NEWSLETTER N. 509 dell’11 settembre 2023

  • Categoria dell'articolo:News / Privacy
  • Telemarketing selvaggio: il Garante Privacy sanziona Tiscali e Comparafacile
  • Lavoro: sì all’accesso del dipendente alla relazione investigativa
  • Videosorveglianza: rifiuti, il Garante sanziona un Comune e due società
  • Sito falso, il Garante Privacy ordina a Google la rimozione dell’indirizzo web

Telemarketing selvaggio: il Garante Privacy sanziona Tiscali e Comparafacile

Prosegue l’azione di contrasto del Garante Privacy al telemarketing illegale. L’Autorità ha sanzionato Comparafacile e Tiscali, rispettivamente per 40.000 e 100.000 euro. Comparafacile dovrà inoltre cancellare tutti i dati personali acquisiti illecitamente.

Il primo provvedimento trae origine dal reclamo di un cittadino che, nonostante fosse iscritto al Registro pubblico delle opposizioni (Rpo), continuava a ricevere chiamate promozionali anche dopo la richiesta di cancellazione dei dati.

Il Garante ha accertato che Comparafacile, dopo aver acquistato le anagrafiche da un’azienda estera, contattava le persone per chiedere se fossero interessate a ricevere offerte commerciali e, in caso affermativo, inviava loro un sms con un link a una landing page in cui avrebbero potuto fornire il consenso. Il primo contatto telefonico avveniva quindi senza aver verificato il consenso degli interessati (eventualmente acquisito dalla società fornitrice dei dati) e senza aver fornito loro alcuna informativa, la cui visione era subordinata all’accesso alla landing page, quindi alla manifestazione di interesse verso i servizi.

Nel provvedimento, il Garante ha spiegato che l’uso di un meccanismo che costringa l’utente a dichiararsi interessato ai servizi di un’azienda per acquisire l’informativa non è legittimo e che, di conseguenza, il consenso non informato non può essere considerato un valido presupposto per l’attività di marketing di Comparafacile.

L’Autorità non ha peraltro accolto le giustificazioni della società che affermava di agire in qualità di responsabile del trattamento e non di titolare. Ma proprio le attività svolte da Comparafacile, dalla selezione del fornitore da cui acquistare le liste alla definizione della finalità (promuovere i propri servizi), fino alla scelta del canale di contatto, la rendono invece titolare del trattamento. Ed è al titolare che sono riconducibili sia gli adempimenti previsti dalla normativa che la responsabilità per le presunte violazioni.

Il provvedimento nei confronti di Tiscali rientra nell’ambito delle attività ispettive del Garante. Dall’istruttoria è emerso che la società forniva una informativa lacunosa, senza indicare alcun termine temporale per la conservazione dei dati, in particolare per le finalità di marketing e profilazione. Sebbene Tiscali abbia sostenuto di aver operato nel rispetto di quanto previsto dall’informativa, l’Autorità ha evidenziato come sia sanzionabile anche un non idoneo adempimento dell’obbligo di informativa, a prescindere dall’aver cagionato o meno un pregiudizio all’interessato. Peraltro, la Società Tiscali aveva effettuato attività di cosiddetto soft spam, inviando – nel giro di quattro mesi – sms a oltre 160mila clienti che non avevano manifestato il proprio consenso a ricevere comunicazioni promozionali.

La società ha interpretato in modo illegittimamente estensivo la normativa che prevede l’invio di comunicazioni pubblicitarie senza il consenso dell’interessato solo via posta elettronica ed esclusivamente a determinate condizioni: quali, ad esempio, l’aver ad oggetto prodotti e/o servizi forniti dal titolare e non da terzi, e che tali utilità siano analoghe a quelli già acquistate dall’interessato.

Lavoro: sì all’accesso del dipendente alla relazione investigativa

Il Garante per la protezione dei dati personali ha espresso parere favorevole su due schemi di decreto del Ministero del lavoro e delle politiche sociali che riguardano l’istituzione e il funzionamento del Sistema informativo per l’inclusione sociale e lavorativa (SIISL) e del Supporto per la formazione e il lavoro (SFL).

Il parere positivo è stato reso, in via d’urgenza, pochi giorni dopo la ricezione degli schemi da parte del Ministero. Gli schemi tengono comunque conto delle osservazioni fornite dall’Ufficio del Garante, nell’ambito delle interlocuzioni informali intercorse, volte a rendere conformi i trattamenti alla normativa in materia di protezione dei dati personali.

Nel SIISL e nel SFL vengono infatti trattati su larga scala dati personali relativi alla salute, alla condizione sociale e alla situazione economica e finanziaria, elaborati anche in base alla valutazione dello stato di bisogno dei beneficiari (compresi soggetti vulnerabili, anche minori d’età).

Poiché il trattamento di una mole così rilevante di dati comporta rischi per i diritti di milioni di beneficiari, il Garante ha quindi chiesto l’introduzione negli schemi di una serie di misure a tutela delle persone interessate. Le misure riguardano, in particolare, la precisazione dei ruoli assunti dai diversi soggetti coinvolti nel trattamento, l’esatta individuazione delle tipologie di dati trattati e l’origine degli stessi, delle operazioni eseguite, dei soggetti cui possono essere comunicati e delle categorie di soggetti autorizzati all’accesso, nonché i tempi di conservazione delle informazioni e l’individuazione di misure tecniche e organizzative da adottare con riferimento alle procedure di autenticazione informatica, nel rispetto delle discipline di settore e dei principi di liceità, correttezza e trasparenza, di minimizzazione dei dati e di integrità e riservatezza.

Videosorveglianza: rifiuti, il Garante sanziona un Comune e due società Utenti non informati adeguatamente sui sistemi installati

Una multa di 45mila euro è stata comminata dal Garante Privacy ad un Comune siciliano per aver installato alcune telecamere per il controllo della raccolta differenziata dei rifiuti in violazione della disciplina che tutela i dati personali.

Per contrastare il fenomeno diffuso dell’abbandono dei rifiuti, il Comune aveva incaricato due ditte, sanzionate anch’esse dal Garante, dell’acquisto, installazione e manutenzione di telecamere fisse, e della raccolta e analisi dei filmati relativi alle violazioni. 

L’intervento dell’Autorità segue le segnalazioni di un cittadino che lamentava la ricezione di alcune multe per aver conferito i rifiuti indifferenziati in modo errato. Gli accertamenti della violazione sarebbero avvenuti più di un mese dopo la registrazione dei filmati, effettuata senza che i cittadini fossero stati adeguatamente informati della presenza delle telecamere e del trattamento dei dati. Il Comune infatti aveva apposto un cartello direttamente sul cassonetto, non facilmente visibile e per di più privo delle informazioni necessarie.

Il Municipio inoltre non aveva individuato i tempi di conservazione dei dati e non aveva nominato, prima dell’inizio del trattamento, le due aziende sopracitate quali responsabili del trattamento dati, come previsto dalla normativa privacy. Anche le società dunque operavano in modo illecito, ragion per cui entrambe sono state sanzionate anch’esse dal Garante, l’una per 10.000 euro, per non essere mai stata nominata responsabile del trattamento, e l’altra per 5.000 euro, per essere stata nominata responsabile in ritardo.

Il trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici è generalmente ammesso se è necessario per adempiere un obbligo legale e la gestione dei rifiuti rientra tra le attività istituzionali affidate agli enti locali. Anche in presenza di una condizione di liceità il titolare del trattamento, ha ribadito il Garante, è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di liceità, correttezza e trasparenza. In particolare, è necessario adottare misure appropriate per fornire all’interessato tutte le informazioni previste dal GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile.

Ai fini dell’applicazione delle sanzioni il Garante ha tenuto conto del fatto che il trattamento ha riguardato potenzialmente i dati dei residenti del Comune (circa 53.000 interessati) e dei soggetti non residenti (il cui numero non è quantificabile).

Di contro, l’Autorità ha considerato il comportamento non doloso del Municipio e delle aziende, nonché l’assenza di precedenti violazioni a loro carico.

Sito falso, il Garante Privacy ordina a Google la rimozione dell’indirizzo web Creato da anonimi con il nominativo di un imprenditore e dati reperiti in rete

Il Garante Privacy ha ordinato a Google la rimozione dai risultati di ricerca di un Url collegato a un sito web falso, il cui indirizzo era formato dal nome e cognome di un imprenditore italiano e al cui interno erano riportate affermazioni lesive della reputazione personale e professionale.

Il sito era stato creato da soggetti anonimi utilizzando i dati personali dell’interessato reperiti in rete, tra cui una foto e un indirizzo email la cui denominazione lasciava presupporre l’appartenenza ad un’organizzazione criminale. Il sito conteneva anche link a documenti pubblici relativi a supposte vicende giudiziarie.

Nel reclamo inviato all’Autorità, l’interessato, un imprenditore con attività anche all’estero, chiedeva la deindicizzazione del sito associato al suo nome e cognome e specificava di non aver mai riportato condanne, né di essere mai stato coinvolto in procedimenti giudiziari, vertenze, indagini legate a contesti di criminalità o malavita organizzata come invece riportato nel sito. L’imprenditore faceva inoltre presente di aver già ottenuto da Google, a seguito di una sentenza di un’autorità giudiziaria extraeuropea, la deindicizzazione dell’Url, che rimaneva tuttavia visibile in Europa.

Google, infatti, al quale l’interessato si era rivolto per ottenere una deindicizzazione globale, aveva dichiarato inammissibile il reclamo ritenendo che fosse basato sulla tutela della reputazione, dell’onore e dell’immagine e non sulla tutela dei dati personali, qualificabile quindi, forse, più come reato di diffamazione e non come violazione del diritto all’oblio.

Nel ritenere fondata la richiesta, il Garante Privacy ha accolto invece le ragioni del reclamante, che sosteneva l’uso improprio e a fini denigratori dei suoi dati personali all’interno del sito in questione, e ha precisato che il motore di ricerca non aveva considerato le plurime violazioni della disciplina privacy poste in essere dagli autori del sito, tra cui la mancanza di informativa e dei riferimenti dei titolari, che tutt’ora rendono impossibile esercitare i diritti di opposizione e di rettifica di cui all’art. 12 del Regolamento.

Il Garante ha ricordato infine che, nel valutare le richieste di deindicizzazione, occorre tenere conto, in particolare, oltre che del trascorrere del tempo, anche del criterio relativo all’esattezza del dato laddove si sottolinea l’esigenza di tenere in particolare conto di quelle informazioni che originino “un’impressione inesatta, inadeguata o fuorviante rispetto alla persona interessata”, come raccomandato dalle Linee Guida EDPB sul diritto all’oblio del 2014.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ

Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

  • Violenza di Palermo, nuovo richiamo del Garante Privacy. Vietato divulgare le generalità della vittima. Aperta un’istruttoria sui siti che hanno pubblicato il nome della ragazza – Comunicato del 29 agosto 2023

  • Violenza a Palermo, il Garante mette in guardia sulla condivisione del video. Avvertimento a Telegram e agli utenti: tutelare la dignità della vittima. Conseguenze anche di natura penale – Comunicato del 23 agosto 2023

  • Vicenda festa villa torinese: il Garante apre un’istruttoria per l’accertamento di eventuali responsabilità nella diffusione di dati personali – Comunicato del 14 agosto 2023

Fonte: garanteprivacy.it