Sanzione salata per l´azienda che non risponde al Garante

I ritardi di due rate, poi sanati, vanno cancellati dopo un anno

La filiale italiana di un grande gruppo internazionale che fornisce servizi It e di telefonia alle imprese e alle P.a., dovrà pagare una sanzione di 75.000 euro per non aver fornito all´Autorità le informazioni richieste.

A seguito di numerose segnalazioni di destinatari di fax promozionali indesiderati, l´Autorità aveva chiesto alla società di fornire informazioni sulla titolarità di alcune numerazioni che comparivano tra quelle indicate dagli utenti.

Non avendo ricevuto riscontro alla richiesta di chiarimenti, il Garante, sulla base di quanto previsto dall´articolo 157 del Codice privacy, aveva contestato all´azienda, una sanzione amministrativa di 20mila euro. La società, pur essendo stata informata della facoltà di effettuare il pagamento in misura ridotta (così come previsto dalla legge n. 689/1981), aveva scelto di non pagare e di inviare all´Autorità uno scritto difensivo. Le argomentazioni addotte però non sono risultate in grado di sollevare la società dalla responsabilità per la mancata risposta al Garante.

Di conseguenza, considerate, tra l´altro, la gravità della violazione, analoghi precedenti e le condizioni economiche dell´azienda inadempiente, l´Autorità ha applicato una sanzione di 75mila euro. Contro la decisione del Garante la società potrà comunque presentare ricorso all´autorità giudiziaria.

Vietato "spiare" i lavoratori

"Spente" dal Garante presso un call center 4 telecamere, 3 con apparecchi di ripresa audio

Il Garante per la privacy ha vietato l´uso di un sistema di videosorveglianza in grado di captare anche le conversazioni dei dipendenti. Le telecamere installate presso un call center  all´ingresso della sede e nei locali dove sono collocate le  postazioni di lavoro sono state "spente" dall´Autorità che ha dichiarato illecito il  trattamento dei dati personali dei dipendenti. L´impianto composto da quattro telecamere orientabili e dotate di zoom, di cui tre in grado di captare anche l´audio all´interno del call center, era segnalato da cartelli,  privi  però di alcune informazioni obbligatorie, affissi in prossimità dei luoghi ripresi.

A seguito del divieto del Garante la società non potrà utilizzare i dati personali  trattati in violazione di legge. L´eventuale riattivazione delle telecamere  dovrà avvenire nel rispetto dello Statuto dei lavoratori, che ammette l´installazione di sistemi audiovisivi, dai  quali  derivi  anche la possibilità di controllo a distanza  dell´attività  dei  lavoratori, solo in presenza di particolari esigenze aziendali organizzative, produttive o di sicurezza del lavoro,  previo accordo  con le rappresentanze sindacali. In assenza di un tale accordo  è necessaria  l´autorizzazione del competente ufficio periferico del Ministero del lavoro.

Dagli accertamenti ispettivi è emerso invece che la società non è stata in grado di dimostrare l´esistenza delle menzionate esigenze aziendali che giustificassero l´installazione dell´impianto, né aveva rispettato la procedura prevista dalla legge. Il trattamento dei dati svolto presso il call center è risultato quindi illecito. Il sistema effettuava, di fatto, un controllo a distanza dei lavoratori vietato dalla legge, aggravato, peraltro,  dalla presenza di un impianto in grado di captare l´audio di quanto accadeva negli ambienti di lavoro.  Gli atti riguardanti la società, già sanzionata per non aver informato correttamente i dipendenti della presenza delle telecamere, saranno trasmessi alla magistratura per la valutazione di eventuali profili penali connessi all´installazione del sistema audiovisivo.

Marketing evoluto e garanzie per i clienti

Sì del Garante privacy a nuovi strumenti di profilazione, ma nel rispetto di precisi limiti

Una compagnia telefonica potrà avviare una innovativa forma di profilazione della propria clientela, senza doverne prima acquisire il consenso. Tale attività dovrà però essere sottoposta a precise regole e controlli a tutela dei dati personali degli interessati. Questa la decisione del Garante che ha accolto un´istanza di verifica preliminare in cui la società chiedeva di poter realizzare un "arricchimento" del proprio database, integrando informazioni sui clienti e sulle rispettive abitudini di consumo con statistiche di tipo socio-demografico sull´area di residenza e lavoro.

Nella richiesta, la compagnia sottolineava che tale arricchimento dei dati era particolarmente importante sia per definire nuove offerte commerciali, sia per la progettazione e lo sviluppo della propria rete. Chiedeva quindi, in base al principio di bilanciamento degli interessi, e garantendo l´adozione di adeguate cautele, di poter essere esonerata dall´obbligo di acquisire il consenso delle persone interessate. L´Autorità, nell´accogliere l´istanza, ha tuttavia rilevato che la nuova attività di profilazione, anche se effettuata sulla base di dati aggregati, senza puntuali indicazioni anagrafiche, grazie all´incrocio di informazioni personali e statistiche (riferite anche a microzone di circa 50 famiglie), potrebbe in teoria consentire di risalire all´identità dell´utente. Ha quindi prescritto alla società di adottare precise misure di sicurezza e ogni accorgimento affinché l´anonimato del cliente venga comunque rigorosamente tutelato.

La società dovrà, in particolare, fare in modo che i codici utente utilizzati per l´attività di profilazione siano diversi da quelli già adottati per la gestione del servizio telefonico. I dati clienti utilizzati per la profilazione potranno essere impiegati esclusivamente per la definizione delle nuove offerte commerciali e dovranno essere cancellati o resi definitivamente anonimi appena elaborate le nuove promozioni. Anche i cosiddetti "dati arricchiti" dovranno essere cancellati o resi anonimi in maniera irreversibile entro 12 mesi dalla loro creazione. La società dovrà poi aggiornare l´informativa fornita agli utenti integrandola con precise indicazioni sul nuovo tipo di trattamento realizzato con i loro dati. Il Garante ha infine prescritto alla società di telecomunicazioni di far pervenire, prima di avviare l´attività di arricchimento del database clienti, la documentazione tecnica e legale che dimostri l´adozione delle misure indicate. Trascorso un anno dall´inizio delle operazioni, la compagnia telefonica dovrà produrre anche un dossier relativo a tutte le campagne marketing effettuate con il nuovo sistema in tale arco temporale, al fine di verificare che non siano stati posti in essere trattamenti non autorizzati o comunque illeciti.

Sì a telecamere "intelligenti", ma no all´uso di microfoni

Il Garante della privacy ha accolto la richiesta del gestore di una centrale termoelettrica di rafforzare le protezioni delle infrastrutture tramite un sofisticato sistema di videosorveglianza, ma ha negato la possibilità di abbinare dei microfoni alle telecamere. Nel progetto, sottoposto alla verifica preliminare della Autorità, si sottolineava che la centrale è collocata in un´area isolata, di notevole estensione e al di fuori delle zone controllate di routine dalla polizia e si chiedeva quindi l´adozione di tecnologie in grado di garantire una veloce identificazione di possibili intrusioni dall´esterno. Il Garante ha riconosciuto la necessità di garantire standard di sicurezza superiori alla media per proteggere il sito e ha autorizzato l´installazione di telecamere "intelligenti" in grado di segnalare, tra l´altro, eventuali tentativi di sabotaggio o soggetti in movimento, prescrivendo comunque che le riprese vengano utilizzate solo per finalità di tutela del patrimonio aziendale e della sicurezza del personale. L´Autorità ha invece ritenuto eccessiva,  e non conforme ai principi di pertinenza e proporzionalità stabiliti dal Codice privacy, la richiesta di poter captare suoni fino a 5-6 metri di distanza dalle telecamere: l´uso di un tale sistema avrebbe infatti comportato il rischio di ledere la riservatezza di chiunque si fosse trovato nei pressi delle aree controllate, inclusa la zona del parcheggio e dell´ingresso principale, o in luoghi di semplice ristoro o di riposo dal turno di lavoro dei dipendenti. Ha quindi respinto la domanda di collegare microfoni alle telecamere.

 

Il sistema di videosorveglianza autorizzato, potendo inquadrare anche aree di lavoro o di sosta del personale potrà essere attivato, come prevede lo Statuto dei lavoratori, solo dopo aver raggiunto uno specifico accordo con le rappresentanze sindacali o dopo aver ottenuto l´autorizzazione della competente Direzione provinciale del lavoro.

Marketing via sms o e-mail nel mirino del Garante

Nell´ultimo anno 14 società controllate, contestate 300mila euro di sanzioni

Il Garante per la privacy ha concluso una complessa attività ispettiva presso alcune delle principali società di marketing che svolgono attività promozionali via e-mail o attraverso telefoni cellulari, in particolare tramite l´invio di sms. La necessità di controlli in questo particolare settore del marketing trae origine dagli esiti di precedenti ispezioni e dalla esigenza di contrastare forme di pubblicità in rapida crescita, come le comunicazioni pubblicitarie automatizzate indesiderate verso i cellulari.

Nell´ultimo anno, il nucleo ispettivo dell´Autorità ha portato a termine verifiche presso quattordici società operanti nel cosiddetto  Dem ("direct email marketing") o nel "mobile marketing", alcune delle quali dotate di banche dati con milioni di utenze telefoniche cellulari. Dai riscontri effettuati dal Garante è emerso che cinque di queste società non rispettavano il Codice della privacy, non avendo ottenuto ad esempio un valido consenso all´invio di sms promozionali, o non avendo fornito una idonea informativa agli utenti registrati nei loro data base. Nei confronti delle società sono stati adottati provvedimenti di divieto del trattamento illecito dei dati e, in alcuni casi, sono state date prescrizioni per adeguare il trattamento alle norme in materia di protezione dei dati personali. Alle quattro società che operavano senza consenso degli utenti, il Garante ha contestato anche sanzioni pecuniarie per un totale di circa 300.000 euro. Si stanno ultimando infine accertamenti nei confronti di altre società, che trattano dati personali avvalendosi di server collocati negli Stati Uniti.