GARANTE PRIVACY – Nota 21 giugno 2018, n. 442
Garante a Wind Tre: basta telemarketing indesiderato – Vietato il trattamento dei dati senza consenso
Wind Tre dovrà rivedere le procedure, “ereditate” da H3G in seguito alla fusione aziendale, con le quali gestisce telefonate ed sms promozionali, al fine di interrompere i contatti commerciali indesiderati. Non potrà inoltre utilizzare, per finalità di marketing, i dati personali di quanti non abbiano espresso un libero e valido consenso per tale trattamento. Questa la decisione adottata dal Garante al termine delle ispezioni avviate muovendo dalle numerose segnalazioni di utenti che protestavano per il disturbo arrecato dalla rete commerciale della società [doc. web n. 8995285].Gli accertamenti – avviati nel 2016 con la collaborazione della Guardia di finanza – hanno confermato la presenza di molteplici violazioni, tra cui la ricezione di contatti commerciali in tempi successivi rispetto all’esercizio del diritto di opposizione. A fronte delle lamentele degli utenti, la società spesso si giustificava facendo riferimento a non meglio precisati disguidi tecnici.Sono emerse gravi carenze anche nella modalità con cui la compagnia telefonica ha costruito la governance, con riguardo ai profili di protezione dei dati, in particolare per quanto concerne la propria rete commerciale. H3G, pur essendo il titolare del trattamento dei dati delle persone contattate dai propri partner, aveva erroneamente qualificato larga parte dei punti vendita come titolari autonomi. La società non aveva predisposto delle liste di esclusione (le cosiddette “black list”) volte a prevenire che i propri partner inserissero nelle campagne promozionali numerazioni di chi si era già opposto al trattamento dei propri dati per finalità di marketing.Alla luce delle irregolarità riscontrate, il Garante ha vietato a Wind Tre l’ulteriore trattamento dei dati personali per finalità di marketing in assenza di un valido, preventivo consenso espresso dagli utenti. Ha inoltre prescritto l’adozione di significative misure tecnico-organizzative che garantiscano il pieno rispetto della normativa privacy, in particolare dei principi di correttezza e di privacy by design. La compagnia telefonica dovrà quindi creare liste di esclusione che i partner commerciali dovranno consultare prima di procedere con qualunque contatto promozionale. Tali liste dovranno essere tempestivamente aggiornate e condivise su base giornaliera con i partner coinvolti nelle campagne marketing. Agli utenti che si sono opposti a telefonate ed sms promozionali dovrà essere comunicato un codice univoco di conferma che possa essere utilizzato in caso di lamentela. Dovranno comunque essere rimosse tutte le condotte che limitano o comportano un più oneroso esercizio dei diritti per gli interessati. L’Autorità ha avviato autonomi procedimenti sanzionatori per contestare le violazioni amministrative già accertate.
Body cam sui treni: sì, ma nel rispetto di chi è filmato
Una società di trasporto pubblico ferroviario potrà dotare di body cam (videocamere indossabili) gli addetti alla sicurezza e i capitreno per contrastare e prevenire aggressioni furti e atti vandalici, in aumento negli ultimi anni. Ma dovrà adottare precise misure a tutela della riservatezza delle persone riprese [doc. web n. 8995107].Per dare il suo via libera al progetto sperimentale, il Garante privacy ha considerato l’impossibilità tecnica di installare telecamere a bordo dei treni di più vecchia costruzione, le specifiche finalità di sicurezza anche dei numerosi utenti del servizio e le finalità di tutela dei beni aziendali. L’Autorità ha però prescritto una serie di cautele e accorgimenti a garanzia di dipendenti e utenti. Le body cam non saranno sempre accese, ma potranno essere attivate dai capitreno o dagli addetti alla sicurezza solo in presenza di un pericolo concreto per le persone o le cose. Un led rosso ne segnalerà l’attivazione.I dispositivi trasmetteranno le immagini alla sala operativa in tempo reale. Chi effettua le riprese non potrà modificarle, cancellarle né duplicarle. Solo soggetti diversi, specificamente autorizzati, una volta verificato che le immagini raccolte riguardino fatti realmente pericolosi, potranno disporne l’eventuale estrazione. Questa attività dovrà essere tracciata.La società, inoltre, dovrà disciplinare le modalità di utilizzo e le specifiche condizioni che legittimano l’attivazione dei dispositivi e dovrà adottare particolari cautele nel caso in cui le riprese video coinvolgano soggetti “deboli” (testimoni, vittime di reati, minori ecc.) o riprendano luoghi con particolari aspettative di riservatezza (ad esempio le toilette). Le immagini raccolte, a cui avranno accesso solo i soggetti autorizzati, dovranno essere conservate in forma cifrata ed essere cancellate automaticamente e irreversibilmente una volta decorso il periodo previsto di una settimana, fatte salve eventuali esigenze di indagine e di accertamento dell’Autorità giudiziaria. La società dovrà disattivare la funzionalità audio, ritenuta non necessaria dalla stessa società, e in caso di comunicazione delle riprese alle compagnie di assicurazione dovrà oscurare le immagini delle persone non coinvolte.Dovranno essere predisposti inoltre adeguati strumenti di comunicazione anche a bordo delle vetture per avvisare gli utenti della presenza del sistema di videosorveglianza mobile e delle sue caratteristiche. La società, che dovrà fornire un’idonea informativa ai dipendenti sull’uso delle body cam, si è impegnata a rispettare il divieto di controllo a distanza dei lavoratori e a siglare un apposito accordo con le organizzazioni sindacali.
Marketing: stop al pop up con il consenso incorporato
Il Garante ha vietato a una società che offre servizi di comparazione sul proprio sito web (mutui, assicurazioni, luce, gas, telefonia) il trattamento, per finalità di marketing e di vendita ad altre aziende, dei dati raccolti attraverso un pop up senza il necessario consenso degli utenti [doc. web n. 8995274]. L’intervento del Garante ha fatto seguito ad alcune segnalazioni, riguardanti – a seconda dei casi – comunicazioni promozionali indesiderate ricevute dalla stessa società per telefono o per email, oppure telefonate promozionali indesiderate, su utenze fisse e mobili, effettuate per conto di società dei settori energetico e delle telecomunicazioni. Le verifiche ispettive svolte dall’Autorità, anche con l’ausilio del Nucleo speciale privacy della Guardia di Finanza, hanno accertato che il pop up non permetteva l’accesso ai servizi offerti se l’utente non accettava, con un unico consenso, il trattamento dei dati per diverse finalità (fra le quali il marketing o la comunicazione dei dati a terzi). In caso di compilazione delle caselle di testo, ma di mancata spunta del consenso, infatti, il sito non acquisiva i dati inseriti e non consentiva di procedere con la richiesta. Perciò, anche se l’informativa faceva riferimento alle diverse finalità di trattamento di dati, non si consentiva agli utenti di esprimere, come prevede la normativa, consensi specifici e differenziati. Se la società vorrà ancora utilizzare il pop up per raccogliere i dati a scopo promozionale (o per altre finalità) dovrà consentire all’utente di scegliere liberamente se e quali finalità autorizzare. Nel disporre il divieto, il Garante ha ribadito che la raccolta e/o la conservazione di dati personali, effettuate in violazione dell’obbligo del consenso informato, rappresentano un illecito trattamento dei dati a prescindere dal loro ulteriore uso e ha affermato che i dati raccolti con il pop up possono essere utilizzati solo per l’esecuzione delle richieste degli utenti. L’Autorità ha vietato anche il trattamento dei dati tratti da elenchi acquisiti da altre aziende e per i quali la società non è stata in grado di dimostrare di avere il consenso libero e specifico per il marketing né quello per la comunicazione ad altri soggetti per scopi promozionali. Il Garante, inoltre, ha ordinato alla società di avvisare tutti i soggetti ai quali ha ceduto liste di dati personali che questi non possono essere utilizzati senza aver acquisito il necessario consenso per le proprie attività. Per le violazioni riscontrate la società ha oblato le sanzioni ammnistrative già contestate dal Nucleo speciale privacy.Per contrastare la circolazione di dati “viziati” ed ulteriori possibili trattamenti illeciti, come il telemarketing indesiderato, l’Autorità si è riservata di effettuare accertamenti anche nei confronti dei partner commerciali della società.
Possono essere interessanti anche le seguenti pubblicazioni:
- GARANTE PROTEZIONE DATI PERSONALI - Nota n. 505 del 28 giugno 2023 - Fidelity card: il Garante privacy sanziona il Gruppo Benetton - Garante: stop al web scraping per formare elenchi telefonici - Garante privacy: illecite le email pubblicitarie senza…
- MINISTERO FINANZE - Decreto ministeriale 01 febbraio 2024 Modalità di utilizzo dei dati fiscali relativi ai corrispettivi trasmessi al Sistema tessera sanitaria Art. 1 Definizioni 1. Ai fini del presente decreto si intende per: a) «dati fiscali», i…
- GARANTE della PROTEZIONE dei DATI PERSONALI - Nota n. 521 del 10 aprile 2024 - Attacco hacker ai sistemi informatici della Regione Lazio: sanzioni del Garante privacy - Dossier sanitario: il Garante Privacy sanziona una Asl - Pa: trasparenza siti, il…
- GARANTE della PROTEZIONE dei DATI PERSONALI - Nota n. 509 dell' 11 settembre 2023 - Telemarketing selvaggio: il Garante Privacy sanziona Tiscali e Comparafacile - Lavoro: sì all’accesso del dipendente alla relazione investigativa - Videosorveglianza:…
- GARANTE per la PROTEZIONE dei DATI PERSONALI - Nota n. 516 del 19 gennaio 2024 - Giustizia: Garante Privacy, più tutele per gli atti videoregistrati - Telemarketing: il Garante Privacy multa un call center per 60mila euro - Salute, donazione del corpo…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 03 dicembre 2021, n. 484 - Tabulati: Tim nega l'accesso a un cliente e scatta la sanzione del Garante privacy - Customer care: Garante privacy, no al controllo a distanza dei lavoratori - Sanità: sì del Garante…
RICERCA NEL SITO
NEWSLETTER
ARTICOLI RECENTI
- L’indennità sostitutiva di ferie non godute
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 9009 depositata…
- Il giudice tributario è tenuto a valutare la corre
La Corte di Cassazione, sezione tributaria, con l’ordinanza n. 5894 deposi…
- Il lavoratore ha diritto al risarcimento del danno
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 10267 depositat…
- L’Iva detratta e stornata non costituisce elusione
L’Iva detratta e stornata non costituisce elusione, infatti il risparmio fiscale…
- Spese di sponsorizzazione sono deducibili per pres
La Corte di Cassazione, sezione tributaria, con l’ordinanza n. 6079 deposi…