GDPR, alcuni provvedimenti del Garante italiano
18 Agosto 2023
Cancelliamo i Dati Indesiderati
Tel. 06 39754846
Al giorno d’oggi la gestione e la protezione dei dati personali sono diventate questioni di cruciale importanza. Con l’aumento esponenziale delle attività online e la diffusione di informazioni sensibili su Internet, è fondamentale garantire che le persone abbiano il controllo sui propri dati e che i loro diritti alla privacy siano rispettati. In questo contesto, il ruolo del Garante Privacy si rivela di vitale rilevanza, soprattutto in relazione al diritto all’oblio.
Chi è il Garante privacy ?
Il Garante per la protezione dei dati personali, noto semplicemente come Garante Privacy, è un’autorità indipendente incaricata di monitorare e promuovere il rispetto delle leggi sulla privacy e sulla protezione dei dati personali. In molti paesi, compresa l’Unione Europea, questa figura svolge un ruolo chiave nel regolamentare l’uso dei dati personali da parte di enti pubblici e privati.
La sua missione fondamentale è quella di garantire che l’elaborazione dei dati avvenga nel rispetto delle leggi e dei diritti delle persone. Una delle questioni più rilevanti nell’ambito della protezione dei dati personali è il concetto di “diritto all’oblio”.
Questo concetto si riferisce al diritto delle persone di richiedere di cancellare notizie da Internet, nonché la rimozione o la cancellazione di informazioni personali online che non sono più rilevanti o accurate. Nel contesto del diritto all’oblio, il Garante Privacy svolge un ruolo cruciale nel bilanciare i diritti alla privacy degli individui con i principi di libertà di informazione e di espressione.
Quali sono le principali funzioni del Garante Privacy rispetto alla protezione dei dati personali?
Il Garante Privacy ha diverse funzioni specifiche in merito al diritto all’oblio, al fine di garantire che i dati personali siano trattati in modo equo e responsabile. In questo contesto, l’Autorità monitora costantemente l’elaborazione dei dati personali da parte di enti pubblici e privati. Questa supervisione è essenziale per garantire che i dati vengano trattati in modo conforme alle leggi sulla privacy e al diritto all’oblio.
In caso di violazioni o abusi, il Garante ha il potere di avviare indagini e prendere provvedimenti correttivi. Ancora, valuta la rilevanza e l’obsolescenza dei dati personali online. Si pensi, ad esempio, al caso in cui un individuo richiede la rimozione di determinate informazioni in base al diritto all’oblio.
Il Garante deve determinare se tali informazioni siano ancora pertinenti e necessarie ai fini per cui sono state raccolte. Sulla base delle valutazioni effettuate, l’Autorità può emettere decisioni su richieste di rimozione o cancellazione di dati personali. Queste decisioni sono prese con attenzione per bilanciare il diritto alla privacy con il diritto alla libera espressione e all’informazione.
Il provvedimento del Garante privacy in merito alla sicurezza dei dati nelle prove concorsuali
Il contesto di riferimento del caso che oggi esponiamo è quello del concorso pubblico indetto da Banca d’Italia per l’assunzione di Esperti con orientamento nelle discipline giuridiche. In questa occasione, i dettagli riguardo alla data, all’orario e alle misure di sicurezza per lo svolgimento della prova preselettiva presso la Fiera di Roma, sono stati comunicati attraverso una mail dall’indirizzo noreply.Concorsi@bancaditalia.it, appartenente al dominio dell’Istituto, verso gli indirizzi di posta elettronica di circa 500 partecipanti,
Il Garante si è espresso con questo provvedimento, che ha riguardato proprio la visibilità degli indirizzi mail degli idonei, in quanto inviati in copia (“cc”), anziché in copia nascosta (“ccn”). Questo errore ha portato ad una divulgazione non autorizzata di dati personali, configurando una violazione della protezione dei dati.
È stato precisato che tale comunicazione non poteva essere giustificata da un consenso valido ottenuto durante la presentazione della domanda di partecipazione al concorso, poiché i trattamenti di dati in contesti concorsuali si basano sulla normativa di settore e non sul consenso degli interessati. Dopo un’attenta valutazione delle circostanze, il Garante ha ritenuto che l’episodio di divulgazione erronea di indirizzi email sia stato causato da un mero errore umano.
È stato fatto notare dal Garante che il messaggio fosse di natura generale e rivolto a diversi candidati, senza coinvolgere categorie particolari di dati sensibili. L’organizzatore della prova concorsuale ha comunque adottato misure per mitigare l’incidente, invitando i destinatari a cancellare il messaggio e migliorando le procedure interne di controllo.
Alla luce della situazione, considerando anche il numero complessivo di partecipanti al concorso e l’assenza di precedenti violazioni, si è ritenuto che l’azione abbia rappresentato una “violazione minore“, ai sensi delle linee guida del Gruppo di Lavoro Art. 29. Pertanto, il procedimento si è concluso con un avvertimento per la violazione delle disposizioni, conformemente all’articolo 58, paragrafo 2, lettera b) del Regolamento sulla protezione dei dati personali.
Il caso del trattamento dei dati da RCS Mediagroup: cosa ha disposto il Garante?
Sempre in merito ai dati personali, si consiglia la lettura di questo provvedimento del Garante Privacy. Nel corso di un procedimento inizialmente relativo ad un altro titolare del trattamento, innescato da un reclamo presentato da un interessato, è stata rivelata un’importante situazione riguardante un sito web. Questo era gestito da RCS Mediagroup S.p.a.
In un articolo accessibile sono state scoperte alcune foto, che ritraevano soggetti inerenti a una storia di cronaca. Queste immagini, a causa delle loro caratteristiche e della presenza del logo istituzionale della Polizia di Stato, sembravano appartenere alla categoria delle foto segnaletiche o, in generale, essere legate alle forze dell’ordine.
Tali foto, di solito, possono essere utilizzate solo per fini di giustizia e polizia, in accordo, ai sensi dell’articolo 14, comma 1, del d.P.R. 15 gennaio 2018, n. 15. Per questo, l’Autorità per la Protezione dei Dati ha deciso di avviare autonomamente un procedimento volto a verificare la legittimità del trattamento dei dati effettuato dalla suddetta testata giornalistica.
In risposta alla nota, datata 14 gennaio 2021, presentata dal titolare del trattamento, questi ha sottolineato che non solo ha rimosso le immagini oggetto di contestazione, ma ha cancellato interamente l’articolo in questione, pur rimarcando la legittimità del trattamento effettuato. Si è difeso affermando che le immagini incriminate sono state fornite ai giornalisti dagli investigatori, probabilmente dopo una conferenza stampa legata a un’operazione, come indicato dalla presenza del logo istituzionale all’interno delle immagini.
Inoltre, il titolare ha sottolineato che, se la redazione avesse avuto intenzioni negative riguardo alla natura delle immagini, avrebbe eliminato il logo per rendere le immagini anonime, dato che le persone coinvolte non avevano caratteristiche distintive particolari che le identificassero. Ancora, questi ha anche argomentato che le fotografie sono state accessibili solo a un numero limitato di lettori.
L’articolo non è mai stato pubblicato in prima pagina e l’accesso alle immagini richiedeva un doppio passaggio per accedere alla galleria. Inoltre, sempre il titolare, ha evidenziato che le persone coinvolte nell’articolo non si sono mai lamentate della pubblicazione dei loro volti e che erano state arrestate per reati gravi, riducendo quindi l’impatto potenziale sulla lesione dei loro diritti.
Il trattamento dei dati personali, secondo il titolare, è avvenuto nel legittimo esercizio del diritto di cronaca e nel rispetto del principio di essenzialità dell’informazione, poiché le foto provenivano dagli inquirenti e non sembravano inizialmente corrispondere alle caratteristiche delle foto segnaletiche.
Si rileva come anche la giurisprudenza della Corte di Cassazione ha stabilito che la pubblicazione di foto di persone arrestate deve rispettare i limiti dell’essenzialità per illustrare la notizia e il legittimo esercizio del diritto di cronaca, considerando l’alto potenziale lesivo della dignità delle persone coinvolte.
Orbene, a seguito di una attenta istruttoria, il Garante ha riconosciuto che è stata costituita una violazione degli articoli 137, comma 3, del Codice, 6, 8 e 12 delle Regole deontologiche, nonché dei principi fondamentali di liceità e correttezza nel trattamento dei dati personali, come previsto dall’articolo 5, paragrafo 1, lettera a), del Regolamento, principio già presente nell’articolo 6, comma 1, lettera a), della direttiva 95/46/CE e nell’articolo 11, comma 1, lettera a), del Codice sulla protezione dei dati personali nel testo in vigore all’epoca dell’originaria pubblicazione dell’articolo.
Invero, dopo aver preso atto delle azioni intraprese dal titolare del trattamento nel corso del procedimento, comprese la rimozione delle fotografie contestate e dell’articolo stesso, si è deciso di adottare una misura correttiva nei confronti di RCS Mediagroup S.p.a.
Ai sensi dell’articolo 58, paragrafo 2, lettera f) del Regolamento, è stato stabilito il divieto di ulteriore trattamento delle immagini oggetto della controversia. Tale divieto riguarda specificamente la loro ulteriore diffusione, incluso l’aspetto online, compreso l’archivio storico. Tuttavia, è stato concesso il diritto di conservare le immagini al fine di un potenziale utilizzo in contesti giudiziari. Questa misura è stata adottata poiché le immagini sono state considerate lesive dei diritti degli interessati.
