Recupero crediti: attenzione ai solleciti preregistrati

Telefonate senza operatore consentite solo con appositi accorgimenti a garanzia degli interessati

La banca non può effettuare il recupero crediti mediante telefonate preregistrate. A meno che non sia in grado di garantire che le sue comunicazioni giungano solo al destinatario o a persone da questi autorizzate. L´Autorità per la privacy ha dato ragione [doc. web n. 2751860] ad un cittadino, titolare di un contratto di finanziamento con una banca, che aveva segnalato di aver ricevuto dall´istituto di credito telefonate preregistrate con solleciti di pagamento. Secondo l´interessato il sistema era lesivo della riservatezza e della dignità perché, anche involontariamente, le comunicazioni potevano essere ascoltate da persone che non avessero alcun diritto a conoscere informazioni sul finanziamento. Interpellata dall´Autorità la banca si è difesa sostenendo che le comunicazioni segnalate erano solo messaggi di presentazione per fornire al destinatario e, solo previa identificazione, la possibilità di scegliere tra diverse opzioni selezionabili  digitando sulla tastiera del telefono. Dall´istruttoria del Garante è emerso invece che il sistema utilizzato dalla banca per il recupero crediti non garantiva affatto l´accertamento  dell´identità di colui che rispondeva alla chiamata, esponendo così l´interessato a una possibile violazione della riservatezza nel caso le informazioni venissero conosciute da altri. L´Autorità ha dunque ritenuto illecito il trattamento dei dati personali nelle modalità effettuate e lo ha di conseguenza vietato. Il Garante ha ricordato, in base a quanto stabilito dal provvedimento generale in materia, che chiunque effettui un trattamento di dati personali nell´ambito di un´attività di recupero crediti deve "astenersi dal comunicare ingiustificatamente a soggetti terzi (familiari, coabitanti, colleghi di lavoro o vicini di casa) rispetto al debitore informazioni relative alla condizione di inadempimento nella quale versa l´interessato". Il Garante ha inoltre prescritto alla banca, ove la stessa intenda continuare ad avvalersi di forme di comunicazione automatica, di adottare idonei accorgimenti tecnici, basati su forme di autenticazione, come ad esempio l´uso di un codice (ad es. il codice del contratto) rilasciato dalla banca, da digitare sull´apparecchio telefonico per poter ascoltare le comunicazioni preregistrate.
Pa: più tutele per i dati del personale
I dati personali, specie se sensibili, devono essere comunicati, anche nell´ambito del rapporto di lavoro, esclusivamente  alle persone o agli uffici che ne possono legittimamente avere conoscenza. Lo ha ribadito il Garante in una serie di provvedimenti che hanno riguardato nello specifico trattamenti di dati effettuati dalla pubblica  amministrazione. Alcuni dipendenti avevano infatti segnalato la violazione della propria privacy avendo le amministrazioni di appartenenza comunicato a terze persone dati sulla propria salute o altre informazioni riservate, come quelle relativa a procedimenti disciplinari che li vedevano coinvolti. In un caso [doc. web n. 2774063], un ente regionale aveva inviato una unica e-mail non solo ai dipendenti da sottoporre a ulteriori accertamenti per verificare se continuava a sussistere l´idoneità al lavoro, ma anche a vari uffici dell´amministrazione, alcuni dei quali peraltro non competenti sulla questione. Dal tipo di esami prescritti, ogni destinatario poteva evincere informazioni sulle condizioni di salute del personale interessato. Secondo il Garante, tale comunicazione, giustificata dall´ente con la necessità di organizzare i turni di lavoro del personale in servizio, costituisce invece un illecito trattamento di dati sensibili. Un altro caso di violazione della privacy dei lavoratori ha coinvolto una Azienda sanitaria provinciale [doc. web n. 2753605] che, per supposte ragioni di "speditezza ed economicità", aveva inviato una nota di sollecito al Comitato di verifica per le cause di servizio di dieci dipendenti. Anche in questa occasione non era stata effettuata una comunicazione individuale poiché tutti i dipendenti della Asl erano infatti stati messi in copia ed erano venuti a conoscenza di informazioni idonee a rivelare le condizioni di salute degli altri lavoratori. Il Garante ha accolto anche il reclamo [doc. web n. 2747867] della dipendente di una autorità portuale che protestava perché l´ente, in occasione della liquidazione del premio di risultato al personale, aveva reso noto ai suoi colleghi le note valutative e due sanzioni disciplinari da lei ricevute. La comunicazione di tali informazioni ad altre persone non era prevista da alcuna specifica norma di legge o regolamento, e sarebbe dovuta rimanere riservata. Non sempre, però, le segnalazioni e i reclami del personale corrispondono a effettivi illeciti. In due casi [doc. web n. 2501216 e 2174582], ad esempio, alcuni lavoratori si erano lamentati di aver ricevuto dalle rispettive amministrazioni regionali comunicazione di una sanzione disciplinare in busta aperta, consentendo così a terzi di poterla leggere. Il Garante, sulla base degli accertamenti effettuati, pur avendo rilevato delle carenze organizzative in merito al trattamento dei dati personali, non ha riscontrato violazioni in merito a quanto segnalato: le contestazioni, infatti, erano state inoltrate attraverso incaricati del trattamento che, per l´attività svolta, erano pienamente legittimati a conoscerne il contenuto delle comunicazioni. Nei vari  provvedimenti adottati, l´Autorità ha ricordato che il trattamento dei dati deve sempre garantire un adeguato rispetto del diritto alla dignità e alla riservatezza del lavoratore, privilegiando forme di comunicazione individualizzate, come da tempo indicato nelle apposite linee guida emanate dal Garante in materia di rapporto di lavoro. Per quanto riguarda le informazioni di carattere sensibile relative ai dipendenti, l´Autorità  ha sottolineato che la trasmissione a terzi può avvenire solo in presenza di una idonea base giuridica e solo laddove esse siano realmente indispensabili per perseguire le specifiche finalità di rilevante interesse pubblico. Il Garante ha prescritto a tutte le amministrazioni che hanno trattato illecitamente i dati dei lavoratori di adottare opportune e idonee misure per adeguare le procedure interne alla normativa sulla privacy e ha avviato nei loro confronti specifici procedimenti sanzionatori.

Il nuovo Regolamento europeo sulla protezione dei dati prende forma

Primo via libera all´avvio dei negoziati tra Parlamento europeo e Consiglio dell´Unione Europea per arrivare ad un accordo su un testo condiviso del nuovo Regolamento sulla protezione dei dati. La Commissione competente del Parlamento europeo (Libe - Libertà civili, giustizia e affari interni) ha votato il 21 ottobre gli emendamenti al testo della proposta di Regolamento (emendamenti artt. 1-29; emendamenti artt. 30-91) presentata dalla Commissione europea il 25 gennaio del 2012, dopo oltre 20 mesi di intenso dibattito nei quali sono stati presentati più di 3000 emendamenti. Si attende adesso, per l´avvio dei negoziati tra i due "co-legislatori", Parlamento e Consiglio Ue, il testo con gli emendamenti del Consiglio, che non ha ancora terminato l´esame della proposta.

Il testo emendato del Regolamento mantiene molte delle impostazioni della proposta originale della Commissione, a partire  dall´applicabilità del Regolamento ai trattamenti svolti da aziende extra-Ue se queste utilizzano dati personali di utenti Ue per offrire loro prodotti o servizi. Altre conferme riguardano, ad esempio, il consenso della persona interessata (che deve essere "esplicito" anziché solo "inequivocabile" come nell´attuale direttiva 95/46) o il diritto alla portabilità dei dati. Sono state inoltre mantenute alcune proposte innovative quali la nomina (obbligatoria) di un "Data Protection Officer" da parte dei titolari di trattamento (secondo criteri però diversi rispetto a quelli indicati dalla Commissione); l´introduzione di un obbligo generale per tutti i titolari di trattamenti dati di notificare eventuali violazioni (data breaches) alle Autorità privacy e in determinati casi anche agli interessati. E´ stato invece eliminato l´obbligo, oggi vigente, di notificare i trattamenti all´Autorità di protezione dati.

Gli emendamenti introducono anche versioni "semplificate" di alcune disposizioni del futuro Regolamento: il diritto all´oblio, ad esempio, è stato trasformato in un diritto alla rettifica o alla limitazione del trattamento in forma rafforzata. Sono stati poi resi più stringenti i requisiti per trasferire dati personali verso Paesi terzi, con l´introduzione di un articolo che prevede l´obbligo di autorizzazione dei Garanti nazionali prima di inviare dati su richiesta di autorità giudiziarie o amministrative di Paesi terzi. E´ stato modificato anche il sistema delle sanzioni amministrative, che tutte le Autorità nazionali di controllo devono poter comminare, ma che sono libere di definire entro una soglia pecuniaria massima e nel rispetto di una griglia di criteri fissati nel testo. Vanno segnalate anche le modifiche apportate alla proposta di Regolamento per quanto riguarda il meccanismo di "sportello unico" (one-stop-shop)  e la collaborazione fra autorità di controllo attraverso il cosiddetto "meccanismo di coerenza". Secondo il Parlamento, lo sportello unico deve permettere alle imprese multinazionali di dialogare con un unico interlocutore nell´Ue (l´Autorità privacy del Paese dove hanno il loro "stabilimento principale"), ma il ruolo di questa Autorità (definita, appunto, "Autorità capofila") deve consistere nel coordinamento di un processo di co-decisione in cui tutte le Authority degli Stati membri interessati da un trattamento devono partecipare ed avere voce.

Alcuni aspetti contenuti nel Regolamento continuano a destare perplessità: in particolare, l´introduzione della definizione di "dato pseudonimo", in termini che non chiariscono pienamente come il dato pseudonimo resti un dato in grado di identificare una persona; le norme sulla profilazione e la definizione stessa di profilazione; l´introduzione chiesta dal Parlamento di un "certificato europeo" della protezione dati, una sorta di "bollino-qualità" che consentirebbe ai titolari di trattamenti di beneficiare di varie deroghe ed esenzioni, e la cui vigilanza sarebbe affidata a soggetti terzi, ossia diversi dalle Autorità di controllo.

La Commissione del Parlamento europeo ha licenziato anche gliemendamenti alla proposta di Direttiva che si applicherà ai trattamenti di dati per fini di giustizia e polizia, con l´obiettivo di mantenere un approccio uniforme e coerente alla protezione dei dati di tutti i cittadini.

Dai Garanti privacy del mondo un piano per l´educazione digitale

I Garanti del mondo varano un piano per l´educazione digitale. Si è conclusa ieri, con l´adozione di ben otto Risoluzioni, la 35ma Conferenza internazionale sulla privacy che ha visto riunite a Varsavia le Autorità garanti per la protezione dei dati di tutto il mondo.

Particolare interesse riveste la Risoluzione, sostenuta con forza dal Garante italiano, con la quale la Conferenza ha adottato un programma comune che impegna i governi a promuovere  l´educazione digitale di tutti i cittadini, senza distinzione di età, esperienza o ruolo rivestito. Il programma fissa cinque principi: assicurare una protezione particolare ai minori nel mondo digitale; garantire una formazione permanente sulla tecnologia digitale; raggiungere un giusto equilibrio tra opportunità e rischi presenti nella tecnologia digitale; promuovere il rispetto degli utenti; diffondere un pensiero critico sull´uso delle nuove tecnologie. A sostegno di questi principi i Garanti dei diversi continenti hanno individuato anche quattro obiettivi operativi : promuovere, nell´ambito dei programmi di alfabetizzazione digitale, una educazione sulla privacy; giocare un ruolo nella "formazione dei formatori" in materia di protezione dei dati personali; sviluppare settori particolarmente innovativi, specialmente nel campo della "privacy by design"; formulare raccomandazioni e buone pratiche sull´uso delle nuove tecnologie a favore di genitori, insegnanti, minori, aziende.

Le altre Risoluzioni hanno riguardato una serie di importanti questioni: la necessità che imprese e governi assicurino la massima trasparenza nel trattamento dei dati dei cittadini; l´esigenza che l´attività di profilazione si basi su una preliminare valutazione di impatto-privacy, garantisca trasparenza agli interessati e ponga particolare attenzione alla tutela dei minori; l´attenzione da porre ai rischi legati più in generale al ricorso crescente al tracciamento della navigazione sul web (web tracking), che deve essere reso più trasparente ed ispirarsi ai principi detti di "privacy by design"; l´obiettivo di pervenire ad un maggiore coordinamento tre le Autorità per aumentare l´efficacia delle attività di enforcement; la necessità di adottare un piano strategico di azione per il biennio 2014-2015 finalizzato innanzitutto alla creazione di una rete globale di regolatori; la necessità di un accordo internazionale vincolante che salvaguardi i diritti umani attraverso un corretto equilibrio tra sicurezza, interessi economici e libertà di espressione.

La Conferenza ha anche adottato una dichiarazione sui rischi e le sfide posti dal crescente uso delle app tanto da permettere di parlare di una vera e propria "appificazione" della società.

Stop alle telecamere occulte sul posto di lavoro

Stop alle telecamere occulte sul posto di lavoro. Il Garante per la privacy ha vietato alla società editrice di un quotidiano del sud il trattamento dei dati personali effettuato attraverso apparati di ripresa installati in modo occulto presso la propria sede.

Dagli accertamenti effettuati dalla Guardia di Finanza su mandato del Garante, è emerso che quindici delle diciannove telecamere di cui è composto l´impianto di videosorveglianza erano state nascoste in rilevatori di fumo o in lampade di allarme, all´insaputa dei lavoratori, ai quali non era stata fornita alcuna informativa sulla presenza dell´impianto, né individualizzata, né semplificata (ad es. cartelli visibili, collocati prima del raggio di azione delle telecamere). Le uniche informazioni, peraltro insufficienti, erano scritte su un cartello di piccole dimensioni (15x15 cm), affisso a tre metri di altezza nell´ingresso del luogo di lavoro.

Nel disporre il divieto [doc. web n. 2439178], il Garante ha ritenuto che  la società  abbia operato un illecito trattamento di dati personali, avendo agito in violazione del diritto alla riservatezza e della dignità dei lavoratori, nonché delle norme che ne vietano il controllo a distanza. L´impianto, infatti, oltre a violare le norme del Codice privacy, era stato attivato senza rispettare quanto previsto dallo Statuto dei lavoratori (accordo con i sindacati o autorizzazione al Ministero del lavoro). 

A seguito dell´intervento del Garante, la società non potrà più utilizzare i dati raccolti e dovrà limitarsi alla loro conservazione per consentire un´eventuale attività di accertamento da parte delle autorità competenti.

Il Garante, inoltre, avendo rilevato anche irregolarità nella raccolta dei dati personali degli abbonati alla testata giornalistica, ha prescritto alla società di riformulare la modulistica cartacea e quella online, inserendo tutte le informazioni sull´uso dei dati necessarie per renderla conforme alla normativa.

Sì alla televigilanza, ma senza violare i diritti dei lavoratori

Bloccato impianto video di un´ importante catena commerciale

Il servizio di televigilanza, con scopo di anti-taccheggio e anti-rapina, non deve consentire forme di controllo a distanza dei lavoratori. Gli esercenti devono segnalare adeguatamente la presenza di telecamere e affidare la gestione del servizio a guardie giurate.

Queste le indicazioni del Garante [doc. web n. 2291893] che, in seguito all´attività ispettiva condotta dalla Questura di Genova, ha bloccato il trattamento dei dati effettuato tramite il sistema di videosorveglianza installato in un esercizio di un´importante catena commerciale.

Dalle verifiche effettuate è emerso che la società aveva violato in più punti l´accordo che era stato sottoscritto con i sindacati per l´installazione delle telecamere sul luogo di lavoro. Una videocamera, ad esempio, invece che essere utilizzata per finalità di sicurezza, inquadrava il sistema di rilevazione degli accessi dei dipendenti, consentendo quindi – in contrasto con quanto sottoscritto dall´azienda e con lo stesso Statuto dei lavoratori - il controllo a distanza dei lavoratori. Le immagini registrate risultavano poi accessibili con modalità diverse da quelle concordate. Non erano in regola neppure i cartelli con l´informativa semplificata utilizzati per segnalare la presenza dell´impianto di videosorveglianza: non solo non contenevano tutte le informazioni necessarie, ma erano in numero esiguo e, a volte, collocati in posizione non chiaramente visibile (ad es. alle spalle di un espositore). Dai riscontri della Questura è emerso, inoltre, che l´impianto di videosorveglianza era stato affidato in gestione a un consorzio di ditte esterne che utilizzava per il servizio personale non qualificato. Chi effettuava il controllo delle immagini era, infatti, privo della licenza prefettizia di "guardia particolare giurata", necessaria per poter svolgere funzioni anti-rapina e anti-taccheggio, e non era stato designato incaricato del trattamento dei dati personali.

Il Garante della privacy ha imposto all´esercente di provvedere a sanare tutte le violazioni riscontrate e ha bloccato il trattamento dei dati effettuato attraverso il sistema di videosorveglianza. Ha anche trasmesso copia degli atti e del provvedimento all´autorità giudiziaria al fine di valutare gli eventuali illeciti penali commessi.

Controlli sui pc aziendali sì, ma nel rispetto di precise regole

Una società non può controllare il contenuto del pc di un dipendente senza averlo prima informato di questa possibilità e senza il pieno rispetto della libertà e della dignità del lavoratore. Questa la decisione del Garante sulricorso [doc. web n. 2149222] presentato da un dipendente che era stato licenziato senza preavviso dalla propria azienda. L´uomo si era rivolto sia alla magistratura ordinaria, per contestare la stessa fondatezza dell´accusa e il relativo licenziamento, sia al Garante per opporsi alle modalità con cui la società avrebbe acquisito e trattato i suoi dati.

Dai riscontri dell´Autorità è emerso che una serie di documenti, sulla base dei quali il datore di lavoro aveva fondato la sua decisione, erano contenuti in una cartella personale del pc portatile assegnato al lavoratore. La società vi aveva avuto accesso quando il dipendente aveva riportato il computer in sede per la periodica operazione di salvataggio dei dati (back up) aziendali.Contrariamente a quando affermato dall´impresa, non risulta però che l´uomo fosse stato informato sui limiti di utilizzo del bene aziendale, né sulla possibilità che potessero essere avviate così penetranti operazioni di analisi e verifica sulle informazioni contenute nel pc stesso.

Il Garante ha ribadito che il datore di lavoro può effettuare controlli mirati al fine di verificare l´effettivo e corretto adempimento della prestazione lavorativa e, se necessario, il corretto utilizzo degli strumenti di lavoro.

Tale attività, però, può essere svolta solo nel rispetto della libertà e della dignità dei lavoratori e della normativa sulla protezione dei dati personali che prevede, tra l´altro che alla persona interessata debba essere sempre fornita un´idonea informativa sul possibile trattamento dei suoi dati connesso all´attività di verifica e controllo. Il Garante ha quindi vietato alla società ogni ulteriore utilizzo dei dati personali così acquisiti. Sarà invece l´autorità giudiziaria a valutare l´utilizzabilità nel procedimento civile già in corso della documentazione acquisita agli atti.