nuovo regolamento europeo ztl tcl e internet provider

NUOVO REGOLAMENTO EUROPEO, ZTL, TCL E INTERNET PROVIDER
g) REGOLAMENTO EUROPEO SULLA PROTEZIONE DEI DATI. L´AVV. VALENTINA FREDIANI NE
HA PARLATO AL PRIVACY DAY 2013 ORGANIZZATO DA FEDERPRIVACY
L’annuale convegno Federprivacy a Pisa ha dimostrato che, nonostante tutto, le tematiche inerenti il Codice
della Privacy sono tutt’altro che decadute nell’interesse di aziende, istituzioni e addetti ai lavori. Oltre 800 i
partecipanti al Privacy Day 2013. D’altra parte, che piaccia o meno, la privacy coinvolge un numero
crescente di attività e processi, compresi quelli che riguardano il singolo cittadino nella vita pratica di ogni
giorno.
Investire in conoscenza e aggiornamento significa fare prevenzione e sicurezza. Ne è convinto il Prefetto
Francesco Tagliente che, aprendo i lavori, ha ricordato come sia imprescindibile il binomio tecnologie –
privacy e quanto la mancanza di conoscenza della disciplina giuridica potrebbe indebolire le potenzialità dei
progressi in tema di sicurezza. Una posizione abbracciata con forza, e da sempre dall’Avv. Valentina Frediani,
socia onoraria di Federprivacy e fondatrice del network Consulentelegaleinformatico.it.
Non poteva mancare dunque una partecipazione attiva per raccontare cosa accadrà ora che il Codice
Privacy, come lo abbiamo conosciuto fino a oggi, sarà sostituito dal nuovo Regolamento Europeo sulla
protezione dei dati, entro il 2014.
Nel suo intervento l’Avv. Valentina Frediani ha voluto mettere in luce “Come cambia la figura del
Responsabile con l’arrivo del nuovo Regolamento Europeo sulla protezione dei dati”. Egli dovrà
dimostrare non solo che il trattamento è effettuato in modo conforme al Regolamento stesso,
ma anche l’efficacia delle misure adottate per raggiungere tale scopo. Sua la responsabilità
della conservazione della documentazione, dell’attuazione dei requisiti di sicurezza dei dati,
dell’esecuzione della valutazione d’impatto sulla protezione dei dati e del rispetto dei requisiti
di autorizzazione preventiva o di consultazione preventiva dell´autorità di controllo e del
responsabile della protezione dei dati ai sensi dell´articolo 34, paragrafi 1 e 2. Responsabile e
Incaricato dovranno inoltre notificare eventuali violazioni all’autorità di controllo entro e non
oltre 72 ore dalla venuta a conoscenza. L’interessato dovrà ricevere anch’egli notizia della
violazione, contente informazioni precise e codificate dal Regolamento. Se il responsabile del
trattamento determina finalità, condizioni e i mezzi del trattamento dei dati personali insieme
ad altri, i corresponsabili del trattamento determinano, mediante accordi interni scritti, le
rispettive responsabilità in merito al rispetto degli obblighi derivanti dal regolamento, con
particolare riguardo alle procedure e ai meccanismi per l´esercizio dei diritti dell´interessato.
Qualora tale determinazione manchi o non sia sufficientemente chiara, l´interessato può
esercitare i propri diritti nei confronti di uno qualunque dei responsabili del trattamento, che
sono solidalmente responsabili.
Risulta evidente come lo scopo di un simile Regolamento sia quello di porre la privacy al centro di un
ripensamento di processi aziendali che tutelino l’utente finale / cittadino da un lato, ma anche gli stessi
erogatori di prodotti e servizi. Una visione strategica che valorizza aree aziendali senza ridurre la conformità
normativa a puro onere formale.
Fonte: www.consulentelegaleinformatico.it
h) ZTL: SUI CONTRASSEGNI NIENTE NOMINATIVI PER LE DITTE INDIVIDUALI
Il contrassegno per il transito e la sosta nelle zone a traffico limitato (Ztl) non può contenere,
nella parte visibile a tutti, i dati che identificano direttamente l'interessato, anche nel caso di
intestazione a ditte individuali.
Lo ha precisato il Garante [doc. web n. 2439150] a seguito della segnalazione di un cittadino che lamentava
come sui contrassegni forniti agli agenti di commercio per l'accesso e la sosta nella Ztl della sua città venisse
apposto, oltre ad un ologramma per la lettura ottica e alla targa dell'autovettura, anche il nome e cognome
dell'interessato. Interpellato dal Garante, il servizio competente del Comune aveva spiegato che
effettivamente per i titolari di aziende di commercio e servizi era stata prevista l'apposizione sui
contrassegni della ragione sociale dell'azienda che, qualora venisse esercitata in forma di impresa
individuale, doveva contenere almeno la sigla o il cognome dell'imprenditore.
Il trattamento è pero risultato illecito. Come ha spiegato l'Autorità, l'apposizione sui contrassegni della
ragione sociale dell'azienda individuale, essendo in questo caso idonea a identificare direttamente
l'interessato, configura un trattamento di dati riguardanti le persone fisiche. Questi dati, in base al Codice
privacy, non possono essere indicati sulla parte visibile dei contrassegni rilasciati per la circolazione o la
sosta dei veicoli nelle Ztl, i quali devono contenere invece solo informazioni indispensabili a individuare
l'autorizzazione rilasciata.
L'Autorità ha dunque prescritto al Comune di non apporre in futuro sulla parte dei contrassegni che devono
essere esposti sui veicoli, il nome e cognome dell'interessato eventualmente contenuti nella ragione sociale
dell'azienda esercitata in forma di impresa individuale, ma di indicare solo i dati riguardanti l'autorizzazione.
Il Comune ha sei mesi di tempo per adempiere.
Il Garante, infine, si è riservato con autonomo provvedimento, di verificare i presupposti per contestare al
comune la violazione amministrativa concernente la diffusione di dati personali in mancanza di idonei
presupposti normativi.
Fonte: Comunicato Stampa Newsletter Garante Privacy N. 373 del 24 maggio 2013
i) VIOLAZIONI DELLA PRIVACY COSTOSE PER TLC ED INTENET PROVIDER
Costa caro all'internet provider e alla società di telecomunicazioni non segnalare le violazioni
della privacy al garante e agli interessati. Lo ha precisato il garante nel suo provvedimento generale n.
161/2013, che illustra l'obbligo per società telefoniche e internet provider di avvisare il garante privacy e gli
utenti quando i dati trattati per fornire i servizi subiscono gravi violazioni a seguito di attacchi informatici o di
altro eventi, come incendi o altre calamità, che possano comportare perdita, distruzione o diffusione indebita
di dati.
Il provvedimento stabilisce che l'obbligo di comunicare le violazioni di dati personali, contenuti in
particolare in data base elettronici o cartacei, spetta esclusivamente ai fornitori di servizi
telefonici e di accesso a internet (e non, ad esempio, ai siti internet che diffondono contenuti, ai
motori di ricerca, agli internet point, alle reti aziendali).
Entro 24 ore dalla scoperta dell'evento, società di tlc e Isp devono fornire al garante le
informazioni necessarie a consentire una prima valutazione dell'entità della violazione. In caso
di inadempimento scattano multe salatissime. In base all'articolo 162-ter del codice della privacy (dlgs
196/2003) la omessa comunicazione della violazione di dati personali al garante ex articolo 32-bis, comma 1,
sempre del codice della privacy, e la ritardata comunicazione, e cioè quella effettuata oltre i termini indicati
dal provvedimento del garante, è punita con la sanzione amministrativa del pagamento di una somma da 25
mila a 150 mila euro.
La omessa comunicazione della violazione di dati personali al contraente o ad altra persona ex
32-bis, comma 2, e la ritardata comunicazione, e cioè quella effettuata oltre i termini previsti dal garante è
punita con la sanzione amministrativa del pagamento di una somma da 150 a 1.000 euro per
ciascun contraente o altra persona interessata.
In tale ipotesi c'è un tetto massimo al cumulo materiale delle sanzioni: è il 5% del volume d'affari
realizzato dallo stesso nell'ultimo esercizio chiuso anteriormente alla notificazione della
contestazione della violazione amministrativa. È possibile, però, l'aumento fino al quadruplo se
le sanzioni risultino inefficaci in ragione delle condizioni economiche del contravventore, ai sensi
dell'articolo 164-bis, comma 4 del codice della privacy.
In base all'articolo 162-ter, comma 4, del codice della privacy la violazione della disposizione concernente la
tenuta di un aggiornato inventario delle violazioni di dati personali (altro adempimento a carico di Isp e
società di tlc), è punita con la sanzione amministrativa del pagamento di una somma da 20 mila euro a 120
mila euro.
Le stesse sanzioni previste per i fornitori si applicano anche nei confronti dei soggetti ai quali sia stata
affidata l'erogazione dei servizi, qualora tali soggetti abbiano omesso di comunicare senza ritardo al fornitore
tutte le informazioni necessarie allo stesso per adempiere ai propri obblighi (articolo 162-ter, comma 5).
Quanto alle sanzioni penali, l'articolo 168 del codice della privacy punisce, salvo che il fatto costituisca più
grave reato, con la reclusione da sei mesi a tre anni il fornitore che dichiari o attesti falsamente notizie o
circostanze, o produca atti o documenti falsi in occasione della comunicazione al garante conseguente alla
violazione di dati personali, e anche i soggetti, cui sia affidata l'erogazione del servizio, che effettuino false
comunicazioni al fornitore.
Fonte: Italia Oggi del 15 maggio 2013 - Articolo a cura di Antonio Ciccia