Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy

internet bankingPer combattere i furti di identità o le frodi nell’internet banking, una banca potrà analizzare informazioni biometrico-comportamentali dei clienti, quali la pressione sul touch screen o i movimenti del mouse,  in occasione della loro “navigazione” nell’area privata del proprio sito web.

Il sistema, sottoposto al Garante della privacy per una verifica preliminare [doc. web n. 5252271], si propone di innalzare i livelli di tutela attualmente previsti (come password per l’accesso al conto corrente on line, oppure one time password per bonifici e altre operazioni) con nuove modalità di “identificazione” dell’utente.

Per raggiungere tale obiettivo, l’istituto di credito ha chiesto a un partner tecnologico di generare profili univoci dei propri clienti basati sull’analisi del loro comportamento durante le operazioni svolte nell’area riservata del sito di internet banking.

La società, in una prima fase, raccoglie informazioni su azioni spontanee dell’utente, come i movimenti del mouse (incluse reazioni inconsce a “interferenze” prodotte appositamente dal sistema), la pressione del dito su schermi tattili, oppure la velocità di digitazione sulla tastiera. Tali dati biometrici sono combinati con altre informazioni relative alla tecnologia usata per collegarsi (pc, tablet, smartphone), come i parametri del sistema operativo e del browser di navigazione.

Ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a comparare le caratteristiche della sua navigazione sul sito con quelle associate al profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.

Il Garante ha riconosciuto l’importanza delle finalità perseguite dalla banca a garanzia della sicurezza dei servizi on-line ma, proprio per la delicatezza dei dati personali trattati, ha vincolato l’attivazione del nuovo sistema alla rigorosa osservanza delle misure individuate a tutela della privacy degli interessati.

La banca, ad esempio, potrà attivare il sistema di verifica biometrico-comportamentale solamente su base volontaria, dopo aver fornito al cliente una completa informativa e averne ottenuto lo specifico consenso.

Dovrà inoltre valutare con attenzione l’effettiva pertinenza e non eccedenza di tutti i “dati di navigazione” astrattamente utilizzabili, configurando il sistema in modo tale da acquisire e trattare, fin dall’inizio, solo quelli strettamente necessari all’esecuzione del servizio.

Il partner tecnologico:

  • non avrà accesso alle schede anagrafiche dei clienti dell’istituto di credito in modo tale da non poter risalire alla loro identità e, in ogni caso,
  • non potrà interconnettere i profili comportamentali con le informazioni contenute in altre banche dati, così da scongiurare il rischio di trattamenti illeciti.

Sono state inoltre definite precise misure di sicurezza e limiti ai tempi di conservazione dei dati raccolti per la fornitura del servizio, garantendo comunque gli adempimenti previsti da specifiche normative di settore e la tutela di eventuali diritti in sede giudiziaria.

Annunci

La Commissione europea lancia lo scudo UE-USA per la privacy: più tutele per i flussi transatlantici di dati

eu-us-privacy-shieldBruxelles, 12 luglio 2016

Oggi la Commissione europea ha adottato lo scudo UE-USA per la privacy.

Il nuovo regime tutela i diritti fondamentali di qualsiasi persona nell’UE i cui dati personali siano trasferiti verso gli Stati Uniti e apporta chiarezza giuridica alle imprese che operano con trasferimenti transatlantici di dati.

Lo scudo UE-USA per la privacy si fonda sui principi esposti qui di seguito.

  • Obblighi rigorosi per le imprese che operano sui dati: nel nuovo regime il Dipartimento del Commercio degli Stati Uniti sottoporrà le imprese aderenti allo scudo a verifiche e aggiornamenti periodici per accertare che rispettino nella pratica le regole che hanno volontariamente accettato. In caso contrario, l’impresa si espone a sanzioni e al depennamento dall’elenco degli aderenti. L’inasprimento delle condizioni applicabili all’ulteriore trasferimento garantirà lo stesso livello di protezione anche quando l’impresa aderente allo scudo trasferisce i dati a terzi.
  • Garanzie chiare e obblighi di trasparenza applicabili all’accesso da parte del governo degli Stati Uniti: gli Stati Uniti hanno assicurato ufficialmente all’UE che l’accesso delle autorità pubbliche ai dati per scopi di applicazione della legge e di sicurezza nazionale è soggetto a limitazioni, garanzie e meccanismi di vigilanza precisi. La novità è che qualsiasi persona nell’UE disporrà di meccanismi di ricorso in questo settore. Gli Stati Uniti hanno escluso attività indiscriminate di sorveglianza di massa sui dati personali trasferiti negli Stati Uniti nell’ambito dello scudo. Secondo le precisazioni fornite dall’Ufficio del Direttore dell’intelligence nazionale, la raccolta di dati in blocco sarà eventualmente ammissibile solo in presenza di determinati presupposti, e comunque si tratterà obbligatoriamente di una raccolta quanto più mirata e concentrata possibile. L’Ufficio ha illustrato nei particolari le garanzie vigenti riguardo all’uso dei dati in tali circostanze eccezionali. Il Segretario di Stato degli USA ha istituito all’interno del Dipartimento di Stato una via di ricorso aperta agli europei per gli aspetti legati all’intelligence nazionale: il meccanismo di mediazione.
  • Tutela effettiva dei diritti individuali: chiunque ritenga che, nell’ambito dello scudo, sia stato compiuto un abuso sui dati che lo riguardano ha a disposizione vari meccanismi di composizione delle controversie di agevole accesso e dal costo contenuto. Idealmente sarà l’impresa stessa a risolvere il caso di reclamo oppure saranno offerte gratuitamente soluzioni basate su un organo alternativo di composizione delle controversie (ADR). Le persone si potranno anche rivolgere alle rispettive autorità nazionali di protezione dei dati, che collaboreranno con la Commissione federale del Commercio per assicurare che i casi di reclamo sottoposti da cittadini dell’UE siano esaminati e risolti. Esperiti tutti gli altri mezzi a disposizione, come extrema ratio il caso irrisolto potrà essere sottoposto a arbitrato. Per i casi che implicano la sicurezza nazionale, i cittadini dell’UE dispongono di una possibilità di ricorso nella figura del mediatore, che è indipendente dai servizi d’intelligence degli Stati Uniti.
  • Analisi annuale comune: il meccanismo consentirà di monitorare il funzionamento dello scudo, compresi gli impegni e le garanzie relative all’accesso ai dati a fini di contrasto della criminalità e finalità di sicurezza nazionale. La Commissione europea e il Dipartimento del Commercio degli Stati Uniti effettueranno l’analisi, alla quale assoceranno esperti dell’intelligence nazionale statunitense e le autorità europee di protezione dei dati. La Commissione attingerà a tutte le altre fonti di informazioni disponibili e presenterà una relazione pubblica al Parlamento europeo e al Consiglio.

Dopo aver presentato il progetto di scudo a febbraio, la Commissione vi ha inserito varie precisazioni e ulteriori miglioramenti basandosi sui pareri espressi delle autorità europee di protezione dei dati (Gruppo dell’articolo 29) e dal garante europeo della protezione dei dati e sulla risoluzione del Parlamento europeo. In particolare, la Commissione europea e gli Stati Uniti hanno concordato ulteriori precisazioni sulla raccolta di dati in blocco, il rafforzamento del meccanismo di mediazione e una maggiore esplicitazione degli obblighi delle imprese quanto ai limiti applicabili alla conservazione e all’ulteriore trasferimento.

Prossime tappe:

  • la “decisione di adeguatezza” sarà notificata oggi agli Stati membri, entrando così in vigore immediatamente.
  • Gli Stati Uniti pubblicheranno lo scudo per la privacy nel Registro federale, che è l’equivalente della nostra Gazzetta ufficiale. Il Dipartimento del Commercio degli Stati Uniti darà avvio allo scudo.
  • Una volta studiato il regime e aggiornate pratiche e politiche per conformarvisi, le imprese potranno certificarsi come aderenti presso il Dipartimento del Commercio a partire dal 1o agosto.
  • La Commissione pubblicherà nel frattempo una breve guida per informare i cittadini dei mezzi di ricorso di cui dispone la persona che ritiene che i suoi dati personali siano stati usati senza tener conto delle norme sulla protezione dei dati.

 

Per ulteriori informazioni

 

 

No allo spam elettorale nelle mail dei dipendenti comunali

Concept of sending e-mails from your computerUn candidato non può usare a fini di propaganda elettorale  i dati personali in suo possesso per ragioni istituzionali. È quanto ha ribadito il Garante privacy in un provvedimento con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei dipendenti comunali  nella sua disponibilità ai tempi del suo mandato.

La vicenda risale alle amministrative dello scorso anno, quando una dipendente comunale, aprendo la mail di lavoro,  scopre che l’ex assessore al personale si candida alle elezioni regionali e chiede il suo voto.

La scena si ripete più volte –  probabilmente la stessa mail è stata spedita a tutto il personale comunale – e alcuni dipendenti, che si ritengono lesi nei loro diritti, si rivolgono al Garante per la protezione dei dati personali. I dipendenti segnalano all’Autorità che gli indirizzi mail sono stati acquisiti da un indirizzario di posta elettronica che non è pubblico, essendo ad esclusivo uso interno dell’amministrazione e nella disponibilità dell’ex assessore al personale  in virtù dell’incarico precedentemente ricoperto.

Per questo motivo ritengono che i loro dati personali siano stati trattati in modo non corretto e  in violazione delle regole dettate dal Garante privacy in materia di propaganda elettorale.

Tesi condivisa dall’Autorità che, nell’emettere il provvedimento di divieto, ha ritenuto l’operato dell’ex assessore illecito sotto diversi profili.

  • In primo luogo, perché il trattamento dei dati è avvenuto in violazione del principio di finalità: gli indirizzi mail comunali, infatti, il cui scopo è quello di consentire il contatto per l’assolvimento delle funzioni istituzionali, non possono essere utilizzati per il perseguimento di altre finalità (non compatibili con quelle che ne hanno giustificato la raccolta originaria),  come appunto la propaganda elettorale. Così come non possono essere utilizzati liberamente da chi ricopre incarichi pubblici e detiene  questi dati solo per lo svolgimento dei propri compiti istituzionali.
  • In secondo luogo perché, come affermato dal Garante in più occasioni, i partiti, le liste o i singoli candidati non possono utilizzare indirizzi di posta elettronica senza il consenso specifico e informato dei destinatari. Consenso che, nel caso in esame,  non risulta acquisito, come non risulta che i destinatari siano stati informati sull’uso che veniva fatto dei loro dati.

Con un autonomo procedimento l’Autorità provvederà a verificare i presupposti per l’applicazione della sanzione amministrativa prevista per l’omessa informativa e la  mancata acquisizione del consenso.

Il datore di lavoro non può spiare le mail dei dipendenti

mail-dicembreI lavoratori devono essere informati. Il datore di lavoro non può spiare le mail
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
(“L’Huffington Post”, 13 gennaio 2016)

Ma davvero, da oggi, i lavoratori europei potranno essere spiati dai loro datori di lavoro? La sentenza del 12 dicembre della Corte europea dei diritti umani sancisce la fine della privacy in ambito lavorativo?

È bene chiarirlo: assolutamente no.

La sentenza di ieri decide il ricorso di un ingegnere romeno licenziato per inadempimento contrattuale, provato anche dall’utilizzo per fini personali, in orario di lavoro, della mail aziendale. Con la pronuncia, la Corte si è limitata a ritenere non irragionevole il bilanciamento tra privacy dei dipendenti ed esigenze datoriali, affermato dalla giurisdizione romena.

E questo perché:

  1. l’azienda aveva informato i dipendenti delle condizioni d’uso della mail aziendale, che non ne consentivano l’utilizzo per fini personali. Ragione, questa, che avrebbe quindi ridotto l’aspettativa di riservatezza riposta dai lavoratori rispetto alle loro comunicazioni via e-mail;
  2. il monitoraggio delle mail è stato limitato nel tempo e nell’oggetto, nonché strettamente proporzionato allo scopo di provare l’inadempimento contrattuale del lavoratore (desunto da altri elementi), la cui scarsa produttività aveva determinato e legittimato il licenziamento;
  3. l’accesso alle e-mail del lavoratore da parte datoriale è stato legittimo proprio perché fondato sul presupposto della natura professionale del contenuto delle comunicazioni (come da contratto avrebbe dovuto essere);
  4. l’identità degli interlocutori del lavoratore non è stata rivelata in sede giurisdizionale;
  5. l‘azienda non ha avuto accesso ad altri documenti archiviati sul computer del lavoratore; il contenuto delle comunicazioni non è stato oggetto di sindacato da parte datoriale nel giudizio, ma soltanto il carattere personale delle mail inviate nell’orario di lavoro, con conseguente riduzione della produttività del dipendente;
  6. il dipendente non ha motivato la ragione dell’utilizzo della mail aziendale per fini personali.

La Corte ha dunque riaffermato, nel caso concreto, che i controlli datoriali sull’attività lavorativa sono ammissibili soltanto nella misura in cui siano strettamente proporzionati e non eccedenti lo scopo di verifica dell’adempimento contrattuale.

Essi devono essere inoltre:

  • limitati nel tempo e nell’oggetto;
  • mirati (dunque non massivi);
  • fondati su presupposti (quali in particolare l’inefficienza dell’attività lavorativa del dipendente) tali da legittimarne l’esecuzione.

Infine, devono essere già previsti dalla policy aziendale, di cui il dipendente deve essere adeguatamente edotto.

Questa valutazione è in linea con la Raccomandazione sulla protezione dei dati in ambito lavorativo, approvata il 1° aprile scorso dallo stesso Consiglio d’Europa, che in particolare auspica:

  • la minimizzazione dei controlli difensivi o comunque rivolti agli strumenti elettronici;
  • l’assoluta residualità dei monitoraggi, con appositi sistemi informativi, sull’attività e il comportamento dei lavoratori in quanto tale.

Ed è in linea con la giurisprudenza italiana e con gli stessi principi affermati dal Garante, in particolare con le Linee guida del 2007.

Con questo provvedimento si è prescritto al datore di lavoro di informare i lavoratori:

  • delle condizioni di utilizzo della mail aziendale (e anche della stessa rete, in orario di lavoro o comunque con gli strumenti messi a disposizione dal datore),
  • dei controlli che il datore di lavoro si riserva di effettuare per fini legittimi, nonché
  • delle eventuali conseguenze disciplinari suscettibili di derivare dalla violazione di tali regole.

Principi che restano validi anche dopo la riforma dei controlli datoriali operata dal Jobs Act e anche rispetto agli strumenti di lavoro che, pur sottratti alla procedura concertativa, restano comunque soggetti alla disciplina del Codice privacy.

E, in particolare, ai principi ribaditi proprio dalla Corte europea dei diritti umani con la sentenza di ieri, di:

  • necessità,
  • finalità,
  • legittimità e correttezza,
  • proporzionalità e non eccedenza del trattamento,  
  • previa informativa del lavoratore,
  • divieto di profilazione.

Come abbiamo avuto modo di affermare in sede di audizione, dinanzi alle Commissioni parlamentari, sullo schema di decreto legislativo attuativo del Jobs Act in questa materia, sarà proprio il rispetto dei principi del Codice privacy il principale argine a un utilizzo pervasivo dei controlli sul lavoro.

E questo, anche in assenza delle modifiche che le Commissioni parlamentari, in conformità alle indicazioni da noi rese in audizione, avevano suggerito al Governo di apportare al testo del decreto per rafforzare le garanzie dei lavoratori, pur nel rispetto delle legittime esigenze datoriali.

Il Jobs Act

Dunque, anche dopo il Jobs Act, i controlli datoriali devono comunque essere improntati a gradualità nell’ampiezza e nella tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori.

E così, ad esempio, ove il datore di lavoro riscontrasse la presenza di virus sui pc aziendali, dovrebbe dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati.

Prevenire

Del resto, come il Garante ha affermato in più occasioni, il datore di lavoro è tenuto all’individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell’adozione di filtri per il blocco dell’accesso a determinati siti o del download di alcuni file.

E non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l’analisi occulta di computer portatili affidati in uso.

Privacy By Design

In questa prospettiva, assai utile può essere l’adozione di una soluzione di privacy-by-design, ovvero la progettazione degli stessi strumenti mediante i quali effettuare i controlli in modo da minimizzare, fino ad escludere, il rischio di controlli invasivi o comunque di incisive limitazioni della riservatezza di chi a quei controlli possa essere sottoposto.

Ed è significativo che tali soluzioni siano valorizzate dal nuovo Regolamento Ue sulla protezione dati, che delinea il nuovo quadro giuridico europeo in una materia, come questa, su cui si giocano le sfide più importanti per le nostre democrazie.

E-commerce, no alla profilazione senza consenso

طراحی-سایت-تجاریVietato ad una società l’uso dei dati di oltre 300mila persone per l’invio di newsletter personalizzate

No alla profilazione senza consenso di gusti e abitudini dei clienti per l’invio di newsletter personalizzate. Lo ha affermato il Garante privacy in un Provvedimento con cui  ha vietato ad una società di e-commerce l’illecito trattamento dei dati di oltre 300 mila persone.

La società – una delle più importanti nella fornitura on line di biglietti  per spettacoli teatrali,  manifestazioni sportive, concerti e nell’e-commerce di prodotti anche di marchi celebri –  non potrà più utilizzare i dati trattati in modo illecito.

Dagli accertamenti ispettivi svolti dall’Autorità è emerso che la società raccoglieva dati personali attraverso tre siti, di cui uno operativo in più lingue straniere destinato ad utenti di paesi Ue ed Extra Ue. Il consenso richiesto, però, era  preselezionato e unico per varie finalità, comprese quelle di marketing e comunicazione dei dati ad altre società, sempre per scopi commerciali.

Una procedura  contraria alla normativa, anche se l’utente poteva deselezionare il consenso e procedere alla registrazione al sito.

La società, inoltre, svolgeva, sempre senza consenso, un’attività di profilazione utilizzando un software per  l’invio di newsletter personalizzate, “create” elaborando i dati relativi agli ordini dei clienti o anche ai prodotti inseriti nel carrello il cui ordine non era stato finalizzato.

La società peraltro non aveva provveduto ad adempiere all’obbligo di notificazione al Garante previsto dal Codice per l’attività di profilazione, né aveva stabilito alcun tempo di conservazione dei dati personali raccolti tramite i siti.

Il Garante  ha dunque disposto il divieto di uso dei dati dei clienti acquisiti illecitamente e ha  prescritto alla società  di adottare, entro sessanta giorni, le misure necessarie per mettersi in regola con le disposizioni del Codice privacy.

La società dovrà, in particolare:

  • integrare l’informativa indicando le aziende o le categorie economiche o merceologiche alle quali intende comunicare i dati per le loro finalità promozionali;
  • informare i soggetti, ai quali i dati sono stati già comunicati o ceduti, che non possono utilizzarli senza aver prima acquisito il consenso degli interessati.

La società dovrà, infine:

  • prevedere tempi di conservazione dei dati e,
  • alla scadenza, provvedere all’immediata cancellazione o alla  anonimizzazione permanente.

Dossier sanitario: stop agli accessi indiscriminati ai dati dei pazienti

DSENo all’accesso indiscriminato al dossier sanitario elettronico. I dati devono essere accessibili solo ai professionisti sanitari che assistono in quel momento il paziente e solo per il tempo necessario alla cura.

I principi, già affermati in casi analoghi, sono stati ribaditi dal Garante privacy con un provvedimento [doc. web n. 4449114] in cui ha dettato all’Azienda Usl 11 di Empoli una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.

Il dossier è uno strumento costituito da un organismo sanitario (ospedale, clinica privata) contenente informazioni sullo stato di salute di un  assistito di quella struttura relative ad eventi clinici presenti e passati (es. referti, documentazione sui ricoveri, accessi al pronto soccorso).

Le irregolarità, emerse nel corso di accertamenti ispettivi, riguardavano, in particolare:

  • l’informativa (carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier) e
  • la costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda.

Va ricordato infatti, che il  paziente deve poter scegliere in modo libero e consapevole se far costituire o meno il dossier.

Gli accessi indiscriminati al sistema informatico, inoltre, a differenza di quanto stabilito nelle Linee guida del 2015, permettevano ad ogni medico della struttura di consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda.

L’Azienda – come prescritto dall’Autorità – entro il 31 marzo 2016 dovrà quindi adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti.

Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica).

Il personale amministrativo, invece, potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni.

L’Azienda, infine, dovrà modificare l’informativa, integrandola con tutti gli elementi previsti dalla normativa, necessari per mettere in condizione il paziente di fare scelte consapevoli:

  • sulla costituzione del dossier,
  • sui documenti sanitari da far inserire o escludere e
  • sui diritti che può esercitare.

L’Autorità si è riservata di valutare, con separato provvedimento, gli estremi  per contestare all’Azienda  l’applicazione delle  sanzioni amministrative previste dal Codice privacy.

Informazioni commerciali a prova di privacy: il Garante vara il Codice di deontologia

Privacy-Garante-nuove-regole-su-spamFissate le regole per il corretto uso dei dati sull’affidabilità commerciale di imprenditori e manager:

  • Le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno raccogliere dati  solo da fonti pubbliche o direttamente dall’interessato.
  • I dossier dovranno essere sempre aggiornati e la conservazione dei dati avrà precisi limiti temporali.

Queste alcune tra le principali misure prescritte dal Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale, promosso dal Garante della privacy e redatto insieme a varie associazioni di categoria, imprenditoriali e dei consumatori, interessate al settore.

Il nuovo Codice, sottoscritto dalle  associazioni e pubblicato  il 13 ottobre 2015 sulla Gazzetta ufficiale, interviene a regolare un settore particolarmente importante per il corretto funzionamento del mercato. Le società che offrono informazioni commerciali, infatti, grazie al loro lavoro di valutazione della situazione economica, finanziaria e patrimoniale, sono in grado di segnalare eventuali rischi relativi a soggetti in affari.

Tuttavia, come ha più volte sottolineato il Garante, intervenuto negli anni a seguito di numerosi ricorsi e segnalazioni su queste attività,  il non corretto utilizzo di banche dati e di strumenti di analisi così invasivi può arrecare seri danni alla dignità e alla riservatezza delle persone coinvolte, nel  caso, ad esempio, in cui venissero raccolte e utilizzate informazioni inesatte, non aggiornate o che devono rimanere private.

Le nuove regole in sintesi

Ecco in sintesi le regole più rilevanti fissate dal Codice di deontologia alle quali dovranno attenersi tutti gli operatori del settore.

Ricerche limitate a persone con legami giuridici o economici

Per realizzare un dossier di informazione commerciale su un manager o un imprenditore, si possono utilizzare solo i suoi dati personali, oppure quelli di persone fisiche o giuridiche che con lui hanno o hanno avuto legami economici o giuridici.

Informazioni pubbliche o liberamente comunicate

Sono utilizzabili i dati provenienti da “fonti pubbliche”, come i pubblici registri, gli elenchi, i documenti conoscibili da chiunque (bilanci, informazioni contenute nel registro delle imprese presso le Camere di commercio, atti immobiliari e altri atti c.d. pregiudizievoli come l’iscrizione di ipoteca o la trascrizione di pignoramento, decreti ingiuntivi o altri atti giudiziari).

Per la prima volta, saranno utilizzabili a questi fini:

  • anche i dati estratti da “fonti pubblicamente e generalmente accessibili da chiunque”, come le testate giornalistiche cartacee o digitali,
  • oltre che informazioni attinte da elenchi telefonici, da siti web di enti pubblici o altre autorità di vigilanza e controllo.

Tutti questi dati, come previsto dal Codice della privacy, possono essere trattati senza il consenso degli interessati.

Potranno essere utilizzati anche i dati personali che il soggetto stesso ha liberamente deciso di comunicare al fornitore di informazioni commerciali.

Gli operatori dovranno sempre annotare la fonte da cui hanno tratto i dati personali sulla persona censita.

Informativa e pronto riscontro agli interessati

Tutte le società del settore dovranno pubblicare un’informativa completa almeno sul proprio sito web.

Quelle con un fatturato superiore a 300.000 euro (in questo ambito di attività) dovranno realizzare insieme un unico portale dove inserire le comunicazioni sulle attività di informazione commerciale.

E’ previsto inoltre l’obbligo per gli operatori del settore di garantire un riscontro telematico, tempestivo e completo, alle richieste in materia di privacy avanzate dalle persone censite.

Limiti all’utilizzo e alla conservazione dei dati

I dati personali possono essere conservati solo per periodi di tempo ben definiti e, comunque, trattati nel rispetto dei limiti alla conoscibilità, all’utilizzabilità e alla pubblicità dei dati previsti dalle normative di riferimento (ad esempio quella sulla trasparenza o sulla pubblicità legale degli atti).

Potranno essere trattati anche dati giudiziari (come quelli relativi  ad un’eventuale condanna, ad esempio, per bancarotta fraudolenta) della persona censita. Tali informazioni, se tratte da un giornale, o da un’altra fonte pubblicamente e generalmente accessibile, non possono risalire a più di sei mesi prima.

Dati sempre pertinenti e aggiornati

Gli operatori del settore dovranno utilizzare solo dati pertinenti e non eccedenti l’attività di informazione commerciale.

I dati dovranno essere sempre aggiornati.

Sicurezza delle informazioni

Le società dovranno adottare misure per garantire la sicurezza, l’integrità e la riservatezza delle informazioni commerciali.

Il nuovo Codice di deontologia entrerà in vigore il 1 ottobre 2016, così da offrire agli operatori il tempo necessario per poter conformare le banche dati e i sistemi informativi alle prescrizioni stabilite. A partire da quella data, qualunque trattamento di dati personali per finalità di informazione commerciale non conforme al testo appena sottoscritto sarà considerato illecito.