Articoli

Telemarketing e Pubblicità nel mirino del Garante: prime maxi sanzioni per violazione del GDPR

Prime maxi sanzioni del Garante italiano: la conformità al GDPR non è regola derogabile

 

Il 2019 ha rappresentato un anno di profonda rivoluzione per la protezione dati personali. Esaurito il periodo di “tolleranza”, anche il Garante italiano per la protezione dati ha provveduto ad emanare i primi provvedimenti sanzionatori.

Le prime due maxi sanzioni sono state applicate nei confronti di Eni Gas e Luce (Egl), per complessivi 11,5 milioni di euro. Le condotte illecite censurate riguardavano, rispettivamente:

  • trattamenti illeciti di dati personali nell’ambito di attività promozionali (telemarketing e teleselling) ;
  • trattamenti illeciti di dati personali, convergenti nell’attivazione di contratti non richiesti.

Le violazioni accertate hanno dimostrato una grave inosservanza dei principi e delle regole comportamentali richieste dal GDPR.

In particolare, si evidenziano:

  • attività pubblicitaria telefonica, effettuata senza il consenso della persona contattata;
  • perpetuata attività pubblicitaria, sebbene fosse stato manifestato il diniego dell’interessato a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni;
  • l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti;
  • tempi di conservazione dei dati superiori a quelli consentiti;
  • l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.

 

Il Garante italiano ha, dunque, rilevato le irregolarità, ingiungendo a Egl l’adozione di una serie di misure correttive e l’introduzione di specifici alert in grado di individuare varie anomalie procedurali.

Le sanzioni sono state determinate tenendo conto dei parametri indicati nel GDPR, tra i quali figurano:

  • l’ampia platea dei soggetti coinvolti (almeno 7200 soggetti interessati);
  • la pervasività delle condotte;
  • la durata della violazione;
  • le condizioni economiche di Egl.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Ex dipendente, il Garante dispone: è illecito mantenere attivo l’account aziendale

Account aziendale dell’ex dipendente: il datore può accedere?

 

La protezione dei dati personali del dipendente deve essere assicurata anche in caso di cessazione del rapporto di lavoro. Questo è il principio espresso dal Garante per la protezione dati in un suo recente parere.

Nel caso di specie, una società aveva mantenuto attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro, accedendo alle mail aziendali contenute nella sua casella di posta elettronica. L’ex dipendente era venuto a conoscenza di questa condotta per caso, nel corso di un giudizio promosso nei suoi confronti proprio dalla sua ex azienda: quest’ultima, in particolare, aveva depositato agli atti una email recapitata sulla sua casella di posta un anno dopo la cessazione del rapporto lavorativo. L’account di posta era rimasto così attivo per oltre un anno e mezzo, e la sua eliminazione è avvenuta solo dopo la diffida presentata dal lavoratore nei confronti dell’azienda. L’ex dipendente ha, inoltre, proposto reclamo al Garante, giacché per tale periodo la società aveva avuto accesso a tutte le comunicazioni contenute nel proprio account, anche estranee all’attività lavorativa.

Secondo il Garante, grava sul datore di lavoro l’obbligo, in conformità ai principi in materia di protezione dei dati personali, di rimuove gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili dopo la cessazione del rapporto di lavoro, in un tempo ragionevole parametrato ai tempi tecnici di predisposizione delle misure.

È onore del datore di lavoro, inoltre:

  • provvedere alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento;
  • predisporre misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;

L’adozione di tali misure tecnologiche ed organizzative consente, secondo il Garante, di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi.

 

 

Come operare correttamente? I percorsi formativi e i servizi di consulenza offerti da Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Si suggerisce:

 

 

Ulteriori informazioni sono disponibili qui.

 

/da

Obiettivo Data Protection Officer: Hedya presenta i percorsi formativi più adeguati

Chi è il Data Protection Officer?

 

Con l’entrata in vigore del nuovo Regolamento 2016/679/Ue (articoli 37 – 39) è stata introdotta, per tutti gli Stati membri, la figura del Data Protection Officer. Si tratta di una figura che richiama il cd. “Privacy Officer”, precedentemente previsto dall’articolo 18 della direttiva europea 1995/46/Ce, che istituiva semplificazioni o agevolazioni in caso di designazione di un soggetto indipendente, teso a garantire l’applicazione della normativa.

Pertanto, la codificazione della figura del Data Protection Officer (in seguito “DPO”) ha acquisito un’indiscussa centralità e dirompenza, tanto a livello statuale, quanto a livello europeo:

  • le comunicazioni dei dati di contatto dei responsabili della protezione dei dati siano state più di 48mila.
  • secondo uno studio condotto dall’IAPP (International Association of Privacy Professionals), il numero delle nomine a livello europeo supererebbe le soglie delle 500 mila unità.

 

Il DPO è dunque un soggetto indipendente, che non sostituisce, ma affianca il titolare o il responsabile del trattamento nella corretta gestione del trattamento dei dati personali.

La funzione del DPO è nettamente distinta da quelle del Titolare del trattamento:

  • spetta al Titolare la determinazione delle modalità e finalità del trattamento, oltre che all’ottemperanza degli adempimenti (come, ad esempio, il registro dei trattamenti);
  • il DPO assolve, ai sensi dell’articolo 39 GDPR, una funzione controllo e monitoraggio degli adempimenti e del rispetto delle prescrizioni previste dal Regolamento, ad esempio per l’esecuzione della valutazione d’impatto, la definizione del registro dei trattamenti, o la gestione delle terze parti.

Quale formazione?

 

Il DPO non richiede, tra i requisiti, il necessario possesso di certificazioni. L’articolo 37 del GDPR non fornisce un elenco analitico delle qualità professionali che dovrebbero essere considerate al momento della designazione del DPO. Pertanto, come affermato nella pronuncia del TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287  la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati.

Il Garante privacy ha specificato che è opportuno privilegiare i soggetti in possesso di approfondita conoscenza:

  • della normativa e delle prassi in materia di privacy nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento;
  • dei rischi propri di ciascun trattamento dati e delle più appropriate misure di sicurezza;

Inoltre, il DPO deve possedere evidenti e concrete qualità professionali e gestionali, adeguate alla complessità del compito da svolgere, che possono essere supportate da esperienze formative.

 

Per tali motivi, Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Installazione cookie: la Corte di giustizia “detta” nuove regole

I cookie sotto la lente del GDPR

Come osservato nel precedente articolo, i cookie sono informazioni immesse sul browser ogniqualvolta si compia un’operazione in rete. Si pensi, ad esempio, alla navigazione in rete e visita di un sito web, oppure all’utilizzo di un social network dal proprio pc, smartphone tablet.

Dal punto di vista informativo, ogni cookie può contenere diversi dati, imponendo in tal caso il rispetto dei principi sulla protezione dati.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR), sono stati rafforzati i requisiti sulla validità del consenso: come risulta dall’art. 7 comma 1 del GDPR e del Considerando 32 il consenso dovrà essere espresso mediante un atto positivo con cui l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano.

Di conseguenza, per poter essere validamente conferito, l’interessato:

  • deve essere in grado di intendere quali trattamenti verranno effettuati;
  • può decidere liberamente se accettare o meno (senza alcuna conseguenza negativa) il trattamento indicato;
  • può modificare la propria scelta in maniera altrettanto libera e agevole.

 

Quale consenso? La Corte di giustizia dell’Unione europea detta le regole

 

Alla luce delle novità introdotte dal GDPR, l’aspetto più problematico riguarda le modalità di prestazione del consenso per l’installazione dei cookies.

Il quesito è stato sottoposto alla Corte di giustizia dell’Unione europea, per ottenere un’interpretazione uniforme sull’intero territorio dell’Unione europea.

Con la sentenza emanata lo scorso 1 Ottobre, la Corte ha dichiarato che il consenso che l’utente di un sito Internet deve prestare ai fini dell’installazione e della consultazione di cookie sulla sua apparecchiatura terminale non è validamente espresso mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso.

La Corte ha dunque affermato che:

  • il consenso deve essere specifico;
  • il fatto che un utente attivi il pulsante di partecipazione ad un gioco a premi non è sufficiente per ritenere che l’utente abbia validamente espresso il proprio consenso all’installazione di cookie;
  • il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie rientrano tra le informazioni che il fornitore di servizi deve comunicare all’utente.

 

Quali conseguenze ?

La recente sentenza della Corte di giustizia dimostra che per poter operare correttamente sul web, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR. Si suggerisce:

 

/da

Un anno di GDPR in Italia: l’importanza della formazione come vantaggio competitivo

corso-gdpr

Cosa cambia?

L’introduzione del Regolamento europeo sulla protezione dati personali n. 679/2016/UE (“GDPR”) ha portato all’abrogazione della Direttiva 95/46/CE, che per più di venti anni ha rappresentato la pietra angolare della normativa europea in materia di protezione dei dati personali. Con il GDPR, in particolare, la protezione dei dati personali si è affermata quale presupposto necessario e indefettibile da osservare nell’ambito di tutte le operazioni di trattamento dati, effettuate:

  • non solo da operatori privati,
  • ma anche per quelle compiute dalla Pubblica Amministrazione nell’esercizio della propria attività.

 

Dal punto di vista operativo, inoltre, ciò si è tradotto nella necessità di adeguare l’impianto organizzativo italiano al nuovo approccio adottato dal legislatore dell’Unione, basato sul rispetto del principio dell’accountability e della privacy by design e by default.

L’avvento del GDPR segna così l’inizio di un vero e proprio percorso di conformità del trattamento dati per gli operatori pubblici e privati, orientato alla protezione dei dati per garantire i diritti dell’interessato.

Tale percorso non si esaurisce nella predisposizione di adeguate misure tecniche ed organizzative, ma richiede altresì un percorso di formazione adeguato per evitare provvedimenti sanzionatori da parte dell’Autorità di controllo.

Il GDPR presta molta attenzione agli obblighi formativi. Essi sono previsti, in particolare, dall’articolo 39, paragrafo 1, lett. b), il quale attribuisce, tra i compiti del Data Protection Officer, quello di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”. A tal fine il DPO può concordare con il Titolare e il Responsabile del Trattamento un piano per la formazione in materia di privacy, che preveda corsi periodici per personale e, più in generale, per tutti i collaboratori.

 

Perché optare per una corretta formazione?

 

A distanza di almeno un anno dalla piena entrata in vigore del GDPR, tuttavia, i risultati conseguiti in Italia non risultano soddisfacenti:

  • secondo l’Eurobarometro diffuso dalla Commissione europeai cittadini italiani figurano al penultimo posto per conoscenza dell’esistenza di una normativa in materia di protezione dati;
  • già a Settembre 2018, a distanza di soli 4 mesi dall’entrata in vigore del nuovo regolamento,le segnalazioni e i reclami pervenuti al Garante Privacy sono stati 2.547, a fronte dei 1.795 pervenuti nello stesso periodo dello scorso anno, mentre le segnalazioni di Data breach sono state 305;
  • oltre 89.000 notifiche di violazione dei dati sono state segnalate da maggio 2018, provenienti da organizzazioni sia pubbliche che private.

 

Una corretta formazione si propone, dunque, come condizione imprescindibile.  Il GDPR, tuttavia, non specifica le modalità e contenuti, richiedendo soltanto che la stessa risulti efficace.

 

Cosa fare?

Si suggeriscono, in relazione alle differenti esigenze formative, alcuni percorsi caratterizzanti:

  • Formazione breve: consente ai partecipanti di ottenere un’adeguata formazione in materia di gestione dei dati personali. Tale percorso risulta particolarmente rilevante per il settore pubblico, ove l’obbligo di formazione per le Pubbliche Amministrazioni le imprese in materia di protezione dei dati personaliper tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).
  • Formazione avanzata: fornisce ai partecipanti, che hanno già acquisito le conoscenze di base di natura giuridica e organizzativa, le nozioni pratico-applicative di base per lo svolgimento effettivo delle attività. Tale percorso è particolarmente utile per le attività che competono al Responsabile per la protezione dei dati personali (Data Protection Officer o DPO), proponendosi come approfondimento – in chiave tecnica – delle conoscenze di base già acquisite in precedenza.
/da

Elementi di portfolio

Optimization WordPress Plugins & Solutions by W3 EDGE