12 Giu L’Autorità Garante presenta la Relazione sull’attività svolta nel 2016: violazioni di dati personali e sfruttamento commerciale di essi sotto crescente osservazione

Scenario

In data 6 Giugno l’Autorità Garante per la protezione dei dati personali ha pubblicato la Relazione sull’attività svolta nel 2016 e sullo stato di attuazione della normativa sulla privacy. La Relazione mira a tracciare un bilancio delle azioni intraprese e indica le prospettive di azione, anche in vista dell’applicazione del nuovo Regolamento Ue a partire dal maggio 2018.

Questione principale

Il Garante elenca nella Relazione i settori più rilevanti di intervento del 2016. In particolare vengono indicati i seguenti punti:

• Il crimine informatico e la cybersicurezza;
• la profilazione on line e i social media;
• i rischi della Rete e il cyberbullismo;
• la lotta al terrorismo e la sorveglianza di massa;
• i Big Data;
• l’uso delle nuove tecnologie nel mondo del lavoro;
• la trasparenza della Pa online e le garanzie da assicurare ai cittadini;
• il fisco e la tutela della riservatezza dei contribuenti;
• il telemarketing;
• le intercettazioni e la protezione dei dati contenuti negli atti processuali;
• la tutela dei minori da parte dei media;
• i diritti dei consumatori;
• le grandi banche dati pubbliche;
• il mondo della scuola;
• il diritto all’oblio;
• le garanzie per il trasferimento dei dati negli Usa;
• la sanità.

Il tema della cyber security è stato particolarmente centrale, avendo l’Autorità condotto indagini proattive e ricevuto 15 segnalazioni relative a violazioni di dati personali inviate da soggetti pubblici, nonché 43 da enti privati. Inoltre, il Garante ha riservato particolare attenzione all’individuazione e sanzione di trattamento illecito dei dati relativo a attività di marketing (in particolare telemarketing) e di attività di profilazione online. Come esempi di azioni efficaci, l’Autorità menziona le obbligazioni imposte a Google e Facebook al fine di assicurare la protezione dei dati in rete.

A livello internazionale, degna di nota è la partecipazione del Garante al dibattito relativo all’Internet delle Cose, in particolare attraverso il supporto a un’inchiesta internazionale relativa a recenti sviluppi sul tema. Inoltre il 2016 ha visto il Garante impegnato nella definizione delle linee guida in vista dell’applicazione del Regolamento europeo in materia di protezione dei dati in Italia. Insieme alle altre Autorità Ue, il Garante ha anche partecipato alla elaborazione di altre linee guida: le Linee Guide Articolo 29 Gruppo di Lavoro per la protezione dei dati personali sul Responsabile della protezione dei dati, sulla portabilità dei dati, sull‘Autorità di controllo capofila, e sulla valutazione di impatto. L’Autorità ha inoltre collaborato con il Consiglio d’Europa sulla revisione della Convenzione 108 del 1981 sulla protezione dell’individuo nel caso di trattamento automatizzato dei dati personali e ha predisposto Linee guida in materia di Big Data. Non meno rilevante l’attività del Garante nel definire accordi di cooperazione con le Autorità Garanti dell’Est Europa al fine di scambiare informazione e condurre indagini congiunte.

Il Garante Italiano ha illustrato nella Relazione la sua prolifica attività attraverso cifre. Per esempio, solo nel 2016, ben 282 indagini sono state condotte sia nel settore pubblico che privato, 2.339 violazioni sono state processate e sanzioni ammontanti a 3.289.896 € imposte.

Implicazioni pratiche

Le imprese dovranno intensificare il loro impegno al fine di allineare il proprio quadro di conformità alla protezione dei dati alle disposizioni del nuovo Regolamento Europeo sulla protezione dei dati.

Occorre prestare particolare attenzione all’attuazione di misure di sicurezza adeguate e alla corretta gestione di eventuali violazioni di dati personali.

Lo sfruttamento commerciale dei dati (es. Big Data Analisi) è sotto l’attenzione del Garante Italiano e le attività di profilazione e di marketing dovranno essere condotte su una solida base giuridica dimostrabile in qualsiasi momento su richiesta dell’Autorità o dei soggetti interessati.