Spid, call center, sistema statistico nazionale - Attività ispettiva del Garante per la protezione dei dati personali
Con comunicato del 28/02/2017 il Garante per la protezione dei dati personali rende noto che:
Spid, call center, sistema statistico nazionale. Su questi tre delicati settori in particolare si incentrerà l’attività ispettiva del Garante per la protezione dei dati personali nei prossimi mesi. Nelle scorse settimane l’Autorità ha varato il piano ispettivo per il primo semestre 2017 che prevede nuovi ambiti di intervento (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/export/6026593).
L’attività ispettiva verrà svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza sulla base del protocollo di intesa siglato lo scorso anno che ha rafforzato l’attività di collaborazione tra la Guardia di Finanza e il Garante.
Oltre che sui trattamenti di dati effettuati per il rilascio dell’identità digitale ai cittadini italiani, sulle società che operano nel settore del telemarketing (con particolare attenzione a quelle situate in Albania) e sul sistema informativo dell’Istat, le verifiche del Garante si incentreranno anche sui trattamenti di dati effettuati per il rilascio dei visti da parte dei Consolati italiani all’estero.
Le ispezioni riguarderanno, come di prassi, anche le istruttorie avviate su segnalazione, reclamo o ricorso dei cittadini, così come la verifica dell’obbligo di notificazione, il rispetto delle norme sull’informativa e il consenso, l’adozione delle misure di sicurezza a protezione dei dati sensibili trattati da soggetti pubblici e privati.
Intanto il bilancio 2016 segna, rispetto all’anno precedente, un incremento di circa il 38% dei procedimenti sanzionatori avviati che sono saliti a 2.339, diversi dei quali relativi a violazioni di dati personali subite (data breach). Le sanzioni già riscosse dall’erario sono state pari a 3 milioni e 300 mila euro. 53 sono state le segnalazioni all’autorità giudiziaria, la maggior parte delle quali relative a casi di mancata adozione delle misure minime di sicurezza.
Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy, hanno riguardato numerosi e delicati settori, sia nell’ambito pubblico che privato. Per quanto riguarda il settore privato le ispezioni si sono rivolte principalmente ai trattamenti di dati effettuati da società che operano nel settore del car sharing; a quelle che si occupano di web marketing e marketing telefonico; alle società che si occupano di ricerca genetica; alle agenzie di lavoro interinale; alle società di assistenza tecnica e recupero dati per pc e telefonia mobile; ai giochi on line; alle finanziarie. Per quanto riguarda il settore pubblico l’attività di verifica si è concentrata particolarmente sui Caf e le grandi banche dati pubbliche, sul sistema della fiscalità, con speciale riguardo alle misure di sicurezza e al sistema degli audit.
Il quadro dell’attività ispettiva del Garante nel 2016 mostra una ancora insufficiente informazione agli utenti sull’uso dei dati personali, sia da parte delle Pa che delle aziende (200 violazioni riscontrate); una mancata adozione delle misure di sicurezza; tempi eccessivi di conservazione dei dati di traffico telefonico e telematico. Diversi anche i procedimenti sanzionatori per omessa notificazione al Garante con riferimento a trattamenti di particolare delicatezza e le sanzioni per non aver risposto alle richieste di informazione e documentazione del Garante.
Passaporto elettronico
Il Garante privacy approva alcune modifiche nella procedura di emissione del passaporto elettronico per i residenti all’estero
Il Garante privacy ha espresso il proprio parere favorevole su alcune modifiche nella procedura di emissione del passaporto elettronico per i residenti all’estero.
Le integrazioni proposte intendono semplificare e rendere più sicuri i processi di acquisizione e trasmissione dei dati da parte dei consoli onorari abilitati.
Il parere dell’Autorità è stato reso al Ministero degli affari esteri (MAE) su un testo che aggiorna il provvedimento che fissa le regole tecniche del processo di emissione del passaporto elettronico, sul quale il Garante si era già espresso nel 2012.
L’attuale procedura, per minimizzare i disagi dei residenti in località lontane o poco collegate con la sede consolare di prima categoria, consente l’acquisizione dei dati, inclusi quelli biometrici – immagine del volto ed impronte digitali- utilizzando postazioni mobili in dotazione ai consoli onorari dislocati sul territorio e ai funzionari consolari itineranti. I dati così acquisiti vengono poi scaricati presso la sede consolare competente per l’emissione del documento.
La novità, proposta dal MAE e approvata dal Garante con precise indicazioni e suggerimenti a tutela dei dati personali trattati, prevede invece che i consoli onorari, ma non i funzionari itineranti, che continueranno a seguire la procedura in vigore, trasferiscano direttamente e in via telematica la documentazione acquisita al MAE anziché alla sede consolare competente, che a sua volta riceverà le informazioni necessarie al rilascio del passaporto dal Ministero.
Questo consentirà di evitare il trasporto fisico delle postazioni mobili con minori costi e di ampliare il numero dei Consoli onorari disponibili per la raccolta dei dati sul territorio.
I dati saranno cancellati dalla postazione mobile all’atto della trasmissione al Ministero, che avverrà in modalità sicura attraverso misure rafforzate, tra cui, una procedura di autenticazione forte e l’adozione di tecniche di cifratura dei dati personali sui dispositivi mobili.