No al far west nel mercato del lavoro su Internet

ricerca-lavoro-onlineIntervento a tutela di migliaia di aspiranti lavoratori iscritti ad un sito web: maggiore trasparenza e correttezza nel mercato del lavoro via Internet.

E’ quanto chiede il Garante privacy [doc. web n. 2865637] che ha vietato ad una società l’uso dei dati personali di oltre 400 mila aspiranti lavoratori raccolti e gestiti in modo illecito.

La società che svolgeva attività di intermediazione attraverso il proprio sito web senza la prescritta autorizzazione ministeriale, non aveva neppure conferito, come necessario, i dati dei candidati a Cliclavoro, il portale del Ministero del lavoro che costituisce la Borsa continua nazionale del lavoro. 

L’azienda raggiunta dal divieto del Garante non si limitava a mettere a disposizione una mera “bacheca digitale” in cui rendere pubbliche le offerte di lavoro e le candidature, ma offriva veri e propri servizi di intermediazione (consultazione di un database con centinaia di migliaia di curricula, comunicazione di informazioni sui candidati, invio di offerte di lavoro “su misura”, ecc.). Un’attività effettuata, peraltro, senza fornire agli utenti che si registravano al sito una informativa trasparente con l’indicazione di tutte le operazioni realmente svolte.

La grave situazione è emersa nel corso di verifiche ispettive disposte dall’Autorità a seguito di alcune segnalazioni in cui si lamentavano irregolarità nel trattamento dei dati personali. I candidati denunciavano il fatto che per poter completare la procedura di registrazione al sito e concorrere così alle offerte di lavoro erano obbligati a dare il consenso, tramite un’opzione preselezionata, alla ricezione di informazioni promozionali per posta, telefono, email, sms.

Judge_HammerAlla luce delle verifiche svolte, il Garante:

  • oltre ad inibire l’uso dei dati raccolti senza autorizzazione,
  • ha dichiarato illeciti e ha vietato anche questi trattamenti perché effettuati in violazione della norma del Codice privacy che garantisce a chiunque la possibilità di esprimere un consenso libero e informato per ogni tipo di operazione che la società intende svolgere.

Dopo l’intervento del Garante la società non potrà più utilizzare le informazioni raccolte né per attività di intermediazione né per attività promozionali.

I dati potranno essere solo conservati in vista di un’eventuale acquisizione da parte dell’autorità giudiziaria o per la tutela dei diritti in sede giudiziaria. L’Autorità si è riservata l’applicazione di una sanzione amministrativa per l’inidonea informativa agli utenti. Il provvedimento è stato inviato al Ministero del lavoro per le valutazioni di competenza

 

Annunci

Rc auto: automobilisti più informati sui data base anti frode. Istituite le anagrafi “danneggiati” e “testimoni”

car-accident-claimIpotesi di informativa sintetica già nel Cid (Convenzione indennizzo diretto, conosciuta comunemente come constatazione amichevole d’incidente stradale)

Prosegue la collaborazione del Garante privacy con l’Ivass (Istituto per la Vigilanza sulle Assicurazioni) per giungere a una disciplina che renda più efficace la prevenzione e il contrasto alle frodi nel settore delle assicurazioni Rc auto.

Nell’esprimere parere favorevole [doc. web n. 2725053] sullo schema di provvedimento che regola il funzionamento della banca dati dei sinistri e delle neocostituite “anagrafe testimoni” e “anagrafe danneggiati”, l’Autorità ha fornito all’Istituto alcune indicazioni e suggerimenti per perfezionare il testo sotto il profilo della protezione dei dati.

Nel parere, reso su un testo provvisorio che sarà sottoposto a consultazione pubblica, il Garante raccomanda di informare anche in forma sintetica coloro che possono trovarsi coinvolti in un sinistro (contraenti e assicurati, ma anche danneggiati e testimoni) dell’esistenza:

  • sia della banca dati sinistri,
  • sia dei due nuovi archivi informatici costituiti al suo interno e dei tipi di operazioni effettuate sui dati personali.

come-compilare-la-constatazione-amichevole-dincidente-cid_32c74152e2e5a7343edd149b65a815d7E ciò, suggerisce l’Autorità, potrebbe avvenire già in occasione della compilazione del modulo di Constatazione amichevole di incidente – Denuncia sinistro (Cid) di cui si avvale la maggior parte di automobilisti in caso di incidenti stradali. Una soluzione non obbligatoria in base alla legge ma che potrebbe avere il duplice risultato di portare a conoscenza di milioni di persone la costituzione e il funzionamento della banca dati sinistri, un enorme database alimentato e consultato dalle società di assicurazioni che raccoglie una miriade di informazioni sugli incidenti stradali, e di accentuare l’effetto dissuasivo di possibili comportamenti fraudolenti.

L’Autorità inoltre, nel giudicare positivamente la scelta dell’Ivass di consentire alle compagnie assicurative accessi selettivi e graduati alle diverse tipologie di informazioni  contenute negli archivi informatici, ha tuttavia raccomandato di limitare la consultazione della banca dati ai soggetti indicati dalla legge al solo scopo di rendere più efficace la prevenzione e il contrasto alle frodi assicurative.

Il Garante ritiene, infine, opportuno che i dati identificativi degli interessati (parti coinvolte, testimoni, ecc.) siano cancellati dalla banca dati, trascorsi 5 anni dalla definizione dell’incidente e dopo il previsto riversamento su copie di backup.

 

Pagamenti via smartphone e tablet: le regole del Garante privacy per tutelare gli utenti.

article-1350709-0CBA01E6000005DC-786_634x427Informativa sull’uso dei dati, misure di sicurezza forti, conservazione a tempo: chi usa smartphone e tablet per acquistare servizi, abbonarsi a quotidiani on line, comprare  e-book, scaricare  a pagamento film o giochi sarà più garantito.

Arrivano le regole del Garante per proteggere la privacy degli utenti che, tramite il proprio credito telefonico, effettuano pagamenti a distanza avvalendosi del cosiddetto mobile remote payment.

L’uso di questa nuova forma di pagamento, che è destinata a raggiungere in breve tempo una notevole diffusione e che accentua i processi di smaterializzazione dei trasferimenti di denaro, comporta infatti il trattamento di numerose informazioni personali (numero telefonico, dati anagrafici, informazioni sulla tipologia del servizio o del prodotto digitale richiesto, il relativo importo, data e ora dell’acquisto), in alcuni casi anche di natura sensibile.

Obiettivo del provvedimento generale dell’Autorità, dunque, è quello di garantire in un mercato del pagamento sempre più dinamico, un trattamento sicuro delle informazioni che riguardano gli utenti  e prevenire i rischi di un loro uso improprio.

Le direttive del Garante sono rivolte ai tre principali soggetti che offrono servizi di mobile payment:

  • operatori di comunicazione elettronica, che forniscono ai clienti un servizio di pagamento elettronico tramite cellulare, o con l’uso di una carta prepagata oppure mediante un abbonamento telefonico;
  • gli aggregatori (hub), che mettono a disposizione degli operatori tlc e internet e gestiscono la piattaforma tecnologica per l’offerta di prodotti e servizi digitali;
  • i venditori (merchant), che offrono contenuti digitali e vendono servizi editoriali, prodotti multimediali, giochi,  servizi destinati ad un pubblico adulto.

Ecco, in sintesi, gli adempimenti che dovranno adottare le tre categorie di operatori coinvolti.

Informativa
I provider telefonici ed internet e i venditori dovranno informare gli utenti specificando quali dati personali  utilizzano  e per quali scopi.

Per tale motivo dovranno rilasciare l’informativa al momento dell’acquisto della scheda prepagata o della sottoscrizione del contratto di abbonamento telefonico ed inserirla nell’apposito modulo predisposto per la portabilità del numero. Gli aggregatori, che operano per conto dell’operatore telefonico, potranno predisporre una apposita pagina con la quale fornire l’informativa e la richiesta del consenso al trattamento dei dati.

Consenso
I provider telefonici e internet e gli aggregatori, che operano per conto di questi in veste di responsabili del trattamento, non dovranno richiedere il consenso per la fornitura del servizio di mobile payment.

Il consenso è invece obbligatorio, sia per gli operatori che per i venditori, nel caso vengano svolte attività di marketing, profilazione, o i dati vengano comunicati a terzi. Se i dati utilizzati sono sensibili, occorrerà richiedere uno specifico consenso.

Misure di sicurezza
Operatori, aggregatori e venditori saranno tenuti ad adottare  precise misure per garantire la confidenzialità dei dati, quali:

  • sistemi di autenticazione forte per l’acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate;
  • criteri di codificazione dei prodotti e servizi;
  • forme di mascheramento dei dati mediante sistemi crittografici.

Dovranno essere adottate misure per scongiurare i rischi di incrocio delle diverse tipologie di dati a disposizione dell’operatore telefonico (dati di traffico, sul consumo, relativi alla rete fissa, relativi alla fornitura di servizi etc.) ed evitare la profilazione incrociata dell’utenza basata su abitudini,  gusti e  preferenze. Da prevedere anche accorgimenti tecnici per  disattivare servizi destinati ad un pubblico adulto.

Conservazione
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, ivi compresi gli sms di attivazione e disattivazione del servizio, dovranno essere cancellati dopo 6 mesi.

L’indirizzo Ip dell’utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale.

Per la conservazione dei dati di traffico telefonico e telematico coinvolti nelle operazioni di mobile payment si dovranno rispettare i periodi di tempo previsti dal Codice privacy (… i dati relativi al traffico telefonico, sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione)

Prima del varo definitivo del provvedimento, l’Autorità ha deciso di sottoporre il testo a una consultazione pubblica: soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella di posta elettronica appositamente attivata: consultazionemp@gpdp.it