Cure odontoiatriche, stop alle telefonate indesiderate

sfondo_call_center6Bloccato un database con circa un milione di utenze fisse e mobili

Il Garante privacy ha vietato [doc. web n. 6629169] a due società che operano nel settore sanitario odontoiatrico l’ulteriore trattamento a fini di telemarketing di circa un milione di utenze telefoniche fisse e mobili utilizzate senza rispettare la disciplina in materia di privacy.

Le irregolarità sono emerse nel corso delle verifiche effettuate dal Garante presso le società a seguito della segnalazione di alcune persone che avevano ricevuto telefonate indesiderate sul proprio cellulare con le quali si promuovevano visite odontoiatriche gratuite.

Dagli accertamenti è risultato che le società hanno trattato in modo illecito sia i dati acquistati da un fornitore di liste stabilito al di fuori del territorio nazionale, riferiti a circa un milione di utenti, sia quelli tratti da elenchi telefonici pubblici.

Le società, infatti,  non sono state in grado di dimostrare:

  • l’acquisizione del consenso degli interessati,
  • l’effettuazione delle dovute verifiche sul Registro pubblico delle opposizioni per appurare l’iscrizione di eventuali utenti che non volessero ricevere telefonate promozionali,
  • l’esistenza di un’altra base giuridica per l’utilizzo dei dati.

Il Garante, inoltre, ha ritenuto incompleta e poco chiara l’informativa fornita agli utenti che si prenotavano on line e insufficiente il riscontro dato ad un segnalante che chiedeva di conoscere la  provenienza dei suoi dati e al quale sono state fornite informazioni vaghe e non veritiere.

L’Autorità ha quindi vietato alle società l’uso dei numeri di telefono a fini di marketing e ha prescritto loro l’adozione di misure tecniche e organizzative per assicurare agli utenti la piena e tempestiva attuazione dei diritti riconosciuti dal Codice privacy (conoscere l’origine dei dati, le modalità e le finalità del trattamento, aggiornare, rettificare, cancellare i dati).

Le società dovranno adottare idonee misure tecnologiche per consentire agli utenti del sito di manifestare liberamente il proprio consenso e dovranno riformulare il modello di informativa, indicando chiaramente l’ambito di circolazione dei dati e il soggetto cui indirizzare le istanze per l’esercizio dei diritti.

Con autonomo procedimento il Garante si è riservato di contestare sanzioni amministrative per gli illeciti rilevati.

Lavoro e dati giudiziari dei dipendenti

image_galleryL’azienda può trattarli, ma solo se autorizzata dalla legge o dal Garante

Il Garante per la protezione dei dati personali ha rigettato l’istanza di una società che chiedeva di essere autorizzata ad effettuare un trattamento di dati giudiziari dei propri dipendenti non previsto da una adeguata base giuridica [doc. web n. 6558837].

La società, che gestisce ed eroga servizi per clienti pubblici e privati, al dichiarato fine di ottemperare ad una richiesta contrattuale, intendeva infatti raccogliere e utilizzare le informazioni presenti nel casellario giudiziale fornito dai propri lavoratori e comunicarle a una ditta appaltante.

Il trattamento dei dati giudiziari era finalizzato a consentire alla ditta appaltante di poter esprimere il proprio gradimento o meno sui lavoratori impiegati nello svolgimento dei servizi, nel caso specifico a bordo dei treni, inquadrati come manovale e pulitore.

Nel respingere l’istanza, l’Autorità ha ribadito che i soggetti privati possono trattare i dati giudiziari soltanto se:

  • autorizzati da una espressa disposizione di legge o
  • da un provvedimento del Garante in cui siano indicate le finalità di rilevante interesse pubblico del trattamento, i tipi di dati e le operazioni eseguibili.

Nel caso esaminato dal Garante,  la società non ha indicato, né risulta esservi, una base giuridica (legislativa, regolamentare o contrattuale) adeguata a legittimare quel determinato trattamento di dati giudiziari.

Nel Ccnl e nel contratto aziendale di gruppo inoltre, non vi sono disposizioni da cui emerge l’indispensabilità del trattamento dei dati giudiziari dei dipendenti per lo svolgimento delle attività nelle quali saranno impiegati i lavoratori.

La società infine, non ha indicato e comunque non risulta una base giuridica che autorizzi la comunicazione di dati alla società appaltante.

E-privacy, ok dei Garanti Ue a regole più stringenti ed estese anche ai colossi della rete

e-privacy_blogpost_picParere favorevole delle Autorità europee per la protezione dei dati (Gruppo Articolo 29) sulla proposta di Regolamento della Commissione europea concernente il “rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche all’interno dell’Unione Europea”, il cosiddetto “Regolamento ePrivacy”.

Nel parere approvato il 4 aprile scorso, il Gruppo, oltre a manifestare  un generale apprezzamento per le nuove misure, ha tuttavia espresso anche alcune perplessità su aspetti specifici, tra questi:

  • le regole che dovranno disciplinare il tracciamento dei terminali degli utenti attraverso reti wi-fi o bluetooth, come pure
  • l’omesso, esplicito divieto per i fornitori di servizi di far ricorso ai cd. “tracking walls”, e cioè di imporre scelte del tipo “prendere o lasciare” che forzino gli utenti ad esprimere un consenso al tracciamento delle proprie attività on-line pur di accedere a contenuti determinati.

La proposta di Regolamento ePrivacy presentata dalla Commissione a gennaio rientra nel quadro della riforma introdotta con l’approvazione del pacchetto protezione dati e, in particolare, del nuovo Regolamento Generale (RGPD), che diverrà esecutivo il 25 maggio 2018.

Si tratta di un ulteriore passo avanti perché la proposta (che abrogherà la direttiva 2002/58, ossia la “vecchia” direttiva e-privacy) comprende norme speciali destinate ad incidere significativamente sui comportamenti e sui diritti delle persone che utilizzano ormai quotidianamente i servizi di comunicazione elettronica, specie quelli on-line.

Il nuovo Regolamento garantirà l’applicabilità delle stesse norme in tutta la UE e sul testo proposto il Parlamento europeo ed il Consiglio dell’UE dovranno esprimersi nel prossimo futuro.

Al riguardo, lo scorso 11 Aprile dinanzi al Parlamento Europeo si è tenuta un’audizione organizzata dalla Commissione per le libertà civili, la giustizia e gli affari interni (LIBE), alla quale ha partecipato anche un rappresentante dell’Ufficio del Garante italiano.

Questi, in sintesi, i punti di maggior rilievo della proposta di Regolamento e-Privacy:

Applicazione delle norme

Le norme europee verranno estese anche agli OTT (Over The Top), cioè i fornitori di servizi come WhatsApp, Facebook, Messenger e Skype, che saranno tenuti al rispetto delle regole e a garantire lo stesso livello di tutele dei più tradizionali operatori di telecomunicazione. 

Metadati

Non soltanto i dati, ma anche il contenuto delle comunicazioni e i metadati, cioè gli elementi accessori e di contorno di una informazione, godranno dello stesso livello di protezione: ove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non più necessari allo scopo per cui sono stati raccolti, cancellati.

Sarà richiesto il consenso degli utenti finali per la fornitura di servizi accessori (es. antivirus o ricerca di parole testuali nelle mail) e per il conseguimento di specifiche finalità ulteriori rispetto alla fornitura del servizio, che non possono essere ottenute utilizzando dati anonimi. Molto ampia, inoltre, la protezione del dispositivo utilizzato: si prevede che ogni interferenza con i terminali richieda il consenso dell’utente.

IOT

Viene per la prima volta menzionata la specificità dell’internet delle cose al fine di estendere il principio di confidenzialità delle comunicazioni anche ai trattamenti machine-to-machine.

Cookies

L’utente potrà compiere una scelta unica, accettando o rifiutando in blocco l’installazione dei cookie tramite un settaggio preliminare del browser. Il consenso non sarà invece necessario per l’installazione dei cookie cd. analytics, quelli utilizzati ad esempio per contare gli utenti che visitano uno specifico sito web o per tener traccia degli acquisti nel proprio carrello elettronico.

Telemarketing

La proposta prevede che per l’effettuazione di chiamate a carattere promozionale gli operatori utilizzino linee telefoniche contraddistinte da un prefisso identificativo unico che dovrà  obbligatoriamente essere mostrato in chiaro.

Informativa e acquisizione del consenso

Dovranno essere maggiormente user friendly anche mediante  l’impiego di icone stardardizzate.

Lavoro: geolocalizzazione flotte aziendali, sì con accordo sindacale

Illustration of a map mark icon with a  delivery truckPer i sistemi di geolocalizzazione rimane necessario l’accordo sindacale – come previsto dallo Statuto dei lavoratori – e va garantita la riservatezza dei dipendenti.

Questa la decisione del Garante della privacy [doc. web n. 6275314] in merito alla richiesta di verifica preliminare presentata da una compagnia che offre servizi idrici e assistenza in caso di problemi alla rete.

In base alla documentazione presentata, la localizzazione geografica dei veicoli utilizzati per gli interventi sarà attivata per molteplici scopi come:

  • l’ottimizzazione delle richieste di intervento o delle emergenze,
  • l’innalzamento delle condizioni di sicurezza sul lavoro dei dipendenti,
  • la corretta manutenzione dei veicoli,
  • la tutela del patrimonio aziendale,
  • il calcolo del tempo di lavoro effettivo,
  • la gestione di eventuali incidenti stradali o di sanzioni subite per violazioni del codice della strada.

Nel corso dell’istruttoria l’Autorità ha riconosciuto il legittimo interesse della società a rilevare la posizione dei propri mezzi per le molteplici finalità indicate, ma solo nel pieno rispetto della privacy dai lavoratori.

Visto che tale sistema potrebbe consentire il controllo a distanza dei lavoratori, anche dopo le modifiche introdotte dal cosiddetto Jobs Act, per poterlo attivare dovrà prima essere raggiunto un apposito accordo con le rappresentanze sindacali o, in sua assenza, si dovrà richiedere l’autorizzazione all’Ispettorato nazionale del lavoro.

Dovranno inoltre essere attentamente definite le modalità di raccolta, di elaborazione e di conservazione dei dati di geolocalizzazione e degli altri dati personali, differenziando le tutele in base alla singola finalità perseguita.

Ad esempio, se la società intende avvalersi del sistema di localizzazione per la regolare tenuta del libro unico del lavoro, potrà conservare i dati necessari per cinque anni.

I dati da utilizzare in caso di contestazione di violazione amministrativa con modalità non immediata, invece, potranno essere conservati al massimo per 90 giorni, ovvero il tempo previsto dalla normativa per notificare un eventuale verbale di contestazione.

Al termine del periodo individuato, i dati personali raccolti dovranno essere automaticamente cancellati o anonimizzati.

Deve essere inoltre escluso il monitoraggio dei tracciati percorsi, salvo il possibile trattamento dei relativi dati in forma aggregata o anonima per finalità statistiche e di programmazione del lavoro.

Dovranno essere adottate anche precise misure di sicurezza e l’accesso ai dati trattati dovrà essere consentito al solo personale incaricato, definendo per i dati di geolocalizzazione appositi profili autorizzativi individuali per ogni singolo utente.

La società potrà comunque avviare il trattamento delle informazioni sulla posizione geografica dei veicoli di lavoro solo dopo:

  • aver effettuato la notificazione al Garante e
  • aver fornito un’informativa completa ai dipendenti

Il diritto alla portabilità dei dati (art. 20 RGPD): infografica del Garante e linee guida

0001

Linee-guida sul diritto alla “portabilità dei dati” – WP242
adottate dal Gruppo di lavoro Art. 29 il 13 dicembre 2016

english version

Le risposte alle domande più frequenti – FAQ
Allegato alle Linee-guida sul diritto alla “portabilità dei dati” – WP242

english version

Nuove disposizioni in materia di call center: le FAQ del Mise e i Modelli da utilizzare

sfondo_call_center6Nuove disposizioni normative sulle attività di call center: sono riportate di seguito una serie di risposte alle richieste di chiarimenti che sono state poste o che potrebbero essere poste più frequentemente (FAQ), basate sulle interpretazioni attualmente condivise con gli altri soggetti istituzionali richiamati dalla norma.

In chiusura del post sono riportati i Modelli da utilizzare per la comunicazione al Mise.

Nuove disposizioni normative sulle attività di call center
Articolo 1, comma 243, della legge n. 232 del 2016 (c.d. legge di bilancio)
che sostituisce l’art. 24-bis, D.L. 22/06/2012, n. 83 convertito con modificazioni dalla legge 07/08/2012, n. 134/2012

Chi sono i soggetti tenuti agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico sulla base dalle nuove disposizioni normative?

Qualunque operatore economico che decida di localizzare o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese non membro dell’Unione europea.

Quali elementi informativi deve contenere la comunicazione al Ministero dello sviluppo economico?

La specifica comunicazione da effettuare al Ministero dello sviluppo economico da parte dell’operatore economico che localizza o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese extra UE deve contenere le numerazioni telefoniche messe a disposizione del pubblico ed i corrispettivi Paesi in cui sono localizzate.

Le numerazioni oggetto di obbligo di comunicazione al Ministero dello sviluppo economico includono anche il tradotto geografico internazionale?

Si, per ciascuna numerazione telefonica messa a disposizione del pubblico e utilizzata per i servizi delocalizzati occorre inserire anche il tradotto geografico internazionale.

Cosa si intende per “operatore economico”?

La nozione di operatore economico richiamata dalla normativa è coerentemente riferibile alla definizione riportata all’art.3, comma 1, lett. p) del Decreto Legislativo n.50/2016 (Codice dei contratti pubblici), ovvero sono operatori economici coloro che offrono beni e servizi sul mercato a prescindere dalla forma giuridica di riferimento. Pertanto sono esclusi dalla definizione le pubbliche amministrazioni nell’assolvimento dei loro compiti istituzionali nonché tutti i soggetti di qualsiasi natura nello svolgimento di un’attività che non sia correlata, direttamente o indirettamente, ad uno scopo di lucro.

L’ambito di applicazione della norma può ritenersi ancora limitato alle sole aziende che svolgono in via assolutamente prevalente attività di call center?

No, l’ambito di applicazione soggettivo dell’art. 24 bis, è riferibile all’operatore economico, indipendentemente dal numero di dipendenti occupati, che svolge attività di call center utilizzando numerazioni telefoniche messe a disposizione del pubblico, a prescindere dalla prevalenza o meno dell’attività di call center rispetto al resto della propria attività.

L’operatore economico che affida parzialmente o totalmente a terzi l’attività di call center è soggetto all’obbligo di comunicazione nei confronti del Ministero dello sviluppo economico?

Si, è soggetto alle prescrizioni di legge l’operatore economico che svolge servizi di call center tanto tramite una struttura interna all’azienda quanto in outsourcing. Nel caso di affidamento a terzi dei servizi di call center, la norma ha esplicitamente previsto una responsabilità solidale tra committente e gestore del call center.

L’operatore economico che svolge attività di call center attraverso società controllata facente parte del Gruppo societario è soggetto agli obblighi di legge?

Si, dalla normativa emerge la responsabilità dell’operatore economico sia che svolga esso stesso l’attività sia che si avvalga di servizi di call center esterno

L’operatore economico straniero che svolge un servizio di call center ubicato in un Paese extra UE, pur avendo un diverso core business, è soggetto agli obblighi di legge?

Si, sono soggetti agli adempimenti di legge anche gli operatori economici stranieri che svolgono essi stessi o si avvalgono di servizi di call center su numerazioni nazionali geografiche (qualsiasi numero del piano nazionale di numerazione per cui alcune cifre fungono da indicativo geografico e sono utilizzate per instradare le chiamate e le terminazioni di rete) e non geografiche (qualsiasi numero del piano nazionale di numerazione che non sia geografico ad esempio i numeri per servizi di comunicazione mobili e personali, i numeri di chiamata gratuita e i numeri a tariffazione specifica).

Cosa si intende per “attività di call center”?

Per l’individuazione di tale attività si dovrà fare riferimento alla definizione di call center contenuta nell’art. 1, lett. d) della Delibera n. 79/09/CSP dell’Autorità per le garanzie nelle comunicazioni, per il quale esso è un insieme di risorse umane e di infrastrutture specializzate che consente contatti e comunicazioni multicanale con gli utenti (attraverso più mezzi, per esempio telefonia, internet, posta). Tale attività ricade nell’ambito applicativo dell’art. 24 bis sia ove realizzata tramite strutture interne sia quando viene affidata in outsourcing, purché si utilizzino numerazioni telefoniche messe a disposizione del pubblico.

Le prescrizioni di legge si applicano sia alle attività di call center inbound che outbound?

Si, gli obblighi di legge si applicano in riferimento ai servizi di call center e relative numerazioni a prescindere dalla tipologia di svolgimento dell’attività (sia in entrata che in uscita, inbound/outbound).

L’informazione preliminare in merito al Paese in cui è fisicamente collocato l’operatore che risponde è dovuta anche nel caso in cui l’operatore è ubicato in Italia o in un Paese UE?

Si, l’obbligo informativo relativo al Paese in cui l’operatore con cui si parla è fisicamente collocato prescinde dalla localizzazione ed è applicabile anche agli operatori ubicati in Italia o in un Paese UE.

L’obbligo di informazione preliminare deve riguardare necessariamente la località in cui l’operatore è fisicamente collocato?

No, è sufficiente fornire l’informazione del Paese in cui è ubicato l’operatore del call center.

L’obbligo di informazione preliminare sulla localizzazione del call center si intende assolto anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere all’obbligo di legge tramite il sistema IVR e tramite operatore.

L’obbligo di informazione preliminare, qualora l’operatore è ubicato in un Paese extra UE, circa la possibilità di richiedere che il servizio sia reso da un operatore collocato nel territorio nazionale o in un Paese UE e l’immediato trasferimento della chiamata a seguito di specifica richiesta si intendono assolti anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere agli obblighi di legge tramite il sistema IVR e tramite operatore.

logo_mise_400

 

I Modelli per adempiere agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico.

Di seguito i due modelli (il cui contenuto è aggiornato rispetto a quello già reso disponibile in passato in uno al menzionato provvedimento del 10 ottobre 2013, n. 444) volti ad agevolare l’assolvimento degli obblighi comunicativi diretti all’Autorità, utilizzabili dagli operatori economici cui facciano capo le localizzazioni in Paesi terzi dell’attività di call center (inbound e outbound):

  1. un primo modello potrà essere utilizzato, ai sensi dell’art. 24-bis, comma 2, lett. c), da parte degli operatori economici che intendono localizzare l’attività di call center in Paesi terzi in tempi successivi all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 150.000 euro per ciascuna comunicazione omessa o tardiva (art. 24-bis, comma 7, d.l. n. 83/2012).

  1. un secondo modello potrà invece essere utilizzato, ai sensi dell’art. 24-bis, comma 3, per gli operatori che abbiano localizzato  l’attività di call center in Paesi terzi anteriormente all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 10.000 euro per ciascun giorno di ritardo (art. 24-bis, comma 3, d.l. n. 83/2012).

Lavoro: vietati i controlli indiscriminati su e-mail e smartphone aziendali

cellulareinmanoIl datore di lavoro non può accedere in maniera indiscriminata alla posta elettronica o ai dati personali contenuti negli smartphone in dotazione al personale.È un comportamento illecito.

Lo ha ribadito il Garante della privacy vietando a una multinazionale l’ulteriore utilizzo dei dati personali trattati in violazione di legge [doc. web n. 5958296]. La società potrà solo conservarli per la tutela dei diritti in sede giudiziaria.

Nel disporre il divieto l’Autorità ha affermato che il datore di lavoro

  • pur avendo la facoltà di verificare l’esatto adempimento della prestazione professionale ed il corretto utilizzo degli strumenti di lavoro da parte dei dipendenti,
  • deve in ogni caso salvaguardarne la libertà e la dignità, attenendosi ai limiti previsti dalla normativa.

La disciplina di settore in materia di controlli a distanza, inoltre, non consente di effettuare  attività idonee a realizzare, anche indirettamente, il controllo massivo, prolungato e indiscriminato dell’attività del lavoratore.

I lavoratori, poi, devono essere sempre informati in modo chiaro e dettagliato sulle modalità di utilizzo degli strumenti aziendali ed eventuali verifiche.

La vicenda nasce dal reclamo di un dipendente che si era rivolto al Garante lamentando un illegittimo  trattamento effettuato da una multinazionale, che avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

Dai riscontri effettuati dall’Autorità sono effettivamente emerse numerose irregolarità. La società, ad esempio, non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati.

Aveva poi configurato il sistema di posta elettronica in modo da conservare copia di tutta la corrispondenza per ben dieci anni, un tempo non proporzionato allo scopo della raccolta.

Esisteva anche una procedura che consentiva alla società di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato.

E’ inoltre emerso che la società continuava a mantenere attive le caselle e-mail fino a sei mesi dopo la cessazione del contratto

  • senza però dare agli ex dipendenti la possibilità di consultarle o, comunque,
  • senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti.

Nel corso dell’istruttoria è stato accertato inoltre, che  il titolare poteva accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Il Garante ha disposto l’apertura di un autonomo procedimento per verificare l’applicazione di eventuali sanzioni amministrative.