HISTORIES

Google: stop all’uso degli Analytics?
Il Garante ha comunicato che l’uso di Google Analytics non rispetta il GDPR.
I siti web che lo utilizzano senza adeguate garanzie violano la normativa perché trasferiscono i dati negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.
L’autorità ha adottato un primo provvedimento nei confronti di un editore, ma la questione interessa molti siti web.

Traendo spunto da un reclamo di un cittadino verso una società che gestisce un sito web, il Garante privacy italiano, con il Provvedimento 9 giugno 2022, n. 224 ha stabilito importanti norme di principio.
Il pronunciamento è in linea con quelli già registrati in Austria (nel dicembre 2021) e in Francia (nel febbraio 2022 e non è escluso che altri paesi possano seguire l’esempio.
 
Dopo una complessa indagine è emerso che i gestori dei siti web che utilizzano GA raccolgono, mediante cookie, informazioni sulle interazioni degli utenti con i predetti siti, le singole pagine visitate e i servizi proposti. Tra i molteplici dati raccolti, indirizzo IP del dispositivo dell’utente e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web. Tali informazioni sono risultate oggetto di trasferimento verso gli Stati Uniti e questo trattamento è stato dichiarato illecito.
 
Il Garante ha quindi adottato il primo di una serie di provvedimenti con cui ha ammonito alla società cui il reclamo è stato indirizzato di conformarsi al GDPR entro novanta giorni.
 
Allo scadere di questo termine, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al GDPR dei trasferimenti di dati effettuati dai titolari.
 
Data: 23 giugno 2022
Documento: Comunicato Stampa del Garante Privacy

OSSERVATORIO VECOMP

Elenchi telefonici: illegittimi quelli non estratti dal Data Base Unico
Il Garante sanziona un’azienda per 50.000 euro

Gli elenchi telefonici devono rispettare le regole poste a tutela dei dati personali.
L’attuale quadro normativo non consente la creazione di elenchi telefonici generici che non siano estratti dal DBU (Data Base Unico), l’archivio elettronico unico che raccoglie i numeri telefonici e i dati dei clienti di tutti gli Operatori nazionali di telefonia diffusi tramite elenchi pubblici e che non siano, quindi, conformi a quanto stabilito dal Garante e da Agcom. Per questo, in seguito a numerosi reclami, il Garante ha sanzionato una ditta individuale per 50.000 euro per la divulgazione non autorizzata di dati personali (nominativi, indirizzi, numeri di telefono) nel suo sito web.
 
I dati personali degli interessati erano stati pubblicati a loro insaputa e i segnalanti ne erano venuti a conoscenza, il più delle volte, cercando il proprio nome su Google. Gli interessati, inoltre, avevano provato, senza alcun risultato, ad ottenere la cancellazione dei loro dati tramite il form presente nel sito, che non riportava alcun dato che consentisse di individuare il titolare del trattamento, costringendo l’Autorità ad una preliminare attività di indagine volta ad identificarlo tramite l’hosting provider.
 
Nel definire l’importo della sanzione amministrativa, il Garante, pur considerando l’attenuante delle dimensioni economiche del titolare quale piccolo imprenditore, ha dovuto tener conto di alcune circostanze aggravanti, tra cui la rilevanza e la durata della violazione, l’elevato numero di persone i cui dati sono stati pubblicati e la negligenza del titolare del trattamento.
 
Data 15 giugno 2022
Documento: Newsletter Garante
 

GARANTE IN PRIMO PIANO

Iscriviti al servizio Newsletter del Garante
https://www.garanteprivacy.it/home/stampa-comunicazione/newsletter

IL CASO

Dati sanitari e trasparenza della Pa: il Garante sanziona l’Asl Roma 1
Multa di 46 mila € all’Azienda sanitaria locale Roma 1 per aver pubblicato sul proprio sito i nominativi e i dati relativi alla salute dei soggetti che avevano fatto richiesta di accesso civico nel 2017 e 2018.

Il Garante per la protezione dei dati personali ha aperto un’istruttoria nei confronti dell’Azienda sanitaria locale Roma 1 in relazione ad una violazione della normativa in materia di protezione dei dati personali, derivante dalla diffusione di dati personali sul sito relativo web istituzionale. Nello specifico era presente nella sezione “Amministrazione trasparente”, nell’area “Accesso civico / Registro degli accessi” due file riferiti a richieste provvisorie di accesso agli atti, uno con 1.119 istante ed uno con 218 istanze contenenti informazioni in merito alla data e numero di protocollo, all’oggetto, al mittente e al destinatario.
L’Azienda sanitaria locale Roma 1 ha confermato, nelle proprie memorie difensive, l’avvenuta diffusione online dei dati personali descritti, riconducendo la propria condotta a un mero errore materiale dovuto alla circostanza di avere caricato il file provvisorio degli accessi, piuttosto che quello definitivo epurato dei dati personali ivi contenuti.
L’ASL ha dichiarato di avere provveduto a rimediare alla situazione e di avere adottato diverse misure tecniche e organizzative (descritte nelle memorie difensive) per pubblicare correttamente i documenti online, evidenziando – in ogni caso – di non avere ricevuto alcuna segnalazione da parte dei soggetti interessati al riguardo.
Nel determinare la sanzione, il Garante ha comunque tenuto conto di alcuni elementi attenuanti, come, in particolare, il carattere del tutto accidentale della condotta, l’assenza di segnalazioni o lamentele dei soggetti interessati, il tempestivo intervento della Asl per porre rimedio alla violazione, la collaborazione con l’Autorità e le misure tecniche e organizzative messe poi in atto a garanzia dei dati personali.
Data: 26 maggio 2022
Documento: Ordinanza di Ingiunzione
 

DOMANDE E RISPOSTE

Screenshot: quando può essere usato come prova?
Una recente sentenza della Corte di Cassazione ha ribadito l’utilizzabilità dell’immagine dello schermo dello smartphone come prova a carico dell’imputato, se il giudice ritiene che il documento sia attendibile e non sia stato alterato.

Perché non pubblicare foto di bambini su Facebook o su Instagram?
Innanzitutto, la pubblicazione di foto/video, anche se apparentemente innocua, potrebbe rivelarsi potenzialmente dannosa in quanto le immagini dei minori pubblicate on line potrebbero finire nelle mani di malintenzionati. C’è anche la possibilità, tutt’altro che remota, che i criminali informatici possano utilizzare le immagini per realizzare fotomontaggi a sfondo pedoporno (le Procure sono piene di procedimenti penali a carico di ignoti). È anche successo che l’esposizione della vita privata del minore sui social abbia alimentato episodi di cyberbullismo tra i giovani. Esistono regole legali per la pubblicazione di foto di bambini su Internet che i genitori e gli estranei devono rispettare:

• Se il bambino ha meno di 14 anni, il consenso alla pubblicazione della foto deve essere fornito da entrambi i genitori, anche se separati.
• Da 14 anni in poi il ragazzo è legittimato ad esprimere il proprio consenso in merito alla pubblicazione o meno del proprio volto su Internet. Chi non rispetta la sua volontà commette reato.