Web e privacy, dal 2 giugno nuove regole per i cookie

Un italiano su tre non legge le normative sulla privacy quando utilizza un servizio online, ritenendole troppo lunghe e complicate. Eppure, quello che esce dall’indagine Doxa Marketing Advice, svolta su un campione di 800 persone e commissionata dalle associazioni di categoria, è il ritratto di un cyberpopolo, quello italiano, sensibile al tema della privacy e più che sufficientemente attento.

Antonello Soro, Presidente dell’Autorità Garante per la Protezione dei Dati Personali, ha pensato il Provvedimento per l’“individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (229/2014) che entrerà in vigore il 2 giugno prossimo e che gode del pieno appoggio delle maggiori associazioni quali DMA Italia, Fedoweb, IAB Italia, UPA e Netcomm che hanno elaborato un prontuario su tutto quanto occorre sapere circa gli obblighi dei proprietari o amministratori di siti web e circa i cookies, suddivisi:

  • in “tecnici” e
  • “non tecnici”, ovvero quelli di profilazione pubblicitaria, di statistica o relativi alle interazioni con i social network.

Questo documento mette in condizione gli utenti di essere informati in modo chiaro e trasparente sulle caratteristiche e gli scopi dei cookie rilasciando così le necessarie autorizzazioni in modo più preciso e consapevole.

«La vera sfida di oggi è quella di rendere concreti i principi di protezione dei dati – ha chiosato il Garante per la Privacy Antonello Soro – effettiva la trasparenza dei trattamenti e agevole l’esercizio dei diritti degli utenti». Quello della privacy è un problema che gli italiani avvertono e che riescono a categorizzare per lo meno a grandi linee: dall’indagine emerge che gli ambiti in cui esigono la maggiore riservatezza sono quelli del denaro (transazioni online ed ebanking), della famiglia e della salute.

Il prontuario è utile sia per gli utenti sia per gli operatori attivi nei comparti a grande tasso di crescita quali l’online advertising che nel 2014 ha generato una cifra d’affari di due miliardi di euro con una crescita del 12,7% rispetto al 2013 e l’ecommerce che, secondo le previsioni, durante l’anno in corso sfonderà il tetto dei 15 miliardi di fatturato con una crescita del 15% rispetto al 2014, anno durante il quale un italiano su quattro ha acquistato online.

Il 41% degli utenti si dice molto attento alla privacy online, contro il 32% che dice di avere particolarmente a cuore la riservatezza anche nelle attività offline. Coloro che dichiarano un’attenzione pronunciata alla privacy appaiono più prudenti in senso generale (quindi anche offline) piuttosto che online (45% contro il 37%) mentre il 10% si dichiara noncurante in tutti e due gli insiemi. Anche in materia di consensi siamo ben preparati: il 64% degli utenti sa di potere richiedere ad un’azienda di visionare i dati che li riguardano (il 7% ne ha fatto richiesta) e il 72% è conscio di poterne ottenere la cancellazione (il 27% ha fatto uso di questa possibilità).

Molto interessante, in materia di condivisione dei dati personali, il grado di comprensione generale secondo cui, nell’era di internet, il concetto di privacy sta vivendo una continua trasmutazione, opinione che vede d’accordo 72 intervistati su 100.
Il riassunto che il Garante ha rilasciato a Il Sole 24 Ore.com valuta «il provvedimento sui cookies facilitativo per le imprese e per i cittadini, ed è l’applicazione di una legge già esistente. Abbiamo convenuto con gli operatori una modalità per il rispetto delle norme e abbiamo approntato un sistema di verifica».
5 maggio 2015

Annunci

Stop al marketing invasivo, offerte a prova di privacy

mail contactMarketing 2.0: dal Far west a strategie commerciali «privacy compatibili»

  • Fonte:  Italia Oggi, 11 maggio 2015 – IusLetter
  • di Antonio Ciccia

Anche in questo caso ce lo chiede l’Europa. L’attività di trattamento dei dati personali del cliente, in un quadro di concorrenza regolata, deve rispettare i paletti della normativa sulla protezione dei dati personali, messi in fila dal garante con un vademecum ad hoc sul «marketing a prova di privacy» elaborato a fine aprile.

Sono paletti che attanagliano le imprese nel mercato globale e nella crisi economica o sono strumenti per selezionare la qualità dell’imprenditore?

L’ottica aziendale deve comunque fare i conti con la disciplina legale, che si basa su due capisaldi: la trasparenza e il consenso. Al cliente non bisogna nascondere che uso si fa delle informazioni che lo riguardano e il cliente deve dare il suo benestare alla circolazione dei suoi dati. Le due prescrizioni sono del tutto in linea (e anche ripetitive) dello schema della tutela del mercato attraverso la tutela del consumatore. Se tutte le imprese devono rispettare il consumatore, allora tutte concorrono sullo stesso piano. E non c’è un doping da cattiva data protection.

L’azienda, però, deve essere consapevole che il cliente, se lo vuole e se ha il tempo di farlo, può chiedere aiuto come utente esasperato dalle telefonate indesiderate e deve acconsentire ad essere monitorato nelle sue abitudini online.
Insomma, la politica di sviluppo aziendale deve fare i conti con la concreta possibilità che una promozione commerciale si trasformi in un boomerang per l’immagine di un’impresa.
A illustrare nel dettaglio tutti questi aspetti è il citato vademecum a cui, in tema di marketing e privacy, si sono aggiunte, nei giorni scorsi, le linee guida sulla profilazione online e il provvedimento sui cookies: una triade di interventi che il responsabile commerciale di una azienda deve conoscere a menadito.

Aziende in regola con la privacy

L’azienda deve partire dalla necessità di informare specificamente il cliente, i quale deve dare un consenso specifico e distinto per le varie finalità: uno per il marketing, uno per la profilazione o per la comunicazione dei dati ad altri soggetti.
Peraltro non serve il consenso per soddisfare la richiesta di un cliente, come le verifiche funzionali all’erogazione di servizi, ma non va bene un modulo per l’ordine di un prodotto con la casella per il consenso già contrassegnata.
Il vademecum ricorda anche alcuni tentativi di semplificazione operativa: ad esempio il consenso prestato per la ricezione di comunicazioni commerciali tramite modalità automatizzate (fax, sms, e-mail, mms, telefonate preregistrate) si estende anche alla posta cartacea e alle chiamate tramite operatore.
Quindi un consenso prestato per le operazioni di marketing più invasive vale anche per quelle di impatto inferiore.
È questa la ragione per cui non vale il contrario: se ho chiesto il consenso per il marketing cartaceo non posso, poi, fare chiamate telefoniche automatizzate.

Soft spam e ricerca di nuovi clienti

Il marketing ha un percorso preferenziale con i propri clienti.
Si parla di soft spam: non serve il consenso per inviare offerte promozionali, via posta tradizionale o e-mail, relative a prodotti o servizi analoghi a quelli forniti in precedenza.
Certo il marketing non serve solo a mantenere i clienti acquisiti, ma a cercarne di nuovi.
Una strada è quella di contattare le persone non iscritte nel registro pubblico delle opposizioni per chiedere il consenso a ricevere comunicazioni promozionali anche via e-mail o con altri mezzi automatizzati.
Si sfrutta il canale telefonico (basato sul principio per cui chi non dissente accetta di ricevere la chiamata), per acquisire il consenso a forme di marketing di marketing più raffinato.
Che le esigenze aziendali coincidano con la tutela del consumatore interessato è l’obiettivo del responsabile privacy aziendale, come per il responsabile per la sicurezza (quanto alla tutela dell’incolumità dei dipendenti) o della sicurezza del prodotto (per la incolumità del cliente).

Il presidente del garante privacy, Antonello Soro, ha dichiarato:

«Il rispetto del consumatore e il corretto uso dei suoi dati personali, a partire da quelli necessari per contattarlo fino alle informazioni più private, come gusti e preferenze, differenziano le imprese che vedono i propri clienti come semplice «preda», da quelle che scelgono di operare in modo trasparente, ponendo al centro della loro attività, oltre che la qualità dei prodotti e servizi offerti, anche e soprattutto la fiducia dei propri acquirenti».

Profilazione on line: regole chiare e più tutele per la privacy degli utenti

inconvénient-micro-stationConsenso obbligatorio, revocabile in ogni momento. Garanzie anche per gli utenti senza account di accesso ai servizi.

Maggiori tutele per gli utenti, ma anche regole più chiare per chi fa profilazione on line, a partire dai principali siti web. Chi opera su Internet dovrà:

  • fornire agli utenti informazioni chiare e complete,
  • richiedere ed ottenere il consenso degli interessati, revocabile in ogni momento, e
  • offrire concrete tutele anche a chi non dispone di uno specifico account per accedere ai servizi offerti.

Queste le principali misure indicate dal Garante per la privacy nelle Linee guida in materia di trattamento di dati personali per profilazione on line”, pubblicate oggi sulla Gazzetta Ufficiale.

Le regole varate armonizzano e rendono più chiara la gestione delle attività di profilazione, ovvero la definizione di “profili” di utenti (sulla base di caratteristiche, comportamenti, scelte, abitudini) allo scopo di fornire servizi o promozioni personalizzate.

Dovranno essere adottate da tutti i soggetti stabiliti su territorio nazionale che forniscono servizi on line, quali:

  • motori di ricerca,
  • posta elettronica,
  • mappe on line,
  • social network,
  • pagamenti elettronici,
  • cloud computing.

Ecco in sintesi le regole previste nelle Linee guida

Tutele per ogni utente

Le società dovranno tutelare la privacy sia degli utenti autenticati, cioè quelli che accedono ai servizi tramite un account (ad esempio per l’utilizzo della posta elettronica), sia di quelli che fanno uso dei servizi in assenza di previa autenticazione (utenti non autenticati), come in caso di semplice navigazione on line.

Informativa

L’informativa sul trattamento dei dati dovrà essere chiara, completa, esaustiva e resa ben visibile, già dalla prima pagina del sito. Essa costituisce il presupposto per consentire agli interessati medesimi di esprimere o meno il consenso all’uso dei propri dati per fini di profilazione ed è preferibile che sia strutturata su più livelli, per renderne più facile la lettura:

  • un primo livello immediatamente accessibile con un solo click dalla pagina visitata, con tutte le informazioni di maggiore importanza (ad esempio l’indicazione dei trattamenti e dei dati oggetto di trattamento);
  • un secondo livello, accessibile dal primo, con ulteriori dettagli sui servizi offerti.

Consenso

Qualunque attività di trattamento dei dati personali dell’utente per finalità di profilazione e diversa da quelle necessarie per la fornitura del servizio (ad esempio, i filtri antispam o antivirus, gli strumenti per consentire ricerche testuali, etc.) potrà essere effettuata esclusivamente con il consenso informato dell’utente.

Questo obbligo si applica dunque alla profilazione per finalità promozionali comunque effettuata:

  • sia quella sui dati relativi all’uso della posta elettronica
  • sia quella basata sull’incrocio dei dati personali raccolti in relazione all’utilizzo di più funzionalità da parte degli utenti (ad esempio: posta elettronica e navigazione sul web, partecipazione a social network e utilizzo di mappe o visualizzazione di contenuti audiovisivi etc.),
  • sia infine quella fondata sull’impiego di strumenti di identificazione diversi dai cookie (come il fingerprinting, che costruisce profili dell’utente sulla base di specifici parametri di impostazione del terminale o sulle modalità del suo utilizzo).

Attraverso modalità semplificate, gli utenti potranno scegliere in modo attivo e consapevole se acconsentire alla profilazioneAll’utente dovrà comunque essere sempre pienamente garantito il diritto di revoca delle scelte espresse in precedenza. A tale scopo dovrà essere predisposto un link, sempre ben visibile.

Conservazione

Dovranno essere definiti tempi certi di conservazione dei dati, sulla base delle norme del Codice privacy, proporzionati alle specifiche finalità perseguite.

Spamming, risarcimento solo con prova rigorosa

spam_casella_posta_tranelloNo al risarcimento per spamming senza la prova del danno. È quanto afferma il Tribunale di Perugia (giudice Ilenia Miccichè) in una sentenza dello scorso 24 febbraio.

La controversia trae origine dalla richiesta di ristoro dei danni avanzata da un uomo nei confronti di un’associazione privata, che per diversi mesi gli aveva trasmesso alcune e-mail non richieste.

L’attore ha esposto che l’invio era contrario al Codice della privacy, mancando il suo consenso preventivo al trattamento dei dati personali. Ha quindi sostenuto che lo spamming gli aveva provocato danni patrimoniali, consistiti nel pagamento del costo telefonico della connessione a internet, nell’intasamento delle relative funzioni e nella perdita del tempo necessario alla lettura e all’eliminazione dei messaggi indesiderati. Inoltre, il fatto gli aveva causato anche danni non patrimoniali, dovuti all’«intrusione non autorizzata nella propria sfera di riservatezza». Così ha chiesto la condanna dell’associazione al pagamento di 3mila euro.

Nel respingere la domanda, il giudice di Perugia osserva, innanzitutto, che il danno da spamming è quello che deriva da comunicazioni elettroniche a carattere commerciale non sollecitate. Tuttavia, il danno in questione si può risarcire – si legge nella sentenza – solo se «ne sia offerta in giudizio rigorosa prova, in coerenza con il generalissimo principio posto dall’articolo 2697 del Codice civile».

Il Tribunale ricorda quindi che il risarcimento del danno patrimoniale è ammesso solo se ricorre «un pregiudizio economicamente valutabile e apprezzabile», non «meramente potenziale o possibile» ma «connesso all’illecito in termini di certezza o, almeno, con un grado di elevata probabilità». Sicché, in difetto di più specifiche deduzioni, il risarcimento chiesto dall’attore non si può fondare sul «generico richiamo a costi di connessione, a non comprovati fenomeni di intasamento delle funzioni internet» o a dispendio di tempo e denaro.

Inoltre, il danno non patrimoniale – prosegue la sentenza – è risarcibile in caso di «lesione di specifici valori della persona integranti diritti costituzionalmente tutelati e, dunque, inviolabili». Di conseguenza, non si possono indennizzare – aggiunge il Tribunale, richiamando la sentenza n. 26972/2008 della Cassazione – «i pregiudizi consistenti in disagi, fastidi, disappunti, ansie e in ogni altro tipo di insoddisfazione concernente gli aspetti più disparati della vita quotidiana».

Nel caso esaminato, l’attore aveva prodotto 15 e-mail provenienti della convenuta, senza però provare un concreto danno. Né – conclude il giudice – «il tempo occorrente per cancellare i messaggi di posta elettronica in questione assurge a pregiudizio serio», trattandosi di «un mero fastidio».