Archivio mensile:giugno 2019

Marketing: no alla raccolta punti “acchiappa consensi”

Per poter partecipare ad un programma di raccolta punti e usufruire così di piccoli vantaggi il cliente non deve essere obbligato ad esprimere il consenso a ricevere pubblicità. Il principio è stato ribadito dal Garante privacy che ha vietato a una nota marca di pannolini l’ulteriore trattamento per finalità promozionali dei dati di oltre un milione e mezzo di persone, acquisiti in modo illecito mediante il form “raccolta punti” del sito della società.

Dagli accertamenti svolti dal Garante in collaborazione con il Nucleo speciale privacy della guardia di finanza, a seguito di una segnalazione, è emerso che solo nei primi due mesi del 2018 la società ha inviato newsletter promozionali a circa un milione di indirizzi e-mail raccolti e utilizzati senza un valido consenso.

Ai clienti interessati alla raccolta punti, infatti, non veniva data la possibilità, come richiesto dalla normativa, di esprimere un consenso libero e specifico per le singole finalità di trattamento che la società intendeva svolgere, tra le quali vi era appunto l’attività promozionale. Per poter completare la registrazione e aderire al programma di fidelizzazione i clienti erano invece obbligati a rilasciare due consensi generici, uno per la società e uno per i marchi collegati.

Oltre a disporre il divieto, il Garante ha ingiunto alla società, qualora intenda svolgere attività promozionali, di modificare il form di raccolta dati presente sul sito, affinché gli utenti possano esprimere un consenso libero e informato per tale finalità.

Per i trattamenti illeciti è stata applicata una sanzione amministrativa che la società ha già pagato.

Informazioni commerciali e Gdpr: le nuove regole

Rispondi

Informazioni commerciali e Gdpr: le nuove regole
Il Garante privacy approva il Codice di condotta proposto dall’Ancic

Maggiore tutela delle persone censite, valutazione di impatto sulla protezione dei dati, adeguamento alle best practices europee, un nuovo organismo di monitoraggio sulle imprese aderenti al Codice. Queste sono alcune delle misure indicate nel Codice di condotta predisposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic), e approvato dal Garante per la privacy dopo un complesso iter di elaborazione.

Il testo sostituisce e aggiorna il vecchio Codice deontologico sulle informazioni commerciali – che rimarrà comunque in vigore fino al 19 settembre 2019 – aiutando le imprese del settore ad adeguarsi al Regolamento Ue in materia di protezione dati (Gdpr) e alla normativa italiana, modificata a fine 2018.

Nel Codice di condotta trova concreta applicazione il principio di responsabilizzazione (la cosiddetta accountability), fortemente sostenuto nel Gdpr, che impone alle associazioni di categoria e alle imprese un’applicazione consapevole, trasparente, effettiva delle norme regolamentari.

Con il nuovo testo, le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso – basandosi sul legittimo interesse – ma dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e garantendo loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.

Diverse le novità introdotte. I fornitori aderenti dovranno operare secondo un approccio basato sul rischio, adottando misure tecniche, informatiche, procedurali, fisiche e organizzative utili a prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso ai dati personali. Ogni fornitore dovrà inoltre impegnarsi ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato europeo per la protezione dei dati (EDPB) o da altre autorità di settore competenti, e dovrà designare – quando previsto – un responsabile per la protezione dei dati (Rpd/Dpo).

Sarà infine istituito un Organismo di monitoraggio (Odm) indipendente, esterno all’Ancic, composto da soggetti scelti secondo i criteri di onorabilità, autonomia, indipendenza e professionalità previsti dal Regolamento Ue e dettagliati nelle Linee guida europee recentemente approvate in via definitiva. L’Odm dovrà verificare l’osservanza del codice di condotta da parte degli aderenti e gestire la risoluzione dei reclami.

L’Autorità segnala che ha approvato il codice di condotta, ma ne ha subordinato l’efficacia al completamento della fase di accreditamento dell’Organismo di monitoraggio, come previsto dal Regolamento Ue sulla privacy. Per procedere in tal senso occorrerà però aspettare la conclusione dei lavori – in seno all’Edpb, organismo che riunisce tutti i Garanti europei – per la definizione di criteri uniformi per l’accreditamento.

Nel sottolineare l’importanza del nuovo Codice di condotta, l’Autorità ricorda che il suo rispetto potrà servire alle imprese a dimostrare la conformità alla normativa del trattamento dei dati personali da esse effettuato.

Gli aspetti critici dell’attività del DPO

Rispondi

A più di un anno dell’applicazione del Reg. Ue 2016/679, è possibile tracciare un primo bilancio anche della nuova figura professionale introdotta, quella del Data Protection Officer.
I mille dubbi sull’operatività del DPO non si sono completamente dipanati, nel corso dei mesi. Anzi in molti casi i dubbi e le questioni irrisolte hanno continuato ad alimentare il dibattito tra gli esperti e non, in rete e nei convegni in tutta Italia.

Se è pur vero che per il DPO non sono previste sanzioni esplicitamente richiamate dalla nuova normativa, è pur sempre vivo il pericolo per qualcuno di “incappare” in qualche problematica, con risvolti legali anche importanti e ,come tutte le questioni di legge, fastidiose.
Le assicurazioni professionali garantiscono e tutelano il singolo DPO in modo più o meno completo, ma la complessità della materia e della sua applicazione alle singole realtà aziendali, accompagnate anche da una non completa preparazione professionale, possono creare situazioni critiche in qualsiasi momento.
Infatti il ruolo di DPO, normato come un supervisore, si pone all’interno dell’azienda in una posizione che può apparire in alcuni contesti, scomoda, a tal punto da generare anche sottili azioni di “sabotaggio” anche culturale, se non “operativo” (nei casi peggiori), in ambito privacy.
Il suo posizionamento tra il titolare dei trattamenti dati e la più alta gerarchia aziendale, crea in alcuni contesti dinamiche di gestione dei dati personali che lo stesso DPO può faticare a individuare, a prevenire trovandosi poi a gestire improvvisi e importanti databreach e rapporti con il Garante, con gravi conseguenze per l’azienda.

In questo contesto è fondamentale che il DPO comprenda l’importanza di definire gli aspetti più sensibili della propria professione, andando a pianificare nei dettagli ogni singola dinamica, che se fuori controllo, possono esplodere con conseguenze gravi e “attriti” con l’azienda e il titolare trattamenti dati, dalle conseguenze anche risarcitorie.

Vediamo un breve elenco degli aspetti che un DPO deve con maggiore attenzione valutare nello svolgimento della propria attività:
_ autonomia operativa sia dal punto di vista di budget di spesa, sia dal punto di vista della gerarchia aziendale
_ coinvolgimento in ogni questione che riguarda i trattamenti dei dati personali in azienda
_ partecipazione alle riunioni dell’alta direzione
_ documentare sempre situazioni in cui il proprio parere non è condiviso ad esempio dal Titolare trattamenti dati
_ comunicazione della propria nomina a tutto il personale dell’azienda in modo tale che la sua presenza e le sue funzioni siano note all’interno dell’azienda
_ ricorrere quando necessario a consulenti esterni per problematiche tecniche o legali che non è in grado di risolvere.

Per aiutare il singolo DPO a valutare la presenza di possibili criticità nella propria professione, Edirama ha realizzato il software Check DPO, uno strumento veloce, completo, personalizzabile e utilizzabile per illimitati check-up della professione del DPO.
Rispondendo a 23 quesiti che abbracciano 23 aspetti operativi dell’attività professionale del DPO, il software fornisce un quadro esaustivo delle criticità professionali, indicando anche le soluzioni operative per correggerle.

In questo modo il DPO può valutare il proprio status professionale in ogni singola azienda nelle quali ricopre tale funzione, utilizzando il software Check DPO, individuando criticità che possono portare a problematiche le cui conseguenze possono essere anche gravi.
Il software è disponibile su http://www.edirama.org dove è possibile consultare la video demo

Per maggiori informazioni
Dr. Matteo Rapparini
http://www.edirama.org
Tel. 051-35.38.38
info@edirama.org

Data breach: Garante, le comunicazioni agli utenti non devono essere generiche

Rispondi

Le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità. È quanto affermato dal Garante per la privacy nel provvedimento adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica.

La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi. Nel caso specifico, ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata.

La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda. Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.

Per contenere le possibili conseguenze del data breach la società aveva “forzato” gli utenti a reimpostare la password e predisposto una pagina apposita sul proprio sito per informare della violazione, in attesa di inviare una mail a tutti agli interessati colpiti dall’incidente. Mail effettivamente inviata, ma che, dagli atti acquisiti dal Garante nel corso di un’ispezione, è risultata carente e non in linea con quanto previsto dalla normativa sulla tutela dei dati personali. La società, infatti, aveva inviato due diverse comunicazioni a seconda che l’utente avesse provveduto o meno a effettuare il cambio della password entro le 48 ore successive all’avviso dell’avvenuto data breach.

In entrambi i casi la violazione era descritta come “attività anomala sui sistemi” e a chi aveva cambiato la password non veniva suggerita alcuna ulteriore azione correttiva, affermando che il cambio di password aveva reso inutilizzabili le credenziali precedenti; a chi, invece, non aveva provveduto alla modifica si suggeriva solamente di cambiare la password per “eliminare il rischio di accesso indesiderato alla casella mail”. Informazioni ritenute dall’Autorità insufficienti, a fronte dei possibili e gravi rischi ai quali sono stati esposti gli utenti.