GARANTE PROTEZIONE dei DATI PERSONALI – Nota n. 503 del 26 maggio 2023
Enti locali: indagine del Garante Privacy sui Responsabili protezione dati – Videosorveglianza: sanzionata un’azienda di abbigliamento – Antiriciclaggio: no a limitazione diritto accesso dati se informazioni pubbliche – Il Garante Privacy incontra i Responsabili protezione dei dati – Garanti Ue: più cooperazione tra privacy e concorrenza
Enti locali: indagine del Garante Privacy sui Responsabili protezione dati
Riscontrate diverse violazioni nella comunicazione dei dati di contatto
Il Garante privacy ha avviato un’indagine nei confronti di grandi enti locali per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO, nell’accezione inglese).
Questa attività di controllo interessa enti di grandi dimensioni che effettuano trattamenti di dati personali rilevanti per qualità e quantità ed è volta all’adozione di specifici interventi.
Il Garante ha avviato, nei confronti di alcuni di questi enti inadempienti, appositi procedimenti volti all’adozione di provvedimenti correttivi e sanzionatori.
In futuro le stesse verifiche potranno essere estese anche agli enti locali più piccoli e ad altri soggetti pubblici.
Per essere in linea con il Regolamento Ue, il Garante ricorda che quando il trattamento dei dati personali è effettuato da soggetti pubblici (ad es. amministrazioni dello Stato, Regioni, Province, Comuni, università, CCIAA, aziende del Servizio sanitario nazionale etc.), ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni, i titolari e i responsabili del trattamento sono obbligati a designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura online messa a disposizione dall’Autorità al seguente link: https://servizi.gpdp.it/comunicazionerpd/s/
Questa disposizione mira a garantire che l’Autorità possa contattare il RPD in modo facile e diretto, dato che tra i suoi compiti c’è anche quello di fungere da punto di riferimento fra il soggetto pubblico e l’Autorità stessa.
Videosorveglianza: sanzionata un’azienda di abbigliamento
Telecamere violavano Regolamento, Codice privacy e Statuto lavoratori
50 mila euro di sanzione sono state comminate dal Garante privacy a un’azienda di abbigliamento per aver installato sistemi di videosorveglianza in violazione del Regolamento europeo, del Codice privacy e dello Statuto dei lavoratori.
L’indagine del Garante è partita a seguito della segnalazione di un sindacato che lamentava il trattamento illecito di dati personali attraverso sistemi di videosorveglianza in diversi punti vendita della società. Nel corso dell’istruttoria è emerso infatti che la società, presente in Italia con oltre 160 negozi, non aveva rispettato la normativa in materia di controllo a distanza, la quale prevede che l’installazione di impianti audiovisivi non possa avvenire in assenza di un accordo con i rappresentanti dei lavoratori o di una autorizzazione dell’Ispettorato del lavoro, procedure indispensabili anche per bilanciare la sproporzione esistente tra la posizione datoriale e quella di lavoratore.
La società aveva giustificato l’installazione delle apparecchiature con la necessità di difendersi da furti e di garantire la sicurezza dei dipendenti e del patrimonio aziendale, evitando accessi non autorizzati.
Gli accertamenti del Garante privacy hanno evidenziato che tutti i negozi erano dotati di almeno 3 videocamere, attive 24 ore al giorno 7 giorni su 7, nelle aree riservate ai lavoratori e ai fornitori. Nei punti vendita più grandi arrivavano fino a 27. Le immagini venivano conservate 24 ore e poi sovrascritte. In numerosi punti vendita l’installazione dei sistemi di videosorveglianza non aveva però, come detto, rispettato la normativa in materia di controllo a distanza. Non è sufficiente infatti, ha sottolineato il Garante, limitarsi ad informare gli interessati della presenza dell’impianto e del suo funzionamento attraverso informative affisse nelle zone antistanti quelle oggetto di ripresa.
Tenuto conto del numero rilevante di dipendenti coinvolti (oltre 500), il fatto che la violazione ha riguardato diversi punti vendita, e la violazione delle norme in materia di controllo a distanza (assenza di autorizzazione o di accordo con le rappresentanze sindacali e trattamenti effettuati in violazione della autorizzazione rilasciata o dell’accordo), il Garante privacy ha comminato alla società una sanzione di 50 mila euro.
Antiriciclaggio: no a limitazione diritto accesso dati se informazioni pubbliche
Il Garante ammonisce due banche
Il diritto all’accesso ai propri dati personali non può essere limitato se si tratta di informazioni di dominio pubblico, la cui comunicazione non pregiudica le attività di contrasto a reati di riciclaggio.
Il principio è stato affermato dal Garante per la privacy. L’Autorità, al termine dell’attività istruttoria relativa a due reclami [doc. web n. 9888438 e doc. web n. 9888457] presentati nei confronti di istituti di credito da un cliente, che non riusciva ad ottenere un completo riscontro alle richieste di accesso ai propri dati personali, ha dichiarato l’illiceità del trattamento e ammonito gli istituti di credito.
Alle istanze avanzate dall’interessato, infatti, entrambe le banche si erano limitate a fornire i dati anagrafici e bancari, omettendo ulteriori informazioni.
A seguito dell’attività istruttoria del Garante è emerso che gli istituti di credito avevano ritenuto, in base alla normativa antiriciclaggio, di non fornire tutte le informazioni di cui erano in possesso e di cui erano venuti a conoscenza attraverso articoli di stampa. Le notizie riguardavano un’indagine nei confronti del cliente che si era conclusa con una sentenza della Corte di Cassazione.
L’Autorità ha ritenuto che non ricorressero gli estremi per l’applicazione della misura della limitazione al diritto di accesso, dal momento che la conoscenza da parte dell’interessato delle predette informazioni, non avrebbe violato gli interessi tutelati dalla normativa antiriciclaggio.
Le notizie di stampa, infatti, erano liberamente accessibili a chiunque online, così come la sentenza della Cassazione.
Il Garante ha pertanto ammonito entrambe le banche per non aver fornito tempestivo e completo riscontro all’istanza di accesso ai propri dati personali avanzata dal cliente.
Il Garante Privacy incontra i Responsabili protezione dei dati
Giornata di confronto il 23 giugno a Bologna
A cinque anni dall’applicazione del Regolamento UE 679/2016 il Garante per la protezione dei dati personali riprende il dialogo con i Responsabili della protezione dei dati del settore pubblico e privato per fare un bilancio dell’esperienza fin qui maturata e per individuare le aree di intervento volte a rafforzare il ruolo del RPD nel prossimo futuro.
Designazione, requisiti, esperienza, formazione e aggiornamento del RPD; rischi connessi alla posizione del RPD: indipendenza e conflitto di interessi; valore preventivo dell’attività del RPD: tra consulenza al titolare e tutela dell’interessato; contributo del RPD nelle situazioni complesse e rapporto con l’Autorità: sono queste le tematiche al centro del confronto tra Garante e RPD che si svolgerà a Bologna il 23 giugno.
Per partecipare: https://www.lepida.net/registrazioni/rpdalcentro.
Garanti Ue: più cooperazione tra privacy e concorrenza
Rafforzare la cooperazione nell’ambito della protezione dei dati e del diritto alla concorrenza. Sono questi i punti chiave della risoluzione conclusiva della Conferenza di primavera delle Autorità europee di protezione dati, che si è tenuta a Budapest dal 10 al 12 maggio.
Il documento rinnova l’impegno unitario dei Garanti nella tutela dei diritti fondamentali e incoraggia lo scambio di informazioni fra Autorità privacy e della concorrenza, nell’ottica di promuovere la parità sui mercati nel rispetto della normativa sulla protezione dei dati.
L’attenzione delle Autorità, viene evidenziato nella risoluzione, è rivolta alla trasparenza delle informazioni messe a disposizione dai titolari, alla verifica della liceità del trattamento dati e del rispetto dei principi di minimizzazione, esattezza e limitazione delle finalità, ma anche a garantire che gli interessati siano effettivamente messi in grado di esercitare il controllo sui propri dati.
Nel corso della tre giorni ungherese, oltre ad aggiornare regole e procedure operative della Conferenza di primavera, i partecipanti hanno approvato la richiesta di accreditamento dell’Autorità di San Marino, in considerazione dell’allineamento della normativa nazionale ai principi della Convenzione 108 e del suo essere orientata al GDPR.
Si è discusso, inoltre, dell’impatto sociale e individuale delle nuove tecnologie e si è fatto il punto sulla giurisprudenza sempre più frequente e importante della Corte EDU e della Corte di giustizia Ue in materia di protezione dei dati e privacy; un’apposita sezione ha esaminato problematiche legate al ruolo svolto dai DPO, anche alla luce delle buone prassi sviluppate da soggetti pubblici e privati e dalle Autorità di protezione dati.
Nell’ambito della Conferenza di primavera, il Garante privacy ha organizzato un workshop sulla tutela dei minori on line, invocando l’adozione di strumenti per la verifica dell’età e di norme a protezione della loro personalità.