Alcuni provvedimenti del Garante
Crema, novembre 2015
IL GARANTE



il controllo della conformità dei trattamenti di dati personali a leggi e
regolamenti e la segnalazione ai titolari o ai responsabili dei trattamenti
delle modifiche da adottare per conseguire tale conformità;
l’esame delle segnalazioni e dei reclami degli interessati, nonché dei
ricorsi presentati ai sensi dell’art. 29 della legge;
[...]
Google Street View: le auto dovranno
essere riconoscibili - 15 ottobre 2010
GOOGLE STREET VIEW
CONSIDERATO che al caso in esame risulta applicabile la disciplina relativa
all'uso delle immagini e che quindi, in linea generale, non è necessario
acquisire il consenso degli interessati quando la ripresa fotografica
avviene in luogo pubblico[????], salve le limitazioni previste dalla legge,
quali, ad esempio, il divieto di diffusione di fotografie quando ciò
comporti pregiudizio all'onore, alla reputazione, al decoro della persona
ripresa (art. 97, comma 2, della l. 22 aprile 1941, n. 633) o il divieto di
diffusione di dati idonei a rivelare lo stato di salute (art. 26, comma 5 del
Codice);
GOOGLE STREET VIEW
RITENUTO che risulta necessario, comunque, che gli interessati siano informati in modo idoneo
ai sensi dell'art. 13 del Codice in relazione all'acquisizione di immagini da parte di Google Inc.,
affinché costoro possano scegliere di sottrarsi alla "cattura" delle immagini, allontanandosi dal
luogo oggetto di ripresa;
RITENUTO, che, al riguardo, risulta opportuna la misura già adottata da Google Inc. di oscurare,
prima della pubblicazione online, gli elementi che possono consentire un'identificazione diretta
(ad esempio, i volti) o indiretta (ad esempio, le targhe dei veicoli) degli interessati;
GOOGLE STREET VIEW
CONSIDERATO, tuttavia, che il rilascio dell'informativa a ciascun interessato oggetto di riprese da
parte di Google Inc. comporterebbe un impiego di mezzi obiettivamente sproporzionati rispetto
al diritto tutelato;
[…articolo?]
GOOGLE STREET VIEW
RILEVATA, altresì, la necessità che Google Inc. fornisca idonea e preventiva informativa anche
tramite la pubblicazione, sulla pagina di cronaca locale di almeno due quotidiani, di un avviso –
per ogni regione visitata - che informi sui luoghi in cui circoleranno le vetture;
RILEVATA la necessità che analogo avviso preventivo sia diffuso anche per il mezzo di almeno
un'emittente radiofonica locale;
RILEVATA, altresì, la necessità che Google Inc. predisponga, sulle vetture con le quali acquisisce
le immagini fotografiche, cartelli o adesivi ben visibili che indichino, in modo inequivocabile, che
si stanno acquisendo immagini fotografiche istantanee oggetto di pubblicazione online mediante
il servizio Street View;
EFFICACIA
Potrebbero essere ripresi soggetti che non vogliono essere ripresi…
L’offuscamento potrebbe non
funzionare…
COME E’ FINITA?
Google paga una multa da 1 milione di euro inflitta dal Garante privacy per il servizio Street
View
Google ha pagato una sanzione di 1 milione di euro applicata dal Garante privacy per il servizio
Street View. I fatti contestati risalgono al 2010 quando le auto del colosso di Mountain View
percorrevano le strade italiane senza essere perfettamente riconoscibili e non consentendo, in
tal modo, alle persone presenti nei luoghi percorsi dalle "Google Cars" di decidere se sottrarsi o
meno alla "cattura" delle immagini. Numerose erano state le segnalazioni all'Autorità da parte di
persone che non desideravano comparire nelle foto pubblicate on line (che, peraltro,
permangono in rete per un tempo considerevole e possono essere ingrandite).
IL FIGLIO STRAVAGANTE


Vostro figlio, un adolecente come tanti va spesso in discoteca ed in giro con
gli amici.
Un giorno, viene da voi, molto preocupato; qualcuno, all'ingresso della
discoteca lo ha ripreso con un cellulare, ed ha messo tutto su internet.


Videofonini: cautele per un uso legittimo - 20 gennaio 2005 - Provvedimenti
a carattere generale.
MMS: le regole anche per gli usi personali - Segnalazioni/Reclami - 12
marzo 2003.
IL FIGLIO STRAVAGANTE



“Come per gli mms, le videochiamate possono avvenire e
circolare tra alcune persone fisiche per fini esclusivamente
personali”.
“In questi casi, se i dati non sono diffusi o comunicati
sistematicamente a terzi, il complesso normativo del Codice
in materia di protezione dei dati non è (ndr integralmente)
applicabile ”.
E' fatto salvo il principio del risarcimento del danno.
IL FIGLIO STRAVAGANTE


“Le immagini e i suoni ripresi per uso
personale potrebbero riguardare terzi ed essere
comunicati sistematicamente, oppure diffusi,
ad esempio attraverso Internet, anche mediante
un proprio sito web personale”.
“Ciò comporta il dovere di informare
preventivamente gli interessati (art. 13 del
Codice), di raccogliere il loro consenso libero,
preventivo e informato”.
IL FIGLIO STRAVAGANTE

“In applicazione anche del principio di necessità di cui all'art. 3 del Codice,
va segnalata a imprese produttrici o impegnate nella realizzazione di sistemi
informativi e programmi informatici l'opportunità di dotare i futuri
apparecchi di telefonia di segnali, in particolare luminosi, che
contribuiscano a rendere meglio evidente a terzi che il videotelefono è in
funzione, come pure funzioni di agevole blocco della trasmissione
dell'immagine senza che si interrompa necessariamente la conversazione”.
IL FIGLIO STRAVAGANTE

Altri profili:
a) l’indebita raccolta, la rivelazione e la diffusione di
immagini attinenti alla vita privata che si svolgono in
abitazioni altrui o in altri luoghi di privata dimora (art. 615bis codice penale);
b) il possibile reato di ingiurie, in caso di particolari
messaggi inviati per offendere l’onore o il decoro del
destinatario (art. 594 codice penale);
c) le pubblicazioni oscene (art. 528 codice penale);
d) la tutela dei minori riguardo al materiale pornografico
(artt. 600-ter codice penale; legge 3 agosto 1998, n. 269).
IL FIGLIO STRAVAGANTE
Art. 10 c.c. - Abuso dell'immagine altrui
“Qualora l'immagine di una persona o dei genitori, del coniuge o dei figli sia
stata esposta o pubblicata fuori dei casi in cui l'esposizione o la pubblicazione
e dalla legge consentita, ovvero con pregiudizio al decoro o alla reputazione
della persona stessa o dei detti congiunti, l'autorità giudiziaria, su richiesta
dell'interessato, può disporre che cessi l'abuso, salvo il risarcimento dei danni”.
IL FIGLIO STRAVAGANTE
Rovinare la ex su Facebook non conviene
Un ragazzo australiano condannato a sei mesi per aver pubblicato le foto della ex nuda…
Fonte: Punto Informatico
http://punto-informatico.it/3503968/PI/News/rovinare-ex-facebook-non-conviene.aspx
IL DIPENDENTE DECONCENTRATO
Il dipendente lavora come centralinista presso la vostra azienda.
I dirigenti lo sorprendono, più volte, a visitare siti a carattere pornografico.
Numerosi computer vengono infettati da virus dopo aver ricevuto file dal computer del
dipendente.
L'amministratore delegato viene da voi, dicendo che vuole licenziarlo.
Ha bisogno di prove: il dipendente, infatti ha negato ogni addebito.
IL DIPENDENTE DECONCENTRATO
Per contestare l'indebito utilizzo di beni aziendali,(...) sarebbe stato in questo caso sufficiente
verificare gli avvenuti accessi a Internet e i tempi di connessione senza indagare sui contenuti
dei siti. Insomma, altri tipi di controlli sarebbero stati proporzionati rispetto alla verifica del
comportamento del dipendente. (…) Va rilevato sotto altro profilo che non risulta che il
ricorrente avesse necessità di accedere ad Internet per svolgere le proprie prestazioni. La
resistente avrebbe potuto quindi dimostrare l'illiceità del suo comportamento in rapporto al
corretto uso degli strumenti affidati sul luogo di lavoro limitandosi a provare in altro modo
l'esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. La società ha invece
operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici
"contenuti" degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando -in
modo peraltro non trasparente- un trattamento di dati eccedente rispetto alle finalità
perseguite”
IL DIPENDENTE DECONCENTRATO
(…)Per ciò che concerne il merito va rilevato che la società, (...) ha esperito dettagliati
accertamenti in assenza di una previa informativa all'interessato relativa al trattamento dei dati
personali, nonché in difformità dall'art. 11 del Codice nella parte in cui prevede che i dati siano
trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non
eccedenza rispetto alle finalità perseguite.”
l'Autorità dispone quindi, ai sensi dell'art. 150, comma 2, del Codice, quale misura a tutela dei
diritti dell'interessato, il divieto per la società resistente di trattare ulteriormente i dati personali
raccolti nei modi contestati con il ricorso
IL DIPENDENTE DECONCENTRATO
Illecito spiare il contenuto della navigazione in internet del dipendente"
Il Garante: "L'uso indebito del computer può essere contestato senza indagare sui siti visitati" (Comunicato stampa - 14 febbraio 2006)
AMMINISTRATORE DI SISTEMA
Misure e accorgimenti prescritti ai titolari dei
trattamenti effettuati con strumenti elettronici
relativamente alle attribuzioni delle funzioni di
amministratore di sistema - 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008) (così
modificato in base al provvedimento del 25 giugno
2009)
ADMIN
Con la definizione di "amministratore di sistema" si individuano
generalmente, in ambito informatico, figure professionali finalizzate
alla gestione e alla manutenzione di un impianto di elaborazione o di
sue componenti. Ai fini del presente provvedimento vengono però
considerate tali anche altre figure equiparabili dal punto di vista dei
rischi relativi alla protezione dei dati, quali gli amministratori di basi
di dati, gli amministratori di reti e di apparati di sicurezza e gli
amministratori di sistemi software complessi.
Gli amministratori di sistema così ampiamente individuati, pur non
essendo preposti ordinariamente a operazioni che implicano una
comprensione del dominio applicativo (significato dei dati, formato
delle rappresentazioni e semantica delle funzioni), nelle loro
consuete attività sono, in molti casi, concretamente "responsabili" di
specifiche fasi lavorative che possono comportare elevate criticità
rispetto alla protezione dei dati.
ADMIN
La rilevanza, la specificità e la particolare criticità del ruolo
dell'amministratore di sistema sono state considerate
anche dal legislatore il quale ha individuato, con diversa
denominazione, particolari funzioni tecniche che, se svolte
da chi commette un determinato reato, integrano ad
esempio una circostanza aggravante. Ci si riferisce, in
particolare, all'abuso della qualità di operatore di sistema
prevista dal codice penale per le fattispecie di accesso
abusivo a sistema informatico o telematico (art. 615 ter) e
di frode informatica (art. 640 ter), nonché per le fattispecie
di danneggiamento di informazioni, dati e programmi
informatici (artt. 635 bis e ter) e di danneggiamento di
sistemi informatici e telematici (artt. 635 quater e
quinques) di recente modifica (???)
ADMIN
Valutazione delle caratteristiche soggettive
L'attribuzione delle funzioni di amministratore di sistema deve
avvenire previa valutazione dell'esperienza, della capacità e
dell'affidabilità del soggetto designato, il quale deve fornire
idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento ivi compreso il profilo relativo alla
sicurezza. Anche quando le funzioni di amministratore di sistema
o assimilate sono attribuite solo nel quadro di una designazione
quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il
titolare e il responsabile devono attenersi comunque a criteri di
valutazione equipollenti a quelli richiesti per la designazione dei
responsabili ai sensi dell'art. 29.
ADMIN
Designazioni individuali
La designazione quale amministratore di sistema deve essere in ogni caso
individuale e recare l'elencazione analitica degli ambiti di operatività
consentiti in base al profilo di autorizzazione assegnato.
ADMIN
Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema,
con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un
documento interno da mantenere aggiornato e disponibile in caso di
accertamenti anche da parte del Garante. Qualora l'attività degli
amministratori di sistema riguardi anche indirettamente servizi o sistemi
che trattano o che permettono il trattamento di informazioni di carattere
personale di lavoratori, i titolari pubblici e privati nella qualità di datori di
lavoro sono tenuti a rendere nota o conoscibile l'identità degli
amministratori di sistema nell'ambito delle proprie organizzazioni (…). Nel
caso di servizi di amministrazione di sistema affidati in outsourcing il
titolare o il responsabile del trattamento devono conservare direttamente
e specificamente, per ogni eventuale evenienza, gli estremi identificativi
delle persone fisiche preposte quali amministratori di sistema.
ADMIN
Verifica delle attività
L'operato degli amministratori di sistema deve essere oggetto, con
cadenza almeno annuale, di un'attività di verifica da parte dei titolari o dei
responsabili del trattamento, in modo da controllare la sua rispondenza
alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei
dati personali previste dalle norme vigenti.
ADMIN
Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione
degli accessi logici (autenticazione informatica) ai sistemi di
elaborazione e agli archivi elettronici da parte degli
amministratori di sistema. Le registrazioni (access log)
devono avere caratteristiche di completezza, inalterabilità e
possibilità di verifica della loro integrità adeguate al
raggiungimento dello scopo di verifica per cui sono
richieste. Le registrazioni devono comprendere i riferimenti
temporali e la descrizione dell'evento che le ha generate e
devono essere conservate per un congruo periodo, non
inferiore a sei mesi.
ADMIN
Devono essere adottati sistemi idonei alla registrazione degli accessi logici
(autenticazione informatica) ai sistemi di elaborazione e agli archivi
elettronici da parte degli amministratori di sistema. Le registrazioni (access
log) devono avere caratteristiche di completezza, inalterabilità e possibilità
di verifica della loro integrità adeguate al raggiungimento dello scopo per
cui sono richieste. Le registrazioni devono comprendere i riferimenti
temporali e la descrizione dell'evento che le ha generate e devono essere
conservate per un congruo periodo, non inferiore a sei mesi;
DA APPROFONDIRE
NUOVO PROVVEDIMENTO SUL MARKETING
APP E MONITORAGGIO DEL DIPENDENTE