Diritti interna

Doveri interna

ricerca avanzata

Newsletter 07/02/2019 - Telemarketing indesiderato: 600 mila euro di sanzione a Wind Tre - Cambridge Analytica: conclusa istruttoria, Garante privacy prepara sanzioni - Consulenti del lavoro: quando sono responsabili del trattamento dei dati

 

 

 

NEWSLETTER N. 449 del 7 febbraio 2019

 

Telemarketing indesiderato: 600 mila euro di sanzione a Wind Tre
Cambridge Analytica: conclusa l’istruttoria, il Garante privacy prepara sanzioni
Consulenti del lavoro: quando sono responsabili del trattamento dei dati

 

 

_______________________________

 

Telemarketing indesiderato: 600 mila euro di sanzione a Wind Tre
 

Il Garante per la privacy ha ordinato a Wind Tre S.p.A. il pagamento di una sanzione di 600 mila euro per gravi violazioni della normativa sulla protezione dei dati personali nel corso di attività di marketing telefonico, anche tramite sms. 

La sanzione è giunta a seguito di un provvedimento adottato prima dell’entrata in vigore del nuovo Regolamento Europeo, con il quale il Garante, sulla base di numerose segnalazioni, aveva dichiarato illecito il trattamento dei dati dei clienti effettuato dalla società telefonica e vietato l’ulteriore uso di tali dati a fini di marketing. Wind Tre aveva infatti usato senza consenso i dati dei clienti a fini promozionali e sempre senza consenso li aveva comunicati alla rete dei partner commerciali. Il trattamento illecito è derivato principalmente da due violazioni.

La prima ha riguardato la mancata verifica delle liste di chi non desiderava essere contattato a scopi pubblicitari (“black list”), detenute dalla società, nelle quali erano presenti i segnalanti.

La seconda è dipesa da una sistematica e prolungata comunicazione illecita di dati della clientela a terzi, cioè appunto ai partner commerciali. La società infatti aveva erroneamente qualificato la maggior parte dei punti vendita come titolari autonomi, anziché come responsabili del trattamento, incorrendo così in una  illecita comunicazione. 

Nel definire l’importo dovuto, l’Autorità ha tenuto conto della gravità delle violazioni contestate, come il fatto che siano stati impiegati differenti canali di contatto (telefonate, sms) con esponenziale aumento dell’invasività delle campagne promozionali, ma anche - in termini favorevoli - del fatto che Wind Tre abbia posto in essere autonome iniziative per eliminare le criticità prima ancora dell’adozione del provvedimento di divieto, poi ulteriormente rafforzate per  adeguarsi alle novità introdotte dal Regolamento Ue.

La società ha proceduto al pagamento della sanzione nei termini previsti.
 

_______________________________

 

ENGLISH PRESS RELEASE 

Cambridge Analytica: conclusa l’istruttoria, il Garante privacy prepara sanzioni
Altri trattamenti illeciti emersi dagli accertamenti 

Il Garante per la privacy ha concluso l’istruttoria avviata nei confronti di Facebook per il “caso Cambridge Analytica”. Al termine delle verifiche effettuate è risultato che i dati dei cittadini italiani acquisiti tramite l’App “Thisisyourdigitalife” (il test della personalità ideato per raccogliere le informazioni personali oggetto di profilazione), benché non siano stati trasmessi a Cambridge Analytica, sono stati comunque trattati in modo illecito, in assenza di idonea informativa e di uno specifico consenso. Pertanto il Garante ne ha vietato l’ulteriore trattamento e si è riservato di avviare un separato procedimento sanzionatorio.

Nel corso della medesima istruttoria è inoltre emerso uno specifico trattamento di dati personali dei cittadini italiani acquisiti in occasione delle elezioni politiche del 4 marzo 2018, mediante un prodotto, denominato “Candidati”, installato sulla piattaforma del social network. Tale prodotto consentiva agli elettori che fornivano il proprio indirizzo postale di avere informazioni sui candidati della propria circoscrizione elettorale e sui loro programmi. Facebook, pur affermando di non registrare informazioni su come gli utenti si fossero orientati su tali profili, conservava i file di log delle loro azioni per un periodo di 90 giorni, per poi estrarne “matrici aggregate” non meglio definite. Inoltre, nel giorno delle elezioni appariva sul newsfeed degli utenti di Facebook un messaggio che sollecitava la condivisione dell’essersi o meno recati al voto e ad esprimere opinioni sull’importanza dello stesso.

Il Garante ha rilevato che queste due funzioni di Facebook, specificamente concepite e rivolte ai cittadini italiani in prossimità delle elezioni, non sono previste tra le finalità indicate nella “data policy” della piattaforma. 

I dati personali possono essere raccolti per finalità determinate ed esplicite e successivamente trattati in modo compatibile con tali finalità. A maggior ragione le finalità del relativo trattamento devono essere descritte con estrema precisione quando vengono raccolti dati sensibili, come quelli potenzialmente idonei a rivelare opinioni politiche, in modo tale da consentire agli utenti di esprimere il proprio consenso libero e informato. E dati “sensibili” sono ad esempio le informazioni sull’essersi recati o meno alle urne o le dichiarazioni a favore del voto (rimaste visibili sulla piattaforma anche se, secondo quanto sostenuto da Facebook, non monitorate). 

A conclusione dell’istruttoria, il Garante ha dunque ritenuto illegittimo il trattamento di dati realizzato da Facebook  in quanto basato su un generico consenso reso dall’utente al momento della registrazione alla piattaforma dopo la lettura di una informativa del tutto inidonea.

Per tali ragioni, ha vietato a Facebook il trattamento di ogni eventuale dato raccolto mediante tali modalità e delle valutazioni espresse dagli utenti a seguito del messaggio che sollecitava la condivisione.

Anche per tale fattispecie l’Autorità si è riservata la contestazione di sanzioni amministrative per gli illeciti trattamenti di dati riscontrati.

Il provvedimento è stato trasmesso all’Autorità di protezione dati dell’Irlanda, Paese dove è insediato lo stabilimento principale di Facebook in Europa, per le valutazioni di competenza, in cooperazione con il Garante italiano. 

 

_______________________________

 

 

Consulenti  del lavoro: quando sono responsabili del trattamento dei dati 
Precisazioni del Garante privacy dopo il nuovo Regolamento UE 

Il Garante per la privacy ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamento” quando trattano  i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.

Rispondendo ai quesiti sottoposti dal Consiglio Nazionale dei consulenti del lavoro e da numerosi professionisti, il Garante ha infatti chiarito che il Regolamento (UE) 679/2016 si pone in linea di continuità con quanto già prefigurato dalla Direttiva 95/46/CE. Il Regolamento conferma, infatti, le definizioni di titolare e responsabile del trattamento, nelle quali il primo resta il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo colui che “tratta dati personali per conto del titolare del trattamento”.

E dunque i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento. Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. E’ il  caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.

Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.

Il Garante ha chiarito infine che ai consulenti, pur in qualità di “responsabili” del trattamento, viene riconosciuto un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.

 

_______________________________

 

 

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 

- "I confini del digitale. Nuovi scenari per la protezione dei dati". Convegno per la Giornata europea della protezione dei dati personali 2019 – Comunicato del 28 gennaio 2019

Protezione dati: firmato protocollo tra Procura di Roma e Garante privacy - Comunicato dell’8 gennaio 2019

GDPR: verificata dal Garante la conformità dei Codici deontologici – Comunicato del 24 dicembre 2018

 

 

 

 

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it

 

 

 

 

 

 

Iscrizione alla Newsletter - Cancellazione dal servizio - Informazioni sul trattamento dei dati personali