GARANTE PROTEZIONE DATI PERSONALI – Nota 28 novembre 2022, n. 497

Fidelity card: il Garante privacy sanziona Douglas Italia per 1 milione e 400 mila euro. Il Garante multa Vodafone, il call center deve dare informazioni comprensibili. Dossier sanitario, Garante: l’emergenza Covid non cancella le tutele privacy. Sì alla piattaforma concessioni di beni pubblici, ma più tutele per i dati personali

Fidelity card: il Garante privacy sanziona Douglas Italia per 1 milione e 400 mila euro

Conservati per molti anni i dati di milioni di clienti

La catena di profumerie Douglas Italia Spa dovrà pagare una sanzione di 1 milione e 400 mila euro per aver violato la normativa in materia di protezione dei dati.

Lo ha stabilito il Garante per la protezione dei dati personali a conclusione di un procedimento avviato a seguito di un reclamo.

La società, nata nel 2019 avendo incorporato tre aziende del settore, dovrà inoltre adottare una serie di misure per conformarsi alla normativa italiana ed europea riguardo, in particolare, ai tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione.

La società dovrà innanzitutto modificare l’impostazione dell’appDouglas, una delle modalità di raccolta dei dati personali dei clienti, distinguendo chiaramente i contenuti dell’informativa privacy da quella   dedicata ai cookie: in entrambi i testi dovranno essere indicati solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite. Ai clienti dovrà essere consentito di esprimere un consenso libero e specifico per le diverse attività (marketing della società, marketing di soggetti terzi e profilazione).

Al momento degli accertamenti ispettivi – svolti in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza – Douglas conservava i dati di quasi tre milioni e trecentomila clienti delle precedenti società, avendo necessità, come rappresentato a propria difesa, di doversi confrontare, per molti aspetti di protezione dei dati, con la capogruppo tedesca, che tende ad applicare regole standard a tutte le società del gruppo.

La società italiana, tuttavia, una volta acquisiti i dati dalle aziende incorporate, li avevi lasciati per lungo tempo “inerti” e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività.

Douglas Italia dovrà quindi cancellare i dati risalenti a più di 10 anni (fatti salvi contenziosi in atto) e cancellare oppure pseudonimizzare quelli più recenti.

Nel caso decida di pseudonimizzarli, la società dovrà darne pubblicità sul proprio sito ed inviare una comunicazione ai clienti di cui disponga delle coordinate di posta elettronica, informandoli che, in caso di mancato rinnovo della fidelity card, entro sei mesi i loro dati saranno cancellati

In sede di rinnovo, i clienti potranno eventualmente esprimere il consenso alla società per il trattamento dei dati.

Douglas infine dovrà adottare adeguate soluzioni organizzative e tecniche volte ad assicurare la corretta conservazione dei dati dei propri clienti nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo.

Il Garante multa Vodafone: il call center deve dare informazioni comprensibili

Ad una signora ultraottantenne proposto un contratto alla velocità di 200 parole al minuto per 6 minuti

No a messaggi incomprensibili e a contatti promozionali indesiderati per spingere gli utenti telefonici, specialmente gli anziani, a sottoscrivere nuovi contratti.

Lo ha ribadito il Garante privacy che ha sanzionato per 500 mila euro Vodafone Italia in seguito al reclamo presentato da una signora ultraottantenne, che si era vista trasferire, contro la sua volontà, la propria utenza telefonica da un altro operatore a Vodafone stessa.

La società dovrà inoltre controllare il corretto operato dei call center esterni utilizzati per campagne di telemarketing, in particolare nel momento dell’acquisizione del consenso per finalità pubblicitarie e nella registrazione vocale dei contratti.

Nel corso dell’istruttoria del Garante, la società si era difesa affermando che l’anziana utente aveva volontariamente contattato un call center albanese per farsi proporre un contratto alternativo e che la stessa aveva poi confermato di voler sottoscrivere il nuovo contratto direttamente al telefono tramite i cosiddetti “vocal order”.

L’Autorità, riascoltando la registrazione del colloquio con il call center albanese, ha però accertato che all’utente non era stata fornita un’adeguata informativa sul trattamento dei suoi dati, resa per giunta incomprensibile dalla velocità con cui era letta al telefono: ben 63 parole in 16 secondi. Lo stesso contratto per il trasferimento dell’utenza era stato proposto alla velocità di 200 parole al minuto per ben 6 minuti, risultando ugualmente incomprensibile, anche a seguito di ripetuti ascolti.

Nel provvedimento, il Garante privacy ha quindi contestato a Vodafone di aver violato, tramite la società albanese, i principi di correttezza e trasparenza previsti dal Gdpr in relazione alla conclusione di un contratto per servizi telefonici.

Tra le varie violazioni accertate vi sono quelle legate all’acquisizione del consenso per finalità di marketing: dall’istruttoria del Garante è infatti emerso che il consenso sarebbe stato reso dall’interessata il giorno dopo il contatto promozionale, in seguito alla presunta telefonata effettuata dall’anziana, sconfessata dalla medesima e dagli esiti dell’istruttoria. Alla società è stato quindi vietato l’ulteriore trattamento dei dati della reclamante.

La sanzione di 500 mila euro, comminata a Vodafone, è calcolata tenendo conto dell’aggravante di aver commesso altre violazioni nel settore del telemarketing nei tre anni precedenti, ma anche dell’attenuante di aver prontamente annullato il contratto contestato.

Dossier sanitario, Garante: l’emergenza Covid non cancella le tutele privacy

Sanzionata l’Asl della Valle d’Aosta per 40 mila euro

Il Garante per la protezione dei dati personali ha sanzionato una Asl che, durante il periodo di emergenza sanitaria, aveva rimosso le misure poste a  tutela dei dati dei pazienti presenti nel dossier sanitario aziendale.

L’Autorità è intervenuta a seguito del reclamo di un’operatrice sanitaria, che, pur avendo negato espressamente il consenso al trattamento dei dati attraverso il dossier sanitario aziendale lamentava ripetuti accessi allo stesso da parte di una collega che non l’aveva mai avuta in cura.

Nel corso dell’istruttoria è emerso che l’unica Azienda sanitaria presente in Val D’Aosta, nel tentativo di semplificare la gestione dei pazienti durante la pandemia Covid-19, aveva disposto con un atto amministrativo la rimozione dei filtri privacy per l’accesso al sistema informativo che gestisce il dossier sanitario aziendale.

In particolare, la Asl aveva reso accessibili i dossier di tutti gli assistiti della Regione a qualunque operatore sanitario, a prescindere dal fatto che l’interessato avesse espresso o meno il proprio consenso al trattamento dei dati attraverso il dossier sanitario, oppure che la prestazione riguardasse un paziente Covid-19 o che l’autore dell’accesso avesse in cura l’interessato. Inoltre nel derogare alle limitazioni relative all’accesso al dossier sanitario dettate dall’applicazione della disciplina sulla protezione dei dati personali, l’Asl non aveva neppure adottato misure organizzative e tecniche adeguate ad individuare accessi anomali al sistema informativo (per esempio tramite indicatori sul numero degli accessi eseguiti, sulla tipologia o sull’ambito temporale degli stessi).

Il Garante ha ribadito che, sebbene la disciplina introdotta a seguito dell’emergenza Covid abbia previsto alcune semplificazioni, ad esempio in tema di informativa, la stessa non ha derogato e non avrebbe potuto derogare, ai principi generali e alle regole sul trattamento dei dati sulla salute effettuato attraverso il dossier sanitario.

Nel definire l’ammontare della sanzione alla Asl, l’Autorità ha tenuto conto della gravità delle trasgressioni alle norme previste dal Gdpr e dalle Linee guida sul dossier sanitario, nonché della circostanza che le violazioni si sono protratte per oltre due anni e hanno coinvolto i dati sulla salute di tutta la popolazione regionale assistita, senza che i pazienti ne fossero informati.

Sì alla piattaforma concessioni di beni pubblici, ma più tutele per i dati personali

Il Garante per la protezione dei dati personali ha espresso parere favorevole alla bozza di decreto legislativo che istituisce il nuovo sistema informativo di rilevazione delle concessioni di beni pubblici, il cosiddetto SICONBEP.

Il testo, predisposto sulla base della legge annuale per il mercato e la concorrenza 2021, introduce una piattaforma telematica che servirà a garantire la massima trasparenza su tutti i rapporti concessori, pubblicando varie informazioni utili come quelle sull’ente proprietario della concessione, le generalità del concessionario nonché durata del contratto, in una prospettiva di tutela e valorizzazione del bene nell’interesse pubblico.

Al fine di bilanciare correttamente il diritto alla protezione dei dati personali e le esigenze di trasparenza, il Garante ha chiesto di introdurre maggiori garanzie nel testo definitivo. Dovranno, ad esempio, essere indicate in maniera puntuale le informazioni da acquisire e pubblicare sul sistema informativo, evitando indicazioni generiche come quelle “minime”, così da non trattare dati non necessari. Dovrà inoltre essere esclusa la pubblicazione di dati dai quali si possano evincere lo stato di salute o la situazione di disagio economico-sociale degli interessati, inclusi i concessionari.

Nel parere, il Garante privacy ha infine segnalato la necessità di prestare particolare attenzione alla definizione delle specifiche tecniche, delle modalità e della tempistica per l’invio dei dati al sistema informativo, eventualmente anche tramite un apposito decreto non regolamentare, nonché di esplicitare il ruolo svolto da tutti i soggetti coinvolti nel trattamento dei dati personali sotteso al funzionamento del sistema informativo e ai relativi obblighi di pubblicità.