Niente spam per gli iscritti alla newsletter

Illecito il comportamento di una società che inviava email promozionali senza consenso 

Un cittadino che compila un form on line per ricevere una newsletter deve poter decidere, liberamente e consapevolmente, se dire sì o no alle comunicazioni promozionali, alla profilazione, all’invio dei suoi dati ad altre società e, in generale, a tutti i tipi di trattamenti che vanno al di là del servizio richiesto.

La registrazione alla newsletter, inoltre, non può essere condizionata al rilascio del consenso anche per altre finalità.

Il principio è stato ribadito dal Garante privacy che ha vietato l’uso dei dati a fini commerciali ad una società che inviava e-mail promozionali senza consenso agli utenti registrati a un servizio di newsletter.

Ora la società, destinataria del  provvedimento inibitorio dell’Autorità, potrà utilizzare i dati fin qui raccolti solo per inviare la newsletter. Se vorrà inviare email promozionali dovrà mettersi in regola con  il Codice della privacy, modificando il form di registrazione in modo da consentire agli utenti la possibilità di esprimere, un preventivo consenso “ad hoc” per la ricezione di email promozionali.

Dagli accertamenti svolti dall’Ufficio del Garante su segnalazione di un cittadino che lamentava la ricezione di pubblicità indesiderata, è emerso infatti che per iscriversi la newsletter l’utente, al momento di inserire nel form on line l’indirizzo email, poteva esprimere solo un generico, onnicomprensivo consenso al “trattamento dei dati personali”.

L’accesso al servizio era, peraltro, condizionato alla manifestazione di tale generico consenso. Il comportamento della società è stato dichiarato illecito dal Garante perché i trattamenti di dati per fini commerciali esulano da quelli necessari per adempiere al contratto di fornitura di un servizio.

L’Autorità sta valutando, con separato provvedimento, l’applicazione della sanzione amministrava per l’illecito commesso

Collegio sindacale e controlli privacy

Fonte Iusletter

Gli ultimi tre mesi antecedenti alla chiusura dell’esercizio – per le società con anno coincidente con l’anno solare – chiamano i sindaci ad una serie di controlli, a cominciare da quelli:

• sulla legittimità delle scelte di gestione compiute dagli amministratori,
• sull’osservanza delle prescrizioni in materia di privacy e sulle norme antiriciclaggio (su queste ultime si veda l’articolo Collegio sindacale & Antiriciclaggio: operazioni sospette da segnalare – Il Sole 24 Ore, 29 settembre 2014).

In teoria, la frequenza e le modalità del controllo sul rispetto dei principi di corretta amministrazione dovrebbero essere correlati alla struttura della società e a eventuali situazioni di allarme nella gestione sociale. In pratica, però, spesso i sindaci finiscono col trascurare questo tipo di controllo (formale) per concentrarsi magari su aspetti all’apparenza più rilevanti e urgenti.

Eppure, la verifica del rispetto dei principi di corretta amministrazione è fondamentale, perché l’eventuale omissione può comportare una responsabilità anche penale per i sindaci.

Le operazioni del Cda

Anche alla luce della giurisprudenza di legittimità che ha ribadito la responsabilità del collegio sindacale per omesso controllo sui principi di corretta amministrazione (da ultimo, Cassazione, sentenza n. 13517/2014), i sindaci potrebbero:

• innanzitutto accertarsi che nel corso dell’anno non siano state compiute  (da parte di uno o più amministratori) operazioni in contrasto con le deliberazioni assunte dall’assemblea o dallo stesso Cda;
• verificare che le scelte decisionali del Cda siano ispirate al principio di ragionevolezza e che, dunque, siano conformi ai generali criteri di razionalità economica. Qualora l’operazione sia rilevante dal punto di vista economico sarebbe poi quanto mai auspicabile accertare che essa sia stata supportata da un parere di un esperto o da una due diligence;
• accertare che gli amministratori abbiano compiuto operazioni “corrette” nel pieno rispetto della legge, cioè non manifestamente imprudenti, azzardate, o che possano compromettere l’integrità del patrimonio sociale, volte a sopprimere o a modificare i diritti attribuiti dalla legge o dallo statuto ai singoli soci.

Difesa «attiva» della privacy

Il collegio dovrebbe vigilare sulla conformità dell’operato dell’organo amministrativo alle disposizioni previste in materia di privacy e, in particolare, verificare che siano state adottate misure sicurezza idonee a ridurre al minimo il rischio di perdita, divulgazione o distruzione dei dati personali in possesso della società.

Controlli accurati potrebbero, infatti, mettere i sindaci al riparo da eventuali ricorsi da parte del soggetto interessato che riterrà di essere stato leso nella sua privacy e di aver subito danni a seguito della violazione della disciplina sul trattamento dei dati personali.

È opportuno che il collegio sindacale proceda, attraverso un colloquio preliminare con la direzione della società, nell’individuazione dei caratteri essenziali per l’adozione delle disposizioni normative in materia di privacy, richiedendo, acquisendo e trascrivendo nel proprio verbale le informazioni raccolte.

Esempi di verifiche privacy del Sindaci

Per prevenire o evitare, ad esempio, la distruzione dei dati per allagamento o incendio, i sindaci dovranno verificare l’archiviazione dei dati in armadi blindati e antincendio.

O ancora, per evitare gli accessi indesiderati su trattamenti di dati con elaboratori connessi in rete, il collegio dovrà accertarsi che siano seguite misure minime di sicurezza, quali:

• la disattivazione dei servizi telematici non necessari
• la disattivazione temporanea di servizi in rete aggrediti da virus
• l’aggiornamento dei programmi antivirus.

Call center: da oggi stop alle “telefonate mute”

E’ scaduto il tempo concesso alle società di telemarketing per mettersi in regola con le misure prescritte: da oggi i call center dovranno rispettare le regole fissate dal Garante privacy per combattere il fenomeno delle cosiddette “telefonate mute”, una forma di grave disturbo degli utenti.

E’ scaduto infatti il termine di sei mesi concesso alle società di telemarketing per adottare tutti gli accorgimenti tecnici e organizzativi prescritti con un provvedimento generale pubblicato sulla Gazzetta Ufficiale del 4 aprile scorso [doc.web n. 3017499].

Sono numerosi gli abbonati che hanno protestato per la ricezione di telefonate nelle quali, una volta risposto, non si viene messi in contatto con alcun interlocutore.

Per eliminare tempi morti tra una telefonata e l’altra, infatti, i sistemi automatizzati di chiamata possono generare un numero di telefonate superiore agli operatori disponibili: una pratica commerciale che, in alcuni casi, ha comportato il disturbo degli utenti anche per 10-15 volte di seguito e che è stata spesso vissuta addirittura come una forma di stalking.

Le nuove regole

Da oggi i parametri delle impostazioni di tali sistemi non saranno più decisi arbitrariamente dai call center, ma dovranno attenersi alle prescrizioni del Garante. Queste, in sintesi, le principali:

1. i call center devono tenere precisa traccia delle “chiamate mute”, che devono comunque essere interrotte trascorsi 3 secondi dalla risposta dell’utente;
2. non possono verificarsi più di 3 telefonate “mute” ogni 100 andate “a buon fine”. Tale rapporto deve essere rispettato nell’ambito di ogni singola campagna di telemarketing;
3. l’utente non può più essere messo in attesa silenziosa, ma il sistema deve generare una sorta di rumore ambientale, il cosiddetto “comfort noise” (ad es. con voci di sottofondo, squilli di telefono, brusio), per dare la sensazione che la chiamata provenga da un call center e non da un eventuale molestatore;
4. l’utente disturbato da una chiamata muta non può essere ricontattato per 5 giorni e, al contatto successivo, deve essere garantita la presenza di un operatore;
5. i call center sono tenuti a conservare per almeno due anni i report statistici delle telefonate “mute” effettuate per ciascuna campagna, così da consentire eventuali controlli.

Gli operatori che non rispetteranno queste prescrizioni dell’Autorità incorreranno nelle sanzioni previste.