No allo spam elettorale nelle mail dei dipendenti comunali

Un candidato non può usare a fini di propaganda elettorale  i dati personali in suo possesso per ragioni istituzionali. È quanto ha ribadito il Garante privacy in un provvedimento con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei dipendenti comunali  nella sua disponibilità ai tempi del suo mandato.

La vicenda risale alle amministrative dello scorso anno, quando una dipendente comunale, aprendo la mail di lavoro,  scopre che l’ex assessore al personale si candida alle elezioni regionali e chiede il suo voto.

La scena si ripete più volte –  probabilmente la stessa mail è stata spedita a tutto il personale comunale – e alcuni dipendenti, che si ritengono lesi nei loro diritti, si rivolgono al Garante per la protezione dei dati personali. I dipendenti segnalano all’Autorità che gli indirizzi mail sono stati acquisiti da un indirizzario di posta elettronica che non è pubblico, essendo ad esclusivo uso interno dell’amministrazione e nella disponibilità dell’ex assessore al personale  in virtù dell’incarico precedentemente ricoperto.

Per questo motivo ritengono che i loro dati personali siano stati trattati in modo non corretto e  in violazione delle regole dettate dal Garante privacy in materia di propaganda elettorale.

Tesi condivisa dall’Autorità che, nell’emettere il provvedimento di divieto, ha ritenuto l’operato dell’ex assessore illecito sotto diversi profili.

• In primo luogo, perché il trattamento dei dati è avvenuto in violazione del principio di finalità: gli indirizzi mail comunali, infatti, il cui scopo è quello di consentire il contatto per l’assolvimento delle funzioni istituzionali, non possono essere utilizzati per il perseguimento di altre finalità (non compatibili con quelle che ne hanno giustificato la raccolta originaria),  come appunto la propaganda elettorale. Così come non possono essere utilizzati liberamente da chi ricopre incarichi pubblici e detiene  questi dati solo per lo svolgimento dei propri compiti istituzionali.
• In secondo luogo perché, come affermato dal Garante in più occasioni, i partiti, le liste o i singoli candidati non possono utilizzare indirizzi di posta elettronica senza il consenso specifico e informato dei destinatari. Consenso che, nel caso in esame,  non risulta acquisito, come non risulta che i destinatari siano stati informati sull’uso che veniva fatto dei loro dati.

Con un autonomo procedimento l’Autorità provvederà a verificare i presupposti per l’applicazione della sanzione amministrativa prevista per l’omessa informativa e la  mancata acquisizione del consenso.

Data breach: chi deve comunicarli al Garante?

I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità.

Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati.

Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati.

Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative.

I casi e gli adempimenti previsti dai provvedimenti del Garante

• Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (c.d. data breach) – 4 aprile 2013
• Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014
• Linee guida in materia di Dossier sanitario – 4 giugno 2015
• Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche – 2 luglio 2015

Clicca per l’infografica che offre un prospetto sintetico sulla materia.

25 maggio 2018: save the date

Pubblicato sulla Gazzetta Ufficiale Ue il nuovo Pacchetto protezione dati

Sono stati pubblicati oggi, mercoledì 4 maggio 2016, sulla Gazzetta Ufficiale dell’Unione Europea (GUUE) i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.

Si tratta del passaggio finale per l’entrata in vigore del nuovo “Pacchetto protezione dati”, l’insieme normativo che definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’UE.

Il Regolamento sarà vigente 20 giorni dopo la pubblicazione in GUUE, per diventare definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento.

La Direttiva, invece, sarà vigente da domani, 5 maggio, e da qual momento impegnerà gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro 2 anni.

Recupero crediti, OIC: tutelare privacy dei consumatori e diritti delle imprese

Fonte: Help Consumatori

Il 18 aprile scorso, il Garante per la Protezione dei dati personali ha pubblicato una guida che illustra in maniera sintetica il modo più corretto in cui le società di recupero crediti possono trattare le informazioni personali che riguardano i debitori.

A poco più di una settimana di distanza, le associazioni dei consumatori che fanno parte dell’OIC (Osservatorio Imprese e Consumatori) hanno incontrato, in un convegno dal titolo “Recuperare credito”, autorità e imprese per trovare insieme una strada che conduca ad un equilibrio tra due opposti interessi: quello di coloro che cercano di recuperare quanto dovuto (le imprese) e quello dei consumatori che vogliono vedere tutelata la propria privacy.

“Quando parliamo di recupero crediti in Italia, ci rifacciamo, sotto l’aspetto normativo, ad una norma che risale ad un Regio Decreto del 1931 e che per quasi 90 anni non è mai stata modificata”, ha tenuto a precisare il Antonio Persici, Presidente di OIC che continua, “Per anni l’attività di recupero crediti è stata poco e male considerata dal legislatore. Eppure sappiamo bene quanto il ritardo dei pagamenti sia letale tanto per le imprese che per la Pubblica Amministrazione, con effetti negativi sull’intero Sistema Paese”.

Il vademecum pubblicato dal Garante per la Privacy ha fatto un lavoro di sintesi, come precisa il Daniele De Paoli, del Dipartimento Realtà Economiche e Produttive del Garante, e dell’Autorità, “tra le principali novità avvenute nel comparto dal 2005 al 2015, alla luce dei cambiamenti avvenuti sul mercato”. De Paoli ha tenuto a sottolineare come “le istanze che arrivano al Garante e che riguardano il recupero crediti rappresentano, di fatto, una percentuale consistente– parliamo di alcune centinaia l’anno- e la maggior parte hanno a che fare con la violazione della riservatezza e della dignità della persona oppure con pratiche di contatto invasive: basti pensare che, nel 90% dei casi, ci si rivolge all’Autorità perché la comunicazione della morosità viene data a terze persone diverse dal diretto interessato”.

Quali soluzioni trovare allora per limitare queste pratiche? “Tanto per cominciare”, ha detto Persici, “la registrazione della telefonata tra l’operatore e il debitore può essere un modo per documentare in maniera certa il contatto. Inoltre, occorre senza dubbio provvedere ad una adeguata formazione del personale delle società di recupero crediti in modo che la comunicazione si svolga nel pieno rispetto dei diritti dell’interessato”. Dello stesso avviso si è detto anche De Paoli che, nel suo intervento, ha accolto positivamente le proposte di OIC.

Secondo Enrico Maria Cotugno, Vice Direttore di AGCOM, “dovremmo partire dal fatto che le imprese non devono cedere crediti “sporchi”, ossia esigere crediti da clienti con i quali hanno in sospeso dei reclami: questo sarebbe un buon modo per distinguere sul nascere i veri debitori dai clienti che invece hanno diritto a non pagare”.

L’OIC, da canto suo, sottolinea invece “l’importanza di un confronto con gli operatori del settore del recupero credito, attraverso il quale si possa colmare la lacuna dell’attuale sistema normativo. Inoltre, la strada del dialogo consentirebbe di trovare soluzioni rapide e aumentare la fiducia del consumatore”.

Telecamere “intelligenti” e videosorveglianza “lunga” con adeguate garanzie

Via libera del Garante privacy [doc. web n. 4933227] ad un’azienda operante nel settore dei semiconduttori che intende utilizzare un nuovo impianto di videosorveglianza dotato di software “intelligent video”.

L’impianto è munito di:

• sistema di riconoscimento sulla base di modelli comportamentali in grado di individuare condizioni anomale (ad esempio la rilevazione di un uomo a terra) e
• telecamere termiche, che, senza effettuare alcuna identificazione, avrebbero la funzione di attivare l’allarme a seguito dell’individuazione di forme in movimento in una “no access zone”.

La società, che ha presentato domanda di verifica preliminare e che realizza, tra l’altro, prodotti che appartengono al cosiddetto comparto “secure”, (dispositivi destinati a Sim,  Pos, credit card, etc.) ospita all’interno del suo perimetro anche altre due aziende sue fornitrici,  per le quali svolge un servizio di vigilanza. Tutto il sito produttivo è classificato come “a rischio di incidente rilevante”.

Considerati l‘ubicazione isolata del sito, il delicato settore produttivo e le specifiche esigenze del rispetto di  elevati standard di sicurezza nazionali ed internazionali,  l’Autorità ha ritenuto che la richiesta della società possa essere accolta perché conforme ai principi del Codice della privacy. 

Con le stesse motivazioni, il  Garante ha autorizzato la società anche alla conservazione delle immagini rilevate per 45 giorni, con lo scopo di monitorare lo stabilimento produttivo e individuare i responsabili di eventuali fatti illeciti, anche a seguito di intrusioni e furti già denunciati.

Ad eccezione della visione da parte dell’Autorità giudiziaria, l’accesso alle immagini potrà avvenire solo nel rispetto di quanto stabilito dagli accordi sindacali aziendali e le stesse non potranno essere diffuse o comunicate.

Il Garante ha accolto anche un’altra richiesta di prolungamento dei tempi di conservazione delle immagini, presentata da una società abilitata alla trattazione di “materiale classificato” che opera principalmente nel settore marino, autorizzando la conservazione delle immagini fino a 30 giorni [doc. web n. 4933452]. La richiesta  è correlata all’esigenza di tutelare la sicurezza dei prodotti giacenti presso la ditta, dei beni aziendali in genere, nonché delle persone che operano all’interno dei locali e nelle aree aziendali, in relazione alla particolare tipologia e delicatezza delle lavorazioni effettuate e delle connesse esigenze di sicurezza e segretezza.