Translate

sabato 16 settembre 2023

Garante per la protezione dei dati personali Newsletter 11/09/2023, n. 509 Telemarketing selvaggio: il Garante Privacy sanziona Tiscali e Comparafacile Lavoro: sì all'accesso del dipendente alla relazione investigativa Videosorveglianza: rifiuti, il Garante sanziona un Comune e due società Sito falso, il Garante Privacy ordina a Google la rimozione dell'indirizzo web. Emanata dal Garante per la protezione dei dati personali.

 


Garante per la protezione dei dati personali


Newsletter 11 settembre 2023, n. 509 (1)


Telemarketing selvaggio: il Garante Privacy sanziona Tiscali e Comparafacile


Lavoro: sì all'accesso del dipendente alla relazione investigativa


Videosorveglianza: rifiuti, il Garante sanziona un Comune e due società


Sito falso, il Garante Privacy ordina a Google la rimozione dell'indirizzo web.


(1) Emanata dal Garante per la protezione dei dati personali.




Telemarketing selvaggio: il garante privacy sanziona tiscali e comparafacile


Prosegue l'azione di contrasto del Garante Privacy al telemarketing illegale. L'Autorità ha sanzionato Comparafacile e Tiscali, rispettivamente per 40.000 e 100.000 euro. Comparafacile dovrà inoltre cancellare tutti i dati personali acquisiti illecitamente.


Il primo provvedimento trae origine dal reclamo di un cittadino che, nonostante fosse iscritto al Registro pubblico delle opposizioni (Rpo), continuava a ricevere chiamate promozionali anche dopo la richiesta di cancellazione dei dati.


Il Garante ha accertato che Comparafacile, dopo aver acquistato le anagrafiche da un'azienda estera, contattava le persone per chiedere se fossero interessate a ricevere offerte commerciali e, in caso affermativo, inviava loro un sms con un link a una landing page in cui avrebbero potuto fornire il consenso. Il primo contatto telefonico avveniva quindi senza aver verificato il consenso degli interessati (eventualmente acquisito dalla società fornitrice dei dati) e senza aver fornito loro alcuna informativa, la cui visione era subordinata all'accesso alla landing page, quindi alla manifestazione di interesse verso i servizi.


Nel provvedimento, il Garante ha spiegato che l'uso di un meccanismo che costringa l'utente a dichiararsi interessato ai servizi di un'azienda per acquisire l'informativa non è legittimo e che, di conseguenza, il consenso non informato non può essere considerato un valido presupposto per l'attività di marketing di Comparafacile.


L'Autorità non ha peraltro accolto le giustificazioni della società che affermava di agire in qualità di responsabile del trattamento e non di titolare. Ma proprio le attività svolte da Comparafacile, dalla selezione del fornitore da cui acquistare le liste alla definizione della finalità (promuovere i propri servizi), fino alla scelta del canale di contatto, la rendono invece titolare del trattamento. Ed è al titolare che sono riconducibili sia gli adempimenti previsti dalla normativa che la responsabilità per le presunte violazioni.


Il provvedimento nei confronti di Tiscali rientra nell'ambito delle attività ispettive del Garante. Dall'istruttoria è emerso che la società forniva una informativa lacunosa, senza indicare alcun termine temporale per la conservazione dei dati, in particolare per le finalità di marketing e profilazione. Sebbene Tiscali abbia sostenuto di aver operato nel rispetto di quanto previsto dall'informativa, l'Autorità ha evidenziato come sia sanzionabile anche un non idoneo adempimento dell'obbligo di informativa, a prescindere dall'aver cagionato o meno un pregiudizio all'interessato. Peraltro, la Società Tiscali aveva effettuato attività di cosiddetto soft spam, inviando - nel giro di quattro mesi - sms a oltre 160mila clienti che non avevano manifestato il proprio consenso a ricevere comunicazioni promozionali.


La società ha interpretato in modo illegittimamente estensivo la normativa che prevede l'invio di comunicazioni pubblicitarie senza il consenso dell'interessato solo via posta elettronica ed esclusivamente a determinate condizioni: quali, ad esempio, l'aver ad oggetto prodotti e/o servizi forniti dal titolare e non da terzi, e che tali utilità siano analoghe a quelli già acquistate dall'interessato.




Lavoro: sì all'accesso del dipendente alla relazione investigativa


Il lavoratore ha diritto ad avere accesso ai propri dati personali, compresi quelli contenuti nella relazione dell'agenzia investigativa incaricata dall'azienda di raccogliere informazioni sul suo conto.


Lo ha stabilito il Garante Privacy che ha accertato l'illiceità del trattamento dei dati effettuato da parte di un'azienda di servizi di pubblica utilità sanzionandola con una multa di 10mila euro.


L'Autorità è intervenuta a seguito del reclamo di un dipendente che non riusciva ad ottenere completo riscontro alle richieste di accesso ai propri dati personali, avanzate dopo il ricevimento di una contestazione disciplinare nella quale erano contenuti puntuali riferimenti ad attività extra lavorative, cui era seguito il licenziamento.


Alle diverse istanze dell'interessato, l'azienda aveva infine risposto che le richieste erano "troppo generiche" ed era necessario indicare "nel dettaglio" le informazioni alle quali si chiedeva l'accesso.


Inoltre, solo a distanza di quasi un anno dalla prima richiesta e in occasione della costituzione dell'azienda nel giudizio di impugnazione del licenziamento, il dipendente era venuto a conoscenza dell'esistenza e del contenuto della relazione investigativa dalla quale erano stati tratti riferimenti specifici inseriti nella contestazione disciplinare.


Nel provvedimento il Garante ha stabilito che l'azienda aveva l'obbligo di fornire al lavoratore tutti i dati raccolti con la relazione investigativa, anche quelli che non erano stati trasferiti nella contestazione disciplinare (fotografie, una rilevazione Gps, descrizioni di luoghi, persone e situazioni), conformemente agli artt. 12 e 15 del Regolamento. Informazioni che, in ipotesi, avrebbero anche potuto essere utili per l'esercizio del diritto di difesa.


Inoltre, dal canto suo l'azienda, nei riscontri forniti al lavoratore, non aveva fatto cenno alla relazione investigativa né motivato in alcun modo il diniego di accesso ai dati contenuti in questo documento, violando in tal modo anche il principio di correttezza.


L'Autorità quindi, ricordando che il titolare del trattamento è tenuto a fornire l'accesso ai dati personali dell'interessato in forma completa e aggiornata - indicando anche l'origine dei dati qualora non siano raccolti direttamente dal titolare del trattamento presso l'interessato - ha irrogato all'azienda una sanzione di 10mila euro.




Videosorveglianza: rifiuti, il garante sanziona un comune e due società


Utenti non informati adeguatamente sui sistemi installati



Una multa di 45mila euro è stata comminata dal Garante Privacy ad un Comune siciliano per aver installato alcune telecamere per il controllo della raccolta differenziata dei rifiuti in violazione della disciplina che tutela i dati personali.


Per contrastare il fenomeno diffuso dell'abbandono dei rifiuti, il Comune aveva incaricato due ditte, sanzionate anch'esse dal Garante, dell'acquisto, installazione e manutenzione di telecamere fisse, e della raccolta e analisi dei filmati relativi alle violazioni.


L'intervento dell'Autorità segue le segnalazioni di un cittadino che lamentava la ricezione di alcune multe per aver conferito i rifiuti indifferenziati in modo errato. Gli accertamenti della violazione sarebbero avvenuti più di un mese dopo la registrazione dei filmati, effettuata senza che i cittadini fossero stati adeguatamente informati della presenza delle telecamere e del trattamento dei dati. Il Comune infatti aveva apposto un cartello direttamente sul cassonetto, non facilmente visibile e per di più privo delle informazioni necessarie.


Il Municipio inoltre non aveva individuato i tempi di conservazione dei dati e non aveva nominato, prima dell'inizio del trattamento, le due aziende sopracitate quali responsabili del trattamento dati, come previsto dalla normativa privacy. Anche le società dunque operavano in modo illecito, ragion per cui entrambe sono state sanzionate anch'esse dal Garante, l'una per 10.000 euro, per non essere mai stata nominata responsabile del trattamento, e l'altra per 5.000 euro, per essere stata nominata responsabile in ritardo.


Il trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici è generalmente ammesso se è necessario per adempiere un obbligo legale e la gestione dei rifiuti rientra tra le attività istituzionali affidate agli enti locali. Anche in presenza di una condizione di liceità il titolare del trattamento, ha ribadito il Garante, è in ogni caso tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di liceità, correttezza e trasparenza. In particolare, è necessario adottare misure appropriate per fornire all'interessato tutte le informazioni previste dal GDPR in forma concisa, trasparente, intelligibile e facilmente accessibile.


Ai fini dell'applicazione delle sanzioni il Garante ha tenuto conto del fatto che il trattamento ha riguardato potenzialmente i dati dei residenti del Comune (circa 53.000 interessati) e dei soggetti non residenti (il cui numero non è quantificabile).


Di contro, l'Autorità ha considerato il comportamento non doloso del Municipio e delle aziende, nonché l'assenza di precedenti violazioni a loro carico.




Sito falso, il garante privacy ordina a google la rimozione dell'indirizzo web


Creato da anonimi con il nominativo di un imprenditore e dati reperiti in rete



Il Garante Privacy ha ordinato a Google la rimozione dai risultati di ricerca di un Url collegato a un sito web falso, il cui indirizzo era formato dal nome e cognome di un imprenditore italiano e al cui interno erano riportate affermazioni lesive della reputazione personale e professionale.


Il sito era stato creato da soggetti anonimi utilizzando i dati personali dell'interessato reperiti in rete, tra cui una foto e un indirizzo email la cui denominazione lasciava presupporre l'appartenenza ad un'organizzazione criminale. Il sito conteneva anche link a documenti pubblici relativi a supposte vicende giudiziarie.


Nel reclamo inviato all'Autorità, l'interessato, un imprenditore con attività anche all'estero, chiedeva la deindicizzazione del sito associato al suo nome e cognome e specificava di non aver mai riportato condanne, né di essere mai stato coinvolto in procedimenti giudiziari, vertenze, indagini legate a contesti di criminalità o malavita organizzata come invece riportato nel sito. L'imprenditore faceva inoltre presente di aver già ottenuto da Google, a seguito di una sentenza di un'autorità giudiziaria extraeuropea, la deindicizzazione dell'Url, che rimaneva tuttavia visibile in Europa.


Google, infatti, al quale l'interessato si era rivolto per ottenere una deindicizzazione globale, aveva dichiarato inammissibile il reclamo ritenendo che fosse basato sulla tutela della reputazione, dell'onore e dell'immagine e non sulla tutela dei dati personali, qualificabile quindi, forse, più come reato di diffamazione e non come violazione del diritto all'oblio.


Nel ritenere fondata la richiesta, il Garante Privacy ha accolto invece le ragioni del reclamante, che sosteneva l'uso improprio e a fini denigratori dei suoi dati personali all'interno del sito in questione, e ha precisato che il motore di ricerca non aveva considerato le plurime violazioni della disciplina privacy poste in essere dagli autori del sito, tra cui la mancanza di informativa e dei riferimenti dei titolari, che tutt'ora rendono impossibile esercitare i diritti di opposizione e di rettifica di cui all'art. 12 del Regolamento.


Il Garante ha ricordato infine che, nel valutare le richieste di deindicizzazione, occorre tenere conto, in particolare, oltre che del trascorrere del tempo, anche del criterio relativo all'esattezza del dato laddove si sottolinea l'esigenza di tenere in particolare conto di quelle informazioni che originino "un'impressione inesatta, inadeguata o fuorviante rispetto alla persona interessata", come raccomandato dalle Linee Guida EDPB sul diritto all'oblio del 2014. 

Nessun commento: