Privacy: rottamazione sanzioni per le contestazioni pendenti

Il Garante della Protezione dei dati Personali ha chiarito, con l’uscita di precise istruzioni, come usufruire  della definizione agevolata dei procedimenti sanzionatori pendenti.

In parole semplici ha spiegato come “rottamare” le sanzioni privacy precedentemente prese ed ad oggi non ancora pagate.

Potranno usufruire di questa speciale “rottamazione” solo quelli che alla data del 25 maggio 2018 abbiano ricevuto la notifica dell’atto di violazione o l’atto di contestazione.

A questo indirizzo le FAQ del Garante in merito a quanto sopra riportato:

https://www.garanteprivacy.it/home/faq/definizione-agevolata-delle-violazioni-in-materia-di-protezione-dei-dati-personali

Nelle FAQ del Garante è riportata la seguente tabella in cui vengono esposti gli ammontare degli importi da pagare per ciascuna violazione commessa:

La sentenza della corte di giustizia europea indica cos’è un “Archivio di Dati Personali”

La Corte di Giustizia Europea si è espressa in merito alla definizione di “archivio di dati personali”, fornendo un chiarimento fondamentale per la definizione stessa, che nonostante si basi sulla Direttiva 95/46, anziché sul GDPR, ha valenza anche per quest’ultimo, visto che riprende la nozione di “archivio” dalla Direttiva stessa.

E’ fondamentale osservare che questa sentenza è la prima (della corte di Giustizia) che chiarisce cosa si debba intendere con la definizione di “archivio di dati personali”.

Nella sentenza si legge: “Archivio di dati personali, altresì definito semplicemente “archivio”, un qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”.

La definizione di “archivio”, secondo l’art.2, lettera c), della direttiva 95/46 include l’insieme di dati personali raccolti nell’ambito di un’attività di predicazione porta a porta, contenente nomi, indirizzi e altre informazioni riguardanti le persone contattate porta a porta, allorché tali dati sono strutturati secondo criteri specifici che consentono, in pratica, di recuperarli facilmente per un successivo impiego. Affinché suddetto insieme rientri in tale nozione, non è necessario che esso comprenda schedari, elenchi specifici o altri sistemi di ricerca”.

In sostanza, finora si era considerato archivio solo ciò che rientrava in una catalogazione in sistemi automatizzati, sofisticati, similmente agli archivi digitali, limitando l’applicazione della normativa solo a quelle tipologie di sistemi, e non tenendo in considerazione gli archivi cartacei.

La sentenza della Corte di Giustizia Europea sarebbe però da considerarsi pre-GDPR, in quanto riguarda la Direttiva 95/46, e non il GDPR stesso, che nell’art 4 definisce il termine “archivio”. Tuttavia, nel GDPR la definizione non è affatto chiarissima, come si evince dal testo: “Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato, o ripartito in modo funzionale o geografico”.

La parte affatto chiara riguarda pertanto i criteri determinati da utilizzare per accedere all’archivio, non chiarendo le caratteristiche che devono avere questi criteri, tanto che in passato numerose corti europee hanno appunto considerato archivi solo quelli comparabili ai digitali, escludendo i cartacei.

Nell’ultima sentenza, la Corte di Giustizia Europea va pertanto nella direzione opposta, includendo nella definizione di archivio anche quelle raccolte non automatizzate, cartacee, atte a raccogliere in modo organizzato i dati personali utilmente ad una successiva consultazione ed impiego dei dati stessi.

E’ pertanto un chiarimento fondamentale anche in riferimento alla denominazione di “archivio” del GDPR, che nella sua dichiarazione non risolve problemi interpretativi della definizione stessa.

E se ti dicessi che elimineranno i fastidiosi Cookies dai siti Internet?

Finalmente i fastidiosi box cookies spariranno, o almeno così sembra trapelare da alcune indiscrezioni insieme alle nuove misure del regolamento privacy europeo che entrerà in vigore a breve.

I fastidiosi banner, in cui per proseguire la navigazione del sito senza disturbi inutili davi l’ok a prescindere, molto probabilmente saranno messi in cantina da parte dell’Unione Europea, in quanto molto fastidiosi e poco proficui per la tutela della nostra privacy.

Wow che bello! Quindi per chi ha un sito web la privacy sparisce?

ASSOLUTAMENTE NO. Anzi! C’è da non farsi trovare impreparati in quanto, non solo le sanzioni ed i controlli saranno più severi degli attuali, ma resteranno OBBLIGATORI:

  • le policy privacy nelle quali dobbiamo illustrare che vengono utilizzati i dati sul sito internet compresi i cookies
  • l’informativa clienti se ovviamente utilizziamo il sito per avere contatti ed inviare newsletters o materiale marketing a futuri clienti, con la famigerata richiesta del consenso.

Chi ci guadagnerà da tutto ciò?

Quasi tutti, sia i fruitori del sito, che non avranno più quel noiosissimo banner privacy disturbatore, sia i proprietari dei siti che usufruiranno di una razionalizzazione della normativa.

Ed anche noi che vi daremo sempre di più un’importante aiuto per essere in regola con la normativa, cho come vedi è sempre in costante evoluzione, così da evitare le grosse sanzioni previste dal garante.

Ma..qualcuno ci rimetterà di sicuro.

CHI?

Non siamo noi, ma tutti quei siti generatori on line di cookies law, che finalmente diventeranno a tutti gli effetti inutili … (per noi lo sono già e questo lo sapete se avete letto i precedenti articoli).

Come vedi lavoriamo in costante aggiornamento per GARANTIRE agli imprenditori la sicurezza di stare tranquilli, SENZA SANZIONI, perchè sempre in piena regola con le normative.

Ma ATTENZIONE oggi i cookies sono ancora legge!!!

Sei sicuro di essere in regola con la privacy del tuo sito internet e non incorre in inutili e pesantissime sanzione non per colpa tua?

richiedi subito un controllo del tuo sito web non aspettare di prendere una multa anche di svariate decine di migliaia di euro!

Lo scudo per la privacy UE e USA

La nuova iconografia del Garante Privacy che spiega in modo sintetico gli obblighi delle aziende per il trattamento di dati personali tra il vecchio continente ed il nuovo continente.

IN PRATICA 

Le imprese americane 

– Autocertificheranno su base annuale il rispetto degli obblighi
– Dovranno pubblicare una privacy policy (informativa privacy) sul loro sito
– Dovranno rispondere tempestivamente ai reclami
– Dovranno collaborare con le Autorità europee per la protezione dei dati e dare seguito alle loro richieste (se trattano dati relativi al personale/alle risorse umane)

Gli interessati in Europa
– Godranno di più trasparenza rispetto ai trasferimenti di dati personali negli USA
e di una tutela rafforzata per questi dati
– Avranno a disposizione strumenti di tutela giuridica più facili da utilizzare e meno costosi in caso di reclami, che potranno gestire da soli oppure con l’aiuto dell’Autorità nazionale di protezione dei dati.

Newsletter promozionali: no senza consenso

No alle newsletter promozionali senza consenso. È quanto ha riaffermato il Garante per la privacy [doc. web n. 4988238] affrontando il caso di un utente che lamentava la ricezione sulla propria mail di una newsletter a carattere promozionale proveniente dall’indirizzo di posta elettronica di una società che opera nell’e-commerce di articoli medicali. La comunicazione, giunta all’utente dopo l’acquisto on line di alcuni prodotti sul sito della società,  era stata inviata senza che avesse fornito un esplicito e specifico consenso al ricevimento di materiale pubblicitario. Una procedura più volte sanzionata dall’Autorità perché in aperta violazione con quanto stabilito dal Codice sulla protezione dei dati personali.

Dalle verifiche effettuate dall’Autorità sul sito dell’azienda è emerso che gli utenti non solo non potevano esprimere uno specifico consenso per le finalità di marketing ma erano per di più impossibilitati a procedere all’acquisto di un prodotto senza aver prima fornito un generico consenso al “trattamento dei dati personali”. Inoltre, dai riscontri è risultato che anche l’informativa fornita dalla società presentava profili di inidoneità, non specificando le modalità di contatto per lo svolgimento di attività a contenuto promozionale.

Il Garante ha quindi vietato alla società l’ulteriore trattamento per finalità di marketing dei dati personali raccolti in assenza di idonea informativa e di consenso legittimamente manifestato, imponendole, inoltre, la riformulazione del form con il quale si chiede il consenso, l’integrazione del testo con le modalità utilizzate per il contatto promozionale e, infine, l’adozione delle misure opportune affinché la manifestazione del consenso da parte degli interessati al trattamento per finalità di marketing non sia condizione necessaria per il perfezionamento dell’acquisto tramite sito web.

L’Autorità si è riservata di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni amministrative concernenti l’inidonea informativa e il consenso per l’utilizzo dei dati a fini di marketing.

[fonte: Garante Privacy]

EU-US Privacy Shield è il nuovo meccanismo che consentirà di trasferire i dati personali dall’Unione Europea agli Stati Uniti

I pilastri del nuovo quadro di regole che proteggerà i cittadini europei nel momento in cui i loro dati saranno trasferiti oltre oceano saranno: Trasparenza e certezza delle regole per le imprese, e garanzia per i cittadini europei di far valere il proprio diritto alla privacy anche con le autorità statunitensi. Stati Uniti e Unione Europea hanno trovato un’intesa.

Si chiama EU-US Privacy Shield ed è il nuovo meccanismo che consentirà di trasferire i dati personali dall’Unione Europea agli Stati Uniti. A condurre le trattative del nuovo accordo, che dovrà essere precisato nelle prossime settimane, sono state due donne, la commissaria europea alla Giustizia, Věra Jourová, e Penny Sue Pritzker, segretaria al Commercio nell’amministrazione Obama. Nelle prossime settimane la Commissione preparerà una decisione di adeguatezza, mentre gli Stati Uniti dovranno adottare le misure per realizzare gli impegni assunti con il nuovo accordo.

Il nuovo quadro di regole sostituisce il Safe Habor del 2000, il preesistente meccanismo invalidato dalla Corte di Giustizia Europea lo scorso 6 ottobre. L’accordo prevedeva un sistema di volontaria adesione ai principi concordati da Unione Europea e Stati Uniti, sotto la supervisione della Commissione federale per il commercio degli Stati Uniti (Federal Trade Commission),


Secondo le prime indicazioni trapelate, per conformarsi al nuovo meccanismo le società statunitensi dovranno rispettare specifici obblighi relativi alle modalità di trattamento dei dati e al rispetto dei diritti dei soggetti coinvolti. A supervisionare il rispetto di tali obblighi ci sarà la Federal Trade Commission. Nell’ambito dell’accordo gli Stati Uniti hanno assicurato che saranno previsti anche limiti chiari alla possibilità per le autorità di pubblica sicurezza di accedere ai dati personali, escludendo che avvengano attività di monitoraggio indiscriminato e non proporzionale.

A tutela dei cittadini europei che ritengano i propri diritti violati negli Stati Uniti ci saranno diversi strumenti: La possibilità per le Autorità europee di riportare casi alla Federal Trade Commission, oppure di rivolgersi a un Ombudsperson creata appositamente in caso di violazioni da parte delle autorità di intelligence.
Dopo il ricorso da parte dei cittadini europei le società avranno obbligo di risposta rapida. In caso contrario, un meccanismo di contenzioso sarà accessibile gratuitamente.

Ecco la dichiarazione in merito, rilasciata da Giovanni Buttarelli, Garante europeo della protezione dei dati.

L’accordo politico che dovrà essere tradotto in realtà nei prossimi mesi riguarda una delle modalità per trasferire dati personali dall’Europa verso gli​ Stati Uniti che è molto importante soprattutto per le PMI, perché le grandi imprese avevano iniziato due anni fa a fare uso di altri strumenti per mettersi al riparo dal possibile annullamento della decisione del 2000. Tuttavia, il bilanciamento degli interessi che si sta facendo intorno al Safe Harbor, avrà un effetto orizzontale, anche su questi altri strumenti. La prima conclusione è, appunto, che un accordo apparentemente riferito a una sola delle tante opzioni per trasferire dati all’estero avrà in realtà un effetto orizzontale, perché non stiamo discutendo tanto delle garanzie offerte dalle imprese in questo specifico contesto quanto, piuttosto, ed è stata questa la ragione per la quale la decisione del 2000 della Commissione Ue è stata annullata dalla Corte di Giustizia, dell’accettabilità in Europa di un uso di questi dati da parte delle autorità di intelligence di altri Paesi, in questo caso degli Stati Uniti, laddove l’uso non sia necessario, proporzionato, sicuro e con rimedi a garanzia dell’interessato in casi di errori o eventuali abusi.

La nostra tradizione giuridica è diversa da quelli di altri Paesi, compresi gli USA, e sebbene condividiamo alcuni valori generali in chiave di privacy, per quanto riguarda poi il modo concreto in cui queste attività di intelligence tengono luogo c’è molta differenza. Il gruppo di tutte le autorità garanti in Europa guarda positivamente all’annuncio che un accordo politico sarebbe stato concluso. Si tratta di una fumata, ma prima di vedere il colore bianco o nero dobbiamo vedere la sostanza. E questo avverrà nelle prossime settimane. Per il momento le autorità garanti dei 28 Paesi assieme al Garante europeo hanno adottato e pubblicato ieri una decisione con cui guardano a favore a questo annuncio e rendono noto che sono in procinto di completare l’analisi del sistema legale USA anche alla luce di recenti modifiche; hanno evidenziato quali sono i punti per loro essenziali, ai quali va aggiunto il profilo della vincolatività di queste misure per gli USA, in cui si accenna al fatto se siano sufficienti assicurazioni per iscritto da parte di alte autorità americane che l’accesso dei dati trasferiti dall’Europa, se necessario per ragioni di intelligence, avverrà soltanto quando è necessario e proporzionato. Gli “sherpa” interni alla Commissione sono stati delegati in sede plenaria dalla Commissione stessa a tradurre in concreto l’accordo politico in uno schema di decisione europea che dovrà essere sottoposto a vari pareri. La Commissione conta di finalizzare il primo schema entro qualche settimana e quindi non credo che prima della fine di marzo avremo la disponibilità integrale di questi testi. Dopodiché, la mia autorità da sola e insieme, in separato parere, con le autorità degli altri Paesi e anche un terzo organismo che riunisce i rappresentanti dei governi degli Stati membri, dovranno separatamente adottare dei pareri che hanno un’influenza sulla procedura. Quindi, come accaduto nel 1999 quando il Safe Harbor è stato adottato, è possibile che tra la proposta iniziale e poi quello che sarà eventualmente adottato e pubblicato in Gazzetta Ufficiale, ci sia una differenza sostanziale su aspetti anche importante. Le grandi linee che sono state annunciate sono positive e vanno nella giusta direzione. In questi casi il diavolo è nei dettagli, quindi bisogna vedere come esse sono, poi, concretamente sviluppate, considerato anche che il sistema giuridico americano è particolarmente complesso.

Nel 2014 e 2015 ci sono stati sviluppi normativi negli Stati Uniti e uno è ancora pendente. Questi cambiamenti hanno portato aspetti positivi in termini generali, ma non tutti. Alcune formulazioni sono state ritenute non chiare, non precise e addirittura insoddisfacenti. Comunque, qualcosa si è mosso. Vediamo adesso rispetto a quello che è stato fatto negli ultimi due anni che cosa interverrà in più, in un momento in cui c’è una transizione dell’amministrazione americana e l’Europa ha bisogno di rassicurazioni stabili nel tempo, che tengano conto di sviluppi di vario tipo e dell’esito delle elezioni negli Usa, tenendo conto che quello che è stato fatto negli ultimi due anni è stato realizzato da un certo tipo di presidenza che potrebbe essere diversamente collocata nel futuro. L’Europa vuole certezza e vuole il più possibile qualcosa simile a un sistema giuridico. Gli Usa hanno un approccio che limita al massimo il ruolo del Congresso nel ratificare accordi internazionali e c’è molta delega all’esecutivo in tutto questo. Ma qui siamo in una terra delicatissima: diritti umani e diritti della personalità. Bisogna andarci con i piedi di piombo”.