Pubblicato il documento “Strategia Cloud Italia” con gli approfondimentidegli aspetti strategici per la migrazione al cloud della P.A.

Privacyè possibile diffondere dati di studenti che hanno richiesto benefici economici?

Sequestro copia dati a scopo probatoriolegittimo se non vi è lesione di interessi primari connessi all’indisponibilità delle informazioni contenute negli oggetti sequestrati

PRIVACYe CYBERSECURITYCentro Studi Enti Locali

Supplemento ad Entilocalinews n.37 del 27 settembre 2021

NUMERO

09Anno II

30 settembre 2021

Newsletter mensile di aggiornamento ed approfondimento professionalein materia di privacy e sicurezza informatica

PRIVACY e CYBERSECURITY Centro Studi Enti LocaliNewsletter mensile di aggiornamento ed approfondimento professionale in materia di privacy e sicurezza informatica

COLLABORANO ALLA RIVISTA:Dott. Cesare Ciabatti, Consulente e formatore per Enti Locali, Esperto in amministrazione digitale e gestione archivi elettronici in ambito pubblico e privatoAvv. Flavio Corsinovi, Esperto in privacy e protezione dei dati personali - Data Protection Officer Dott. Sandro Iannucci, Partner della CROWE AS SPA società di consulenza internazionale, Responsabile deIl’area IT, Advisor Quality e Privacy, IT Manager con Certificato CobIT®, Esperto in Compliance dell’area/processi IT e Membro di ISACA ed ASSO DPODott. Stefano Paoli, Consulente Legale Formazione Professionale, Esperto in materie giuridiche applicate alla P.A. e Data Protection Officer (Dpo)Avv. Marco Pucci, Avvocato civilista - esperto in diritto degli Enti Locali e diritto sportivo

COMITATO DI REDAZIONE:Andrea Dominici, Federica Giglioli, Stefano Paoli, Veronica Potenza, Alessia Rinaldi, Mirco Rigatti, Alessio Tavanti, Giuseppina Tofalo, Nicola Tonveronachi.Segreteria di redazione: Francesca CombattiDirettore Responsabile: Fabrizio MandorliniGrafica: Centro Studi Enti Locali S.p.a. - Chiara Pioli

Editore e proprietario: Centro Studi Enti Locali S.p.a.Via della Costituente, 15 - 56024 San Miniato (PI)Tel. 0571/469222 - 0571/469230 - Fax 0571/469237E-Mail: segreteria@centrostudientilocali.itSito internet: www.entilocali-online.it

Azienda con sistema di gestione della qualità UNI EN ISO 9001:2015 certificato da Certiquality

Supplemento ad Entilocalinews, settimanale registrato in data 18 dicembre 2001 al n. 24/01 del Registro della stampa presso il Tribunale di Pisa, iscritto al n. 8581 del Registro degli operatori di comunicazione di cui alla Legge n. 249/97, iscritto all’Unione Stampa Periodici Italiani

30 settembre 2021

SOMMARIOPRIVACYe CYBERSECURITYCentro Studi Enti Locali

INDICE DEGLI ARGOMENTINOTIZIARIOPubblicazione su albo pretorio on-line dell’Enteattenzione al principio di minimizzazione dei dati pubblicati .......... pag 04

Pubblicato il documento “Strategia Cloud Italia” con gli approfon-dimenti degli aspetti strategici per la migrazione al cloud della P.A. ....................................................................................................... pag 05

Dal 15 ottobre 2021 “Green pass” obbligatorio per tutti i lavoratoriFocus sugli adempimenti .............................................................. pag 06

Campagna vaccinalel’Autorità pubblica un Decalogo per ricordare i principali punti legati alla privacy e al trattamento dei dati ..................................................... pag 07

Palestre e centri sportivi non possono conservare i “Green pass” dei loro abbonati o frequentatori ............................................... pag 07

Droni e dati personaliaperte tre istruttorie dal Garante per verificare la corretta gestione dei dati acquisiti .................................................................................. pag 08

“Body cam”il via libera dal Garante privacy alle Forze dell’ordine, ma senza ricono-scimento facciale .......................................................................... pag 08

Garante privacysanzione ad Atac, Roma Capitale e un “subfornitore” per la non tutela dei dati nei parcheggi .......................................................................... pag 09

Il Garante per la protezione dei dati personali dà il via libera a nuove modalità di verifica del “Green pass” nelle scuole ................. pag 09

Condivisione di iniziative promosse da “No vax”il Garante per la privacy raccomanda di prestare attenzione ......... pag 10

Il Garante per la privacy in Germania avverte il Senato di non utiliz-zare “Zoom” perché associato alla trasmissione di dati negli Usa ....................................................................................................... pag 10

GLI APPROFONDIMENTIIl rimborso delle accise per le autoambulanze deve essere in linea con le norme sulla privacydi Stefano Paoli ............................................................................. pag 11

I QUESITIPrivacyè possibile diffondere dati di studenti che hanno richiesto benefici eco-nomici?di Flavio Corsinovi ......................................................................... pag 13

LA GIURISPRUDENZASequestro copia dati a scopo probatoriolegittimo se non vi è lesione di interessi primari connessi all’indisponibili-tà delle informazioni contenute negli oggetti sequestratidi Giuseppina Tofalo ..................................................................... pag 15

30 settembre 2021

PREMESSA

3

PRIVACYe C Y B E R S E C U R I T Y

PREMESSACentro Studi Enti Locali S.p.a., attraverso il Gruppo di lavoro in materia di privacy, costituito da esperti in ambito multi-disciplinare, ha approfondito fin dall’entrata in vigore, nel corso del 2016, del Regolamento UE n. 679/2016 cd. Gdpr - e quindi ben prima della sua effettiva applicazione a decorrere dal 25 maggio 2018 – il tema o meglio l’universo afferente la Privacy ed il Cybersecurity nelle Pubblica Amministrazioni e nelle loro Società ed Aziende pubbliche, in quanto fin da subito è stata individuata la portata innovativa e i notevoli riflessi che la citata disciplina avrebbe comportato in fase di concreta attuazione.La successiva attività “sul campo” e il costante approfondimento delle diverse tematiche inerenti alla gestione della Privacy, privilegiando un approccio pratico-operativo nella ricerca di soluzioni alle problematiche connesse all’adozione di adeguati sistemi di tutela ai fini del trattamento di dati personali, hanno rapidamente permesso di acquisire un grado sempre maggiore di esperienza e professionalità in tale ambito.La Newsletter “Privacy e Cybersecurity” nasce proprio dall’esigenza condivisa con il ns. Gruppo di lavoro, che nel corso di questi anni ha sviluppato un importante bagaglio di esperienze (a 360°) dirette di applicazione della nuova normati-va in materia di privacy, sia attraverso il conferimento di numerosi incarichi di DPO (Data protection officier) gestiti dai ns. esperti, sia con attività di assistenza e supporto diretto, sia attraverso numerosi Progetti formativi svolti presso Enti pubblici e organismi da essi partecipati a vario titolo, di offrire un canale informativo che consenta un continuo aggior-namento e condivisione di buone pratiche ai fini della corretta gestione e applicazione della normativa a tutela dei dati personali.In tale nuovo contesto informativo ed editoriale intendiamo confrontarci, tra di noi ma soprattutto con i Colleghi, gli Esperti ed i Committenti che abbiamo incontrato e stiamo incontrando in giro per l’Italia durante lo svolgimento dei servizi formativi e di supporto alle strutture pubbliche e pubblico-private, con l’obiettivo di alimentare una Piattaforma di dialogo proattivo ed aperto sulle tematiche Privacy e Cybersecurity analizzate ed approcciate sotto più aspetti, spesso intersettoriali ed interdisciplinari, mirando ad un reciproco arricchimento professionale, a vantaggio di tutti.

Grazie e Buona lettura !!

30 settembre 2021

NOTIZIARIO

4

PRIVACYe C Y B E R S E C U R I T Y

NOTIZIARIO

Il Garante per la privacy, con un recente provvedimento, ha sanzionato un Ente per avere reso disponibile sull’al-bo pretorio online della “graduatoria definitiva degli aventi diritto” al sostegno economico per il fitto delle abitazioni principali per situazioni di emergenza socio-economica, contenente dati personali sensibili e riservati (nome, co-gnome, codice fiscale, indirizzo, importo canone fitto, in-dicazione importo erogabile e posizione in graduatoria).Nella pagina web dedicata era presente, infatti, una ma-schera di ricerca che consentiva di visualizzare, attraver-so l’inserimento del solo codice fiscale, senza richiedere alcuna identificazione dell’utente, sia i dati personali dei soggetti ammessi (nominativo, posizione in graduatoria, codice fiscale, indirizzo, importo del canone, importo ero-gabile) che dei non ammessi al contributo con la relativa motivazione.Inoltre, nella medesima pagina web era possibile visualiz-zare e scaricare liberamente la Disposizione dirigenziale che riportava in chiaro dati e informazioni dei soggetti inte-ressati ammessi al contributo (nominativo, data di nascita canone mensile, posizione in graduatoria).Ricordiamo che, ai sensi della disciplina in materia, “dato personale” è “qualsiasi informazione riguardante una per-sona fisica identificata o identificabile (“interessato”)” e “si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identifica-tivo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, /genetica, psichica, economica, culturale o sociale” (art. 4, par. 1, n. 1, del Rgpd).Al riguardo, con particolare riferimento al caso sottoposto all’attenzione dell’Autorità, si ricorda che la diffusione di dati personali - ossia “il dare conoscenza dei dati perso-nali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” - da parte di soggetti pubblici, come il Comune, è ammessa solo se tale operazione è prevista “da una norma di Legge o, nei casi previsti dalla legge, di regolamento” (art. 2-ter, commi 1, 3, 4, lett. b, del Codice).Il trattamento dei dati personali deve, inoltre, avvenire nel rispetto dei principi indicati nell’art. 5 del Rgpd, fra cui

quelli di “limitazione della finalità” nonché di “minimizza-zione dei dati”, secondo i quali i dati personali devono es-sere – rispettivamente – “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”, nonché “ade-guati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (par. 1, lett. b e c).Si evidenzia, inoltre, che la disciplina statale in materia di trasparenza prevede l’obbligo di pubblicazione degli atti di concessione “delle sovvenzioni, contributi, sussidi ed ausili finanziari alle imprese, e comunque di vantaggi eco-nomici di qualunque genere a persone ed Enti pubblici e privati ai sensi del citato articolo 12 della legge n. 241 del 1990, di importo superiore a 1000 Euro” (art. 26, comma 2, del Dlgs. n. 33 del 14/3/2013).La stessa normativa prevede però delle eccezioni e, in particolare, sancisce che non possono essere pubblicati i dati identificativi delle persone fisiche destinatarie dei pre-detti provvedimenti, nonché gli elenchi dei relativi destina-tari, “qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli interessati” (art. 26, Comma 4, Dlgs. n. 33/2013).Il Garante, fin dal 2014, ha fornito specifiche indicazioni alle amministrazioni sulle cautele da adottare in ordine alla diffusione di dati personali nell’ipotesi di “Obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussidi e attribuzione di vantaggi economici e dell’elenco dei soggetti beneficiari (artt. 26 e 27 del Dlgs. n. 33/2013)”, nella parte prima, par. 9.e, del provvedimen-to generale n. 243 del 15/5/2014 recante le «Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati».Si rappresenta altresì che, in ogni caso, il Comune, in qua-lità di titolare del trattamento dei dati personali, è tenuto a mettere in atto “fin dalla progettazione”, ossia sia al mo-mento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, “misure tecniche e organizzative adeguate, […] volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integra-re nel trattamento le necessarie garanzie al fine di soddi-

Pubblicazione su albo pretorio on-line dell’Enteattenzione al principio di minimizzazione dei dati pubblicati

30 settembre 2021

NOTIZIARIO

5

PRIVACYe C Y B E R S E C U R I T Y

sfare i requisiti del presente regolamento e tutelare i diritti degli interessati», garantendo «che siano trattati, per im-postazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento” (art. 25, paragrafi. 1 e 2, Rgpd).A seguito delle verifiche compiute sulla base degli elementi acquisiti e dei fatti emersi a seguito dell’attività istruttoria,

Il 7 settembre 2021 è stato pubblicato sul sito web del Ministero per l’Innovazione tecnologica e la transizione di-gitale “Strategia Cloud Italia”: il documento di approfondi-mento degli aspetti strategici per il percorso di migrazione verso il cloud di dati e servizi digitali delle amministrazioni. All’interno del testo sono illustrati i criteri di classificazione e la composizione dell’infrastruttura (il cd. “Polo Strategico Nazionale”) che ospiterà i servizi strategici e critici.Il documento integrale della strategia è consultabile sul sito web del Ministero.Davanti all’obiettivo della digitalizzazione della P.A. - obiet-tivo prioritario del “Pnrr” per garantire a cittadini e imprese servizi pubblici di qualità, efficienti ed efficaci - la strategia “Cloud Italia” introduce importanti novità al fine di semplifi-care il lavoro delle amministrazioni. Mediante l’approccio “cloud first”, la strategia “intende gui-dare e favorire l’adozione sicura, controllata e completa delle tecnologie cloud da parte del settore pubblico, in li-nea con i principi di tutela della privacy e con le raccoman-dazioni delle istituzioni europee e nazionali”.La strategia si sviluppa secondo tre direttrici che riportia-mo sotto, il cui obiettivo è guidare gli Enti nelle scelte da compiere rispetto alle diverse soluzioni di migrazione al cloud. Classificare dati e servizi della pa per guidare e sup-portare la migrazione al cloudAttraverso la regolamentazione dell’ampia offerta di servi-

nonché delle successive valutazioni, l’Autorità Garante ha accertato che il Comune di oggetto, diffondendo online i dati e le informazioni personali riferiti ai soggetti ammessi e non ammessi al contributo economico prima descritti, ha effettuato un trattamento di dati personali non conforme alla disciplina rilevante in materia di protezione dei dati personali contenuta nel Rgpd.

zi cloud disponibili sul mercato è possibile mitigare i rischi sistemici di sicurezza e affidabilità. La classificazione di dati e servizi, introdotta dalla strategia, li cataloga in base al danno che una loro compromissione potrebbe provoca-re al sistema Paese (strategici, critici e ordinari).Qualificare i servizi cloud attraverso un processo di scrutinio tecnologicoLa qualificazione dell’offerta dei servizi cloud si pone l’o-biettivo di semplificare e regolamentare, dal punto di vista tecnico e amministrativo, l’acquisizione dei servizi da par-te delle amministrazioni. Gli aspetti presi in considerazio-ne sono: - la gestione operativa dei servizi; - i requisiti di sicurezza per la gestione dei dati; - l’erogazione di servizi; - le condizioni contrattuali relative all’erogazione e alla rendicontazione del servizio.

Realizzare il Psn dedicato ai servizi strategici, sotto controllo e indirizzo pubblicoIl Polo Strategico Nazionale (Psn) ha l’obiettivo di dotare la P.A. di tecnologie e infrastrutture cloud che possano be-neficiare delle più alte garanzie di affidabilità, resilienza e indipendenza. Il Polo sarà distribuito geograficamente sul territorio nazionale per garantire adeguati livelli di continu-ità operativa e tolleranza ai guasti. Il controllo e le linee di indirizzo del Psn saranno pubblici e indipendenti da sog-getti terzi.

Pubblicato il documento “Strategia Cloud Italia” con gli approfondimenti degli aspetti strategici per la migrazione al cloud della P.A.

30 settembre 2021

NOTIZIARIO

6

PRIVACYe C Y B E R S E C U R I T Y

I) L’obbligo di dotarsi del “Green pass”Il Decreto approvato dal Consiglio dei Ministri del 16 settembre 2021 ha previsto l’estensione del c.d. “Green pass” a tutti i lavoratori appartenenti al comparto pubblico e privato, inclusi i liberi professionisti e i collaboratori fami-liari, il possesso del i green pass per accedere ai luoghi di lavoro a far data dal 15 ottobre 2021. Di seguito si fornisce un primo focus operativo sugli adem-pimenti.II) Ambito lavorativo pubblicoII.1) Obbligo di possedere il “Green pass”Dal 15 ottobre 2021 al personale delle amministrazioni pubbliche di cui all’art. 1, co. 2, del Dlgs. 30 marzo 2001, n. 165 … “è fatto obbligo di possedere ed esibire, su ri-chiesta, la certificazione verde ‘Covid-19’ ” (art. 1, co. 1).L’obbligo … “si applica altresì a tutti i soggetti che svol-gono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato presso le amministrazioni, anche sulla base di contratti esterni” (art. 1, co. 2)II.2) Modalità di verifica I datori di lavoro del personale sono tenuti a verificare il rispetto degli obblighi relativi al possesso del green pass (art. 1, co. 4).I datori di lavoro definiscono, entro il 15 ottobre 2021, le modalità operative per l’organizzazione delle verifiche, anche a campione, prevedendo prioritariamente, ove pos-sibile, che tali controlli siano effettuati al momento dell’ac-cesso ai luoghi di lavoro e individuano con atto formale i soggetti incaricati dell’accertamento e della contestazione delle violazioni degli obblighi (art. 1, co. 5). II.3) Conseguenze per chi non possiede il “Green pass”Il dipendente che non è in possesso della certificazione verde “Covid-19” o qualora risulti privo della predetta cer-tificazione al momento dell’accesso al luogo di lavoro, è considerato assente ingiustificato. A decorrere dal quinto giorno di assenza, il rapporto di lavoro è sospeso fino alla presentazione della certificazio-ne e, comunque non oltre il 31 dicembre 2021, e, in ogni caso, senza conseguenze disciplinari e con diritto alla conservazione del rapporto di lavoro. Nei casi di assenza ingiustificata e di sospensione non sono dovuti la retribuzione né altro compenso o emolu-

mento, comunque denominato. La sospensione di cui primo periodo è disposta dal datore di lavoro o dal soggetto da lui delegato (art. 1, co. 6).L’accesso del personale nei luoghi di lavoro in violazione degli obblighi è sanzionato (art. 1, co. 7)III) Ambito lavorativo privatoIII.1) Obbligo di possedere il green passDal 15 ottobre 2021 al personale dipendente del settore privato per accedere nei luoghi ove si svolge l’attività deve “possedere ed esibire, su richiesta, la certificazione verde ‘Covid-19’” (art. 3, co. 1).L’obbligo … “si applica altresì a tutti i soggetti che svol-gono, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato presso le amministrazioni, anche sulla base di contratti esterni” (art. 3, co. 2)III.2) Modalità di verifica I datori di lavoro del personale sono tenuti a verificare il rispetto degli obblighi relativi al possesso del green pass (art. 3, co. 4).I datori di lavoro definiscono, entro il 15 ottobre 2021, le modalità operative per l’organizzazione delle verifiche, anche a campione, prevedendo prioritariamente, ove pos-sibile, che tali controlli siano effettuati al momento dell’ac-cesso ai luoghi di lavoro e individuano con atto formale i soggetti incaricati dell’accertamento e della contestazione delle violazioni degli obblighi (art. 3, co. 5). III.3) Conseguenze per chi non possiede il “Green pass”Il dipendente che non è in possesso della certificazione verde “Covid-19” o qualora risulti privo della predetta cer-tificazione al momento dell’accesso al luogo di lavoro, è sospeso fino alla presentazione della certificazione e, co-munque non oltre il 31 dicembre 2021, e, in ogni caso, senza conseguenze disciplinari e con diritto alla conser-vazione del rapporto di lavoro (art. 3, co. 6).Non sono dovuti la retribuzione né altro compenso o emo-lumento, comunque denominato (art. 3, co. 6).La sospensione è comunicata immediatamente al lavora-tore interessato ed è efficace fino alla presentazione della certificazione (art. 3, co. 7). L’accesso del personale nei luoghi di lavoro in violazione degli obblighi è sanzionato (art. 3, co. 7)

Dal 15 ottobre 2021 “Green pass” obbligatorio per tutti i lavoratoriFocus sugli adempimenti

30 settembre 2021

NOTIZIARIO

7

PRIVACYe C Y B E R S E C U R I T Y

Il Garante per la protezione dei dati personali con un Co-municato del 6 settembre 2021 ha ricordato la necessità di individuare modalità di trattamento dei dati personali per i vaccinati che, pur nel rispetto dell’esigenza di intervenire tempestivamente in considerazione del contesto emer-genziale, rispettino i principi fondamentali in materia di protezione dei dati personali (Regolamento UE 2016/679 e Codice in materia di protezione dei dati personali - Dlgs. n. 196/2003).Per questo, l’Autorità ha redatto un Decalogo in cui, in par-ticolare, ricorda il divieto di raccogliere il motivo della man-cata vaccinazione degli assistiti, rispettando il principio di non discriminazione.Di seguito si riporta il Decalogo. 1. Rispetto del diritto a non essere vaccinato.2. Rispetto della condizione in cui versano i soggetti che

per motivi di salute non possono essere vaccinati.3. Rispetto del principio di liceità del trattamento, propo-

nendo una soluzione operativa che veda coinvolti solo soggetti operanti nell’ambito del servizio sanitario na-zionale che hanno in cura l’interessato, in luogo di enti amministrativi operanti sul territorio (es. comuni); in tal senso sarebbe auspicabile il coinvolgimento, tramite le aziende sanitarie, dei medici di medicina generale a cui è nota la situazione sanitaria degli assistiti anche relativamente ad aspetti che sconsigliano la vaccina-zione in assoluto o temporaneamente.

4. Utilizzo del Sistemi informativi regionali cui sono colle-gati i medici di medicina generale per l’accesso all’a-

Palestre e centri sportivi non possono conservare copia dei “Green pass” né registrare la data di scadenza ma solo verificarne, con l’apposita applicazione, la validità ogni volta che si frequenta il centro.È quanto ricordato in un recente intervento da Guido Scorza, Componente del Garante per la protezione dei dati personali.Tale affermazione si è resa necessaria alla luce delle ri-chieste di poter di raccogliere e catalogare i “Green pass” di coloro che erano abbonati o frequentavano palestre e centri sportivi.Il Garante ricorda che la certificazione verde deve essere

nagrafe nazionale vaccini, senza la creazione di nuove banche dati o di duplicazione di banche dati già esi-stenti.

5. Rispetto del principio minimizzazione dei dati trattati, favorendo soluzioni che prevedano che il medico di medicina generale possa rivolgere l’invito alla vaccina-zione ai propri assistiti utilizzando l’indirizzo di posta ordinaria o elettronica o il numero di telefonia mobile detenuto dallo stesso.

6. Rispetto del principio di trasparenza: fornire agli inte-ressati gli elementi informativi essenziali sulle caratteri-stiche del trattamento contestualmente all’invio dell’in-vito alla vaccinazione;

7. Rispetto del principio di limitazione delle finalità: il trat-tamento dei dati degli interessati deve essere limitato alla realizzazione della campagna di sensibilizzazione;

8. Divieto della raccolta della motivazione della mancata vaccinazione rispettando il principio di non discrimina-zione, in virtù del quale deve essere garantito che non ci sia nessuna conseguenza pregiudizievole nei con-fronti dei soggetti che eventualmente non rispondano alla campagna di sensibilizzazione;

9. Divieto di comunicazione dei dati a terzi e di diffusione dei dati trattati nell’ambito della suddetta campagna di sensibilizzazione;

10. rispetto del principio di integrità e riservatezza, assicu-rando l’adozione di misure tecniche ed organizzative adeguate a mitigare il rischio di trattamenti non autoriz-zati o illeciti e di perdita o distruzione dei dati.

semplicemente esibita all’ingresso e letto dagli incarica-ti esclusivamente attraverso l’apposita App Verifica “Co-vid-19” messa a punto dal Governo. La richiesta e conservazione, quale condizione per la fre-quentazione del centro sportivo o della palestra, di copia del documento e di indicazione della data di scadenza rappresentano una violazione della disciplina in materia di protezione dei dati personali. Palestre, centri sportivi o qualsiasi altro analogo soggetto non hanno il titolo per ac-quisire e conservare tali informazioni.

Campagna vaccinalel’Autorità pubblica un Decalogo per ricordare i principali punti legati alla privacy e al trattamento dei dati

Palestre e centri sportivi non possono conservare i “Green pass” dei loro abbonati o frequentatori

30 settembre 2021

NOTIZIARIO

8

PRIVACYe C Y B E R S E C U R I T Y

Il Garante per la protezione dei dati personali, con il Co-municato del 3 settembre 2021, ha reso noto l’apertura di tre istruttorie sull’utilizzo dei droni in spiaggia e in città. Troppo spesso, infatti, si trovano iniziative che prevedono con troppa facilità l’utilizzo dei droni e, di conseguenza, è spesso presente il rischio di ledere la privacy delle perso-ne. Il primo dei tre interventi è teso ad accertare il corretto trat-tamento dei dati effettuato mediante l’utilizzo di droni con una richiesta di informazioni inviata al Comune di Bari. Quest’ultimo, infatti, vorrebbe utilizzare ulteriori droni in aggiunta alla flotta della Polizia locale per monitorare per monitorare eventuali assembramenti incompatibili con le limitazioni dovute alla gestione della pandemia da “Co-vid-19”. Pertanto, il Comune di Bari dovrà fornire entro 20 giorni le caratteristiche tecniche dei droni, le finalità per-seguite, i tempi di conservazione delle immagini e le co-municazioni a soggetti terzi, inviando copia dell’eventuale valutazione d’impatto sulla protezione dei dati prevista dal Regolamento Ue.Analoga richiesta è stata inviata a Roma capitale poiché, come riportato dalla stampa, dal prossimo autunno, la Po-

Con due distinti pareri [doc. web 9690691 e n. 9690902] il Garante per la privacy ha dato via libera al Ministero dell’interno - Dipartimento della pubblica sicurezza e al Comando generale dell’Arma dei Carabinieri all’uso delle “body cam” in situazioni critiche di ordine pubblico come eventi o manifestazioni. Tuttavia, le Forze di Polizia do-vranno recepire alcune indicazioni da parte dell’Autorità sulle misure di sicurezza e sul tracciamento degli accessi ai dati. In tal modo l’utilizzo di questa strumentazione e la relativa raccolta di dati è conforme alla normativa sulla protezione dei dati personali trattati a fini di prevenzione e accertamento dei reati (Dl n. 51/2018).In particolare, l’Autorità ha richiesto al Ministero dell’In-terno di specificare che il sistema utilizzato non consente l’identificazione univoca o il riconoscimento facciale della persona. Le videocamere indossabili in uso al personale dei reparti mobili incaricato potranno essere attivate solo

lizia Locale sarà dotata di 9 piccoli droni per il monitorag-gio ed il controllo del territorio cittadino. In particolare, si prevede di monitorare attraverso i droni eventuali illeciti ambientali, rifiuti abusivi, roghi tossici, abusi edilizi o esi-genze di traffico. Anche in questo caso, Roma capitale do-vrà fornire una valutazione d’impatto o specificare i motivi per i quali non ha ritenuto di doverla effettuare. Infine, è stata inviata una richiesta di informazioni alla Azienda Usl Roma 3 per verificare il corretto trattamento dei dati personali, nell’ambito di una iniziativa in program-ma sulle spiagge di Ostia. Sempre secondo la stampa, l’Azienda sanitaria mediante intenderebbe rilevare la tem-peratura corporea a tutte le persone presenti in spiaggia grazie ad un drone. Pertanto, il Garante ha chiesto chiarimenti per verificare chi sia il titolare del trattamento dei dati delle persone sot-toposte alla rilevazione della temperatura corporea, i mo-tivi della rilevazione, l’affidabilità degli strumenti utilizzati, le conseguenze previste per chi risultasse avere una tem-peratura superiore a quella fisiologica, quali informazioni saranno rese agli interessati e come verranno fornite.

in presenza di concrete e reali situazioni di pericolo di turbamento dell’ordine pubblico o di fatti di reato. Non è ammessa, quindi, la registrazione continua delle immagini e tantomeno quella di episodi non critici. I dati raccolti ri-guardano audio, video e foto delle persone riprese, data, ora della registrazione e coordinate Gps, che una volta scaricati dalle videocamere sono disponibili, con diversi livelli di accessibilità e sicurezza, per le successive attività di accertamento.L’utilizzo delle “body cam” nel corso di manifestazioni pub-bliche rende estremamente probabile il trattamento di dati che rivelino le opinioni politiche, sindacali, religiose o l’o-rientamento sessuale dei partecipanti.Il Garante ha ritenuto ragionevole il periodo di sei mesi di conservazione dei dati e rispettato il principio di “privacy by default”, essendo prevista la loro cancellazione auto-matica trascorso tale termine.

Droni e dati personaliaperte tre istruttorie dal Garante per verificare la corretta gestione dei dati acquisiti

“Body cam”il via libera dal Garante privacy alle Forze dell’ordine, ma senza riconoscimento facciale

30 settembre 2021

NOTIZIARIO

9

PRIVACYe C Y B E R S E C U R I T Y

Roma Capitale, la società di servizi Atac Spa e un “subfor-nitore” sono stati sanzionato per una somma complessiva di oltre 1 milione di Euro dal Garante per la protezione dei dati personali per non aver tutelato i dati degli automobili-sti che parcheggiano nel territorio del Comune.Tale decisione è stata presa dopo l’esito dell’istruttoria av-viata in seguito alla segnalazione di un utente che si la-mentava dei nuovi parcometri installati nel territorio comu-nale nel 2018. La società Atac Spa, incaricata dal Comune anche per la gestione dei parcheggi, aveva portato avanti un aggiornamento tecnologico dei parcometri così da offri-re nuovi servizi e introdurre nuove modalità di pagamento, inserendo anche il numero di targa del veicolo. Tutte le informazioni relative alla sosta venivano gestite attraverso un sistema centralizzato al quale poteva acce-dere, tramite un’apposita App, anche il personale incarica-to di controllare il pagamento dei parcheggi.Nel corso dell’ispezione sono emerse diffeenti irregolari-

Arriva il via libera allo schema di Dpcm. che introduce mo-dalità semplificate di verifica delle certificazioni verdi del personale scolastico.Il Garante per la protezione dei dati personali, infatti, alla luce delle interlocuzioni e delle riunioni con i rappresentati del Ministero dell’istruzione e del Ministero della salute ha fornito il 31 agosto 2021 il parere sullo schema di Decre-to concernente “Misure recanti modifiche ed integrazioni alle disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52”, recante “Misure ur-genti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da “Covid-19”.In particolare, sono state fornite indicazioni specifiche per assicurare il rispetto della disciplina in materia di protezio-ne dei dati personali ed evitare conseguenze discriminato-rie dirette o indirette nel contesto lavorativo.In particolare, il Garante ha suggerito l’adozione di misure tecniche e organizzative tese a garantire un livello di sicu-

tà. In primo luogo. il Comune di Roma, in quanto titolare del trattamento, non aveva fornito alcuna informazione sul trattamento dei dati degli automobilisti, non aveva no-minato la società Atac Spa responsabile del trattamento, né fornito a quest’ultima le necessarie istruzioni su come trattare i dati raccolti. Neppure la società subfornitrice era stata incaricata formalmente o istruita su come procedere in merito al trattamento dei dati.È, inoltre, emerso che le società non avevano predisposto il registro dei trattamenti dei dati e che il progetto era stato ideato senza rispettare i principi di protezione dei dati fin dalla progettazione. Infine, non erano stati definiti i tempi di conservazione dei dati raccolti né erano state adottate idonee misure di sicurezza. Alla luce delle violazioni riscontrate e dell’illecito tratta-mento dei dati, il Garante per la privacy ha comminato una sanzione di 800.000 Euro a Roma Capitale, di 400.000 Euro ad Atac Spa e di 30.000 Euro a Flowbird Italia srl.

rezza adeguato ai rischi.Come si può leggere dal Comunicato del Garante pubbli-cato il 31 agosto, i soggetti che sono tenuti a controllare la presenza del “Green pass” possono accedere “in modo selettivo, ai soli dati del personale in servizio presso le istituzioni scolastiche di propria competenza (individuate mediante il codice meccanografico), che sono resi auto-maticamente disponibili dalla banca dati del Sistema infor-mativo dell’istruzione (Sidi)” e che le operazioni di verifica del possesso delle certificazioni verdi “Covid-19” da parte dei soggetti tenuti ai controlli “siano oggetto di registrazio-ne in appositi log (conservati per un tempo massimo di n. 12 mesi) senza conservare traccia delle verifiche effettuate”.Infine, è previsto che la valutazione di impatto che il Mini-stero della Salute dovrà effettuare relativa ai trattamenti connessi all’emissione e alla verifica delle certificazioni verdi, sia integrata e aggiornata tenendo in considerazio-ne gli specifici scenari di rischio legati ai dati sanitari dei lavoratori della scuola.

Garante privacysanzione ad Atac, Roma Capitale e un “subfornitore” per la non tutela dei dati nei parcheggi

Il Garante per la protezione dei dati personali dà il via libera a nuove modalità di verifica del “Green pass” nelle scuole

30 settembre 2021

NOTIZIARIO

10

PRIVACYe C Y B E R S E C U R I T Y

Il Garante per la privacy, con una nota del 31 agosto, ha raccomandato agli utenti dei servizi di messaggistica e dei social network, di prestare attenzione alla condivisio-ne di messaggi e iniziative promosse dai gruppi “No Vax” su chat e social media con particolare riferimento a quelli contenenti dati e nominativi di person fisiche come indi-rizzi e cellulari di medici, giornalisti, rappresentanti delle

Il Commissario di Amburgo per la protezione dei dati e la libertà di informazione ha ufficialmente rivolto un avver-timento, ai sensi dell’art. 58, par. 2, lett. a), Regolamen-to UE 2016/679 (cd. “Gdpr”), alla Cancelleria del Senato della Città Libera e Anseatica di Amburgo sull’utilizzo del-la soluzione di videoconferenza di “Zoom Inc.” poiché la versione “on-demand” della piattaforma implica il trasferi-mento dei dati negli Stati Uniti.L’ art. 58 par. 2, lett. a) del Gdpr, infatti, stabilisce che “ogni autorità di controllo ha tutti i poteri correttivi seguenti: a) rivolgere avvertimenti al titolare del trattamento o al re-sponsabile del trattamento sul fatto che i trattamenti pr-visti possono verosimilmente violare le disposizioni del presente regolamento.”Secondo l’Autorità di protezione dei dati di Amburgo, l’u-tilizzo della piattaforma “Zoom” viola il Gdpr dato che il suo utilizzo è associato alla trasmissione di dati personali negli Stati Uniti, Paese terzo nel quale la protezione di tali dati è insufficiente secondo quanto stabilito dalla Corte di giustizia europea nella decisione Schrems II (C-311/18).Il “Privacy shield”, inoltre, è stato sospeso ed un attuale trasferimento di dati è quindi possibile solo a condizioni molto rigide, non disponibili quando la Cancelleria del Se-nato prevede di utilizzare “Zoom”.

istituzioni, politici.La diffusione senza consenso ricordando di dati personali, ricorda il Garante, oltre a costituire una violazione della vita privata degli individui, con rischi anche per la loro in-columità, si configura, ai sensi della normativa sulla pri-vacy, come un atto illecito, che può determinare anche l’applicazione di pesanti sanzioni.

La Cancelleria del Senato - in quanto autorità principale per le questioni di digitalizzazione nella Città Libera e An-seatica di Amburgo - ha informato il Garante per la priva-cy di Amburgo sui piani pertinenti in una fase iniziale, ma successivamente non è stata disposta a rispondere alle sue ripetute preoccupazioni.Neanche l’avvio di un procedimento formale all’audizione della Cancelleria del Senato il 17 giugno 2021 ha portato ad un ripensamento.Così commenta il caso Ulrich Kühn, Commissario in cari-ca del Garante per la privacy di Amburgo: “gli Enti pubblici sono particolarmente tenuti a rispettare la legge. È quin-di più che deplorevole che sia stato necessario compiere un passo così formale. Nella Città Libera e Anseatica di Amburgo, tutti i dipendenti hanno accesso a uno strumen-to di videoconferenza collaudato e non problematico per quanto riguarda la trasmissione in Paesi terzi. In qualità di fornitore di servizi centrale, Dataport fornisce anche ul-teriori sistemi di videoconferenza nei propri data center. Questi sono utilizzati con successo in altri Paesi. È quindi incomprensibile perché la Cancelleria del Senato insista su un sistema aggiuntivo e giuridicamente altamente pro-blematico”.

Condivisione di iniziative promosse da “No vax”il Garante per la privacy raccomanda di prestare attenzione

Il Garante per la privacy in Germania avverte il Senato di non utilizzare “Zoom” perché associato alla trasmissione di dati negli Usa

30 settembre 2021

GLI APPROFONDIMENTI

11

PRIVACYe C Y B E R S E C U R I T Y

GLI APPROFONDIMENTI

Nei fogli di viaggio o nel tabulato meccanografico allegati alla domanda trimestrale di rimborso devono essere indi-cati il numero di registrazione e la data del soccorso, in luogo dell’anno di nascita e del sesso del paziente: queste sono le indicazioni principali fornite agli operatori dall’A-genzia delle dogane e dei monopoli.L’Agenzia, infatti, con la Circolare 12 agosto 2021, n. 33 (“Impiego di carburanti agevolati per azionamento autoam-bulanze. Punto 12, Tabella A, del Dlgs. n. 504/95. Istanza trimestrale di emissione buono di imposta. Compilazione fogli di viaggio”), ricorda che le domande trimestrali per il rimborso delle accise, agli enti di assistenza e di pronto soccorso per i carburanti utilizzati per le autoambulanze per il trasporto dei pazienti, non devono riportare dati che possano rendere identificabile, anche indirettamente, il paziente che fruisce del servizio. Nello specifico, l’Agen-zia, fa presente che secondo quanto dispone il Regola-mento Ue 2016/679, che, è necessario, nella fattispecie di cui trattasi rispettare i principi di necessità del trattamento, di proporzionalità rispetto alla finalità perseguita e della previsione di misure appropriate di tutela dell’interessato, disponendo, inoltre, la minimizzazione dei dati personali secondo i principi di adeguatezza, pertinenza e limitazio-ne rispetto alla finalità del trattamento.La situazione di cui alla Circolare dell’Agenzia prende le mosse dal Decreto del Ministero dell’Economia e delle fi-nanze 21 dicembre 1993 adottato in esecuzione del punto 13 della Tabella “A” allegata al Dlgs. n. 504/95, il quale dispone che l’ente di assistenza e di pronto soccorso ammesso all’agevolazione sui carburanti consumati per l’azionamento delle autombulanze destinate al trasporto di ammalati e feriti, per fruire del rimborso d’accisa, deve allegare all’istanza trimestrale anche copie dei fogli di viaggio, od un tabulato meccanografico, da cui risultino i servizi effettuati.

Nello stabilire le istruzioni per la compilazione della do-manda, le circolari precedenti dell’Agenzia prevedevano l’indicazione delle generalità, anche se limitate al sesso e all’anno di nascita, del soggetto trasportato dall’ambu-lanza ciò allo scopo di contemperare le finalità di tutela dell’interesse fiscale con il quadro rafforzato delle garan-zie che circonda il trattamento dei dati idonei a rivelare lo stato di salute.La Circolare n. 33 invece, specifica che, fermo restando il presupposto per cui il trasporto dei malati e feriti inte-gra la condizione di consumo prevista per beneficiare dell’aliquota ridotta di accisa sui carburanti utilizzati, per esercitare il potere di riscontro sull’effettiva prestazione da parte delle ambulanze non è indispensabile la raccolta e la conservazione sistematica dei dati che possano rende-re identificabile, seppure indirettamente, il soggetto che viene trasportato.Va considerato che, sebbene ai sensi dell’art. 9, par. 2, del Regolamento (UE) 2016/679 del 27 aprile 2016 l’interesse pubblico sotteso alla prevenzione e contrasto all’evasione fiscale possa giustificare il trattamento di dati persona-li anche particolari, tuttavia la stessa norma comunitaria richiede, tra l’altro, la necessità del trattamento, la pro-porzionalità rispetto alla finalità perseguita e la previsione di misure appropriate di tutela dell’interessato. Sempre il Gdpr dispone poi in via generale all’art. 5, par. 1, lett.c), la minimizzazione dei dati personali secondo i principi di adeguatezza, pertinenza e limitazione rispetto alla finalità del trattamento.L’Agenzia, specifica, che, in considerazione delle dispo-sizioni suddetti, la compilazione dei fogli di viaggio deve essere aggiornata relativamente ai dati necessari per i riscontri fiscali con la disponibilità di elementi informativi da cui sia ricavabile in modo inequivoco l’avvenuto com-pimento del servizio che dà titolo all’impiego di carburanti

Il rimborso delle accise per le autoambulanze deve essere in linea con le norme sulla privacy

del Dott. Stefano Paoli - Consulente Legale Formazione Professionale, Esperto in materie giuridiche applicate alla P.A. e Data Protection Officer (Dpo)

30 settembre 2021

GLI APPROFONDIMENTI

12

PRIVACYe C Y B E R S E C U R I T Y

agevolati, salvaguardando la privacy dei pazienti traspor-tati. Di conseguenza i dati necessari per la compilazione dell’istanza trimestrale, nei fogli di viaggio o nel tabulato meccanografico, sono esclusivamente l’indicazione del numero di registrazione e della data della scheda di soc-corso/intervento, conservata presso la struttura sanitaria di ricezione del paziente trasportato, relativa al servizio effettuato. Nei casi in cui l’attività di assistenza e pronto soccorso si concretizzi nell’utilizzo di autoambulanze per trasferimenti di ammalati o feriti verso destinazioni diverse dalle suddette strutture sanitarie, analogamente a quanto

già disciplinato per le particolari ipotesi dei c.d. viaggi a vuo-to, l’ente ammesso all’agevolazione avrà cura di attestare, sotto la propria responsabilità, l’avvenuta effettuazione del servizio mediante specifica annotazione sui fogli di viaggio. Con queste nuove modalità, precisano le Dogane, sono aggiornate le modalità di compilazione degli allegati in modo, comunque, da assicurare la garanzia di protezione del trattamento dei dati personali, pur mantenendo l’effi-cacia dei controlli su eventuali violazioni, che rimangono nella potestà degli uffici.

30 settembre 2021

QUESITI

13

PRIVACYe C Y B E R S E C U R I T Y

I QUESITI

No, tale diffusione non è ammissibile. I dati di coloro che richiedono benefici economici vanno protetti in modo particolare per non rivelare la condizione di disagio economico e sociale delle persone interessate.Con l’Ordinanza ingiunzione del 22 luglio 2021 il Garante per la Protezione dei Dati Personali ha imposto alla Regio-ne Lombardia il pagamento della somma di Euro 200 mila. L’Autorità ha accertato che la Regione Lombardia aveva diffuso sul sito web istituzionale i dati personali di più di centomila studenti, i quali avevano richiesto borse di stu-dio statali o sussidi economici per l’acquisto di libri di testo, dotazioni tecnologiche e strumenti per la didattica. Tenuto conto che per accedere al contributo occorreva essere in possesso di un valore ISEE non superiore a circa 15.000 euro e l’entità dei benefici era minima (sotto ai 1000 euro) la diffusione on line aveva come effetto immediato quello di rivelare la condizione di disagio economico degli inte-ressati.Nello specifico, come emerso dalla verifica preliminare ef-fettuata dall’Ufficio, dall’home page del sito web istituziona-le della predetta Regione, tramite il percorso «XX»/«XX», si apriva la pagina web dedicata al «XX». Dai link inseriti nella parte dedicata alle «Comunicazioni», e precisamen-te alla comunicazione datata XX (url: https://...), era possi-bile visualizzare e scaricare i seguenti documenti:1) «XX» (url: https://....). Tale elenco riportava in chiaro

dati riferiti a n. 23.975 soggetti interessati, quali Id do-manda, nominativo del richiedente, classe dello studen-te, codice e denominazione della scuola, numero della

domanda;2) «XX» (url: https://...). Tale elenco riportava in chiaro dati

riferiti a n. 59.989 soggetti interessati, quali Id doman-da, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della do-manda;

3) «XX» (url: https://...). Tale elenco riportava in chiaro dati riferiti a n. 20143 soggetti interessati, quali Id doman-da, nominativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della do-manda;

4) «XX» (url: https://...). Tale elenco riportava in chiaro dati riferiti a n. 57 soggetti interessati, quali Id domanda, no-minativo del richiedente, classe dello studente, codice e denominazione della scuola, numero della domanda.

Nello specifico, dall’home page del sito istituzionale della Regione era possibile consultare e scaricare l’elenco del-le domande ammesse e finanziate, quello delle domande ammesse da finanziare, l’elenco dei beneficiari di borsa di studio statale e quello delle domande non ammesse. Tali liste riportavano dati personali quali l’Id della domanda, il nominativo del richiedente, la classe dello studente, il codice e la denominazione della scuola, il numero della domanda.L’Autorità ha ribadito che i soggetti pubblici, nel rispettare gli obblighi di trasparenza, possono diffondere dati per-sonali solo se tale operazione è prevista da una norma di legge o di regolamento, nei casi previsti dalla legge e sempre nel rispetto dei principi in materia di protezione dei

Privacyè possibile diffondere dati di studenti che hanno richiesto benefici economici?

IL QUESITO:“È possibile diffondere i dati degli studenti che richiedono benefici economici?”

dell’Avv. Flavio Corsinovi - Esperto in privacy e protezione dei dati personali - Data Protection Officer (Dpo)

30 settembre 2021

QUESITI

14

PRIVACYe C Y B E R S E C U R I T Y

dati come, ad esempio, il principio di minimizzazione. Tali indicazioni sono già contenute nelle Linee Guida emanate dal Garante del 2014.La normativa statale di settore in materia di trasparenza prevede, con riferimento agli «obblighi di pubblicazione degli atti di concessione di sovvenzioni, contributi, sussi-di e attribuzione di vantaggi economici a persone fisiche ed enti pubblici e privati», che «Le pubbliche amministra-zioni pubblicano gli atti di concessione delle sovvenzioni, contributi, sussidi ed ausili finanziari [ ], e comunque di vantaggi economici di qualunque genere a persone [ ] di importo superiore a mille euro» nel corso dell’anno solare. In ogni caso, «È esclusa la pubblicazione dei dati identifi-cativi delle persone fisiche destinatarie dei provvedimenti di cui al presente articolo, qualora da tali dati sia possibile ricavare informazioni relative [ ] alla situazione di disagio economico-sociale degli interessati» (art. 26, commi 2-4, del Dlgs. n. 33/2013).In ordine alla diffusione online di dati personali di soggetti beneficiari di contributi economici, fin dal 2014, il Garante ha fornito specifiche indicazioni alle pubbliche amministra-zioni sulle cautele da adottare, con il provvedimento gene-rale n. 243 del 15 maggio 2014, recante le “Linee guida in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati”, pubblicato in G.U. n. 134 del 12 giugno 2014 e in www.gpdp.it, doc. web n. 3134436 (attualmente in corso di aggiornamento, ma ancora attuale nella parte sostanziale).Nelle Linee guida del Garante sopra citate, è espressa-

mente sancito, con riferimento all’obbligo di pubblicazio-ne degli atti di concessione di benefici economici (parte prima, par. 9.e), che “lo stesso Dlgs. n. 33/2013 individua una serie di limiti all’obbligo di pubblicazione di atti di con-cessione di benefici economici comunque denominati. Non possono, infatti, essere pubblicati i dati identificati-vi delle persone fisiche destinatarie dei provvedimenti di concessione di sovvenzioni, contributi, sussidi e attribu-zione di vantaggi economici, nonché gli elenchi dei relativi destinatari:a) di importo complessivo inferiore a mille euro nel corso

dell’anno solare a favore del medesimo beneficiario;[…]c) di importo superiore a mille euro nel corso dell’anno

solare a favore del medesimo beneficiario “qualora da tali dati sia possibile ricavare informazioni relative […] alla situazione di disagio economico-sociale degli inte-ressati” (art. 26, comma 4, Dlgs. n. 33/2013)”.

Inoltre, la normativa statale di settore in materia di traspa-renza esclude, in ogni caso, la pubblicazione dei dati dei destinatari dei provvedimenti, qualora da tali dati sia pos-sibile ricavare informazioni sulla situazione di disagio degli interessati.Riscontrato l’illecito, il Garante ha sanzionato la Regione per 200 mila Euro, tenendo conto dell’alto numero di per-sone i cui dati sono stati diffusi e del periodo di quasi 11 mesi in cui è avvenuta l’infrazione, ritenuta comunque di natura colposa. A seguito dell’intervento dell’Autorità, la Regione ha prontamente rimosso dal sito istituzionale i dati personali oggetto di violazione.

30 settembre 2021

LA GIURISPRUDENZA

15

PRIVACYe C Y B E R S E C U R I T Y

LA GIURISPRUDENZA

In seguito ad un decreto di perquisizione e sequestro pro-batorio di materiale informatico ritenuto dall’Autorità inqui-rente quale cosa pertinente al reato, veniva presentato ricorso per cassazione uno dei soggetti interessati a cui dette cose erano state sequestrate.Tale gravame veniva presentato adducendo la mancanza di una correlazione qualificata fra i fatti per cui si procede-va e la documentazione acquisita, che faceva assurgere detto sequestro più che ad un sequestro probatorio ad un sequestro esplorativo Affermava inoltre parte ricorrente la violazione dell’art. 8 della Cedu.L’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (Cedu) di-spone: “1 Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della pro-pria corrispondenza. 2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla preven-zione dei reati, alla protezione della salute e della morale, o alla protezione dei diritti e delle libertà altrui”.L’art. 8 è finalizzato e a difendere l’individuo da ingeren-ze arbitrarie dei pubblici poteri. In particolare, agli Stati contraenti è posto il divieto di ingerenza, salvo specifiche espresse derogheLa nozione di «vita privata» elaborata dalla giurispruden-za della Corte di Strasburgo è una nozione ampia, non

soggetta ad una definizione esaustiva che comprende l’in-tegrità fisica e morale della persona e può, dunque, inclu-dere numerosi aspetti dell’identità di un individuo. L’identi-tà di un individuo comprende diversi aspetti e si compone di molteplici elementi. Tra i numerosi aspetti dell’identità di un individuo sono ricompresi il nome o gli elementi che si riferiscono al diritto all’immagine. Nel concetto di «vita privata» sono incluse anche le informazioni personali che un individuo può legittimamente aspettarsi non vengano pubblicate senza il suo consenso.Parte ricorrente con le sue argomentazioni esponeva che il pubblico ministero per il tramite dei propri consulenti si era limitato ad una mera estrapolazione forense dei dati contenuti nella memoria del materiale informatico in se-questro, senza mai operare una cernita dei dati informatici pertinenti al thema probandum. La suprema Corte investita dalla questione ha ritenuto inammissibile il ricorso richiamando i precedenti orienta-menti formatisi sul punto precisando che è inammissibile il ricorso per cassazione avverso l’ordinanza del tribunale del riesame di conferma del sequestro probatorio di un computer o di un supporto informatico, nel caso in cui ne risulti già la restituzione previa estrazione di copia dei dati immagazzinati e qualora non venga dedotta, la lesione di interessi primari connessi all’indisponibilità delle informa-zioni contenute negli oggetti sequestrati. (cfr. Cass., Sez. 5, n. 13694 del 15/02/2019, Rv. 274975; Cass., Sez. 6, n. 13306 del 22/02/2018, Rv. 272904).Sempre sulla questione la giurisprudenza ha chiarito che , in tema di acquisizione della prova, l’autorità giudiziaria,

Sequestro copia dati a scopo probatoriolegittimo se non vi è lesione di interessi primari connessi all’indisponibilità delle informazioni contenute negli oggetti sequestrati

dell’Avv. Giuseppina Tofalo - Avvocato, Consulente per Enti e imprese in materia di privacy

Commento a Cassazione Penale sez. V 04.08.2021 n. 30559

30 settembre 2021

LA GIURISPRUDENZA

16

PRIVACYe C Y B E R S E C U R I T Y

al fine di esaminare un’ampia massa di dati i cui contenuti sono potenzialmente rilevanti per le indagini, può dispor-re un sequestro dai contenuti molto estesi, provvedendo, tuttavia, nel rispetto del principio di proporzionalità ed ade-guatezza, alla immediata restituzione delle cose sottopo-ste a vincolo non appena sia decorso il tempo ragionevol-mente necessario per gli accertamentiNella fattispecie in esame si invocava inoltre l’interesse al ripristino del diritto all’esclusiva disponibilità delle infor-

mazioni e alla reintegrazione del diritto alla privacy senza tuttavia specificare quale fosse l’interesse concreto e at-tuale che avrebbe potuto essere leso dal venir meno della disponibilità esclusiva delle informazioni contenute nelle cose sottoposte a vincolo in capo alla ricorrente.Il ricorso veniva dichiarato inammissibile con condanna a carico di parte ricorrente al pagamento di una sanzione a favore della cassa delle ammende.

Nella predisposizione e preliminarmente all’invio della presente Newsletter sono stati effettuati tutti i possibili controlli tecnici per verificare che i files siano indenni da virus. Ricordato che l’installazione di un’aggiornata protezione

antivirus rientra comunque tra le regole fondamentali di corretta gestione di un qualsiasi sistema informatico, si declina da ogni responsabilità in ordine alla trasmissione di eventuali virus.

Centro Studi Enti LocaliVia della Costituente, n. 15 - 56024 San Miniato (PI)

Tel. 0571 469222 - 469230 - Fax. 0571 469237segreteria.abbonamenti@centrostudientilocali.it

Organismo accreditato da ACCREDIA

Azienda con sistema di gestionequalità UNI EN ISO 9001:2015

certificato da Certiquality