Alcuni provvedimenti del Garante Crema, novembre 2015 IL GARANTE il controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità; l’esame delle segnalazioni e dei reclami degli interessati, nonché dei ricorsi presentati ai sensi dell’art. 29 della legge; [...] Google Street View: le auto dovranno essere riconoscibili - 15 ottobre 2010 GOOGLE STREET VIEW CONSIDERATO che al caso in esame risulta applicabile la disciplina relativa all'uso delle immagini e che quindi, in linea generale, non è necessario acquisire il consenso degli interessati quando la ripresa fotografica avviene in luogo pubblico[????], salve le limitazioni previste dalla legge, quali, ad esempio, il divieto di diffusione di fotografie quando ciò comporti pregiudizio all'onore, alla reputazione, al decoro della persona ripresa (art. 97, comma 2, della l. 22 aprile 1941, n. 633) o il divieto di diffusione di dati idonei a rivelare lo stato di salute (art. 26, comma 5 del Codice); GOOGLE STREET VIEW RITENUTO che risulta necessario, comunque, che gli interessati siano informati in modo idoneo ai sensi dell'art. 13 del Codice in relazione all'acquisizione di immagini da parte di Google Inc., affinché costoro possano scegliere di sottrarsi alla "cattura" delle immagini, allontanandosi dal luogo oggetto di ripresa; RITENUTO, che, al riguardo, risulta opportuna la misura già adottata da Google Inc. di oscurare, prima della pubblicazione online, gli elementi che possono consentire un'identificazione diretta (ad esempio, i volti) o indiretta (ad esempio, le targhe dei veicoli) degli interessati; GOOGLE STREET VIEW CONSIDERATO, tuttavia, che il rilascio dell'informativa a ciascun interessato oggetto di riprese da parte di Google Inc. comporterebbe un impiego di mezzi obiettivamente sproporzionati rispetto al diritto tutelato; […articolo?] GOOGLE STREET VIEW RILEVATA, altresì, la necessità che Google Inc. fornisca idonea e preventiva informativa anche tramite la pubblicazione, sulla pagina di cronaca locale di almeno due quotidiani, di un avviso – per ogni regione visitata - che informi sui luoghi in cui circoleranno le vetture; RILEVATA la necessità che analogo avviso preventivo sia diffuso anche per il mezzo di almeno un'emittente radiofonica locale; RILEVATA, altresì, la necessità che Google Inc. predisponga, sulle vetture con le quali acquisisce le immagini fotografiche, cartelli o adesivi ben visibili che indichino, in modo inequivocabile, che si stanno acquisendo immagini fotografiche istantanee oggetto di pubblicazione online mediante il servizio Street View; EFFICACIA Potrebbero essere ripresi soggetti che non vogliono essere ripresi… L’offuscamento potrebbe non funzionare… COME E’ FINITA? Google paga una multa da 1 milione di euro inflitta dal Garante privacy per il servizio Street View Google ha pagato una sanzione di 1 milione di euro applicata dal Garante privacy per il servizio Street View. I fatti contestati risalgono al 2010 quando le auto del colosso di Mountain View percorrevano le strade italiane senza essere perfettamente riconoscibili e non consentendo, in tal modo, alle persone presenti nei luoghi percorsi dalle "Google Cars" di decidere se sottrarsi o meno alla "cattura" delle immagini. Numerose erano state le segnalazioni all'Autorità da parte di persone che non desideravano comparire nelle foto pubblicate on line (che, peraltro, permangono in rete per un tempo considerevole e possono essere ingrandite). IL FIGLIO STRAVAGANTE Vostro figlio, un adolecente come tanti va spesso in discoteca ed in giro con gli amici. Un giorno, viene da voi, molto preocupato; qualcuno, all'ingresso della discoteca lo ha ripreso con un cellulare, ed ha messo tutto su internet. Videofonini: cautele per un uso legittimo - 20 gennaio 2005 - Provvedimenti a carattere generale. MMS: le regole anche per gli usi personali - Segnalazioni/Reclami - 12 marzo 2003. IL FIGLIO STRAVAGANTE “Come per gli mms, le videochiamate possono avvenire e circolare tra alcune persone fisiche per fini esclusivamente personali”. “In questi casi, se i dati non sono diffusi o comunicati sistematicamente a terzi, il complesso normativo del Codice in materia di protezione dei dati non è (ndr integralmente) applicabile ”. E' fatto salvo il principio del risarcimento del danno. IL FIGLIO STRAVAGANTE “Le immagini e i suoni ripresi per uso personale potrebbero riguardare terzi ed essere comunicati sistematicamente, oppure diffusi, ad esempio attraverso Internet, anche mediante un proprio sito web personale”. “Ciò comporta il dovere di informare preventivamente gli interessati (art. 13 del Codice), di raccogliere il loro consenso libero, preventivo e informato”. IL FIGLIO STRAVAGANTE “In applicazione anche del principio di necessità di cui all'art. 3 del Codice, va segnalata a imprese produttrici o impegnate nella realizzazione di sistemi informativi e programmi informatici l'opportunità di dotare i futuri apparecchi di telefonia di segnali, in particolare luminosi, che contribuiscano a rendere meglio evidente a terzi che il videotelefono è in funzione, come pure funzioni di agevole blocco della trasmissione dell'immagine senza che si interrompa necessariamente la conversazione”. IL FIGLIO STRAVAGANTE Altri profili: a) l’indebita raccolta, la rivelazione e la diffusione di immagini attinenti alla vita privata che si svolgono in abitazioni altrui o in altri luoghi di privata dimora (art. 615bis codice penale); b) il possibile reato di ingiurie, in caso di particolari messaggi inviati per offendere l’onore o il decoro del destinatario (art. 594 codice penale); c) le pubblicazioni oscene (art. 528 codice penale); d) la tutela dei minori riguardo al materiale pornografico (artt. 600-ter codice penale; legge 3 agosto 1998, n. 269). IL FIGLIO STRAVAGANTE Art. 10 c.c. - Abuso dell'immagine altrui “Qualora l'immagine di una persona o dei genitori, del coniuge o dei figli sia stata esposta o pubblicata fuori dei casi in cui l'esposizione o la pubblicazione e dalla legge consentita, ovvero con pregiudizio al decoro o alla reputazione della persona stessa o dei detti congiunti, l'autorità giudiziaria, su richiesta dell'interessato, può disporre che cessi l'abuso, salvo il risarcimento dei danni”. IL FIGLIO STRAVAGANTE Rovinare la ex su Facebook non conviene Un ragazzo australiano condannato a sei mesi per aver pubblicato le foto della ex nuda… Fonte: Punto Informatico http://punto-informatico.it/3503968/PI/News/rovinare-ex-facebook-non-conviene.aspx IL DIPENDENTE DECONCENTRATO Il dipendente lavora come centralinista presso la vostra azienda. I dirigenti lo sorprendono, più volte, a visitare siti a carattere pornografico. Numerosi computer vengono infettati da virus dopo aver ricevuto file dal computer del dipendente. L'amministratore delegato viene da voi, dicendo che vuole licenziarlo. Ha bisogno di prove: il dipendente, infatti ha negato ogni addebito. IL DIPENDENTE DECONCENTRATO Per contestare l'indebito utilizzo di beni aziendali,(...) sarebbe stato in questo caso sufficiente verificare gli avvenuti accessi a Internet e i tempi di connessione senza indagare sui contenuti dei siti. Insomma, altri tipi di controlli sarebbero stati proporzionati rispetto alla verifica del comportamento del dipendente. (…) Va rilevato sotto altro profilo che non risulta che il ricorrente avesse necessità di accedere ad Internet per svolgere le proprie prestazioni. La resistente avrebbe potuto quindi dimostrare l'illiceità del suo comportamento in rapporto al corretto uso degli strumenti affidati sul luogo di lavoro limitandosi a provare in altro modo l'esistenza di accessi indebiti alla rete e i relativi tempi di collegamento. La società ha invece operato un trattamento diffuso di numerose altre informazioni indicative anche degli specifici "contenuti" degli accessi dei singoli siti web visitati nel corso delle varie navigazioni, operando -in modo peraltro non trasparente- un trattamento di dati eccedente rispetto alle finalità perseguite” IL DIPENDENTE DECONCENTRATO (…)Per ciò che concerne il merito va rilevato che la società, (...) ha esperito dettagliati accertamenti in assenza di una previa informativa all'interessato relativa al trattamento dei dati personali, nonché in difformità dall'art. 11 del Codice nella parte in cui prevede che i dati siano trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite.” l'Autorità dispone quindi, ai sensi dell'art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell'interessato, il divieto per la società resistente di trattare ulteriormente i dati personali raccolti nei modi contestati con il ricorso IL DIPENDENTE DECONCENTRATO Illecito spiare il contenuto della navigazione in internet del dipendente" Il Garante: "L'uso indebito del computer può essere contestato senza indagare sui siti visitati" (Comunicato stampa - 14 febbraio 2006) AMMINISTRATORE DI SISTEMA Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) (così modificato in base al provvedimento del 25 giugno 2009) ADMIN Con la definizione di "amministratore di sistema" si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Ai fini del presente provvedimento vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Gli amministratori di sistema così ampiamente individuati, pur non essendo preposti ordinariamente a operazioni che implicano una comprensione del dominio applicativo (significato dei dati, formato delle rappresentazioni e semantica delle funzioni), nelle loro consuete attività sono, in molti casi, concretamente "responsabili" di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. ADMIN La rilevanza, la specificità e la particolare criticità del ruolo dell'amministratore di sistema sono state considerate anche dal legislatore il quale ha individuato, con diversa denominazione, particolari funzioni tecniche che, se svolte da chi commette un determinato reato, integrano ad esempio una circostanza aggravante. Ci si riferisce, in particolare, all'abuso della qualità di operatore di sistema prevista dal codice penale per le fattispecie di accesso abusivo a sistema informatico o telematico (art. 615 ter) e di frode informatica (art. 640 ter), nonché per le fattispecie di danneggiamento di informazioni, dati e programmi informatici (artt. 635 bis e ter) e di danneggiamento di sistemi informatici e telematici (artt. 635 quater e quinques) di recente modifica (???) ADMIN Valutazione delle caratteristiche soggettive L'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29. ADMIN Designazioni individuali La designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. ADMIN Elenco degli amministratori di sistema Gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie organizzazioni (…). Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema. ADMIN Verifica delle attività L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di verifica da parte dei titolari o dei responsabili del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti. ADMIN Registrazione degli accessi Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. ADMIN Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi; DA APPROFONDIRE NUOVO PROVVEDIMENTO SUL MARKETING APP E MONITORAGGIO DEL DIPENDENTE