Cure odontoiatriche, stop alle telefonate indesiderate

sfondo_call_center6Bloccato un database con circa un milione di utenze fisse e mobili

Il Garante privacy ha vietato [doc. web n. 6629169] a due società che operano nel settore sanitario odontoiatrico l’ulteriore trattamento a fini di telemarketing di circa un milione di utenze telefoniche fisse e mobili utilizzate senza rispettare la disciplina in materia di privacy.

Le irregolarità sono emerse nel corso delle verifiche effettuate dal Garante presso le società a seguito della segnalazione di alcune persone che avevano ricevuto telefonate indesiderate sul proprio cellulare con le quali si promuovevano visite odontoiatriche gratuite.

Dagli accertamenti è risultato che le società hanno trattato in modo illecito sia i dati acquistati da un fornitore di liste stabilito al di fuori del territorio nazionale, riferiti a circa un milione di utenti, sia quelli tratti da elenchi telefonici pubblici.

Le società, infatti,  non sono state in grado di dimostrare:

  • l’acquisizione del consenso degli interessati,
  • l’effettuazione delle dovute verifiche sul Registro pubblico delle opposizioni per appurare l’iscrizione di eventuali utenti che non volessero ricevere telefonate promozionali,
  • l’esistenza di un’altra base giuridica per l’utilizzo dei dati.

Il Garante, inoltre, ha ritenuto incompleta e poco chiara l’informativa fornita agli utenti che si prenotavano on line e insufficiente il riscontro dato ad un segnalante che chiedeva di conoscere la  provenienza dei suoi dati e al quale sono state fornite informazioni vaghe e non veritiere.

L’Autorità ha quindi vietato alle società l’uso dei numeri di telefono a fini di marketing e ha prescritto loro l’adozione di misure tecniche e organizzative per assicurare agli utenti la piena e tempestiva attuazione dei diritti riconosciuti dal Codice privacy (conoscere l’origine dei dati, le modalità e le finalità del trattamento, aggiornare, rettificare, cancellare i dati).

Le società dovranno adottare idonee misure tecnologiche per consentire agli utenti del sito di manifestare liberamente il proprio consenso e dovranno riformulare il modello di informativa, indicando chiaramente l’ambito di circolazione dei dati e il soggetto cui indirizzare le istanze per l’esercizio dei diritti.

Con autonomo procedimento il Garante si è riservato di contestare sanzioni amministrative per gli illeciti rilevati.

Annunci

Nuovo Regolamento Ue sulla privacy: dal Garante la prima Guida applicativa

ilnuovoregUEPRIVACYIl Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali.

La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.

L’obiettivo della Guida è duplice:

  • da una parte offrire un primo “strumento” di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy;
  • dall’altro far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni tematiche:

  1. Fondamenti di liceità del trattamento;
  2. Informativa;
  3. Diritti degli interessati;
  4. Titolare, responsabile, incaricato del trattamento;
  5. Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
  6. Trasferimenti internazionali di dati.

Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento.

Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre  nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.

Lavoro: geolocalizzazione flotte aziendali, sì con accordo sindacale

Illustration of a map mark icon with a  delivery truckPer i sistemi di geolocalizzazione rimane necessario l’accordo sindacale – come previsto dallo Statuto dei lavoratori – e va garantita la riservatezza dei dipendenti.

Questa la decisione del Garante della privacy [doc. web n. 6275314] in merito alla richiesta di verifica preliminare presentata da una compagnia che offre servizi idrici e assistenza in caso di problemi alla rete.

In base alla documentazione presentata, la localizzazione geografica dei veicoli utilizzati per gli interventi sarà attivata per molteplici scopi come:

  • l’ottimizzazione delle richieste di intervento o delle emergenze,
  • l’innalzamento delle condizioni di sicurezza sul lavoro dei dipendenti,
  • la corretta manutenzione dei veicoli,
  • la tutela del patrimonio aziendale,
  • il calcolo del tempo di lavoro effettivo,
  • la gestione di eventuali incidenti stradali o di sanzioni subite per violazioni del codice della strada.

Nel corso dell’istruttoria l’Autorità ha riconosciuto il legittimo interesse della società a rilevare la posizione dei propri mezzi per le molteplici finalità indicate, ma solo nel pieno rispetto della privacy dai lavoratori.

Visto che tale sistema potrebbe consentire il controllo a distanza dei lavoratori, anche dopo le modifiche introdotte dal cosiddetto Jobs Act, per poterlo attivare dovrà prima essere raggiunto un apposito accordo con le rappresentanze sindacali o, in sua assenza, si dovrà richiedere l’autorizzazione all’Ispettorato nazionale del lavoro.

Dovranno inoltre essere attentamente definite le modalità di raccolta, di elaborazione e di conservazione dei dati di geolocalizzazione e degli altri dati personali, differenziando le tutele in base alla singola finalità perseguita.

Ad esempio, se la società intende avvalersi del sistema di localizzazione per la regolare tenuta del libro unico del lavoro, potrà conservare i dati necessari per cinque anni.

I dati da utilizzare in caso di contestazione di violazione amministrativa con modalità non immediata, invece, potranno essere conservati al massimo per 90 giorni, ovvero il tempo previsto dalla normativa per notificare un eventuale verbale di contestazione.

Al termine del periodo individuato, i dati personali raccolti dovranno essere automaticamente cancellati o anonimizzati.

Deve essere inoltre escluso il monitoraggio dei tracciati percorsi, salvo il possibile trattamento dei relativi dati in forma aggregata o anonima per finalità statistiche e di programmazione del lavoro.

Dovranno essere adottate anche precise misure di sicurezza e l’accesso ai dati trattati dovrà essere consentito al solo personale incaricato, definendo per i dati di geolocalizzazione appositi profili autorizzativi individuali per ogni singolo utente.

La società potrà comunque avviare il trattamento delle informazioni sulla posizione geografica dei veicoli di lavoro solo dopo:

  • aver effettuato la notificazione al Garante e
  • aver fornito un’informativa completa ai dipendenti

Il Garante privacy fissa le regole per partiti e movimenti politici

Elezioni-Europee-2014-634x396Partiti e movimenti politici più trasparenti sull’uso dei dati personali di iscritti, simpatizzanti, partecipanti alle “primarie”, semplici cittadini. Cittadini informati e messi in condizione di esercitare agevolmente i loro diritti.

Con un intervento a carattere generale il Garante per la privacy ha fissato un quadro organico di regole per la tutela della riservatezza in un ambito delicato e cruciale come quello dei partiti politici.

Queste, in sintesi, le regole alle quale le formazioni politiche dovranno attenersi nello svolgimento della loro normale attività e non solo in occasione degli appuntamenti elettorali.

 

Uso dei dati di aderenti e cittadini che hanno contatti regolari con i partiti

Partiti, movimenti, comitati per le “primarie” possono utilizzare senza consenso i dati di aderenti o di cittadini con cui intrattengono contatti regolari, purché gli scopi che intendono raggiungere siano individuati nello statuto o nell’atto costitutivo.

Serve invece il consenso scritto per comunicare i dati all’esterno (ad. es., ad altri partiti appartenenti alla stessa coalizione) o per diffonderli. La stessa regola vale per i comitati di promotori o sostenitori che devono avere il consenso degli aderenti per comunicare i dati a terzi.

 

Uso dei dati di simpatizzanti e partecipanti a singole iniziative

I dati personali raccolti in occasione di petizioni, proposte di legge, richieste di referendum possono essere utilizzati ed eventualmente comunicati e diffusi solo con il consenso scritto dei cittadini e a condizione che abbiano ricevuto una informativa dettagliata. Stessa regola vale per la comunicazione a terzi e la diffusione dei dati di coloro che erogano finanziamenti e contributi, salvo i casi previsti dalla legge (ad es. obbligo per i partiti di tramettere alla Presidenza della Camera dei deputati l’elenco dei propri sovventori).

 

Informativa chiara e puntuale: predisposto anche un modello dal Garante

L’informativa deve essere resa al momento dell’adesione al partito o al movimento politico o prima della raccolta dei dati  in occasione  di singole iniziative (petizioni, proposte di legge, referendum). Nell’informativa devono essere indicate le finalità della raccolta dei dati, l’ambito di circolazione all’interno del partito o del movimento e l’eventuale possibilità di comunicazione all’esterno. Per agevolare il compito il Garante ha predisposto e messo a disposizione il seguente modello di informativa agile e di immediata comprensione.

INFORMATIVA

(art. 13 del Codice in materia di protezione dei dati personali)

“I dati da Lei conferiti (per es. all’atto dell’iscrizione al partito, della sottoscrizione di una petizione) saranno utilizzati, anche con strumenti informatici, da (indicare il titolare e l’/gli eventuale/i co-titolare/i del trattamento) a fini di (indicare le specifiche finalità) e non saranno comunicati a terzi o resi a loro conoscibili (in alternativa, indicare sinteticamente i soggetti o le categorie di soggetti destinatari dei dati, nell‘eventuale veste di responsabili o di autonomi titolari), né diffusi (in alternativa, specificare l’ambito della diffusione).

Il conferimento dei Suoi dati è (specificare se obbligatorio o facoltativo) ed un Suo eventuale rifiuto potrebbe (specificare le conseguenze, es. compromettere l’espletamento di determinate attività).

Le ricordiamo che potrà esercitare i diritti di cui all’art. 7 del Codice (es. accedere in ogni momento ai Suoi dati, chiederne l’origine, l’aggiornamento, la rettificazione, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge) rivolgendosi a (indicare le coordinate del titolare o del responsabile, ove designato, per il riscontro all’interessato in caso di esercizio dei diritti di cui all’art. 7).

L’elenco aggiornato dei responsabili del trattamento, è disponibile presso (indicare il sito web o le modalità per prenderne conoscenza)”.

 

Garanzie per i cittadini e misure di sicurezza

L’iscritto, l’aderente, il semplice cittadino, chi sovvenziona il partito o il movimento ha diritto di accedere ai propri dati personali, ad aggiornarli o rettificarli; può conoscere i soggetti cui possono essere comunicati, e opporsi, in ogni momento, alla ricezione di materiale elettorale.

 

Regole per la propaganda elettorale

Confermate in massima parte le regole già stabilite per precedenti consultazioni elettorali:

  • utilizzabili liberamente le liste elettorali;
  • serve il consenso per sms, e-mail, mms, telefonate preregistrate e fax;
  • non possono essere mai utilizzati gli archivi dello stato civile, l’anagrafe dei residenti, le liste elettorali già utilizzate nei seggi o in cui vi siano dati annotati dagli scrutatori.

Nel caso in cui si avvalgano di  società che forniscono liste di nominativi o servizi di propaganda elettorale, i partiti hanno l’obbligo di verificare il corretto trattamento dei dati.

In un’ottica di semplificazione e contemperamento degli interessi, l’Autorità ha esonerato in via definitiva partiti, movimenti, comitati e singoli candidati, che fanno propaganda elettorale utilizzando fonti pubbliche (ad es. le liste elettorali), dall’obbligo di rendere l’informativa dal sessantesimo giorno precedente la data delle consultazioni politiche, amministrative, referendarie o delle “primarie” al sessantesimo giorno successivo. Nel materiale inviato dovrà essere comunque indicato un recapito per l’esercizio dei diritti riconosciuti dal Codice privacy.