Garante privacy: illecite le email pubblicitarie senza consenso. Inserire un link per disiscriversi non rende l’invio lecito

 
Tratto da www.garanteprivacy.it – Newsletter del 28/06/2023
 
 

Un link per disiscriversi nelle email promozionali inviate senza consenso non rende lecito l’invio.

Lo ha precisato il Garante privacy nel comminare una sanzione di 10mila euro ad una società che aveva utilizzato questa modalità per le proprie campagne promozionali indirizzate a numerosi destinatari.

L’intervento dell’Autorità segue il reclamo di un utente che lamentava la ricezione di e-mail promozionali indesiderate, anche dopo essersi opposto a tali invii e non aver avuto alcun riscontro da parte della società. 

La società si è difesa dichiarando di aver estratto i nominativi da diversi elenchi pubblici e che l’invio delle e-mail era diretto, oltre che al reclamante, anche ad altri professionisti. I dati, poi, sarebbero stati trattati sulla base di un legittimo interesse.

Il Garante ha ricordato che l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente, essendo ammessa come unica deroga il rilascio dell’indirizzo e-mail da parte dell’interessato nel contesto di una vendita di beni o servizi analoghi.

Deroga che, nel caso in esame, non risulta applicabile, dato che le persone raggiunte dall’attività di marketing non avevano rilasciato il proprio indirizzo nell’ambito di un rapporto contrattuale pregresso non avendo alcuna conoscenza né del titolare né del trattamento.

Dall’istruttoria è dunque emerso che nessuna e-mail poteva essere inviata al reclamante, così come agli altri destinatari, senza un idoneo consenso. Rispetto al link inserito in calce alla mail per disiscriversi, il Garante ha poi ricordato che non ha alcuna rilevanza poiché, prima ancora del suo contenuto e delle eventuali misure di contenimento del danno, è lo stesso invio dell’e-mail ad essere illecito.

Tenuto conto dell’ampia portata dei trattamenti e del fatto che l’azienda non ha mai dichiarato di aver interrotto la condotta limitandosi a cancellare i dati del reclamante, il Garante privacy ha imposto alla società il divieto di trattare per finalità promozionali tutti i dati inseriti nel data base oggetto di istruttoria per i quali non sia in grado di dimostrare l’acquisizione di un idoneo consenso. In conseguenza di tale divieto, ha poi ordinato alla società di provvedere alla cancellazione dei dati in questione, ad eccezione di quelli necessari ad adempiere ad un obbligo di legge o per la difesa di un diritto in sede giudiziaria.

3 Luglio 2023

Fidelity card: il Garante privacy sanziona il Gruppo Benetton. Multa di 240mila euro per illecito trattamento di dati personali

 
Tratto da www.garanteprivacy.it – Newsletter del 28/06/2023
 
 

Il Garante privacy ha sanzionato per 240mila euro il Gruppo Benetton per aver trattato illecitamente i dati personali di un numero rilevante di clienti ed ex clienti. Assenza di adeguate misure di sicurezza e conservazione senza limiti temporali di dati personali ai fini di marketing e di profilazione, le violazioni più gravi. I dati dei clienti venivano raccolti attraverso l’iscrizione al servizio e-commerce, al programma fedeltà e alla newsletter promozionale.

A seguito dell’attività ispettiva dell’Autorità, svolta in collaborazione con il Nucleo speciale privacy della Guardia di Finanza L’Autorità ha rilevato che la società conservava i dati raccolti tramite le fidelity card – inclusi i prodotti acquistati dal 2015, i dettagli degli scontrini e i punti accumulati – anche degli ex clienti. 

Una mole di informazioni di grande utilità ed “appetibilità” per le attività di data enrichment e di profilazione, sempre più diffuse.

Dalle verifiche effettuate è emerso, inoltre, che il database gestionale era accessibile da tutti gli addetti dei negozi del Gruppo, presenti in 7 paesi europei da qualunque dispositivo connesso alla rete internet (pc, smartphone, tablet), tramite un’unica password e un unico account.

Considerato l’elevato numero degli interessati e la notevole durata delle violazioni, il Garante ha multato il Gruppo Benetton e ha ingiunto alla società di adottare tutte le misure necessarie per conformarsi alla normativa privacy. In particolare, il Gruppo dovrà cancellare o anonimizzare i dati degli ex clienti risalenti a più di 10 anni (fatti salvi i contenziosi in atto) e predisporre adeguate soluzioni organizzative e misure di sicurezza volte ad assicurare la corretta conservazione dei dati dei clienti e degli ex clienti nel rispetto dei principi di finalità e minimizzazione del Regolamento europeo (Gdpr).

Enti locali: indagine del Garante Privacy sui Responsabili protezione dati

 
Tratto da www.garanteprivacy.it – Newsletter del 26/05/2023
 
 
 
Riscontrate diverse violazioni nella comunicazione dei dati di contatto
 

Il Garante privacy ha avviato un’indagine nei confronti di grandi enti locali per verificare il rispetto dell’obbligo di comunicazione dei dati di contatto del Responsabile della protezione dei dati (RPD, o Data protection officer, DPO, nell’accezione inglese). 

Questa attività di controllo interessa enti di grandi dimensioni che effettuano trattamenti di dati personali rilevanti per qualità e quantità ed è volta all’adozione di specifici interventi.

Il Garante ha avviato, nei confronti di alcuni di questi enti inadempienti, appositi procedimenti volti all’adozione di provvedimenti correttivi e sanzionatori. 

In futuro le stesse verifiche potranno essere estese anche agli enti locali più piccoli e ad altri soggetti pubblici.

Per essere in linea con il Regolamento Ue, il Garante ricorda che quando il trattamento dei dati personali è effettuato da soggetti pubblici (ad es. amministrazioni dello Stato, Regioni, Province, Comuni, università, CCIAA, aziende del Servizio sanitario nazionale etc.), ad eccezione delle autorità giurisdizionali nell’esercizio delle loro funzioni, i titolari e i responsabili del trattamento sono obbligati a designare un RPD e a comunicarne i dati di contatto al Garante privacy, attraverso l’apposita procedura online messa a disposizione dall’Autorità al seguente link: https://servizi.gpdp.it/comunicazionerpd/s/

Questa disposizione mira a garantire che l’Autorità possa contattare il RPD in modo facile e diretto, dato che tra i suoi compiti c’è anche quello di fungere da punto di riferimento fra il soggetto pubblico e l’Autorità stessa.

29 Maggio 2023

Videosorveglianza: sanzionata un’azienda di abbigliamento

 
Tratto da www.garanteprivacy.it – Newsletter del 26/05/2023
 

Telecamere violavano Regolamento, Codice privacy e Statuto lavoratori

50 mila euro di sanzione sono state comminate dal Garante privacy a un’azienda di abbigliamento per aver installato sistemi di videosorveglianza in violazione del Regolamento europeo, del Codice privacy e dello Statuto dei lavoratori.

L’indagine del Garante è partita a seguito della segnalazione di un sindacato che lamentava il trattamento illecito di dati personali attraverso sistemi di videosorveglianza in diversi punti vendita della società. Nel corso dell’istruttoria è emerso infatti che la società, presente in Italia con oltre 160 negozi, non aveva rispettato la normativa in materia di controllo a distanza, la quale prevede che l’installazione di impianti audiovisivi non possa avvenire in assenza di un accordo con i rappresentanti dei lavoratori o di una autorizzazione dell’Ispettorato del lavoro, procedure indispensabili anche per bilanciare la sproporzione esistente tra la posizione datoriale e quella di lavoratore.

La società aveva giustificato l’installazione delle apparecchiature con la necessità di difendersi da furti e di garantire la sicurezza dei dipendenti e del patrimonio aziendale, evitando accessi non autorizzati.

Gli accertamenti del Garante privacy hanno evidenziato che tutti i negozi erano dotati di almeno 3 videocamere, attive 24 ore al giorno 7 giorni su 7, nelle aree riservate ai lavoratori e ai fornitori. Nei punti vendita più grandi arrivavano fino a 27. Le immagini venivano conservate 24 ore e poi sovrascritte. In numerosi punti vendita l’installazione dei sistemi di videosorveglianza non aveva però, come detto, rispettato la normativa in materia di controllo a distanza. Non è sufficiente infatti, ha sottolineato il Garante, limitarsi ad informare gli interessati della presenza dell’impianto e del suo funzionamento attraverso informative affisse nelle zone antistanti quelle oggetto di ripresa.

Tenuto conto del numero rilevante di dipendenti coinvolti (oltre 500), il fatto che la violazione ha riguardato diversi punti vendita, e la violazione delle norme in materia di controllo a distanza (assenza di autorizzazione o di accordo con le rappresentanze sindacali e trattamenti effettuati in violazione della autorizzazione rilasciata o dell’accordo), il Garante privacy ha comminato alla società una sanzione di 50 mila euro.

26 Maggio 2023

Dark Pattern: modelli di progettazione ingannevoli

 
 
Tratto da www.garanteprivacy.it – 20/04/2023
 
 
Dark Pattern: modelli di progettazione ingannevoli che possono influenzare il comportamento di chi naviga online e ostacolare la protezione dei dati
 
 
 
 

Con la definizione di “modelli di progettazione ingannevoli” vengono indicate quelle interfacce e quei percorsi di navigazione progettati per influenzare l’utente affinché intraprenda azioni inconsapevoli o non desiderate – e potenzialmente dannose dal punto della privacy del singolo – ma favorevoli all’interesse della piattaforma o del gestore del servizio.

Detti anche Dark Pattern, i modelli di progettazione ingannevoli mirano dunque a influenzare il nostro comportamento e possono ostacolare la capacità di proteggere efficacemente i nostri dati personali.

Il 24 febbraio 2023, il Comitato europeo per la protezione dati (EDPB) ha pubblicato le linee guida su come riconoscere ed evitare questi sistemi. Il documento offre raccomandazioni pratiche a gestori dei social media, a designer e utenti su come comportarsi di fronte a queste interfacce che si pongono in violazione del Regolamento europeo in materia di protezione dati.

Le linee guida dell’EDPB individuano sei tipologie riguardo alle quali si può parlare di “modelli di progettazione ingannevoli”:

• quando gli utenti si trovano di fronte a una enorme numero di richieste, informazioni, opzioni o possibilità finalizzate a spingerli a condividere più dati possibili e consentire involontariamente il trattamento dei dati personali contro le aspettative dell’interessato (overloading)

• quando le interfacce sono realizzate in modo tale che gli utenti dimentichino o non riflettano su aspetti legati alla protezione dei propri dati (skipping)

• quando le scelte degli utenti sono influenzate facendo appello alle loro emozioni o usando sollecitazioni visive (stirring)

• quando gli utenti sono ostacolati o bloccati nel processo di informazione sull’uso dei propri dati o nella gestione dei propri dati (hindering)

• quando gli utenti acconsentono al trattamento dei propri dati senza capire quali siano le finalità a causa di un’interfaccia incoerente o poco chiara (flickle)

• quando l’interfaccia è progettata in modo da nascondere le informazioni e gli strumenti di controllo della privacy agli utenti (leftinthedark).

Ricordiamo che interfacce e informazioni sottoposte agli utenti dovrebbero sempre riflettere fedelmente le conseguenze dell’azione intrapresa ed essere coerenti con il percorso di esperienza-utente.

L’approccio alla progettazione deve essere dunque quello di non mettere in discussione la decisione della persona per indurla a scegliere o mantenere un ambiente meno protettivo nei confronti dei propri dati. Il modello deve invece essere utilizzato per avvisare la persona che una scelta appena compiuta potrebbe comportare rischi per i propri dati e la privacy.

26 Aprile 2023