Nuove disposizioni in materia di call center: le FAQ del Mise e i Modelli da utilizzare

sfondo_call_center6Nuove disposizioni normative sulle attività di call center: sono riportate di seguito una serie di risposte alle richieste di chiarimenti che sono state poste o che potrebbero essere poste più frequentemente (FAQ), basate sulle interpretazioni attualmente condivise con gli altri soggetti istituzionali richiamati dalla norma.

In chiusura del post sono riportati i Modelli da utilizzare per la comunicazione al Mise.

Nuove disposizioni normative sulle attività di call center
Articolo 1, comma 243, della legge n. 232 del 2016 (c.d. legge di bilancio)
che sostituisce l’art. 24-bis, D.L. 22/06/2012, n. 83 convertito con modificazioni dalla legge 07/08/2012, n. 134/2012

Chi sono i soggetti tenuti agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico sulla base dalle nuove disposizioni normative?

Qualunque operatore economico che decida di localizzare o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese non membro dell’Unione europea.

Quali elementi informativi deve contenere la comunicazione al Ministero dello sviluppo economico?

La specifica comunicazione da effettuare al Ministero dello sviluppo economico da parte dell’operatore economico che localizza o abbia localizzato, anche mediante affidamento a terzi, l’attività di call center fuori dal territorio nazionale in un Paese extra UE deve contenere le numerazioni telefoniche messe a disposizione del pubblico ed i corrispettivi Paesi in cui sono localizzate.

Le numerazioni oggetto di obbligo di comunicazione al Ministero dello sviluppo economico includono anche il tradotto geografico internazionale?

Si, per ciascuna numerazione telefonica messa a disposizione del pubblico e utilizzata per i servizi delocalizzati occorre inserire anche il tradotto geografico internazionale.

Cosa si intende per “operatore economico”?

La nozione di operatore economico richiamata dalla normativa è coerentemente riferibile alla definizione riportata all’art.3, comma 1, lett. p) del Decreto Legislativo n.50/2016 (Codice dei contratti pubblici), ovvero sono operatori economici coloro che offrono beni e servizi sul mercato a prescindere dalla forma giuridica di riferimento. Pertanto sono esclusi dalla definizione le pubbliche amministrazioni nell’assolvimento dei loro compiti istituzionali nonché tutti i soggetti di qualsiasi natura nello svolgimento di un’attività che non sia correlata, direttamente o indirettamente, ad uno scopo di lucro.

L’ambito di applicazione della norma può ritenersi ancora limitato alle sole aziende che svolgono in via assolutamente prevalente attività di call center?

No, l’ambito di applicazione soggettivo dell’art. 24 bis, è riferibile all’operatore economico, indipendentemente dal numero di dipendenti occupati, che svolge attività di call center utilizzando numerazioni telefoniche messe a disposizione del pubblico, a prescindere dalla prevalenza o meno dell’attività di call center rispetto al resto della propria attività.

L’operatore economico che affida parzialmente o totalmente a terzi l’attività di call center è soggetto all’obbligo di comunicazione nei confronti del Ministero dello sviluppo economico?

Si, è soggetto alle prescrizioni di legge l’operatore economico che svolge servizi di call center tanto tramite una struttura interna all’azienda quanto in outsourcing. Nel caso di affidamento a terzi dei servizi di call center, la norma ha esplicitamente previsto una responsabilità solidale tra committente e gestore del call center.

L’operatore economico che svolge attività di call center attraverso società controllata facente parte del Gruppo societario è soggetto agli obblighi di legge?

Si, dalla normativa emerge la responsabilità dell’operatore economico sia che svolga esso stesso l’attività sia che si avvalga di servizi di call center esterno

L’operatore economico straniero che svolge un servizio di call center ubicato in un Paese extra UE, pur avendo un diverso core business, è soggetto agli obblighi di legge?

Si, sono soggetti agli adempimenti di legge anche gli operatori economici stranieri che svolgono essi stessi o si avvalgono di servizi di call center su numerazioni nazionali geografiche (qualsiasi numero del piano nazionale di numerazione per cui alcune cifre fungono da indicativo geografico e sono utilizzate per instradare le chiamate e le terminazioni di rete) e non geografiche (qualsiasi numero del piano nazionale di numerazione che non sia geografico ad esempio i numeri per servizi di comunicazione mobili e personali, i numeri di chiamata gratuita e i numeri a tariffazione specifica).

Cosa si intende per “attività di call center”?

Per l’individuazione di tale attività si dovrà fare riferimento alla definizione di call center contenuta nell’art. 1, lett. d) della Delibera n. 79/09/CSP dell’Autorità per le garanzie nelle comunicazioni, per il quale esso è un insieme di risorse umane e di infrastrutture specializzate che consente contatti e comunicazioni multicanale con gli utenti (attraverso più mezzi, per esempio telefonia, internet, posta). Tale attività ricade nell’ambito applicativo dell’art. 24 bis sia ove realizzata tramite strutture interne sia quando viene affidata in outsourcing, purché si utilizzino numerazioni telefoniche messe a disposizione del pubblico.

Le prescrizioni di legge si applicano sia alle attività di call center inbound che outbound?

Si, gli obblighi di legge si applicano in riferimento ai servizi di call center e relative numerazioni a prescindere dalla tipologia di svolgimento dell’attività (sia in entrata che in uscita, inbound/outbound).

L’informazione preliminare in merito al Paese in cui è fisicamente collocato l’operatore che risponde è dovuta anche nel caso in cui l’operatore è ubicato in Italia o in un Paese UE?

Si, l’obbligo informativo relativo al Paese in cui l’operatore con cui si parla è fisicamente collocato prescinde dalla localizzazione ed è applicabile anche agli operatori ubicati in Italia o in un Paese UE.

L’obbligo di informazione preliminare deve riguardare necessariamente la località in cui l’operatore è fisicamente collocato?

No, è sufficiente fornire l’informazione del Paese in cui è ubicato l’operatore del call center.

L’obbligo di informazione preliminare sulla localizzazione del call center si intende assolto anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere all’obbligo di legge tramite il sistema IVR e tramite operatore.

L’obbligo di informazione preliminare, qualora l’operatore è ubicato in un Paese extra UE, circa la possibilità di richiedere che il servizio sia reso da un operatore collocato nel territorio nazionale o in un Paese UE e l’immediato trasferimento della chiamata a seguito di specifica richiesta si intendono assolti anche attraverso ricorso al sistema di Interactive Voice Response (IVR)?

Si, è possibile adempiere agli obblighi di legge tramite il sistema IVR e tramite operatore.

logo_mise_400

 

I Modelli per adempiere agli obblighi di comunicazione nei confronti del Ministero dello sviluppo economico.

Di seguito i due modelli (il cui contenuto è aggiornato rispetto a quello già reso disponibile in passato in uno al menzionato provvedimento del 10 ottobre 2013, n. 444) volti ad agevolare l’assolvimento degli obblighi comunicativi diretti all’Autorità, utilizzabili dagli operatori economici cui facciano capo le localizzazioni in Paesi terzi dell’attività di call center (inbound e outbound):

  1. un primo modello potrà essere utilizzato, ai sensi dell’art. 24-bis, comma 2, lett. c), da parte degli operatori economici che intendono localizzare l’attività di call center in Paesi terzi in tempi successivi all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 150.000 euro per ciascuna comunicazione omessa o tardiva (art. 24-bis, comma 7, d.l. n. 83/2012).

  1. un secondo modello potrà invece essere utilizzato, ai sensi dell’art. 24-bis, comma 3, per gli operatori che abbiano localizzato  l’attività di call center in Paesi terzi anteriormente all’entrata in vigore della nuova disciplina.

A tal proposito va rammentato che in caso di omessa o tardiva comunicazione dei dati richiesti dalla legge si applica la sanzione amministrativa pecuniaria pari a 10.000 euro per ciascun giorno di ritardo (art. 24-bis, comma 3, d.l. n. 83/2012).

Lavoro: no al controllo indiscriminato di e-mail e navigazione Internet

downloadVerifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori.

Questa la decisione adottata dal Garante [doc. web n. 5408460], che ha vietato a un’università il monitoraggio massivo delle attività in Internet dei propri dipendenti. Il caso era sorto proprio per la denuncia del personale tecnico-amministrativo e docente, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dall’Ateneo.

Nel corso dell’istruttoria, l’amministrazione ha respinto le accuse, sostenendo che l’attività di monitoraggio delle comunicazioni elettroniche era attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d’autore o di indagini della magistratura. L’Università aveva inoltre aggiunto che non venivano trattati dati personali  dei dipendenti che si connettevano alla rete.

L’istruttoria del Garante ha invece evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti.

L’infrastruttura adottata dall’Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all’e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa”.

Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall’utente. E’ stato così violato lo Statuto dei lavoratori – anche nella nuova versione modificata dal cosiddetto “Jobs Act” – che in caso di controllo a distanza prevede l’adozione di specifiche garanzie per il lavoratore.

Nel provvedimento il Garante ha rimarcato che l’Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di specifiche anomalie, come la rilevata presenza di virus.

In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori.

L’Autorità ha infine riscontrato che l’Università non aveva fornito agli utilizzatori della rete un’idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali.

L’Autorità ha quindi dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l’ulteriore uso, imponendo comunque la loro conservazione per consentirne l’eventuale acquisizione da parte della magistratura.

Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy

internet bankingPer combattere i furti di identità o le frodi nell’internet banking, una banca potrà analizzare informazioni biometrico-comportamentali dei clienti, quali la pressione sul touch screen o i movimenti del mouse,  in occasione della loro “navigazione” nell’area privata del proprio sito web.

Il sistema, sottoposto al Garante della privacy per una verifica preliminare [doc. web n. 5252271], si propone di innalzare i livelli di tutela attualmente previsti (come password per l’accesso al conto corrente on line, oppure one time password per bonifici e altre operazioni) con nuove modalità di “identificazione” dell’utente.

Per raggiungere tale obiettivo, l’istituto di credito ha chiesto a un partner tecnologico di generare profili univoci dei propri clienti basati sull’analisi del loro comportamento durante le operazioni svolte nell’area riservata del sito di internet banking.

La società, in una prima fase, raccoglie informazioni su azioni spontanee dell’utente, come i movimenti del mouse (incluse reazioni inconsce a “interferenze” prodotte appositamente dal sistema), la pressione del dito su schermi tattili, oppure la velocità di digitazione sulla tastiera. Tali dati biometrici sono combinati con altre informazioni relative alla tecnologia usata per collegarsi (pc, tablet, smartphone), come i parametri del sistema operativo e del browser di navigazione.

Ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a comparare le caratteristiche della sua navigazione sul sito con quelle associate al profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.

Il Garante ha riconosciuto l’importanza delle finalità perseguite dalla banca a garanzia della sicurezza dei servizi on-line ma, proprio per la delicatezza dei dati personali trattati, ha vincolato l’attivazione del nuovo sistema alla rigorosa osservanza delle misure individuate a tutela della privacy degli interessati.

La banca, ad esempio, potrà attivare il sistema di verifica biometrico-comportamentale solamente su base volontaria, dopo aver fornito al cliente una completa informativa e averne ottenuto lo specifico consenso.

Dovrà inoltre valutare con attenzione l’effettiva pertinenza e non eccedenza di tutti i “dati di navigazione” astrattamente utilizzabili, configurando il sistema in modo tale da acquisire e trattare, fin dall’inizio, solo quelli strettamente necessari all’esecuzione del servizio.

Il partner tecnologico:

  • non avrà accesso alle schede anagrafiche dei clienti dell’istituto di credito in modo tale da non poter risalire alla loro identità e, in ogni caso,
  • non potrà interconnettere i profili comportamentali con le informazioni contenute in altre banche dati, così da scongiurare il rischio di trattamenti illeciti.

Sono state inoltre definite precise misure di sicurezza e limiti ai tempi di conservazione dei dati raccolti per la fornitura del servizio, garantendo comunque gli adempimenti previsti da specifiche normative di settore e la tutela di eventuali diritti in sede giudiziaria.

No allo spam elettorale nelle mail dei dipendenti comunali

Concept of sending e-mails from your computerUn candidato non può usare a fini di propaganda elettorale  i dati personali in suo possesso per ragioni istituzionali. È quanto ha ribadito il Garante privacy in un provvedimento con cui ha vietato ad un ex assessore di utilizzare gli indirizzi mail dei dipendenti comunali  nella sua disponibilità ai tempi del suo mandato.

La vicenda risale alle amministrative dello scorso anno, quando una dipendente comunale, aprendo la mail di lavoro,  scopre che l’ex assessore al personale si candida alle elezioni regionali e chiede il suo voto.

La scena si ripete più volte –  probabilmente la stessa mail è stata spedita a tutto il personale comunale – e alcuni dipendenti, che si ritengono lesi nei loro diritti, si rivolgono al Garante per la protezione dei dati personali. I dipendenti segnalano all’Autorità che gli indirizzi mail sono stati acquisiti da un indirizzario di posta elettronica che non è pubblico, essendo ad esclusivo uso interno dell’amministrazione e nella disponibilità dell’ex assessore al personale  in virtù dell’incarico precedentemente ricoperto.

Per questo motivo ritengono che i loro dati personali siano stati trattati in modo non corretto e  in violazione delle regole dettate dal Garante privacy in materia di propaganda elettorale.

Tesi condivisa dall’Autorità che, nell’emettere il provvedimento di divieto, ha ritenuto l’operato dell’ex assessore illecito sotto diversi profili.

  • In primo luogo, perché il trattamento dei dati è avvenuto in violazione del principio di finalità: gli indirizzi mail comunali, infatti, il cui scopo è quello di consentire il contatto per l’assolvimento delle funzioni istituzionali, non possono essere utilizzati per il perseguimento di altre finalità (non compatibili con quelle che ne hanno giustificato la raccolta originaria),  come appunto la propaganda elettorale. Così come non possono essere utilizzati liberamente da chi ricopre incarichi pubblici e detiene  questi dati solo per lo svolgimento dei propri compiti istituzionali.
  • In secondo luogo perché, come affermato dal Garante in più occasioni, i partiti, le liste o i singoli candidati non possono utilizzare indirizzi di posta elettronica senza il consenso specifico e informato dei destinatari. Consenso che, nel caso in esame,  non risulta acquisito, come non risulta che i destinatari siano stati informati sull’uso che veniva fatto dei loro dati.

Con un autonomo procedimento l’Autorità provvederà a verificare i presupposti per l’applicazione della sanzione amministrativa prevista per l’omessa informativa e la  mancata acquisizione del consenso.

Recupero crediti, OIC: tutelare privacy dei consumatori e diritti delle imprese

image_galleryFonte: Help Consumatori

Il 18 aprile scorso, il Garante per la Protezione dei dati personali ha pubblicato una guida che illustra in maniera sintetica il modo più corretto in cui le società di recupero crediti possono trattare le informazioni personali che riguardano i debitori.

A poco più di una settimana di distanza, le associazioni dei consumatori che fanno parte dell’OIC (Osservatorio Imprese e Consumatori) hanno incontrato, in un convegno dal titolo “Recuperare credito”, autorità e imprese per trovare insieme una strada che conduca ad un equilibrio tra due opposti interessi: quello di coloro che cercano di recuperare quanto dovuto (le imprese) e quello dei consumatori che vogliono vedere tutelata la propria privacy.

Quando parliamo di recupero crediti in Italia, ci rifacciamo, sotto l’aspetto normativo, ad una norma che risale ad un Regio Decreto del 1931 e che per quasi 90 anni non è mai stata modificata”, ha tenuto a precisare il Antonio Persici, Presidente di OIC che continua, “Per anni l’attività di recupero crediti è stata poco e male considerata dal legislatore. Eppure sappiamo bene quanto il ritardo dei pagamenti sia letale tanto per le imprese che per la Pubblica Amministrazione, con effetti negativi sull’intero Sistema Paese”.

Il vademecum pubblicato dal Garante per la Privacy ha fatto un lavoro di sintesi, come precisa il Daniele De Paoli, del Dipartimento Realtà Economiche e Produttive del Garante, e dell’Autorità, “tra le principali novità avvenute nel comparto dal 2005 al 2015, alla luce dei cambiamenti avvenuti sul mercato”. De Paoli ha tenuto a sottolineare come “le istanze che arrivano al Garante e che riguardano il recupero crediti rappresentano, di fatto, una percentuale consistente– parliamo di alcune centinaia l’anno- e la maggior parte hanno a che fare con la violazione della riservatezza e della dignità della persona oppure con pratiche di contatto invasive: basti pensare che, nel 90% dei casi, ci si rivolge all’Autorità perché la comunicazione della morosità viene data a terze persone diverse dal diretto interessato”.

Quali soluzioni trovare allora per limitare queste pratiche? “Tanto per cominciare”, ha detto Persici, “la registrazione della telefonata tra l’operatore e il debitore può essere un modo per documentare in maniera certa il contatto. Inoltre, occorre senza dubbio provvedere ad una adeguata formazione del personale delle società di recupero crediti in modo che la comunicazione si svolga nel pieno rispetto dei diritti dell’interessato”. Dello stesso avviso si è detto anche De Paoli che, nel suo intervento, ha accolto positivamente le proposte di OIC.

Secondo Enrico Maria Cotugno, Vice Direttore di AGCOM, “dovremmo partire dal fatto che le imprese non devono cedere crediti “sporchi”, ossia esigere crediti da clienti con i quali hanno in sospeso dei reclami: questo sarebbe un buon modo per distinguere sul nascere i veri debitori dai clienti che invece hanno diritto a non pagare”.

L’OIC, da canto suo, sottolinea invece “l’importanza di un confronto con gli operatori del settore del recupero credito, attraverso il quale si possa colmare la lacuna dell’attuale sistema normativo. Inoltre, la strada del dialogo consentirebbe di trovare soluzioni rapide e aumentare la fiducia del consumatore”.

Il Garante a Facebook: stop ai fake e trasparenza sui dati

Prima pronuncia dell’Autorità italiana nei confronti di Menlo Park, applicabile la normativa nazionale: Facebook dovrà comunicare ad un proprio utente tutti i dati che lo riguardano – informazioni personali, fotografie, post – anche quelli inseriti e condivisi da un falso account, il cosiddetto “fake”.

Facebook_news

Non solo: la società di Menlo Park dovrà bloccare il fake ai fini di un’eventuale intervento da parte della magistratura. Lo ha stabilito il Garante per la protezione dei dati personali nella sua prima pronuncia nei confronti del colosso web [doc. web n. 4833448], nella quale afferma la propria competenza a intervenire a tutela degli utenti italiani.

Il social network dovrà, inoltre, fornire all’iscritto, in modo chiaro e comprensibile, informazioni anche:

  • sulle finalità, le modalità e la logica del trattamento dei dati,
  • i soggetti cui sono stati comunicati o che possano venirne a conoscenza.

Il Garante ha accolto il ricorso di un iscritto a Facebook che si era rivolto all’Autorità dopo aver interpellato il social network ed aver ricevuto una risposta ritenuta insoddisfacente. L’iscritto lamentava di essere stato vittima di minacce, tentativi di estorsione, sostituzione di persona  da parte di un altro utente di Facebook, il quale, dopo aver chiesto e ottenuto la sua “amicizia”, avrebbe inizialmente intrattenuto una corrispondenza confidenziale, poi sfociata nei tentativi di reato.

Il ricorrente sosteneva, inoltre, che il “nuovo amico” – visto il suo rifiuto di sottostare alle richieste di denaro – avrebbe creato un falso account, utilizzando i suoi dati personali e la fotografia postata sul suo profilo, dal quale avrebbe inviato a tutti i contatti Facebook dell’interessato fotomontaggi di fotografie e video gravemente lesivi dell’onore e del decoro oltre che della sua immagine pubblica e privata.

L’interessato chiedeva quindi la cancellazione e il blocco del falso account, nonché la  comunicazione dei suoi dati in forma chiara, anche di quelli presenti nel fake.

Prima di intervenire nel merito, il Garante, anche alla luce della direttiva 95/46/EC e delle sentenze della Corte di Giustizia europea “Google Spain” del 13 maggio 2014 e “Weltimmo” del 1 ottobre 2015, ha innanzitutto affermato la competenza dell’Autorità italiana sul caso in esame, ritenendo applicabile il diritto nazionale.

La multinazionale, infatti, è presente sul territorio italiano con un’organizzazione stabile, Facebook Italy srl, la cui attività è inestricabilmente connessa con quella svolta da Facebook Ireland ltd  che ha effettuato il trattamento di dati contestato. Il Garante ha accolto le tesi del ricorrente ritenendolo, in base alla normativa italiana, legittimato ad accedere a tutti i dati che lo riguardano compresi quelli presenti e condivisi nel falso account.

Ha quindi ordinato a Facebook di comunicare all’interessato tutte le informazioni richieste entro un termine preciso.

L’Autorità non ha invece ritenuto opportuno ordinare alla società la  cancellazione  delle informazioni, poiché esse potrebbero essere valutabili in sede di accertamento di possibili reati. Ha di conseguenza  imposto a Menlo Park di non effettuare alcun ulteriore trattamento dei dati del ricorrente e di conservare quelli finora trattati ai fini della eventuale acquisizione da parte dell’autorità giudiziaria. 

Privacy by Design: l’approccio corretto alla protezione dei dati personali

Il tema della privacy riguarda il diritto degli individui alla protezione dei propri dati personali. L’evoluzione tecnologica ha inciso ovviamente anche sulla privacy poiché è necessario prevenire i rischi e comunque garantire la protezione dei dati personali.

I dati relativi alla rete internet e al numero di utenti ad essa connessi sono sufficientemente eloquenti e attestano come siano mutate in modo radicale nel corso degli anni sia le attività lavorative sia le abitudini di vita delle persone.

Questo complesso scenario ha determinato la necessità di una evoluzione anche per la privacy. Infatti, già a metà degli anni ’90, il contesto internazionale ha evidenziato il cambiamento apportato alla privacy proponendo le c.d. PET (acronimo di Privacy Enhancing Technologies), ossia tutte quelle tecnologie in ambito ICT che sono utili ad accrescere la protezione dei dati personali.

Del resto, un riferimento a questo importante concetto delle PET è contenuto nell’art. 3 del codice della privacy, rubricato “Principio di necessità nel trattamento dei dati”, che recita

“I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”. Successivamente alle PET si è giunti alla Privacy by Design.

Question-Mark-Man

Ma che cos’è la Privacy by Design (PbD) e cosa rappresenta?

La Privacy by Design è un ulteriore tassello nella evoluzione dei principi relativi alla protezione dei dati personali e rappresenta il futuro della privacy. Si tratta di un innovativo approccio concettuale che va utilizzato in ogni occasione e contesto in cui sia necessario garantire la protezione dei dati personali; è il sistema attuale per affrontare la privacy mediante il quale si devono sdoganare criteri ed approcci meno recenti.

In sostanza la Privacy by Design rappresenta il futuro della privacy.

Nel 2010 la 32ma Conferenza mondiale dei Garanti privacy ha adottato la risoluzione sulla Privacy by Design (PbD) rendendo in tal modo ufficiale questo nuovo concetto che era comunque già noto ed utilizzato negli Stati Uniti e in Canada. Con la PbD si è inteso istituzionalizzare il cambiamento e l’evoluzione della privacy che, pertanto, richiede un nuovo approccio per garantire una migliore protezione dei dati personali.

Successivamente, il concetto di Privacy by Design – sebbene con una qualificazione diversa (privacy by design and by default) – è stato introdotto nella proposta di riforma europea della normativa in materia di dati personali che attualmente attende l’approvazione definitiva. Infatti, il 25 gennaio 2012 la Commissione europea ha proposto il nuovo quadro giuridico europeo in materia di protezione dei dati e la proposta di Regolamento introduce (articolo 23) l’espressione “data protection by design and by default”. Secondo il testo di questo articolo è chiaro che la Commissione europea esamini i termini “by design” e “by default” come concetti diversi, anche se utilizzati congiuntamente come unica espressione.

Nel contesto internazionale, però, è presente unicamente la descrizione ben strutturata della Privacy by Design, frutto della elaborazione della Dott.ssa Ann Cavoukian (che, quale Information and Privacy Commissioner of Ontario, Canada, fu tra i promotori della risoluzione adottata nel 2010).

Secondo questa impostazione, l’utente è considerato il centro del sistema privacy(per definizione, quindi, è “user centric”). Qualsiasi progetto (sia strutturale sia concettuale) va realizzato considerando dalla progettazione (appunto by design) la riservatezza e la protezione dei dati personali.

La PbD comprende una trilogia di applicazioni:

  1. sistemi IT
  2. pratiche commerciali corrette
  3. progettazione strutturale e infrastrutture di rete

e vengono individuati 7 principi definiti fondazionali che esprimono pienamente l’intero senso di questa prospettiva:

  1. Proattivo non reattivo – prevenire non correggere
  2. Privacy come impostazione di default
  3. Privacy incorporata nella progettazione
  4. Massima funzionalità − Valore positivo, non valore zero
  5. Sicurezza fino alla fine − Piena protezione del ciclo vitale
  6. Visibilità e trasparenza − Mantenere la trasparenza
  7. Rispetto per la privacy dell’utente − Centralità dell’utente.

Si tratta, indubbiamente, di un approccio metodologico ben strutturato che garantisce una neutra e solida funzionalità operativa indipendente da specifiche soluzioni tecnologiche. Del resto, ciò è del tutto conforme con i valori fondamentali dell’individuo.

L’obiettivo principale è quello di elaborare due concetti: la protezione dei dati e degli utenti.

In realtà, si presta attenzione in primo luogo alla privacy e, dopo si cerca di rispettare il diritto. L’approccio alla protezione dei dati personali e alla privacy, infatti, non può essere basata su una valutazione di conformità normativa perché è necessario che un qualsiasi processo proceda dall’utente, mettendo lui/lei al centro.

L’utente diventa il punto di partenza per sviluppare il progetto in base alla legge sulla privacy e quindi con un approccio user-centric.

Ogni volta che un progetto inizia deve prendere in considerazione, prima di tutto, il ruolo dell’utente, progettando tutto attorno alla persona fisica. Secondo questo metodo è molto semplice evitare i rischi privacy e di sicurezza.

La PbD esclude, pertanto, che si possa effettuare una valutazione di conformità alla normativa successivamente alla redazione del progetto o comunque posteriormente in occasione di un evento, in quanto la privacy va considerata già nella fase di progettazione.

La valutazione di “PbD compliance” costituisce un valore aggiunto di rilievo perché attesta che tutti i processi sono stati seguiti considerando adeguatamente la protezione dei dati personali.

La proposta europea di Regolamento contiene il riferimento alla “data protection by design and by default” ma – sebbene indichi chiaramente il senso di un cambio di prospettiva rispetto al passato – l’approccio utilizzato nel testo normativo sembra più attento alle tecnologie applicate alla privacy piuttosto che alla metodologia da utilizzare e all’essenza del concetto di “by design”.

In realtà, non si può prescindere dal preminente ruolo dell’utente i cui dati personali devono essere trattati in maniera adeguata anche al fine di prevenire o ridurre al minimo i rischi privacy.
Le applicazioni pratiche della Privacy by Design sono molteplici e non soggette a limiti (dalla progettazione strutturale di edifici o di ambienti, alla realizzazione di un progetto tecnologico o organizzativo, ad ogni soluzione progettuale in ambito IT). L’approccio alla PbD non richiede un’applicazione solo su nuovi progetti, poiché anche quelli esistenti possono beneficiare di questo sistema senza pregiudizio per quanto già realizzato.

Ad oggi, nonostante la risoluzione sulla Privacy by Design sia stata adottata nel 2010 anche con la partecipazione del Garante italiano, non risultano provvedimenti dell’Autorità che richiamino i principi contenuti nella citata risoluzione e sarebbe auspicabile che in essi si possano leggere considerazioni e determinazioni in ordine ad applicazioni concrete dei principi della Privacy by Design rispetto ai casi specifici.

Lo scrivente da tempo sostiene la opportunità e la necessità di sviluppare e strutturare norme uniformi per uno standard privacy internazionale che garantisca, nel rispetto delle normative degli Stati, un framework comune di riferimento con cui agevolare i trattamenti di dati personali e garantirne la protezione nel rispetto della privacy.

Dossier sanitario: stop agli accessi indiscriminati ai dati dei pazienti

DSENo all’accesso indiscriminato al dossier sanitario elettronico. I dati devono essere accessibili solo ai professionisti sanitari che assistono in quel momento il paziente e solo per il tempo necessario alla cura.

I principi, già affermati in casi analoghi, sono stati ribaditi dal Garante privacy con un provvedimento [doc. web n. 4449114] in cui ha dettato all’Azienda Usl 11 di Empoli una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.

Il dossier è uno strumento costituito da un organismo sanitario (ospedale, clinica privata) contenente informazioni sullo stato di salute di un  assistito di quella struttura relative ad eventi clinici presenti e passati (es. referti, documentazione sui ricoveri, accessi al pronto soccorso).

Le irregolarità, emerse nel corso di accertamenti ispettivi, riguardavano, in particolare:

  • l’informativa (carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier) e
  • la costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda.

Va ricordato infatti, che il  paziente deve poter scegliere in modo libero e consapevole se far costituire o meno il dossier.

Gli accessi indiscriminati al sistema informatico, inoltre, a differenza di quanto stabilito nelle Linee guida del 2015, permettevano ad ogni medico della struttura di consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda.

L’Azienda – come prescritto dall’Autorità – entro il 31 marzo 2016 dovrà quindi adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti.

Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica).

Il personale amministrativo, invece, potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni.

L’Azienda, infine, dovrà modificare l’informativa, integrandola con tutti gli elementi previsti dalla normativa, necessari per mettere in condizione il paziente di fare scelte consapevoli:

  • sulla costituzione del dossier,
  • sui documenti sanitari da far inserire o escludere e
  • sui diritti che può esercitare.

L’Autorità si è riservata di valutare, con separato provvedimento, gli estremi  per contestare all’Azienda  l’applicazione delle  sanzioni amministrative previste dal Codice privacy.

Informazioni commerciali a prova di privacy: il Garante vara il Codice di deontologia

Privacy-Garante-nuove-regole-su-spamFissate le regole per il corretto uso dei dati sull’affidabilità commerciale di imprenditori e manager:

  • Le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno raccogliere dati  solo da fonti pubbliche o direttamente dall’interessato.
  • I dossier dovranno essere sempre aggiornati e la conservazione dei dati avrà precisi limiti temporali.

Queste alcune tra le principali misure prescritte dal Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale, promosso dal Garante della privacy e redatto insieme a varie associazioni di categoria, imprenditoriali e dei consumatori, interessate al settore.

Il nuovo Codice, sottoscritto dalle  associazioni e pubblicato  il 13 ottobre 2015 sulla Gazzetta ufficiale, interviene a regolare un settore particolarmente importante per il corretto funzionamento del mercato. Le società che offrono informazioni commerciali, infatti, grazie al loro lavoro di valutazione della situazione economica, finanziaria e patrimoniale, sono in grado di segnalare eventuali rischi relativi a soggetti in affari.

Tuttavia, come ha più volte sottolineato il Garante, intervenuto negli anni a seguito di numerosi ricorsi e segnalazioni su queste attività,  il non corretto utilizzo di banche dati e di strumenti di analisi così invasivi può arrecare seri danni alla dignità e alla riservatezza delle persone coinvolte, nel  caso, ad esempio, in cui venissero raccolte e utilizzate informazioni inesatte, non aggiornate o che devono rimanere private.

Le nuove regole in sintesi

Ecco in sintesi le regole più rilevanti fissate dal Codice di deontologia alle quali dovranno attenersi tutti gli operatori del settore.

Ricerche limitate a persone con legami giuridici o economici

Per realizzare un dossier di informazione commerciale su un manager o un imprenditore, si possono utilizzare solo i suoi dati personali, oppure quelli di persone fisiche o giuridiche che con lui hanno o hanno avuto legami economici o giuridici.

Informazioni pubbliche o liberamente comunicate

Sono utilizzabili i dati provenienti da “fonti pubbliche”, come i pubblici registri, gli elenchi, i documenti conoscibili da chiunque (bilanci, informazioni contenute nel registro delle imprese presso le Camere di commercio, atti immobiliari e altri atti c.d. pregiudizievoli come l’iscrizione di ipoteca o la trascrizione di pignoramento, decreti ingiuntivi o altri atti giudiziari).

Per la prima volta, saranno utilizzabili a questi fini:

  • anche i dati estratti da “fonti pubblicamente e generalmente accessibili da chiunque”, come le testate giornalistiche cartacee o digitali,
  • oltre che informazioni attinte da elenchi telefonici, da siti web di enti pubblici o altre autorità di vigilanza e controllo.

Tutti questi dati, come previsto dal Codice della privacy, possono essere trattati senza il consenso degli interessati.

Potranno essere utilizzati anche i dati personali che il soggetto stesso ha liberamente deciso di comunicare al fornitore di informazioni commerciali.

Gli operatori dovranno sempre annotare la fonte da cui hanno tratto i dati personali sulla persona censita.

Informativa e pronto riscontro agli interessati

Tutte le società del settore dovranno pubblicare un’informativa completa almeno sul proprio sito web.

Quelle con un fatturato superiore a 300.000 euro (in questo ambito di attività) dovranno realizzare insieme un unico portale dove inserire le comunicazioni sulle attività di informazione commerciale.

E’ previsto inoltre l’obbligo per gli operatori del settore di garantire un riscontro telematico, tempestivo e completo, alle richieste in materia di privacy avanzate dalle persone censite.

Limiti all’utilizzo e alla conservazione dei dati

I dati personali possono essere conservati solo per periodi di tempo ben definiti e, comunque, trattati nel rispetto dei limiti alla conoscibilità, all’utilizzabilità e alla pubblicità dei dati previsti dalle normative di riferimento (ad esempio quella sulla trasparenza o sulla pubblicità legale degli atti).

Potranno essere trattati anche dati giudiziari (come quelli relativi  ad un’eventuale condanna, ad esempio, per bancarotta fraudolenta) della persona censita. Tali informazioni, se tratte da un giornale, o da un’altra fonte pubblicamente e generalmente accessibile, non possono risalire a più di sei mesi prima.

Dati sempre pertinenti e aggiornati

Gli operatori del settore dovranno utilizzare solo dati pertinenti e non eccedenti l’attività di informazione commerciale.

I dati dovranno essere sempre aggiornati.

Sicurezza delle informazioni

Le società dovranno adottare misure per garantire la sicurezza, l’integrità e la riservatezza delle informazioni commerciali.

Il nuovo Codice di deontologia entrerà in vigore il 1 ottobre 2016, così da offrire agli operatori il tempo necessario per poter conformare le banche dati e i sistemi informativi alle prescrizioni stabilite. A partire da quella data, qualunque trattamento di dati personali per finalità di informazione commerciale non conforme al testo appena sottoscritto sarà considerato illecito.

Videosorveglianza con informativa anche senza registrazione

La ripresa di immagini è sempre videosorveglianza anche se non si fa registrazione e i volti ripresi sono sempre un dato personale, anche se la persona non viene identificata.

La Cassazione (sentenza n. 17440 del 2 settembre 2015) cambia la sua giurisprudenza e fa chiarezza sulle regole generali della videosorveglianza e conferma la sanzione comminata dal garante della privacy a una torrefazione calabrese, che non aveva esposto il cartello informativo previsto per la videosorveglianza.

Nel caso specifico si è trattato di una telecamera:

  • presente all’interno di un negozio,
  • collegata a un monitor sistemato nel soppalco dell’esercizio commerciale,
  • utilizzata dal titolare per sorvegliare l’accesso degli avventori.

La vicenda è stata sanzionata dal Garante della privacy per violazione dell’obbligo di informativa ai sensi dell’articolo 13 del codice della privacy (Dlgs 196/2003).

Il commerciante ha presentato opposizione in cui ha sostenuto che non aveva trattato dati personali e questo perché non c’era la registrazione delle immagini e perché riprendeva le immagini senza poter identificare le persone.
In effetto un orientamento giurisprudenziale risalente al 2009 (sentenza n. 12997 della Cassazione) sosteneva che l’immagine non fosse di per sé un dato personale, senza una didascalia o un sonoro che individuasse la persona.
Questo orientamento è stato accolto dal giudice di primo grado, che ha annullato la sanzione, ritenendo che l’immagine di una persona non potesse essere definita dato personale in assenza di elementi oggettivi che ne consentano una potenziale identificazione.
In particolare, il Tribunale ha valorizzato le modalità e la funzione della videoripresa, finalizzata unicamente a consentire al titolare dell’esercizio di controllare l’accesso di persone sospette nel proprio locale al piano terreno per il tempo in cui lo stesso si trovava nel laboratorio collocato su un soppalco, in assenza di ogni potenziale identificabilità delle persone riprese, peraltro da un apparecchio di non elevata definizione, senza alcuna possibilità di registrazione delle immagini stesse.

Con la sentenza in commento la Cassazione cambia idea, riforma la sentenza di primo grado e sostiene che l’immagine è un dato immediatamente idoneo a identificare la persona, a prescindere dalla sua notorietà.

In particolare, con riferimento all’attività di videosorveglianza senza registrazione, la Cassazione ricorda che il trattamento è legittimo e riporta quanto prescritto dal garante e cioè che «nei casi in cui le immagini sono unicamente visionate in tempo reale, oppure conservate solo per poche ore mediante impianti a circuito chiuso (Cctv), possono essere tutelati legittimi interessi rispetto a concrete ed effettive situazioni di pericolo per la sicurezza di persone e beni, anche quando si tratta di esercizi commerciali esposti ai rischi di attività criminali in ragione della detenzione di denaro, valori o altri beni (ad esempio gioiellerie, supermercati, filiali di banche, uffici postali)».

Il trattamento è legittimo, ma proprio per questo è soggetto all’obbligo dell’informativa.
E in caso di violazione di questo obbligo scatta la sanzione amministrativa pecuniaria prevista dall’articolo 161 del codice della privacy.