IL GOVERNO, CON I SERVIZI DI SICUREZZA, CONOSCERÀ I TUOI MOVIMENTI

L’ultimo regalo del Governo Monti che se ne va in “gloria” (si fa per dire).

Ma prima regala ai cittadini italiani un’ultima chicca.

La possibilità che i servizi di sicurezza italiani possano conoscere tutti i dati e le informazioni dei cittadini italiani connessi ad internet (e non solo).

Voi direte, non è possibile!

E invece sì.

È stato pubblicato infatti sulla “Gazzetta Ufficiale” del 19 marzo 2013 n. 66, il decreto del presidente del Consiglio dei ministri 24 gennaio 2013 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”. 

Il decreto, controfirmato da mezzo Governo, tra cui anche il ministro della Giustizia, definisce “l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali, indicando a tal fine i compiti affidati a ciascuna componente ed i meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi”.

E sin qui potrebbe anche andare bene, l’intento generale appare lodevole, proteggere i nostri sistemi informatici nazionali da aggressioni elettroniche.

Qualcosa però per il cittadino italiano non torna.

La norma prevede, tra le altre cose anche un principio assolutamente inedito per il nostro ordinamento.

L’art. 11 del decreto infatti obbliga gli operatori di telecomunicazioni e gli internet service provider, ma non solo, anche ad esempio a chi gestisce gli aeroporti, le dighe, i servizi energetici, i trasporti, a dare accesso ai servizi di sicurezza alle proprie banche dati, per finalità non meglio specificate “di sicurezza”.

In pratica gli operatori privati, ma anche le concessionarie pubbliche, dovranno spalancare le porte ai servizi di sicurezza sulle proprie banche dati, contenenti i nominativi dei cittadini italiani,e, si presume anche alle azioni compiute da questi ultimi, al di fuori di un intervento della Magistratura.

Tutti i cittadini saranno cosi a rischio schedatura, senza che su tale schedatura ci sia un sostanziale controllo da parte di alcuno.

Quello che appare precluso alla Magistratura, che deve adottare precise norme procedurali per avere determinate informazioni, viene concesso ai servizi di sicurezza.

Cosi, “all’impronta”.

E chi potrà valutare cosa debbano sapere i servizi su di noi o perché le ricerche siano state fatte?

Nessuno.

E la privacy?

“L’è morta” si potrebbe dire parafrasando la famosa canzone della resistenza (o militare, secondo alcuni).

Il cittadino comune infatti non troverà alcun riferimento nella norma al Garante privacy o, al codice della privacy, a qualcosa insomma in grado di fornire al cittadino un riparo da queste occhiate che potrebbero essere indiscrete.

Non resta che ringraziare il Governo uscente (se uscirà), di questo ulteriore potenziale vulnus alla libertà ed alla riservatezza dei cittadini italiani.

VIDEOSORVEGLIANZA "PIU' LUNGA" PER LA CARTIERA DEGLI EURO

 

Estesi a dodici mesi i tempi di conservazione delle immagini.

La società italiana accreditata alla fabbricazione di carta moneta per banconote euro , potrà conservare fino ad un anno le immagini riprese dal proprio sistema di videosorveglianza.

Lo ha stabilito il Garante [doc. web n. 2340448] per la protezione dei dati personali al quale la cartiera aveva presentato una verifica preliminare per avere l'autorizzazione all'allungamento dei tempi di conservazione delle immagini registrate dagli impianti di videosorveglianza installati presso due sedi della società.

La richiesta di verifica preliminare nasce dall'esigenza della società di rispettare le regole stabilite dalla Bce. 

La Banca Centrale , infatti , in forza del suo potere normativo vincolante , concede l'"accreditamento di sicurezza" ai fabbricanti di carta moneta solo a fronte del rispetto di alcune norme minime di sicurezza , che impongono , in particolare , ai produttori di banconote euro accreditati di conservare per almeno dodici mesi le immagini registrate dai sistemi di videosorveglianza installati presso i siti produttivi.

Il Garante , dopo aver valutato la peculiarità dell'attività produttiva svolta e le specifiche regole europee di settore , sulla base di quanto previsto dal Codice privacy , ha ritenuto i sistemi di videosorveglianza in questione conformi ai principi di pertinenza e non eccedenza e ha ammesso la conservazione delle immagini registrate per un periodo massimo di dodici mesi.

PA : ATTENZIONE AI FAX INVIATI AI CITTADINI SULL'UTENZA AZIENDALE

 

Le pubbliche amministrazioni devono fare attenzione a non inviare comunicazioni ai cittadini usando il fax dell'azienda in cui questi lavorano. 

 

In mancanza di una norma di legge o di regolamento o di specifiche indicazioni dell'interessato, la comunicazione è illecita. 

Lo ha ricordato [doc. web n. 2339462] il Garante per la protezione dei dati personali che ha imposto ad un Comune veneto di adottare opportune cautele per prevenire in futuro la conoscibilità ingiustificata dei dati personali dei cittadini da parte di soggetti diversi dai destinatari.

Il Garante è intervenuto a seguito della segnalazione di una donna che si era vista inviare al recapito della società presso cui lavorava un fax contenente dati personali riguardanti un contenzioso in corso con la sua amministrazione comunale. 

Interpellato dal Garante, il sindaco si era giustificato affermando che il numero di fax utilizzato era stato precedentemente usato più volte sia dalla donna sia dal marito per comunicazioni dirette al Comune, facendo supporre che l'utenza fosse nella piena disponibilità dell'interessata e a suo uso esclusivo. 

La donna, invece, non aveva disposto che le comunicazioni le venissero inviate a quel numero di fax, ma aveva indicato quale recapito unicamente il proprio domicilio.

 

Nel decidere sul caso, l'Autorità ha innanzitutto osservato che, sulla base di quanto stabilito dal Codice privacy, l'invio di una comunicazione, specie se tramite fax, da parte di un soggetto pubblico ad un soggetto privato diverso dal destinatario è ammesso solo se previsto da un norma di legge o di regolamento o se esplicitamente disposto dall'interessato. 

 

Dal momento che tali presupposti sono risultati assenti, il trattamento di dati effettuato dal Comune è da considerarsi illecito.

 

Il Garante ha dunque prescritto al Comune di adottare per il futuro opportune cautele al fine di prevenire la conoscibilità ingiustificata dei dati personali da parte dei soggetti diversi dai destinatari, specie in caso di invio tramite fax, riservandosi di valutare eventuali profili sanzionatori.

PRESTAZIONI SOCIALI AGEVOLATE : OK AI CONTROLLI , MA LA PRIVACY TUTELATA

 

Parere favorevole del Garante sulla costituzione della nuova banca dati.

Parere favorevole [doc. web n. 2300596] del Garante della privacy sullo schema di decreto interministeriale che consente all'Inps di costituire una nuova banca dati per verificare la correttezza delle dichiarazioni dei beneficiari di prestazioni sociali agevolate , garantendo però adeguate tutele alla privacy delle persone coinvolte. 

Lo schema , predisposto dal Ministero del lavoro e delle politiche sociali , consente di rafforzare il sistema dei controlli dell'Isee (indicatore della situazione economica equivalente) , mettendo in comune i dati sui benefici sociali concessi dalle amministrazioni locali e da tutti gli altri enti erogatori.

La nuova banca dati delle prestazioni sociali agevolate conterrà informazioni sia sui beneficiari delle agevolazioni , sia sui relativi enti erogatori , e permetterà all'Inps stessa ,  all'Agenzia delle entrate e alla Guardia di finanza di effettuare dei controlli su eventuali discordanze , ad esempio , tra il reddito dichiarato ai fini fiscali e quello presentato per accedere a prestazioni agevolate.

Potranno usufruire della banca dati anche altri enti pubblici , come Regioni e Comuni , ma solo per attività di programmazione , monitoraggio e valutazione in materia di politiche sociali: in questo caso , potranno essere utilizzati unicamente dati anonimi o in forma aggregata.

Il Ministero ha recepito all'interno del decreto tutte le precauzioni suggerite dal Garante a protezione dei dati personali , ad esempio precisando la tipologie di informazioni che costituiscono la banca dati e chiarendo quali debbano essere i soggetti legittimati all'accesso, nonché le relative finalità  , così da evitare eventuali trattamenti ingiustificati di dati personali.

L'Autorità nell'approvare lo schema di decreto si è però riservata di valutare anche i decreti direttoriali che l'Inps dovrà emanare per definire , ad esempio , le modalità tecniche di acquisizione e di trasmissione dei dati , nonché le misure di sicurezza adottate a protezione delle informazioni.

Il Garante valuterà anche la conformità alla normativa in materia di protezione dei dati personali di altri atti e provvedimenti che dovranno aggiornare l'elenco delle prestazioni sottoposte a monitoraggio e definire le modalità di creazione delle liste di beneficiari che l'Inps invierà alla Guardia di Finanza per i controlli di competenza.

ARCHIVI GIORNALISTICI ON LINE SEMPRE AGGIORNATI

 

Dati personali esatti e aggiornati anche negli archivi giornalistici on line. 

E' quanto ha stabilito il Garante privacy che, accogliendo i ricorsi [doc. web n.2286820 e 2286432] di due cittadini , ha ordinato a un gruppo editoriale di aggiornare alcuni articoli presenti nell'archivio storico on line di un suo quotidiano. 

L'editore dovrà individuare modalità che segnalino al lettore l'esistenza di rilevanti sviluppi delle vicende che riguardano i due interessati (ad esempio, con un link , un banner o una nota all'articolo). 

L'adozione di questo accorgimento è in grado , infatti , di garantire alle persone il rispetto della propria identità , così come si è evoluta nel tempo , consentendo al lettore di avere un'informazione attendibile e completa.

I ricorrenti si erano rivolti all'Autorità , insoddisfatti del riscontro ottenuto dall'editore , per chiedere la rimozione dall'archivio storico on line di alcuni articoli riguardanti gravi vicende giudiziarie in cui erano rimasti coinvolti o , quanto meno , l'integrazione o l'aggiornamento delle notizie con gli esiti delle successive sentenze , a seconda dei casi di proscioglimento , assoluzione o intervenuta prescrizione. 

Nel riconoscere la liceità della conservazione degli articoli di cronaca nell'archivio storico on line del quotidiano , l'Autorità , come in molti altri casi esaminati in passato , ha detto no alla rimozione degli articoli (operazione che avrebbe alterato l'integrità dell'archivio) , ma ha ritenuto che i ricorrenti avessero diritto ad ottenere l'aggiornamento o l'integrazione dei dati personali.

Nei due casi esaminati dal Garante , infatti , sviluppi successivi della vicenda avevano profondamente modificato i contenuti dei primi articoli di cronaca.

La decisione del Garante si pone in linea con una recente sentenza della Cassazione , la quale , nell'affrontare un caso analogo , ha statuito che per salvaguardare l'attuale identità sociale di una persona occorra garantire la contestualizzazione e l'aggiornamento della notizia di cronaca , attraverso il collegamento ad altre informazioni successivamente pubblicate.

Per quanto riguarda , infine , la richiesta dei ricorrenti di rendere gli articoli inaccessibili dai comuni motori di ricerca , il Garante ha dichiarato non luogo a provvedere perché , seppur dopo la presentazione del ricorso , l'editore aveva adottato gli accorgimenti tecnologici per "deindicizzare" gli articoli. 

Uno dei due provvedimenti adottati dal Garante è stato impugnato dall'editore di fronte all'autorità giudiziaria.

LINDSEY VONN ANNUNCIA: «STO CON TIGER WOODS»

La sciatrice americana conferma il gossip che la voleva legata al campione di golf:

«Stiamo insieme ma ora rispettate la nostra privacy».

Dopo le indiscrezioni, le voci e le paparazzate Lindsey Vonn esce allo scoperto e conferma: "Sì, sto uscendo con Tiger Woods".

La sciatrice americana, regina delle nevi fermata da un brutto infortunio, e il campione di golf, reduce da un divorzio costosissimo dopo le sue numerose scappatelle.

Una coppia unita dallo sport e da un'amicizia che, spiega la Vonn "si è trasformata in qualche cosa di più in questi ultimi mesi, e mi ha reso felice".

"Non ritengo di aggiunere altro su questo argomento - ha concluso -, perché voglio che resti tra noi, la mia famiglia e gli amici più intimi.

Grazie per la vostra comprensione e il vostro supporto".

WEB: SITI COMUNI NEL MIRINO DEL GARANTE PRIVACY

Siti web dei comuni nel mirino del garante della privacy.

Oscurato il contenuto di alcune ordinanze di trattamento sanitario obbligatorio per violazione del divieto di diffusione di dati relativi alla salute delle persone.

E sono in arrivo sanzioni amministrative.

Il garante, scrive Italia Oggi, ha applicato il principio del codice della privacy per cui che le pubbliche amministrazioni (ma anche i privati) non possono diffondere dati sanitari (articolo 22, comma 8, del D. Lgs 196/2003).

Cosi' per dieci comuni e' scattato l'oscuramento dai siti web dei dati personali contenuti in alcune ordinanze con le quali i sindaci disponevano il trattamento sanitario obbligatorio per determinati cittadini.

SI ALLA TELEVIGILANZA , MA SENZA VIOLARE I DIRITTI DEI LAVORATORI

 

Bloccato impianto video di un' importante catena commerciale

Il servizio di televigilanza, con scopo di anti-taccheggio e anti-rapina, non deve consentire forme di controllo a distanza dei lavoratori. 

Gli esercenti devono segnalare adeguatamente la presenza di telecamere e affidare la gestione del servizio a guardie giurate.

Queste le indicazioni del Garante [doc. web n. 2291893] che, in seguito all'attività ispettiva condotta dalla Questura di Genova, ha bloccato il trattamento dei dati effettuato tramite il sistema di videosorveglianza installato in un esercizio di un'importante catena commerciale.

Dalle verifiche effettuate è emerso che la società aveva violato in più punti l'accordo che era stato sottoscritto con i sindacati per l'installazione delle telecamere sul luogo di lavoro. 

Una videocamera, ad esempio, invece che essere utilizzata per finalità di sicurezza, inquadrava il sistema di rilevazione degli accessi dei dipendenti, consentendo quindi – in contrasto con quanto sottoscritto dall'azienda e con lo stesso Statuto dei lavoratori - il controllo a distanza dei lavoratori. 

Le immagini registrate risultavano poi accessibili con modalità diverse da quelle concordate. 

Non erano in regola neppure i cartelli con l'informativa semplificata utilizzati per segnalare la presenza dell'impianto di videosorveglianza: non solo non contenevano tutte le informazioni necessarie, ma erano in numero esiguo e, a volte, collocati in posizione non chiaramente visibile (ad es. alle spalle di un espositore). 

Dai riscontri della Questura è emerso, inoltre, che l'impianto di videosorveglianza era stato affidato in gestione a un consorzio di ditte esterne che utilizzava per il servizio personale non qualificato. 

Chi effettuava il controllo delle immagini era, infatti, privo della licenza prefettizia di "guardia particolare giurata", necessaria per poter svolgere funzioni anti-rapina e anti-taccheggio, e non era stato designato incaricato del trattamento dei dati personali.

Il Garante della privacy ha imposto all'esercente di provvedere a sanare tutte le violazioni riscontrate e ha bloccato il trattamento dei dati effettuato attraverso il sistema di videosorveglianza. 

Ha anche trasmesso copia degli atti e del provvedimento all'autorità giudiziaria al fine di valutare gli eventuali illeciti penali commessi.

AI SINDACATI NIENTE DATI NOMINATIVI SUL LAVORO STRAORDINARIO

 

Le pubbliche amministrazioni, in assenza di disposizioni normative o di specifiche clausole contenute in contratti collettivi , non possono comunicare le ore di straordinario svolte da un dipendente indicando anche il nome e il cognome dello stesso. 

Le comunicazioni vanno fatte in forma anonima o aggregata. 

Lo ha stabilito [doc. web n. 2288474]  il Garante privacy che ha imposto al Dipartimento dell'amministrazione penitenziaria del Ministero della giustizia di interrompere la trasmissione alle organizzazioni sindacali dei dati relativi alle ore di straordinario effettuate da un commissario di polizia penitenziaria. 

L'interessato , non iscritto ad alcun sindacato , aveva lamentato la comunicazione in forma nominativa , alle organizzazioni sindacali del comparto sicurezza, del prospetto concernente le prestazioni di lavoro straordinario da lui effettuate e le relative competenze. 

Ritenendo violate le norme sulla privacy , aveva chiesto che il Dipartimento cessasse tale trattamento illecito dei dati.

Non avendo ottenuto riscontro , si era è rivolto dunque all'Autorità chiedendo che i suoi dati personali non venissero né trasmessi alle OO.SS. , né affissi e quindi diffusi in locali comuni.

L'istruttoria condotta dal Garante ha messo in luce come nel caso in questione non esistono né disposizioni normative né disposizioni contenute in accordi sindacali di settore che legittimino la trasmissione in forma nominativa di informazioni relative alle ore di straordinario svolto dai dipendenti dell'Amministrazione penitenziaria: 

l'Accordo Nazionale quadro per il personale del Corpo di polizia penitenziaria , risalente al 2004 , prevede infatti solo la comunicazione in forma anonima dei prospetti delle prestazioni di lavoro straordinario.

Nella sua decisione l'Autorità ha richiamato inoltre quanto previsto dalle Linee guida del Garante del 14 giugno 2007 (doc. web n. 1417809), sul trattamento dei dati personali nel rapporto di lavoro pubblico , le quali stabiliscono che l'amministrazione pubblica può fornire alle organizzazioni sindacali dati numerici e aggregati e non anche quelli riferibili ad uno o più lavoratori individuabili".

Nell'accogliere dunque il ricorso dell'interessato e ritendendo pertanto illecito il trattamento effettuato dall'amministrazione penitenziaria , l'Autorità ha disposto il blocco dell'ulteriore comunicazione dei dati del dipendente addebitando le spese del ricorso al Ministero.

MEDICINA A DISTANZA : DEFIBRILLATORI A PROVA DI PRIVACY

 

Tecnologia Rfid impiantata in pazienti cardiopatici

Sì all'uso di defibrillatori a distanza per pazienti cardiopatici, ma nel rispetto della privacy degli interessati. 

Lo ha stabilito il Garante con un provvedimento di rilevanza generale [doc. web n. 2276103] con il quale ha prescritto precise e rigorose misure a protezione dei dati dei pazienti a un'Azienda ospedaliera lombarda e a una società francese produttrice di apparecchiature medicali che avevano chiesto all'Autorità di potersi avvalere di un sistema a radiofrequenza (Rfid) per il monitoraggio remoto dei pazienti mediante defibrillatori cardiaci impiantati sotto pelle. 

L'uso di sistemi a radiofrequenza destinati all'impianto sottocutaneo attraverso "etichette intelligenti" solleva, infatti, questioni estremamente delicate e presenta rischi potenziali, sia per la sicurezza dei dati personali trattati, particolarmente delicati, sia sotto il profilo della salute.

Il sistema che intende adottare l'Azienda ospedaliera prevede l'inserimento nel microchip, inserito nel defibrillatore impiantato sotto la cute del paziente, di dati clinici. 

Tali informazioni sono trasmesse in modalità wireless ad un monitor installato in casa del paziente e dal monitor al server situato presso l'azienda ospedaliera mediante linea telefonica. 

Scopo del sistema è quello di consentire ai medici di monitorare costantemente via web il paziente, evitando la tradizionale visita ospedaliera, rilevare eventuali anomalie cardiache e nel caso effettuare con tempestività la defibrillazione.

L'Autorità ha ribadito che per fornire il servizio è necessario il consenso informato dei pazienti. 

Ma ha soprattutto stabilito che il paziente dovrà poter ottenere in modo agevole la disattivazione sia del sistema remoto sia del funzionamento dell'etichetta Rfid contenuta nel dispositivo impiantato.

Una delle criticità rilevate dal Garante riguarda il fatto che la società produttrice del sistema, designata dall'ospedale quale responsabile del trattamento, si avvale di operatori esterni in subappalto, a cui sono delegate alcune attività di manutenzione e sicurezza del sistema. 

Considerata la delicatezza dei dati ai quali gli operatori esterni possono avere accesso, il Garante ha disposto che la società possa avvalersi di terzi soltanto previo accordo con l'ospedale. 

I soggetti terzi che accedono ai dati devono essere sottoposti ai medesimi obblighi a cui è tenuta la società fornitrice come responsabile del trattamento.

Qualora i dati clinici memorizzati nel sistema vengano messi a disposizione anche di altri operatori sanitari che abbiano in cura il paziente, questi ultimi, quali titolari autonomi del trattamento, sono obbligati a raccogliere preventivamente il libero e specifico consenso del paziente.

Il Garante ha prescritto che tutte le operazioni di trattamento dei dati effettuate dall'Azienda ospedaliera, dal fornitore del servizio o dagli operatori esterni coinvolti debbano essere registrate.

Le informazioni sugli accessi devono essere fornite al paziente su sua richiesta.

L'Autorità ha inoltre prescritto rigorose misure di sicurezza a protezione dei dati sanitari: in particolare, credenziali di autenticazione del sistema remoto e strumenti di gestione delle utenze che prevedano la possibilità di effettuare controlli degli accessi con l'attivazione di sistemi di alert.

SULL' AUTOBUS UNA TELECAMERA CHE REGISTRA GLI INCIDENTI

 

Sì del Garante alla registrazioni delle immagini, ma senza audio

Sì alle telecamere sugli autobus per registrare gli incidenti, ma no alle registrazioni audio. 

Il Garante per la privacy ha autorizzato [doc. web n. 2257616] la società concessionaria del servizio di trasporto pubblico locale di Bergamo e di altri ventisette comuni dell'area urbana ad installare sul parabrezza anteriore dei propri veicoli un dispositivo che in caso di incidenti consente di registrare le immagini della sede stradale e quelle della zona interna del mezzo di trasporto, nei venti secondi precedenti e successivi all'evento.

Con l'impiego di questo sistema di rilevazione - che non riprende il conducente - la società tramviaria intende agevolare la ricostruzione dei sinistri in cui sono coinvolti gli autobus, salvaguardare quindi i beni aziendali e indirettamente accrescere la sicurezza di utenti e dipendenti.

Nel dare il via libera l'Autorità ha chiesto però ulteriori garanzie. 

Il sistema non dovrà registrare le conversazioni a bordo dell'autobus e i passeggeri dovranno essere informati della sua presenza anche attraverso cartelli con disegni stilizzati, ben visibili sui mezzi di trasporto.

La società inoltre, dovrà rendere interamente "trasparenti" i trattamenti di dati personali effettuati portandoli a conoscenza dei dipendenti e in particolare dei conducenti dei veicoli. 

Un'informativa dettagliata rivolta alla collettività dovrà essere pubblicata anche sul sito web, nelle registrazioni, infatti, oltre i passeggeri potrebbero essere ripresi i conducenti di altri veicoli o altre persone presenti sulla sede stradale.

Alla società infine, è stato ordinato di predisporre meccanismi di integrale cancellazione automatica delle informazioni allo scadere del termine (24 mesi) previsto dal codice civile per far valere eventuali pretese di risarcimento danni prodotti dalla circolazione dei veicoli e di adottare adeguate misure di sicurezza per preservare l'integrità dei dati e prevenire accessi abusivi da parte di personale non autorizzato.