NON SI POSSONO " SCHEDARE " I PARTECIPANTI A UNA MANIFESTAZIONE SINDACALE

Il Garante per la privacy ha vietato [doc. web n. 2192643] ad una Casa Circondariale il trattamento dei dati personali dei partecipanti a una manifestazione sindacale autorizzata che si è svolta, senza incidenti, all'esterno della struttura carceraria e al di fuori dall'orario di servizio.

Dagli accertamenti avviati dall'Autorità, su segnalazione di un segretario sindacale regionale, è emerso infatti che la Casa Circondariale, temendo la diffusione di informazioni su una circolare oggetto della protesta e quindi una violazione del segreto d'ufficio sanzionabile a livello disciplinare, ha raccolto i nominativi dei partecipanti, dati idonei a rivelarne l'appartenenza sindacale. 

La Casa Circondariale è così incorsa in un trattamento illecito perché, non essendo state riscontrate le violazioni temute, non è mai stato avviato alcun procedimento disciplinare, né nei confronti del segretario del sindacato che ha indetto la manifestazione, né nei confronti dei partecipanti.

Ulteriore profilo di illiceità ravvisato dal Garante consiste nei prolungati ed immotivati tempi di conservazione, eccedenti rispetto alla finalità di un loro impiego nell'ambito di un procedimento disciplinare, peraltro – come ricordato - mai avviato.

A seguito del divieto la Casa circondariale non potrà più trattare i dati dei partecipanti alla manifestazione, salva la loro conservazione esclusivamente per eventuali esigenze di tutela dei diritti in sede giudiziaria. 

La Casa circondariale dovrà, inoltre, informare della loro inutilizzabilità le amministrazioni alle quali li aveva comunicati (Ministero della Giustizia, Prefettura, Tribunale di sorveglianza, Provveditorato regionale). 

L'Autorità si è riservata, infine, con un autonomo procedimento la valutazione dei presupposti per l'eventuale contestazione di una sanzione amministrativa.

IMPRESE E TRASFERIMENTO DEI DATI ALL'ESTERO

Più facile il ricorso a società che operano in outsourcing

I Garanti per la privacy dei Paesi UE riuniti nel Gruppo "Articolo 29" hanno approvato una apposita procedura che consentirà la circolazione di dati personali all'interno di gruppi societari multinazionali che offrono ad altre aziende, con sede nell'Unione europea, servizi di trattamento dati in outsourcing. 

La procedura prevede l'approvazione da parte delle Autorità garanti nazionali delle cosiddette "Norme d'impresa vincolanti" (Binding Corporate Rules, BCR) per "responsabili del trattamento" ("BCR for Processors") e potrà essere utilizzata a partire da quest'anno.

Le BCR sono regole di condotta relative al trattamento dei dati personali all'interno di un gruppo multinazionale che consentono, una volta approvate dalle Autorità nazionali, di trasferire dati personali fra le società del gruppo con sede in UE e quelle situate in Paesi terzi, nel rispetto delle garanzie fissate in base alla direttiva 95/46.

In questo caso la nuova procedura permetterà di approvare BCR messe a punto da un'impresa multinazionale che sia nominata responsabile del trattamento per conto di titolari (clienti) stabiliti in un Paese dell'UE, sulla base di uno specifico contratto di servizi (generalmente indicato come "Service Agreement"). 

Tali imprese potranno adesso, se lo desiderano, fare approvare le proprie "BCR for Processors".

Sulla base delle nuove BCR, dunque, un'azienda ad esempio stabilita in Italia che intenda far trattare in outsourcing dati personali da una multinazionale con sedi o filiali extra-UE potrà essere garantita dal fatto che la multinazionale ha elaborato un sistema di "BCR for Processors" approvato dall'UE.

Il meccanismo di approvazione delle "nuove" BCR non si differenzia da quello esistente da vari anni, i cui requisiti sono illustrati dettagliatamente anche sul sito del Garante (http://www.garanteprivacy.it/home/provvedimenti-normativa/normativa/normativa-comunitaria-e-intenazionale/trasferimento-dei-dati-verso-paesi-terzi#3).

Anche nel caso delle "BCR for Processors" si prevede l'intervento di un'Autorità di protezione dati che fungerà da "capofila" nell'UE per il processo di valutazione e approvazione, cui farà seguito un meccanismo di mutuo riconoscimento (al quale partecipano molte autorità europee di protezione dati, fra cui il Garante);

in alcuni casi (come in Italia) è comunque necessaria anche una specifica richiesta di autorizzazione nazionale.

I documenti elaborati dal Gruppo "Articolo 29" al fine di accedere alla procedura di approvazione (WP195 e relativo "Application Form") sono disponibili sul sito del Gruppo (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/index_en.htm) e saranno presto pubblicati anche sul sito del Garante.

NO A DATI SULLA SALUTE SUL WEB

Il divieto del garante e' scattato per due amministrazioni pubbliche.

Non si possono mettere on line informazioni sullo stato di salute, patologie o handicap di una persona.

Il Garante privacy è intervenuto su due gravi casi di violazione della riservatezza vietando al Comune di Siderno [doc. web n. 2192671] e alla Asl Napoli 2 Nord [doc. web n. 2194472] l'ulteriore diffusione in Internet, in qualsiasi area del loro sito istituzionale, dei dati sulla salute rispettivamente di cittadini disabili e di persone che hanno beneficiato di rimborsi per spese sanitarie.

Alle due amministrazioni, inoltre, è stato prescritto di conformare la pubblicazione on line di atti e documenti alle disposizioni contenute nel Codice privacy e nelle Linee guida del 2 marzo 2011 [doc. web n. 1793203], rispettando, in particolare, il divieto di diffusione di dati sulla salute. 

Nel disporre i divieti il Garante ha dichiarato illecito il trattamento di dati effettuato dal Comune e dalla Asl perché in contrasto con la norma che vieta ai soggetti pubblici di diffondere i dati da cui si possano desumere malattie, patologie e qualsiasi riferimento a invalidità, disabilità o handicap fisici o psichici. 

Dagli accertamenti effettuati dal Garante a seguito di segnalazioni telefoniche è risultato infatti che sul sito del Comune era liberamente consultabile un allegato al Piano comunale di protezione civile contenente l'elenco delle persone non autosufficienti che abitano da sole o con altri inabili. 

Nell'allegato erano riportati in chiaro il nome e cognome, la sigla della disabilità oppure la sua indicazione per esteso (es. non vedente) e in alcuni casi anche la data di nascita e/o l'indirizzo della persona non autosufficiente.

Mentre sul sito della Asl, nella sezione dedicata all'albo pretorio, erano presenti le determinazioni con le liquidazioni degli indennizzi per patologie contratte per cause di servizio, rimborsi per spese sanitarie ( anche a favore di trapiantati o di persone affette da determinate patologie), che riportavano in chiaro il nominativo e/o il codice fiscale degli interessati o dei familiari che avevano beneficiato dei rimborsi.

Con un separato procedimento l'Autorità sta valutando gli estremi per contestare al Comune e alla Asl una eventuale sanzione amministrativa.

TUTELE RAFFORZATE PER LE INFORMAZIONI SULLE ADOZIONI

Le attestazioni di stato civile non devono riportare indicazioni sulla maternità e la paternità del minore adottato.

Qualunque attestazione di stato civile riferita ad una persona adottata deve essere rilasciata con la sola indicazione del nuovo cognome e senza l'annotazione della sentenza di adozione.

Le notizie sullo stato di adozione di una persona possono essere fornite da un ufficiale pubblico solo su espressa autorizzazione dell'autorità giudiziaria.

Lo ha chiarito il Garante intervenendo su un caso [doc. web n. 2187244]sottoposto da un uomo che contestava al Comune di aver rilasciato ai parenti dell'interessato la copia integrale del suo atto di nascita con incluse le informazioni sul provvedimento giudiziario riguardante la sua adozione.

I funzionari comunali ritenevano che la consegna del documento recante le informazioni sull'adozione fosse giustificata dalla necessità degli eventuali eredi di poter difendere i propri diritti in sede giudiziaria.

L'Autorità, interpellata dal Difensore Civico a cui aveva chiesto aiuto l'interessato, ha però spiegato che la normativa vigente prevede una particolare protezione dei dati sulle adozioni: qualunque attestazione di stato civile riferita all'adottato può essere rilasciata solo con l'indicazione del nuovo cognome e con l'esclusione di qualsiasi riferimento alla paternità e alla maternità del minore.

La legge prevede, infatti, che le indicazioni sul rapporto di adozione possano essere fornite solo su espressa autorizzazione dell'autorità giudiziaria.

L'ufficiale di stato civile del Comune avrebbe quindi commesso una illecita comunicazione di dati personali a soggetti diversi dal diretto interessato.

Il Garante ha quindi vietato ai parenti dell'uomo l'ulteriore utilizzo delle informazioni sull'adozione contenute nella copia dell'atto di nascita.

Ha poi prescritto al Comune di fornire al proprio personale di stato civile adeguate istruzioni per evitare che si commettano ulteriori violazioni sui dati relativi alle persone adottate.

Il provvedimento è stato inoltre trasmesso all'autorità giudiziaria che potrà valutare gli eventuali illeciti penali commessi.

ALONSO: «CON TWITTER LA PRIVACY È SALVA»

Cinguettare salva la privacy, soprattutto a chi l'ha vista violare spesso.

Lo rivela Fernando Alonso a 'Wrooom', il meeting sulla neve, dove un anno fa si scagliò contro i media che scrivevano della sua vita privata chiedendo rispetto.

È un social network il suo scudo alla riservatezza.

Alla constatazione che Alonso è il pilota più presente su Twitter, e alla domanda che la sua vita possa essere disturbata, lo spagnolo risponde:

«Al contrario.

Mi piace raccontare ai fan come mi preparo, quali sono le sensazioni prima e dopo la gara, un po' di Formula Uno dal suo interno, anche se tante cose non le puoi far vedere, perché ovviamente sono segrete, come la galleria del vento o il simulatore.

Ma la cosa che mi piace di Twitter - ha proseguito Alonso - è che da quando ci sono non si scrive più niente di me e delle mie vicende private.

Scrivo che sono stato a casa a Natale, poi a sciare, quindi in Russia, poi in Brasile.

E tutto questo l'ho raccontato io.

Gli anni scorsi in questi periodi, senza Twitter si diceva che ero sulla Luna con un elefante, e poi in Kenya con Mr Obama.

Cose straordinarie, comunque è molto peggio che quando racconto io che vado in Russia a cena, non ci sono piu’ fantasie», ha concluso Alonso.

COMING OUT DI JODIE FOSTER, SONO SINGLE

Uno scherzo, una provocazione, un'apertura sincera.

Jodie Foster per una volta ha lasciato da parte la sua tanto gelosamente conservata privacy e ha parlato con ironia della sua omosessualita' dal palco dei Golden Globes, dove ha ricevuto il premio alla carriera.

''Ho improvvisamente sentito il bisogno di dire qualcosa che non avevo mai detto in pubblico'', poi dopo una pausa a effetto: ''Sono single'', deludendo chi pensava che volesse per la prima volta pronunciare la parola lesbica.

FOURSQUARE CHANGES UP ITS PRIVACY POLICY ( THE RIGHT WAY )

Commence Instagram-like revolt in three, two, one…

 

We jest.

 

Popular mobile check-in service Foursquare just sent out an email to its users, informing them that the company will be making changes to its privacy policy effective Jan. 28, 2013.

 

Of the major alterations, Foursquare will now always show users' full names across the service instead of its current mix of full names and "first name, last initial" names that, according to the company, users found confusing.

 

Additionally, Foursquare will now permit businesses to see an expanded list of the users who have checked in to their establishments.

 

The service currently allows businesses to see the previous three hours' worth of check-ins.

 

"This is great for helping store owners identify their customers and give them more personal service or offers. But a lot of businesses only have time to log in at the end of the day to look at it. So, with this change, we're going to be showing them more of those recent check-ins, instead of just three hours worth," according to Foursquare's email.

 

Just in case these changes generate a firestorm of controversy, the company was quick to note the different ways by which users can customize the name-sharing and the business check-in updates.

 

Foursquare said users can select the name they'd like to appear as a "full name" within the service's normal settings window.

 

Users can also elect to opt out of businesses being able to see their check-ins within the "Location Information" section of their "Privacy Settings" section.

 

Foursquare has also generated an easier-to-read version of its privacy policy for those who don't want to (or can't) peruse the more legalese-drenched version.

 

Dubbed "Privacy 101," the document calls out – in plain language – exactly the kind of data that Foursquare uses for its service and what it does with that data once users have submitted it.

 

Or, in other words, what Foursquare does with one's check-ins.

VILANOVA, GRAZIE MA ORA RISPETTO PRIVACY

''Grazie a tutti, per primi ai tifosi, per le grandi manifestazioni di affetto nei miei confronti.

Sento che il club mi protegge, ma ora spero che venga rispettata la mia privacy: ho un ruolo pubblico ma la mia malattia e' un fatto privato.

Tutto questo non e' finito''.

Cosi', al termine della stracittadina di Barcellona, il tecnico 'blaugrana' Tito Vilanova.

''La cosa piu' bella di questa partita - ha aggiunto - e' che ancora una volta abbiamo schierato dieci uomini del nostro vivaio''.

I PALETTI DELLA PRIVACY AL CERVELLONE

L'occhiuto sguardo dell'Erario su conti correnti, patrimoni e transazioni d'ogni genere si sarebbe dovuto accendere lo scorso 31 ottobre.

Una partenza però slittata per lo stop imposto a Befera dal Garante della privacy per il quale sarebbe stato impossibile mettere dati sensibili [...]

COOKIE CONSENT ENFORCEMENT - ICO'S LATEST

The UK Information Commissioner’s Office has quietly published today a report detailing the concerns reported to them, the current picture and the action they are taking as of December 2012 in relation to the cookie consent requirement.

 

The highlights of the report are as follows:

 

*   Consumers are unhappy with implied consent mechanisms, especially where cookies are placed immediately on entry to the site.

 

*   Consumers often complain about the fact that they have not been given enough information generally, and specifically not enough information about how to decline cookies or manage them later.

 

*   The ICO is continuing to write to websites they receive concerns about – This means that nobody is off the hook.

 

*   The ICO has also looked at the types of cookie in use – This means that the regulator has the means to investigate and find out about cookie practices on a per site basis.  If a site operator does not have this information, how is that going to look???

 

*   The provider must ensure that users can see clear and relevant information explaining what is likely to happen while they are accessing the site, and their choices as regards controlling what happens.

 

*   Failure to comply will result in formal action to ensure compliance, and the ICO may decide to name the site in order to make consumers aware of its use of cookies – In other words, the ICO is not going to sit still.  The prospect of facing enforcement action is there.

 

*   If an organisation refuses to take steps to comply, or has been involved in a particularly privacy-intrusive use of cookies without telling individuals or obtaining consent, the ICO will consider using formal regulatory powers in line with our criteria set out in the Data Protection Regulatory Action Policy and Guidance on the issue of monetary penalties – This is the clearest threat of enforcement action to date!

GOOGLE'S LEGAL AND PRIVACY CHIEF HAVE SENTENCES OVERTURNED BY ITALIAN COURT

Three current and former Google executives have been acquitted on appeal by an Italian court, over a depressing case that involved a video of an autistic child being bullied.

 

Back in February 2010, the executives – legal chief David Drummond, privacy counsel Peter Fleischer and George Reyes, who was already Google’s ex-CFO at that point – were given suspended six-month sentences over alleged privacy offences.

 

On Friday, an appeals court quashed the verdict.

 

“We’re very happy that the verdict has been reversed and our colleagues ‘ names have been cleared,” a Google spokesperson said afterwards.

 

“Of course, while we are delighted with the appeal, our thoughts continue to be with the family who have been through the ordeal.”

 

The ordeal in question happened in 2006, when schoolchildren in Turin uploaded to Google Video a video of one of their classmates, an autistic boy, being bullied.

 

The video went up in September of that year, but Google only received a complaint two months later, at which point it took the video down.

 

The person who uploaded the video was sentenced to 10 months’ community service, but the Italian courts also pressed on with cases against four Google executives, who had nothing to do with the video other than being Google executives (the fourth, who escaped conviction, was marketing executive Arvind Desikan).

 

The thrust of the case was that the video stayed up for two months despite other users having complained in the video’s comments thread – not, it should be noted, the same thing as a formal complaint.

 

To the dismay of Drummond, Fleischer and Reyes – as well as anyone who worries about user-generated content platform liability – the court went on to convict them for breaking Italian privacy law, despite the fact that the video was taken down shortly after the complaint was received.

 

The executives were however exonerated on defamation charges.

 

Google said at the time that it would appeal, and this clearly worked, albeit slowly.

 

It is probably worth pointing out that that, at the time of the convictions, Google was engaged in a low-level war with billionaire media baron and Italian prime minister Silvio Berlusconi, who was busy making life hard for the U.S. web company in various ways.

 

Just in the few months before the convictions, Berlusconi’s Mediaset broadcaster had won a copyright infringement suit against YouTube, and his government had made it illegal for websites to show videos without a license.