E-commerce, no alla profilazione senza consenso

No alla profilazione senza consenso di gusti e abitudini dei clienti per l´invio di newsletter personalizzate. Lo ha affermato il Garante privacy in unprovvedimento [doc. web n. 4487559] con cui  ha vietato ad una società di e-commerce l´illecito trattamento dei dati di oltre 300 mila persone. La società - una delle più importanti nella fornitura on line di biglietti  per spettacoli teatrali,  manifestazioni sportive, concerti e nell´e-commerce di prodotti anche di marchi celebri -  non potrà più utilizzare i dati trattati in modo illecito. Dagli accertamenti ispettivi svolti dall´Autorità è emerso che la società raccoglieva dati personali attraverso tre siti, di cui uno operativo in più lingue straniere destinato ad utenti di paesi Ue ed Extra Ue. Il consenso richiesto, però, era  preselezionato e unico per varie finalità, comprese quelle di marketing e comunicazione dei dati ad altre società, sempre per scopi commerciali. Una procedura  contraria alla normativa, anche se l´utente poteva deselezionare il consenso e procedere alla registrazione al sito.

 

La società, inoltre, svolgeva, sempre senza consenso, un´attività di profilazione utilizzando un software per  l´invio di newsletter personalizzate, "create" elaborando i dati relativi agli ordini dei clienti o anche ai prodotti inseriti nel carrello il cui ordine non era stato finalizzato. La società peraltro non aveva provveduto ad adempiere all´obbligo di notificazione al Garante previsto dal Codice per l´attività di profilazione, né aveva stabilito alcun tempo di conservazione dei dati personali raccolti tramite i siti.

 

Il Garante  ha dunque disposto il divieto di uso dei dati dei clienti acquisiti illecitamente e ha  prescritto alla società  di adottare, entro sessanta giorni, le misure necessarie per mettersi in regola con le disposizioni del Codice privacy. La società dovrà, in particolare, integrare l´informativa indicando le aziende o le categorie economiche o merceologiche alle quali intende comunicare i dati per le loro finalità promozionali. Dovrà, poi, informare i soggetti, ai quali i dati sono stati già comunicati o ceduti, che non possono utilizzarli senza aver prima acquisito il consenso degli interessati.

 

La società dovrà, infine, prevedere tempi di conservazione dei dati e, alla scadenza, provvedere all´immediata cancellazione o alla  anonimizzazione permanente.

Skype: il datore di lavoro non può spiare le conversazioni dei dipendenti

Il datore di lavoro non può  spiare le conversazioni Skype dei dipendenti. Il contenuto di comunicazioni di tipo elettronico o telematico scambiate dai dipendenti nell´ambito del rapporto di lavoro godono di garanzie di segretezza tutelate anche a livello costituzionale.

Il principio è stato riaffermato dal Garante privacy nell´accogliere il ricorsoproposto da una dipendente che lamentava l´illecita acquisizione di conversazioni, avute con alcuni clienti/fornitori, poste poi alla base del suo licenziamento.

A seguito del provvedimento del Garante il datore di lavoro non potrà effettuare alcun trattamento dei dati personali contenuti nelle conversazioni ottenute in modo illecito, limitandosi alla conservazione di quelli finora raccolti ai fini di una eventuale acquisizione da parte dell´autorità giudiziaria.

Nel caso esaminato, rileva il Garante, il datore di lavoro è incorso in una grave interferenza nelle comunicazioni, attuata, per sua stessa ammissione, attraverso l´installazione di un software sul computer assegnato alla dipendente in grado di visualizzare sia le conversazioni effettuate dalla ricorrente dalla propria postazione di lavoro prima di uscire dall´azienda, sia quelle avvenute successivamente da un computer collocato presso la propria abitazione. Una procedura, secondo il Garante, in evidente contrasto con le "Linee guida del Garante per posta elettronica e Internet" e con le disposizioni poste dall´ordinamento a tutela della segretezza delle comunicazioni, nonché con la stessa policy aziendale approvata anche dalla competente Direzione territoriale del lavoro. Pur spettando, infatti, al datore di lavoro definire le modalità di utilizzo degli strumenti aziendali, occorre comunque che queste rispettino la libertà e la dignità dei lavoratori, nonché i principi di correttezza (secondo cui le caratteristiche essenziali dei trattamenti di dati devono essere rese note ai lavoratori), di pertinenza e non eccedenza stabiliti dal Codice privacy. Principi questi da tenere ben presenti, in considerazione del fatto che l´esercizio  del controllo da parte del datore di lavoro può determinare la raccolta di informazioni personali, anche non pertinenti, di natura sensibile oppure riferite a  terzi.       

Dati sulla salute, attenzione a quelli contenuti nelle mail

E´ illecito inoltrare una mail con informazioni sulla salute e il numero di cellulare della persona che l´ha inviata senza averla prima informata e avere avuto il suo consenso.

 

Lo ha stabilito il Garante privacy in un provvedimento [doc. web n. 3966213] con il quale ha vietato a due società  l´ulteriore trattamento dei dati contenuti in una mail ed ha prescritto loro l´adozione di  misure per garantire una scrupolosa vigilanza sull´operato del personale che tratta i dati per loro conto o interesse. Il caso nasce dal reclamo di una signora che si è rivolta al Garante lamentando l´illecito trattamento dei dati personali contenuti in una mail inviata ad un conoscente  di una agenzia immobiliare, per promuovere la propria attività di consulenza. Nella mail la reclamante, oltre alle informazioni di natura promozionale,  aveva indicato anche il proprio numero di cellulare e informazioni relative ad una operazione che avrebbe dovuto affrontare.  La mail, giunta a due collaboratori delle società dopo essere stata  parzialmente modificata, era stata  inoltrata ad oltre 200 affiliati commerciali, senza cancellare le informazioni personali che la signora aveva inserito.

 

A nulla sono servite le tesi difensive delle società basate sulla erronea supposizione che la mail non contenesse dati personali e che, pertanto, potesse essere liberamente  inoltrata in allegato per avvertire i colleghi di avvalersi solo di consulenze esterne preventivamente valutate. Così pure il tentativo di declinare ogni addebito, ascrivendo l´accaduto ad iniziative personali di singoli, non ha trovato accoglimento presso Il Garante, il quale ha stabilito che la responsabilità fosse addebitabile alle due società, in capo alle quali rimane il compito ed il potere di vigilare sui propri collaboratori.

 

Nel disporre il divieto, l´Autorità ha dunque prescritto alle società di adottare idonee misure atte a garantire una scrupolosa vigilanza sull´operato del personale, sensibilizzandolo al rispetto delle istruzioni ricevute sulla protezione dei dati personali.