Energia e gas, servizi on line: no al consenso “obbligato” per il marketing

imagesI clienti che desiderano usufruire dei servizi on line offerti da un’impresa, come quelli di fatturazione, non devono essere obbligati a rilasciare il consenso a ricevere comunicazioni promozionali.

Questa la decisione assunta dal Garante della privacy per tutelare da promozioni indesiderate gli utenti dello sportello on line di un fornitore di servizi energetici [doc. web n. 5687770].

Dagli accertamenti dell’Autorità, avviati in seguito ad alcune segnalazioni ricevute, è emerso che la società aveva offerto alla propria clientela la possibilità di gestire la scheda anagrafica, i consumi e le fatture direttamente sul sito web. Per usufruire di tali servizi, però, i clienti dovevano completare una procedura di registrazione dove erano costretti a barrare un’unica casella per concedere un consenso onnicomprensivo al trattamento dei loro dati personali sia per le finalità legate alla gestione del contratto, sia per la ricezione di messaggi di posta elettronica contenenti pubblicità o altro materiale promozionale. Una modalità che, in concreto, violava il principio, più volte rimarcato dal Garante, in base al quale il consenso, per essere ritenuto valido, non deve essere condizionato, ma libero, specifico e informato.

Nel corso dell’istruttoria, inoltre, il Garante ha rilevato che il ramo aziendale di fornitura del gas era stato acquisito da un’altra società, che non aveva provveduto, come previsto dalla normativa, a inviare ai nuovi clienti l’informativa relativa al trattamento dei dati personali.

L’Autorità ha quindi:

  • vietato al primo operatore energetico, che aveva predisposto lo sportello per i servizi on line, di utilizzare per finalità di marketing i dati personali di cui era ancora in possesso in assenza di un valido consenso e
  • prescritto alla società acquirente del ramo gas di provvedere quanto prima a informare i clienti sulle modalità di trattamento dei loro dati. 

Il Garante si è riservato di verificare, con autonomi procedimenti, la sussistenza dei presupposti per contestare le sanzioni amministrative per le violazioni commesse.

Annunci

No allo spam elettorale nelle mail dei dipendenti comunali

Concept of sending e-mails from your computerUn candidato non può usare a fini di propaganda elettorale  i dati personali in suo possesso per ragioni istituzionali. È quanto ha ribadito il Garante privacy in un provvedimento con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei dipendenti comunali  nella sua disponibilità ai tempi del suo mandato.

La vicenda risale alle amministrative dello scorso anno, quando una dipendente comunale, aprendo la mail di lavoro,  scopre che l’ex assessore al personale si candida alle elezioni regionali e chiede il suo voto.

La scena si ripete più volte –  probabilmente la stessa mail è stata spedita a tutto il personale comunale – e alcuni dipendenti, che si ritengono lesi nei loro diritti, si rivolgono al Garante per la protezione dei dati personali. I dipendenti segnalano all’Autorità che gli indirizzi mail sono stati acquisiti da un indirizzario di posta elettronica che non è pubblico, essendo ad esclusivo uso interno dell’amministrazione e nella disponibilità dell’ex assessore al personale  in virtù dell’incarico precedentemente ricoperto.

Per questo motivo ritengono che i loro dati personali siano stati trattati in modo non corretto e  in violazione delle regole dettate dal Garante privacy in materia di propaganda elettorale.

Tesi condivisa dall’Autorità che, nell’emettere il provvedimento di divieto, ha ritenuto l’operato dell’ex assessore illecito sotto diversi profili.

  • In primo luogo, perché il trattamento dei dati è avvenuto in violazione del principio di finalità: gli indirizzi mail comunali, infatti, il cui scopo è quello di consentire il contatto per l’assolvimento delle funzioni istituzionali, non possono essere utilizzati per il perseguimento di altre finalità (non compatibili con quelle che ne hanno giustificato la raccolta originaria),  come appunto la propaganda elettorale. Così come non possono essere utilizzati liberamente da chi ricopre incarichi pubblici e detiene  questi dati solo per lo svolgimento dei propri compiti istituzionali.
  • In secondo luogo perché, come affermato dal Garante in più occasioni, i partiti, le liste o i singoli candidati non possono utilizzare indirizzi di posta elettronica senza il consenso specifico e informato dei destinatari. Consenso che, nel caso in esame,  non risulta acquisito, come non risulta che i destinatari siano stati informati sull’uso che veniva fatto dei loro dati.

Con un autonomo procedimento l’Autorità provvederà a verificare i presupposti per l’applicazione della sanzione amministrativa prevista per l’omessa informativa e la  mancata acquisizione del consenso.

Tlc, no alla pesca a strascico sul web per formare gli elenchi telefonici

DatabaseIl Garante blocca un sito che trattava in modo illecito i dati di oltre 12 milioni di persone: no ai software che “pescano” on line in maniera sistematica e indiscriminata dati e informazioni per realizzare elenchi telefonici.

Le società che intendono costituire questo tipo di pubblicazione, cartacea o on line, devono utilizzare il data base unico (dbu), l’archivio elettronico che raccoglie  numeri di telefono e altri dati dei clienti di tutti gli operatori nazionali di telefonia fissa e mobile.

In alternativa,  devono acquisire il consenso libero, informato, specifico per ogni finalità che si intende perseguire (come la consultazione on line dell’elenco o la “ricerca inversa” delle generalità di un abbonato attraverso il numero di telefono).

 
Questi principi sono stati ribaditi dal Garante privacy che ha dichiarato illecito e ha vietato ad una società la formazione e la diffusione on line di un elenco telefonico contenente dati di oltre 12.500.000 persone non raccolti dal dbu ma da altri siti web (mediante web scraping) senza il consenso degli utenti. I dati trattati in modo illecito dovranno essere cancellati dalla società.
 
Le numerose segnalazioni pervenute all’Autorità lamentavano la diffusione sul sito della società di un elenco telefonico on line contenente vari dati personali (nome e cognome, indirizzo, recapito telefonico, a volte anche utenze riservate, numero di cellulare o indirizzo email) raccolti senza consenso. Alcuni segnalanti, inoltre, associavano la ricezione di telefonate promozionali indesiderate alla messa a disposizione dei propri dati sul sito. Dagli accertamenti effettuati è emerso che la società gestiva un sito in cui aggregava e rendeva disponibili i numeri di telefonia fissa e altri dati personali raccolti in maniera automatica e sistematica attraverso script  lanciati direttamente sulle fonti web acquisendone i contenuti (web scraping).
Gli script, come affermato dalla società, erano impostati in modo tale da raccogliere qualsiasi informazione pubblicata su fonti web accessibili a tutti, per poi metterla a disposizione degli utenti del sito della società.
 
Nel disporre il divieto il Garante ha riaffermato le regole sulla formazione degli elenchi telefonici  e ha ritenuto la pubblicazione on line di un elenco telefonico non tratto dal dbu e senza il consenso degli interessati un trattamento particolarmente invasivo per l’agevole reperibilità dei dati anche mediante i più comuni motori di ricerca e per la possibilità che essi possano essere utilizzati anche per ulteriori trattamenti (ad es. marketing indesiderato).
 
L’Autorità sta valutando l’applicazione di una sanzione amministrativa per gli illeciti commessi dalla società.

Il datore di lavoro non può spiare le mail dei dipendenti

mail-dicembreI lavoratori devono essere informati. Il datore di lavoro non può spiare le mail
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
(“L’Huffington Post”, 13 gennaio 2016)

Ma davvero, da oggi, i lavoratori europei potranno essere spiati dai loro datori di lavoro? La sentenza del 12 dicembre della Corte europea dei diritti umani sancisce la fine della privacy in ambito lavorativo?

È bene chiarirlo: assolutamente no.

La sentenza di ieri decide il ricorso di un ingegnere romeno licenziato per inadempimento contrattuale, provato anche dall’utilizzo per fini personali, in orario di lavoro, della mail aziendale. Con la pronuncia, la Corte si è limitata a ritenere non irragionevole il bilanciamento tra privacy dei dipendenti ed esigenze datoriali, affermato dalla giurisdizione romena.

E questo perché:

  1. l’azienda aveva informato i dipendenti delle condizioni d’uso della mail aziendale, che non ne consentivano l’utilizzo per fini personali. Ragione, questa, che avrebbe quindi ridotto l’aspettativa di riservatezza riposta dai lavoratori rispetto alle loro comunicazioni via e-mail;
  2. il monitoraggio delle mail è stato limitato nel tempo e nell’oggetto, nonché strettamente proporzionato allo scopo di provare l’inadempimento contrattuale del lavoratore (desunto da altri elementi), la cui scarsa produttività aveva determinato e legittimato il licenziamento;
  3. l’accesso alle e-mail del lavoratore da parte datoriale è stato legittimo proprio perché fondato sul presupposto della natura professionale del contenuto delle comunicazioni (come da contratto avrebbe dovuto essere);
  4. l’identità degli interlocutori del lavoratore non è stata rivelata in sede giurisdizionale;
  5. l‘azienda non ha avuto accesso ad altri documenti archiviati sul computer del lavoratore; il contenuto delle comunicazioni non è stato oggetto di sindacato da parte datoriale nel giudizio, ma soltanto il carattere personale delle mail inviate nell’orario di lavoro, con conseguente riduzione della produttività del dipendente;
  6. il dipendente non ha motivato la ragione dell’utilizzo della mail aziendale per fini personali.

La Corte ha dunque riaffermato, nel caso concreto, che i controlli datoriali sull’attività lavorativa sono ammissibili soltanto nella misura in cui siano strettamente proporzionati e non eccedenti lo scopo di verifica dell’adempimento contrattuale.

Essi devono essere inoltre:

  • limitati nel tempo e nell’oggetto;
  • mirati (dunque non massivi);
  • fondati su presupposti (quali in particolare l’inefficienza dell’attività lavorativa del dipendente) tali da legittimarne l’esecuzione.

Infine, devono essere già previsti dalla policy aziendale, di cui il dipendente deve essere adeguatamente edotto.

Questa valutazione è in linea con la Raccomandazione sulla protezione dei dati in ambito lavorativo, approvata il 1° aprile scorso dallo stesso Consiglio d’Europa, che in particolare auspica:

  • la minimizzazione dei controlli difensivi o comunque rivolti agli strumenti elettronici;
  • l’assoluta residualità dei monitoraggi, con appositi sistemi informativi, sull’attività e il comportamento dei lavoratori in quanto tale.

Ed è in linea con la giurisprudenza italiana e con gli stessi principi affermati dal Garante, in particolare con le Linee guida del 2007.

Con questo provvedimento si è prescritto al datore di lavoro di informare i lavoratori:

  • delle condizioni di utilizzo della mail aziendale (e anche della stessa rete, in orario di lavoro o comunque con gli strumenti messi a disposizione dal datore),
  • dei controlli che il datore di lavoro si riserva di effettuare per fini legittimi, nonché
  • delle eventuali conseguenze disciplinari suscettibili di derivare dalla violazione di tali regole.

Principi che restano validi anche dopo la riforma dei controlli datoriali operata dal Jobs Act e anche rispetto agli strumenti di lavoro che, pur sottratti alla procedura concertativa, restano comunque soggetti alla disciplina del Codice privacy.

E, in particolare, ai principi ribaditi proprio dalla Corte europea dei diritti umani con la sentenza di ieri, di:

  • necessità,
  • finalità,
  • legittimità e correttezza,
  • proporzionalità e non eccedenza del trattamento,  
  • previa informativa del lavoratore,
  • divieto di profilazione.

Come abbiamo avuto modo di affermare in sede di audizione, dinanzi alle Commissioni parlamentari, sullo schema di decreto legislativo attuativo del Jobs Act in questa materia, sarà proprio il rispetto dei principi del Codice privacy il principale argine a un utilizzo pervasivo dei controlli sul lavoro.

E questo, anche in assenza delle modifiche che le Commissioni parlamentari, in conformità alle indicazioni da noi rese in audizione, avevano suggerito al Governo di apportare al testo del decreto per rafforzare le garanzie dei lavoratori, pur nel rispetto delle legittime esigenze datoriali.

Il Jobs Act

Dunque, anche dopo il Jobs Act, i controlli datoriali devono comunque essere improntati a gradualità nell’ampiezza e nella tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie e comunque all’esito dell’esperimento di misure preventive meno limitative dei diritti dei lavoratori.

E così, ad esempio, ove il datore di lavoro riscontrasse la presenza di virus sui pc aziendali, dovrebbe dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati.

Prevenire

Del resto, come il Garante ha affermato in più occasioni, il datore di lavoro è tenuto all’individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell’adozione di filtri per il blocco dell’accesso a determinati siti o del download di alcuni file.

E non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l’analisi occulta di computer portatili affidati in uso.

Privacy By Design

In questa prospettiva, assai utile può essere l’adozione di una soluzione di privacy-by-design, ovvero la progettazione degli stessi strumenti mediante i quali effettuare i controlli in modo da minimizzare, fino ad escludere, il rischio di controlli invasivi o comunque di incisive limitazioni della riservatezza di chi a quei controlli possa essere sottoposto.

Ed è significativo che tali soluzioni siano valorizzate dal nuovo Regolamento Ue sulla protezione dati, che delinea il nuovo quadro giuridico europeo in una materia, come questa, su cui si giocano le sfide più importanti per le nostre democrazie.

E-commerce, no alla profilazione senza consenso

طراحی-سایت-تجاریVietato ad una società l’uso dei dati di oltre 300mila persone per l’invio di newsletter personalizzate

No alla profilazione senza consenso di gusti e abitudini dei clienti per l’invio di newsletter personalizzate. Lo ha affermato il Garante privacy in un Provvedimento con cui  ha vietato ad una società di e-commerce l’illecito trattamento dei dati di oltre 300 mila persone.

La società – una delle più importanti nella fornitura on line di biglietti  per spettacoli teatrali,  manifestazioni sportive, concerti e nell’e-commerce di prodotti anche di marchi celebri –  non potrà più utilizzare i dati trattati in modo illecito.

Dagli accertamenti ispettivi svolti dall’Autorità è emerso che la società raccoglieva dati personali attraverso tre siti, di cui uno operativo in più lingue straniere destinato ad utenti di paesi Ue ed Extra Ue. Il consenso richiesto, però, era  preselezionato e unico per varie finalità, comprese quelle di marketing e comunicazione dei dati ad altre società, sempre per scopi commerciali.

Una procedura  contraria alla normativa, anche se l’utente poteva deselezionare il consenso e procedere alla registrazione al sito.

La società, inoltre, svolgeva, sempre senza consenso, un’attività di profilazione utilizzando un software per  l’invio di newsletter personalizzate, “create” elaborando i dati relativi agli ordini dei clienti o anche ai prodotti inseriti nel carrello il cui ordine non era stato finalizzato.

La società peraltro non aveva provveduto ad adempiere all’obbligo di notificazione al Garante previsto dal Codice per l’attività di profilazione, né aveva stabilito alcun tempo di conservazione dei dati personali raccolti tramite i siti.

Il Garante  ha dunque disposto il divieto di uso dei dati dei clienti acquisiti illecitamente e ha  prescritto alla società  di adottare, entro sessanta giorni, le misure necessarie per mettersi in regola con le disposizioni del Codice privacy.

La società dovrà, in particolare:

  • integrare l’informativa indicando le aziende o le categorie economiche o merceologiche alle quali intende comunicare i dati per le loro finalità promozionali;
  • informare i soggetti, ai quali i dati sono stati già comunicati o ceduti, che non possono utilizzarli senza aver prima acquisito il consenso degli interessati.

La società dovrà, infine:

  • prevedere tempi di conservazione dei dati e,
  • alla scadenza, provvedere all’immediata cancellazione o alla  anonimizzazione permanente.

Dossier sanitario: stop agli accessi indiscriminati ai dati dei pazienti

DSENo all’accesso indiscriminato al dossier sanitario elettronico. I dati devono essere accessibili solo ai professionisti sanitari che assistono in quel momento il paziente e solo per il tempo necessario alla cura.

I principi, già affermati in casi analoghi, sono stati ribaditi dal Garante privacy con un provvedimento [doc. web n. 4449114] in cui ha dettato all’Azienda Usl 11 di Empoli una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.

Il dossier è uno strumento costituito da un organismo sanitario (ospedale, clinica privata) contenente informazioni sullo stato di salute di un  assistito di quella struttura relative ad eventi clinici presenti e passati (es. referti, documentazione sui ricoveri, accessi al pronto soccorso).

Le irregolarità, emerse nel corso di accertamenti ispettivi, riguardavano, in particolare:

  • l’informativa (carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier) e
  • la costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda.

Va ricordato infatti, che il  paziente deve poter scegliere in modo libero e consapevole se far costituire o meno il dossier.

Gli accessi indiscriminati al sistema informatico, inoltre, a differenza di quanto stabilito nelle Linee guida del 2015, permettevano ad ogni medico della struttura di consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda.

L’Azienda – come prescritto dall’Autorità – entro il 31 marzo 2016 dovrà quindi adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti.

Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica).

Il personale amministrativo, invece, potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni.

L’Azienda, infine, dovrà modificare l’informativa, integrandola con tutti gli elementi previsti dalla normativa, necessari per mettere in condizione il paziente di fare scelte consapevoli:

  • sulla costituzione del dossier,
  • sui documenti sanitari da far inserire o escludere e
  • sui diritti che può esercitare.

L’Autorità si è riservata di valutare, con separato provvedimento, gli estremi  per contestare all’Azienda  l’applicazione delle  sanzioni amministrative previste dal Codice privacy.

Videosorveglianza con informativa anche senza registrazione

La ripresa di immagini è sempre videosorveglianza anche se non si fa registrazione e i volti ripresi sono sempre un dato personale, anche se la persona non viene identificata.

La Cassazione (sentenza n. 17440 del 2 settembre 2015) cambia la sua giurisprudenza e fa chiarezza sulle regole generali della videosorveglianza e conferma la sanzione comminata dal garante della privacy a una torrefazione calabrese, che non aveva esposto il cartello informativo previsto per la videosorveglianza.

Nel caso specifico si è trattato di una telecamera:

  • presente all’interno di un negozio,
  • collegata a un monitor sistemato nel soppalco dell’esercizio commerciale,
  • utilizzata dal titolare per sorvegliare l’accesso degli avventori.

La vicenda è stata sanzionata dal Garante della privacy per violazione dell’obbligo di informativa ai sensi dell’articolo 13 del codice della privacy (Dlgs 196/2003).

Il commerciante ha presentato opposizione in cui ha sostenuto che non aveva trattato dati personali e questo perché non c’era la registrazione delle immagini e perché riprendeva le immagini senza poter identificare le persone.
In effetto un orientamento giurisprudenziale risalente al 2009 (sentenza n. 12997 della Cassazione) sosteneva che l’immagine non fosse di per sé un dato personale, senza una didascalia o un sonoro che individuasse la persona.
Questo orientamento è stato accolto dal giudice di primo grado, che ha annullato la sanzione, ritenendo che l’immagine di una persona non potesse essere definita dato personale in assenza di elementi oggettivi che ne consentano una potenziale identificazione.
In particolare, il Tribunale ha valorizzato le modalità e la funzione della videoripresa, finalizzata unicamente a consentire al titolare dell’esercizio di controllare l’accesso di persone sospette nel proprio locale al piano terreno per il tempo in cui lo stesso si trovava nel laboratorio collocato su un soppalco, in assenza di ogni potenziale identificabilità delle persone riprese, peraltro da un apparecchio di non elevata definizione, senza alcuna possibilità di registrazione delle immagini stesse.

Con la sentenza in commento la Cassazione cambia idea, riforma la sentenza di primo grado e sostiene che l’immagine è un dato immediatamente idoneo a identificare la persona, a prescindere dalla sua notorietà.

In particolare, con riferimento all’attività di videosorveglianza senza registrazione, la Cassazione ricorda che il trattamento è legittimo e riporta quanto prescritto dal garante e cioè che «nei casi in cui le immagini sono unicamente visionate in tempo reale, oppure conservate solo per poche ore mediante impianti a circuito chiuso (Cctv), possono essere tutelati legittimi interessi rispetto a concrete ed effettive situazioni di pericolo per la sicurezza di persone e beni, anche quando si tratta di esercizi commerciali esposti ai rischi di attività criminali in ragione della detenzione di denaro, valori o altri beni (ad esempio gioiellerie, supermercati, filiali di banche, uffici postali)».

Il trattamento è legittimo, ma proprio per questo è soggetto all’obbligo dell’informativa.
E in caso di violazione di questo obbligo scatta la sanzione amministrativa pecuniaria prevista dall’articolo 161 del codice della privacy.