g-docweb-display Portlet

Newsletter 15/09/2016 - Telemarketing, patronati, giochi on line sotto lente del Garante - Lavoro: no a controllo indiscriminato e-mail e Internet

Stampa Stampa Stampa

 


Telemarketing, patronati, giochi on line sotto la lente del Garante
Nel primo semestre 2016 1 mln e 900 mila euro di sanzioni riscosse e oltre 2.000 sanzioni contestate

 

Il telemarketing e l´attività dei call center; i trattamenti dei dati effettuati dai patronati relativamente al 730 precompilato; le concessionarie di giochi on line; alcuni sistemi informativi dell´Istat; le società che si occupano di ristrutturazione del debito. Sono questi alcuni dei settori che verranno interessati dall´attività di accertamento del Garante per la protezione dei dati personali nei prossimi mesi. Nelle scorse settimane l´Autorità ha varato il piano ispettivo per il secondo semestre 2016 che prevede nuovi ambiti di intervento [doc. web n. 5408359].

L´attività ispettiva verrà svolta anche in collaborazione con il Nucleo speciale privacy della Guardia di finanza. Proprio di recente è stato firmato il nuovo protocollo di intesa  che rafforza l´attività di collaborazione tra la Guardia di Finanza e il Garante.

Oltre che i settori ricordati,  le ispezioni riguarderanno, come di prassi, anche le istruttorie avviate su segnalazioni,  reclami e  ricorsi dei cittadini;  la verifica dell´obbligo di notificazione; il rispetto delle norme sull´informativa e il consenso; l´adozione delle misure minime di sicurezza a protezione dei dati sensibili trattati da soggetti pubblici e privati.

Per quanto riguarda il primo semestre 2016, intanto, l´attività del Garante ha segnato un significativo incremento dell´attività sanzionatoria.  Le somme già riscosse dall´erario  sono state pari a circa 1 milione e 900 mila euro (con un aumento del 5% rispetto al primo semestre 2015). Le sanzioni contestate  sono state oltre 2.000 (con un aumento del 44% rispetto al primo semestre dello scorso anno). 37 sono state le segnalazioni all´autorità giudiziaria (+ 85% rispetto al primo semestre 2015) che hanno riguardato soprattutto casi di mancata adozione delle  misure minime di sicurezza,  le violazioni connesse al controllo a distanza dei lavoratori, l´inosservanza dei provvedimenti del Garante. Per quanto riguarda le misure minime di sicurezza sono state impartite complessivamente 26 prescrizioni, tra soggetti pubblici e privati.

Gli accertamenti, svolti anche con il contributo delle Unità Speciali della Guardia di finanza, Nucleo speciale privacy,  hanno riguardato  numerosi e delicati settori: le grandi banche dati pubbliche (Agenzia delle entrate, Inps); il trasferimento dei dati in Paesi extra Ue da parte delle multinazionali; le società di car sharing (in particolare sui dati di geolocalizzazione dei clienti); i Caf; il marketing telefonico; la profilazione effettuata dalle società di ricerca del personale; gli investigatori privati; le concessionarie di autovetture (sull´uso dei dati delle persone disabili).

Nel settore pubblico le criticità maggiori riscontrate sono quelle legate alla diffusione illecita di dati, soprattutto da parte delle amministrazioni comunali, mentre nel settore privato le violazioni  più frequenti riguardano  l´omessa o inidonea informativa ai clienti sull´uso dei dati, la mancata raccolta del consenso, l´inadeguatezza o la mancanza di misure minime di sicurezza, l´omessa notificazione al Garante.

 

Lavoro: no al controllo indiscriminato di e-mail e navigazione Internet

 

Verifiche indiscriminate sulla posta elettronica e sulla navigazione web del personale sono in contrasto con il Codice della privacy e con lo Statuto dei lavoratori. Questa la decisione adottata dal Garante [doc. web n. 5408460], che ha vietato a un´università il monitoraggio massivo delle attività in Internet dei propri dipendenti. Il caso era sorto proprio per la denuncia del personale tecnico-amministrativo e docente, che lamentava la violazione della propria privacy e il controllo a distanza posto in essere dall´Ateneo.

Nel corso dell´istruttoria, l´amministrazione ha respinto le accuse, sostenendo che l´attività di monitoraggio delle comunicazioni elettroniche era attivata saltuariamente, e solo in caso di rilevamento di software maligno e di violazioni del diritto d´autore o di indagini della magistratura. L´Università aveva inoltre aggiunto che non venivano trattati dati personali  dei dipendenti che si connettevano alla rete. L´istruttoria del Garante ha invece evidenziato che i dati raccolti erano chiaramente riconducibili ai singoli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati ai dipendenti.

L´infrastruttura adottata dall´Ateneo, diversamente da quanto affermato, consentiva poi la verifica costante e indiscriminata degli accessi degli utenti alla rete e all´e-mail, utilizzando sistemi e software che non possono essere considerati, in base alla normativa, "strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa". Tali software, infatti, non erano necessari per lo svolgimento della predetta attività ed operavano, peraltro, in background, con modalità non percepibili dall´utente. E´ stato così violato lo Statuto dei lavoratori - anche nella nuova versione modificata dal cosiddetto "Jobs Act" – che in caso di controllo a distanza prevede l´adozione di specifiche garanzie per il lavoratore.

Nel provvedimento il Garante ha rimarcato che l´Università avrebbe dovuto privilegiare misure graduali che rendessero assolutamente residuali i controlli più invasivi, legittimati solo in caso di individuazione di
specifiche anomalie, come la rilevata presenza di virus. In ogni caso, si sarebbero dovute prima adottare misure meno limitative per i diritti dei lavoratori.

L´Autorità ha infine riscontrato che l´Università non aveva fornito agli utilizzatori della rete un´idonea informativa privacy, tale non potendosi ritenere la mera comunicazione al personale del Regolamento relativo al corretto utilizzo degli strumenti elettronici, violando così il principio di liceità alla base del trattamento dei dati personali.  L´Autorità ha quindi dichiarato illecito il trattamento dei dati personali così raccolti e ne ha vietato l´ulteriore uso, imponendo comunque la loro conservazione per consentirne l´eventuale acquisizione da parte della magistratura.


Sky, sì agli spot "mirati" ma l´utente potrà dire "no"

 

Sky potrà utilizzare i dati dei propri utenti per inviare spot pubblicitari "mirati" a spettatori di uno stesso programma, ma solo in forma aggregata.  L´utente che non intende ricevere questi spot potrà però opporsi in  modo semplice, anche usando il telecomando. Lo ha stabilito il Garante privacy accogliendo una richiesta di verifica preliminare presentata da Sky e relativa alla realizzazione di un progetto mediante il quale la società intende veicolare altri messaggi pubblicitari, al posto di quelli standard, a gruppi differenti di spettatori ciascuno dei quali con caratteristiche ben definite [doc. web n. 5408313].

Destinatari della pubblicità i nuclei familiari in possesso di uno specifico apparecchio per la ricezione da satellite o via internet, raggruppati in appositi cluster in base a caratteristiche relative al servizio fruito (ad es., tipologia del "pacchetto" tv, durata dell´abbonamento, modalità di pagamento) e ad altre informazioni (fascia di età,  luogo di residenza). Alla  società l´Autorità ha impartito alcune prescrizioni per innalzare i livelli di  riservatezza.

Sky dovrà, in particolare, consentire a coloro che non intendono aderire al progetto, di potersi opporre in modo agevole: digitando "no" sul telecomando, spuntando una apposita casella nella sezione dedicata agli utenti registrati nel sito della società, oppure inviando una comunicazione, anche via email, alla società o interagendo con il call center.  Sky, inoltre, dovrà informare gli utenti delle finalità che intende perseguire con questo progetto; spiegare loro le modalità impiegate per assicurare l´uso dei dati in forma aggregata,  tali da non essere riconducibili ai singoli abbonati; avvisarli della possibilità di esercitare i diritti riconosciuti dalla normativa in materia di protezione dei dati (accesso ai dati, rettifica, cancellazione, opposizione al trattamento).

L´informativa potrà essere resa in forma sintetica mediante un cartello che apparirà a video alla prima accensione dopo l´aggiornamento del software e che dovrà rimandare ad una pagina web, reperibile facilmente e in ogni momento. Nell´informativa, oltre a fornire le informazioni sui diritti degli utenti, Sky dovrà descrivere il progetto nel dettaglio. Il messaggio dovrà essere ripetuto più volte e con modalità tali da assicurarne la visibilità a più componenti della stessa famiglia.
 

 
 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 


NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it