Archivio dei tag privacy

DiGiampaolo Cirioni

Il Garante sanziona un medico per 16mila euro

Propaganda elettorale: no all’uso dei dati di ex-pazienti senza consenso
Il Garante sanziona un medico per 16mila euro

Importante sottolineare, prima di addentrarci nell’articolo, che la sanzione è stata comminata in funzione del vecchio Codice della Privacy.

L’Autorità per la privacy ha comminato una sanzione di 16mila euro a un medico che ha utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo.

Nel corso dell’istruttoria, avviata dal Garante a seguito di alcuni articoli di stampa che segnalavano la vicenda, il medico si è difeso affermando di aver scritto ai suoi ex pazienti, che aveva avuto in cura presso un importante Istituto oncologico, per informarli della sua nuova sede di lavoro, avendo cessato il suo rapporto professionale presso l’Istituto. Con l’occasione, aveva contestualmente espresso il suo sostegno a un candidato alle elezioni, già assessore alla Sanità e al Welfare, e aveva ritenuto di rispettare le norme consentendo ai destinatari di opporsi alla ricezione dei messaggi, mediante un link posto in calce alla mail.

Il Garante ha giudicato un tale trattamento di dati personali illecito per diversi profili.

In primo luogo, il medico non ha reso l’informativa né al momento della registrazione dei dati dei pazienti né alla prima comunicazione, come previsto dal Codice privacy. Questo adempimento è infatti obbligatorio in quanto i dati, nel caso di specie, non risultano raccolti dal medico direttamente presso gli interessati, ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro. Inoltre, il medico ha utilizzato i dati dei suoi ex pazienti per finalità diverse da quelle di cura, per le quali erano stati raccolti, senza aver acquisito uno specifico e autonomo consenso.

Come chiarito dal Garante nel provvedimento generale in materia di propaganda elettorale del 6 marzo 2014, “i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti”.

Nonostante la sanzione sia stata comminata in base al vecchio Codice, i principi che la ispirano restano validi anche in base al nuovo Regolamento Ue, come di recente precisato nel provvedimento dell’Autorità del 7 marzo 2019.

DiGiampaolo Cirioni

Il Garante per la protezione dei dati personali cambia sede

Il Garante per la protezione dei dati personali cambia sede.

Dal 29 ottobre 2018, gli uffici si sono spostati dalla sede di piazza monte Citorio alla nuova sede di Piazza Venezia 11 (Roma)

I riferimenti di contatto telefonici e di posta elettronica rimangono gli stessi. (https://www.garanteprivacy.it/web/guest/home/footer/contatti)

L’ingresso dell’URP dell’Autorità è situato al piano terra di Piazza Venezia 11 – Scala B (Roma). I riferimenti di contatto e gli orari di apertura restano gli stessi anche nella nuova sede. (https://www.garanteprivacy.it/home/footer/contatti#urp)

DiGiampaolo Cirioni

TAR Sicilia: i dati personali non sono quelli delle persone giuridiche

Pillole di Privacy #9 – 25/10/2018

Nella mia “pillola di Privacy” #2 del 10 settembre 2018 ne avevo parlato genericamente.

Ora il TAR della Sicilia lo sentenzia. Vediamo come.

Con sentenza pubblicata il 1 ottobre 2018, (Decisione 1 ottobre 2018, n. 2020) il TAR Sicilia si è pronunciato in merito alla definizione di “dato personale” ed al relativo ambito di applicazione.

Il TAR è stato chiamato a pronunciarsi in merito alla legittimità di un provvedimento di autorizzazione all’accesso agli atti, emanato a seguito della richiesta di ottenimento di determinate informazioni, relativi ad operazioni di bonifico effettuate a favore di un ente.

La legittimità di tale provvedimento è contestata sulla base della lamentata violazione dell’articolo 5-bis, comma 2, del D. lgs. n. 33/2013, secondo cui: “l’accesso… è rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela di interessi privati” tra cui è, in particolare, compresa “la protezione dei dati personali, in conformità con la disciplina legislativa in materia”.

Il motivo dedotto dal ricorrente offre l’occasione al TAR per approfondire l’invocata tutela dei dati personali, alla luce della disciplina introdotta dal regolamento (UE) 2016/679 e, nello specifico, per fornire proprie indicazioni in merito alla definizione di “dato personale”, identificato come “qualsiasi informazione riguardante una persona fisica identificata o identificabile, quali nome, cognome, data di nascita, numero di telefono, codice fiscale, numero di conto corrente e informazioni che permettono di sapere quando, con chi e per quanto tempo ci si è collegati in rete: indirizzo e-mail, i c.d. file di log”.

Il TAR richiama gli interventi di modifica apportati all’allora vigente “Codice in materia di protezione dei dati personali” dall’articolo 40 del d.l. n. 201 del 2011, per effetto dei quali il riferimento a “persona giuridica, ente o associazione” era stato espunto dalla definizione di “dato personale”, in tal modo limitando l’ambito di applicazione della disciplina relativa al trattamento dei dati personali alle sole persone fisiche, impostazione confermata anche dall’assetto attuale, di cui al Regolamento Ue 679/2016. Lo stesso TAR, infatti, riconosce che “il GDPR non disciplina in alcun modo il trattamento dei dati che riguardano la persona giuridica (salvo poche eccezioni che, tuttavia, non interessano in questa sede) atteso che dalla definizione di “dato personale” e di “interessato” … rimane escluso qualsiasi riferimento a persone giuridiche, enti o associazioni” ).

Le considerazioni che precedono hanno portato il TAR a ritenere non applicabile la limitazione contenuta nella normativa invocata dal ricorrente relativa alla protezione dei dati personali, trattandosi “della richiesta di informazioni riguardanti non una persona fisica ma una persona giuridica”.

DiGiampaolo Cirioni

L’indirizzo IP è un dato personale

Vediamo innanzitutto cos’è un “indirizzo IP”.

Semplificando, un indirizzo Ip (Internet Protocol) è un indirizzo numerico assegnato ad un computer ogni volta che questo colleghi ad Internet, sia che utilizzi un modem oppure un router.
Si può dire che è come un numero di telefono che serve al protocollo TCP/IP per instradare i pacchetti e fare in modo che le comunicazioni possano avvenire da e verso destinazioni differenti. Molti abbonamenti Internet per privati offrono un indirizzo IP dinamico che varia ad ogni connessione, mentre in altre tipologie di collegamento alla rete è necessario almeno un indirizzo ip statico che non varia mai, spesso utile ad aziende che dispongono di un proprio server internet.
Nel caso di privati, quindi, normalmente si parla di indirizzo Ip dinamico che cambia a ogni nuova connessione a Internet. A differenza degli Ip statici, gli indirizzi Ip dinamici non consentono di associare, attraverso file accessibili al pubblico, un certo computer al collegamento fisico alla rete utilizzato dal fornitore di accesso a Internet. Di conseguenza, solo il fornitore di accesso a Internet dispone delle informazioni aggiuntive necessarie per identificarlo.

Ora il caso che ci interessa.

La Corte di Giustizia europea è stata investita (2016) del ricorso promosso da un cittadino tedesco il quale lamentava la circostanza che i suoi indirizzi di protocollo internet venissero registrati e conservati, da parte dei siti internet dei servizi federali tedeschi da lui consultati.
La Corte federale di giustizia tedesca ha portato il caso all’attenzione della Corte di Giustizia europea chiedendo di conoscere se gli indirizzi IP “dinamici” costituiscano anch’essi, per il gestore del sito internet, un dato personale, e godano quindi anche della tutela prevista per simili dati.

La Corte europea ha stabilito che un indirizzo Ip dinamico registrato da un fornitore di servizi di media online (cioè da un gestore di un sito Internet) durante la consultazione del suo sito Internet accessibile al pubblico, non è riferibile ad una persona fisica identificabile, quindi, di per sé non rappresenta un dato personale, (in quanto, lo si ribadisce, non consente di operare un abbinamento diretto con una determinata persona fisica).

Però finisce con il rientrare nel concetto di dato personale se il gestore dispone di mezzi giuridici che gli consentano di fare identificare il visitatore grazie ad informazioni aggiuntive di cui il fornitore di accesso a Internet dispone.

Pertanto, se vengono ottenuti dati aggiuntivi in grado di consentire la identificazione di chi ha acceduto al sito Internet, trattandosi di dati personali ha trovato applicazione la normativa di riferimento (Direttiva 95/46/CE).

La Corte di giustizia, ha, altresì, affermato che la normativa comunitaria in materia di trattamento dei dati personali vieta ad una legge dei singoli Stati membri, in assenza di consenso del visitatore, che un fornitore di servizi di media online possa raccogliere e impiegare i dati personali del visitatore a meno che ciò sia necessario per garantire il funzionamento del servizio oltre che per fini di fatturazione e, comunque, ciò deve avvenire limitatamente alla effettiva durata della sessione di collegamento al sito.

A tale riguardo è stato richiamato l’art. 7 della Direttiva n. 95/46/CE il quale indica un elenco tassativo dei casi in cui il trattamento dei dati personali può essere considerato lecito e gli Stati membri non possono variare detto elenco.
Sempre la Corte di giustizia europea ha stabilito che i servizi federali tedeschi, che forniscono servizi di media online, potrebbero avere un interesse legittimo a garantire, al di là di una effettiva fruizione dei loro siti Internet accessibili al pubblico, la continuità del funzionamento dei loro siti (appunto, per fini di contrasto nella lotta al cyber  terrorismo).

I giudici del Lussemburgo, nel rinviare la causa alla competente corte tedesca, hanno stabilito che gli Ip dinamici rientrano nel novero dei dati personali e sono, quindi, soggetti alle tutele introdotte dalla normativa di settore, anche in presenza di esigenze di cyber security e di come essi vadano ad impattare sulle tecniche di pseudonimizzazione, adottate da un titolare del trattamento nel momento in cui volesse rendere non direttamente riconoscibili i dati di un soggetto interessato.

In conclusione, anche se l’indirizzo IP dinamico è un dato personale, i gestori dei siti web sono comunque autorizzati al trattamento degli stessi in assenza di un consenso, per motivi di sicurezza.

Ovviamente deve intendersi che la raccolta degli IP non è ammessa per fini diversi, quali ad esempio il contrasto alle violazioni del copyright, non rientrando nei legittimi interessi.

Ricordiamo che il nuovo Regolamento generale in materia di protezione dei dati personali (GDPR) riconosce espressamente che gli identificatori online sono dati personali. Il termine identificatori online non è definito nel Regolamento, ma è pacificamente inteso come comprendente i cookie e gli indirizzi IP.

Riflessione:
La sentenza è vecchia ma ancora attuale. In questo momento occorre fare riferimento al regolamento europeo. L’indirizzo IP è dato identificativo ed ovviamente a seconda del trattamento che si fa del dato IP, occorre avere differenti profili di tutela.

Ad esempio se l’IP viene utilizzato solo a fini di sicurezza (tipo ho il sito web che registra l’IP di chi cerca ripetutamente di accedere al pannello di amministrazione e lo blocca per 1 mese) è sufficiente dare l’informativa. La base giuridica sono i legittimi interessi del titolare.

Se l’IP viene utilizzato a fini di profilazione (es. viene raccolto dal widget sociale di Facebook) allora occorre consenso e informativa.

DiGiampaolo Cirioni

“Aumentano attacchi informatici e furti di identità. Che sta succedendo?” – Intervista ad Antonello Soro, Presidente del Garante

Criminali che rubano le credenziali di Facebook, Google che ci legge le email. Il parere del Garante italiano per la privacy, Antonello Soro
Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Arturo Di Corinto “AGI”, 13 ottobre 2018)

Prima il furto dei token di Facebook, poi il baco di Google plus e l’annuncio della sua chiusura, infine le denunce di Clusit sull’aumento del furto di credenziali usate per attacchi informatici. Non dovrebbe sorprendere che proprio ieri il Censis abbia certificato un calo di fiducia dei cittadini italiani nei confronti delle piattaforme social, dei motori di ricerca e dei servizi online. In aggiunta qualche giorno fa la vicepresidente di Google Susan Molinari ha ammesso che Google consente ad aziende terze di leggere le nostre email. Che sta succedendo? Ne abbiamo parlato con il Garante della privacy, l’onorevole Antonello Soro.

“Come lo scandalo Cambridge Analytica, anche il caso degli accessi ai contenuti degli account Gmail concessi indiscriminatamente a terze parti dimostra ancora una volta la natura di business company dei colossi della rete. Nell’odierno capitalismo estrattivo i dati di milioni di utenti vengono sfruttati come una miniera da sviluppatori, società di ricerche, aziende di marketing, società di servizi di ogni genere.”

E che cosa stanno facendo le Autorità europee per mettere un freno a questi comportamenti?

“Contro questi abusi, il nuovo Regolamento europeo rappresenta oggi un formidabile strumento per costringere gli Over The Top a gestire con maggiore trasparenza i dati personali dei loro utenti, a proteggerli con misure adeguate e a limitare in un perimetro chiaro gli usi che di questi dati essi possono fare. Prova ne sia il fatto che – proprio in base alle disposizioni del Regolamento – nel recente gravissimo caso di data breach che ha coinvolto 50 milioni di utenti, Facebook si sia affrettata a darne – come doveroso – immediata comunicazione al pubblico e alle autorità di protezione dati.”

Facebook ha scollegato 90 milioni di utenti della sua piattaforma dopo il furto dei loro token, le “tessere informatiche” che ci identificano e fanno accedere ai servizi online senza dover sempre immettere la password. Ci ha detto tutta la verità?

“Merito del Gdpr. Prima del Regolamento europeo la protezione dei dati era considerata – negli Usa, ove manca una disciplina sul modello europeo – recessiva rispetto alle esigenze del mercato. Si pensi all’illecito trattamento dei dati di Facebook svolto da Cambridge analytica: era la regola e non l’eccezione. Il Gdpr ci consente di intervenire anche rispetto a imprese situate fuori dall’Ue ma che offrano beni o servizi a cittadini dell’Unione. Tutti sanno che dovranno fare attenzione a una platea di 500 milioni di persone, gli europei, e che noi potremo essere incisivi facendo valere le nostre tutele”.

“Il Gdpr prevede che le imprese non europee che operano stabilmente in Europa designino il proprio stabilimento principale, da cui dipende per competenza l’individuazione di un’autorità leader a cui affidare l’interlocuzione per le attività di carattere transfrontaliero. Facebook ha scelto l’Irlanda e anche Google sta per farlo. La regola europea si sta facendo strada. Si pensi alla California che ha adottato il Privacy Act sul modello europeo. Lo stesso vale per Canada e Giappone che si sono ispirati all’Europa.”

Pare che i dati sottratti a Facebook siano già in vendita nel mercato nero del web. Un altro grosso danno all’immagine di Facebook.

“Se confermato sarebbe molto grave. C’è anche da dire che oggi il danno reputazionale è più importante delle sanzioni. La deterrenza esercitata da entrambe queste “sanzioni” (giuridica e sociale) nel tempo può portare a un miglioramento della qualità dei servizi. Le aziende coinvolte sanno che devono competere anche su questo aspetto con i concorrenti che vengono da altri paesi: la protezione dati diviene infatti una risorsa reputazionale importante.”

Anche Google non ha ancora ammesso la rilevanza del possibile databreach collegato alla vulnerabilità di Google+ per questioni reputazionali. Sarebbero coinvolti 500 mila profili. Ci sono state denunce presso i suoi uffici?

“Diverse associazioni hanno fatto denunce e molte segnalazioni a difesa dei consumatori. Ci siamo attivati e non da soli. Considerato il carattere transnazionale di queste aziende non ci muoveremo più come singola autorità ma concordemente con le altre autorità europee. Per questo abbiamo creato una piattaforma apposita per lo scambio di informazioni e la cooperazione avanzata”.

Susan Molinari, vicepresidente di Google per le politiche pubbliche ha ammesso in una lettera che Google ha smesso di leggere i contenuti della posta elettronica del suo servizio Gmail dal 2017, ma che consente a terze parti di leggerci la posta “fintanto che le terze parti informano gli utenti in maniera trasparente.”

“L’accesso ai contenuti della posta, qualunque sia la motivazione, è cosa gravissima. Ed è figlia di un periodo lunghissimo in cui l’economia digitale ha funzionato al di sopra della legge sia perché non c’erano regole, sia perché gli utenti non esercitavano pienamente i loro diritti, sia perché l’euforia del business era prevalente rispetto alle cautele da adottare”.

“Tuttavia l’altro ieri Google ci ha informato di tre cose attraverso i suoi responsabili: la prima è che hanno confermato il bug scoperto a marzo nel social network omonimo, Google plus, che verrà chiuso; la seconda è che stanno definendo nuove misure di protezione dei dati; la terza è che stanno operando una revisione radicale delle proprie policies, comprese le forme di accesso agli sviluppatori di terze parti”.

Ma quest’idea di rovesciare sugli utenti ogni responsabilità non è un gioco vecchio? Secondo uno studio Deloitte l’81% degli utenti non legge le clausole legali dei servizi informatici.

“Fondare sul solo consenso le scelte aziendali è insufficiente. Per questo il Gdpr rafforza le garanzie con un approccio di tipo essenzialmente preventivo. Grazie al nuovo regolamento europeo azienda a dover garantire che dati saranno trattati correttamente mentre sono le autorità di garanzia che dovranno vigilare perché i cittadini da soli non saranno mai in grado di verificare che uso viene fatto dei loro dati”.

Il prefetto Alessandro Pansa, capo del Dipartimento Informazioni per la Sicurezza della Presidenza del Consiglio, ha detto che gli stati si sono distratti e che quattro o cinque aziende multinazionali hanno su di noi più dati dei servizi segreti. Abbiamo regalato la nostra libertà per un piatto di lenticchie?

“I decisori politici del pianeta hanno sottostimato le sfide della trasformazione digitale ma anche gli utenti hanno la loro responsabilità. Ma le leggi da sole qui non bastano. Si tratta di una sfida culturale. Bisogna imparare a pensare la rete come a una dimensione della vita”.

“Le aziende digitali e i governi che hanno il controllo dei nostri dati producono una sorveglianza totale. Per questo i diritti nella dimensione online vanno riconosciuti come nella real life, nella vita analogica. La protezione dei dati è rilevantissima per la difesa della libertà”.

“I dati siamo noi. La protezione dell’umanità passa attraverso la protezione dei nostri dati”.

(dal sito del Garante: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9051020)