No allo spam, sì a offerte commerciali “amiche” dei consumatori

spam (1)Le Linee guida del Garante privacy contro le offerte commerciali indesiderate

Offerte commerciali a utenti di social network o di servizi di messaggistica come Skype e WhatsApp solo con il loro consenso; no a e-mail e sms indesiderati; maggiori controlli da parte di chi commissiona le campagne promozionali; misure semplificate per le promozioni delle imprese che rispettano le regole.

Il Garante vara le nuove “Linee guida in materia di attività promozionale e contrasto allo spam” [doc. web n. 2542348] per combattere il marketing selvaggio e favorire pratiche commerciali “amiche” di utenti e consumatori.

Il provvedimento generale (in via di pubblicazione sulla Gazzetta ufficiale) definisce un primo quadro unitario di misure e accorgimenti utili sia alle imprese che vogliono avviare campagne per pubblicizzare prodotti e servizi, sia a quanti desiderano difendersi dall’invadenza di chi utilizza senza il loro consenso recapiti e informazioni personali per tempestarli di pubblicità. Una particolare attenzione è stata posta dall’Autorità sulle nuove frontiere dello spamming – come quello diffuso sui social network (il cosiddetto social spam) o tramite alcune pratiche di “marketing virale” o “marketing mirato” – che possono comportare modalità sempre più insidiose e invasive della sfera personale degli interessati.

Queste in sintesi le principali regole contenute nelle Linee guida.

opt-in1Offerte commerciali e spam

  • Invio di offerte commerciali solo con il consenso preventivo. Per poter inviare comunicazioni promozionali e materiale pubblicitario tramite sistemi automatizzati (telefonate preregistrate, e-mail, fax, sms, mms) è necessario aver prima acquisito il consenso dei destinatari (cosiddetto opt-in). Tale consenso deve essere specifico, libero, informato e documentato per iscritto.
  • Maggiori controlli su chi realizza campagne di marketing. Chi commissiona campagne promozionali deve esercitare adeguati controlli per evitare che agenti, subagenti o altri soggetti a cui ha demandato i contatti con i potenziali clienti effettuino spam.
  • Consenso per l’uso dei dati presenti su Internet e social network. E’ necessario lo specifico consenso del destinatario per inviare messaggi promozionali agli utenti di Facebook, Twitter e altri social network (ad esempio pubblicandoli sulla loro bacheca virtuale) o di altri servizi di messaggistica e Voip sempre più diffusi come Skype, WhatsApp, Viber, Messenger, etc. Il fatto che i dati siano accessibili in Rete non significa che possano essere liberamente usati per inviare comunicazioni promozionali automatizzate o per altre attività di marketing “virale” o “mirato”.
  • “Passaparola” senza consenso. Non è necessario il consenso per inviare e-mail o sms con offerte promozionali ad amici a titolo personale (il cosiddetto “passaparola”).

omuletiSemplificazioni per le aziende in regola

  • E-mail promozionali ai propri clienti. Ok all’invio di messaggi promozionali, tramite e-mail, ai propri clienti su beni o servizi analoghi a quelli già acquistati (cosiddetto soft spam).
  • Promozioni per “fan” di marchi o aziende. Una impresa o società può inviare offerte commerciali ai propri “follower” sui social network quando dalla loro iscrizione alla pagina aziendale si evinca chiaramente l’interesse o il consenso a ricevere messaggi pubblicitari concernenti il marchio, il prodotto o il servizio offerto.
  • Consenso unico valido per diverse attività.
    • Basta un unico consenso per tutte le attività di marketing (come l’invio di materiale pubblicitario o lo svolgimento di ricerche di mercato);
    • il consenso prestato per l’invio di comunicazioni commerciali tramite modalità automatizzate (come e-mail o sms) copre anche quelle effettuate tramite posta cartacea o con telefonate tramite operatore.
    • Le aziende che intendono raccogliere i dati personali degli utenti per comunicarli o cederli ad altri soggetti a fini promozionali, possono acquisire un unico consenso valido per tutti i soggetti terzi indicati nell’apposita informativa fornita all’interessato.

Tutele e sanzioni contro lo spam

  • Tutele per i singoli utenti. Le persone che ricevono spam possono presentare segnalazioni, reclami o ricorsi al Garante e comunque esercitare tutti i diritti previsti dal Codice privacy, inclusa la richiesta di sanzioni contro chi invia messaggi indesiderati (nei casi più gravi possono arrivare fino a circa 500.000 euro).
  • Tutele per le società. Le “persone giuridiche”, pur non potendo più chiedere l’intervento formale del Garante per la privacy, possono comunque comunicare eventuali violazioni. Hanno invece la possibilità di rivolgersi all’Autorità giudiziaria per azioni civili o penali contro gli spammer.

Contestualmente alle Linee guida, allo scopo di semplificare ulteriormente gli adempimenti in materia di marketing diretto, il Garante ha adottato anche un apposito provvedimento generale [doc. web n. 2543820] sul consenso al trattamento dei dati personali, sempre in via di pubblicazione sulla Gazzetta ufficiale.

 

Bankitalia: ammissibile il ricorso al Garante per i segnalati nella Cai (Centrale d’allarme interbancaria)

bancaditaliaChi è iscritto nella Centrale d’allarme interbancaria (Cai) della Banca d’Italia può esercitare i diritti in materia di protezione dati personali direttamente anche nei confronti della Banca centrale, oltre che rivolgersi alla banca segnalante e, in caso di risposta insoddisfacente, proporre ricorso al Garante privacy.

Spetta quindi alla Banca d’Italia, in quanto titolare del trattamento dei dati, il compito di soddisfare le richieste dell’interessato (ad es., avere accesso alle informazioni censite, chiedere il loro aggiornamento, sollecitare la cancellazione se trattate in violazione di legge).

Lo ha precisato il Garante privacy nel definire il ricorso [doc. web n. 2536446] presentato in via d’urgenza da un cittadino iscritto nella Cai – l’archivio informatizzato degli assegni bancari e postali e delle carte di pagamento irregolari – per chiedere la cancellazione del proprio nominativo, sostenendo che l’iscrizione fosse illecita, perché l’assegno segnalato era stato immediatamente sostituito con un altro di pari importo, tratto su un altro conto corrente e regolarmente incassato.

Secondo la Banca d’Italia il ricorso, oltre a non aver ragion d’essere in quanto il nominativo del ricorrente non risultava più iscritto nella Cai, doveva ritenersi inammissibile  perché la normativa che regola il funzionamento della Cai assegna alle banche o agli uffici postali, e non alla Banca d’Italia, il compito di aggiornare l’archivio.

Di diverso avviso l’Autorità che ha invece ritenuto ammissibile il ricorso nei confronti della Banca d’Italia  in  base alla legge n. 386 del 1990 in materia di assegni bancari che attribuisce esplicitamente alla stessa la qualità di titolare del trattamento dei dati.

 

Tv interattiva e Internet: limiti alla profilazione dei Clienti

mapp-mid-imageIl Garante non ha ritenuto lecita una nuova modalità di profilazione dei propri clienti proposta da una società di telecomunicazioni basata sul monitoraggio della loro navigazione Internet. Ha invece dato alla stessa società il via libera – ma a precise condizioni – ad un sistema finalizzato ad analizzare le attività dei clienti dei servizi di Tv interattiva.

 

imagesProfilazione dei propri clienti basata sul monitoraggio della loro navigazione Internet

L’Autorità ha risposto a una richiesta di verifica preliminare nell’ambito della cosiddetta pubblicità comportamentale (targeted advertising) e dei servizi personalizzati su Internet: la società fornitrice del servizio di connessione chiedeva di poter analizzare il comportamento on line dei navigatori, senza aver acquisito il loro consenso, al fine di proporre pubblicità mirate.

La compagnia sosteneva di poter procedere a tale trattamento in quanto i dati personali dei singoli utenti, prima di essere utilizzati venivano resi anonimi, e solo in seguito analizzati.

Dai riscontri del Garante è però emerso che il processo che avrebbe dovuto celare l’identità del cliente era per sua natura reversibile, tanto che i servizi di profilazione svolti dalla società telefonica avrebbero potuto consentire di proporre all’utente offerte calibrate proprio sulla sua vita on line.

L’Autorità ha quindi vietato l’attivazione del progetto che, così come presentato:

  • potrebbe effettuarsi solo con la preventiva acquisizione dello specifico consenso degli utenti e, comunque,
  • sempre previa verifica preliminare da parte del Garante sul rispetto dei principi di necessità, proporzionalità e correttezza del trattamento dati.

 

image_gallerySistema di analisi delle attività dei clienti dei servizi di Tv interattiva

La stessa telco aveva sottoposto al Garante un’altra verifica preliminare nella quale chiedeva invece di poter monitorare – per finalità commerciali, pubblicitarie e di customer care –  l’attività degli abbonati ai servizi di Tv interattiva.

La società proponeva in particolare di analizzare, una volta  richiesto il loro consenso, i dati trasmessi sul cosiddetto “canale di ritorno”, ovvero la connessione che consente all’utente di interagire con la piattaforma Tv per accedere a programmi, scrivere messaggi o commenti, configurare specifiche funzionalità e servizi.

In questo caso, il Garante ha approvato il progetto: la società dovrà comunque adottare precise misure a tutela della privacy delle persone interessate, tra cui:

  • l’analisi dei dati non potrà scendere a livelli di dettaglio eccessivi, ma dovrà limitarsi a creare gruppi di profilazione basati su macrocategorie di consumo (ad es. film d’azione, commedie…) e con un periodo di analisi non inferiore alla settimana;
  • i dati sensibili – come i gusti sessuali o gli orientamenti politici del cliente – potranno essere usati:
    • solo se strettamente connessi a uno specifico bene o prodotto richiesto dall’utente
    • solo dopo aver ottenuto il consenso scritto dell’interessato e la specifica autorizzazione dell’Autorità.

 

cross-sellNo alla profilazione incrociata

Nel corso dell’istruttoria il Garante ha anche rilevato che la società utilizzerebbe per analizzare le abitudini dei clienti della TV interattiva la stessa piattaforma software usata per i clienti del servizio fonia.

Tale sistema – pur adottando forme di mascheramento dei dati identificativi dei clienti – consentirebbe di incrociare i dati dei vari servizi, con il rischio di diventare uno strumento particolarmente invasivo e sicuramente sproporzionato rispetto alle finalità prospettate dalla società.

Per questo motivo, l’Autorità ha chiesto l’adozione di ulteriori misure di sicurezza e accorgimenti che impediscano forme di “profilazione incrociata” tra gli utenti telefonici e quelli televisivi.

 

Wi-fi libero, sanità elettronica, imprenditori: il Garante privacy bacchetta il Governo

++ PRIVACY: SORO, IN ARRIVO NORME SU INTERCETTAZIONI ++Informazioni personali tracciate per chi accede a Internet via wi-fi, troppi dati sanitari a Ministeri e Regioni, perdita di tutele per gli imprenditori: in una segnalazione a Governo e Parlamento i possibili rischi per la privacy dei cittadini

In una segnalazione inviata a Governo e Parlamento, il Garante per la protezione dei dati personali ha richiamato l’attenzione sui rischi per la privacy dei cittadini che potrebbero derivare da alcune norme contenute nel recentissimo “Decreto del Fare” e nel Disegno di legge sulle semplificazioni.

Due gli articoli del primo decreto che hanno suscitano forti perplessità da parte dell’Autorità: quello sul cosiddetto “wi-fi libero” e quello sul Fascicolo sanitario elettronico.

 

free-wi-fiWi-fi libero

L’articolo 10 del decreto legge n.69 del 21 giugno scorso prevede, come già avviene adesso, che quanti offrono accessi a Internet tramite wi-fi (es. bar, ristoranti, alberghi) non debbano più identificare i clienti che utilizzano il terminale.

Ma stabilisce al contempo l’obbligo di tracciare alcune informazioni relative all’accesso alla rete (come il cosiddetto “indirizzo fisico” del terminale, MAC Address) che, a differenza di quanto sostenuto nella norma, sono – ai sensi della Direttiva europea sulla riservatezza e del Codice privacy – dati personali, in quanto molto spesso riconducibili all’utente che si è collegato a Internet.

Peraltro, l’adempimento richiesto, sottolinea il Garante, non solo grava su una platea considerevole di imprese, ma reintroduce obblighi di monitoraggio e registrazione dei dati che, stabiliti a suo tempo dal decreto Pisanu per categorie di gestori diverse da quanti offrono accesso ad Internet con modalità wireless, sono stati successivamente soppressi anche in ragione delle difficoltà e degli oneri legati alla loro applicazione. Il Garante auspica lo stralcio della norma e l’approfondimento di questi aspetti nell’ambito di un provvedimento che non abbia carattere d’urgenza.

 

1342164699Fascicolo sanitario elettronico (Fse)

L’art.17 dello stesso decreto, poi, modificando precedenti disposizioni in materia di Fascicolo sanitario elettronico (Fse), prevede che, a fini di ricerca epidemiologica e di programmazione e controllo della spesa sanitaria, le Regioni e le Province autonome, il Ministero del Lavoro e il Ministero della Salute possano accedere alle informazioni sanitarie presenti nel Fse di tutti gli assistiti, compresi i documenti clinici prima espressamente esclusi. In questo modo tali amministrazioni si troverebbero ad utilizzare una enorme mole di dati sensibili (ricoveri, accessi ambulatoriali, referti, risultati di analisi cliniche, farmaci prescritti) che, per quanto non immediatamente riconducibili agli interessati, non sono indispensabili per il raggiungimento di finalità diverse da quella della cura.

L’Autorità chiede che la norma venga modificata affinché i soggetti pubblici interessati possano accedere alle sole informazioni effettivamente necessarie per lo svolgimento di tali finalità.

 

shutterstock_93304129-830x1024Perdita di tutele per gli imprenditori

Il Garante ha infine espresso la sua contrarietà alla possibile riproposizione di disposizioni che risulterebbero inserite nel disegno di legge sulle semplificazioni di recente approvato dal Consiglio dei ministri, volte ad escludere gli imprenditori dall’applicazione del Codice privacy.

Tali norme privano di fatto le persone fisiche – sia pure quando agiscano nell’esercizio della propria attività imprenditoriale – del diritto alla protezione dei dati, con conseguenze paradossali e non certo semplificatorie.

E anzi perfino pregiudizievoli per la stessa attività d’impresa, stante la difficoltà di distinguere, nella vita concreta, il dato della persona fisica da quello riferito alla sua qualità di imprenditore. In questo modo, gli imprenditori si  troverebbero ad avere meno diritti (ad esempio non potrebbero più rivolgersi al Garante per tutelarsi in caso di informazioni non corrette presenti nelle banche dati), ma gli stessi oneri ai quali erano prima soggetti.

La disposizione, peraltro, ricorda il Garante, si porrebbe in netto contrasto con la Direttiva europea con la conseguenza di costringere l’Autorità a sollevare la questione in sede comunitaria.

 

 

Si a telecamere “intelligenti” per impianti in zone isolate

video_surveillance_and_physical_security_212463Il Garante per la privacy ha accolto le richieste avanzate da un gruppo industriale di installare un sistema di videosorveglianza “intelligente”, dotato di riconoscimento dei movimenti, per proteggere cinque complessi fotovoltaici posizionati in zona isolate.

Le domande di verifica preliminare presentate traggono origine dalle peculiari esigenze organizzative e di sicurezza dei siti produttivi che si trovano in ampie aree lontano da centri abitati e solitamente non richiedono la presenza di personale sul posto.

Le società che gestiscono gli impianti hanno quindi chiesto di poter abbinare al normale sistema di videosorveglianza, dotato di telecamere fisse e “speed-dome” (brandeggiabili e dotate di zoom), una funzione di “motion control” in grado di rilevare automaticamente eventuali movimenti all’interno dell’area ripresa e di allertare immediatamente il personale di controllo. Le nuove funzionalità consentirebbero alle imprese di:

  • garantire la sicurezza delle infrastrutture da intrusioni e danneggiamenti,
  • monitorare costantemente il corretto funzionamento degli impianti in modo da richiedere l’intervento di addetti sul posto solo in caso di eventi anomali.

 

original_S3I_Integrated_Video_surveillance_Security_System_Solution_3_HLe misure privacy da adottare

L’Autorità ha riconosciuto le specifiche necessità del gruppo e ha autorizzato l’attivazione delle nuove tecnologie con l’obbligo, però, di adottare adeguate tutele per la privacy:

  • le telecamere dovranno essere opportunamente segnalate e potranno inquadrare solo le aree interne dell’impianto e l’area immediatamente attigua la recinzione;
  • L’accesso via internet alle immagini conservate nei computer degli impianti potrà avvenire solo tramite connessioni protette (con rete VPN) e trasmissioni criptate;
  • i dati potranno essere consultati solo da personale appositamente incaricato e dotato di utenze di accesso individuale.

 

eyeGaranzie per il Lavoratori

Il Garante ha infine sottolineato che, siccome le telecamere potrebbero riprendere l’attività del personale inviato a operare sul posto, le aziende coinvolte dovranno comunque operare nel rispetto dello Statuto dei lavoratori. Prima di avviare l’attività di videosorveglianza, le società dovranno quindi attendere l’apposito nulla osta già richiesto alle competenti Direzioni provinciali del lavoro. In ogni caso, le riprese potranno essere utilizzate solo per finalità connesse alla tutela del patrimonio aziendale e non per il controllo a distanza dei lavoratori o per altri scopi non previsti.

 

Agenzie per il lavoro: niente copie dei documenti di identità

CIELe agenzie per il lavoro, in occasione di colloqui conoscitivi, possono acquisire e conservare copia dei documenti di identità, utilizzati per identificare le persone, solo se previsto da specifiche norme.

Lo ha precisato il Garante, a seguito della segnalazione di un uomo che lamentava una violazione dei principi di pertinenza e non eccedenza posti a tutela dei suoi dati personali.

In occasione di un colloquio conoscitivo, infatti, l’agenzia per il lavoro presso cui si era presentato aveva acquisito copia del suo documento di identità. L’Autorità, dopo aver valutato le attività della società, ha osservato che, mentre è lecito per l’agenzia procedere alla corretta identificazione degli aspiranti lavoratori chiedendo l’esibizione di un documento di identità ed eventualmente annotandone gli estremi, deve invece ritenersi eccedente acquisire copia del documento stesso.

Le copie dei documenti di identità contengono dati personali, come le fotografie dell’interessato, le caratteristiche fisiche e lo stato civile, non pertinenti alle finalità per le quali venivano raccolti (presentazione del curriculum e colloquio conoscitivo). L’Autorità ha, peraltro, richiamato l’attenzione sui rischi che l’acquisizione e la conservazione di copie di questi documenti in termini di duplicazione, perfino di furto di identità.

Judge_HammerIl Garante ha perciò:

  • vietato alla società di conservare le copie dei documenti di identità dei candidati e
  • ha prescritto che l’identificazione degli aspiranti avvenga con la semplice annotazione dei dati essenziali, senza alcuna conservazione di documenti identificativi.