La Corte Ue ha stabilito che il gestore di un sito internet in cui è possibile cliccare sull’icona «like» può essere ritenuto responsabile della raccolta e della trasmissione dei dati personali dei visitatori insieme con Facebook.
Leggi su www.alertprivacy.it
Terminata la procedura di revisione alla luce del nuovo Regolamento europeo delle nove autorizzazioni generali rilasciate dal Garante privacy nel 2016 quando era in vigore la precedente normativa. A conclusione della consultazione pubblica avviata lo scorso dicembre, l’Autorità ha adottato un provvedimento, in corso di pubblicazione sulla G.U., che contiene gli obblighi che dovranno essere rispettati da un numero elevato di soggetti, pubblici e privati, in diversi settori per poter trattare particolari categorie di dati personali, come quelli legati alla salute, alle opinioni politiche, all’etnia, all’orientamento sessuale. Le prescrizioni riguardano infatti il trattamento di queste categorie particolari di dati nei rapporti di lavoro; il trattamento degli stessi dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose, cosi come da parte degli investigatori privati; nonché il trattamento dei dati genetici e il trattamento effettuato per scopi di ricerca scientifica.
Il provvedimento, adottato in base al decreto legislativo n.101 del 2018 che ha adeguato la normativa nazionale al Regolamento Ue, tiene conto dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione.
Nello stesso provvedimento l’Autorità ha precisato che l’autorizzazione generale sul trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici cessa di produrre i propri effetti non rientrando tra le situazioni di trattamento richiamate dell’art. 21 del dlgs. n.101/2018.
Viene chiarito, inoltre, che le autorizzazioni generali n. 2, 4 e 5 – riguardanti rispettivamente il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, il trattamento dei dati sensibili da parte dei liberi professionisti e il trattamento dei dati sensibili da parte di diverse categorie di titolari – cessano anche esse di produrre i propri effetti in quanto prive di specifiche prescrizioni.
Il diritto all’oblio può essere invocato – in casi particolari – anche partendo da dati presenti sul web che non siano il nome e il cognome dell’interessato, nel caso in cui essi lo rendano comunque identificabile, anche in via indiretta.
E’ il principio che ha fissato il Garante decidendo sul reclamo di un professionista che aveva richiesto invano a Google la deindicizzazione di una Url che risultava reperibile on line digitando non il proprio nome, ma il riferimento alla sua qualifica di presidente di una determinata cooperativa.
La Url faceva riferimento ad una notizia non più attuale e non aggiornata, relativa ad un rinvio a giudizio avvenuto dieci anni prima, riguardo al quale era poi però intervenuta una sentenza definitiva di assoluzione. La permanenza in rete della notizia rappresentava, ad avviso dell’interessato, un gravissimo e irreparabile pregiudizio alla propria reputazione.
Alla richiesta dell’interessato di rimuovere l’Url contestata, Google aveva opposto rifiuto sostenendo che fosse inammissibile una richiesta di deindicizzazione per chiavi di ricerca che non includono il nome e il cognome di una persona fisica, sulla base di quelli che riteneva essere i principi fissati dalla Corte di Giustizia dell’Ue nella Sentenza “Google Spain”. L’interessato si era dunque rivolto al Garante, non senza aver prima tentato, anche qui invano, di far rimuovere la Url dal sito sul quale era stato pubblicato l’articolo.
Diversamente da Google, l’Autorità – in tale specifica circostanza – ha ritenuto fondata la richiesta del professionista. Il Garante – sulla base del Regolamento europeo che definisce dato personale “qualsiasi informazione riguardante una persona fisica indentificata o identificabile” ha concluso che l’Url che riportava la qualifica di Presidente di quella determinata cooperativa, si riferiva in maniera inequivocabile alla persona del reclamante – visto che quest’ultimo rivestiva quella carica da moltissimi anni, tanto da essere ormai, specie nell’ambito della realtà di riferimento, univocamente messo in correlazione con essa. Per altro verso, l’articolo contestato risultava risalente nel tempo e riguardava un procedimento penale che era stato poi definito con una sentenza di assoluzione. E, di conseguenza, ha sottolineato il Garante, il pregiudizio subito dall’interessato dalla reperibilità sul web della Url in questione non poteva ritenersi bilanciato da un interesse della collettività a conoscere informazioni che risultavano inesatte e non aggiornate alla luce degli sviluppi procedimentali avuti poi dalla vicenda.
Il Garante Privacy ha dunque ingiunto a Google di rimuovere l’Url e di comunicare entro trenta giorni dalla data di ricezione del provvedimento le iniziative intraprese per dare attuazione a quanto prescritto.
Non è lecito l’invio di comunicazioni commerciali ai possessori di tessere fedeltà che non abbiano espresso uno specifico e libero consenso all’uso dei propri dati a fini di marketing. E’ quanto ribadito dal Garante Privacy in un provvedimento con cui ha imposto a un’importante catena di negozi una serie di misure per garantire il rispetto delle misure poste a tutela della privacy dei consumatori.
Il provvedimento è stato adottato in seguito alle violazioni segnalate da alcuni clienti e confermate da un’ispezione svolta dall’Autorità con l’ausilio del Nucleo speciale privacy della Guardia di Finanza, prima dell’applicazione del nuovo Regolamento UE sulla protezione dei dati personali (Gdpr), al termine della quale la stessa Guardia di Finanzia aveva provveduto a contestare direttamente in loco una sanzione amministrativa.
I clienti si erano lamentati per la continua e indesiderata ricezione in posta elettronica di offerte commerciali da parte dell’azienda di cui possedevano una carta fedeltà. Gli interessati avevano, peraltro, chiesto più volte alla società, sia telefonicamente, sia tramite procedure automatizzate, di cancellare il proprio indirizzo dalla mailing list pubblicitaria, ma senza ottenere alcun risultato.
Nel corso dell’istruttoria avviata dal Garante, l’impresa si è giustificata affermando di non essere stata in grado di bloccare l’invio di e-mail pubblicitarie per problemi connessi alle sue banche dati – contenenti dati di oltre dieci milioni di clienti – che, in quel periodo, erano in fase di migrazione verso un’unica piattaforma.
Dall’ispezione sono emersi ulteriori problemi relativi alla gestione dei dati personali dei clienti. E’ stato in particolare accertato che il consenso al trattamento dei dati per l’invio di comunicazioni commerciali – acquisito attraverso i vecchi moduli di adesione al programma fedeltà – non poteva essere ritenuto valido, poiché i clienti erano costretti a rilasciarlo per poter ottenere iservizi proposti con la carta fedeltà. Inoltre, il sistema informativo della società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l’invio di spam.
Nel suo provvedimento, il Garante ha quindi prescritto misure per mettersi in regola con le nuove disposizioni in materia di protezione dei dati personali e, esercitando per la prima volta i nuovi poteri correttivi offerti dal Gdpr, ha “ammonito” la società a non utilizzare più, per finalità di marketing, i dati personali degli interessati, raccolti mediante i moduli relativi alla fidelity card contestata. Ha inoltre vietato l’utilizzo, per gli stessi fini, dei dati di qualunque interessato, in assenza di un comprovato consenso, libero e specifico. Alla società è stato ingiunto, infine, di implementare misure organizzative e tecniche adeguate per garantire la corretta gestione dei diritti degli interessati, assicurando anche il tracciamento puntuale delle richieste ricevute dalla clientela, e così poter comprovare il rispetto (accountability) degli adempimenti privacy.
Privacy vista diversamente al nord e al sud dove è percepita esclusivamente come un adempimento burocratico al sud, apprezzata come crescita aziendale al nord.
Fonte: Leonardo Lillo Linkedin
In questo video ti spiego perchè è necessario svolgere l’aggiornamento annuale come Data Protection Officer.
Ti segnalo il corso on line Aggiornamento DPO 2019 – Guarda i contenuti dal seguente link
Dr. Matteo Rapparini – CEO Edirama – http://www.consulenzaprivacy.org
Dr. Matteo Rapparini – CEO Edirama – www.edirama.org
L’audit realizzato dal DPO è una nuova attività che in azienda può spaventare o almeno essere considerata dai responsabili di funzione e dai dipendenti, un’azione “intrusiva” che può andare a valutare il proprio operato in ambito privacy.
E’ quindi importante che quest’anno gli audit del DPO, di verifica e di controllo inerenti il GDPR, siano accomunati dal criterio di non dare pagelle e votazioni alle funzioni coinvolte nel trattamento dei dati personali, ma siano invece guidati da un obiettivo diverso: ovvero verificare lo stato delle cose inerenti la privacy per poi definire successive evoluzioni e interventi.
Sostanzialmente quest’anno gli audit del DPO dovranno aiutare le funzioni aziendali a prendere coscienza di cosa veramente sono tenute a fare ogni giorno per rispettare le prescrizioni privacy aziendali.
Vediamo come fare nella pratica – I 6 step da seguire
Continua su www.clubdpo.com
E’ attivo il nuovo servizio preventivo.info che consente di inoltrare richieste di preventivi di consulenza in ambito privacy-gdpr
Questo servizio permette di consulenti privacy di disporre di un potente strumento marketing in grado di incrementare il fatturato professionale mediante:
_ le richieste di preventivo consulenza privacy GDPR
_ la vetrina consulenti privacy
_ tools e guide di supporto per sviluppare l’attività di consulente
Tutto questo su www.preventivo.info
Consulenza Privacy 