Azione della Commissione europea contro l’Italia sull’uso delle banche dati per le televendite

Lo scorso 28 gennaio, La Commissione europea ha avviato un procedimento giudiziario nei confronti dell’talia per mancata osservanza delle norme europee in materia di vita privata e comunicazioni elettroniche (ePrivacy).

In base alla normativa europea gli Stati membri hanno l’obbligo di garantire che:

• gli abbonati i cui nominativi figurano in un elenco pubblico siano informati sugli scopi dell’elenco e che
• l’uso a fini commerciali dei dati personali ivi contenuti sia subordinato al loro consenso.

Poiché l’Italia è venuta meno a tale obbligo, la Commissione ha deciso di inviarle una lettera di costituzione in mora (si tratta della prima fase di un procedimento di infrazione).

“ Nella moderna società digitale è essenziale il pieno rispetto della vita privata degli utenti dei servizi di telecomunicazioni” ha affermato Viviane Reding, commissaria europea alle telecomunicazioni. “La direttiva europea sulla tutela della vita privata nel settore delle comunicazioni elettroniche (ePrivacy) offre ai cittadini una serie di strumenti per proteggere la privacy e i dati personali. È preoccupante constatare che non solo l’Italia non ha recepito nel proprio ordinamento interno le disposizioni previste dalla direttiva sulla ePrivacy, ma anche che le autorità italiane hanno prorogato la possibilità di usare banche dati contenenti dati personali di cui non è stato consentito l’utilizzo. È nostro compito garantire che tutti gli Stati membri rispettino le norme comunitarie, in modo che i cittadini si sentano sicuri nel mercato unico delle telecomunicazioni e siano informati dell’uso che viene fatto dei loro dati personali.”

In Italia sono state costituite banche dati per le televendite ricavate da elenchi pubblici di abbonati senza che gli interessati abbiano acconsentito esplicitamente all’uso di queste informazioni. L’uso di queste banche dati era autorizzato fino al 31 dicembre 2009 dalla legge italiana n.14 del 27 febbraio 2009 ed è stato prorogato di ulteriori sei mesi. Stando alle informazioni in possesso della Commissione, gli interessati:

• non sono stati informati né del trasferimento dei loro dati da elenchi telefonici a banche dati costituite a fini commerciali,
• né hanno acconsentito all’inserimento dei loro dati personali in tali database.

La Commissione si interroga inoltre sull’effettiva e corretta applicazione delle nuove disposizioni italiane che permettono agli abbonati di non acconsentire all’uso dei dati che li riguardano.

L ’Italia dispone di due mesi per rispondere alla lettera di costituzione in mora (la prima fase del procedimento di infrazione) che la Commissione ha deciso di inviare oggi. In assenza di risposta o se le osservazioni presentate dall’Italia non saranno soddisfacenti, la Commissione potrà decidere di formulare un parere motivato (seconda fase di un procedimento d’infrazione). Se nemmeno in questo caso l’Italia dovesse ottemperare agli obblighi che le incombono in virtù del diritto dell’Unione europea, la Commissione potrà adire la Corte di giustizia.

Contesto

La direttiva europea sulla tutela della vita privata nel settore delle comunicazioni elettroniche (Direttiva 2002/58/CE) fa obbligo agli Stati membri di garantire che, prima di essere inseriti in un elenco pubblico, gli abbonati siano informati degli scopi dell’elenco e di qualsiasi uso che potrà esserne fatto. Gli Stati membri hanno l’obbligo di garantire che gli abbonati possano decidere se permettere che i loro dati personali siano inseriti in un elenco pubblico e in che misura i loro dati siano pertinenti per gli scopi di tale elenco. Gli Stati membri devono anche vietare che siano inviate comunicazioni indesiderate, a scopo di commercializzazione diretta, senza il consenso degli abbonati. L’ordinamento interno degli Stati membri può scegliere tra le varie opzioni, ma deve garantire agli abbonati la possibilità di acconsentire o meno all’uso dei loro dati.

Un riepilogo dettagliato dei procedimenti di infrazione in materia di telecomunicazioni è disponibile sul sito:

http://ec.europa.eu/information_society/policy/ecomm/implementation_enforcement/infringement/

45.478085 9.184919

Privacy e UE: una ferma e lucida vigilanza

Privacy by Design, Body Scanner, Social Network

questi i punti chiavi del keynote di Viviane Reding, Commissario europeo incaricato della società dell’informazione e dei media, durante il Data Protection Day del 28 gennaio scorso al Parlamento Europeo di Bruxelles, la quale, ribadendo il fermo impegno delle Istituzioni europee nella difesa della privacy dei propri cittadini, riporta alcuni tra i suoi più recenti interventi nella veste di Commissario per la Società dell’Informazione.

• Facebook, MySpace, Twitter: va garantita una maggiore tutela dei minori under 18 attraverso l’impostazione “privata” di default dei loro profili che, quindi, non compaiono nei motori di ricerca.
• Behavioural Advertising (il monitoraggio della navigazione web degli utenti per fini pubblicitari): la Commissione ha avviato una procedura di infrazione nel c.d. Phorm case. Viene ribadito il principio secondo il quale senza un preventivo consenso informato degli utenti, i loro dati personali non possono essere usati.
• Riforma delle Telecomunicazioni: l’emendamento proposto dalla Commissione alla ePrivacy Directive prevede una maggiore trasparenza e un controllo più incisivo da parte dei Cittadini dell’Unione: i Providers devono segnalare ogni violazione dei dati personali sia alle competenti autorità sia alle persone coinvolte senza ulteriore ritardo.

Il Commissario, quindi, ricorda uno dei punti chiave della normative europea sulla protezione dei dati personali, ovvero il c.d. Principio di necessità (V. art.3 Dlgs 196/2003): le imprese devono utilizzare il loro potere innovativo e di sviluppo nel migliorare la protezione della privacy sin dall’inizio del ciclo di sviluppo di ogni progetto.

Arriva, quindi, ad un nuovo importantissimo principio, il Privacy by Design, secondo il quale il rispetto della privacy non può essere garantito solo dalla normativa, piuttosto deve diventare un modo di operare di default di ogni organizzazione. Il Privacy by Design  è pertanto uno strumento che può aumentare la fiducia dei consumatori sia in servizi che prodotti e, quindi, avere un impatto positivo sull’intera economia.

La Reding affronta poi la riforma della Direttiva sui Dati Personali garantendo che le risposte alle oltre 160 consultazioni pubbliche saranno in linea sia col Trattato di Lisbona che con la Carta dei Diritti Fondamentali.Le sfide principali che si presentano sono:

• chiarire l’applicazione di alcuni regole chiave come consenso e trasparenza
• assicurare la protezione dei dati personali a prescindere dallo stabilimento del Titolare del trattamento
• promuovere le PET’s attraverso l’introduzione di nuovi principi come la “Privacy by Design”

Il Commissario ribadisce che la protezione dei dati personali deve essere assicurata anche nelle piccole operazioni quotidiane, tipo il trasferimento di denaro, la prenotazione di un volo o il passaggio attraverso il controllo sicurezza in aeroporto.

Body scanner: perché i Cittadini dovrebbero mostrare proprie informazioni personali per dimostrare di non avere nulla da nascondere? La Reding ritiene che i body scanner siano troppo invasivi e la loro effettiva utilità sia tutta da dimostrare.

Stesso principio per l’enorme mole di nostri dati finanziari trasmessi agli Stati Uniti: sono effettivamente necessari, proporzionati ed utili, tutti gli SWIFT trasmessi oltreoceano per finalità di lotta al terrorismo?

Al Commissario Reding il nostro augurio di buon lavoro.

45.478085 9.184919

Telemarketing: prorogate le regole del Garante

Le regole predisposte dal Garante privacy nel marzo 2009, relative alle chiamate promozionali e pubblicitarie consentite a suo tempo dal decreto “Milleproroghe” del 2008, restano valide:

• ancora per l’ulteriore periodo di sei mesi previsto dalla legge di conversione del decreto Ronchi,

ovvero

• se istituito in questo periodo, fino alla realizzazione del registro pubblico delle opposizioni al quale dovranno iscriversi le persone che non intendono ricevere questo tipo di telefonate.

Lo ha disposto l’Autorità con un provvedimento in corso di pubblicazione sulla Gazzetta Ufficiale.

In questo lasso di tempo, Aziende e call center che contatteranno gli utenti per fare promozione e offerte commerciali:

• dovranno continuare a utilizzare solo banche dati effettivamente costituite sulla base degli elenchi telefonici precedenti al 1° agosto 2005
• non potranno chiedere il consenso degli interessati per futuri contatti né potranno cedere i dati che utilizzano a terzi
• dovranno ad ogni contatto specificare per quale società chiamano e ricordare agli interessati i loro diritti
• dovranno registrare immediatamente l’eventuale contrarietà dell’abbonato ad essere nuovamente contattato: l’utente che non intende essere più disturbato avrà il diritto di conoscere l’identificativo dell’operatore al quale ha comunicato la sua volontà.

Inoltre, i dati presenti nelle banche dati dovranno essere utilizzati solo a fini promozionali e non potranno in alcun modo essere usati per acquisire nuove informazioni o il consenso degli abbonati ad effettuare chiamate dopo la scadenza del periodo di deroga.

Il mancato rispetto del provvedimento comporta una sanzione amministrativa che va da 30 mila a 180 mila euro e che, nei casi più gravi, può raggiungere anche i 300 mila euro.

45.478085 9.184919

Rinnovate le autorizzazioni generali per i dati sensibili e giudiziari

Rinnovate le autorizzazioni generali per i dati sensibili e giudiziari e differita al 30 aprile 2010 l’autorizzazione al trattamento dei dati genetici.

Il Garante Privacy ha rinnovato le autorizzazioni al trattamento dei dati sensibili e giudiziari che saranno efficaci dal 1° gennaio 2010 sino al 30 giugno 2011 (per il testo delle autorizzazioni 2008: Garante privacy).

I sette provvedimenti riguardano, come in passato, i rapporti di lavoro, i dati sulla salute e la vita sessuale, le associazioni e le fondazioni, i liberi professionisti, le attività creditizie, assicurative e del settore turistico, l’elaborazione dei dati effettuata per conto terzi, gli investigatori privati e il trattamento dei dati di carattere giudiziario.

Le nuove autorizzazioni non recano significative modifiche rispetto a quelle in scadenza, alle quali sono state apportate solo alcune circoscritte integrazioni relative a modifiche normative intervenute nei settori considerati.

Il Garante ha differito inoltre, al 30 aprile 2010, l’efficacia dell’autorizzazione al trattamento dei dati genetici, rilasciata il 22 febbraio 2007 e già prorogata sino al 31 dicembre 2009.

Le nuove autorizzazioni e il provvedimento di differimento sono in corso di pubblicazione sulla Gazzetta Ufficiale.

45.478085 9.184919

Amministratori di sistema e open source

Il comunicato stampa del 10 dicembre del Garante, chiude con un richiamo a soluzioni software gratuite basate su licenze open source.

Al riguardo SMBlog segnale un importante contributo dell’informatico Paolo Giardini di Perugia esperto in materia di open source: http://blog.solution.it/soluzione-open-source-per-log-amministratori-di-sistema/.

Ricordiamo, inoltre, che il Provvedimento del Garante sugli amministratori di sistema non si applica ai titolari che rientrano nel beneficio delle esenzioni privacy oggetto delle misure di semplificazione.

Nello specifico non si applica ai soggetti pubblici o privati che:

1. utilizzano dati personali non sensibili o che trattano come unici dati sensibili  riferiti ai propri dipendenti e collaboratori anche a progetto  quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall’adesione a organizzazioni sindacali o a carattere sindacale;
2. trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).

Amministratori di sistema: comunicato stampa del Garante

Con comunicato stampa del 10 dicembre, il Garante interviene per:

• Confermare la scadenza del 15 dicembre per l’adozione delle nuove misure necessarie di sicurezza relative agli Amministratori di sistema,
• Precisare i destinatari di tali disposizioni.

Di seguito il testo del comunicato stampa disponibile sul sito del Garante.

In vista della scadenza del 15 dicembre, termine entro il quale imprese e altri soggetti interessati devono adeguarsi alle prescrizioni impartite a suo tempo in materia di amministratori di sistema, l’Autorità per la protezione dei dati personali ritiene opportuno precisare alcuni aspetti, anche allo scopo di evitare ingiustificati oneri per le aziende.

L’Autorità, nel rilevare il generale impegno da parte delle imprese ad adempiere alle prescrizioni impartite con il provvedimento del 27 novembre 2008, ha infatti constatato che informazioni imprecise o anche talune azioni promozionali da parte di consulenti rischiano di disorientare alcune aziende, soprattutto quelle di piccole dimensioni, esponendole a immotivati aggravi economici.

L’Autorità intende dunque ribadire quanto segue:

• le prescrizioni riguardano solo quei soggetti che, nel trattare i dati personali con strumenti informatici, devono ricorrere o abbiano fatto ricorso alla figura professionale dell’amministratore di sistema o a una figura equivalente.
• le prescrizioni non si applicano, invece, a quei soggetti anche di natura associativa che, generalmente dotati di sistemi informatici di modesta e limitata entità e comunque non particolarmente complessi, possano fare a meno di una figura professionale specificamente dedicata alla amministrazione dei sistemi o comunque abbiano ritenuto di non farvi ricorso.

Per quanto concerne, infine, gli aspetti tecnici del provvedimento (in particolare, la conservazione dei log degli accessi effettuati dagli amministratori di sistema), il Garante ricorda come l’adeguamento possa avvenire anche con soluzioni a basso costo, validamente proposte e disponibili in rete (per esempio basate su software gratuito, anche con licenze di tipo open source), che possono costituire valide alternative all’impiego di prodotti commerciali o di apparati più sofisticati.

Roma, 10 dicembre 2009

Italica ver-gogna

La vicenda dell’asilo di Pistoia, anche per chi non ha due gemelli in età nido come il sottoscritto, non può che suscitare disagio, rabbia, indignazione. Alla notizia, già pesante come un macigno, i media hanno ritenuto opportuno aggiungere i filmati in chiaro raccolti dalle forze dell’ordine.

Confesso: non ho guardato il video e non lo guarderò. Quando ne ho visto un fotogramma pubblicato su corriere.it la mia mente è andata prima ai piccoli, poi ai genitori, quindi alla domanda: perché? Perché pubblicarlo? Quale utilità per il c.d. diritto all’informazione può avere?

Ho sfogliato la Carta di Treviso:

L’Ordine dei giornalisti e Fnsi, nella convinzione che l’informazione debba ispirarsi al rispetto dei principi e dei valori su cui si radica la nostra Carta costituzionale (…) dichiarano di assumere i principi ribaditi nella Convenzione Onu del 1989 sui diritti del bambino e nelle Convenzioni europee che trattano della materia, prevedendo le cautele per garantire l’armonico sviluppo delle personalità dei minori in relazione alla loro vita e al loro processo di maturazione, ed in particolare (…) che in tutte le azioni riguardanti i minori deve costituire oggetto di primaria considerazione “il maggiore interesse del bambino” e che perciò tutti gli altri interessi devono essere a questo sacrificati; (…)

Ho poi aperto la Bibbia:

“ … chiunque diventerà piccolo come questo bambino, sarà il più grande nel regno dei cieli.” (Matteo, 18,1)

… e fatto la visita quotidiana al sito del Garante privacy:

Non si possono diffondere scene di maltrattamenti su minori se non oscurando in modo adeguato i volti dei bambini. La doverosa informazione rispetto a gravi episodi di cronaca non può tradursi in una inutile e dannosa esposizione delle vittime.

L’Autorità Garante, rilevando che alcune testate televisive nel diffondere il video sul caso dell’asilo di Pistoia non hanno rispettato i principi fissati dalla Carta di Treviso e dal codice deontologico dei giornalisti, richiama i mezzi di informazione, in particolare i responsabili dei Tg e dei siti internet, a oscurare in modo efficace i volti dei bambini oggetto di maltrattamenti.

In caso di mancato rispetto di tali principi, l’Autorità si riserva di adottare provvedimenti di sua competenza.

Roma, 4 dicembre 2009

Amministratori di sistema: non solo software

Le nuove misure per gli Amministratori di sistema non coinvolgono solo sistemi software e hardware.

Studio Mazzolari riporta qua di seguito un pratico Vademecum degli adempimenti procedurali e documentali prescritti ai Titolari del trattamento relativamente alle attribuzioni delle funzioni di amministratore di sistema (Provvedimento a carattere generale 27 novembre 2008) da adottare entro il 15 dicembre 2009.

Tale vademecum presuppone che il Titolare abbia già adottato idoneo sistema per la registrazione e la conservazione degli access log così come disposto dal Punto f) del sopra citato Provvedimento.

Anzitutto: Chi sono gli Amministratori di sistema?

Con la definizione di “amministratore di sistema” si individuano generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.

Ai fini del  Provvedimento del Garante vengono però considerate tali anche altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali:

• gli amministratori di database,
• gli amministratori di reti e di apparati di sicurezza,
• gli amministratori di sistemi software complessi.

Gli adempimenti procedurali e documentali richiesti

a. Valutazione delle caratteristiche soggettive

Anche quando le funzioni di amministratore di sistema o assimilate sono attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell’art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell’art. 29.

Adempimento: nella nomina dell’Amministratore di sistema vanno richiamati i requisiti previsti per la nomina a Responsabile del trattamento (Comma 2, Art. 29 Dlgs 196/2003). Se è già stato nominato quale Incaricato del trattamento: integrare la nomina con le valutazioni ex art. 29 Dlgs 196/2003.

b. Designazioni individuali
e ambiti di operatività

La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Adempimento: all’atto della designazione individuale di un amministratore di sistema, deve essere fatta una “elencazione analitica” degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, ovvero la descrizione puntuale degli stessi, evitando l’attribuzione di ambiti insufficientemente definiti, analogamente a quanto previsto al comma 4 dell’art. 29 del Codice riguardante i responsabili del trattamento.

NB: non è necessario indicare i singoli sistemi e le singole operazioni affidate. E’ sufficiente specificare l’ambito di operatività in termini più generali, per settori o per aree applicative, senza obbligo di specificarlo rispetto a singoli sistemi, a meno che non sia ritenuto necessario in casi specifici.

c. Elenco degli amministratori di sistema

Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati da parte del Titolare (o del Responsabile esterno) in un documento da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante.

Adempimento: il Titolare (o il Responsabile che svolge il servizio di Amministratore di sistema in outsourcing) redige un documento da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante in cui sono riportati gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite.

NB: l’eventuale attribuzione al responsabile del compito di dare attuazione alla prescrizione, avviene nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali

d. Trattamento dati personali dei lavoratori

I titolari sono tenuti a instaurare un regime di conoscibilità dell’identità degli amministratori di sistema, quale forma di trasparenza interna all’organizzazione a tutela dei lavoratori, nel caso in cui un amministratore di sistema, oltre a intervenire sotto il profilo tecnico in generici trattamenti di dati personali in un’organizzazione, tratti anche dati personali riferiti ai lavoratori operanti nell’ambito dell’organizzazione medesima o sia nelle condizioni di acquisire conoscenza di dati a essi riferiti.

Adempimento: rendere nota l’identità degli Amministratori di sistema tramite

• integrazione dell’Informativa ai lavoratori oppure
• integrazione del Disciplinare interno sull’uso di Internet e Posta elettronica oppure
• pubblicazione sulla intranet o tramite ordini di servizio o bollettini.

e. Verifica delle attività

L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento o dei responsabili cui il servizio è affidato in outsourcing, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Adempimento: almeno annualmente è da sottoporre a verifica l’attività svolta dall’amministratore di sistema nell’esercizio delle sue funzioni. In apposito documento da allegare al DPS (o conservare unitamente alla nomina dell’Amministratore di Sistema) va certificato che le attività svolte dall’amministratore di sistema siano conformi alle mansioni attribuite, ivi compreso il profilo relativo alla sicurezza.

NB: l’eventuale attribuzione al responsabile del compito di dare attuazione alla prescrizione, avviene nell’ambito della designazione del responsabile da parte del titolare del trattamento, ai sensi dell’art. 29 del Codice, o anche tramite opportune clausole contrattuali.

DL Ronchi: non solo acqua

Dunque ieri, 19 novembre, alla Camera è stato dato il via libera al decreto Ronchi che prevede, tra l’altro, la liberalizzazione dei servizi pubblici locali, compresa la gestione delle risorse idriche.

Nel “tra l’altro” vi sono nuove importanti norme in materia di telemarketing che rischiano di azzerare il lavoro del Garante degli ultimi anni tutto improntato alla salvaguardia della pace domestica dalle c.d. telefonate serali di disturbo attraverso il rigoroso principio del consenso preventivo dei destinatari.

 

Cosa cambia?

Registro pubblico: è istituito un registro pubblico al quale dovranno iscriversi quanti non vogliono essere disturbati da telefonate pubblicitarie o commerciali (opt-out)

Prima dell’istituzione del registro: abbonati e utenti si vedranno di nuovo massicciamente contattare da aziende, gestori telefonici, società di servizi con le offerte più diverse

Efficacia retroattiva: potranno essere contattati a fini promozionali anche coloro che a suo tempo avevano manifestato la volontà di non ricevere più pubblicità telefonica

 

La risposta del Garante non si è fatta attendere.

L’Authority per la privacy ha subito espresso forte preoccupazione riguardo agli effetti negativi che potranno derivare dalle nuove norme in materia di telemarketing introdotte dal “decreto legge Ronchi”, appena approvato in via definitiva dalla Camera, manifestando sconcerto anche per la mancata previsione del suo parere formale sull’istituzione del registro, sul cui funzionamento e sulla cui organizzazione l’Autorità viene tuttavia chiamata a vigilare.

Pur riservandosi di verificarne in concreto il funzionamento, l’Autorità esprime infine dubbi sull’effettiva efficacia del registro, il quale peraltro non verrà, come erroneamente riportato da notizie di stampa, gestito direttamente dal Garante, ma da un ente o organismo diverso, ancora da individuare.

Stop allo spamming via fax

Con la Newsletter 231 del 17 novembre 2009, il Garante per la protezione dei dati personali è intervenuto nuovamente per combattere l’invio di pubblicità indesiderata via fax: dall’inizio del 2009 sono oltre 500 le segnalazioni già pervenute al Garante da cittadini e imprese che denunciano questa tecnica di spam.

Il quadro normativo di riferimento per l’invio di informazioni commerciali senza l’intervento di un operatore è l’art. 130, comma 2 del Dlgs 196/2003, il quale prevede, per l’invio di messaggi mediante telefax il preventivo consenso informato e specifico dell’interessato (opt-in).

Da tenere sempre presente che la garanzia di cui all’art.130 del Codice non può essere elusa inviando un primo messaggio che, nel richiedere il consenso, abbia già un contenuto promozionale (v. Provv. 29 maggio 2003, relativo allo spamming, in www.garanteprivacy.it, doc. web n. 29840);

La Newsletter segue l’ultimo intervento del Garante reativo ad una società alla quale è stato vietato l’ulteriore trattamento di dati personali, utilizzati senza consenso dei destinatari per l’invio di pubblicità indesiderata. L’Autorità ha imposto, inoltre, la cancellazione di tutti i dati personali per i quali non risulti documentata la manifestazione del consenso all’invio di comunicazioni promozionali. La mancata osservanza del provvedimento di divieto espone a sanzioni penali e al pagamento di una somma che va da trentamila a centottantamila euro.

Come altre imprese in precedenza, anche in questo caso la società ha affermato di utilizzare, per gli invii, nominativi estratti da elenchi telefonici “categorici” pubblici (come Pagine Gialle o Pagine Utili). Questo consentirebbe, ad avviso delle imprese, di poter liberamente disporre di quei numeri per comunicazioni promozionali.

Il Garante, al contrario, ha ancora una volta ribadito che l’uso di sistemi automatizzati per inviare messaggi promozionali, come è il fax (ma il discorso vale anche per sms, mms, e-mail, etc.) impone la preventiva acquisizione del consenso informato e specifico da parte dei destinatari, anche quando si tratti di dati estratti da elenchi categorici o da albi.