Relazione 2023 del Garante per la protezione dei dati personali.pdf [2077 k, pdf]

1. Introduzione 3

2. Il quadro normativo in materia di protezione dei dati personali 16

2.1. Le leggi 16

2.2. I decreti-legge 19

2.3. I decreti legislativi 23

3. I rapporti con il Parlamento e le altre istituzioni 26

3.1. L’attività consultiva del Garante 26

3.1.1. La consultazione del Garante nell’ambito del procedimento 26

legislativo o dell’esercizio delle funzioni conoscitive, di indirizzo

e controllo delle Camere

3.1.2. La consultazione del Garante su atti normativi statali di rango 27

primario: i pareri al Governo su progetti di legge e schemi di

decreto legislativo

3.1.3. I pareri sugli atti regolamentari o amministrativi in generale 27

3.1.4. La consultazione del Garante sugli atti normativi regionali o 29

di province autonome

3.1.5. Segnalazioni 30

3.1.6. Quesiti 30

3.2. Consultazione attraverso la piattaforma IMI 30

3.3. Il contributo al Governo ai fini del riscontro ad atti di sindacato ispettivo 31

3.4. L’esame delle leggi regionali al vaglio di costituzionalità del Governo 31

II - L’ATTIVITÀ SVOLTA DAL GARANTE

4. Il Garante e le amministrazioni pubbliche 35

4.1. L’attività fiscale, tributaria e in materia di antiriciclaggio 35

4.1.1. La dichiarazione dei redditi precompilata 35

4.1.2. Antiriciclaggio 37

4.2. Previdenza, assistenza sociale e altri benefici economici 38

4.3. La protezione dei dati personali in ambito scolastico e universitario 39

4.4. Trasparenza e pubblicità dell’azione amministrativa 42

4.4.1. La pubblicazione di dati personali online da parte delle pubbliche 42

amministrazioni

4.4.2. Accesso civico 43

4.5. Trattamenti di dati personali effettuati dalle amministrazioni centrali, 47

regioni ed enti locali

4.5.1. Trattamenti di dati personali effettuati dalle amministrazioni 47

centrali

4.5.2. Trattamenti di dati personali effettuati presso regioni ed enti locali 49

4.5.2.1. Ambiente 49

4.5.2.2. Mobilità e trasporti 50

4.5.3. Esercizio dei diritti 50

4.6. Trattamenti per finalità amministrative 51

4.7. Servizi online e misure di sicurezza 52

4.8. Il RPD in ambito pubblico 53

4.9. Ordini professionali 53

I - STATO DI ATTUAZIONE DEL CODICE IN MATERIA DI

PROTEZIONE DEI DATI PERSONALI

Indice

VIII INDICE RELAZIONE 2023

4.10. Digitalizzazione della pubblica amministrazione 54

4.11. La materia anagrafica ed elettorale 57

4.12. Trattamenti di dati personali in ambito pubblico mediante dispositivi video 58

5. La sanità 60

5.1. La sanità digitale 60

5.1.1. Il Fascicolo sanitario elettronico 60

5.1.2. Il dossier sanitario 63

5.1.3. La telemedicina 64

5.2. L’uso dell’intelligenza artificiale in sanità 65

5.3. Trattamenti di dati personali nell’ambito dei sistemi informativi 67

sanitari centrali

5.4. Trattamenti per finalità di cura e amministrative correlate alla cura 70

5.4.1. Provvedimenti derivanti da data breach 70

5.4.2. Provvedimenti derivanti da reclami e segnalazioni 74

5.4.3. Provvedimenti derivanti da istruttorie attivate d’ufficio 79

5.4.4. Provvedimenti relativi al trattamento di dati personali effettuato 80

nell’ambito dell’emergenza sanitaria

5.5. Trattamenti per finalità ulteriori rispetto a quelle di cura e/o 81

amministrative correlate alla cura

5.6. Esercizio dei diritti 84

6. La ricerca scientifica 86

6.1. Provvedimenti adottati ai sensi dell’art. 110 del Codice 86

6.2. Chiarimenti in merito all’art. 110-bis, comma 4, del Codice 92

6.3. Altri provvedimenti in materia di trattamenti per scopi di ricerca scientifica 93

7. La statistica 96

7.1. La statistica ufficiale 96

8. I trattamenti in ambito giudiziario e di sicurezza 99

8.1. Trattamenti in ambito giudiziario 99

8.2. Trattamenti da parte di forze di polizia 101

8.3. Pareri resi su schemi di decreti in ambito giudiziario o in relazione 101

ad attività di polizia

8.4. Il controllo sul CED del Dipartimento della pubblica sicurezza 103

8.5. Il controllo sul Sistema di informazione Schengen 103

8.5.1. Follow up della valutazione Schengen relativa all’Italia 103

8.5.2. L’attività di controllo e monitoraggio sul SIS II 104

9. L’attività giornalistica 105

9.1. Dati statistici e aspetti procedurali 105

9.2. Trattamento di dati nell’esercizio dell’attività giornalistica 106

9.2.1. Dati giudiziari 106

9.2.2. Illecita diffusione di dati sanitari 106

9.2.3. Dati relativi a minori 107

9.2.4. Dati di personaggi noti 108

9.2.5. Notizie di rilevante interesse pubblico e rispetto dell’essenzialità 109

dell’informazione

9.2.6. Istanze di cancellazione rivolte agli editori 111

9.3. Trattamento di dati da parte dei motori di ricerca 112

Indice

RELAZIONE 2023 INDICE IX

10. Cyberbullismo e revenge porn 117

11. Marketing e trattamento di dati personali 118

11.1. Il fenomeno del telemarketing indesiderato e l’azione di contrasto 118

11.1.1. Il telemarketing illegale nel settore telefonico 120

11.1.2. Il telemarketing illegale nel settore energetico 121

11.1.3. Attivazione illecita di schede telefoniche 122

11.1.4. Utilizzo di call-center ubicati fuori dall’Unione europea 123

11.1.5. Scenari evolutivi nel settore del telemarketing illegale: 123

il codice di condotta

11.1.6. Marketing e profilazione 123

11.1.7. Marketing attraverso modelli oscuri (dark pattern) 124

e banche dati illecite

11.1.8. Attività svolte nell’ambito della tutela del consumatore nei servizi 125

di comunicazione elettronica

12. Servizi di comunicazioni elettroniche e internet 126

12.1. Meta Election Day Information (EDI) 126

12.2. Conservazione di dati di traffico 126

12.3. Data retention per finalità giudiziarie 126

12.4. Cookie e altri strumenti di tracciamento di dati personali 127

12.5. Trattamento di dati personali in rete 127

12.6. Trattamento di dati personali mediante dispositivi connessi 128

12.7. Attività in materia di trattamento dati medianti sistemi di 129

intelligenza artificiale

12.8. Schemi di decisione finale ai sensi dell’art. 60, parr. 7 o 8, del RGPD 130

12.9. Procedure di cooperazione europea relative a trattamenti transfrontalieri di 130

dati personali effettuati da fornitori di servizi della società dell’informazione

13. La protezione di dati personali nel rapporto di lavoro 135

privato e pubblico

13.1. Trattamento di dati mediante la posta elettronica 135

13.2. Esercizio dei diritti 140

13.3. Trattamento di dati biometrici 146

13.4. Trattamento di dati sanitari 147

13.5. Videosorveglianza nei luoghi di lavoro del settore privato 148

13.6. Pubblicazione di dati in internet 151

13.7. Trattamento di dati mediante dispositivi tecnologici 151

13.8. Trattamento di dati nell’ambito delle procedure di acquisizione 152

 e gestione delle segnalazioni di illeciti (cd. whistleblowing)

13.9. La protezione di dati nell’ambito del rapporto di lavoro pubblico 153

13.9.1. Trattamento di dati per finalità di instaurazione e gestione 154

del rapporto di lavoro

13.9.1.1. Trattamento di dati nell’ambito di procedure concorsuali 154

13.9.1.2. Trattamento di dati effettuato in occasione 156

dell’accertamento del requisito vaccinale

per i professionisti sanitari

13.9.1.3. Comunicazione di dati a soggetti terzi e circolazione 156

di informazioni nei contesti lavorativi

13.9.1.4. Diffusione online di dati dei lavoratori 157

13.9.2. Dati personali di lavoratori in banche dati pubbliche 159

Indice

X INDICE RELAZIONE 2023

14. Le attività economiche 162

14.1. Trattamento di dati in ambito assicurativo 162

14.2. Trattamento di dati in ambito bancario-finanziario e sistemi 163

di informazioni creditizie

14.3. Imprese 170

14.4. Concessionari di pubblici servizi 174

14.5. Procedure IMI relative a trattamento di dati in ambito 176

economico-produttivo

15. Altri trattamenti in ambito privato 178

15.1. Trattamento di dati personali nell’ambito del condominio 178

15.2. Trattamento di dati da parte di associazioni e fondazioni 180

15.3. Videosorveglianza nel settore privato 184

16. Intelligenza artificiale e diritto alla protezione 187

dei dati personali

17. Violazioni dei dati personali 193

18. Il trasferimento dei dati personali all’estero 194

19. L’attività ispettiva 195

19.1. L’attività ispettiva fra programmazione e contingenze 195

19.2. Controlli online sulle cd. linee guida in materia di cookie 196

19.3. La collaborazione con la Guardia di finanza 196

20. Il contenzioso giurisdizionale 198

20.1. Considerazioni generali 198

20.2. Le opposizioni ai provvedimenti del Garante e le decisioni giudiziali 198

di maggior rilievo

20.3. Il contributo del Garante nei giudizi in materia di protezione dati 209

21. Le relazioni comunitarie e internazionali 210

21.1. La cooperazione tra le autorità di protezione dati nello Spazio 211

economico europeo: il Comitato europeo per la protezione dei dati

21.2. La cooperazione delle autorità di protezione dati nel settore libertà, 220

giustizia e affari interni

 21.2.1. Comitato di controllo coordinato 220

 21.2.2. Gruppo di supervisione del sistema EURODAC 222

 21.2.3. Gruppo di coordinamento della supervisione del 223

Sistema informativo doganale

21.3. La partecipazione dell’Autorità in seno al Consiglio d’Europa, 223

all’OCSE e ad altri gruppi di lavoro internazionali

21.4. Le Conferenze internazionali ed europee 226

21.5. Le domande pregiudiziali davanti alla Corte di giustizia dell’Unione europea 227

21.6. I progetti per l’applicazione del RGPD finanziati dall’Unione europea 228

22. Attività di normazione tecnica internazionale e nazionale 230

Indice

RELAZIONE 2023 INDICE XI

23. L’attività di comunicazione, informazione e di rapporto 233

con il pubblico

23.1. La comunicazione del Garante: profili generali 233

23.2. I prodotti informativi 235

23.3. Il sito istituzionale, i prodotti multimediali e le pubblicazioni 236

23.4. Le manifestazioni e i convegni 237

23.5. L’attività internazionale 238

23.6. L’assistenza al pubblico e la predisposizione di nuovi strumenti informativi 238

III - L’UFFICIO DEL GARANTE

24. Attività di studio e documentazione 243

25. La gestione amministrativa e dei sistemi informatici 244

25.1. Il bilancio e la gestione economico-finanziaria dell’Autorità 244

25.2. L’attività contrattuale, la logistica e la manutenzione dell’immobile 245

25.3. L’organizzazione dell’Ufficio 247

25.4. “Amministrazione trasparente” e adempimenti relativi alla 250

disciplina anticorruzione

25.5. Il settore informatico-tecnologico e la transizione digitale 251

IV - I DATI STATISTICI