Telemarketing: stop alle telefonate anonime!

Il Garante dispone nei confronti di tre società il blocco dei dati utilizzati illecitamente.

Non solo effettuavano chiamate pubblicitarie indesiderate ad utenze iscritte nel Registro delle opposizioni, ma non rendevano identificabile la linea chiamante, impedendo in tal modo agli abbonati di poter tutelare i loro diritti.

E’ per questi motivi che il Garante privacy ha fatto scattare provvedimenti di blocco del trattamento dei dati nei confronti di tre società operanti nel settore del telemarketing. (vedi provvedimenti doc. web n. 18770651877080 e 1878559)

Le società, che forniscono servizi di call center per promuovere prodotti e servizi di altre aziende:

  • avevano infatti contattato utenze telefoniche iscritte nel Registro delle opposizioni, non rispettando quindi le nuove norme sul telemarketing che considerano illecito l’utilizzo di questi dati;
  • inoltre, sempre in violazione di queste norme e di quelle del Codice in materia di protezione dei dati personali, avevano contravvenuto all’obbligo di presentare l’identificazione della linea chiamante

Il Codice privacy, in particolare, vieta espressamente ai soggetti che effettuano chiamate commerciali e promozionali di camuffare o celare la loro identità.

Alla luce di queste violazioni, oltre a dichiarare illecito il trattamento dei dati effettuato dalle tre società, il Garante ha dunque disposto una misura pesante come il blocco che impedisce alle tre società l’uso dei dati raccolti fino a quando esse non si metteranno in regola e invieranno agli Uffici dell’Autorità la documentazione che comprovi l’avvenuto adeguamento.

Il Garante si è comunque riservato di valutare la possibilità di contestare alle società anche sanzioni amministrative.

E’ stata disposta, infine, l’apertura di autonomi procedimenti nei confronti delle aziende che si sono avvalse dei servizi dei tre call center, per accertare la liceità dei trattamenti svolti.

 

Annunci

Sì a telecamere “intelligenti”, ma no all’uso di microfoni

Il Garante detta le regole per la sicurezza rafforzata di una centrale elettrica

Il Garante della privacy ha accolto la richiesta del gestore di una centrale termoelettrica di rafforzare le protezioni delle infrastrutture tramite un sofisticato sistema di videosorveglianza, ma ha negato la possibilità di abbinare dei microfoni alle telecamere.

Nel progetto, sottoposto alla verifica preliminare della Autorità, si sottolineava che la centrale è collocata in un’area isolata, di notevole estensione e al di fuori delle zone controllate di routine dalla polizia e si chiedeva quindi l’adozione di tecnologie in grado di garantire una veloce identificazione di possibili intrusioni dall’esterno.

Il Garante ha riconosciuto la necessità di garantire standard di sicurezza superiori alla media per proteggere il sito e ha autorizzato l’installazione di telecamere “intelligenti” in grado di segnalare, tra l’altro, eventuali tentativi di sabotaggio o soggetti in movimento, prescrivendo comunque che le riprese vengano utilizzate solo per finalità di tutela del patrimonio aziendale e della sicurezza del personale.

L’Autorità ha invece ritenuto eccessiva,  e non conforme ai principi di pertinenza e proporzionalità stabiliti dal Codice privacy, la richiesta di poter captare suoni fino a 5-6 metri di distanza dalle telecamere: l’uso di un tale sistema avrebbe infatti comportato il rischio di ledere la riservatezza di chiunque si fosse trovato nei pressi delle aree controllate, inclusa la zona del parcheggio e dell’ingresso principale, o in luoghi di semplice ristoro o di riposo dal turno di lavoro dei dipendenti. Ha quindi respinto la domanda di collegare microfoni alle telecamere.

Il sistema di videosorveglianza autorizzato, potendo inquadrare anche aree di lavoro o di sosta del personale potrà essere attivato, come prevede lo Statuto dei lavoratori, solo dopo aver raggiunto uno specifico accordo con le rappresentanze sindacali o dopo aver ottenuto l’autorizzazione della competente Direzione provinciale del lavoro.

 

Marketing via mail e tutela dei consumatori

Il Garante vieta ad una società l’uso di due banche dati.

Il Garante per la privacy ha vietato a una società concessionaria di pubblicità l’utilizzo di due banche dati contenenti gli indirizzi e-mail di oltre 340.000 persone.

La società, tra le principali in Italia ad offrire servizi internet e di marketing, è stata sottoposta a una ispezione nell’ambito degli accertamenti effettuati dal Garante nel settore delle promozioni tramite posta elettronica.

Dalle verifiche è emerso che, in alcuni casi, la società aveva operato solamente come intermediario tra chi intendeva promuovere i propri prodotti e servizi e i titolari di alcuni database con liste di persone contattabili per finalità pubblicitarie, senza accedere quindi ai dati personali degli interessati.

In altri casi, invece, la concessionaria di pubblicità aveva operato direttamente su due banche dati esterne, utilizzando gli indirizzi e gli altri dati personali contenuti senza aver però rispettato l’obbligo:

  • di informare le persone registrate e 
  • richiedere il loro consenso. 

La concessionaria, peraltro, non è risultata essere stata neppure designata Responsabile del trattamento dai titolari delle due banche dati.

Il Garante, accertato l’illecito:

  • ha vietato alla internet company ogni ulteriore trattamento dei dati personali presenti nei due archivi 
  • ha avviato un autonomo procedimento al fine di valutare eventuali sanzioni amministrative per le violazioni commesse.

Il Modello di APA per il 2012 – Aggiornamento Privacy Annuale

Eliminato l’obbligo di redazione del DPS, possiamo adempiere all’obbligo di aggiornamento annuale del Sistema privacy aziendale attraverso un documento denominato APA, ovvero: Aggiornamento Privacy Annuale.

In calce al presente Post, Studio Mazzolari è lieto di fornire un Modello/Facsimile dell’APA2012 liberamente scaricabile ed utilizzabile.

Cos’è l’APA?

L’obbligo da parte dei Titolari di trattamento di metter mano ed aggiornare il proprio Sistema Privacy è previsto dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza). L’APA è un documento che consente di verificare la conformità delle procedure aziendali alle caratteristiche richieste dal DLgs 196/2003 e successivi Provvedimenti del Garante oltre che a verificarne l’applicazione.

Chi deve redigere l’APA?

L’Aggiornamento Privacy Annuale è adempimento obbligatorio che tutti i Titolari di trattamento devono effettuare.

A chi va inviato l’APA?

A nessuno. L’APA va conservato nel Fascicolo Privacy Aziendale presso il Responsabile del Trattamento.

Entro quando va redatto l’APA?

Pur non essendo indicata alcuna scadenza specifica nell’arco dell’anno, Studio Mazzolari mantiene il 31 marzo come termine ultimo entro il quale adempiere al dettato normativo.

A tutti buona vita.

Scarica il Modello di APA2012

La Nuova Privacy Europea

Portabilità del dato, obbligo per le Aziende di nominare un “Data Protection Officer” e di redigere un “Privacy Impact Assessment”, queste alcune tra le più rilevanti novità della privacy prossima (e dietro l’angolo) che maggiormente andranno ad impattare sui Modelli privacy  adottati in Azienda. 

Ma diamo un’occhiata più da vicino.

Il 25 gennaio 2012 la Commissione europea ha presentato ufficialmente le proposte relative al nuovo quadro giuridico europeo in materia di protezione dei dati. Si tratta di un Regolamento, che andrà a sostituire la vecchia direttiva 95/46/CE, e di una Direttiva che dovrà disciplinare i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).

Sul sito della Direzione Generale “Giustizia”  sono raccolte tutte le informazioni e la documentazione pertinenti: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm.

Va ricordato che i Regolamenti UE sono immediatamente esecutivi, non necessitando di recepimento da parte degli Stati membri, a differenza delle direttive. Per lo stesso motivo essi possono garantire una maggiore armonizzazione a livello dell’intera UE. 

 

Il Regolamento

Queste, in sintesi, alcune tra le maggiori novità della proposta di Regolamento:

  • restano ferme le definizioni fondamentali, ma con alcune significative aggiunte (dato genetico, dato biometrico);
  • viene introdotto l’obbligo di nominare un “data protection officer” (incaricato della protezione dati, secondo la terminologia della direttiva 95/46) per tutti i soggetti pubblici e per quelli privati al di sopra di un certo numero di dipendenti, mentre scompare l’obbligo per i titolari di notificare i trattamenti di dati personali;
  • viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;
  • si stabilisce il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il “diritto all’oblio”, ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca storica);
  • viene introdotto il requisito del “privacy impact assessment” (valutazione dell’impatto-privacy) oltre al principio generale detto “privacy by design” (cioè la previsione di misure a protezione dei dati già al momento della progettazione di un prodotto o di un software);
  • si stabilisce l’obbligo per tutti i titolari di notificare all’autorità competente le violazioni dei dati personali (“personal data breaches”);
  • si fissano più specificamente poteri (anche sanzionatori) e requisiti di indipendenza delle autorità nazionali di controllo, il cui parere sarà indispensabile qualora si intendano adottare strumenti normativi, comprese le leggi, che impattino sulla protezione dei dati personali.

 

La Direttiva

Per quanto riguarda la proposta di Direttiva, essa sostituirà, una volta adottata, la Decisione-Quadro (la 2008/977/GAI) attualmente in vigore che disciplina i trattamenti di dati da parte delle autorità giudiziarie e di polizia.

Va sottolineato che le disposizioni della Direttiva si applicheranno, in via generale, a tutti i trattamenti di dati personali svolti in uno Stato Membro per tali finalità “istituzionali”, mentre la Decisione-Quadro disciplina esclusivamente lo scambio di dati fra autorità competenti degli Stati Membri ed il trattamento successivo dei dati scambiati in tale contesto.

La Direttiva riprende l’impostazione del Regolamento che richiama in molte delle sue previsioni, a cominciare dalle definizioni di interessato, dato personale, trattamento, titolare del trattamento ecc.. Essa  contiene, tuttavia, disposizioni specifiche sulle responsabilità dei titolari e sugli obblighi che ad essi incombono in materia di trasparenza ed accesso, e fissa i criteri di legittimità dei trattamenti in oggetto nonché i meccanismi di mutua cooperazione e i poteri delle autorità nazionali di controllo. Come già ricordato, le sue disposizioni dovranno essere recepite attraverso apposite norme nazionali.

L’iter per l’approvazione definitiva dei due strumenti normativi proposti comporterà l’intervento congiunto di Parlamento europeo e Consiglio UE in base alla procedura detta di “codecisione” (ora definita dal Trattato di Lisbona “procedura legislativa”).