Garante Privacy: no al social spam, per il marketing serve il consenso

No al social spam. Se un indirizzo email è presente su un social network non significa che possa essere utilizzato liberamente per qualsiasi scopo. Per inviare proposte commerciali, ad esempio, è sempre necessario il consenso dei destinatari. Per questi motivi il Garante per la privacy ha vietato a una società l’ulteriore trattamento di indirizzi email senza consenso per attività di marketing.

L’intervento del Garante ha preso l’avvio dalla segnalazione di una società di consulenza finanziaria che lamentava l’invio di numerose email promozionali indirizzate alle caselle di posta elettronica di alcuni suoi promotori senza che questi ne avessero autorizzato la ricezione.

Dagli accertamenti, svolti presso la società dall’Autorità in collaborazione con il  Nucleo Speciale Privacy della GdF, è emerso che la raccolta degli indirizzi di posta elettronica avveniva, oltre che con altre modalità, anche attraverso l’instaurazione di rapporti su Linkedin e Facebook o “pescando” contatti sui social.

La società solo negli ultimi due anni ha inviato circa 100.000 email pubblicitarie.

Il Garante, anche sulla base delle Linee guida del 4 luglio 2013  che hanno disciplinato peraltro proprio il fenomeno del ”social spam”, ha quindi ritenuto illecito il trattamento degli indirizzi di posta elettronica.

I dati reperiti sui social network e, più in generale, presenti on line, non possono essere utilizzati liberamente ha spiegato il Garante. Non ha infatti alcun fondamento normativo  la tesi sostenuta dalla società secondo la quale l’iscrizione a un social network implica un consenso all’utilizzo dei dati personali per l’attività di marketing. Tale finalità  non è compatibile con le funzioni dei social network che sono preordinate alla condivisione di informazioni e allo sviluppo di contatti  professionali, e non alla commercializzazione di prodotti e servizi. Opinione sostenuta anche dalle Autorità per la privacy europee, le quali hanno espressamente escluso che l’iscrizione a un servizio presente sul web  comporti la legittimità del trattamento dei dati personali da parte di altri partecipanti alla medesima piattaforma ai fini dell’invio di informazioni commerciali.

Oltre alla contestazione amministativa già effettuata  dal Nucleo Speciale per il trattamento senza il necessario consenso, l’Autorità si è riservata di contestare alla società anche la violazione  dell’obbligo di rilascio dell’informativa. Alla società è stato  prescritto infine di modificare il modello di richiesta di consenso presente sul sito, in modo che risulti chiara la finalità di marketing.

Fonte: Garante Privacy

Volare rispettando la privacy

l’Italia è letteralmente invasa da mirabolanti quanto accessibili giocattoli tecnologici: i droni.
Le norme per regolarne l’utilizzo sono numerose e stringenti, ma gli utilizzatori spesso le ignorano o fingono di ignorarle, con tutti i rischi del caso per la protezione dei dati.

Riccardo Delise, program manager di Enac per i mezzi aerei a pilotaggio remoto, spiega che “il nostro Paese può essere considerato all’avanguardia, tuttavia, siccome ci troviamo di fronte a un settore giovane, non esiste ancora piena consapevolezza da parte degli utilizzatori di quali sono i propri obblighi”.

USO PERSONALE ED USO PROFESSIONALE DEI DRONI

Gli aeromodelli – spiega Delise – sono droni utilizzati a scopo ludico, mentre gli  aeromobili a pilotaggio remoto sono usati a scopo professionaleUno stesso drone può essere considerato aeromodello o aeromobile a seconda dell’utilizzo e, di conseguenza, ne derivano obblighi e condotte molto diversi.

Con un aeromodello a scopo ludico è possibile volare solo al di fuori dei centri abitati, aree considerate “non critiche”. Con un aeromobile a scopo professionale è possibile invece sorvolare le aree critiche (le città). Fino a oggi Enac ha rilasciato 5.500 autorizzazioni per mezzi a pilotaggio remoto, di cui 5mila per aree non critiche e 500 per aree critiche. Possono circolare nelle aree critiche pur senza autorizzazione i droni al di sotto dei 300 grammi di peso con protezione alle eliche e una velocità inferiore ai 60 chilometri orari.

DRONI E PROTEZIONE DEI DATI

La privacy deve essere considerata attentamente quando il drone è dotato di dispositivi in grado di scattare foto o fare video.

Se è possibile individuare il pilota del drone, si possono chiedere a lui informazioni su come intende utilizzare le riprese ed eventualmente negare il consenso al trattamento dei dati raccolti, specie se sono previste forme di diffusione delle immagini. E nel caso si ritenesse di essere stati vittime di violazioni della propria privacy, ci si può rivolgere al Garante per la protezione dei dati personali o, in alternativa, all’Autorità giudiziaria.

«Fatti salvi gli usi a fini giornalistici – precisa Giuseppe Busia, segretario generale del Garante della privacy – se si vogliono diffondere le riprese fatte col drone è necessario il consenso dei soggetti ripresi. Quando è difficile raccogliere il consenso, i soggetti devono essere irriconoscibili o perché ripresi da lontano o con volti offuscati».

Bisogna quindi ricordarsi cosa NON debba essere fatto quando si usa un drone:

  • riprese nelle proprietà private altrui (es. casa, giardino dimestico..)
  • riprese e diffusione di immagini che contengono dati personali come targhe di macchine, indirizzi di casa, ecc.
  • pubblicazione sul web di riprese effettuate in un luogo pubblico come spiagge, strade o parchi senza aver raccolto il consenso dei soggetti ripresi
  • captare volontariamente conversazioni altrui (frammenti di conversazione registrati in modo accidentale possono essere utilizzati solo se non rendono riconoscibile il contesto)

LE INDICAZIONI DEL GARANTE PRIVACY

Visto l’incremento esponenziale dell’utilizzo di questi droni, il Garante della privacy ha cercato di regolamentare la materia attraverso una semplice ma efficace infografica intitolata “Consigli per rispettare la privacy se si usa un drone a fini ricreativi”.

Tale infografica raccoglie validi consigli per rispettare i principi basilari della normativa sul trattamento dei dati personali, oltre che alcuni accenni alle regole previste da Enac in materia di pilotaggio di droni.

In base a quanto previsto dal Regolamento europeo in materia di protezione dei dati personali, i droni, come tutti i dispositivi elettronici, devono rispettare i principi di privacy by design e privacy by default: ovvero tutte quelle misure tecnico-organizzative finalizzate ad assicurare che il trattamento dei dati sia limitato solo a quelli necessari per raggiungere le finalità.

 

Fonte [ilSole24OreGarantePrivacy]

Dati sanitari alle multinazionali, senza consenso: passa la norma in Italia

I nostri dati personali, a partire probabilmente da quelli sanitari, potranno finire nelle mani delle multinazionali, a scopi di ricerca scientifica o statistici. Senza bisogno del consenso dell’interessato e senza nemmeno doverlo avvisare.

Il tutto è stato autorizzato, a sorpresa, da due articoli comparsi nella “legge europea 2017” (la 167, con cui l’Italia recepisce obblighi comunitari) uscita in Gazzetta ufficiale la scorsa settimana. Ed entrata in vigore già dal 12 dicembre.

E’ un implicito via libera dell’Italia a un dossier che aveva suscitato grosse polemiche e l’altolà del Garante della Privacy: l’accordo tra il Governo Renzi e l’Ibm per l’uso dei dati sanitari italiani – a partire da quelli della Lombardia – in cambio dell’apertura a Milano del suo centro Watson Health. Di qualche giorno fa anche una lettera della Commissione europea (Direzione generale Concorrenza) al Governo per ottenere chiarimenti sull’accordo, preoccupata tra l’altro che ci possano essere discriminazioni lesive per i concorrenti di Ibm.
Ibm, come tutte le multinazionali tecnologiche, ha bisogno dei dati dei cittadini per alimentare i propri sistemi di intelligenza artificiale, rendendoli più competitivi in quello che tutti gli esperti considerano il business del futuro. L’intelligenza artificiale, alimentata dai big data, per migliorare la sanità, la gestione delle città e delle utility, tra l’altro. Un mercato miliardario, secondo varie stime: 4 miliardi di dollari previsti nel 2017 solo per i big data nella Sanità, secondo Sns Research, con una crescita del 15% annuo fino al 2030.

In particolare, la legge appena uscita anticipa il regolamento europeo (Gdpr) che entra in vigore a maggio 2018; ma lo fa con una tale genericità e permissività da preoccupare gli esperti. “Tra qualche giorno sarà possibile dare, per scopi di ricerca scientifica o statistici, tutti i dati degli italiani, con la sola tutela di un’autorizzazione da parte del Garante Privacy prevista in modo troppo generico dalla norma”, dice Francesco Pizzetti, ex garante della privacy e docente ordinario di Diritto Costituzionale presso l’Università di Torino. “La norma non prevede infatti il diritto dell’utente a essere informato né ad accedere a questi dati. Vincola l’autorizzazione del Garante solo al fatto che i dati siano anonimizzati e che sia rispettato il principio di minimizzazione dell’utilizzo.

Ossia che siano usati solo quelli che servono per quella ricerca scientifica”, aggiunge.

“Non si comprendono le ragioni di tanta urgenza nel fare questa legge. Se non pensando ai grandi interessi di tutte le multinazionali tecnologiche nei confronti del mercato dell’intelligenza artificiale, nutrito dai dati personali dei cittadini”, dice Andrea Lisi, avvocato esperto di questi temi.

Negli ultimi mesi, Ibm ha lavorato ad accordi non solo con il Governo italiano ma anche con quelli di altri Paesi, come Francia e Regno Unito, per ottenere i dati dei cittadini.

Anche l’anonimizzazione apre dubbi e problemi. La norma non chiarisce se sia lo Stato a dover anonimizzare i dati o lo possa fare anche un soggetto privato. Nel secondo caso, significa che l’azienda destinataria avrebbe comunque i nostri dati in chiaro in un qualche momento. Nel primo caso, bisogna assicurarsi che lo Stato sia in grado di reclutare competenze sufficienti per anonimizzare bene i dati. Altrimenti significa mettere comunque a rischio la privacy dei cittadini (i cui dati su malattie e terapie seguite potrebbero finire per esempio nelle mani di cyber criminali o di aziende di assicurazione). E queste competenze, come fatto notare dal Garante al Governo, in Italia sono molto immature rispetto ad altri Paesi europei.

Infine, c’è una questione di fondo, di principio costituzionale, che ora anima il dibattito tra gli esperti e tra i Garanti privacy europei. Migliorare la Sanità con i dati dei cittadini è un valore di interesse pubblico. Allora forse i dati anonimizzati dovrebbero essere resi pubblici. Ma in questo modo nessun soggetto privato avrebbe un reale incentivo a procedere con un trattamento complesso come l’anonimizzazione ed esporsi al rischio di infrazioni al Regolamento Privacy (Gdpr), con conseguenti sanzioni.

Di base, c’è una questione più ampia, che investe i fondamentali stessi della democrazia. Le risorse per fare avanzare la medicina – con l’intelligenza artificiale, per esempio – sono sempre di più nelle disponibilità di soli grandi soggetti privati e sempre meno dello Stato. La sfida per i Governi è trovare modi per conciliare questa situazione con due diritti dei cittadini: alla salute e quello alla privacy. È un difficile equilibrio. Entrambi gli eccessi opposti renderebbero, alla fine, più difficile per i cittadini l’accesso a cure migliori. Norme troppo rigide possono infatti disincentivare gli investimenti di quei soggetti privati (con danno per il settore salute e per l’indotto economico in generale). I quali per altro avrebbero così interesse a investire in Paesi con norme più favorevoli.

Di contro, norme troppo permissive minacciano non solo la privacy dei cittadini; ma anche – per esempio dando troppe prerogative in forma esclusiva a singole aziende – sono incompatibili con l’obiettivo generale di rendere quanto più condivisi possibili i risultati di quegli avanzamenti medici ottenuti con la tecnologia.

Fonte: Repubblica.it
@AlessLongo

Nasce l’Associazione DPO europei

logo

E’ nata la nuova Associazione Data Protection Officer Europei, l’associazione che vuole raccogliere tutti gli attori della privacy (in particolare i DPO) per condivere esperienze, novità e best pratice in ambito Reg. UE 2016/679 e Codice privacy.

L’iscrizione è gratuita e ti consente di accedere alle attività che periodicamente verranno pubblicate, web binar, lezioni di aggiornamento, incontri live, ebook, software inerenti la gestione della privacy.

Presidente è Matteo Rapparini, autore di oltre 20 prodotti editoriali sulla privacy e titolare di Edirama, editore di centinaia di software, corsi on line, ebook per professionisti e aziende.

Per iscriverti clicca qui

 

 

 

I CODICI DI CONDOTTA E LE CERTIFICAZIONI IN AMBITO DATA PROTECTION

Il Regolamento europeo prevede l’onere della prova in capo al titolare e al responsabile del trattamento: questi quindi dovranno essere in grado di dimostrare di aver messo in atto misure organizzative e di sicurezza adeguate sia alla particolare tipologia di dati che trattano sia agli specifici trattamenti che effettuano.
Best practice, codici di condotta e certificazioni possono, di conseguenza, essere utilizzati come elementi di prova.

dpocorso
Codici di condotta

Secondo il Regolamento, l’elaborazione di codici di condotta dovrebbe essere incoraggiata dagli Stati membri. In particolare, questi dovrebbero essere redatti dalle associazioni e dalle organizzazioni che rappresentano categorie di titolari del trattamento o di responsabili del trattamento e dovrebbero tenere conto delle caratteristiche specifiche dei settori di riferimento e delle diverse esigenze connesse alle dimensioni aziendali.

In particolare, secondo l’art. 40 del Regolamento, potrebbero concernere:

il trattamento corretto e trasparente dei dati,
i legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici,
la raccolta dei dati personali,
la pseudonimizzazione,
l’informazione fornita al pubblico e agli interessati,
l’esercizio dei diritti degli interessati,
la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore,
le misure di sicurezza,
la notifica dei data breach e la relativa comunicazione agli interessati,
il trasferimento di dati personali verso paesi terzi,
le procedure stragiudiziali di composizione delle controversie.

Il progetto di codice dovrà essere sottoposto all’Autorità garante nazionale e questa esprimerà un parere sul progetto. Se il parere è positivo e l’applicazione del Codice riguarda solamente lo Stato membro in cui è presentato, l’Autorità registrerà e pubblicherà il Codice realizzato.

Nel caso in cui, invece, il progetto di codice di condotta si riferisca a trattamenti realizzati in vari Stati membri, prima che vi sia approvazione definitiva, occorre un secondo esame a livello europeo, con il coinvolgimento del Comitato europeo per la protezione dei dati. Qualora anche a seguito di tale controllo, il progetto ottenga un parere favorevole, sarà registrato e pubblicato.

Ai sensi del Regolamento, inoltre, la Commissione ha il potere di decidere che il codice di condotta abbia validità generale all’interno dell’Unione: in tal modo, il codice è reso applicabile a tutto il settore di riferimento, in tutto il territorio dell’Unione Europea.

Tutti i Codici di condotta sono raccolti dal Comitato in un apposito registro e la Commissione è tenuta a dare pubblicità a quelli che hanno acquisito validità generale.
Le certificazioni

kit_privacy

Il Regolamento inoltre, incoraggia l’istituzione di meccanismi di certificazione, sigilli e marchi di protezione dei dati che consentano agli interessati di valutare rapidamente il livello di protezione dei dati.

La certificazione è:

volontaria
accessibile tramite una procedura trasparente
rilasciata al titolare o al responsabile del trattamento da appositi organismi di certificazione o dall’Autorità garante – per un periodo massimo di tre anni, rinnovabili.

Gli organismi di certificazione devono possedere un livello di conoscenza della materia adeguato, essere indipendenti ed essere accreditati. Per poter ottenere l’accreditamento, gli organismi devono dimostrare indipendenza e competenze specifiche e presentare le procedure che intendono seguire ai fini della verifica del rispetto dei criteri.
Livelli di responsabilità

L’aver aderito ad un codice di condotta o l’essersi certificato, non libera il titolare né il responsabile del trattamento dalla responsabilità di conformità al Regolamento e lascia impregiudicati i compiti e i poteri delle autorità di controllo competenti.

Alla luce di quanto fino ad ora descritto, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e fissare l’ammontare della stessa, si terrà in conto anche dell’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42.
Aspettative

Nei tavoli di lavoro a Bruxelles, tra le proposte delle delegazioni italiane, vi sarebbe quella di imporre un obbligo di certificazione privacy per poter accedere alla partecipazione di specifici bandi di gara delle Pubbliche Amministrazioni. Altre delegazioni si sono spinte anche oltre, proponendo certificazioni obbligatorie anche sui prodotti.

Ad oggi nessuno può sapere con certezza quanto tempo potrà essere necessario a che il gruppo dei garanti europei decida di attivare le certificazioni e i codici di condotta.

Prima che possano essere emanate le linee guida dal comitato europeo dei garanti infatti, si rendono necessari almeno due passaggi:

la piena attuazione del Regolamento, con costituzione e insediamento del Gruppo dei Garanti Europei, le cui linee guida saranno vincolanti per le autorità degli Stati membri;
la definizione da parte del comitato dei criteri di certificazione e di quelli relativi agli enti che potranno essere certificati.

L’interesse che da subito si è manifestato sui codici di condotta e le certificazioni previste nel GDPR, è stato enorme e ha indotto certificatori e altri portatori di interessi economici a schierarsi per cercare di conquistare un posto in prima fila.

La sola cosa certa è che ad oggi non esiste ancora la possibilità di certificare la conformità di uno specifico trattamento al GDPR e tanto meno esiste la possibilità di certificare una generalizzata conformità aziendale.

Fonte [Ipsoa, EuroPrivacy]

Profilazione e decisioni automatizzate afferenti ad interessati

In data 3 ottobre 2017 l’articolo 29 working party ha pubblicato un documento di approfondimento, che ben chiarisce aspetti legati a decisioni automatizzate e profilazione, che riguardino interessati. Trattandosi di un tema che attira una sempre maggiore attenzione e che è aperto a interpretazioni discordanti, raccomando caldamente ai responsabili del trattamento dei dati di leggere attentamente questo documento

 

Si tratta di un problema in continua espansione, perché sono sempre più numerosi i titolari che utilizzano queste strategie, in quanto viene incrementata l’efficacia del trattamento e si risparmiano risorse preziose. Articolo 29 working party mette bene in evidenza come, a fronte di questi vantaggi per i titolari, si possono presentare rischi significativi per i diritti degli individui.

Il documento, dopo aver ampliato la definizione di profilazione e decisioni automatiche, illustrate nel regolamento generale, passa ad esaminare quali sono le eccezioni a questa proibizione generalizzata.

 

Queste tipologie di trattamenti possono essere fatte nell’ambito della gestione di un contratto con l’interessato, nell’ambito di procedure autorizzate dall’unione europea o da leggi nazionali, oppure a seguito di un esplicito consenso rilasciato dall’interessato.

Ciò premesso, vediamo quali sono i diritti che comunque competono agli interessati.

 

Il primo e fondamentale diritto è evidentemente quello di essere tempestivamente informati di queste modalità di trattamento, con una chiara illustrazione di quali potrebbero essere le conseguenze.

Rimane sempre in vigore il diritto di accesso al titolare per avere ogni possibile informazioni su queste specifiche modalità di trattamento e inoltre viene sottolineato il fatto che una qualsiasi decisione, che riguardi un interessato, non può essere solo basato su processi automatizzati, ma deve essere riesaminata ed eventualmente convalidata da una persona fisica, cioè un incaricato del trattamento.

 

Poiché è possibile che impostazioni e classificazioni non corrette dei dati possano portare a decisioni non corrette, è fondamentale che il titolare del trattamento adotti ogni possibile misura, a salvaguardia della correttezza delle decisioni.

Ove comunque tali procedimenti vengano attuati, essi debbono evidentemente essere legittimi e trasparenti e devono essere applicati utilizzando la minima quantità di dati necessaria, oltre tutto caratterizzata da una elevata accuratezza ed una appropriata limitazione del tempo di archiviazione di questi dati.

 

Il documento elaborato dall’articolo 29 working party prevede, come è logico, il diritto alla rettifica, cancellazione e limitazione del trattamento, che è sempre in carico all’interessato.

Particolari attenzioni devono essere poste quando l’attività di profilazione si riferisce a minori.

I titolari faranno inoltre attenzione a gestire correttamente questa attività automatizzata, perché in alcuni casi potrebbe essere indispensabile sviluppare una valutazione di impatto sulla protezione dei dati.

 

Il documento si conclude con un primo annesso, che illustra tutt’una serie di raccomandazioni, corrispondenti ad atteggiamenti oltremodo prudenziali, cui dovrebbe attenersi il titolare del trattamento.

Un secondo annesso riepiloga gli articoli coinvolti, con gli eventuali “considerando” e commenti relativi.

Ancora una volta, siamo davanti a un preziosissimo documento, che aiuta i titolari del trattamento a sviluppare attività sempre più efficienti, efficaci e sicure!

Allegato wp29 251(pdf, 0.8 MB)

Fonte: Puntosicuro.it

Facebook, foto di minori sui social solo con il consenso di entrambi i genitori

Per pubblicare sui social network gli scatti dei figli minorenni serve il consenso di entrambi i genitori perché “l’inserimento di foto di minori sui social network costituisce comportamento potenzialmente pregiudizievole per essi”. È questa la motivazione con cui un giudice del Tribunale di Mantova ha stabilito che entrambi i coniugi devono essere d’accordo prima di caricare in rete le foto dei figli, altrimenti dovranno essere rimosse.
“Ciò determina la diffusione delle immagini fra un numero indeterminato di persone, conosciute e non, le quali possono essere malintenzionate e avvicinarsi ai bambini” scrive il giudice Mauro Bernardi, che rileva anche il pericolo che qualcuno “con procedimenti di fotomontaggio”, ne tragga “materiale pedopornografico da far circolare tra gli interessati”.
La sentenza è arrivata dopo la denuncia di un padre che, nel processo per la separazione, aveva richiesto la revisione dell’accordo sull’affido dei bambini e la loro residenza con la madre dopo che, nonostante il suo parere contrario, questa aveva pubblicato in rete le foto dei loro figli, uno di un anno e mezzo e l’altro di tre anni e mezzo.
Il giudice ha imposto la rimozione delle foto, richiamandosi all’articolo 10 del codice civile sulla tutela dell’immagine, ad alcuni articoli del decreto legislativo 196 del 2003 sulla tutela della riservatezza dei dati personali, sulla convenzione di New York, ratificata dall’Italia nel 1991, sulla tutela dei minori e sul regolamento dell’Unione Europea del 2016 che entrerà in vigore l’anno prossimo.
Fonte: Il Fatto Quotidiano