Diritto all’oblio anche per i dati che rendono identificabile una persona

Il diritto all’oblio può essere invocato – in casi particolari – anche partendo da dati presenti sul web che non siano il nome e il cognome dell’interessato, nel caso in cui essi lo rendano comunque identificabile, anche in via indiretta.

E’ il principio che ha fissato il Garante decidendo sul reclamo di un professionista che aveva richiesto invano a Google la deindicizzazione di una Url che risultava reperibile on line digitando non il proprio nome, ma il riferimento alla sua qualifica di presidente di una determinata cooperativa.

La Url faceva riferimento ad una notizia non più attuale e non aggiornata, relativa ad un rinvio a giudizio avvenuto dieci anni prima, riguardo al quale era poi però intervenuta una sentenza definitiva di assoluzione. La permanenza in rete della notizia rappresentava, ad avviso dell’interessato, un gravissimo e irreparabile pregiudizio alla propria reputazione.

Alla richiesta dell’interessato di rimuovere l’Url contestata, Google aveva opposto rifiuto sostenendo che fosse inammissibile una richiesta di deindicizzazione per chiavi di ricerca che non includono il nome e il cognome di una persona fisica, sulla base di quelli che riteneva essere i principi fissati dalla Corte di Giustizia dell’Ue nella Sentenza “Google Spain”. L’interessato si era dunque rivolto al Garante, non senza aver prima tentato, anche qui invano, di far rimuovere la Url dal sito sul quale era stato pubblicato l’articolo.

Diversamente da Google, l’Autorità – in tale specifica circostanza – ha ritenuto fondata la richiesta del professionista. Il Garante – sulla base del Regolamento europeo che definisce dato personale “qualsiasi informazione riguardante una persona fisica indentificata o identificabile” ha concluso che l’Url che riportava la qualifica di Presidente di quella determinata cooperativa, si riferiva in maniera inequivocabile alla persona del reclamante – visto che quest’ultimo rivestiva quella carica da moltissimi anni, tanto da essere ormai, specie nell’ambito della realtà di riferimento, univocamente messo in correlazione con essa. Per altro verso, l’articolo contestato risultava risalente nel tempo e riguardava un procedimento penale che era stato poi definito con una sentenza di assoluzione. E, di conseguenza, ha sottolineato il Garante, il pregiudizio subito dall’interessato dalla reperibilità sul web della Url in questione non poteva ritenersi bilanciato da un interesse della collettività a conoscere informazioni che risultavano inesatte e non aggiornate alla luce degli sviluppi procedimentali avuti poi dalla vicenda.

Il Garante Privacy ha dunque ingiunto a Google di rimuovere l’Url e di comunicare entro trenta giorni dalla data di ricezione del provvedimento le iniziative intraprese per dare attuazione a quanto prescritto.

Garante privacy: no spam ai possessori di carte fedeltà

Non è lecito l’invio di comunicazioni commerciali ai possessori di tessere fedeltà che non abbiano espresso uno specifico e libero consenso all’uso dei propri dati a fini di marketing. E’ quanto ribadito dal Garante Privacy in un provvedimento con cui ha imposto a un’importante catena di negozi una serie di misure per garantire il rispetto delle misure poste a tutela della privacy dei consumatori.

Il provvedimento è stato adottato in seguito alle violazioni segnalate da alcuni clienti e confermate da un’ispezione svolta dall’Autorità con l’ausilio del Nucleo speciale privacy della Guardia di Finanza, prima dell’applicazione del nuovo Regolamento UE sulla protezione dei dati personali (Gdpr), al termine della quale la stessa Guardia di Finanzia aveva provveduto a contestare direttamente in loco una sanzione amministrativa.

I clienti si erano lamentati per la continua e indesiderata ricezione in posta elettronica di offerte commerciali da parte dell’azienda di cui possedevano una carta fedeltà. Gli interessati avevano, peraltro, chiesto più volte alla società, sia telefonicamente, sia tramite procedure automatizzate, di cancellare il proprio indirizzo dalla mailing list pubblicitaria, ma senza ottenere alcun risultato.

Nel corso dell’istruttoria avviata dal Garante, l’impresa si è giustificata affermando di non essere stata in grado di bloccare l’invio di e-mail pubblicitarie per problemi connessi alle sue banche dati – contenenti dati di oltre dieci milioni di clienti – che, in quel periodo, erano in fase di migrazione verso un’unica piattaforma.

Dall’ispezione sono emersi ulteriori problemi relativi alla gestione dei dati personali dei clienti. E’ stato in particolare accertato che il consenso al trattamento dei dati per l’invio di comunicazioni commerciali – acquisito attraverso i vecchi moduli di adesione al programma fedeltà – non poteva essere ritenuto valido, poiché i clienti erano costretti a rilasciarlo per poter ottenere iservizi proposti con la carta fedeltà. Inoltre, il sistema informativo della società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l’invio di spam.

Nel suo provvedimento, il Garante ha quindi prescritto misure per mettersi in regola con le nuove disposizioni in materia di protezione dei dati personali e, esercitando per la prima volta i nuovi poteri correttivi offerti dal Gdpr, ha “ammonito” la società a non utilizzare più, per finalità di marketing, i dati personali degli interessati, raccolti mediante i moduli relativi alla fidelity card contestata. Ha inoltre vietato l’utilizzo, per gli stessi fini, dei dati di qualunque interessato, in assenza di un comprovato consenso, libero e specifico. Alla società è stato ingiunto, infine, di implementare misure organizzative e tecniche adeguate per garantire la corretta gestione dei diritti degli interessati, assicurando anche il tracciamento puntuale delle richieste ricevute dalla clientela, e così poter comprovare il rispetto (accountability) degli adempimenti privacy.

 

L’aggiornamento annuale del DPO

In questo video ti spiego perchè è necessario svolgere l’aggiornamento annuale come Data Protection Officer.

Ti segnalo il corso on line Aggiornamento DPO 2019 – Guarda i contenuti dal seguente link

Dr. Matteo Rapparini – CEO Edirama – http://www.consulenzaprivacy.org

British Airways è riuscita a far registrare un nuovo, poco invidiabile, record: a seguito della violazione informatica subita nel 2018, l’Information Commissioner’s Office (ICO) le ha inflitto una multa da 204 milioni euro (183 milioni di sterline), una cifra che rappresenta l’1,5% del fatturato annuo della compagnia aerea e la pena pecuniaria più alta al mondo mai comminata per un furto informatico di dati. Una cifra così elevata è giustificata dall’applicazione delle norme relative al GDPR, che prevedono una pena pecuniaria massima pari al 4% del fatturato aziendale.

FAQ DPO- Come occorre svolgere l’audit a un anno di applicazione del GDPR?


Dr. Matteo Rapparini – CEO Edirama – www.edirama.org

L’audit realizzato dal DPO è una nuova attività che in azienda può spaventare o almeno essere considerata dai responsabili di funzione e dai dipendenti, un’azione “intrusiva” che può andare a valutare il proprio operato in ambito privacy.

E’ quindi importante che quest’anno gli audit del DPO, di verifica e di controllo inerenti il GDPR, siano accomunati dal criterio di non dare pagelle e votazioni alle funzioni coinvolte nel trattamento dei dati personali, ma siano invece guidati da un obiettivo diverso: ovvero verificare lo stato delle cose inerenti la privacy per poi definire successive evoluzioni e interventi.

Sostanzialmente quest’anno gli audit del DPO dovranno aiutare le funzioni aziendali a prendere coscienza di cosa veramente sono tenute a fare ogni giorno per rispettare le prescrizioni privacy aziendali.

Vediamo come fare nella pratica – I 6 step da seguire

Continua su www.clubdpo.com

Preventivo.info – lo strumento per trovare nuovi clienti GDPR

E’ attivo il nuovo servizio preventivo.info che consente di inoltrare richieste di preventivi di consulenza in ambito privacy-gdpr

Questo servizio permette di consulenti privacy di disporre di un potente strumento marketing in grado di incrementare il fatturato professionale mediante:
_ le richieste di preventivo consulenza privacy GDPR
_ la vetrina consulenti privacy
_ tools e guide di supporto per sviluppare l’attività di consulente

Tutto questo su www.preventivo.info