte della strumentazione era stata fornita da un’altra società, la Flowbird Italia srl (ex Parkeon srl). Tutte le informazioni relative alla sosta venivano poi gestite attraverso un sistema centralizzato al quale poteva accedere, tramite un’apposita app, anche il personale incaricato di controllare il pagamento dei parcheggi.

Nel corso dell’ispezione, condotta in collaborazione con il Nucleo speciale Privacy della Guardia di finanza, sono emerse varie irregolarità. In primo luogo il Comune di Roma, in quanto titolare del trattamento, non aveva fornito alcuna informazione sul trattamento dei dati degli automobilisti, non aveva nominato la società Atac Spa responsabile del trattamento, né fornito a quest’ultima le necessarie istruzioni su come trattare i dati raccolti. Neppure la società subfornitrice era stata incaricata formalmente o istruita su come procedere in merito al trattamento dei dati.

È poi emerso che le società non avevano predisposto il registro dei trattamenti dei dati e che il progetto era stato ideato senza rispettare i principi di protezione dei dati fin dalla progettazione, e per impostazione predefinita, come richiesto dal Regolamento europeo Gdpr. Non erano stati neppure definiti i tempi di conservazione dei dati raccolti né erano state adottate idonee misure di sicurezza. È stato ad esempio accertato che, all’epoca delle verifiche, alcuni flussi di dati da e verso il sistema implementato da Atac Spa viaggiavano in canali non sicuri. Il personale addetto, inoltre, avrebbe potuto controllare in maniera massiva e ripetuta nel tempo qualunque targa, magari per conoscere le abitudini di una persona e i luoghi di sosta, senza lasciare alcuna traccia nel sistema informativo.

Alla luce delle violazioni riscontrate e dell’illecito trattamento dei dati, il Garante per la privacy ha comminato una sanzione di 800.000 a Roma Capitale, di 400.000 ad Atac Spa e di 30.000 a Flowbird Italia srl.

Nel calcolare la sanzione per l’illecito trattamento dei dati, l’Autorità ha tenuto conto della grande quantità di dati personali trattati (da giugno 2018 a novembre 2019 il sistema di Atac Spa aveva già registrato i dati di 8.600.000 soste e ancora oggi interessa potenzialmente tutti i soggetti che usufruiscono del servizio di sosta a pagamento sul territorio comunale) e delle sanzioni già ricevute per la violazione della privacy, ma anche della positiva collaborazione offerta da Roma Capitale e dalle società per risolvere alcune violazioni riscontrate durante l’ispezione.Nonostante le modifiche apportate in corso d’opera al sistema di gestione dei parcheggi, il Garante ha comunque rilevato il permanere di criticità relative alle misure di sicurezza e ha quindi prescritto anche l’adozione di misure correttive e di idonee misure di sicurezza a protezione delle informazioni raccolte.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9698724

MAGGIORI TUTELE PER CHI SEGNALA POSSIBILI REATI (C.D. WHISTLEBLOWING) – GARANTE PER LA PRIVACY ORDINANZA 10.06.2021

MAGGIORI TUTELE PER CHI SEGNALA POSSIBILI REATI (C.D. WHISTLEBLOWING) - GARANTE PER LA PRIVACY ORDINANZA 10.06.2021

L’identità dei whistleblower è protetta da uno specifico regime di garanzia e riservatezza previsto dalla normativa di settore per la particolare delicatezza delle informazioni trattate e per gli elevati rischi di ritorsioni e discriminazioni nel contesto lavorativo. In tale quadro, il titolare del trattamento è tenuto a rispettare i principi in materia di protezione dei dati, assicurandone l’integrità e la sicurezza.

E’ quanto ribadito dal Garante privacy che, a seguito di attività ispettive sugli applicativi usati per le segnalazioni di illeciti (whistleblowing), ha sanzionato la società Aeroporto Guglielmo Marconi di Bologna per 40.000 euro e il suo fornitore di software per 20.000 euro per violazioni delle regole poste a tutela dei dati personali trattati.

Nel caso della Società aereoportuale il Garante ha accertato il mancato utilizzo di tecniche di crittografia per la trasmissione e la conservazione dei dati e la violazione del principio della privacy by design.

Nel corso dell’istruttoria è emerso infatti che l’accesso all’applicativo per l’acquisizione e la gestione delle segnalazioni di illeciti avveniva senza l’uso di un protocollo di rete sicuro (quale il protocollo https) e che l’applicativo stesso non prevedeva la cifratura dei dati identificativi del segnalante, delle informazioni relative alla segnalazione e della eventuale documentazione allegata.

La società aereoportuale, titolare del trattamento, tracciava poi, mediante i log generati dai firewall, l’accesso all’applicativo da parte dei dipendenti connessi alla rete aziendale. Ciò rendeva inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti, considerato anche l’esiguo numero di connessioni all’applicativo in questione. Inoltre, tenuto conto della delicatezza delle informazioni trattate, dei rischi e della vulnerabilità degli interessati, la società avrebbe dovuto effettuare una valutazione di impatto.

Nel comminare la sanzione il Garante ha ribadito che il titolare del trattamento, anche quando utilizza prodotti o servizi realizzati da terzi, deve verificare la conformità ai principi di protezione dati impartendo le necessarie istruzioni al fornitore del servizio (ad es. disattivando le funzioni in contrasto con le norme di settore). L’Autorità ha sanzionato con un secondo provvedimento anche il fornitore dell’applicativo, nella sua qualità di responsabile del trattamento, sia per la violazione degli obblighi in materia di sicurezza, sia per la mancata regolamentazione del rapporto con altre due società che trattavano i dati per suo conto.

Link al documento: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9685922

COOKIE: dal Garante privacy nuove Linee guida a tutela degli utenti – Garante Privacy 10.07.2021

COOKIE: dal Garante privacy nuove Linee guida a tutela degli utenti - Garante Privacy 10.07.2021

Cookie: dal Garante privacy nuove Linee guida a tutela degli utenti
No a scrolling e a cookie wall se non in casi particolari, limiti alla reiterazione della richiesta di consenso

Il Garante per la protezione dei dati personali ha approvato nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno.

L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy, ma ha le sue motivazioni anche in una serie di altri fattori: l’esperienza maturata in questi anni (in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici) sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati; il crescente uso di tracciatori particolarmente invasivi; la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.

Il meccanismo di acquisizione del consenso on line dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).

Ecco, in sintesi, i principali contenuti nelle nuove Linee guida sui cookie.

Informativa

Nel rispetto del Regolamento Ue, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).

Resta confermato l’obbligo della sola informativa per i cookie tecnici, anche inserita nell’informativa generale. Il Garante raccomanda poi che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Consenso

Per i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra.

Riguardo in particolare allo scrolling, il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.

Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.

L’Autorità sottolinea inoltre che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento; sia impossibile sapere se un cookie sia già memorizzato nel dispositivo; siano trascorsi almeno 6 mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.

Il Garante auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno.

I titolari dei siti avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.

Link al documento: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9679893