No allo spam elettorale nelle mail dei dipendenti comunali

Concept of sending e-mails from your computerUn candidato non può usare a fini di propaganda elettorale  i dati personali in suo possesso per ragioni istituzionali. È quanto ha ribadito il Garante privacy in un provvedimento con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei dipendenti comunali  nella sua disponibilità ai tempi del suo mandato.

La vicenda risale alle amministrative dello scorso anno, quando una dipendente comunale, aprendo la mail di lavoro,  scopre che l’ex assessore al personale si candida alle elezioni regionali e chiede il suo voto.

La scena si ripete più volte –  probabilmente la stessa mail è stata spedita a tutto il personale comunale – e alcuni dipendenti, che si ritengono lesi nei loro diritti, si rivolgono al Garante per la protezione dei dati personali. I dipendenti segnalano all’Autorità che gli indirizzi mail sono stati acquisiti da un indirizzario di posta elettronica che non è pubblico, essendo ad esclusivo uso interno dell’amministrazione e nella disponibilità dell’ex assessore al personale  in virtù dell’incarico precedentemente ricoperto.

Per questo motivo ritengono che i loro dati personali siano stati trattati in modo non corretto e  in violazione delle regole dettate dal Garante privacy in materia di propaganda elettorale.

Tesi condivisa dall’Autorità che, nell’emettere il provvedimento di divieto, ha ritenuto l’operato dell’ex assessore illecito sotto diversi profili.

  • In primo luogo, perché il trattamento dei dati è avvenuto in violazione del principio di finalità: gli indirizzi mail comunali, infatti, il cui scopo è quello di consentire il contatto per l’assolvimento delle funzioni istituzionali, non possono essere utilizzati per il perseguimento di altre finalità (non compatibili con quelle che ne hanno giustificato la raccolta originaria),  come appunto la propaganda elettorale. Così come non possono essere utilizzati liberamente da chi ricopre incarichi pubblici e detiene  questi dati solo per lo svolgimento dei propri compiti istituzionali.
  • In secondo luogo perché, come affermato dal Garante in più occasioni, i partiti, le liste o i singoli candidati non possono utilizzare indirizzi di posta elettronica senza il consenso specifico e informato dei destinatari. Consenso che, nel caso in esame,  non risulta acquisito, come non risulta che i destinatari siano stati informati sull’uso che veniva fatto dei loro dati.

Con un autonomo procedimento l’Autorità provvederà a verificare i presupposti per l’applicazione della sanzione amministrativa prevista per l’omessa informativa e la  mancata acquisizione del consenso.

Annunci

eDreams: stop alla profilazione dei Clienti

Consenso specifico e distinto obbligatorio per la profilazione dei Clienti.

Per creare profili dei clienti in base ai loro gusti e alle loro abitudini o per utilizzare i loro dati personali a fini di marketing, le aziende devono chiedere un consenso specifico e distinto.

Lo ha ribadito il Garante privacy che, con un provvedimento di cui è stato relatore Mauro Paissan, ha vietato ad eDreams (società specializzata nella prenotazione online di voli, hotel e pacchetti turistici low cost) l’ulteriore trattamento dei dati personali dei clienti.

Dall’attività ispettiva avviata dall’Autorità, intervenuta a seguito della segnalazione di un cittadino che lamentava l’invio ripetuto di e-mail con offerte di viaggi, è emerso che la società, al momento della registrazione sul sito, sottoponeva ai clienti un modulo non conforme alle norme sulla privacy. Nel form di registrazione si poteva barrare, infatti, una sola casella: in questo modo i clienti nel dare il consenso all’uso dei propri dati personali per acquistare biglietti e pacchetti turistici, lo prestavano automaticamente anche per le finalità di profilazione.

La normativa sulla privacy stabilisce, invece, che

la richiesta di consenso non può avere carattere generico: gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei propri dati personali, manifestando un consenso specifico per ciascuna finalità perseguita dal titolare.

Il Garante, oltre a vietare l’ulteriore trattamento dei dati illegittimamente acquisiti, ha prescritto alla società di riformulare il modulo di registrazione al sito, con l’obbligo di garantire ai clienti la possibilità di prestare consensi differenziati.

Fax e email promozionali: illeciti senza consenso

Nella Newsletter del 24 giugno scorso, il Garante ribadisce le regole contro lo spamming

L’Autorità, a seguito di segnalazioni di imprese, enti e singoli cittadini, ha vietato l’ulteriore trattamento di dati personali a quattro società che inviavano pubblicità tramite fax o e-mail senza aver acquisito il consenso preventivo e specifico dei destinatari.

Tre di esse spedivano sistematicamente fax promozionali credendo di poter disporre liberamente dei dati, estratti da elenchi categorici (Pagine Gialle, Pagine Utili, ecc.) o pubblici (ad es. banche dati delle Camere di commercio, albi professionali, ecc.).

Nel quarto caso, un messaggio via mail era stato inviato da una società che aveva rintracciato il recapito del destinatario sul web. La società che aveva effettuato lo spamming, si era considerata libera di poter disporre dei dati di un’altra azienda che si era registrata su un sito fieristico.

Con quattro distinti provvedimenti [doc. web n. 1719901, 1719891, 1727662 e 1729175] il Garante ha riaffermato il principio che,

a prescindere da dove vengano estratti i recapiti, chiunque invii messaggi promozionali mediante sistemi automatizzati (fax, e-mail, sms, mms) è sempre obbligato a raccogliere preventivamente il consenso specifico ed informato dei destinatari.

Il mancato rispetto del divieto, ha ricordato il Garante, comporta le sanzioni amministrative e penali previste dal Codice privacy. Per il risarcimento di eventuali profili di danno le vittime dello spam possono comunque far valere i propri diritti in sede civile.

La battaglia del Garante contro i fax indesiderati incontra tuttavia serissimi ostacoli nella differenza tra le legislazioni degli Stati europei. Diversi sono infatti i Paesi, come ad esempio la Gran Bretagna e la Francia , nei quali la disciplina sulla protezione dei dati personali non garantisce le persone giuridiche e che pertanto impedisce all’Autorità omologa a quella italiana di poter contrastare l’invio di fax senza consenso diretto a ditte, enti o società. Si tratta di un fenomeno che preoccupa l’Autorità italiana perché ne limita la capacità di intervento e dimostra che l’armonizzazione tra le legislazione in materia di protezione dati è ancora incompiuta.

Dati di traffico tlc e Internet: no a conservazione illimitata

Gestori telefonici e internet provider di nuovo sotto la lente del Garante privacy

L’Autorità ha vietato [doc web n. 1695393, 1695368 e 1683093] a tre società che operano nel settore della telefonia e Internet l’uso di dati trattati in modo illecito e ne ha ordinato la cancellazione. Tempi di conservazione dei dati di traffico telefonico  e telematico  superiori al consentito e conservazione di informazioni sui siti visitati dagli utenti alcune delle gravi violazioni emerse nel corso degli accertamenti ispettivi effettuati dall’Autorità.

I dati di traffico telefonico (numero chiamato, data, ora, durata della chiamata, localizzazione del chiamante in caso di cellulare ecc.) e Internet (indirizzi e-mail contattati, data, ora, durata degli accessi alla rete ecc.) non riguardano il contenuto della comunicazione, ma sono comunque particolarmente delicati poiché consentono di ricostruire tutte le relazioni di una persona e le sue abitudini.

Le società dovranno innanzitutto cancellare i dati di traffico telefonico e telematico conservati oltre i tempi previsti dalla normativa italiana per finalità di accertamento e repressione dei reati:

  • ventiquattro mesi per i dati di traffico telefonico;
  • dodici mesi per i dati telematici.

In un caso, i dati di traffico telefonico risalivano addirittura a marzo 1999 e quelli di traffico telematico a giugno 2007. Da cancellare anche tutte le informazioni in grado di rivelare gusti, opinioni, tendenze degli utenti che non avrebbero mai dovuto essere archiviate nei data base (ad esempio, l’oggetto dei messaggi di posta elettronica inviati e ricevuti; i dati personali relativi alla navigazione in Internet, anche quando rappresentati dal solo indirizzo Ip di destinazione). Ad una società è stato prescritto di innalzare i livelli di sicurezza dei flussi informativi con l’autorità giudiziaria e di garantire in modo più adeguato la riservatezza delle informazioni: al posto del fax dovranno essere adottati sistemi di comunicazione sviluppati con protocolli di rete sicuri e strumenti di cifratura basati su firma digitale.

Gli accertamenti disposti dal Garante rientrano nell’ambito di un’azione comune deliberata dalle Autorità di protezione dei dati europee riunite nel Gruppo di lavoro art. 29 e sono volti a verificare l’osservanza, da parte dei fornitori di servizi di comunicazione elettronica,  degli obblighi fissati dalla normativa nazionale in materia di conservazione dei dati di traffico. I fornitori sono stati individuati sulla base di diversi criteri (quota di mercato, tipologia dei servizi forniti, dimensione nazionale o internazionale).

Stop allo spamming via fax

Con la Newsletter 231 del 17 novembre 2009, il Garante per la protezione dei dati personali è intervenuto nuovamente per combattere l’invio di pubblicità indesiderata via fax: dall’inizio del 2009 sono oltre 500 le segnalazioni già pervenute al Garante da cittadini e imprese che denunciano questa tecnica di spam.

Il quadro normativo di riferimento per l’invio di informazioni commerciali senza l’intervento di un operatore è l’art. 130, comma 2 del Dlgs 196/2003, il quale prevede, per l’invio di messaggi mediante telefax il preventivo consenso informato e specifico dell’interessato (opt-in).

Da tenere sempre presente che la garanzia di cui all’art.130 del Codice non può essere elusa inviando un primo messaggio che, nel richiedere il consenso, abbia già un contenuto promozionale (v. Provv. 29 maggio 2003, relativo allo spamming, in www.garanteprivacy.it, doc. web n. 29840);

La Newsletter segue l’ultimo intervento del Garante reativo ad una società alla quale è stato vietato l’ulteriore trattamento di dati personali, utilizzati senza consenso dei destinatari per l’invio di pubblicità indesiderata. L’Autorità ha imposto, inoltre, la cancellazione di tutti i dati personali per i quali non risulti documentata la manifestazione del consenso all’invio di comunicazioni promozionali. La mancata osservanza del provvedimento di divieto espone a sanzioni penali e al pagamento di una somma che va da trentamila a centottantamila euro.

Come altre imprese in precedenza, anche in questo caso la società ha affermato di utilizzare, per gli invii, nominativi estratti da elenchi telefonici “categorici” pubblici (come Pagine Gialle o Pagine Utili). Questo consentirebbe, ad avviso delle imprese, di poter liberamente disporre di quei numeri per comunicazioni promozionali.

Il Garante, al contrario, ha ancora una volta ribadito che l’uso di sistemi automatizzati per inviare messaggi promozionali, come è il fax (ma il discorso vale anche per sms, mms, e-mail, etc.) impone la preventiva acquisizione del consenso informato e specifico da parte dei destinatari, anche quando si tratti di dati estratti da elenchi categorici o da albi.

E-mail e fax indesiderati: nuovo stop del Garante

Continua l’azione del Garante contro lo spamming e il marketing disinvolto. L’Autorità ha vietato l’ulteriore trattamento illecito dei dati personali a cinque società che inviavano pubblicità tramite fax e posta elettronica senza il preventivo consenso degli interessati.

Nella Newsletter del 5 maggio 2009 il Garante è intervenuto a seguito delle segnalazioni di alcuni utenti che continuavano a ricevere e-mail e fax indesiderati nonostante non avessero mai manifestato alcun consenso all’uso dei loro dati per questo scopo.

Precisa, il Garante: anche se i dati sono estratti dalle Pagine Gialle o dai registri pubblici, quando si usano sistemi automatizzati è obbligatorio acquisire prima il consenso dei destinatari. Lo società coinvolte (due inviavano lo spam tramite posta elettronica [doc. web nn. 15971511597146], tre tramite fax [doc. web nn. 159716316015061601475]) in alcuni casi fornivano l’informativa e la richiesta di consenso contestualmente all’invio del primo fax o della prima e-mail che avevano già un contenuto di carattere commerciale.

L’Autorità ha ribadito, invece, che l‘uso di sistemi automatizzati per inviare messaggi promozionali, anche quando si tratti di dati estratti da elenchi categorici o da albi, impone la preventiva acquisizione del consenso da parte dei destinatari.

Alle cinque società è stato dunque vietato l’ulteriore trattamento illecito dei dati degli utenti interessati, i quali non potranno dunque più essere disturbati. La mancata osservanza del divieto del Garante espone anche a sanzioni penali.

Quando il consenso può non essere richiesto?

Il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio a un interessato, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili, può utilizzare i recapiti oltre che di posta elettronica, anche  di posta cartacea forniti dall’interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale.

Le condizioni che le aziende devono soddisfare nel caso vogliano effettuare nuovi trattamenti con finalità di marketing nei confronti dei propri clienti sono:

  • l’attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli oggetto della vendita;
  • l’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente, anche mediante l’utilizzo della posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi l’interruzione di tale trattamento;
  • l’interessato medesimo, così adeguatamente informato già prima dell’instaurazione del rapporto, non si opponga a tale uso, inizialmente o in occasione di successive comunicazioni.

Attenzione alle sanzioni in caso di violazione della normativa che possono essere anche di natura penale: secondo l’art. 167 Dlgs 196/2003, salvo che il fatto costituisca più grave reato, è prevista la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.