codice condotta telemarketing

Telemarketing: al via il Codice di condotta Codice di condotta in materia di telemarketing in vigore dal 28 settembre 2024: stop alle chiamate incontrollate

Codice di condotta telemarketing in vigore

Telemarketiing e teleselling: in vigore a tutti gli effetti il Codice di condotta che regola le attività. Il Codice, che ha l’obiettivo di tutelare gli utenti dalle chiamate indesiderate, è stato approvato dal Garante Privacy il 7 marzo 2024 e, con l’accreditamento dell’Organismo di monitoraggio (OdM) è stato completato l’iter per la sua piena applicazione. La delibera di approvazione e l’accreditamento dell’Odm sono stati pubblicati sulla Gazzetta ufficiale n. 73 del 27 marzo 2024.

L’articolo 19, al comma 4 dispone che “Il Codice di  condotta  eventualmente  rivisto  ai  sensi  del precedente comma entrerà in vigore, previo accreditamento  dell’OdM, ai sensi dell’art. 41 del regolamento, quindici giorni  dopo  la  sua pubblicazione nella Gazzetta ufficiale della Repubblica italiana”.

Misure specifiche di applicazione in vigore dal 28 settembre 2024

Il comma 5 invece dispone che “Le misure necessarie per l’applicazione del presente Codice di condotta sono adottate dai soggetti aderenti entro il termine di sei mesi dall’entrata in vigore del Codice di condotta”.

Trattasi nello specifico delle misure che devono garantire la correttezza e la legittimità del trattamento dei dati lungo tutta la “filiera” del telemarketing.

Tali misure, entrate in vigore il 28 settembre 2024, consistono nella raccolta di consensi specifici per le singole finalità (marketing, profilazione, ecc.) e nell’obbligo di informare in maniera precisa le persone contattate sull’uso dei loro dati, assicurando il pieno esercizio dei diritti previsti dalla normativa privacy (opposizione al trattamento, rettifica o aggiornamento dei dati).

Vediamo quali sono le regole del Codice, che non valgono per gli operatori che utilizzano il telefono per verificare la soddisfazione della clientela o che svolgono attività promozionali tramite sms o applicazioni.

Orari fissi per le chiamate

Il Codice di condotta vieta le chiamate nei giorni festivi e la domenica. Gli operatori possono contattare gli utenti solo in due fasce orarie distinte:

  • dal lunedì al venerdì dalle ore 9.00 alle ore 20.00;
  • nei giorni prefestivi e il sabato dalle ore 10.00 alle ore 19.00.

Il Codice consente una tolleranza massima di 15 minuti rispetto agli orari indicati. La telefonata senza risposta o non effettuata perché l’utente è occupato è considerata come non effettuata.

Divieto di telefonate anonime e consenso

Gli operatori non possono effettuare telefonate che non consentono all’utente di identificare il numero dal quale viene effettuata la chiamata. I numeri devono essere visibili sul telefono e l’utente deve avere la possibilità di richiamare. Chi effettua la chiamata inoltre deve identificarsi in modo chiaro e ottenere il consenso specifico alla chiamata avente finalità promozionali.

Il consenso per finalità di telemarketing è valido ai sensi dell’art. 12 del Codice di condotta se informato, libero, specifico, inequivocabile e documentabile.

Script conforme al Codice di Condotta

Il committente deve mettere a disposizione del  call center, con modalità documentate e verificabili, uno script conforme al Codice di condotta e applicabile a ogni campagna di telemarketing o teleselling. Lo script deve contenere le istruzioni che gli operatori devono seguire e rispettare nel contare gli utenti. Il committente deve fornire inoltre il testo dell’informativa relativa al trattamento dei dati personali, anch’essa conforme al Codice di condotta, da sottoporre ai soggetti interessati.

Sanzioni per chi viola le regole

Di estremo interesse infine l’articolo 16 dedicato al controllo dell’origine del contratto con l’affidatario. L’accordo deve prevede un meccanismo sanzionatorio, che preveda l’applicazione di una penale, il mancato riconoscimento della provvigione o l’annullamento della stessa, se il contratto viene stipulato in mancanza di un contatto legittimo.

Le penali devono essere parametrate rispetto elle provvigioni e alla percentuale dei contratti sottoposti a controllo, per assolvere alle finalità dissuasive da perseguire. A tale fine si può stabilire ad esempio che la penale sia pari al triplo della provvigione prevista per ogni contratto e non richiesta oppure richiesta in ripetizione per ogni contratto.

 

Vedi le altre notizie di civile

smishing

Smishing: cos’è e come difendersi Cos'è e come funziona lo smishing e i suggerimenti del Garante per proteggersi da questa forma di phishing che sfrutta sms e messaggistica

Smishing: cos’è

Lo Smishing (o phishing tramite SMS) è una forma di truffa che utilizza messaggi di testo e sistemi di messaggistica (compresi quelli delle piattaforme social media) per appropriarsi di dati personali a fini illeciti (ad esempio, per poi sottrarre denaro da conti e carte di credito). Il Garante privacy ha dedicato una scheda informativa per proteggersi da questa forma di phishing.

Come funziona

In genere i messaggi di smishing invitano i destinatari a compiere azioni (cliccare link, ecc.) o fornire informazioni con urgenza, per non rischiare danni (es: blocco di utenze, blocco della carta di credito o del conto) o sanzioni.

I truffatori (“smisher”), spiega il Garante, “inviano messaggi per chiedere ad esempio alle vittime di:

  • cliccare un link che conduce ad un form online in cui inserire dati personali, dati bancari o della carta di credito, ecc.. Il link da cliccare può anche essere utilizzato per installare sullo smartphone della vittima programmi malevoli capaci di carpire dati personali conservati sul dispositivo o addirittura in grado di accedere alle app e ai programmi con cui si gestiscono Internet banking, carte di credito, ecc.;
  • scaricare un allegato che può contenere programmi malevoli capaci di prendere il controllo dello smartphone o accedere ai dati in esso contenuti;
  • rispondere ai messaggi ricevuti inviando dati personali (il codice fiscale, il PIN del Bancomat o quello utilizzato per l’Internet banking, il numero della carta, il codice di sicurezza della carta, i dati dell’OTP cioè della password temporanea per eseguire operazioni sul conto bancario e sulla carta di credito, ecc.);
  • chiamare un numero di telefono, dove poi un finto operatore o un sistema automatizzato chiedono di fornire informazioni di vario tipo, compresi dati bancari e/o della carta di credito”.

Perchè lo smishing è pericoloso

Gli smisher fanno leva sul timore legato ad un rischio incombente per convincere le vittime ad abbassare il livello di prudenza e a reagire d’impulso. Per questo, invita l’authority, è bene “diffidare dei messaggi che hanno toni ultimativi e intimidatori o che spingono ad agire con fretta e urgenza. Ad es. il messaggio di una banca che segnala un account compromesso da verificare con urgenza; offerte di sconti straordinari da usufruire subito; amministrazioni pubbliche che segnalano la richiesta di dati, sanzioni da pagare, o anomalie da verificare, ecc.

Come difendersi dallo smishing

Il Garante invita a “non comunicare mai dati e informazioni personali o dati come codici di accesso, PIN, password, dati bancari e della carta di credito a sconosciuti” ricordando, in ogni caso, “che istituzioni e banche non richiedono di fornire dati personali tramite SMS o messaggistica istantanea, specie se si tratta di informazioni come PIN, password, codici di autorizzazione, ecc., che, di solito, loro stessi ci invitano a mantenere strettamente riservate”.

In generale, meglio non conservare le credenziali (password, PIN, codici) di dati bancari o della carta di credito sullo smartphone. In caso di intrusioni informatiche sul dispositivo (tramite malware, ad esempio), questi dati potrebbero infatti essere facilmente sottratti.

Per proteggere i conti bancari e carte di credito, inoltre, “è bene controllare spesso le movimentazioni ed eventualmente attivare sistemi di alert automatico che avvisano l’utente di ogni operazione effettuata”.

Se si ricevono messaggi da sconosciuti, “non cliccare sui link in essi contenuti e non aprire eventuali allegati: potrebbero contenere virus o programmi capaci di prendere il controllo di computer e smartphone. Stessa accortezza con i messaggi che provengono da numerazioni anomale o particolari (ad esempio: numeri con poche cifre), oppure da utenze identificate da un nome con il numero nascosto. In questi casi è sempre bene fermarsi a riflettere, prestando la massima attenzione al contenuto e al mittente del messaggio”. Infine, se si ricevono messaggi che invitano a richiamare determinati numeri di aziende o istituzioni, controllare SEMPRE prima se tali numeri corrispondono a quelli ufficiali (ad esempio consultando i siti web istituzionali). Per estrema sicurezza, invece di contattare i numeri ricevuti, ci si può rivolgere al centralino o all’URP dell’azienda o dell’istituzione chiendendo di farsi mettere in contatto con l’ufficio che dovrebbe aver inviato il messaggio”.

Cosa fare

Ad ogni modo, chi ha il dubbio di essere vittima di smishing è consigliabile che contatti “immediatamente la banca o il gestore della carta di credito attraverso canali di comunicazione conosciuti e affidabili per segnalare l’accaduto e, in caso di sottrazione di denaro, richiedere il blocco delle transazioni. In questa seconda ipotesi, si può anche segnalare la truffa subita alle autorità di polizia“.

trattamento dati sanitari

Trattamento dati sanitari: le regole del Garante Il Garante ha promosso l'adozione di nuove regole deontologiche per i trattamenti a fini statistici o di ricerca scientifica, pubblicate in GU il 5 giugno 2024

Regole deontologiche trattamento dati sanitari

Sul trattamento dei dati sanitari per fini statistici o di ricerca, il Garante Privacy ha predisposto delle regole deontologiche pubblicate in Gazzetta Ufficiale il 5 giugno scorso.

Le regole muovono dalla recente riforma dell’articolo 110 del Codice privacy, a seguito della quale il Garante Privacy ha individuato le prime garanzie da adottare per il trattamento dei dati personali a scopo di ricerca medica, biomedica e epidemiologica, riferiti a pazienti deceduti o non contattabili.

La modifica dell’art. 110 Codice Privacy

Con la modifica dell’art. 110, infatti, chi effettua attività di ricerca medica – quando risulta impossibile informare gli interessati o l’obbligo implica uno sforzo sproporzionato, oppure rischia di pregiudicare gravemente i risultati dello studio – non deve più sottoporre il progetto di ricerca e la relativa valutazione di impatto alla consultazione preventiva, essendo sufficiente rispettare le specifiche garanzie previste dal Garante.

L’Autorità ha infatti stabilito che in tutti questi casi i titolari del trattamento – oltre ad acquisire, come già previsto, il parere favorevole del competente Comitato etico a livello territoriale sul progetto di ricerca – dovranno motivare e documentare le ragioni etiche o organizzative in base alle quali non hanno potuto acquisire il consenso dei pazienti nonché, effettuare e pubblicare la valutazione di impatto, dandone comunicazione al Garante.

Con lo stesso provvedimento l’Autorità, alla luce della riforma normativa e considerato il rilevante impatto delle nuove tecnologie nelle modalità di realizzazione dell’attività di ricerca, ha promosso l’adozione delle nuove regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.

Le faq del Garante

Sullo stesso tema il Garante ha fornito chiarimenti sul trattamento dei dati da parte degli IRCCS, ossia “quegli enti del Servizio sanitario nazionale che, secondo standard di eccellenza, perseguono finalità di ricerca nel campo biomedico e in quello dell’organizzazione e gestione dei servizi sanitari ed effettuano prestazioni di ricovero e cura di alta specialità”, pubblicando apposite faq sul proprio sito.

oblio oncologico

Oblio oncologico: le faq del Garante Oblio oncologico: dal Garante Privacy informazioni utili e indicazioni per cittadini e imprese sul diritto introdotto dalla legge n. 193/2023

Oblio oncologico, cos’è

Che cos’è il diritto all’oblio oncologico? Le banche, le assicurazioni e i datori di lavoro possono chiedere informazioni su una patologia oncologica conclusa da diversi anni? Una persona clinicamente guarita può adottare un bambino? A queste e ad altre domande rispondono le FAQ pubblicate dal Garante per la protezione dei dati personali.

Le faq del Garante

L’obiettivo è quello di prevenire le discriminazioni e tutelare i diritti delle persone che sono guarite da malattie oncologiche.

Il documento, pubblicato nella newsletter del 9 agosto 2024, oltre a fornire chiarimenti ai cittadini sul diritto all’oblio oncologico (legge n. 193/2023) dà indicazioni utili a tutti i datori di lavoro pubblici e privati e a banche, assicurazioni, intermediari del credito e finanziari affinché possano applicare correttamente la nuova normativa.

Le FAQ sull’oblio oncologico insieme ad un’utile scheda in materia sono consultabili sul sito internet del Garante privacy.

Cosa stabilisce la legge sull’oblio oncologico

Nelle FAQ viene spiegato che il compito di vigilanza sulla corretta applicazione della legge è affidato al Garante Privacy, il quale in caso di eventuali violazioni della disciplina sulla protezione dei dati potrà infliggere le sanzioni previste dal Gdpr.

Inoltre viene chiarito che la normativa vieta a banche, assicurazioni, e a tutti i datori di lavoro (sia nella fase di selezione del personale sia durante il rapporto lavorativo), di richiedere all’utente e al dipendente informazioni su una patologia oncologica da cui sia stato precedentemente affetto e il cui trattamento si sia concluso – senza episodi di recidiva – da più di dieci anni (ridotti a cinque se il soggetto aveva meno di 21 anni al momento in cui è insorta la malattia).

La legge stabilisce anche particolari tutele per le coppie che presentano domanda di adozione al Tribunale per i minorenni. Il Tribunale, nella selezione delle coppie, non può raccogliere informazioni sulle patologie oncologiche pregresse quando siano trascorsi più di dieci anni dalla conclusione del trattamento della patologia – in assenza di recidive o ricadute – o più di cinque anni se la patologia si è manifestata prima del compimento del 21esimo anno di età.

La regola vale anche in caso di adozione di minori stranieri.

 

Leggi anche Articolo di stampa e diritto all’oblio

ddl intelligenza artificiale

Ddl Intelligenza artificiale: parere favorevole del Garante Il Garante Privacy ha dato parere favorevole al ddl intelligenza artificiale chiedendo però ulteriori misure a protezione dei dati personali

Ddl Intelligenza artificiale, sì ma con le dovute cautele

Ddl Intelligenza artificiale: parere favorevole del Garante Privacy sullo schema di disegno di legge governativo sull’IA, recante anche delega legislativa per l’adeguamento al Regolamento Ue sull’Intelligenza Artificiale (n.2024/1689 – AI Act).

Leggi l’articolo sul ddl varato dal Governo

Il disegno di legge disciplina ricerca, sperimentazione, sviluppo, adozione e applicazione dei sistemi e modelli di Intelligenza Artificiale (IA) nei diversi settori della società (sanità, giustizia, lavoro e professioni, sicurezza e difesa nazionale, etc.).

Maggiore tutela dei dati personali

Nel dare il proprio parere favorevole al testo, il Garante ha tuttavia chiesto al Governo di integrarlo in più parti per garantire una maggiore tutela dei dati personali dei cittadini.

In particolare l’Autorità ha chiesto di introdurre un nuovo articolo per precisare che i trattamenti di dati personali effettuati attraverso i sistemi di intelligenza artificiale devono rispettare la normativa privacy nazionale ed europea.

Age verification

Il testo, inoltre, dovrà essere integrato con uno specifico riferimento a sistemi adeguati di verifica dell’età (c.d. age verification) in grado di garantire limitazioni o divieti all’uso dei sistemi di IA da parte dei minori.

Nel caso poi di utilizzo di sistemi di IA in ambito sanitario ad alto rischio, il Garante ha chiesto di indicare particolari limitazioni per l’utilizzo dei dati (conservazione, divieto di trasmissione, trasferimento o comunicazione) e la preferenza per l’uso di dati sintetici o anonimi.

Autorità competente

È stato inoltre richiesto di indicare il Garante – come previsto nell’AI Act – quale Autorità competente per i sistemi di Intelligenza Artificiale ad alto rischio utilizzati ad es. per le attività di law enforcement, identificazione biometrica remota, riconoscimento delle emozioni, gestione delle frontiere, amministrazione della giustizia e processi democratici.

revenge porn

Revenge porn: come fare una segnalazione Revenge porn: come funziona il servizio di segnalazione online del Garante Privacy per prevenire il fenomeno del Revenge porn

Segnalazione Revenge Porn

Revenge porn: il Garante Privacy ha reso disponibile il servizio online per effettuare una segnalazione, oltre ad un’utile scheda informativa per prevenire e difendersi da questo tipo di fenomeni proteggendo e gestendo correttamente i propri dati personali.

Cos’è il revenge porn

Il revenge porn, si ricorda, consiste nell’invio, consegna, cessione, pubblicazione o diffusione, da parte di chi li ha realizzati o sottratti e senza il consenso della persona cui si riferiscono, di immagini o video a contenuto sessualmente esplicito destinati a rimanere privati. Tale diffusione avviene di solito a scopo vendicativo (ad esempio per “punire” l’ex partner che ha deciso di porre fine ad un rapporto amoroso), per denigrare pubblicamente, ricattare, bullizzare o molestare. Si tratta quindi di una pratica che può avere effetti drammatici a livello psicologico, sociale e anche materiale sulla vita delle persone che ne sono vittime.

Protezione dati personali

La prima e più importante forma di difesa, ricorda il Garante, sono sempre la consapevolezza e la prudenza. Spesso accade che i dati personali vengano immessi dagli stessi interessati nel circuito di messaggistica e social network, sfuggendo così ogni controllo e rendendone impossibile la cancellazione una volta diffusi.

Per proteggere i dati personali eventualmente presenti nei tuoi dispositivi (smartphone, pc o tablet), occorre utilizzare sempre adeguate misure di sicurezza: ad esempio, password che proteggono i dispositivi e/o le cartelle in cui conservi i file, sistemi di crittografia per rendere illeggibili i file agli altri, sistemi anti-virus e anti-intrusione per i dispositivi.

Se si ricevono foto o immagini a contenuto sessualmente esplicito che riguardano altre persone, il Garante consiglia di evitare “di essere complice di comportamenti illeciti nei confronti delle stesse” di non diffonderle, cancellarle e se si ritiene di fare una segnalazione alla Polizia postale.

A maggior ragione quando tali fenomeni riguardano i minori, come vittime o destinatari di contenuti.

“Se sei un genitore – consiglia il Garante – evita di far utilizzare dispositivi digitali ai tuoi figli piccoli se sono da soli, monitora il loro comportamento online e spiega con chiarezza perché è bene evitare di interagire con sconosciuti e diffondere informazioni personali, soprattutto foto e filmati, tramite messaggi e social network (vedi anche la pagina informativa www.gpdp.it/minori).

Come prevenire il Revenge porn

Nel caso in cui si abbia un fondato timore che immagini a contenuto sessualmente esplicito possano essere diffuse senza il proprio consenso è possibile presentare una segnalazione al Garante ai sensi degli art. 144-bis del Codice in materia di protezione dei dati personali e 33-bis del regolamento n. 1/2019 del Garante.

Per farlo è possibile utilizzare l’apposito form reso disponibile nel sito istituzionale dell’Autorità, in cui dovranno essere indicate le piattaforme di condivisione di contenuti (social network, messaggistica, ecc.) attraverso le quali si teme la diffusione, nonché le ragioni che fondano il timore che la condotta pregiudizievole possa essere posta in essere.

Dovranno poi essere trasmesse all’Autorità – tramite un link che sarà comunicato dopo la presentazione della segnalazione – le immagini o i contenuti sessualmente espliciti dalla cui divulgazione ci si intenda tutelare.

Il Garante, in presenza dei presupposti indicati dalle norme di riferimento, adotterà un provvedimento, che sarà notificato alle piattaforme coinvolte nel tentativo di contrastare la temuta diffusione.

Questo strumento può essere utilizzato non solo dagli adulti, ma anche dai minori.

Si ricorda che alla tutela che accorda il Garante può sempre aggiungersi quella prestata dalla Polizia Postale, alla quale è possibile rivolgersi per denunciare situazioni in cui siano ravvisabili gli estremi di una condotta penalmente rilevante (come nel caso in cui si subiscano minacce o richieste estorsive).

Infine, rammenta l’autorità, il più importante accorgimento “è tenere alto il livello di prudenza nel condividere materiale a contenuto sessualmente esplicito, in quanto l’intervento del Garante non è in grado di assicurare, in termini assoluti, che l’evento temuto non si verificherà: la persona malintenzionata, ad esempio, potrebbe detenere immagini anche solo parzialmente diverse da quelle comunicate alla piattaforma vanificando così la misura adottata”.

vaccino anti papilloma

Vaccinazione anti Papilloma: il no del Garante Il Garante avverte formalmente la regione Puglia sulla vaccinazione anti Papilloma agli studenti e sulla richiesta vaccinazione anti Covid

Vaccinazione anti Papilloma a studenti: l’intervento del Garante Privacy

Violano la normativa privacy i trattamenti di dati personali previsti dalla legge regionale pugliese che introduce l’obbligo per gli studenti di scuole medie, superiori ed università, di presentare una certificazione in materia di vaccinazione al Papilloma virus (HPV) per potersi iscrivere ai relativi corsi di istruzione. È questo l’avvertimento formale inviato dal Garante per la protezione dei dati personali alla Regione Puglia, reso noto con un comunicato sul sito istituzionale.

Parola alla Consulta

L’Autorità evidenzia che – qualora la Corte Costituzionale dichiarasse la illegittimità della legge regionale pugliese, impugnata dal Governo – i trattamenti posti in essere dalla Regione non sarebbero conformi alla disciplina in materia di protezione dei dati personali, perché privi di una idonea base giuridica.  Ad analoga conclusione si giungerebbe, anche a prescindere da una eventuale pronuncia di illegittimità, poiché i trattamenti di dati non sarebbero comunque conformi ai principi di necessità e proporzionalità previsti dal Regolamento Ue (Gdpr).

Il Garante ricorda inoltre che il trattamento dei dati relativi alla salute è lecito solo in presenza di una legge dello Stato. Solo una norma uniforme a livello nazionale – peraltro per un vaccino non obbligatorio ai fini dell’iscrizione a scuola – può infatti prevedere l’acquisizione di documentazione sanitaria da parte delle autorità scolastiche così come l’onere da parte di studenti e famiglie di produrre tale documentazione.

L’avvertimento adottato nei confronti della Regione Puglia è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, e inviato alla Gazzetta ufficiale per la pubblicazione.

Violazioni anche sul vaccino Covid

L’Autorità ha registrato inoltre violazioni sul fronte della vaccinazione anti Covid, notificando all’Asl di Lecce le violazioni rilevate nell’ambito dell’istruttoria avviata lo scorso giugno, a seguito della notizia del mancato accesso in ospedale di alcuni tirocinanti, perché sprovvisti della quarta dose del vaccino anti-Covid.

gdpr vale per wikipedia

Il GDPR vale anche per Wikipedia Il Garante Privacy ricorda che anche Wikipedia, la nota enciclopedia online deve rispettare le regole sulla protezione dei dati personali, sul giornalismo e la manifestazione del pensiero

GDPR e Wikipedia

GDPR vale anche per Wikipedia, la nota enciclopedia online. “Il trattamento di dati personali effettuato da Wikipedia ricade sotto il GDPR e ai contenuti pubblicati si applicano le norme sull’attività giornalistica e la manifestazione del pensiero”. È quanto ha stabilito il Garante per la protezione dei dati personali, con provvedimento del 9 maggio scorso, dopo il reclamo di un interessato che non aveva visto soddisfatta la richiesta di cancellazione di un articolo biografico, relativo a una vicenda giudiziaria, da parte di Wikipedia Foundation, la no-profit Usa creatrice del progetto dell’enciclopedia online.

Wikipedia host neutrale

Per quanto riguarda il trattamento di dati personali effettuato negli articoli, la Fondazione, che non ha stabilimento in Europa, ritiene che Wikipedia non offra un servizio agli utenti nella Ue e di non essere quindi vincolata al rispetto del Regolamento generale sulla protezione dati: l’enciclopedia sarebbe solo un “host neutrale” che “ospita” i contenuti inseriti dalla comunità di volontari.

Wikipedia servizio di informazione

In realtà, per il Garante, “Wikipedia non solo offre un servizio di informazione su una grande varietà di argomenti, ma lo rivolge anche al mercato europeo, come dimostrano la costante azione di indirizzo e verifica degli standard qualitativi dei contenuti rivolti dalla Fondazione alla comunità e la creazione di versioni del sito dedicate agli utenti di uno o più Stati membri”. Si realizza così – spiega il Garante – “quel requisito di intenzionalità nell’offerta di servizi che permette di applicare il GDPR a un titolare del trattamento stabilito in un Paese terzo e senza stabilimento nella Ue”.

Il provvedimento del Garante

L’Autorità ha comunque respinto l’istanza di cancellazione dell’interessato, perché il trattamento di dati personali per finalità giornalistiche, anche senza consenso, “è lecito se rispetta i diritti e la dignità delle persone e il principio dell’essenzialità dell’informazione. Allo stesso modo, è lecita anche la permanenza dell’articolo nell’archivio dell’enciclopedia online: gli archivi di siti e giornali, anche cartacei, rivestono infatti una importante funzione ai fini della ricostruzione storica degli eventi”.

Il Garante ha tuttavia disposto la deindicizzazione dell’articolo.

“La presenza online della pagina – infatti – vanificherebbe il beneficio del limite della conoscibilità posto alle condanne inferiori ai due anni, che non sono inserite nel casellario giudiziario, mentre nel frattempo è venuto a scemare l’interesse pubblico per la vicenda”.

Vedi tutte le news di diritto amministrativo

giurista risponde

Violazione del diritto alla riservatezza e risarcimento del danno Quali sono le condizioni e i criteri per il risarcimento del danno da violazione del diritto alla riservatezza?

Quesito con risposta a cura di Manuel Mazzamurro e Incoronata Monopoli

 

Il danno da violazione del diritto alla riservatezza, dovendo necessariamente consistere in un profilo consequenziale rispetto al fatto dannoso denunciato, dev’essere essere oggetto di specifica allegazione e di prova, anche tramite il ricorso al valore rappresentativo di presunzioni semplici, ossia anche attraverso l’indicazione degli elementi costitutivi e delle specifiche circostanze di fatto da cui desumerne, sebbene in via presuntiva, l’esistenza. – Cass., sez. III, ord. 16 aprile 2024, n. 10155.

 Nel caso di specie, la Suprema Corte è chiamata a valutare se il danno da violazione del diritto alla riservatezza sia soltanto patrimoniale o anche morale ed esistenziale.

Il Tribunale adito, in parziale accoglimento dei ricorsi proposti dai danneggiati, condannava l’azienda sanitaria a rifondere i predetti; tenuto conto, altresì, che quest’ultima aveva proceduto ad oscurare i dati sensibili dei medesimi.

Viene proposto, quindi, ricorso, ex art. 380bis, per Cassazione, lamentando i ricorrenti che il danno da violazione del diritto alla riservatezza non sia soltanto patrimoniale, ma anche morale ed esistenziale; e che l’art. 15 del codice della protezione dei dati personali statuisca un generale principio di “indemnisation” integrale del danno non patrimoniale da trattamento dei dati personali; che la danneggiata abbia subito un danno alla vita di coppia ed alla sfera sessuale, un danno alla vita di relazione, all’immagine, al nome, all’onore; in ordine alla quantificazione del danno, che si richiami la definizione del danno non patrimoniale come prevista dall’art. 138 del codice delle assicurazioni (Cass., sez. III, 27 dicembre 2014, n. 1608).

La Suprema Corte ha ricordato quanto stabilito dalla pronunzia della Corte cost. 6 ottobre 2014, n. 235 e dell’entrata in vigore della L. 124/2017 (che all’art. 1, comma 17, ha modificato l’art. 138 cod. ass., richiamato dai ricorrenti), secondo cui il giudice del merito sia tenuto “a valutare tanto le conseguenze subite dal danneggiato nella sua sfera morale (che si collocano nella dimensione del rapporto del soggetto con se’ stesso), quanto quelle incidenti sul piano dinamico-relazionale della sua vita (che si dipanano nell’ambito della relazione del soggetto con la realtà esterna, con tutto ciò che, in altri termini, costituisce “altro da sé”)” (Cass., sez. III, 31 gennaio 2019, n. 2788; Cass., sez. III, 21 luglio 2017, n. 21939).

Di talché, è necessario che il danno preteso sia oggetto di specifica allegazione e di prova, dovendo necessariamente consistere in un profilo consequenziale rispetto al fatto dannoso denunciato (non potendo esaurirsi nella figura del c.d. danno-evento, ossia in re ipsa) (Cass., sez. III, ord. 10 luglio 2023, n. 19551; Cass., sez. III, 13 ottobre 2016, n. 20643; Cass., sez. III, ord. 18 novembre 2022, n. 34026).

Nel caso all’esame, sul punto, giova sottolineare come nella specie il Tribunale ha avuto cura di evidenziare che la divulgazione di informazioni in violazione degli obblighi di riservatezza e di privacy avvenuta in modo illegittimo (in particolare, circa gli aspetti inerenti allo stato di salute e alla vita sessuale della odierna parte ricorrente, nonché alle prestazioni sanitarie cui era stata sottoposta, e alle coordinate bancarie del coniuge su cui accreditare il rimborso ottenuto) determinò l’odierna azienda controricorrente a provvedere in un tempo brevissimo (nelle ore immediatamente successive alla pubblicazione) ad oscurare i dati sensibili presenti nel testo diffuso.

Di conseguenza, il Tribunale ha correttamente considerato il complesso degli elementi istruttori documentali e testimoniali acquisiti ed è pervenuto alla quantificazione e liquidazione del danno in via equitativa, in modo unitario e omnicomprensivo e proporzionato al danno di natura non patrimoniale subìto in concreto dalla parte ricorrente.

Per tale motivo, il ricorso è inammissibile.

PRECEDENTI GIURISPRUDENZIALI:

-Conformi:  Cass., sez. III, 31 gennaio 2019, n. 2788; Cass., sez. III, 21 luglio 2017, n. 21939; Cass., sez. III, ord. 10 luglio 2023, n. 19551; Cass., sez. III, 13 ottobre 2016, n. 20643; Cass., sez. III, ord. 18 novembre 2022, n. 34026

-Difformi:   Cass., sez. III, 27 dicembre 2014, n. 1608

*Contributo in tema di “Violazione del diritto alla riservatezza e risarcimento del danno”, a cura di Manuel Mazzamurro e Incoronata Monopoli, estratto da Obiettivo Magistrato n. 75 / Giugno 2024 – La guida per affrontare il concorso – Dike Giuridica

metadati mail lavoratori garante

Mail lavoratori: le indicazioni del Garante Il Garante Privacy aggiorna il documento sul trattamento dei metadati degli account e-mail utilizzati dei dipendenti

Metadati e-mail lavoratori: il provvedimento del Garante Privacy

Con il provvedimento n. 364 del 6 giugno 2024 il Garante Privacy ha provveduto ad aggiornare il documento “programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”. Questo documento, che costituisce l’allegato 1 del provvedimento 3634, ne costituisce parte integrante.

Definizione e tempi conservazione metadati

Il provvedimento si occupa in particolare della definizione dei meta dati e della durata di conservazione dei meta dati degli account di posta elettronica utilizzati dei dipendenti. Questo perché c’è il rischio che i programmi di servizi informatici per la gestione della posta elettronica, anche in modalità cloud, possano procedere alla raccolta preventiva e generalizzata, per impostazione predefinita, dei meta dati degli account.

Cosa sono i metadati

I metadati a cui si riferisce il provvedimento sono informazioni registrate nei log che vengono generati dai sistemi server che gestiscono lo smistamento della posta elettronica e delle postazioni relative alle interazioni tra i server interagenti e tra questi ultimi e i client. Ne costituiscono un esempio gli indirizzi email di mittente e destinatario, gli indirizzi IP dei server o dei client, gli orari  di invio, di trasmissione, ritrasmissione e ricezione, la dimensione dei messaggi e gli allegati.

I metadati di cui si occupa il provvedimento non vanno confusi con il contenuto del messaggio di posta elettronica. Questi dati infatti restano a disposizione dell’utente lavoratore. In relazione al contenuto testuale della e-mail pertanto non sono previsti nuovi adempimenti o responsabilità a carico del titolare del trattamento.

Conservazione dei metadati

Detto questo, il Garante della Privacy fornisce le informazioni necessarie ai datori di lavoro per consentire il funzionamento corretto e l’utilizzo regolare della posta elettronica, comprese le garanzie necessarie di sicurezza informatica.

In particolare,  quanto riguarda la disciplina dei controlli a distanza precisa il Garante precisa che lattività di raccolta e conservazione dei soli mercati/log necessari ad assicurare il funzionamento delle infrastrutture del sistema della posta elettronica, allesito di valutazioni tecniche nel rispetto del principio di responsabilizzazione, si ritiene che possa essere effettuata, di norma, per un periodo limitato a pochi giorni; a titolo orientativo, tale conservazione non dovrebbe comunque superare i 21 giorni… Eventuale conservazione per un termine ancora più ampio e sì potrà essere effettuata, solo in presenza di particolari condizioni che ne rendano necessario lestensione, comprovando adeguatamente (…) le specificità della realtà tecnica e organizzativa del titolare. Spetta in ogni caso il titolare adottare tutte le misure tecniche organizzative per assicurare il rispetto del principio di limitazione della finalità, laccessibilità selettiva da parte dei soli soggetti autorizzati e adeguatamente istruiti e la tracciatura degli accessi effettuati”.  

Responsabilità dei datori di lavoro

Sulle eventuali responsabilità dei datori di lavoro  il Garante ricorda che la raccolta generalizzata e la conservazione dei meta dati che si riferiscono all’utilizzo della posta elettronica da parte dei dipendenti, per lunghi periodi di tempo, in mancanza di idonei requisiti giuridici, può consentire al datore di lavoro di acquisire informazioni personali e relativi alle opinioni del dipendente che non rilevano per valutarne l’attitudine professionale.

I titolari dei trattamenti sono tenuti ad effettuare la raccolta e la conservazione dei log nel rispetto dei principi di correttezza e di trasparenza. I lavoratori pertanto devono essere adeguatamente informati sul trattamento dei loro dati se si riferiscono a comunicazione elettroniche che li riguardano. A tal fine gli stessi devono essere resi edotti delle caratteristiche del trattamento, con particolare riguardo alla durata della conservazione dei dati e ad eventuali controlli.

I tempi di conservazione dei meta dati devono essere proporzionati alle finalità da perseguire. La mancata definizione in misura proporzionale dei tempi di conservazione comportano la violazione del principio di limitazione della conservazione, contemplato dall’articolo 5 del GDPR.

I datori di lavoro pubblici e privati per evitare responsabilità amministrative e penali devono quindi adottare tutti gli accorgimenti necessari per conformare i trattamento dei dati dei dipendenti alla disciplina di protezione dei dati e a quella di settore. Il datore di lavoro è tenuto quindi, in relazione ai servizi forniti in modalità cloud o as a service, a rispettare la normativa di protezione dei dati personali anche con riferimento al periodo di conservazione dei metadati.

Allegati