Il programma dell’attività ispettiva del Garante Privacy per il primo semestre 2025.

Sommario….Pag. 1

1. I poteri ispettivi del Garante. Pag. 2

2. I trattamenti soggetti a controlli….Pag. 3

3. Svolgimento, in connessione con l’operato della task force interdipartimentale recentemente costituita, di accertamenti relativi ai data breach che hanno interessato negli ultimi mesi banche dati pubbliche di particolare rilievo e delicatezza. Ciò, con specifico riferimento alla verifica dei sistemi di sicurezza ed ai profili di accessibilità delle banche dati stesse. …Pag. 5

4. Prosecuzione degli accertamenti sulle banche dati degli istituti di credito con specifico riferimento alle violazioni di dati personali oggetto di notificazione al Garante ed alla verifica delle misure adottate per rilevarle tempestivamente e/o prevenirle. …Pag. 9

5. Verifiche nel campo della statistica in ordine a specifici progetti, inseriti nel PSN, comportanti utilizzo di big data e dati sintetici….Pag. 11

6. Verifiche sul trattamento di dati effettuato da imprese che gestiscono call center e servizi di email marketing utilizzando in modo illegittimo indirizzari e banche dati….Pag. 15

7. Accertamenti relativi all’attivazione di contratti non richiesti nel settore energetico. …Pag. 18

8. Verifiche sull’utilizzo di dati biometrici per l’ammissione agli esami della patente di guida presso gli uffici della Motorizzazione civile. …Pag. 21

9. Prosecuzione delle verifiche sull’utilizzo dei cookie di profilazione in relazione alle Linee guida del 10 giugno 2021 e tenendo conto delle segnalazioni e dei reclami pervenuti al Garante….Pag. 24

10. Prosecuzione degli accertamenti nei confronti di società che gestiscono sistemi di videoallarme. Pag. 28

11. Conclusione del ciclo di ispezioni sui gestori dell’identità digitale (SPID) e sulla filiera dei soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale). …Pag. 32

12. Prosecuzione degli accertamenti presso gli istituti scolastici in ordine al trattamento dei dati svolto attraverso i registri elettronici. …Pag. 35

13. Altri accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, ivi incluse le istruttorie relative a reclami e segnalazioni formali proposti all’Autorità ed in istruttoria presso i relativi Dipartimenti e Servizi….Pag. 37

1. I poteri ispettivi del Garante

L’attività ispettiva dell’Autorità Garante per la Protezione dei Dati Personali (di seguito, “Garante”), che rappresenta l’autorità di controllo; cioè, l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51; in Italia la sua attività è disciplinata dagli articoli 157[1] e 158[2] del Codice in materia di protezione dei dati personali (di seguito, “Codice”); dall’articolo 58[3] del Regolamento UE 2016/679 (di seguito, “Regolamento”), concernente i poteri di indagine del Garante; dal Regolamento del Garante n. 1/2019[4], concernente le procedure interne all’Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

In questo contesto va, altresì, richiamato il Protocollo d’intesa tra il Garante e la Guardia di Finanza del 30 marzo 2021.[5]

Con l’espressione “Attività ispettiva” deve intendersi l’accertamento in loco curato dal personale dell’Ufficio del Garante o delegato alla Guardia di Finanza nei luoghi ove si effettuano i trattamenti di dati, nei confronti di soggetti non necessariamente individuati sulla base di reclami o segnalazioni.

L’attività ispettiva non necessariamente prevede la presenza fisica di personale del Garante o della Guardia di Finanza, in loco, ma può svolgersi, anche, attraverso accertamenti on line che potranno essere compiuti in riferimento a trattamenti di dati personali effettuati tramite siti Internet da parte di Titolari del trattamento[6] pubblici e privati.

Nell’ottica di coniugare le risorse disponibili con gli obblighi fissati in capo al Garante, a cadenza semestrale vengono individuate le priorità da sottoporre a controllo.

Relativamente al primo semestre 2025, l’attività ispettiva riguarderà almeno 40 accertamenti, effettuati anche a mezzo della Guardia di Finanza.

2. I trattamenti soggetti a controlli

Un aspetto non sempre compreso dai Titolari del trattamento e/o da chi è chiamato ad applicare la normativa (Responsabili Protezione Dati, Privacy manager, Uffici Privacy, Consulenti, ecc.) è che attraverso la lettura dei provvedimenti con i quali il Garante stabilisce gli ambiti di ispezione nel corso di un determinato semestre, è possibile raggiungere due risultati:

la conoscenza dei risultati legati all’attività ispettiva del Garante, che si traduce nei Provvedimenti adottati, consente ai soggetti sopra richiamati di intervenire all’interno delle proprie organizzazioni al fine di adottare best practice, rafforzare il principio di accountability rendicontando le decisioni assunte, e, soprattutto, di eliminare comportamenti non in linea con le prescrizioni;
il disattendere quanto evidenziato dal Garante nei propri Provvedimenti, produce, altresì, l’effetto in capo al Titolare del trattamento, qualora si venga sottoposti a sanzioni di vedersi comminare una sanzione amministrativa pecuniaria il cui importo è aggravato – ai sensi dell’art. 83, par. 1, lett. a) del Regolamento – dal trattarsi di violazioni già rilevate e comminate dal Garante.

Per ciascun trattamento indicato nel Provvedimento del Garante si è proceduto ad una sommaria definizione dello stesso, partendo dai Provvedimenti già adottati in materia dall’Autorità Garante; inoltre, visto il taglio pratico che si è voluto dare al presente documento, all’interno di una griglia sono state riportate le seguenti voci:

cercando di fornire indicazioni utili ai Titolari dei trattamenti, partendo dagli articoli violati (e ove possibile, sono stati richiamati anche gli standard internazionali e le Linee guida ENISA, al fine di consentire ai destinatari del documento la possibilità di svolgere ulteriori approfondimenti) e individuando, per gli stessi, i controlli di cui al framework nazionale per la cybersicurezza e la data protection; successivamente sono stati elencati gli adempimenti a carico dei Titolari del trattamento e la documentazione da predisporre in caso di ispezione o su richiesta da parte del Garante e/O della Guardia di Finanza.

Relativamente al periodo gennaio – giugno 2025, l’attività ispettiva curata dal Garante, anche per il tramite del nucleo ispettivo della Guardia di Finanza, riguarderà i seguenti ambiti.[7]

La problematica attinente la creazione di banche dati (d’ora in avanti, b.d.) unitamente al loro accesso si interseca con la tutela del diritto di autore, all’interno di una cornice che non è più circoscrivibile all’ambito nazionale ma che deve fare i conti – almeno – con la normativa comunitaria.

Tali aspetti finiscono per enfatizzarsi a seguito delle nuove tecnologie che sono alla base della società della informazione e permettono di creare b.d. di enorme portata, consentendo una loro interconnessione con modalità attuative di semplice realizzazione.

Proprio a seguito dello sviluppo della società della informazione che ha portato alla creazione di enormi masse di dati, non più ancorate ad un supporto fisico – quello cartaceo – ma prodotte in formato digitale e contenute in supporti che ne permettono la tenuta e la diffusione in maniera molto semplice, appare anacronistico pensare ad una tutela ‘proprietaria’ delle b.d., se non in una ottica mirante solamente alla salvaguardia degli investimenti – che pure devono ricevere una giusta tutela – che sono all’origine della loro costituzione.

Partiamo da una definizione espressa a livello comunitario per giungere, brevemente, ad analizzare quanto disposto dal nostro Legislatore.

La Direttiva 96/9/CE[8] definisce la b.d. nel seguente modo: “una raccolta di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti ed individualmente accessibili grazie a mezzi elettronici o in altro modo” (art. 1. n. 2);e prevede una tutela giuridica delle “banche di dati che per la scelta o la disposizione del materiale costituiscono una creazione dell’ingegno propria del loro autore” (art. 3).

In relazione alla estensione di tale forma di tutela è sempre l’art. 3 che ci illumina stabilendo che “La tutela delle banche dati in base al diritto di autore (omissis) non si estende al loro contenuto e lascia impregiudicati i diritti esistenti su tale contenuto”.

Ciò sta a significare che la tutela in parola è accordata non al suo contenuto bensì ai criteri che sono alla base del suo funzionamento: ad es. modalità di accesso e di ricerca, che devono essere più di uno.

La titolarità della b.d. spetta “all’autore di una b.d. (che) è la persona fisica o il gruppo di persone fisiche che l’ha creata o, qualora la legislazione dello Stato membro interessato lo consenta, la persona giuridica individuata da tale legislazione come titolare del diritto”.

L’accesso ad una b.d., ad opera dell’utente legittimo gli consente di compiere una serie di operazioni, quali: la riproduzione, la traduzione, la distribuzione al pubblico, la comunicazione, ecc. che gli sono necessarie per l’accesso al contenuto della b.d. e l’impiego normale di quest’ultima senza l’autorizzazione dell’autore della b.d. (art. 5)

Il Decreto Legislativo 6 maggio 1999, n. 169 recante “Attuazione della direttiva 96/9/CE relativa alla tutela giuridica delle banche di dati”, definisce: “Le banche di dati di cui al secondo comma dell’articolo 1, intese come raccolte di opere, dati o altri elementi indipendenti sistematicamente o metodicamente disposti ed individualmente accessibili mediante mezzi elettronici o in altro modo. La tutela delle banche di dati non si estende al loro contenuto e lascia impregiudicati diritti esistenti su tale contenuto.”

Come noto, la «violazione dei dati personali[9]» è una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Da indagini condotte dal Garante, in riferimento a casi di violazione di banche dati pubbliche è emerso che gli accessi registratisi nel corso dell’anno 2024 dimostrano una grande vulnerabilità, pur in presenza di misure di sicurezza tecniche e organizzative.

Gli attacchi registrati alle banche dati pubbliche fanno presumere l’esistenza di un mercato di dati personali esfiltrati, con, almeno, due ambiti interessati: la protezione dei dati personali dei cittadini e la tutela dell’integrità dello Stato, considerato che sono stati violati anche dati pubblici relativi a decisori pubblici.

Su tale fronte l’intervento del Garante nell’indicare misure o raccomandazioni al Governo e alle Pubbliche Amministrazioni, per garantire la massima sicurezza dei patrimoni informativi, è costante. Il compito della “messa a terra” di suddette misure è a carico dei singoli Titolari del trattamento che devono intervenire per attuarle e verificarne periodicamente l’efficacia. Quindi, non è sufficiente applicare le misure di sicurezza ma è necessario, altresì, testarle nel tempo, aggiornarle e personalizzarle in base al contesto.

Il Garante ha rilevato come in questo ambito i data breach siano in aumento e più che nell’ambito delle sanzioni è necessario rafforzare le misure di sicurezza, a partire dal miglioramento dei sistemi di alert per gli accessi. Oltre all’implementazione di alert efficaci per rilevare gli accessi o consultazioni sospette delle banche dati, vanno programmate periodiche attività di monitoraggio sull’efficacia delle misure adottate; al fine di tutelare meglio il diritto fondamentale alla protezione dei dati dei cittadini e dei decisori pubblici.

Va, altresì, evitata la duplicazione delle banche dati, infatti, più dati sono in circolazione maggiore è la superficie di attacco da presidiare.

Tali tutele richiedono, però, investimenti necessari nel pubblico come nel privato, anche e soprattutto al fine di creare un argine agli attacchi all’integrità dello Stato e delle sue istituzioni. A tale proposito vanno evitate soluzioni “spot”, dettate dalla necessità di agire nell’immediato, ma vanno adottate politiche, a tutela dei dati, di lungo periodo; prevedendo il coinvolgimento sia delle risorse umane interne all’organizzazione del Titolare che dei soggetti esterni a cui viene delegata in parte o in toto, un determinato trattamento,

Inoltre, qualsiasi trattamento il Titolare intenda avviare, non va trascurata l’attività formativa volta a sensibilizzare i soggetti autorizzati a trattare i dati personali.

Il Garante ha costituito una task force interdipartimentale, tra i propri uffici, per accertare sia dal punto di vista tecnologico che normativo, quali siano state le violazioni avvenute e, di conseguenza, individuare le risposte sanzionatorie.

In riferimento alla fattispecie oggetto di studio del presente paragrafo, si ritiene utile richiamare gli articoli violati, gli adempimenti a carico dei Titolari del trattamento e la documentazione da predisporre al fine di poterla esibire in caso di ispezione

In tale ambito il Garante ha rilevato l’assenza di misure tecniche di sicurezza in grado di contrastare efficacemente eventuali attacchi informatici; in un caso non era stato impedito ai clienti di utilizzare PIN deboli (come ad es. quelli composti da sequenze di numeri o coincidenti con la data di nascita).

Non sempre i ruoli dei soggetti che intervengo nel trattamento dei dati personali sono ben definiti e/o sottoposti a controlli di verifica (audit), per cui si sono verificati casi in cui, a fronte di un rapporto tra l’istituto di credito (Titolare del trattamento) e società affidataria di servizi (Responsabile del trattamento) fosse presente un’ulteriore società delegata dalla Responsabile, senza l’autorizzazione del titolare che aveva espressamente vietato l’affidamento a terze parti di tali attività, a eseguire attività di vulnerability assessment e penetration testing.

A seguito delle indagini condotte in fase di ispezione è emerso come la difesa del sistema finanziario è assai complessa; infatti, il settore è altamente digitalizzato ed è interconnesso a livello globale mediante l’utilizzo di un piccolo numero di infrastrutture che possono presentare vulnerabilità; per cui è attaccabile attraverso possibili comportamenti imprudenti posti in essere da una platea di centinaia di milioni di utenti dei servizi finanziari online.

In riferimento a tale fattispecie, si ritiene utile richiamare gli articoli violati, gli adempimenti a carico dei Titolari del trattamento e la documentazione da predisporre al fine di poterla esibire in caso di ispezione.

5. Verifiche nel campo della statistica in ordine a specifici progetti, inseriti nel PSN, comportanti utilizzo di big data e dati sintetici.

Nel settore della ricerca scientifica e statistica il ricorso a tecniche di pseudonimizzazione di fatto rappresenta un obbligo alla luce di quanto stabilito dall’art. 89, par. 1[15] del Regolamento.

Per pseudonimizzazione si intende: “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (cons. 26 e art. 4 punto 5).

I dati pseudonimizzati sono quindi dati di carattere personale oggetto di un preventivo trattamento di codifica. Nello specifico, la pseudonimizzazione non è un metodo di anonimizzazione; essa piuttosto si limita a ridurre la correlabilità di un insieme di dati all’identità originaria di un interessato e rappresenta pertanto una misura di sicurezza che il titolare del trattamento è tenuto ad implementare, anche al fine di attuare in modo efficace di principi di protezione dei dati, laddove non sia più necessario disporre di dati personali identificabili, memorizzando separatamente le chiavi di identificazione[16].

In base al principio di minimizzazione, i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (art. 5, par. 1, lett. c) del Regolamento).
La pseudonimizzazione costituisce una misura di estremo rilievo nel settore della ricerca statistica in particolare al fine di garantire effettiva applicazione al principio di minimizzazione (artt. 5, par. 1, lett. c) e 89 del Regolamento).[17]

Si richiede, pertanto, una valutazione ponderata di tutte le scelte connesse ai trattamenti di dati personali, dimostrabile sul piano logico attraverso specifiche motivazioni, volte all’individuazione di misure necessarie e proporzionate rispetto alla concreta efficacia del principio di volta in volta tutelato.

In ossequio all’obbligo della protezione dei dati sin dalla progettazione, i titolari devono, inoltre, assumere una condotta attiva nell’applicazione dei principi, ponendosi l’obiettivo di ottenere un reale effetto di tutela. Non si richiede, quindi, la mera applicazione di misure generiche, non direttamente correlate allo scopo di tutela, ma di misure qualitativamente e quantitativamente efficaci rispetto all’obiettivo e progettate per essere, all’occorrenza, revisionate in relazione ad eventuali aumenti o riduzioni dei rischi per gli interessati.

Tali misure dovranno, ove possibile, includere specifici indicatori volti a dimostrarne in modo inequivoco l’efficacia. In tale ottica, l’obbligo di documentazione delle scelte inerenti al trattamento dei dati personali si intende compiutamente adempiuto solo laddove il titolare sia in grado di dimostrare, attraverso indicatori di prestazione (qualitativi e ove possibile, quantitativi), l’efficacia delle misure adottate o che intende adottare.[18]

Il Regolamento prevede, inoltre, che “quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali.

Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi” (art. 35; Gruppo art. 29 Linee-guida n. 248 concernenti “La valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento possa presentare un rischio elevato” adottate in forma emendata il 4.10.2017).[19]

Tra le violazioni contestate dal Garante si riportano le seguenti:

Tempi di conservazione. Nel settore della ricerca scientifica i tempi di conservazione vanno individuati sulla base di specifiche motivazioni tecnico-scientifiche (cfr. Provvedimenti del Garante n. 498 del 26.10.2023 e n. 36 del 24.01.2024), i tempi di conservazione vanno determinati, quindi, in relazione allo scopo di volta in volta perseguito attraverso ogni singolo lavoro statistico realizzato e alla natura stessa del lavoro.

Informativa. È stato violato l’obbligo di rendere un’informativa esatta e completa, ai sensi dell’art. 14 Regolamento.

Valutazione d’impatto. si osserva che in una normativa incentrata sul principio di precauzione e sull’approccio basato sul rischio, come quella di cui al Regolamento, la discrezionalità circa l’obbligo di svolgere o meno la valutazione di impatto è del tutto destituita di fondamento. Ciò tenuto anche conto di quanto siano ben dettagliate, all’art. 35 del Regolamento, le fattispecie per le quali tale adempimento è ritenuto necessario e poi ulteriormente specificate nelle citate linee guida. Al di la del fatto che la valutazione d’impatto costituisce una buona prassi, a prescindere se il trattamento rientri tra quelli per i quali la valutazione d’impatto è obbligatoria, poiché attraverso di essa il titolare può ricevere indicazioni importanti e utili a prevenire incidenti futuri, in questo senso la valutazione d’impatto permette di realizzare concretamente un principio fondamentale contenuto nel Regolamento che consiste nella protezione dei dati fin dalla fase di progettazione (data protection by design) di qualsiasi trattamento.

Anonimizzazione dei dati e principio di accountability. La contestazione della violazione del principio di responsabilizzazione ex art. 5, par. 2 del Regolamento, con riferimento alle tecniche di anonimizzazione dei dati propedeutica alla diffusione dei risultati statistici, effettuate per il tramite di una società esterna all’uopo nominata responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, aveva ad oggetto in particolare la circostanza che l’Istituto non è stato in grado di dimostrare, comprovare e circostanziare di avere posto in essere misure effettivamente idonee a scongiurare il rischio di re-identificazione degli interessati in fase di diffusione.

Il Garante ha avuto modo di osservare che, dopo l’operazione di anonimizzazione/aggregazione dei risultati statistici oggetto di diffusione, la verifica del rischio dei reidentificazione degli interessati, richiede che il titolare individui misure concrete, realizzabili in modalità automatizzata e sottratte a valutazioni ictu oculi condotte solo in via eventuale e non sistematica, per evitare la pubblicazione dei c.d. “ipercubi”, ossia combinazioni di intervalli di variabili, contenenti un numero di unità statistiche inferiori a 3 unità.

Il controllo effettuato ex post dall’INPS in modalità manuale e a campione, comporta che alcune delle diffusioni operate non siano oggetto di alcuna verifica. Tale prassi costituisce una criticità ancora più rilevante se si tiene conto che l’efficacia della tecnica della K-anoniminity (che deve essere valutata in concreto) va ponderata in base alle caratteristiche di ciascuna rilevazione legate al grado di “diversità” delle unità statistiche incluse in ciascuna classe di equivalenza[20].

6. Verifiche sul trattamento di dati effettuato da imprese che gestiscono call center e servizi di email marketing utilizzando in modo illegittimo indirizzari e banche dati.

Le verifiche condotte dal Garante e/o dalla Guardia di Finanza hanno evidenziato come i call center non sempre controllano la regolarità delle liste acquistate dai propri partner commerciali. Nel caso specifico non avevano verificato l’origine dei dati né se agli utenti fosse stata resa l’informativa e se fossero stati acquisiti i consensi dei destinatari della campagna promozionale.[23]

Inoltre, il call center nel corso delle telefonate non aveva fornito le proprie generalità.

La società, infine, non aveva regolamentato l’esercizio dei diritti degli interessati.

Gli articoli violati risultano essere i seguenti:

– art. 5, par. 1, lett. a), d) e lett. f), 5, par. 2, 6, par. 1, lett. a), 24 par. 1, 25 e 28 del Regolamento, nonché dell’art. 130, commi 3 e 3-bis, del Codice, per aver effettuato trattamenti di dati personali di utenti e contraenti del settore energetico in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento.

7. Accertamenti relativi all’attivazione di contratti non richiesti nel settore energetico.

Riguardo agli accertamenti condotti dal Garante e/o dalla Guardia di Finanza in relaziona all’attivazione di contratti non richiesti nel settore energetico[25] è emerso che “gli elementi e i documenti complessivamente acquisiti nel corso dell’istruttoria, restituiscono un preoccupante quadro di non conformità con riferimento alla normativa sulla tutela dei dati personali risalente all’epoca dei fatti oggetto di contestazione e ad oggi non del tutto risolto, reso ancora più grave e manifesto se considerato alla luce del costante orientamento espresso dall’Autorità nell’ambito dei numerosi provvedimenti adottati in materia di telemarketing.”

La peculiarità del settore in esame non manleva il titolare del trattamento dagli obblighi e dalle responsabilità sancite dalla normativa vigente in materia di protezione dei dati personali; neppure a fronte di clausole che scaricherebbero in capo ad altri soggetti che compongono la filiera del trattamento dati, come i call center e/o le società che acquisiscono e mettono a disposizione gli elenchi.

Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento in virtù del principio di accountability, ai sensi dell’art. 24 del Regolamento è tenuto a porre in essere misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alla normativa vigente in materia di protezione dei dati personali.

Peraltro, quale logico precipitato del richiamato principio di accountability, l’art. 28 del Regolamento impone da un lato che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’interessato (cd. culpa in eligendo). Dall’altro lato, la norma in parola pone in capo al titolare anche una serie di obblighi di vigilanza e controllo sull’operato del responsabile del trattamento (cd. culpa in vigilando).

I rilievi fin qui emersi, dunque, restituiscono un quadro di non completa efficacia dei controlli e delle misure di sicurezza sull’intera filiera che dal “contatto”, consente di giungere al “contratto”.

La predisposizione di controlli, come risulta agli atti, di carattere solo formale ed ex ante sulle agenzie partner denota, infatti, un recepimento solo formalistico dei principi regolamentari ed espone la società al rischio concreto di inefficacia delle misure previste, come in effetti è avvenuto.

Ne deriva un giudizio di complessiva carenza con riferimento al rispetto dei principi posti a tutela della responsabilità e della responsabilizzazione del titolare del trattamento, nonché delle norme specifiche in materia di sicurezza del trattamento (cfr. artt. 5, par. 1 lett. f), 5 par. 2, 24, par. 1, 25, par. 1 e 32 del Regolamento).

Tali tipologie di controllo sono previste anche dall’art. 16 del Codice di condotta per le attività di telemarketing e teleselling (consultabile sul sito www.Garanteprivacy.it doc-web n. 9868813 – Provv. GPDP n. 70 del 9 marzo 2023 – in GU n.73 del 27-3-2024), che a prescindere dall’adesione, presenta un’indubbia valenza in termini di best practies, nella parte in cui prevede che «1. I titolari del trattamento adottano procedure organizzative e/o tecniche finalizzate a comprovare che i dati dell’interessato/contraente/utente siano stati acquisiti nel rispetto dei principi di cui all’art. 5, par. 1, del Regolamento; in particolare, tenuto conto del principio di proporzionalità, mediante misure by default, gli stessi implementano nei sistemi apposite procedure che individuino le campagne promozionali, le liste di contatto e gli operatori coinvolti in ogni contratto concluso a distanza e siano in grado di comprovare la correttezza delle informazioni di cui sopra.

Il Garante ha rilevato la presenza delle seguenti violazioni:

a) degli artt. 5, par. 1, lett. a) e lett. f), 5, par. 2, 6, par. 1, lett. a), 24 par. 1, 25, 28 e 32 del Regolamento per la mancata predisposizione di idonee misure di sicurezza tecniche e organizzative e di controlli nei confronti della filiera commerciale e dei partner;

b) dell’art. 130, commi 3 e 3-bis, del Codice per degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. a) del Regolamento per avere contattato 106 numerazioni telefoniche nell’ambito delle attività di telemarketing, in costanza dell’iscrizione delle medesime utenze all’RPO – e quindi del meccanismo di opt-out – determinato dalla vigente normativa.

8. Verifiche sull’utilizzo di dati biometrici per l’ammissione agli esami della patente di guida presso gli uffici della Motorizzazione civile.

Premesso che per «dati biometrici» si intendono i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici; (C51)

Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali, dal momento che il contesto del loro trattamento potrebbe creare rischi significativi per

i diritti e le libertà fondamentali. Tra tali dati personali dovrebbero essere compresi anche il trattamento di fotografie che però non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica. Tali dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici di cui al presente Regolamento, tenendo conto del fatto che il diritto degli Stati membri può stabilire disposizioni specifiche sulla protezione dei dati per adeguare l’applicazione delle norme del presente Regolamento ai fini della conformità a un obbligo legale o dell’esecuzione di un compito di interesse pubblico o per l’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Oltre ai requisiti specifici per tale trattamento, dovrebbero applicarsi i principi generali e altre norme del presente Regolamento, in articolare per quanto riguarda le condizioni per il trattamento lecito.

Come noto, il 25 ottobre 2023 il ministero delle Infrastrutture e dei trasporti (Mit) ha introdotto l’utilizzo del riconoscimento facciale all’esame teorico della patente.

L’obiettivo del progetto è quello di ridurre i tempi di esecuzione delle prove di esame di teoria per aumentare la capacità di offerta dei singoli Uffici di fronte a una domanda non sempre soddisfatta nei tempi attesi dall’utenza”. Per questa ragione il ministero, per quanto di stretto interesse in questa sede, ha disposto di velocizzare il processo di riconoscimento del candidato.

Nella pratica, gli esami teorici della patente si svolgono attraverso due passaggi. Il candidato che si reca in motorizzazione deve oltrepassare il “sistema Varco”: un tornello controllato da un tablet che, grazie a una webcam incorporata, è in grado di verificare se il volto (i dati biometrici) corrisponde a quello immortalato sulla fototessera presentata all’iscrizione, e all’appuntamento in quel giorno e a quell’ora.

A tal fine, la telecamera del tablet acquisisce le immagini dei volti per gli istanti strettamente necessari (“near real time”) alla loro codifica in template biometrico. Ossia un’immagine che non sarebbe più riconducibile ai dati personali dei candidati e che viene confrontata poi con le fotografie di coloro che si sono iscritti alla sessione del giorno.

Il template è conservato fino alla fine della sessione in un archivio digitale, istituito presso ciascun ufficio della motorizzazione e collegato al sistema informativo Simot, utile al secondo passaggio. L’immagine del volto è invece cancellata irreversibilmente subito dopo la creazione del template.

Dopo l’autenticazione, quando ci si siede davanti al pc per la prova teorica, il volto del candidato viene analizzato nuovamente per avviare l’esame nonché per operare una verifica continua della sua identità biometrica. I casi di falsi positivi, che occorrono nel momento in cui il volto di una persona viene erroneamente identificato con il nome e il cognome di un’altra (uno dei principali rischi del riconoscimento facciale), sarebbero scongiurati dall’intervento umano. “In caso di esito negativo del confronto automatico, l’eccezione viene segnalata all’esaminatore che procede alla gestione dell’evento secondo le direttive vigenti che prevedono un confronto “a vista” fra il volto del candidato e la foto presente in archivio”. Il personale della motorizzazione, anche se in numero minore, sarebbe comunque un presidio per il corretto funzionamento del sistema, controllando manualmente eventuali errori.

Per quanto attiene alle problematiche relative al trattamento dei dati personali la dotazione prevede un computer e un monitor con webcam.

L’analisi dei rischi condotta dal Mit classifica come “basso” il rischio di falsificazione biometrica, di perdita accidentale di dati nonché di furto o scambio di identità biometrica dei candidati sottoposti a esame teorico della patente.

E’ classificato come “Medio” invece il rischio di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta dei dati: potenziali rischi, dice il ministero, “che possono verificarsi a seguito di accessi non autorizzati al sistema o per via di condotte scorrette (dolose o colpose) dei responsabili/incaricati” e che “costituiscono profili da presidiare con estrema attenzione”.

Il Garante per la protezione dei dati personali ha aperto una istruttoria che prevede lo svolgimento di un’apposita attività ispettiva da svolgersi, per l’appunto, nel corso del primo semestre dell’anno 2025.

In attesa di conoscere gli esiti delle ispezioni possiamo provare a individuare alcuni aspetti che i titolari di siffatti trattamenti devono prendere in considerazione prima di avviare i trattamenti stessi.

L’assenza di alternative al trattamento di dati biometrici;

la modalità di autenticazione biometrica all’esame;

il rispetto del principio di proporzionalità dello strumento.

9. Prosecuzione delle verifiche sull’utilizzo dei cookie di profilazione in relazione alle Linee guida del 10 giugno 2021 e tenendo conto delle segnalazioni e dei reclami pervenuti al Garante.

Come noto, Il considerando 30 del Regolamento espressamente afferma che “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

Come è noto, i cookie sono di regola stringhe di testo che i siti web (cd. Publisher, o “prime parti”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.

I terminali cui ci si riferisce sono, ad esempio, un computer, un tablet, uno smartphone, ovvero ogni altro dispositivo in grado di archiviare informazioni. Già oggi, e ancor più in futuro, tra essi occorre annoverare anche i cd. dispositivi IoT (Internet of Things, o Internet delle cose), i quali sono progettati per connettersi alla rete e tra loro per fornire servizi di varia natura, non necessariamente limitati alla mera comunicazione.

I software per la navigazione in internet e il funzionamento di questi dispositivi, ad esempio i browser, possono memorizzare i cookie e poi trasmetterli nuovamente ai siti che li hanno generati in occasione di una successiva visita del medesimo utente, mantenendo così memoria della sua precedente interazione con uno o più siti web.

Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.

I cookie possono dunque svolgere importanti e diverse funzioni, tra cui il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico.

Per quanto di stretto interesse in questa sede, i cookie possono essere classificati in macro categorie:

– i cookie tecnici, utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice);

– i cookie di profilazione, utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile al titolare, tra l’altro, anche modulare la fornitura del servizio in modo sempre più personalizzato al di là di quanto strettamente necessario all’erogazione del servizio, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete.

Le Linee guida in materia di cookie, in vigore dal 9 gennaio 2022, prescrivono la necessità di:

informare gli utenti rispetto ai cookie utilizzati dai siti web, mediante un’apposita Cookie Policy. I siti devono essere dotati di un banner di informativa breve sull’utilizzo dei cookie, che rimandi alla Cookie Policy in versione estesa;

raccogliere un consenso preventivo, espresso e specifico dell’utente in relazione all’utilizzo di cookie di profilazione a fini di marketing. Il consenso deve poter essere negato, revocato o modificato da parte dell’utente attraverso specifiche opzioni presenti all’interno del banner di informativa breve sui cookie.

Il regime sanzionatorio che si applica per mancato rispetto delle Linee guida[27] comporta la comminazione di sanzioni ammnistrative pecuniarie dai 6.000 ai 36.000 euro in caso di omessa o inidonea informativa sull’utilizzo di cookie, e dai 10.000 ai 120.000 euro in caso di installazione di cookie senza il preventivo consenso dell’utente.[28]

È vietata l’installazione dei cookie per finalità di profilazione e marketing da parte dei gestori dei siti senza aver prima informato gli utenti e aver ottenuto il loro consenso. Chi naviga on line potrà quindi decidere in maniera libera e consapevole se far usare o no le informazioni raccolte sui siti visitati per ricevere pubblicità mirata.

Ciò è quanto stabilito dal Garante con un provvedimento generale pubblicato sulla Gazzetta ufficiale, adottato al termine di una consultazione pubblica, nel quale ha individuato modalità semplificate per rendere agli utenti l’informativa on line sull’uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge.

Per proteggere la privacy degli utenti e consentire loro scelte più consapevoli, il Garante ha dunque stabilito che, d’ora in poi quando si accede alla home page o ad un’altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
che il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.
Per quanto riguarda l’obbligo di tener traccia del consenso dell’utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l’informativa breve alla seconda visita dell’utente.

L’utente mantiene, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l’informativa estesa, che deve essere linkabile da ogni pagina del sito.

Il meccanismo di acquisizione del consenso on line dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).

Per quanto concerne i tempi di conservazione relativi ai principali documenti contenenti i dati oggetto di trattamento, nella griglia sottostante si riportano le seguenti casistiche:

10. Prosecuzione degli accertamenti nei confronti di società che gestiscono sistemi di videoallarme.

In tema di trattamento dei dati attraverso un sistema di videosorveglianza e/o di video allarme non è più prevista alcuna autorizzazione da parte del Garante per installare sistemi video.In base al principio di responsabilizzazione (art. 5, par. 2, del Regolamento), spetta al titolare del trattamento (azienda, Pubblica Amministrazione, professionista, condominio, etc…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, altresì, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.”

Le fattispecie di obbligo della valutazione di impatto sono le seguenti:

sistemi di videosorveglianza abbinati a dati biometrici;
impianti dotati di software, che consentono il riconoscimento delle persone;
sistemi intelligenti, che sono in grado di rilevare automaticamente comportamenti o eventi anomali, segnalarli ed eventualmente registrarli;
sistemi intelligenti di videosorveglianza (head counting, gender recognition etc.);
sistemi integrati di videosorveglianza, cioè sistemiche collegano videocamere tra più soggetti diversi. Rientrano in questa categoria tutti gli impianti collegati ad un Security Operation Center o ad una Centrale Operativa;
eccezioni sul prolungamento dei tempi di conservazione delle immagini oltre il termine previsto di massimo sette giorni.

La finalità sottesa all’obbligo di allestire un’apposita cartellonistica è quella di fornire agli interessati – i soggetti ripresi dai sistemi di videosorveglianza installati – devono essere sempre informati (ex art. 13 del Regolamento) che stanno per accedere in una zona videosorvegliata, anche in occasione di eventi e spettacoli pubblici (concerti, manifestazioni sportive, etc…) e a prescindere dal fatto che chi tratta i dati sia un soggetto pubblico o un soggetto privato.

Per quanto attiene ai tempi di conservazione dei dati, le immagini registrate devono essere conservate per quanto necessario e per le finalità per le quali sono state acquisite.
Spetta, quindi, al titolare del trattamento individuare i tempi di conservazione delle immagini, tenuto conto del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche.

Ad esempio nell’ambito dell’utilizzo da parte dei Comuni di sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico per la tutela della sicurezza urbana, “la conservazione dei dati, delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza è limitata ai sette giorni successivi alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione”.

Gli scopi legittimi della videosorveglianza sono spesso la sicurezza e la protezione del patrimonio. Tenendo conto dei principi di minimizzazione dei dati e limitazione della conservazione, i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni, preferibilmente tramite meccanismi automatici.

Quanto più prolungato è il periodo di conservazione previsto (soprattutto se superiore a 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.

Ad esempio, il titolare di un piccolo esercizio commerciale si accorgerebbe di eventuali atti vandalici il giorno stesso in cui si verificassero. Un periodo di conservazione di 24 ore è quindi sufficiente. La chiusura nei fine settimana o in periodi festivi più lunghi potrebbe tuttavia giustificare un periodo di conservazione più prolungato.

È comunque possibile prolungare il tempo di conservazione delle immagini qualora tale attività sia necessaria a fini giudiziari in relazione ad indagini in corso.

Nelle FAQ del Garante evince la possibilità di installare sistemi di videosorveglianza da parte di persone fisiche per fini personali. Nel caso di videosorveglianza residenziale, al fine di evitare di incorrere nel reato di interferenze illecite nella vita privata (art. 615-bis c.p.), le riprese devono essere limitate esclusivamente agli spazi di pertinenza, escludendo aree comuni quali giardini, box, scale, oltre ad aree pubbliche e/o di passaggio.

Per quanto riguarda invece le telecamere installate all’interno dell’abitazione privata, esse sono ammesse, ma in caso di presenza di collaboratori quali baby sitter, colf, etc.. quest’ultimi devono essere correttamente informati.

È altresì ammessa l’installazione di sistemi di videosorveglianza all’interno dei condomini, è però necessario che l’installazione avvenga previa assemblea condominiale, con il consenso della maggioranza dei millesimi dei presenti (art. 1136 c.c.).

È indispensabile inoltre che le telecamere siano segnalate con appositi cartelli e che le registrazioni vengano conservate per un periodo limitato. Solitamente per i condomini il termine di conservazione delle immagini non supera i 7 giorni.

Videosorveglianza e PA: le regole

Con il D.L. n. 14/2017 convertito in L. n. 48/2017 è stato introdotto nell’ordinamento un insieme di regole finalizzate alla prevenzione ed al contrasto dei fenomeni di criminalità diffusa anche attraverso l’installazione di sistemi di videosorveglianza da parte della PA.

Ancora, il D.L. 76/2020, convertito in L. 120/2020, ha previsto una semplificazione all’attuale regolamentazione degli impianti di videosorveglianza installati dagli Enti locali, allo scopo di equipararne il regime di installazione a quello – più favorevole – previsto per le amministrazioni statali. Questo ha una sua logica nel fatto che tali strumenti sono particolarmente utili per la lotta alla delinquenza.

La PA può ricorrere all’installazione di impianti di video sorveglianza solo come misura residuale cui ricorrere nelle ipotesi in cui le finalità sottese a suddetta installazione non sia raggiungibili attraverso misure di trattamento meno invasive; e devono, quindi, rispettare i principi di cui all’art. 5 del Regolamento, in primis: liceità, necessità, proporzionalità e trasparenza.

In particolare, oltre alla liceità e alla extrema ratio che governano le riprese dovranno essere utilizzate solo per quanto strettamente necessario e non eccedente le finalità giustificatrici dell’utilizzo del sistema, che a loro volta dovranno essere determinate, esplicite e legittime.

Il regime sanzionatorio applicato dal Garante in tema di videosorveglianza da parte della PA, è espungibile dalla lettura del Provvedimento 18 luglio 2023, n. 312.

Con suddetto intervento l’Autorità ha comminato una multa di 45.000 euro ad un Comune siciliano per aver installato alcune telecamere per il controllo della raccolta differenziata dei rifiuti in violazione della disciplina sulla privacy.

Senonché, nel caso in esame, un cittadino aveva fatto una serie di segnalazioni dopo aver ricevuto alcune multe per aver conferito i rifiuti indifferenziati in modo errato. Gli accertamenti della violazione sarebbero avvenuti più di un mese dopo la registrazione dei filmati, effettuata senza che i cittadini fossero stati adeguatamente informati della presenza delle telecamere e del trattamento dei dati. Il Comune, cioè, si era sostanzialmente limitato ad apporre un cartello direttamente sul cassonetto, poco visibile e sprovvisto delle informazioni richiesta dalla normativa in materia di privacy.

Inoltre, il Comune multato non aveva in alcun modo precisato o individuato i tempi di conservazione dei dati e non aveva esplicitamente nominato, con apposito contratto, le aziende responsabili del trattamento prima dell’inizio dello stesso, come è invece previsto dalla normativa. Anche le aziende, quindi, agivano illecitamente, e pertanto anch’esse sono state sanzionate: una con una multa di 10.000 euro per non essere mai stata nominata responsabile del trattamento, l’altra con una multa di 5.000 euro, per essere stata nominata in ritardo.

11. Conclusione del ciclo di ispezioni sui gestori dell’identità digitale (SPID) e sulla filiera dei soggetti di cui essi si avvalgono per il rilascio di servizi fiduciari (SPID e firma digitale).

Come noto, l’art. 64 del CAD prevede l’istituzione del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese” (“SPID”), mentre il decreto del Presidente del Consiglio dei Ministri del 24 ottobre 2014 recante “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese” (di seguito “DPCM”), ne ha definito le caratteristiche, nonché i tempi e le modalità di adozione dello stesso, da parte delle pubbliche amministrazioni e delle imprese. L’art. 4, commi 2, 3 e 4, ha previsto, in particolare, l’adozione, da parte di AgID, di specifici regolamenti volti ad attuare le predette disposizioni in materia di SPID, previo parere del Garante.

Successivamente, con determina AgiD n. 44/2015, sono stati emanati i regolamenti volti a individuare le regole tecniche e le modalità attuative per la realizzazione dello SPID (in attuazione dell’art. 4, comma 2, del DPCM); definire le modalità di accreditamento dei soggetti SPID (cfr. art. 4, comma 3); definire le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale (cfr. art. 4, comma 4).

A decorrere dal 2021, per accedere ai servizi on-line della Pubblica Amministrazione

Lo SPID è il “sistema pubblico per l’Identità Digitale” promosso dall’AgID (Agenzia Italiana per il Digitale), che tramite un solo account garantisce l’accesso, ad esempio, ai servizi di Inps, Inail, Agenzia delle Entrate, alle amministrazioni pubbliche e ai servizi fiscali.

Le condizioni per poter ottenere lo SPID sono:

Aver raggiunto la maggiore età;
Essere in possesso di un documento di riconoscimento valido;
Essere in possesso della tessera sanitaria e del codice fiscale
Avere un indirizzo e-mail funzionante e di un recapito di telefonia mobile.

L’attivazione dello SPID evita il dover creare singoli account per accedere ai servizi delle differenti P.A.

Il fine dello SPID è, quello d’incentivare l’utilizzo dei servizi pubblici digitali ed è per tale motivo che l’AgID, in un’ottica di semplificazione, ha introdotto procedure per il rilascio da remoto dell’identità digitale richiedendo al Garante per la protezione dei dati personali di valutarne la conformità rispetto alla normativa privacy.

A seguito dello scrutinio condotto dal garante relativamente all’utilizzo dello SPID è emerso che la criticità della procedura di identificazione degli interessati da remoto risiede, di fatto, nella mancata compresenza del richiedente e dell’operatore che deve verificarne l’identità e autorizzare il rilascio dello SPID.

Con il Provvedimento n. 163 del 17 settembre 2020 il Garante ha ammesso, ritenendola conforme alla normativa privacy, la nuova modalità di attivazione dello SPID da remoto.

La procedura è stata rafforzata da specifiche misure di sicurezza e verifiche incrociate.

In sintesi, per ottenere l’identità digitale da remoto è necessario:

registrarsi sul sito di uno dei gestori di identità digitale accreditati da AgID (Identity Provider), tra i quali possiamo citare: Aruba, Infocert, Poste Italiane, Register.it. Alcuni di questi offrono anche il servizio a soggetti residenti all’estero;
Eseguire una registrazione video on-line nella quale si deve esibire uno dei documenti di riconoscimento citati in precedenza, ciò al fine di evitare tentativi di furti di identità. Durante il video si deve anche citare un codice ricevuto via sms o tramite apposita app installata sul dispositivo personale;
Effettuare un bonifico, da un proprio conto corrente italiano, indicando nella causale un codice specifico inviato dall’Identity Provider. Il bonifico è considerato ulteriore elemento di verifica dell’identità.

Come elementi di garanzia aggiuntivi, il Garante ha richiesto:

che la registrazione audio-video e tutti i dati acquisiti siano sottoposti a verifica da parte dell’operatore deputato al rilascio dello SPID;
ulteriori e incrociati controlli “a campione” delle richieste pervenute, da parte di un secondo operatore;
che trascorso un periodo di test di sei mesi dall’adozione della nuova procedura, l’AgID al fine di valutare l’efficacia del controllo effettuato dal secondo operatore, trasmetta un report con l’esito di queste verifiche;
l’invio di report settimanali (redatti dagli Identity Provider) relativi alle richieste di rilascio respinte in ragione di profili critici configurabili come “tentativi fraudolenti”.

12. Prosecuzione degli accertamenti presso gli istituti scolastici in ordine al trattamento dei dati svolto attraverso i registri elettronici.

Come noto. il registro scolasticoè un documento previsto dal sistema scolastico italiano.

L’obbligo venne sancito dall’art 41 del regio decreto aprile 1924, n. 965.

Il decreto legge del 6 luglio 2012, n. 95, convertito con modificazioni dalla legge 7 agosto 2012 n. 135, ha introdotto l’obbligo del registro elettronico: il relativo comma 31, tuttavia, è perlopiù interpretato come ordinatorio e non perentorio, in quanto il vero e proprio obbligo scatterà una volta che sarà attuato – e approvato dal Garante della Privacy– il “Piano di dematerializzazione” del Ministero dell’Istruzione

Come ogni atto pubblico, non deve essere contraffatto o distrutto. L’insieme dei registri vale anche ad attestare la presenza del docente in classe, come stabilito dalla Corte di cassazione sezione lavoro con sentenza n. 11025/2006.

Laddove le scuole abbiano adottato integralmente il registro elettronico on line, la validità del documento amministrativo (registri e pagelle) nel formato informatico è normata dall’articolo 20 del D. lgs. 82/2005 che indica oggettive caratteristiche di “qualità, sicurezza, integrità e immodificabilità”, tutte da dimostrare in assenza di certificazione dal Garante della Privacy, e alla sottoscrizione con “firma elettronica avanzata, qualificata o digitale, che garantiscano l’identificabilità dell’autore, l’integrità e l’immodificabilità del documento” di docenti e Dirigente Scolastico (art 21), che sono a tutti gli effetti pubblici ufficiali (secondo le sentenze n.12726/2000 e n. 714/201 della V sezione penale della Corte di Cassazione).[29]

In merito al registro elettronico e al trattamento dei dati, le scuole dovrebbero possedere i seguenti documenti:

Nomina del fornitore quale responsabile del trattamento, ex art. 28 del GDPR

Documentazione relativa alle misure di sicurezza tecniche e organizzative adottate dal fornitore

Informativa privacy relativa al trattamento dei dati degli alunni e del personale scolastico

L’impiego del registro elettronico è, relativamente alla gestione dei dati, regolamentato da un contratto, poiché il fornitore del servizio tratta i dati di studenti, genitori, docenti, amministrativi e altro personale per conto della scuola.

Il fornitore, perciò, deve essere designato responsabile del trattamento e, in quanto tale,fornire all’istituto adeguate garanzie in ordine alle misure di sicurezza tecniche e organizzative adottate.

Il responsabile è quindi un soggetto esterno all’organizzazione, che svolge una o più operazioni di trattamento su richiesta o delega del titolare in modo lecito e legittimo, negli ambiti di propria competenza definiti dell’atto di nomina.

Tale designazione contiene gli obblighi e i limiti del trattamento dei dati per il responsabile, tra cui la durata, le natura e le finalità, nonché il tipo di dati personali e le categorie di interessati, e gli obblighi e i diritti del titolare.

Più genericamente, si ricorda che, prima di ricorrere a un responsabile del trattamento, le scuole devono verificare che quest’ultimo presenti garanzie sufficienti per mettere in atto opportune misure tecniche a tutela dei diritti degli interessati.

Al fine di ottenere maggiore trasparenza,è inoltre opportuno che le scuole, all’interno delle loro informative privacy relative al trattamento dei dati, specifichino a studenti, genitori e personale scolastico, con un linguaggio facilmente comprensibile anche ai minori,che i loro dati possono essere legittimamente comunicati all’azienda fornitrice del registro elettronico, e che le finalità perseguite sono limitate esclusivamente al perseguimento dei compiti istituzionali della scuola.

13. Altri accertamenti nei confronti di soggetti pubblici e privati, al fine di verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, ivi incluse le istruttorie relative a reclami e segnalazioni formali proposti all’Autorità ed in istruttoria presso i relativi Dipartimenti e Servizi.

Non avendo conoscenza dei singoli trattamenti che saranno oggetto dell’attività ispettiva del Garante non è possibile approfondire l’argomento, fermo restando che in caso di violazioni degli articoli inseriti nelle griglie presenti in questo documento, si farà riferimento a quanto esplicitato in tale sede.

[1] Art. 157 (Richiesta di informazioni e di esibizione di documenti)

1. Nell’ambito dei poteri di cui all’articolo 58 del Regolamento, e per l’espletamento dei propri compiti, il Garante puo’ richiedere al titolare, al responsabile, al rappresentante del titolare o del responsabile, all’interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati.

[2] Art. 158 (Accertamenti)

1. Il Garante puo’ disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali.

2. I controlli di cui al comma 1, nonche’ quelli effettuati ai sensi dell’articolo 62 del Regolamento, sono eseguiti da personale dell’Ufficio, con la partecipazione, se del caso, di componenti o personale di autorita’ di controllo di altri Stati membri dell’Unione europea.

3. Il Garante si avvale anche, ove necessario, della collaborazione di altri organi dello Stato per lo svolgimento dei suoi compiti istituzionali.

4. Gli accertamenti di cui ai commi 1 e 2, se svolti in un’abitazione o in un altro luogo di privata dimora o nelle relative appartenenze, sono effettuati con l’assenso informato del titolare o del responsabile, oppure previa autorizzazione del presidente del tribunale competente per territorio in relazione al luogo dell’accertamento, il quale provvede con decreto motivato senza ritardo, al piu’ tardi entro tre giorni dal ricevimento della richiesta del Garante quando e’ documentata l’indifferibilità dell’accertamento.

5. Con le garanzie di cui al comma 4, gli accertamenti svolti nei luoghi di cui al medesimo comma possono altresi’ riguardare reti di comunicazione accessibili al pubblico, potendosi procedere all’acquisizione di dati e informazioni on-line. A tal fine, viene redatto apposito verbale in contradditorio con le parti ove l’accertamento venga effettuato presso il titolare del trattamento.

[3] Articolo 58 Poteri (C122, C129)

1. Ogni autorità di controllo ha tutti i poteri di indagine seguenti:

a) ingiungere al titolare del trattamento e al responsabile del trattamento e, ove applicabile, al rappresentante del titolare del trattamento o del responsabile del trattamento, di fornirle ogni informazione di cui necessiti per l’esecuzione dei suoi compiti;

b) condurre indagini sotto forma di attività di revisione sulla protezione dei dati;

c) effettuare un riesame delle certificazioni rilasciate in conformità dell’articolo 42, paragrafo 7;

d) notificare al titolare del trattamento o al responsabile del trattamento le presunte violazioni del presente Regolamento;

e) ottenere, dal titolare del trattamento o dal responsabile del trattamento, l’accesso a tutti i dati personali e a tutte le informazioni necessarie per l’esecuzione dei suoi compiti; e

f ) ottenere accesso a tutti i locali del titolare del trattamento e del responsabile del trattamento, compresi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell’Unione o il diritto processuale degli Stati membri.

2. Ogni autorità di controllo ha tutti i poteri correttivi seguenti:

a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente Regolamento;

b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente Regolamento;

c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal presente Regolamento;

d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente Regolamento, se del caso, in una determinata maniera ed entro un determinato termine;

e) ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;

f ) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;

g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento

a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell’articolo 17, paragrafo 2, e dell’articolo 19;

h) revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di

certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;

i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e

j) ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.

3. Ogni autorità di controllo ha tutti i poteri autorizzativi e consultivi seguenti:

a) fornire consulenza al titolare del trattamento, secondo la procedura di consultazione

preventiva di cui all’articolo 36;

[4] Deliberazione del 4 aprile 2019 – Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (Pubblicato sulla Gazzetta Ufficiale n. 106 dell’8 maggio 2019)Registro dei provvedimenti n. 98 del 4 aprile 2019

Link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9107633

[5] Protocollo d’intesa tra il Garante per la protezione dei dati personali e la Guardia di Finanza 2021. Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9570071

[6] Articolo 4 Definizioni

Ai fini del presente Regolamento s’intende per:7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri; (C74)

[7] Deliberazione del 19 dicembre 2024 – Attività ispettiva curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo gennaio/giugno 2025. Registro dei provvedimenti n. 808 del 19 dicembre 2024

[8] Direttiva del Parlamento europeo e del Consiglio dell’11 marzo 1996, relativa alla tutela giuridica delle banche di dati (pubblicata in G.U.C.E.L. n. 77 del 27 marzo 1996), si compone di 60 consideranda e di una parte dispositiva di 17 articoli. Nella causa c-46/02, davanti alla Corte di Giustizia europea si legge che “la finalità di questa direttiva è di incentivare e tutelare gli investimenti nei sistemi di ‘memorizzazione’ e ‘gestione’ dei dati che contribuiscono allo sviluppo del mercato delle informazioni”.

[9] Articolo 33 Notifica di una violazione dei dati personali all’autorità di controllo (C85, C87, C88)

1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà

delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.

3. La notifica di cui al paragrafo 1 deve almeno:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese

le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.

[10] Articolo 5 Principi applicabili al trattamento di dati personali

(omissis)

2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)

[11] Articolo 5 Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

(omissis)

c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

[12] Articolo 35 Valutazione d’impatto sulla protezione dei dati (C84, C89-C93, C95)

1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti

previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.

3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

4. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.

5. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.

6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.

7. La valutazione contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.

9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

10. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del tratta- mento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.

11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

[13] Articolo 5 Principi applicabili al trattamento di dati personali

1. I dati personali sono: (C39)

(omissis)

f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

[14] Il censimento, la classificazione e l’aggiornamento degli asset avviene attraverso un sistema completamente automatico, che consenta di gestire l’intero ciclo di vita di un asset (identificazione, assegnazione, cambiamenti di stato, dismissioni).

[15] Articolo 89 Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (C33, C156-C163)

1. Il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l’interessato, tali finalità devono essere conseguite in tal modo.

[16] Cfr. Parere 05/2014 sulle tecniche di anonimizzazione adottato dal Gruppo Art. 29, il 10 aprile 2014 e le Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita, Versione 2.0, Adottate dal Comitato europeo per la protezione dei dati il 20 ottobre 2020.

[17] A tale riguardo, il Gruppo Articolo 29 ha evidenziato che essa vale “a ridurre la correlabilità di un insieme di dati all’identità originaria di una persona interessata, e rappresenta pertanto una misura di sicurezza utile (WP216, 05/2014 sulle tecniche di anonimizzazione adottato il 10 aprile 2014)” ma certamente costituisce anche una misura di minimizzazione dei dati che realizza e rende operativo il principio di necessità. Tra gli elementi principali della progettazione e dell’impostazione predefinita, relativi alla minimizzazione dei dati, figura infatti anche quella della pseudonimizzazione dei dati (cfr. par. 3.5. Linee guida 4/2019 del Comitato europeo per la protezione dei dati).

[18] Cfr. Linee guida 4 del 2019 cit., provv. del Garante del 23 gennaio 2020, doc web n. 9261093.

[19] In particolare, il Comitato europeo per la protezione dei dati ha ritenuto necessaria la valutazione di impatto (Vip) tutte le volte in cui i trattamenti possano presentare un alto rischio per i diritti e le libertà delle persone fisiche, intendendosi per tali in particolare quelli che prevedono: i) la valutazione o assegnazione di un punteggio; ii) il processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sull’interessato; iii) il monitoraggio sistematico; iv) il trattamento dati sensibili o dati aventi carattere altamente personale; v) il trattamento di dati su larga scala; vi) la creazione di corrispondenze o combinazione di insiemi di dati; vii) il trattamento di dati relativi a interessati vulnerabili; viii) l’uso innovativo o applicazione di nuove soluzioni tecnologiche o organizzative; ix) trattamenti che impediscono agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto. In particolare, il Comitato europeo per la protezione dei dati ritiene che la Vip debba essere certamente svolta tutte le volte che ricorrono contestualmente almeno due dei richiamati criteri (Linee guida del 4 ottobre 2017, cit.).

[20] cfr. Provv. del 2 marzo 2023, doc. web 9875254 e del 18 luglio 2023, doc. web 9920977.

[21] Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78)

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costi- tuiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.

[22] I dati sintetici vengono creati in modo programmatico con tecniche di machine learning per rispecchiare le proprietà statistiche dei dati reali. Quindi, di dati non creati dall’uomo che imitano i dati del mondo reale. Il Regolamento non si applica ai dati “completamente” sintetici o generati da data set contenenti esclusivamente dati non personali. La situazione cambia se questi dati sono stati generati a partire da dati personali e non possono essere considerati “totalmente” anonimi. I dati sintetici non contengono nessun dato personale individuale e rappresentano una soluzione migliore rispetto alla anonimizzazione e alla pseudonimizzazione; in quanto l’anonimizzazione comporta la perdita di ricchezza informativa del data set e la pseudonimizzazione comporta rischi di re-identificazione.

[23] Link: https://www.Garanteprivacy.it/home/docweb/-/docweb-display/docweb/10029424

[24] Articolo 6 Liceità del trattamento

1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (C40)

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (C42, C43)

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; (C44)

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)

d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; (C46)

e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)

f ) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. (C47-C50) La lettera f ) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.

2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto

anche per le altre specifiche situazioni di trattamento di cui al capo IX. (C8, C10, C41, C45, C51)

3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: (C8, C10, C41, C45, C51)

a) dal diritto dell’Unione; o

b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di

trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito. 4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo

1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro: (C50)

a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;

b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;

c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;

d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;

e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

[25] Link: https://www.Garanteprivacy.it/home/docweb/-/docweb-display/docweb/10008076

[26] Il censimento, la classificazione e l’aggiornamento degli asset avviene attraverso un sistema completamente automatico, che consenta di gestire l’intero ciclo di vita di un asset (identificazione, assegnazione, cambiamenti di stato, dismissioni).

[27] Linee guida cookie e altri strumenti di tracciamento – 10 giugno 2021 (Pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021) Registro dei provvedimentin. 231 del 10 giugno 202; link: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9677876

[28] Scrolling: di per sé inadatto alla raccolta di un idoneo consenso, salva la sola ipotesi in cui venga inserito in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.
Cookie wall: illecito, salva l’ipotesi – da verificare caso per caso – nella quale il sito offra all’interessato la possibilità di accedere, senza prestare il proprio consenso all’installazione e all’uso di cookie, ad un contenuto o a un servizio equivalenti, da valutarsi alla luce dei principi del Regolamento.

[29] Link: https://it.wikipedia.org/wiki/Registro_scolastico#:~:text=Il%20decreto%20legge%20n%C2%B0,’anno%20scolastico%202012%2D2013.

[30] Il censimento, la classificazione e l’aggiornamento degli asset avviene attraverso un sistema completamente automatico, che consenta di gestire l’intero ciclo di vita di un asset (identificazione, assegnazione, cambiamenti di stato, dismissioni).

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Il programma dell’attività ispettiva del Garante Privacy per il primo semestre 2025.

About Author / Davide De Luca

Obbligo in capo ai fornitori ed agli utilizzatori di sistemi di IA di garantire un livello sufficiente di alfabetizzazione dei propri dipendenti e di coloro che utilizzano i sistemi per loro conto.

la raccolta dati attraverso il Web per lo svolgimento di attività di telemarketing e di teleselling: il garante fa il punto della questione.

Lascia un commento Annulla risposta

Articoli

Categorie

Il programma dell’attività ispettiva del Garante Privacy per il primo semestre 2025.

About Author / Davide De Luca

Obbligo in capo ai fornitori ed agli utilizzatori di sistemi di IA di garantire un livello sufficiente di alfabetizzazione dei propri dipendenti e di coloro che utilizzano i sistemi per loro conto.

la raccolta dati attraverso il Web per lo svolgimento di attività di telemarketing e di teleselling: il garante fa il punto della questione.

Lascia un commento Annulla risposta

Potrebbe piacerti