Garante: no alla profilazione occulta

Per creare profili dei clienti in base ai loro gusti e alle loro abitudini o utilizzare i loro dati personali a fini di marketing, le aziende devono chiedere uno specifico consenso.

Attraverso il Provvedimento del 16 dicembre 2009, il Garante ha vietato ad una società che opera nel settore dell’energia elettrica e del gas in alcune province del Nord Italia, l’ulteriore trattamento dei dati personali della clientela raccolti illecitamente.

In seguito all’attività ispettiva avviata dall’Autorità, è emerso infatti che la società sottoponeva alla clientela un modello di richiesta di consenso unico sia per la fornitura del servizio richiesto (consenso peraltro non necessario quando si tratta di obblighi contrattuali), sia in ordine a diversi scopi per i quali i dati venivano raccolti e utilizzati: analisi delle abitudini e scelte di consumo; invio ai clienti di informazioni commerciali; ricerche di mercato (realizzate anche con la collaborazione di terzi attraverso lettere, telefono, e-mail); attività dirette di vendita o di collocamento di prodotti e servizi.

La normativa sulla privacy stabilisce, invece, che la richiesta di consenso non può avere carattere generico: gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei propri dati personali, manifestando un consenso specifico per ciascuna distinta finalità perseguita dal titolare.

L’Autorità ha dunque vietato l’ulteriore trattamento illecito dei dati, ferma restando la loro utilizzabilità per la fornitura dei servizi richiesti. Alla società, che ha provveduto tempestivamente, è stato inoltre imposto di riformulare il modello di informativa e di  trasmetterne esemplare al Garante.

Annunci

Dati di traffico tlc e Internet: no a conservazione illimitata

Gestori telefonici e internet provider di nuovo sotto la lente del Garante privacy

L’Autorità ha vietato [doc web n. 1695393, 1695368 e 1683093] a tre società che operano nel settore della telefonia e Internet l’uso di dati trattati in modo illecito e ne ha ordinato la cancellazione. Tempi di conservazione dei dati di traffico telefonico  e telematico  superiori al consentito e conservazione di informazioni sui siti visitati dagli utenti alcune delle gravi violazioni emerse nel corso degli accertamenti ispettivi effettuati dall’Autorità.

I dati di traffico telefonico (numero chiamato, data, ora, durata della chiamata, localizzazione del chiamante in caso di cellulare ecc.) e Internet (indirizzi e-mail contattati, data, ora, durata degli accessi alla rete ecc.) non riguardano il contenuto della comunicazione, ma sono comunque particolarmente delicati poiché consentono di ricostruire tutte le relazioni di una persona e le sue abitudini.

Le società dovranno innanzitutto cancellare i dati di traffico telefonico e telematico conservati oltre i tempi previsti dalla normativa italiana per finalità di accertamento e repressione dei reati:

  • ventiquattro mesi per i dati di traffico telefonico;
  • dodici mesi per i dati telematici.

In un caso, i dati di traffico telefonico risalivano addirittura a marzo 1999 e quelli di traffico telematico a giugno 2007. Da cancellare anche tutte le informazioni in grado di rivelare gusti, opinioni, tendenze degli utenti che non avrebbero mai dovuto essere archiviate nei data base (ad esempio, l’oggetto dei messaggi di posta elettronica inviati e ricevuti; i dati personali relativi alla navigazione in Internet, anche quando rappresentati dal solo indirizzo Ip di destinazione). Ad una società è stato prescritto di innalzare i livelli di sicurezza dei flussi informativi con l’autorità giudiziaria e di garantire in modo più adeguato la riservatezza delle informazioni: al posto del fax dovranno essere adottati sistemi di comunicazione sviluppati con protocolli di rete sicuri e strumenti di cifratura basati su firma digitale.

Gli accertamenti disposti dal Garante rientrano nell’ambito di un’azione comune deliberata dalle Autorità di protezione dei dati europee riunite nel Gruppo di lavoro art. 29 e sono volti a verificare l’osservanza, da parte dei fornitori di servizi di comunicazione elettronica,  degli obblighi fissati dalla normativa nazionale in materia di conservazione dei dati di traffico. I fornitori sono stati individuati sulla base di diversi criteri (quota di mercato, tipologia dei servizi forniti, dimensione nazionale o internazionale).