Messaggistica via sms: Garante Privacy, no a conservazione contenuto messaggi – La difesa in giudizio non giustifica l’accesso alla posta elettronica del lavoratore – Garante privacy e Co.Re.Com insieme contro revenge porn e cyberbullismo – GARANTE per la PROTEZIONE dei DATI PERSONALI – Nota n. 501 del 15 marzo 2023

Messaggistica via sms: Garante Privacy, no a conservazione contenuto messaggi – La difesa in giudizio non giustifica l’accesso alla posta elettronica del lavoratore – Garante privacy e Co.Re.Com insieme contro revenge porn e cyberbullismo

Messaggistica via sms: Garante Privacy, no a conservazione contenuto messaggi

Il Garante privacy ha sanzionato una società di servizi di messaggistica con una multa di 80mila euro per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti (circa 7.250 utenze). Alla società sono state inoltre contestate altre condotte illecite relative in particolare alle misure adottate per garantire la sicurezza del trattamento dei dati di traffico telematico e l’assenza di una base giuridica per effettuare controlli antifrode.

L’Autorità, nel corso degli accertamenti ispettivi avviati a seguito di una segnalazione e di un reclamo, ha rilevato che il contenuto integrale dei messaggi inviati dai clienti (in genere persone giuridiche) era conservato senza che questi avessero espressamente acconsentito. Tra i contenuti dei messaggi, consistenti per lo più in comunicazioni di servizio inviate dagli utenti della piattaforma (banche, società di assicurazioni, aziende sanitarie,) ai propri clienti, c’erano anche password per operare con i servizi bancari (Otp – One time password), credenziali di autenticazione e dati particolari riferiti allo stato di salute o all’appartenenza a un partito politico. Ai contenuti degli sms potevano accedere anche gli incaricati della società.

La società ha giustificato la sua attività ritenendo erroneamente che il contenuto degli sms rientrasse tra i dati di traffico, con conseguente obbligo di conservazione.

Al riguardo l’Autorità ha ricordato che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni che, anzi, è espressamente vietata a meno che non sia autorizzata dall’utente con specifico e libero consenso per l’erogazione di servizi a valore aggiunto.

Inoltre, nel corso delle attività ispettive, sono emerse una serie di altre violazioni, come ad esempio la conservazione dei dati di traffico senza che fosse prevista una distinzione tra i dati conservati per finalità di giustizia e quelli conservati per altre finalità (fatturazione o consultazione da parte del cliente) e la mancanza di una distinzione dei tempi di conservazione dei dati (data retention) in base alle finalità. Altresì la società effettuava preventivi controlli automatizzati, con finalità antifrode, sul contenuto degli sms inviati dai propri clienti per prevenire possibili attività di phishing ma senza avere un’idonea base giuridica per farlo.

Il Garante, pur considerando le misure correttive adottate dalla società a seguito dei vari accertamenti ispettivi, ha ammonito la società per le violazioni riscontrate e ha ordinato il pagamento di una sanzione amministrativa di 80mila euro, calcolata tenendo conto anche delle giustificazioni addotte dalla stessa.

Entro il termine stabilito, la società si è avvalsa della facoltà di definire la controversia ed ha pagato un importo pari alla metà della sanzione comminata.

La difesa in giudizio non giustifica l’accesso alla posta elettronica del lavoratore

Il legittimo interesse a trattare dati personali per difendere un proprio diritto in giudizio non annulla il diritto dei lavoratori alla protezione dei dati personali. Tanto più se riguarda una forma di corrispondenza, come i messaggi di posta elettronica, la cui segretezza è tutelata anche costituzionalmente.

È una delle motivazioni con cui il Garante privacy ha sanzionato un’azienda che, dopo l’interruzione della collaborazione con un’esponente di una cooperativa, ne aveva mantenuto attivo l’account di posta elettronica, prendendo visione del contenuto e impostando un sistema di inoltro verso un dipendente della società.

La collaboratrice, prima che si definisse il rapporto di lavoro con l’azienda, aveva raccolto, a nome dell’azienda stessa e tramite una casella mail aperta per l’occasione, i riferimenti di potenziali clienti incontrati a una fiera.

Secondo l’azienda poi, il successivo tentativo di contattarli a nome della propria cooperativa aveva in seguito portato a un contenzioso giudiziale.

Quindi, nel timore di perdere i rapporti coi potenziali clienti, l’azienda non si era limitata a scrivere per spiegare loro che la persona era stata rimossa, ma ne aveva anche visionato le comunicazioni. Secondo il Garante, né l’esigenza di mantenere i rapporti con i clienti né l’interesse a difendere un proprio diritto in giudizio, legittimano un tale trattamento di dati personali. Per realizzare un adeguato bilanciamento degli interessi in gioco (necessità di prosecuzione dell’attività economica del titolare e diritto alla riservatezza dell’interessato) sarebbe stato sufficiente attivare un sistema di risposta automatico, con l’indicazione di indirizzi alternativi da contattare, senza prendere visione delle comunicazioni in entrata sull’account.

Nel corso del procedimento è inoltre emerso che l’azienda, in quanto titolare del trattamento, non aveva fornito all’interessata né idoneo riscontro alla richiesta di cancellazione della casella e-mail né l’informativa sul trattamento dati. A nulla vale il fatto che il contratto di assunzione non fosse stato ancora firmato. Come ricorda l’Autorità, nell’ambito di trattative precontrattuali, infatti, l’obbligo di informare gli interessati è espressione del principio generale di correttezza.

Garante privacy e Co.Re.Com insieme contro revenge porn e cyberbullismo

Firmati nuovi protocolli di intesa con Campania, Calabria e Lombardia. Rinnovati quelli con Abruzzo e Piemonte

Per contrastare cyberbullismo e revenge porn il Garante per la protezione dei dati personali e Co.re.com rafforzano la collaborazione. L’Autorità e i Comitati regionali per le comunicazioni della Campania, della Calabria e della Lombardia hanno sottoscritto protocolli d’intesa.

Sono stati inoltre rinnovati quelli con i Co.re.com del Piemonte e dell’Abruzzo stipulati nel 2019.

Gli accordi consentiranno forme di cooperazione, nell’ambito delle rispettive competenze, volte a valorizzare l’attività di tutela della privacy in sinergia con le opportunità offerte dalla presenza sul territorio dai Comitati.

Nell’ambito della cooperazione, è prevista l’organizzazione di iniziative pubbliche che coinvolgano esperti, cittadini ed istituzioni attraverso ricerche, corsi, convegni ed incontri sui temi della protezione dati, con particolare attenzione ai fenomeni più preoccupanti che riguardano i minori in rete. Saranno anche predisposti vademecum divulgativi, linee guida, articoli e pubblicazioni.

I Co.re.com, infine, nell’ambito dei corsi di educazione digitale che terranno presso le scuole delle Regioni interessate, si impegnano ad inserire un apposito modulo sul trattamento dei dati personali dei minori in rete.

I protocolli avranno durata triennale e potranno essere prorogati per ulteriori tre anni.