Wi-Fi pubblico gratuito, il Garante chiede all’Agid più tutele per gli utenti

Misure di sicurezza per evitare accessi alle reti interne della Pa, divieto di tracciamenti non necessari degli utenti, conservazione a tempo dei dati, maggiore trasparenza. Sono alcune delle importanti garanzie richieste dal Garante per la protezione dei dati personali nel parere reso all’Agid sullo schema di Linee guida sul Wi-Fi pubblico. L’Agenzia per l’Italia Digitale dovrà integrare lo schema per renderlo conforme alle disposizioni del Regolamento Ue e del Codice privacy.

Le Linee guida offrono indicazioni alle Pa che forniscono ai cittadini la connessione wireless ad Internet presso gli uffici e altri luoghi pubblici, in particolare nei settori scolastico, sanitario e turistico, anche mettendo a disposizione dei cittadini la porzione di banda non utilizzata dagli uffici.

L’offerta di tale servizio comporta tuttavia il trattamento, da parte delle amministrazioni, dei dati degli utenti che ne usufruiscono, caratterizzato da diversi profili di rischio. Per questo motivo l’Autorità ha ritenuto che le Linee guida devono essere integrate al fine di richiamare le pubbliche amministrazioni a garantire una corretta applicazione del Regolamento mediante l’adozione di misure tecniche ed organizzative adeguate al rischio e configurando il servizio in modo da assicurare la protezione dei dati trattati fin dalla progettazione e per impostazione predefinita.

Lo schema sottoposto al Garante raccomanda, in particolare, alle Pa di identificare gli utenti, per poter rintracciare eventuali comportamenti malevoli. Su questo punto, l’Autorità ha precisato che le amministrazioni non sono autorizzate a conservare dati di traffico telematico e ha chiesto all’Agid di integrare le Linee guida indicando alle amministrazioni modalità rispettose del Regolamento per individuare, a posteriori, i responsabili di condotte illecite (ad es. utilizzando i soli dati relativi alla connessione e disconnessione degli utenti).

L’Autorità ha chiesto inoltre di fornire indicazioni alle amministrazioni sulle tipologie di dati da raccogliere e sui tempi di conservazione, nel rispetto del principio di  minimizzazione. Dovrà essere vietato qualunque trattamento di dati relativi ai dispositivi degli utenti a fini di tracciamento dell’ubicazione o degli spostamenti (mediante tecniche di Wi-Fi location tracking), consentendo solo l’uso di quelli indispensabili per l’accesso al servizio o per individuare, a posteriori, eventuali illeciti.

È possibile, inoltre, che il servizio di Wi-Fi free pubblico venga offerto anche ai turisti, attraverso le strutture alberghiere. Al riguardo, il Garante ha richiesto che lo schema venga integrato precisando che il turista deve poter decidere autonomamente se aderire al servizio di Wi-Fi free in interoperabilità o utilizzare la sola connettività alberghiera. L’eventuale interoperabilità non deve automaticamente prevedere la comunicazione alle amministrazioni dei dati dei clienti degli alberghi.
Infine, le Linee guida dovranno ribadire alle Pa la necessità di adottare adeguate misure di sicurezza, anche per la gestione delle violazioni di dati personali (artt. 32, 33 e 34 del Regolamento), nonché suggerire specifiche cautele nel caso in cui il servizio Wi-Fi free sia utilizzato anche dai dipendenti della pubblica amministrazione che lo fornisce.

 

Questura non rettifica i dati, il Garante privacy sanziona il Ministero dell’interno

Una questura comunica in modo errato a vari uffici il contenuto di un provvedimento di ammonimento rivolto ad una donna. Ma lo corregge, nonostante la richiesta di rettifica avanzata dall’interessata, solo dopo l’apertura di un formale procedimento da parte del Garante per la privacy. E l’Autorità commina al Ministero dell’interno, in quanto titolare del trattamento, una sanzione di 50 mila euro.

La questura, pur sapendo della inesattezza dei dati comunicati, almeno dal giugno 2019, ossia dalla data di richiesta della rettifica della reclamante, non aveva provveduto, considerando sufficiente che fossero corrette le informazioni inserite nel Ced del Dipartimento della Pubblica Sicurezza.

Di diverso avviso il Garante, al quale la donna si era rivolta. L’Autorità ha affermato infatti che la presenza dei dati corretti nel Ced del Viminale non esimeva la Questura dall’obbligo di rettificare i dati erronei trasmessi ad altri soggetti, obbligo la cui violazione ha determinato una lunga permanenza di dati personali inesatti nei loro archivi.  Solo nel luglio 2020, ossia ad oltre un anno dalla richiesta di rettifica e solo dopo la comunicazione dell’avvio del procedimento da parte dell’Autorità, la questura ha inviato a tutti i destinatari della prima comunicazione una nota di rettifica dei dati.

L’Autorità ha precisato che la consapevolezza da parte della questura di avere comunicato ad una pluralità di uffici dati inesatti e la decisione di non procedere subito alla loro rettifica, configura un trattamento illegittimo per violazione del diritto alla tempestiva rettifica dei dati personali errati senza giustificato motivo. Inoltre, contrariamente a quanto sostenuto dalla questura, la condotta omissiva ha leso i diritti della reclamante all’esattezza dei propri dati personali ed alla loro immediata correzione in caso di inesattezza.

L’Autorità, tenuto anche conto della collaborazione poi fornita dalla questura nel corso del procedimento, ha quindi applicato la sanzione minima, pari a 50mila euro, nei confronti del Ministero quale titolare del trattamento, ordinando alla stessa amministrazione di valutare l’opportunità di promuovere adeguate iniziative formative nei confronti del personale, anche periferico, della Polizia di Stato, per assicurare il rispetto dei diritti degli interessati e l’immediata rettifica dei dati inesatti.

 

Diritto all’oblio, Garante: sì per chi è risultato estraneo a vicende giudiziarie   

Una persona ha diritto a veder deindicizzati dai motori di ricerca gli articoli che riportano vicende giudiziarie risalenti nel tempo alle quali è poi risultata estranea.

Il principio è stato affermato dal Garante per la privacy che ha dichiarato fondati i reclami presentati da due persone ed ha ordinato a Google di rimuovere gli url agli articoli reperibili facendo una ricerca online con i loro nominativi. Nel primo caso, il nominativo compariva in alcuni articoli di stampa che riferivano di un collegamento tra la società, nella quale la persona prestava la propria attività, e un’altra azienda direttamente coinvolta in un’inchiesta giudiziaria. Nel secondo caso, il nominativo era riportato in articoli riguardanti una vicenda giudiziaria in cui erano coinvolte altre persone. In entrambi gli episodi i reclamanti, che non erano mai stati sottoposti a provvedimenti giudiziari – come confermato dai certificati penali – si erano rivolti al Garante lamentando il pregiudizio personale e professionale derivante dalla permanenza in rete degli articoli e chiedendo la rimozione degli url.

Respingendo le tesi di Google che aveva ritenuto non vi fossero i presupposti per l’esercizio del diritto all’oblio, l’Autorità ha affermato invece che la perdurante reperibilità in rete degli articoli associati ai nominativi dei reclamanti crea un impatto sproporzionato sui loro diritti, non bilanciato da un interesse pubblico a conoscere notizie che non hanno avuto alcun seguito giudiziario a loro carico.  Il Garante ha quindi ordinato a Google la rimozione degli url ed ha disposto l’annotazione nel registro interno dell’Autorità, previsto dal Regolamento Ue, della misura adottate nei confronti del motore di ricerca.