GARANTE PROTEZIONE DATI PERSONALI – Nota 22 luglio 2019, n. 456 – Garante privacy: no spam ai possessori di carte fedeltà – Diritto all’oblio anche per i dati che rendono identificabile una persona – Isee precompilato: Garante, ok alla prima fase attuativa – Gdpr: le prescrizioni del Garante per poter trattare categorie particolari di dati

Garante privacy: no spam ai possessori di carte fedeltà – Diritto all’oblio anche per i dati che rendono identificabile una persona – Isee precompilato: Garante, ok alla prima fase attuativa – Gdpr: le prescrizioni del Garante per poter trattare categorie particolari di dati

Garante privacy: no spam ai possessori di carte fedeltà

L’Autorità impone a una catena commerciale misure a tutela dei consumatori

Non è lecito l’invio di comunicazioni commerciali ai possessori di tessere fedeltà che non abbiano espresso uno specifico e libero consenso all’uso dei propri dati a fini di marketing. E’ quanto ribadito dal Garante Privacy in un provvedimento con cui ha imposto a un’importante catena di negozi una serie di misure per garantire il rispetto delle misure poste a tutela della privacy dei consumatori.

Il provvedimento è stato adottato in seguito alle violazioni segnalate da alcuni clienti e confermate da un’ispezione svolta dall’Autorità con l’ausilio del Nucleo speciale privacy della Guardia di Finanza, prima dell’applicazione del nuovo Regolamento UE sulla protezione dei dati personali (Gdpr), al termine della quale la stessa Guardia di Finanzia aveva provveduto a contestare direttamente in loco una sanzione amministrativa.

I clienti si erano lamentati per la continua e indesiderata ricezione in posta elettronica di offerte commerciali da parte dell’azienda di cui possedevano una carta fedeltà. Gli interessati avevano, peraltro, chiesto più volte alla società, sia telefonicamente, sia tramite procedure automatizzate, di cancellare il proprio indirizzo dalla mailing list pubblicitaria, ma senza ottenere alcun risultato.

Nel corso dell’istruttoria avviata dal Garante, l’impresa si è giustificata affermando di non essere stata in grado di bloccare l’invio di e-mail pubblicitarie per problemi connessi alle sue banche dati – contenenti dati di oltre dieci milioni di clienti – che, in quel periodo, erano in fase di migrazione verso un’unica piattaforma.

Dall’ispezione sono emersi ulteriori problemi relativi alla gestione dei dati personali dei clienti. E’ stato in particolare accertato che il consenso al trattamento dei dati per l’invio di comunicazioni commerciali – acquisito attraverso i vecchi moduli di adesione al programma fedeltà – non poteva essere ritenuto valido, poiché i clienti erano costretti a rilasciarlo per poter ottenere iservizi proposti con la carta fedeltà. Inoltre, il sistema informativo della società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l’invio di spam.

Nel suo provvedimento, il Garante ha quindi prescritto misure per mettersi in regola con le nuove disposizioni in materia di protezione dei dati personali e, esercitando per la prima volta i nuovi poteri correttivi offerti dal Gdpr, ha “ammonito” la società a non utilizzare più, per finalità di marketing, i dati personali degli interessati, raccolti mediante i moduli relativi alla fidelity card contestata. Ha inoltre vietato l’utilizzo, per gli stessi fini, dei dati di qualunque interessato, in assenza di un comprovato consenso, libero e specifico. Alla società è stato ingiunto, infine, di implementare misure organizzative e tecniche adeguate per garantire la corretta gestione dei diritti degli interessati, assicurando anche il tracciamento puntuale delle richieste ricevute dalla clientela, e così poter comprovare il rispetto (accountability) degli adempimenti privacy.

Diritto all’oblio anche per i dati che rendono identificabile una persona

Il diritto all’oblio può essere invocato – in casi particolari – anche partendo da dati presenti sul web che non siano il nome e il cognome dell’interessato, nel caso in cui essi lo rendano comunque identificabile, anche in via indiretta.

E’ il principio che ha fissato il Garante decidendo sul reclamo di un professionista che aveva richiesto invano a Google la deindicizzazione di una Url che risultava reperibile on line digitando non il proprio nome, ma il riferimento alla sua qualifica di presidente di una determinata cooperativa.

La Url faceva riferimento ad una notizia non più attuale e non aggiornata, relativa ad un rinvio a giudizio avvenuto dieci anni prima, riguardo al quale era poi però intervenuta una sentenza definitiva di assoluzione. La permanenza in rete della notizia rappresentava, ad avviso dell’interessato, un gravissimo e irreparabile pregiudizio alla propria reputazione.

Alla richiesta dell’interessato di rimuovere l’Url contestata, Google aveva opposto rifiuto sostenendo che fosse inammissibile una richiesta di deindicizzazione per chiavi di ricerca che non includono il nome e il cognome di una persona fisica, sulla base di quelli che riteneva essere i principi fissati dalla Corte di Giustizia dell’Ue nella Sentenza “Google Spain”. L’interessato si era dunque rivolto al Garante, non senza aver prima tentato, anche qui invano, di far rimuovere la Url dal sito sul quale era stato pubblicato l’articolo.

Diversamente da Google, l’Autorità – in tale specifica circostanza – ha ritenuto fondata la richiesta del professionista. Il Garante – sulla base del Regolamento europeo che definisce dato personale “qualsiasi informazione riguardante una persona fisica indentificata o identificabile” ha concluso che l’Url che riportava la qualifica di Presidente di quella determinata cooperativa, si riferiva in maniera inequivocabile alla persona del reclamante – visto che quest’ultimo rivestiva quella carica da moltissimi anni, tanto da essere ormai, specie nell’ambito della realtà di riferimento, univocamente messo in correlazione con essa. Per altro verso, l’articolo contestato risultava risalente nel tempo e riguardava un procedimento penale che era stato poi definito con una sentenza di assoluzione. E, di conseguenza, ha sottolineato il Garante, il pregiudizio subito dall’interessato dalla reperibilità sul web della Url in questione non poteva ritenersi bilanciato da un interesse della collettività a conoscere informazioni che risultavano inesatte e non aggiornate alla luce degli sviluppi procedimentali avuti poi dalla vicenda.

Il Garante Privacy ha dunque ingiunto a Google di rimuovere l’Url e di comunicare entro trenta giorni dalla data di ricezione del provvedimento le iniziative intraprese per dare attuazione a quanto prescritto.

Isee precompilato: Garante, ok alla prima fase attuativa

Parere favorevole del Garante per la privacy sullo schema di decreto del Ministero del lavoro che disciplina le modalità di attuazione della prima fase di applicazione della Dichiarazione sostitutiva unica (Dsu) precompilata a fini Isee. La Dichiarazione precompilata è predisposta, su richiesta del cittadino, dall’Inps in collaborazione con l’Agenzia delle entrate e utilizza le informazioni presenti nel Catasto, negli archivi dell’Inps e nell’Anagrafe tributaria comprensive delle informazioni sui saldi e le giacenze medie del patrimonio mobiliare dei componenti del nucleo familiare.

Il dichiarante conserva comunque la possibilità di optare per la presentazione della Dsu non precompilata.

Nel dare il via libera, l’Autorità ha ritenuto che nello schema siano state individuate, nel rispetto dei principi di privacy by design e by default, idonee garanzie per i diritti e le libertà degli interessati, anche perché la nuova disciplina sull’Isee ha accolto le indicazioni fornite dall’Ufficio del Garante nell’ambito dei contatti intercorsi con il Ministero.

I contributi hanno riguardato l’introduzione di misure e accorgimenti volti a limitare i rischi di accessi ai dati non autorizzati o di trattamenti non consentiti o non conformi. A tutela degli interessati lo schema prevede la necessità di una delega specifica che i componenti maggiorenni del nucleo familiare devono rilasciare al dichiarante per consentirgli l’accesso alla Dsu precompilata. Altre garanzie riguardano i dati di riscontro da fornire all’Inps per accedere alla precompilazione dei dati dei rapporti finanziari e la riduzione al minimo delle informazioni da inserire nell’attestazione Isee nei casi di mancata dichiarazione di rapporti finanziari e di difformità dei valori mobiliari dichiarati. Sono previsti, inoltre, per i cittadini strumenti di controllo diretto sull’uso dei propri dati a fini Isee consultando, sui siti dell’Inps e dell’Agenzia delle entrate, i riferimenti di eventuali Dsu presentate a proprio nome.

Più in generale, in applicazione del Regolamento Ue, vengono disciplinate le modalità con cui tutti i cittadini, in ogni momento, possono inibire all’Inps e all’Agenzia delle entrate l’utilizzo dei loro dati nell’ambito delle dichiarazioni Isee, arginando così le possibilità di accessi indebiti da parte di terzi non autorizzati.

L’Autorità ha rinviato all’esame del successivo disciplinare tecnico, che definirà modalità di accesso alla Dsu precompilata, meccanismi di delega, e verifica sulle misure di sicurezza dei dati, i controlli sull’efficacia delle garanzie a tutela dei diritti e delle libertà degli interessati.

Gdpr: le prescrizioni del Garante per poter trattare categorie particolari di dati

Terminata la procedura di revisione alla luce del nuovo Regolamento europeo delle nove autorizzazioni generali rilasciate dal Garante privacy nel 2016 quando era in vigore la precedente normativa.  A conclusione della consultazione pubblica avviata lo scorso dicembre, l’Autorità ha adottato un provvedimento, in corso di pubblicazione sulla G.U., che contiene gli obblighi che dovranno essere rispettati da un numero elevato di soggetti, pubblici e privati, in diversi settori per poter trattare particolari categorie di dati personali, come quelli legati alla salute, alle opinioni politiche, all’etnia, all’orientamento sessuale. Le prescrizioni riguardano infatti il trattamento di queste categorie particolari di dati nei rapporti di lavoro; il trattamento degli stessi dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose, cosi come da parte degli investigatori privati; nonché il trattamento dei dati genetici e il trattamento effettuato per scopi di ricerca scientifica.

Il provvedimento, adottato in base al decreto legislativo n.101 del 2018 che ha adeguato la normativa nazionale al Regolamento Ue, tiene conto dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione.

Nello stesso provvedimento l’Autorità ha precisato che l’autorizzazione generale sul trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici cessa di produrre i propri effetti non rientrando tra le situazioni di trattamento richiamate dell’art. 21 del dlgs. n.101/2018.

Viene chiarito, inoltre, che le autorizzazioni generali n. 2, 4 e 5 – riguardanti rispettivamente il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, il trattamento dei dati sensibili da parte dei liberi professionisti e il trattamento dei dati sensibili da parte di diverse categorie di titolari – cessano anche esse di produrre i propri effetti in quanto prive di specifiche prescrizioni.