Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy

internet bankingPer combattere i furti di identità o le frodi nell’internet banking, una banca potrà analizzare informazioni biometrico-comportamentali dei clienti, quali la pressione sul touch screen o i movimenti del mouse,  in occasione della loro “navigazione” nell’area privata del proprio sito web.

Il sistema, sottoposto al Garante della privacy per una verifica preliminare [doc. web n. 5252271], si propone di innalzare i livelli di tutela attualmente previsti (come password per l’accesso al conto corrente on line, oppure one time password per bonifici e altre operazioni) con nuove modalità di “identificazione” dell’utente.

Per raggiungere tale obiettivo, l’istituto di credito ha chiesto a un partner tecnologico di generare profili univoci dei propri clienti basati sull’analisi del loro comportamento durante le operazioni svolte nell’area riservata del sito di internet banking.

La società, in una prima fase, raccoglie informazioni su azioni spontanee dell’utente, come i movimenti del mouse (incluse reazioni inconsce a “interferenze” prodotte appositamente dal sistema), la pressione del dito su schermi tattili, oppure la velocità di digitazione sulla tastiera. Tali dati biometrici sono combinati con altre informazioni relative alla tecnologia usata per collegarsi (pc, tablet, smartphone), come i parametri del sistema operativo e del browser di navigazione.

Ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a comparare le caratteristiche della sua navigazione sul sito con quelle associate al profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.

Il Garante ha riconosciuto l’importanza delle finalità perseguite dalla banca a garanzia della sicurezza dei servizi on-line ma, proprio per la delicatezza dei dati personali trattati, ha vincolato l’attivazione del nuovo sistema alla rigorosa osservanza delle misure individuate a tutela della privacy degli interessati.

La banca, ad esempio, potrà attivare il sistema di verifica biometrico-comportamentale solamente su base volontaria, dopo aver fornito al cliente una completa informativa e averne ottenuto lo specifico consenso.

Dovrà inoltre valutare con attenzione l’effettiva pertinenza e non eccedenza di tutti i “dati di navigazione” astrattamente utilizzabili, configurando il sistema in modo tale da acquisire e trattare, fin dall’inizio, solo quelli strettamente necessari all’esecuzione del servizio.

Il partner tecnologico:

  • non avrà accesso alle schede anagrafiche dei clienti dell’istituto di credito in modo tale da non poter risalire alla loro identità e, in ogni caso,
  • non potrà interconnettere i profili comportamentali con le informazioni contenute in altre banche dati, così da scongiurare il rischio di trattamenti illeciti.

Sono state inoltre definite precise misure di sicurezza e limiti ai tempi di conservazione dei dati raccolti per la fornitura del servizio, garantendo comunque gli adempimenti previsti da specifiche normative di settore e la tutela di eventuali diritti in sede giudiziaria.

Mobile payment: scattano gli obblighi imposti dal Garante privacy

images1° aprile 2015

Da oggi più tutele per i consumatori e regole certe per le società del settore 

Tempo scaduto per le società che operano nel settore del mobile payment per adeguarsi alle prescrizioni dettate dal Garante privacy.

Come anticipato nel SMPost Pagamenti con smartphone e tablet: più tutele per gli utenti, da oggi, mercoledì 1° aprile 2015, le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare, le società che forniscono l’interfaccia tecnologica, le aziende che offrono contenuti digitali e servizi, nonché tutti gli altri soggetti coinvolti nella transazione (come quelli che consentono, anche tramite app, l’accesso al mercato digitale) dovranno essere in regola con il Provvedimento generale varato dal Garante privacy nel maggio 2014.

Grazie alle nuove regole, chi usufruisce dei servizi di pagamento da remoto, utilizzando smartphone, tablet, pc, potrà acquistare in sicurezza prodotti e servizi digitali, abbonarsi a quotidiani on line, comprare e-book, video e giochi.

Da oggi, quindi:

  • gli utenti che acquistano beni digitali dovranno essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto;
  • i loro dati (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento) potranno essere conservati al massimo per 6 mesi e non potranno essere usati per altre finalità, come l’invio di pubblicità o analisi delle abitudini senza uno specifico consenso;
  • l‘indirizzo IP degli utenti dovrà essere cancellato dal venditore una volta terminata la procedura di acquisto.

Precise misure di sicurezza dovranno essere adottate per:

  • garantire la riservatezza delle persone e
  • impedire l’integrazione delle diverse tipologie di dati a disposizione dell’operatore telefonico (dal consumo telefonico ai dati sul consumo di beni digitali) a fini di profilazione “incrociata” dell’utenza a meno che non venga espresso uno specifico consenso informato dell’utente.

I venditori a garanzia della riservatezza delle transazioni dei clienti, potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.

 

Privacy e videosorveglianza: no alle telecamere negli spogliatoi aziendali

portierato ferraraLegittima l’aspettativa di riservatezza dei lavoratori: un’azienda non potrà installare le  telecamere all’interno degli spogliatoi dei dipendenti.

Lo ha ribadito il  Garante della privacy [doc. web n. 3325380] che ha respinto la richiesta di una società di attivare un sistema di videosorveglianza che avrebbe violato la legittima aspettativa di intimità e la dignità dei lavoratori.

L’Azienda

L’azienda metalmeccanica riteneva la misura necessaria per arginare le “numerose e ripetute segnalazioni di effrazioni negli spogliatoi”, che l’avevano già  indotta a rafforzare gli armadietti, dotandoli di lucchetti, e a installare una telecamera all’ingresso degli spogliatoi.

Alla richiesta presentata al Garante, la società aveva anche allegato:

  • alcune denunce di furti avvenuti negli ultimi due anni, nonché
  • un accordo raggiunto con i sindacati aziendali che secondo l’impresa avrebbe consentito l’estensione dell’attuale impianto di videosorveglianza all’interno degli spogliatoi.

Il Garante

Nel vietare l’attuazione del progetto, il Garante ha ritenuto che l’installazione delle  telecamere negli  spogliatoi dei dipendenti non fosse conforme alle norme sulla protezione dei dati personali.

Il sistema, infatti, era configurato in modo tale da prevedere espressamente il minuzioso controllo dell’intera area adibita a spogliatoio, senza alcuna limitazione all’angolo di ripresa, in una zona connotata, invece, da una particolare aspettativa di riservatezza e di tutela della intimità e dignità della persona.

L’azienda, inoltre, non aveva motivato l’inutilità delle misure di sicurezza già adottate (rafforzamento degli armadietti, telecamera all’ingresso degli spogliatoi) e anche le denunce, presentate a sostegno del progetto,  riguardavano furti avvenuti in altre aree dell’azienda e al di fuori dell’orario di lavoro.

Il progetto, per giunta, non rispettava neppure l’accordo raggiunto con i sindacati né per quanto riguarda i luoghi di installazione delle telecamere né, ad esempio, per i tempi di conservazione delle immagini.

Pagamenti con smartphone e tablet: più tutele per gli utenti

o2wallet-awards2Al via le nuove regole del Garante privacy: tutele per i minori, profilazione solo con consenso, dati protetti

Maggiori tutele per gli utenti che decideranno di effettuare acquisti di beni e servizi digitali utilizzando nuove forme di pagamento elettronico. Regole certe per le società del settore.

Il Garante privacy ha definitivamente adottato il Provvedimento [doc. web n. 3161560] (pubblicato ieri, 16 giugno 2014, sulla Gazzetta Ufficiale), che disciplina il trattamento dei dati personali di chi usufruisce dei cosiddetti servizi di mobile remote payment, utilizzando smartphone, tablet, pc, stabilendo un primo quadro organico di regole in grado di assicurare la protezione dei dati senza penalizzare lo sviluppo del mercato digitale.

Grazie alle nuove regole, che tengono conto anche delle indicazioni pervenute in sede di consultazione pubblica, gli utenti telefonici, sia in abbonamento sia con carta prepagata, potranno acquistare in sicurezza servizi, abbonarsi a quotidiani on line, comprare e-book, video e giochi con il proprio telefono o altri strumenti elettronici. I dati personali acquisiti per la transazione (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento) non potranno poi essere usati per altre finalità, come l’invio di pubblicità o analisi delle abitudini, senza lo specifico consenso degli utenti, e dovranno essere adeguatamente protetti dai rischi di uso fraudolento.

Le misure a tutela della privacy dovranno essere adottate da tutti i soggetti coinvolti nella fornitura del servizio di micropagamento:

  • gli operatori di comunicazione elettronica (ovvero le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare),
  • gli aggregatori (le società che forniscono l’interfaccia tecnologica),
  • i venditori (le aziende che offrono contenuti digitali e servizi);
  • nonché tutti gli altri soggetti eventualmente coinvolti nella transazione (come quelli che consentono, anche tramite apposite app, l’accesso al mercato digitale).

Ecco, in sintesi, le prescrizioni del Garante.

Informativa
Gli utenti dovranno essere informati sulle modalità di trattamento effettuato sui loro dati sin dalla sottoscrizione o adesione al servizio di pagamento da remoto.

Consenso
Le società non dovranno richiedere il consenso degli utenti per il trattamento dei dati relativi alla fornitura del servizio di remote mobile payment.

Il consenso è invece obbligatorio per la comunicazione dei dati personali a terzi oppure in caso di loro utilizzo per attività di marketing e profilazione.

Conservazione
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, potranno essere conservati al massimo per 6 mesi. L’indirizzo Ip dell’utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale.

Misure di sicurezza
Operatori, aggregatori e venditori saranno tenuti ad adottare precise misure per garantire la confidenzialità dei dati, quali:

  • sistemi di autenticazione forte per l’acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate;
  • criteri di codificazione dei prodotti e servizi;
  • forme di mascheramento dei dati mediante sistemi crittografici.

Ulteriori misure a tutela della privacy
Dovranno essere adottate misure al fine di impedire l’integrazione delle diverse tipologie di dati a disposizione dell’operatore telefonico (dal consumo telefonico ai dati sull’uso della tv interattiva) e di evitare la profilazione “incrociata” dell’utenza basata su abitudini, gusti e preferenze, a meno che non venga espresso uno specifico consenso informato da parte dell’utente.

I venditori, inoltre, per garantire maggiore riservatezza alle transazioni dei clienti, potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento dei prodotti digitali offerti senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.

Dovranno essere previsti anche accorgimenti tecnici per disattivare servizi destinati ad un “pubblico adulto” e per inibirne l’accesso a minorenni.

Il Garante si riserva di intervenire nuovamente sui servizi di mobile payment tenendo conto di eventuali innovazioni, anche normative, di un settore in continua evoluzione.

Internet: Garante privacy, no ai cookie per profilazione senza consenso

image_gallery (1)In un banner le informazioni all’utente e la possibilità di scegliere quali cookie autorizzare

Stop all’installazione dei cookie per finalità di profilazione e marketing da parte dei gestori dei siti senza aver prima informato gli utenti e aver ottenuto il loro consenso. Chi naviga on line potrà quindi decidere in maniera libera e consapevole se far usare o no le informazioni raccolte sui siti visitati per ricevere pubblicità mirata.

Lo ha stabilito il Garante privacy con un Provvedimento generale [doc. web n. 3118884] pubblicato sulla Gazzetta ufficiale, adottato al termine di una consultazione pubblica,  nel quale ha individuato modalità semplificate per rendere agli utenti l’informativa on line sull’uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge.

Cosa sono i cookie?

I cookie sono piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook) dell’utente, dove vengono memorizzati, per poi essere ritrasmessi agli stessi siti alla visita successiva.

Sono usati per:

  • eseguire autenticazioni informatiche,
  • monitoraggio di sessioni e memorizzazione di informazioni sui siti  (senza l’uso dei cookie “tecnici” alcune operazioni risulterebbero molto complesse o impossibili da eseguire).

Ma attraverso i cookie si può anche monitorare la navigazione, raccogliere dati su gusti, abitudini, scelte personali che consentono la ricostruzione di dettagliati profili dei  consumatori.

“Con questo provvedimento, maturato anche attraverso la consultazione dei vari stakeholder, diventa più facile il rispetto degli obblighi previsti dalla normativa europea” – commenta Antonello Soro, presidente del Garante privacy. “La procedura semplificata consentirà agevolmente ai navigatori di manifestare un consenso davvero libero e consapevole”.

alert-icon-redNuovi obblighi di informazione

Per proteggere la privacy degli utenti e consentire loro scelte più consapevoli, il Garante ha dunque stabilito che, d’ora in poi  quando si accede alla home page o ad un’altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

  1. che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
  2. che il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
  3. un link a una informativa più ampia, con le  indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente  o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
  4. l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link)  si presta il consenso all’uso dei cookie.

Per quanto riguarda l’obbligo di tener traccia del consenso dell’utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l’informativa breve alla seconda visita dell’utente.

L’utente mantiene, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l’informativa estesa, che deve essere linkabile da ogni pagina del sito.

Il modello del banner

A mero titolo di esempio, il Garante ha predisposto il seguente modello di banner disponibile anche sul  sito del Garante

image_gallery

 

 

Biometria: il Garante detta le nuove regole e apre una consultazione

downloadSarà più semplice utilizzare tecnologie biometriche, come quelle per la lettura delle impronte o l’analisi della firma, per controllare accessi, per autenticarsi o per sottoscrivere documenti informatici. I soggetti pubblici e privati che si atterranno ai limiti e alle rigorose misure di sicurezza individuati dal Garante Privacy potranno infatti procedere direttamente nell’adozione di questi nuovi strumenti senza presentare, caso per caso, richiesta di verifica preliminare.

Con il nuovo provvedimento a carattere generale, l’Autorità ha individuato specifici casi in cui non sarà più necessario effettuare un interpello preventivo per l’adozione di tecnologie biometriche, definendo però un quadro di regole a tutela delle  libertà personali.

Sarà quindi consentito il rilevamento delle impronte digitali:

  • per l’accesso fisico ad aree riservate, oppure
  • per l’attivazione di dispositivi elettromeccanici ed elettronici.

Le impronte e la topografia della mano potranno essere usate anche per “usi facilitativi” (come, ad esempio, accesso banche e biblioteche), ma solo con il consenso degli interessati e purché siano garantite modalità alternative per chi non vorrà usare strumenti biometrici.

Potrà essere adottata senza interpello anche la firma grafometrica per la sottoscrizione di documenti informatici. Non si potranno, invece, realizzare archivi biometrici centralizzati o utilizzare i dati per finalità diverse da quelle specificate.

Logo-Garante-PrivacyL’Autorità ha inoltre messo a punto delle Linee-guida in materia di riconoscimento biometrico e firma grafometrica nelle quali vengono:

  • analizzati i vari tipi di trattamento biometrico esistenti, inclusi quelli per i quali permane l’obbligo delle verifica preliminare (lettura dell’iride o del tracciato venoso, riconoscimento facciale etc.) e
  • individuate, per ciascuna di queste tipologie, le modalità con cui possono essere trattati i dati e le specifiche misure di sicurezza, oltre a quelle già previste dal Codice della Privacy, che occorre adottare caso per caso.

Particolare attenzione viene rivolta dal Garante alla messa in sicurezza delle tecnologie mobili (come tablet o pc) che potrebbero più facilmente essere compromesse o smarrite.

Ogni eventuale violazione o perdita di dati biometrici dovrà, tra l’altro, essere tempestivamente comunicata al Garante per gli opportuni interventi a tutela delle persone.

yourvoice_defData la particolare delicatezza del tema, prima del varo definitivo del provvedimento e delle linee guida, l’Autorità ha deciso di sottoporre i testi a una consultazione pubblica.

Soggetti interessati, associazioni di categoria degli imprenditori e dei consumatori, università, centri di ricerca, potranno far pervenire contributi e osservazioni al Garante per posta o attraverso la casella di posta elettronica appositamente attivata: consultazione.biometria@gpdp.it

Utenti al riparo dalle telefonate “mute” 

support_help_talk-512Varate le regole contro il telemarketing più invasivo: utenti telefonici più tutelati contro le “telefonate mute”, un fenomeno particolarmente fastidioso causato da un’attività di promozione telefonica poco rispettosa della tranquillità degli utenti.

A conclusione della consultazione pubblica [doc. web n. 2740497] avviata lo scorso anno sulle misure da adottare per ridurre drasticamente questo fenomeno, il Garante privacy ha varato in via definitiva il provvedimento generale [doc. web n. 3017499] che impone agli operatori di telemarketing di adottare specifiche misure per ridurre drasticamente questo tipo di disturbo.

Sono stati numerosi gli abbonati che hanno segnalato al Garante la ricezione di telefonate nelle quali, una volta risposto, non si viene messi in contatto con alcun interlocutore.

Una pratica che, in alcuni casi, ha comportato il disturbo degli utenti anche  per 10-15 volte di seguito e che viene spesso vissuta dagli utenti addirittura come una forma di stalking, fino a configurarsi come un vero e proprio allarme sociale.

Come messo in luce dalle verifiche effettuate dall’Autorità, il problema deriva dalle impostazioni dei sistemi centralizzati di chiamata dei call center, rivolte a massimizzare la produttività degli operatori.

Per eliminare tempi morti tra una telefonata e l’altra, infatti, il sistema genera in automatico un numero di chiamate superiore agli operatori disponibili. Queste chiamate, una volta ottenuta risposta, possono essere mantenute in attesa silenziosa finché non si libera un operatore. Il risultato è appunto una “chiamata muta”, che può indurre comprensibili stati di ansia, paura e disagio nei destinatari.

alert-icon-redEcco dunque le regole fissate dal Garante per eliminare gli effetti distorsivi di questa pratica commerciale, senza penalizzare l’efficienza delle imprese di telemarketing:

  1. i call center dovranno tenere precisa traccia delle “chiamate mute”, che dovranno comunque essere interrotte trascorsi 3 secondi dalla risposta dell’utente;
  2. non potranno verificarsi più di 3 telefonate “mute” ogni 100 andate “a buon fine”. Tale rapporto dovrà essere rispettato nell’ambito di ogni singola campagna di telemarketing; 
  3. l’utente non potrà più essere messo in attesa silenziosa, ma il sistema dovrà generare una sorta di rumore ambientale, il cosiddetto “comfort noise” (ad es. con voci di sottofondo, squilli di telefono, brusio), per dare la sensazione che la chiamata provenga da un call center e non da un eventuale molestatore;
  4. l’utente disturbato da una chiamata muta non potrà essere ricontattato per 5 giorni e, al contatto successivo, dovrà essere garantita la presenza di un operatore;
  5. i call center saranno tenuti a conservare per almeno due anni i report statistici delle telefonate “mute” effettuate per ciascuna campagna, così da consentire eventuali controlli.

Gli operatori di telemarketing hanno sei mesi di tempo per mettersi in regola e adottare le misure prescritte dall’Autorità.

Speciale Aggiornamento Privacy 2014

alert-icon-redChi deve aggiornare il Modello Privacy?

Tutti i Titolari di trattamento devono, almeno una volta all’anno, aggiornare il Modello Privacy adottato.

 

Mapping artworkA chi si applica il Codice Privacy (DLgs 196/2003)?
 
Il Codice si applica a tutti i soggetti che effettuano trattamenti di dati personali individuati in base al Principio di stabilimento del soggetto o degli strumenti del trattamento.
Per la precisione, l’Art.  5 del Codice dispone che è soggetto alla disciplina del DLgs 196/2003:
  • chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato,
  • chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea.

privacy-policy-800-shutterstock-114908371Come adempiere l’obbligo di aggiornamento?

Gli adempimenti finalizzati all’aggiornamento annuale del Sistema privacy aziendale sono previsti dal DLgs 196/2003 e dal suo Allegato B (Disciplinare Tecnico in materia di misure minime di sicurezza) e presidiati da sanzioni che vanno da un minimo di 10.000 € ad un massimo di 120.000 €.
Almeno annualmente, ogni Titolare deve:
  • Verificare le attività
 degli Amministratori di Sistema: l’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei Titolari del trattamento o dei Responsabili, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
  • Verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione;
  • Aggiornare l’elenco di “chi fa cosa” (Incaricati e Responsabili trattamento);
  • Programmare gli interventi formativi;
  • Aggiornare le Informative complete: le notizie da indicare per legge devono essere aggiornate, specificando la data dell’ultimo aggiornamento.

 

imagesIl Nostro Documento: APA2014 (Aggiornamento Privacy Annuale)

Studio Mazzolari, dopo l’abolizione del DPS, ha messo a punto un nuovo Documento denominato APA, acronimo di Aggiornamento Privacy Annuale, al fine di garantire la compliance dei propri Clienti alla normativa di riferimento. 
L’APA, da conservare nel Fascicolo Privacy Aziendale, è così suddiviso:
  1. Elenco dai trattamenti effettuati
  2. Mansionario Privacy
  3. Incaricati e trattamenti effettuati
  4. Archivi e Database di riferimento
  5. Incaricati alla custodia degli Archivi ad accesso controllato
  6. Incaricati e archivi/database di accesso
  7. Responsabili del trattamento
  8. Verifica dell’attività degli Amministratori di Sistema
  9. Verifica dell’aggiornamento della Privacy policy online
  10. Programmazione degli Interventi formativi.

download_large

Scarica il nostro Modello APA2014

 

 

Il Garante privacy fissa le regole per partiti e movimenti politici

Elezioni-Europee-2014-634x396Partiti e movimenti politici più trasparenti sull’uso dei dati personali di iscritti, simpatizzanti, partecipanti alle “primarie”, semplici cittadini. Cittadini informati e messi in condizione di esercitare agevolmente i loro diritti.

Con un intervento a carattere generale il Garante per la privacy ha fissato un quadro organico di regole per la tutela della riservatezza in un ambito delicato e cruciale come quello dei partiti politici.

Queste, in sintesi, le regole alle quale le formazioni politiche dovranno attenersi nello svolgimento della loro normale attività e non solo in occasione degli appuntamenti elettorali.

 

Uso dei dati di aderenti e cittadini che hanno contatti regolari con i partiti

Partiti, movimenti, comitati per le “primarie” possono utilizzare senza consenso i dati di aderenti o di cittadini con cui intrattengono contatti regolari, purché gli scopi che intendono raggiungere siano individuati nello statuto o nell’atto costitutivo.

Serve invece il consenso scritto per comunicare i dati all’esterno (ad. es., ad altri partiti appartenenti alla stessa coalizione) o per diffonderli. La stessa regola vale per i comitati di promotori o sostenitori che devono avere il consenso degli aderenti per comunicare i dati a terzi.

 

Uso dei dati di simpatizzanti e partecipanti a singole iniziative

I dati personali raccolti in occasione di petizioni, proposte di legge, richieste di referendum possono essere utilizzati ed eventualmente comunicati e diffusi solo con il consenso scritto dei cittadini e a condizione che abbiano ricevuto una informativa dettagliata. Stessa regola vale per la comunicazione a terzi e la diffusione dei dati di coloro che erogano finanziamenti e contributi, salvo i casi previsti dalla legge (ad es. obbligo per i partiti di tramettere alla Presidenza della Camera dei deputati l’elenco dei propri sovventori).

 

Informativa chiara e puntuale: predisposto anche un modello dal Garante

L’informativa deve essere resa al momento dell’adesione al partito o al movimento politico o prima della raccolta dei dati  in occasione  di singole iniziative (petizioni, proposte di legge, referendum). Nell’informativa devono essere indicate le finalità della raccolta dei dati, l’ambito di circolazione all’interno del partito o del movimento e l’eventuale possibilità di comunicazione all’esterno. Per agevolare il compito il Garante ha predisposto e messo a disposizione il seguente modello di informativa agile e di immediata comprensione.

INFORMATIVA

(art. 13 del Codice in materia di protezione dei dati personali)

“I dati da Lei conferiti (per es. all’atto dell’iscrizione al partito, della sottoscrizione di una petizione) saranno utilizzati, anche con strumenti informatici, da (indicare il titolare e l’/gli eventuale/i co-titolare/i del trattamento) a fini di (indicare le specifiche finalità) e non saranno comunicati a terzi o resi a loro conoscibili (in alternativa, indicare sinteticamente i soggetti o le categorie di soggetti destinatari dei dati, nell‘eventuale veste di responsabili o di autonomi titolari), né diffusi (in alternativa, specificare l’ambito della diffusione).

Il conferimento dei Suoi dati è (specificare se obbligatorio o facoltativo) ed un Suo eventuale rifiuto potrebbe (specificare le conseguenze, es. compromettere l’espletamento di determinate attività).

Le ricordiamo che potrà esercitare i diritti di cui all’art. 7 del Codice (es. accedere in ogni momento ai Suoi dati, chiederne l’origine, l’aggiornamento, la rettificazione, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge) rivolgendosi a (indicare le coordinate del titolare o del responsabile, ove designato, per il riscontro all’interessato in caso di esercizio dei diritti di cui all’art. 7).

L’elenco aggiornato dei responsabili del trattamento, è disponibile presso (indicare il sito web o le modalità per prenderne conoscenza)”.

 

Garanzie per i cittadini e misure di sicurezza

L’iscritto, l’aderente, il semplice cittadino, chi sovvenziona il partito o il movimento ha diritto di accedere ai propri dati personali, ad aggiornarli o rettificarli; può conoscere i soggetti cui possono essere comunicati, e opporsi, in ogni momento, alla ricezione di materiale elettorale.

 

Regole per la propaganda elettorale

Confermate in massima parte le regole già stabilite per precedenti consultazioni elettorali:

  • utilizzabili liberamente le liste elettorali;
  • serve il consenso per sms, e-mail, mms, telefonate preregistrate e fax;
  • non possono essere mai utilizzati gli archivi dello stato civile, l’anagrafe dei residenti, le liste elettorali già utilizzate nei seggi o in cui vi siano dati annotati dagli scrutatori.

Nel caso in cui si avvalgano di  società che forniscono liste di nominativi o servizi di propaganda elettorale, i partiti hanno l’obbligo di verificare il corretto trattamento dei dati.

In un’ottica di semplificazione e contemperamento degli interessi, l’Autorità ha esonerato in via definitiva partiti, movimenti, comitati e singoli candidati, che fanno propaganda elettorale utilizzando fonti pubbliche (ad es. le liste elettorali), dall’obbligo di rendere l’informativa dal sessantesimo giorno precedente la data delle consultazioni politiche, amministrative, referendarie o delle “primarie” al sessantesimo giorno successivo. Nel materiale inviato dovrà essere comunque indicato un recapito per l’esercizio dei diritti riconosciuti dal Codice privacy.