Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il Garante privacy che ha vietato a una società l’uso delle utenze telefoniche reperite on line a fini promozionali in base al mancato consenso degli interessati.

Il fatto che alcuni numeri di telefono presenti in Internet siano liberamente accessibili a chiunque non significa che possano essere legittimamente usati per finalità che, come il marketing, sono diverse da quelle per cui sono stati pubblicati. Con questa motivazione il Garante ha vietato l’uso dei numeri di telefono raccolti da una società che per acquisire nuovi clienti e promuovere i propri prodotti contattava telefonicamente utenze di liberi professionisti e imprese individuali presenti nell’area “contatti” dei siti. Un trattamento non in linea con la disciplina di protezione dei dati personali perché effettuato senza aver prima acquisito il consenso informato dei destinatari e in violazione del principio di finalità.

Tra i clienti che non hanno potuto manifestare il libero e specifico consenso per l’invio di comunicazioni automatizzate promozionali, oltre a imprese individuali e liberi professionisti, vi erano anche numerose persone giuridiche, che in base all’art. 130 del Codice, continuano ad essere tutelate riguardo alle comunicazioni promozionali automatizzate (e-mail, telefonate, sms).

L’Autorità si è riservata di valutare l’applicazione delle sanzioni amministrative previste dal Codice per le violazioni rilevate.

whatsappIl Garante per la protezione dei dati personali ha avviato un’istruttoria a seguito della modifica della privacy policy effettuata da WhatsApp a fine agosto.

La nuova informativa privacy di Whatsapp non sfugge al vaglio dell’Autorità Garante. A seguito dell’acquisizione della società di messaggistica da parte di Facebook, è stata infatti disposta la condivisione dei dati personali degli utenti con il noto social network per finalità presumibilmente di marketing.

Il problema non risiede nello scambio di dati tra le due società appartenenti al medesimo gruppo imprenditoriale, possibilità tra l’altro prevista sia dalla direttiva 96/46/CE in materia di protezione dei dati personali sia dal recente Regolamento generale europeo n. 679/2016 ove vengono espressamente definiti le regole e i limiti per il trasferimento di dati infragruppo.

Ciò che preoccupa il Garante è la profilazione che scaturirebbe dall’associazione dei dati degli utenti di Whatsapp (come ad esempio il numero di telefono) con quelli di Facebook. Una tale correlazione permetterebbe infatti non solo di inviare pubblicità e annunci mirati in relazione agli interessi degli utenti, ma anche di individuare più facilmente gli utenti stessi e la rispettiva cerchia di contatti. Sotto il profilo strettamente operativo, l’effetto di tale associazione di dati potrebbe essere quello di rendere vane talune misure volte a garantire ad esempio la non rintracciabilità dei soggetti, come l’uso di pseudonimi ovvero la scelta di non rendere visibile il proprio profilo.

A ciò si aggiunge la vaghezza dell’informativa – rilevata dal Garante – che non risulta evidenziare in modo chiaro quale siano le finalità del trattamento e la tipologia di dati comunicati. Inoltre, il Garante si riserva di esaminare le modalità di acquisizione del consenso degli utenti alla comunicazione dei dati dal momento che attualmente Whatsapp propone solo una scelta preselezionata di accettazione delle nuove condizioni.

Oggetto dell’istruttoria del Garante saranno, infine, anche le misure volte a garantire l’esercizio dei diritti degli utenti, considerato che – come si legge nel comunicato stampa dell’Autorità – “dall’avviso inviato sui singoli device la revoca del consenso e il diritto di opposizione sembrano poter essere esercitati in un arco di tempo limitato”.

posted by admin on maggio 2, 2016

Miscellanee

(No comments)

Sicurezza_CamerasL’Autorità Garante ha autorizzato presso gli stabilimenti di un’azienda di Avezzano operante nel settore dei semiconduttori, l’utilizzo di un nuovo impianto di videosorveglianza dotato di software “intelligent video” e la conservazione delle relative immagini per un periodo di 45 giorni, “al fine di conformarsi agli elevati standard di qualità e sicurezza richiesti dal proprio mercato di riferimento”.

La Lfoundry S.r.l., società che aveva presentato domanda di verifica preliminare per il potenziamento del sistema antintrusione, aveva motivato la richiesta anche in funzione del servizio di sorveglianza svolto per due aziende fornitrici collocate all’interno dello stesso perimetro, in ragione degli elevati standard di sicurezza richiesti nel comparto “secure” in cui opera.

L’integrazione dell’impianto di videosorveglianza prevede un sistema di controllo accessi per l’ingresso alle aree riservate in grado di rilevare condizioni anomale, di discriminare “tra accessi leciti e illeciti” e munito di telecamere termiche.

Secondo il Garante il sistema in questione, da considerarsi eccedente rispetto alla normale attività di videosorveglianza, può fungere da importante strumento di tutela date le particolari condizioni prese in esame: lo stabilimento è classificato a rischio incidente rilevante, al suo interno vengono prodotti delicati componenti elettronici per la realizzazione di dispositivi destinati a sistemi di identificazione sicura sia in ambito pubblico che privato, e la sua ubicazione è adiacente a vie di fuga facilmente raggiungibili.

Il Garante ha inoltre autorizzato la conservazione delle immagini rilevate per un periodo di 45 giorni, allo scopo di permettere l’individuazione dei responsabili di eventuali illeciti anche a seguito di intrusioni e furti già denunciati.

“Resta inteso che” conclude il Garante “ad eccezione della visione da parte dell’Autorità giudiziaria, l’accesso alle immagini in questione potrà avvenire solo nel rispetto di quanto stabilito dagli accordi sindacali aziendali, con conseguente divieto di loro comunicazione a terzi (fatte salve le esigenze dell’Autorità giudiziaria) o di diffusione”.

Il colosso di Mountain View dovrà pagare una multa di 100.000 euro per non aver filtrato i risultati delle sue ricerche come imposto dalla sentenza della Corte di Giustizia dell’Unione Europea del 13 maggio 2014.

La Commission Nationale de l’Informatique et des Libertes (CNIL) ha specificato che l’obbligo a cancellare dai risultati di ricerca le informazioni “inadeguate, non pertinenti o non più pertinenti” qualora gli interessati lo richiedano, vale per tutti i siti gestiti da Google.

Nonostante Google abbia provveduto a mettere a disposizione un modulo per la richiesta di cancellazione dei link, lo scorso maggio l’Authority francese ha rilevato che l’attività di deindicizzazione dei risultati è stata applicata solo ai domini di Google relativi ai paesi europei. Se dunque un risultato veniva eliminato dalle ricerche su Google.fr (Francia) questo non avveniva anche nel motore di ricerca internazionale Google.com.

La CNIL ha dunque ordinato a Google di provvedere alla rimozione dei risultati segnalati su tutti i domini di sua gestione, ma la compagnia di Mountain View si è opposta a questa richiesta in nome del diritto di espressione, sottolineando i limiti giurisdizionali dell’Authority di Francia che, a suo avviso, non avrebbe potere di censura sul dominio americano.

Google ha infatti sottolineato che i risultati vengono filtrati anche su google.com qualora l’accesso al portale provenga da un’utenza francese.

Tuttavia, la CNIL ha rigettato questa motivazione sostenendo che la tutela al diritto alla privacy dei cittadini non può essere subordinata alla provenienza geografica delle persone che consultano i risultati delle ricerche.

Google ha annunciato che ricorrerà in appello contro il provvedimento.

Garante privacy ha espresso un cauto parere positivo sullo schema di decreto legislativo recante il riordino della disciplina sugli obblighi di pubblicità, trasparenza e informazioni da parte della pubbliche amministrazioni, ma chiede maggiori tutele per i diritti dei cittadini.

Il Garante ha sottolineato che l’applicazione delle disposizioni sulla trasparenza da parte della PA necessita di un approccio equilibrato per salvaguardare l’equilibrio fra privacy e pubblica utilità. Devono essere quindi attentamente valutati i rischi per la vita privata che possono derivare da obblighi di pubblicazione sul web di dati personali non sempre indispensabili a fini di trasparenza. Rischi che emergono ancora di più in considerazione della delicatezza di alcune informazioni e della loro facile reperibilità grazie ai motori di ricerca.

A questo proposito, l’Authority chiede di sviluppare alcuni criteri che possano razionalizzare e rimodulare gli obblighi di pubblicazione in funzione di tre aspetti essenziali: grado di esposizione dei singoli titolari di funzioni pubbliche al rischio di corruzione, funzionalità del dato da pubblicare rispetto alla effettiva necessità di conoscenza da parte dei cittadini e bilanciamento delle esigenze di trasparenza con il diritto alla protezione dei dati.

L’Autority ha poi sottolineato come sia irragionevole estendere automaticamente gli obblighi di trasparenza (come il mantenimento sul web per cinque anni, l’obbligo di indicizzazione, la vigilanza dell’Anac) e le relative sanzioni a tutti i dati, documenti, e informazioni resi pubblici sulla base di obblighi giuridici regolati da specifiche norme di settore, come ad esempio le pubblicazioni matrimoniali, aventi spesso finalità notevolmente diverse.

Alcune modifiche sono state suggerite anche in relazione alla disciplina dell’accesso alle informazioni che, salvo alcune eccezioni, sancisce il diritto di chiunque di accedere a dati e documenti detenuti dalle pubbliche amministrazioni, anche senza motivazione. Nel caso di accesso a dati personali, il Garante propone di accogliere l’istanza solo se funzionale a un interesse ritenuto prevalente rispetto al diritto alla riservatezza, ovvero oscurando i dati personali presenti. L’Autorità suggerisce poi di istituire un regolamento attuativo per l’individuazione delle categorie di dati e documenti suscettibili e propone di escludere l’accesso a dati sensibili, giudiziari o di minori.

Per meglio chiarire il livello di rischio, il Garante cita ad esempio l’accoglimento di una richiesta di accesso alla lista nominativa dei bambini iscritti a una scuola, o l’istanza di accesso a informazioni sulla salute o la vita sessuale dei singoli, detenuti da strutture ospedaliere e di cura.

posted by admin on novembre 4, 2015

Tutela dei consumatori

(No comments)

logo-uberL’Authority chiede al Parlamento di stabilire norme volte a disciplinare il trasporto urbano svolto da autisti non professionisti attraverso le piattaforme digitali per smartphone e tablet.

Riferendosi esplicitamente a Uber e alle App collegate a questo servizio, il Garante della concorrenza e del mercato ha auspicato che nel rispetto dei consumatori «il legislatore intervenga con la massima sollecitudine al fine di regolamentare, nel modo meno invasivo possibile, queste nuove forme di trasporto non di linea».

L’Authority si è espressa in risposta a un quesito del Ministero dell’Interno su richiesta del Consiglio di Stato, giudicando «di fatto inapplicabili» gli obblighi stabiliti dalla legge 21 del 1992, legge quadro per il trasporto di persone mediante autoservizi pubblici non di linea.  Secondo il Garante i servizi prestati da operatori NCC (noleggio con conducente) mediante piattaforme digitali di collegamento tra domanda e offerta non possono per «definizione rispettare una norma che impone agli autisti l’acquisizione del servizio dalla rimessa e il ritorno in rimessa a fine viaggio». L’osservazione è motivata dal costante sviluppo di quelle App che coinvolgono anche le compagnie di radio-taxi, ponendo complesse questioni d’interferenza con i servizi tradizionali.

Facendo riferimento alla recente ordinanza del Tribunale di Milano, il Garante ha evidenziato come il servizio offerto da Uberpop e svolto da autisti non professionisti debba garantire la sicurezza delle persone trasportate, l’efficienza delle vetture utilizzate e l’idoneità dei conducenti. Occorre garantire la concorrenza nel settore, la sicurezza stradale e l’incolumità dei passeggeri, stabilendo regole stabili per la nuova categoria di autisti, interposta a quelle dei taxi e degli NCC.

È dunque necessaria «una maggiore facilità di fruizione del servizio di mobilità, una migliore copertura di una domanda spesso insoddisfatta, una conseguente riduzione dei costi per l’utenza e, nella misura in cui si disincentiva l’uso del mezzo privato, un decongestionamento del traffico urbano».

posted by admin on ottobre 27, 2015

Diritto all'oblio, reputazione online

(No comments)

erasePubblicato un bilancio delle richieste inviate dai cittadini all’Autorità Garante per la protezione dei dati per ottenere la rimozione di alcuni link dai risultati dei motori di ricerca.

In seguito della sentenza della Corte di Giustizia dell’Unione Europea del 13 maggio 2014 – che ha stabilito che Google deve cancellare dai risultati di ricerca le informazioni “inadeguate, non pertinenti o non più pertinenti” qualora gli interessati lo richiedano – la compagnia di Mountain View ha pubblicato un modulo per il “diritto all’oblio”, grazie al quale gli utenti possono chiedere la cancellazione dei risultati associati al loro nome. Ogni richiesta di rimozione viene valutata dal motore di ricerca che acconsente alla cancellazione solo quando la notizia viene ritenuta priva di rilevante interesse per il pubblico.

A partire da maggio 2014, le richieste di rimozione pervenute a Google dai cittadini italiani sono state 25.118, per un totale di 82.603 URL. Sebbene le richieste siano state rifiutate nel 70,5% dei casi, l’Authority ha evidenziato come solo una esigua percentuale degli applicanti respinti si sia successivamente rivolta al Garante per un ricorso.

Le istanze inoltrate da comuni utenti e figure pubbliche locali dopo la mancata rimozione sono circa 50, delle quali una decina “in via di definizione” . La maggior parte dei ricorsi si è conclusa con un rigetto, e solo in un terzo dei casi sono state accolte le richieste.

Il Garante ha reso noto che per ogni singolo caso è stato valutato se le informazioni fossero di interesse pubblico e se da ritenersi eccedenti o potenzialmente dannose per la reputazione e la vita privata del ricorrente. I casi rigettati riguardano infatti “vicende processuali di sicuro interesse pubblico, anche a livello locale, spesso recenti o per le quali non erano ancora stati esperiti tutti i gradi di giudizio. I dati personali riportati, tra l’altro, risultavano trattati nel rispetto del principio di essenzialità dell’informazione”.

Google dovrà procedere alla rimozione dei link segnalati per tutti i ricorsi accolti dall’Autorità Garante.

Nella nota pubblicata dal Garante non si fa riferimento ai ricorsi che coinvolgono altri motori di ricerca, poiché il numero delle richieste di deindicizzazione da parte dei cittadini è in questo caso di gran lunga inferiore.

Pubblicato un vademecum informativo su marketing e diritto alla privacy del consumatore.

Il Garante della Privacy ha pubblicato “VIVA I CONSIGLI, ABBASSO LO SPAM. Dal telefono al supermercato: il marketing a prova di privacy“, un vademecum sulle modalità di difesa dalla pubblicità invasiva, ideato per informare il consumatore e per sollecitare le aziende a sviluppare metodi di marketing nel rispetto dei diritti degli utenti. Al suo interno sono illustrate le azioni che il cittadino può compiere per impedire che vengano spiati i propri acquisti o per bloccare le telefonate e i messaggi telefonici a scopo pubblicitario. Sono analizzati i problemi relativi alle tecniche persuasive usate per telefoni, email e social network, e quelli riguardanti il funzionamento del Registro delle Opposizioni. In proposito il Presidente dell’Autorità, Antonello Soro, auspica “una rapida revisione legislativa del Registro delle opposizioni che renda più efficace la tutela dei consumatori”.

Inoltre, nel vademecum sono esposte le modalità necessarie a svolgere un’attività di marketing che non trasgredisca le regole della privacy, instaurando un rapporto di fiducia e di ascolto. Il Garante ricorda che “il rispetto del consumatore e il corretto uso dei suoi dati personali – a partire da quelli necessari per contattarlo fino alle informazioni più private, come gusti e preferenze – differenziano le imprese che vedono i propri clienti come semplice “preda”, da quelle che scelgono di operare in modo trasparente, ponendo al centro della loro attività sia la qualità dei propri prodotti e servizi sia la fiducia dei propri acquirenti”.

Il testo, ideato per rispondere alle domande e ai dubbi più frequenti, è disposto in otto agili capitoli: “Privacy e marketing nell’impresa”, “Libertà al consumatore: informativa e consenso”, “Finalità e disponibilità: asso pigliatutto”, “Le differenze tra i personal shopper e i disturbatori”, “La ricerca del cliente e lo scambio dei dati”, “Le promozioni al telefono”, “Web e social network, liberi dallo spam”, “Aiuto! a chi mi rivolgo?”

Il vademecum è disponibile QUI in formato pdf e, su richiesta al Garante, anche in formato cartaceo.

Il 10 febbraio 2015 il Garante per la protezione dati italiano e il Garante della protezione dei dati albanese hanno firmato un accordo di cooperazione per la tutela dei dati personali dei cittadini italiani e albanesi raccolti e utilizzati da soggetti pubblici e privati che operano in Albania.

L’accordo assume una particolare rilevanza per l’Italia in quanto l’Albania ospita i centri di assistenza telefonici di molte aziende italiane, o operanti in Italia.

Il Garante ha reso noto che “la cooperazione prevede un’attività ispettiva congiunta presso pubbliche amministrazioni e aziende private, inclusi i call center che operano in Albania, e si svilupperà perseguendo una serie di importanti obiettivi finalizzati allo scambio di esperienze e know-how, alla trattazione dei ricorsi presentati da cittadini di entrambi i Paesi, all’assistenza nella stesura di report e analisi, all’aggiornamento delle norme.”

L’accordo a tutela della privacy degli utenti nei call center “delocalizzati”, giunge a conclusione di una serie di incontri e momenti di scambio formativo tenuti presso l’Autorithy italiana.

Il Garante della privacy ha accolto le istanze di due società telefoniche che intendono utilizzare i dati di geolocalizzazione dei propri lavoratori.

Al fine di ottimizzare la gestione delle risorse presenti sul territorio, migliorare la qualità degli interventi tecnici e facilitare eventuali interventi di soccorso, due compagnie di telecomunicazione si sono rivolte al Garante per richiedere il via libera alla raccolta delle informazioni geografiche rilevate attraverso app attive sugli smartphone dei dipendenti.

L’Autorità ha autorizzato il trattamento dei dati, prescrivendo tuttavia stringenti misure di sicurezza a tutela della riservatezza dei dipendenti. Sarà permessa la geolocalizzazione, ma non l’accesso ad altri dati sensibili, quali SMS, email ecc. e i lavoratori dovranno essere sempre consapevoli della propria tracciabilità. A questo fine, gli smartphone geolocalizzati dovranno essere dotati di un’icona ben visibile che indichi quando la funzione di localizzazione è attiva, e che i dipendenti siano sempre tenuti al corrente del trattamento di dati effettuato dalle società. Inoltre, la rilevazione dei dati non potrà essere continuativa, ma relativa ad intervalli di tempo. A garanzia di questa prescrizione saranno disponibili solo i dati dell’ultima rilevazione, che cancelleranno di volta in volta quelli della precedente.

Con questi accorgimenti, il sistema adottato dalle due società è stato ritenuto conforme al principio di liceità, poiché in grado di garantire un incremento di velocità dei servizi offerti ai clienti, l’ottimizzazione degli interventi tecnici, e il soccorso tempestivo in caso di difficoltà dei dipendenti. La procedura risulta inoltre conforme anche ai principi di necessità, pertinenza e non eccedenza.

Come di consueto, prima di attivare il sistema, le due società dovranno notificare all’Autorità il trattamento dei dati sulla localizzazione.