Archivio mensile:Maggio 2012

Stop alle telefonate di telemarketing anonime

Posted on by

Vietato l’utilizzo di dati personali nelle chiamate telefoniche a fini promozionali prive dell’identificazione della linea chiamante  

Fatti

  • Il signor M. A. , riceve una chiamata promozionale da parte di operatori di Eismann s.r.l. 
    • in assenza della identificazione della linea chiamante e 
    • nonostante il segnalante avesse iscritto la propria numerazione nel Registro Pubblico delle Opposizioni;
  • Eismann s.r.l. ammette di effettuare le chiamate promozionali senza i prescritti riscontri dei nominativi con il Registro, dichiarando che gli stessi costituirebbero un database realizzato “in proprio” e “non collegabile con i nominativi degli utenti dell’elenco telefonico”;
  • la medesima società ha dichiarato che i dati relativi ai destinatari delle chiamate promozionali vengono acquisiti dai propri agenti, che operano sul territorio con la modalità c.d. “porta a porta”, in occasione delle visite presso i potenziali clienti, durante le quali viene rilasciato il catalogo dei prodotti offerti, contenente anche l’informativa sul trattamento dei dati personali;
  • in relazione alla banca dati in tal modo costituita, la società dichiara che “non viene richiesto consenso al trattamento in quanto i dati personali, come esemplificato sull’informativa stessa, sono utilizzati per adempimenti e finalità commerciali insiti nel rapporto cliente-fornitore, tra le quali i futuri contatti con il cliente per nuovi approvvigionamenti di prodotto surgelato”;

 Cosa dice la Legge?

  • Per poter effettuare futuri contatti telefonici verso i propri clienti per fini commerciali, Eismann s.r.l. avrebbe dovuto acquisirne il preventivo consenso espresso, essendo tale finalità ulteriore ed eventuale rispetto all’esecuzione del rapporto cliente-fornitore e non essendo, quindi,  applicabile al caso specifico l’esenzione di cui all’art. 24, comma 1, lett. b) del Codice;
  • inoltre al caso di specie non è applicabile neppure l’esenzione di cui all’art. 130, comma 4 del Codice, relativa esclusivamente alle comunicazioni promozionali effettuate tramite posta elettronica (e, a seguito del provvedimento del Garante del 19 giugno 2008, tramite posta cartacea);

Illiceità del trattamento

Il predetto trattamento effettuato da Eismann s.r.l.  risulta illecito e non corretto in quanto:

  • realizzato in assenza del necessario consenso espresso per la ricezione di chiamate promozionali con intervento dell’operatore, finalità alla quale non si fa alcun riferimento nell’informativa utilizzata dalla società;
  • svolto in assenza dell’identificazione della linea chiamante, non consentendo così all’interessato di identificare l’autore della chiamata promozionale e di esercitare dunque agevolmente i diritti di cui all’art. 7 del Codice;

Pertanto, il Garante…

  • dispone, ai sensi degli artt. 143, comma 1, lett. c) e  154, comma 1 lett. d) del Codice, il divieto dei trattamenti di dati personali svolti da Eismann s.r.l. per finalità di chiamate promozionali, attraverso l’utilizzo dei dati dei propri clienti in assenza del necessario consenso espresso degli stessi;
  • dispone l’apertura di un autonomo procedimento sanzionatorio nei confronti di Eismann s.r.l. per la verifica dei presupposti per l’eventuale contestazione della violazione delle disposizioni degli artt. 23 e 130, comma 5 del Codice, ai sensi dell’art. 162, comma 2-bis del Codice.

Monitor rivolto verso i Clienti: multato un negozio per violazione della privacy

Posted on by

Perché due negozianti del centro di Ferrara dovranno pagare 12.750 euro per un monitor del sistema di videosorveglianza rivolto nella direzione sbagliata?

Fatti

All’inizio di aprile 2012, nel negozio di cui sopra si è presentato il Nucleo Ispettorato del Lavoro dei Carabinieri, che ha accertato l’installazione:

  • di una telecamera che riprende la zona vendita, ingresso e banco cassa (e fin qui, con le dovute Informative e la debita autorizzazione della Direzione Provinciale Lavoro, nulla di male)  
  • e di un monitor rivolto verso l’area di vendita visibile, quindi, da tutti i Clienti.

Contestazione

La collocazione del monitor rende fruibili e accessibili a terzi non autorizzati le immagini riprese e, pertanto, si pone in violazione della disciplina di protezione dei dati personali.

Cosa dice la Legge?

La normativa di riferimento è il Codice Privacy e il Provvedimento in materia di videosorveglianza – 8 aprile 2010.

Le misure minime di sicurezza (la cui ratio è quella di ridurre al minimo necessario i dati personali trattati per realizzare la finalità individuata dal Titolare del trattamento, in questo caso, le immagini raccolte per finalità di sicurezza dei locali aziendali) che ogni Titolare di trattamento è tenuto ad adottare devono ridurre al minimo i rischi di

  • distruzione e di perdita, anche accidentale, 
  • di accesso non autorizzato
  • di trattamento non consentito o non conforme alle finalità della raccolta, anche in relazione alla trasmissione delle immagini (artt. 31 e ss. del Codice).

Nel caso del negozio di Ferrara, non solo non erano state attentamente selezionate e designate per iscritto le persone fisiche, incaricate del trattamento, autorizzate a visionare le immagini (art. 30 del Codice), ma alle immagini stesse potevano persino accedere tutti gli avventori nel negozio.

Rischi

La mancata adozione delle misure minime di sicurezza e il trattamento illecito di dati personali sono sanzionati:

  • sia in sede amministrativa col pagamento di una sanzione amministrativa da 10.000 €  a 120.000 €
  • sia in sede penale con l’arresto fino a due anni

 

 

 

La mia Impresa è in Cloud: posso stare tranquillo?

Posted on by

24 maggio 2012 – Il Garante interviene con un Vademecum per fornire precisazioni, dare risposte e segnalare rischi.

Lo sapevate che:

  • il Titolare del trattamento che trasferisce del tutto o in parte il trattamento sulle “nuvole” deve procedere a designare  il fornitore dei servizi cloud Responsabile del trattamento?
  • in caso di violazioni commesse dal Fornitore, anche il Titolare sarà chiamato a rispondere dell’eventuale illecito?
  • il Codice privacy vieta, in linea di principio, il trasferimento “anche temporaneo” di dati personali verso uno Stato extraeuropeo (v. Paese di stabilimento del fornitore dei servizi di cloud computing), qualora l’ordinamento del Paese di destinazione o di transito dei dati non assicuri un adeguato livello di tutela? 

La “mini guida” del Garante privacy intitolata CLOUD COMPUTING – Proteggere i dati per non cadere dalle nuvole, è pensata non solo per gli esperti del settore, ma anche per coloro che sono interessati alla comprensione e alla potenziale adozione di queste nuove tecnologie.

La mini guida è suddivisa in cinque capitoli:

  1. Cos’è il cloud computing
  2. Nuvole diverse per esigenze diverse
  3. Il quadro giuridico
  4. Valutazione dei rischi, dei costi e dei benefici
  5. Il decalogo per una scelta consapevole

Nei primi due capitoli si approfondiscono i principali tipi di “nuvole” e le modalità di utilizzo. Il terzo offre una panoramica dei principali riferimenti normativi del settore, con particolare riguardo alla protezione dei dati. Gli ultimi due capitoli propongono i principali criteri per valutare costi e benefici dell’adozione del cloud e una serie di consigli concreti per effettuare le scelte più opportune.

 

“Si” al Sistema RFID per rilevare le presenze dei Lavoratori

Posted on by

Il sistema RFID di rilevamento presenze dei lavoratori dipendenti rispetta la privacy

Fatti

Il dipendente di un’azienda, dopo l’introduzione di un nuovo sistema di rilevamento delle presenze a radiofrequenza (RFID) da parte dell’azienda stessa,  si oppone all’ulteriore raccolta di dati personali che lo riguardano mediante tale sistema, ritenendolo in violazione delle disposizioni in materia di divieto di controllo a distanza dei lavoratori e di quelle in materia di protezione dei dati personali e chiede la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge.

L’azienda aveva provveduto ad informare i dipendenti dell’introduzione del nuovo sistema di rilevamento delle presenze dei lavoratori mediante sistema di prossimità a radiofrequenza (RFID), mediante affissione in bacheca della descrizione di tale nuova modalità.

Il Sistema RFID installato

La timbratura con terminale a prossimità:

  • rileva le sole informazioni pertinenti e non eccedenti (il codice del cartellino e l’orario di ingresso e di uscita) 
  • per la verifica dell’esatto adempimento della prestazione, la commisurazione dell’importo della retribuzione, anche per lavoro straordinario, o dei premi da corrispondere, la quantificazione di ferie e permessi.

La lettura del dispositivo necessita una distanza minima tra il badge e il lettore, oltre la quale non è possibile rilevare il movimento di entrata o uscita del dipendente e lo stesso conferma la transazione mediante un suono e la visualizzazione a display di una risposta scritta.

La decisione del Garante

Con Provvedimento 1° marzo 2012, il Garante privacy rileva che il trattamento dei dati personali effettuato dall’azienda per mezzo del sistema di rilevamento delle presenze a radiofrequenza (RFID) inserito nel badge del dipendente non risulta effettuato in violazione di legge in quanto l’azienda:

  • ha provveduto ad informare i lavoratori circa le modalità di funzionamento di tale sistema
  • non risulta raccogliere dati personali eccedenti rispetto alle finalità di gestione del rapporto di lavoro, essendo raccolti esclusivamente i dati relativi all’entrata o all’uscita del lavoratore, non più attraverso la “timbratura manuale” prevista dal precedente sistema, ma attraverso l’accostamento dell’attuale badge al lettore, il quale segnala, in modo evidente, la registrazione dei dati medesimi ed evita pertanto la raccolta di dati all’insaputa del lavoratore.


Profilazione dei Clienti e Privacy: limiti e opportunità

Posted on by

Il valore aggiunto delle informazioni

Poter utilizzare i dati personali dei propri Clienti significa poter trasformare in business qualcosa che rischia di rimanere materia inerte nei database o, peggio, negli archivi dell’Azienda.

Che cosa posso fare dei dati personali dei miei Clienti?

Tutto… o quasi, ma a certe condizioni. Le condizioni, oltre alla consueta correttezza e trasparenza nella gestione dei rapporti con la propria clientela, sono il rispetto dei paletti fissati dalla legge sulla privacy, il DLgs 196/2003 e successivi Provvedimenti del Garante.

Quando un’Azienda deve rispettare la normativa privacy?

Sempre, ovvero: dal momento in cui raccoglie anche una sola informazione che riguarda un proprio Cliente, dal nome e cognome, all’indirizzo email, ai gusti personali, alle abitudini, fino al momento, incluso, della sua cancellazione.

Come essere in regola?

Oltre a rendere idonea Informativa e chiedere il consenso al trattamento (comunicare al Cliente perché gli chiediamo delle informazioni, che cosa ne faremo, e chiedere il permesso ad utilizzarle), per la profilazione è richiesto un adempimento in più: la Notificazione al Garante privacy.

La Notificazione al Garante

Chiunque tratti dati personali con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’Interessato, o ad analizzare abitudini o scelte di consumo (i.e. profilazione dei clienti, etc), (…) deve, prima di iniziare ad utilizzare le informazioni, effettuare la notificazione del trattamento attraverso il sito web del Garante. In poche parole: attraverso la compilazione di form online, l’Azienda comunica all’authority privacy i propri dati identificativi e il tipo di trattamento che ha intenzione di iniziare. Le informazioni verranno poi pubblicate sul Registro pubblico delle Notificazioni, liberamente accessibile a chiunque.

Cosa accade se ometto la notificazione o la presento in ritardo o incompleta?

Non si scherza: chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da € 8.000 a € 480.000.

In conclusione

La normativa sulla privacy, oltre ad essere un obbligo di legge presidiato da sanzioni sia di carattere amministrativo che penale, deve rappresentare un’importate occasione per la Aziende ai fini di un fidelizzazione improntata ad un’esigenza di trasparenza e correttezza sempre più sentita dai consumatori.

Dal sondaggio che la Harris Interactive, specializzata nei sondaggi di opinione on-line, ha condotto sul finire del 2001 per conto di Privacy & American Business risulta che 8 consumatori su 10 (83%) interromperebbero ogni rapporto con un’impresa se venissero a sapere (ad esempio, attraverso articoli di stampa) che quell’impresa fa un uso scorretto dei dati sulla Clientela.