E-privacy, ok dei Garanti Ue a regole più stringenti ed estese anche ai colossi della rete

e-privacy_blogpost_picParere favorevole delle Autorità europee per la protezione dei dati (Gruppo Articolo 29) sulla proposta di Regolamento della Commissione europea concernente il “rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche all’interno dell’Unione Europea”, il cosiddetto “Regolamento ePrivacy”.

Nel parere approvato il 4 aprile scorso, il Gruppo, oltre a manifestare  un generale apprezzamento per le nuove misure, ha tuttavia espresso anche alcune perplessità su aspetti specifici, tra questi:

  • le regole che dovranno disciplinare il tracciamento dei terminali degli utenti attraverso reti wi-fi o bluetooth, come pure
  • l’omesso, esplicito divieto per i fornitori di servizi di far ricorso ai cd. “tracking walls”, e cioè di imporre scelte del tipo “prendere o lasciare” che forzino gli utenti ad esprimere un consenso al tracciamento delle proprie attività on-line pur di accedere a contenuti determinati.

La proposta di Regolamento ePrivacy presentata dalla Commissione a gennaio rientra nel quadro della riforma introdotta con l’approvazione del pacchetto protezione dati e, in particolare, del nuovo Regolamento Generale (RGPD), che diverrà esecutivo il 25 maggio 2018.

Si tratta di un ulteriore passo avanti perché la proposta (che abrogherà la direttiva 2002/58, ossia la “vecchia” direttiva e-privacy) comprende norme speciali destinate ad incidere significativamente sui comportamenti e sui diritti delle persone che utilizzano ormai quotidianamente i servizi di comunicazione elettronica, specie quelli on-line.

Il nuovo Regolamento garantirà l’applicabilità delle stesse norme in tutta la UE e sul testo proposto il Parlamento europeo ed il Consiglio dell’UE dovranno esprimersi nel prossimo futuro.

Al riguardo, lo scorso 11 Aprile dinanzi al Parlamento Europeo si è tenuta un’audizione organizzata dalla Commissione per le libertà civili, la giustizia e gli affari interni (LIBE), alla quale ha partecipato anche un rappresentante dell’Ufficio del Garante italiano.

Questi, in sintesi, i punti di maggior rilievo della proposta di Regolamento e-Privacy:

Applicazione delle norme

Le norme europee verranno estese anche agli OTT (Over The Top), cioè i fornitori di servizi come WhatsApp, Facebook, Messenger e Skype, che saranno tenuti al rispetto delle regole e a garantire lo stesso livello di tutele dei più tradizionali operatori di telecomunicazione. 

Metadati

Non soltanto i dati, ma anche il contenuto delle comunicazioni e i metadati, cioè gli elementi accessori e di contorno di una informazione, godranno dello stesso livello di protezione: ove possibile dovranno essere anonimizzati e, se trattati senza consenso o quando non più necessari allo scopo per cui sono stati raccolti, cancellati.

Sarà richiesto il consenso degli utenti finali per la fornitura di servizi accessori (es. antivirus o ricerca di parole testuali nelle mail) e per il conseguimento di specifiche finalità ulteriori rispetto alla fornitura del servizio, che non possono essere ottenute utilizzando dati anonimi. Molto ampia, inoltre, la protezione del dispositivo utilizzato: si prevede che ogni interferenza con i terminali richieda il consenso dell’utente.

IOT

Viene per la prima volta menzionata la specificità dell’internet delle cose al fine di estendere il principio di confidenzialità delle comunicazioni anche ai trattamenti machine-to-machine.

Cookies

L’utente potrà compiere una scelta unica, accettando o rifiutando in blocco l’installazione dei cookie tramite un settaggio preliminare del browser. Il consenso non sarà invece necessario per l’installazione dei cookie cd. analytics, quelli utilizzati ad esempio per contare gli utenti che visitano uno specifico sito web o per tener traccia degli acquisti nel proprio carrello elettronico.

Telemarketing

La proposta prevede che per l’effettuazione di chiamate a carattere promozionale gli operatori utilizzino linee telefoniche contraddistinte da un prefisso identificativo unico che dovrà  obbligatoriamente essere mostrato in chiaro.

Informativa e acquisizione del consenso

Dovranno essere maggiormente user friendly anche mediante  l’impiego di icone stardardizzate.

Annunci

Telemarketing: no all’uso dei numeri di telefono “pescati” in rete

telemarketingNo al telemarketing con i numeri di telefono “pescati” in internet e contattati senza il consenso informato dei destinatari. Il principio è stato ribadito dal Garante privacy che ha vietato a una società l’uso delle utenze telefoniche reperite on line a fini promozionali [doc. web n. 5986406].

Dagli accertamenti, svolti, dall’Autorità in collaborazione con il Nucleo speciale privacy della Guardia di finanza, è emerso che la società, attiva nell’offerta di servizi in Internet (costruzione e gestione di siti web, posizionamento nei motori di ricerca, vendita di spazi pubblicitari e attività di social media marketing), per acquisire nuovi clienti e promuovere i propri prodotti contattava telefonicamente le utenze reperite in rete, in genere numeri di telefono di liberi professionisti e imprese individuali presenti nell’area “contatti” dei siti.

Un trattamento non in linea con la disciplina di protezione dei dati personali perché effettuato senza aver prima acquisito il consenso informato dei destinatari e  in violazione del principio di finalità.

La circostanza, infatti, che i numeri di telefono presenti in Internet siano liberamente conoscibili da chiunque, non significa che possano essere legittimamente usati per finalità (come il marketing) diverse da quelle per cui sono stati pubblicati on line.

Il Garante inoltre, ha vietato alla società l’uso dei dati per finalità promozionali, in particolare  tramite l’invio automatizzato di e-mail, di quanti richiedevano i preventivi sui servizi resi grazie a un form disponibile sul sito.

Nel modello, che ora la società dovrà modificare, il potenziale cliente poteva selezionare solo un’unica casella sia per finalità contrattuali sia per il trattamento di dati per fini  pubblicitari, ricerche di mercato e sondaggi via mail.

Pur prendendo atto della dichiarazione della società di non aver svolto attività promozionali, il Garante ha ritenuto illecita la raccolta effettuata mediante il form.

Tra i  clienti che non hanno potuto manifestare il libero e specifico consenso per l’invio di comunicazioni automatizzate promozionali, oltre a imprese individuali e liberi professionisti, vi erano anche numerose persone giuridiche, che in base all’art. 130 del Codice, continuano ad essere tutelate riguardo alle comunicazioni promozionali automatizzate (e-mail, telefonate, sms).

L’Autorità si è riservata di valutare l’applicazione delle sanzioni amministrative previste dal Codice per le violazioni rilevate

Stop al marketing invasivo, offerte a prova di privacy

mail contactMarketing 2.0: dal Far west a strategie commerciali «privacy compatibili»

  • Fonte:  Italia Oggi, 11 maggio 2015 – IusLetter
  • di Antonio Ciccia

Anche in questo caso ce lo chiede l’Europa. L’attività di trattamento dei dati personali del cliente, in un quadro di concorrenza regolata, deve rispettare i paletti della normativa sulla protezione dei dati personali, messi in fila dal garante con un vademecum ad hoc sul «marketing a prova di privacy» elaborato a fine aprile.

Sono paletti che attanagliano le imprese nel mercato globale e nella crisi economica o sono strumenti per selezionare la qualità dell’imprenditore?

L’ottica aziendale deve comunque fare i conti con la disciplina legale, che si basa su due capisaldi: la trasparenza e il consenso. Al cliente non bisogna nascondere che uso si fa delle informazioni che lo riguardano e il cliente deve dare il suo benestare alla circolazione dei suoi dati. Le due prescrizioni sono del tutto in linea (e anche ripetitive) dello schema della tutela del mercato attraverso la tutela del consumatore. Se tutte le imprese devono rispettare il consumatore, allora tutte concorrono sullo stesso piano. E non c’è un doping da cattiva data protection.

L’azienda, però, deve essere consapevole che il cliente, se lo vuole e se ha il tempo di farlo, può chiedere aiuto come utente esasperato dalle telefonate indesiderate e deve acconsentire ad essere monitorato nelle sue abitudini online.
Insomma, la politica di sviluppo aziendale deve fare i conti con la concreta possibilità che una promozione commerciale si trasformi in un boomerang per l’immagine di un’impresa.
A illustrare nel dettaglio tutti questi aspetti è il citato vademecum a cui, in tema di marketing e privacy, si sono aggiunte, nei giorni scorsi, le linee guida sulla profilazione online e il provvedimento sui cookies: una triade di interventi che il responsabile commerciale di una azienda deve conoscere a menadito.

Aziende in regola con la privacy

L’azienda deve partire dalla necessità di informare specificamente il cliente, i quale deve dare un consenso specifico e distinto per le varie finalità: uno per il marketing, uno per la profilazione o per la comunicazione dei dati ad altri soggetti.
Peraltro non serve il consenso per soddisfare la richiesta di un cliente, come le verifiche funzionali all’erogazione di servizi, ma non va bene un modulo per l’ordine di un prodotto con la casella per il consenso già contrassegnata.
Il vademecum ricorda anche alcuni tentativi di semplificazione operativa: ad esempio il consenso prestato per la ricezione di comunicazioni commerciali tramite modalità automatizzate (fax, sms, e-mail, mms, telefonate preregistrate) si estende anche alla posta cartacea e alle chiamate tramite operatore.
Quindi un consenso prestato per le operazioni di marketing più invasive vale anche per quelle di impatto inferiore.
È questa la ragione per cui non vale il contrario: se ho chiesto il consenso per il marketing cartaceo non posso, poi, fare chiamate telefoniche automatizzate.

Soft spam e ricerca di nuovi clienti

Il marketing ha un percorso preferenziale con i propri clienti.
Si parla di soft spam: non serve il consenso per inviare offerte promozionali, via posta tradizionale o e-mail, relative a prodotti o servizi analoghi a quelli forniti in precedenza.
Certo il marketing non serve solo a mantenere i clienti acquisiti, ma a cercarne di nuovi.
Una strada è quella di contattare le persone non iscritte nel registro pubblico delle opposizioni per chiedere il consenso a ricevere comunicazioni promozionali anche via e-mail o con altri mezzi automatizzati.
Si sfrutta il canale telefonico (basato sul principio per cui chi non dissente accetta di ricevere la chiamata), per acquisire il consenso a forme di marketing di marketing più raffinato.
Che le esigenze aziendali coincidano con la tutela del consumatore interessato è l’obiettivo del responsabile privacy aziendale, come per il responsabile per la sicurezza (quanto alla tutela dell’incolumità dei dipendenti) o della sicurezza del prodotto (per la incolumità del cliente).

Il presidente del garante privacy, Antonello Soro, ha dichiarato:

«Il rispetto del consumatore e il corretto uso dei suoi dati personali, a partire da quelli necessari per contattarlo fino alle informazioni più private, come gusti e preferenze, differenziano le imprese che vedono i propri clienti come semplice «preda», da quelle che scelgono di operare in modo trasparente, ponendo al centro della loro attività, oltre che la qualità dei prodotti e servizi offerti, anche e soprattutto la fiducia dei propri acquirenti».

Call center: da oggi stop alle “telefonate mute”

call-centerE’ scaduto il tempo concesso alle società di telemarketing per mettersi in regola con le misure prescritte: da oggi i call center dovranno rispettare le regole fissate dal Garante privacy per combattere il fenomeno delle cosiddette “telefonate mute”, una forma di grave disturbo degli utenti.

E’ scaduto infatti il termine di sei mesi concesso alle società di telemarketing per adottare tutti gli accorgimenti tecnici e organizzativi prescritti con un provvedimento generale pubblicato sulla Gazzetta Ufficiale del 4 aprile scorso [doc.web n. 3017499].

Sono numerosi gli abbonati che hanno protestato per la ricezione di telefonate nelle quali, una volta risposto, non si viene messi in contatto con alcun interlocutore.

Per eliminare tempi morti tra una telefonata e l’altra, infatti, i sistemi automatizzati di chiamata possono generare un numero di telefonate superiore agli operatori disponibili: una pratica commerciale che, in alcuni casi, ha comportato il disturbo degli utenti anche per 10-15 volte di seguito e che è stata spesso vissuta addirittura come una forma di stalking.

Le nuove regole

Da oggi i parametri delle impostazioni di tali sistemi non saranno più decisi arbitrariamente dai call center, ma dovranno attenersi alle prescrizioni del Garante. Queste, in sintesi, le principali:

  1. i call center devono tenere precisa traccia delle “chiamate mute”, che devono comunque essere interrotte trascorsi 3 secondi dalla risposta dell’utente;
  2. non possono verificarsi più di 3 telefonate “mute” ogni 100 andate “a buon fine”. Tale rapporto deve essere rispettato nell’ambito di ogni singola campagna di telemarketing;
  3. l’utente non può più essere messo in attesa silenziosa, ma il sistema deve generare una sorta di rumore ambientale, il cosiddetto “comfort noise” (ad es. con voci di sottofondo, squilli di telefono, brusio), per dare la sensazione che la chiamata provenga da un call center e non da un eventuale molestatore;
  4. l’utente disturbato da una chiamata muta non può essere ricontattato per 5 giorni e, al contatto successivo, deve essere garantita la presenza di un operatore;
  5. i call center sono tenuti a conservare per almeno due anni i report statistici delle telefonate “mute” effettuate per ciascuna campagna, così da consentire eventuali controlli.

Gli operatori che non rispetteranno queste prescrizioni dell’Autorità incorreranno nelle sanzioni previste.

Utenti al riparo dalle telefonate “mute” 

support_help_talk-512Varate le regole contro il telemarketing più invasivo: utenti telefonici più tutelati contro le “telefonate mute”, un fenomeno particolarmente fastidioso causato da un’attività di promozione telefonica poco rispettosa della tranquillità degli utenti.

A conclusione della consultazione pubblica [doc. web n. 2740497] avviata lo scorso anno sulle misure da adottare per ridurre drasticamente questo fenomeno, il Garante privacy ha varato in via definitiva il provvedimento generale [doc. web n. 3017499] che impone agli operatori di telemarketing di adottare specifiche misure per ridurre drasticamente questo tipo di disturbo.

Sono stati numerosi gli abbonati che hanno segnalato al Garante la ricezione di telefonate nelle quali, una volta risposto, non si viene messi in contatto con alcun interlocutore.

Una pratica che, in alcuni casi, ha comportato il disturbo degli utenti anche  per 10-15 volte di seguito e che viene spesso vissuta dagli utenti addirittura come una forma di stalking, fino a configurarsi come un vero e proprio allarme sociale.

Come messo in luce dalle verifiche effettuate dall’Autorità, il problema deriva dalle impostazioni dei sistemi centralizzati di chiamata dei call center, rivolte a massimizzare la produttività degli operatori.

Per eliminare tempi morti tra una telefonata e l’altra, infatti, il sistema genera in automatico un numero di chiamate superiore agli operatori disponibili. Queste chiamate, una volta ottenuta risposta, possono essere mantenute in attesa silenziosa finché non si libera un operatore. Il risultato è appunto una “chiamata muta”, che può indurre comprensibili stati di ansia, paura e disagio nei destinatari.

alert-icon-redEcco dunque le regole fissate dal Garante per eliminare gli effetti distorsivi di questa pratica commerciale, senza penalizzare l’efficienza delle imprese di telemarketing:

  1. i call center dovranno tenere precisa traccia delle “chiamate mute”, che dovranno comunque essere interrotte trascorsi 3 secondi dalla risposta dell’utente;
  2. non potranno verificarsi più di 3 telefonate “mute” ogni 100 andate “a buon fine”. Tale rapporto dovrà essere rispettato nell’ambito di ogni singola campagna di telemarketing; 
  3. l’utente non potrà più essere messo in attesa silenziosa, ma il sistema dovrà generare una sorta di rumore ambientale, il cosiddetto “comfort noise” (ad es. con voci di sottofondo, squilli di telefono, brusio), per dare la sensazione che la chiamata provenga da un call center e non da un eventuale molestatore;
  4. l’utente disturbato da una chiamata muta non potrà essere ricontattato per 5 giorni e, al contatto successivo, dovrà essere garantita la presenza di un operatore;
  5. i call center saranno tenuti a conservare per almeno due anni i report statistici delle telefonate “mute” effettuate per ciascuna campagna, così da consentire eventuali controlli.

Gli operatori di telemarketing hanno sei mesi di tempo per mettersi in regola e adottare le misure prescritte dall’Autorità.

Marketing selvaggio: 800mila euro di sanzioni a tre società

call-center-outboundI dati di decine di milioni di persone trattati illecitamente

Il Garante della privacy ha emesso tre ordinanze ingiunzione per obbligare due importanti società di servizi informatici (Edipro S.a.s. e Consodata S.p.A.), specializzate nel settore delle banche dati [doc web nn. 2428316 e 2438949], e un operatore Tlc (Fastweb S.p.A.) [doc web n. 2368171] al pagamento di sanzioni, pari a 800.000 euro, per aver violato provvedimenti prescrittivi già adottati nel loro confronti.

Questa ulteriore azione di contrasto del telemarketing selvaggio e delle offerte promozionali indesiderate si è resa necessaria a causa delle numerose proteste che continuavano a pervenire all’Autorità in relazione a società già sottoposte a puntuali prescrizioni sul corretto utilizzo dei dati per finalità di marketing nel 2008.

Le Società di Servizi informatici

Nel corso di un’apposita attività ispettiva svolta dal Garante è emerso che, nonostante le prescrizioni imposte a suo tempo dalla stessa Autorità, le due imprese specializzate nella creazione di banche dati, avevano realizzato e venduto archivi elettronici con i dati (numeri telefonici, e-mail, indirizzi…) di decine di  milioni di persone, sfruttando in particolare le informazioni contenute, ad esempio, negli elenchi telefonici distribuiti prima del 2005 e nelle liste elettorali. Tali dati erano stati raccolti e utilizzati illecitamente, ovvero:

  • senza aver informato gli interessati e
  • senza che questi avessero fornito  uno specifico consenso
    • ad attività di marketing o
    • alla cessione delle loro informazioni personali ad altre società.

Le due società dovranno pagare, rispettivamente, una sanzione di 100.000 euro e una sanzione di 400.000 euro.

Fastweb S.p.A.

Per quanto riguarda invece l’operatore telefonico, dagli accertamenti è emerso che nonostante fosse a conoscenza dell’origine irregolare dei dati, li aveva comunque acquistati e utilizzati per contattare gli utenti e promuovere i propri prodotti e servizi tramite call center. Per tale attività, contraria alle prescrizioni del Garante su banche dati e marketing telefonico, dovrà pagare 300.000 euro. La società ha impugnato l’ordinanza.

Ulteriori ordinanze ingiunzione, oltre a quelle già definite nell’ultimo anno, saranno presto adottate nei confronti di altre società, sottoposte a ispezioni, che hanno disatteso i provvedimenti del Garante, in particolare quelli relativi al telemarketing e all’utilizzo delle banche dati.

 

 

 

 

L’attività ispettiva del Garante privacy: telemarketing e profilazione a rischio

GaranteVarato anche il piano ispettivo per il primo semestre 2013

395 ispezioni, circa 3 milioni e 800 mila euro le somme riscosse a seguito di sanzioni. Un bilancio significativo quello riguardante l’attività ispettiva svolta dal Garante privacy nel 2012.

Gli accertamenti, effettuati anche mediante il contributo delle Unità Speciali della Guardia di finanza – Nucleo speciale privacy, hanno riguardato:

  • il telemarketing,
  • l’uso dei sistemi di localizzazione (gps)  nell’ambito del rapporto di lavoro,
  • i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment), 
  • il credito al consumo e le “centrali rischi”,
  • le banche dati del fisco,
  • l’attività di profilazione dei clienti da parte delle aziende.

 

cloud-privacy_tLe sanzioni

Per quanto riguarda le sanzioni amministrative, sono stati avviati 578 procedimenti (con un incremento del 61% rispetto al 2011) che hanno riguardato, in larga parte:

  • la omessa informativa,
  • il trattamento illecito dei dati,
  • il mancato rispetto delle norme in materia di telemarketing,
  • la conservazione eccessiva dei dati di traffico telefonico e telematico,
  • la mancata adozione di misure di sicurezza,
  • l’omessa o mancata notificazione al Garante,
  • l’inosservanza dei provvedimenti dell’Autorità.

L’incremento è dovuto, in particolare, all’attività di contrasto delle violazioni nel settore del telemarketing.

56 sono state le segnalazioni all’autorità giudiziaria (con un incremento del 51% rispetto al 2011), in particolare per violazioni connesse:

  • al controllo a distanza dei lavoratori,
  • all’accesso abusivo a banche dati,
  • alle misure di sicurezza,
  • alla falsità nelle dichiarazioni al Garante.

Per quanto riguarda le misure di sicurezza sono state impartite 18 prescrizioni nei confronti di diversi soggetti, pubblici e privati.

Le somme riscosse dall’erario a seguito di sanzioni sono state 3.769.217 di euro, con un aumento rispetto all’anno precedente del 22%.

 

2815884-16x9-340x191Il piano ispettivo del primo semestre 2013

Il piano ispettivo varato per il primo semestre 2013 punta su settori di particolare rilevanza:

  • le banche dati pubbliche in particolare di enti previdenziali e dell’amministrazione finanziaria,
  • l’attività di telemarketing da parte dei call center operanti all’estero,
  • il trattamento dei dati per il fascicolo sanitario elettronico,
  • i nuovi strumenti di pagamento gestiti dalle compagnie telefoniche (mobile payment),
  • le “centrali rischi”.

 

privacy_alertGli accertamenti delle GdF e i principali Adempimenti privacy

200 gli accertamenti ispettivi programmati che verranno effettuati anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza.

A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati e le altre verifiche per accertare il rispetto dei principali adempimenti previsti dalla normativa quali:

  • le informative da fornire ai cittadini sull’uso dei loro dati personali,
  • la corretta acquisizione del consenso da richiedere nei casi previsti dalla legge,
  • l’adozione delle misure di sicurezza,
  • il rispetto dell’obbligo di notificazione al Garante.