AltroConsumo · 2017. 10. 23. · 3. Il trattamento di dati personali effettuato da persone fisiche...

Prof. Vincenzo Franceschelli

AltroConsumo 20 ottobre 2017

-PolicyPrivacy e protezione dei

dati personali del consumatore -



[email protected]


Art. 1. Diritto alla protezione dei dati

personali

Chiunque ha diritto alla

protezione dei dati

personali che lo

riguardano.


Garante per la

protezione dei

dati personali


Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675) - che ha attuato nell'ordinamento giuridico italiano la direttiva comunitaria 95/46/CE - e oggi disciplinata dal Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003 n. 196).


Il Garante si occupa di

tutti gli ambiti, pubblici

e privati, nei quali

occorre assicurare il

corretto trattamento

dei dati e il rispetto dei

diritti delle persone

connessi all'utilizzo

delle informazioni

personali.


GENERAL

CONCEPTS


1891 Samuel D. Warren;

Louis D. Brandeis

The Right to

Privacy,

Harvard Law

Review, Vol. 4, No.

5. (Dec. 15, 1890),

pp. 193-220.


THAT the individual

shall have full

protection in person

and in property is a

principle as old as the

common law; but it

has been found

necessary from time to

time to define anew

the exact nature and

extent of such

protection ……


1949

First British Edition,

1949


1973

Elaboratori

elettronici e

controllo

sociale

Stefano Rodotà

Il mulino, 1973


1980


1983 Time Magazine

indica il

computer

come «uomo

dell’anno»


1997


Nel marzo 1997 è

stato eletto

Presidente

dell'organo

collegiale del

Garante per la

protezione dei dati

personali, carica

che ha mantenuto

fino al 2005.


2017


–Ecosistema

digitale-


Come

comunicavamo in

passato?


Let’s start with a

question:

How do we

communicate in

the present

world????


Circa un terzo della popolazione mondiale

usa attivamente ogni giorno i Social Network We Are Social, 2016

L'importanza dei Social Network…. un po' di numeri


| 22 Hogan Lovells

• il 76% di utenti web ha almeno 1 account social

• 109 minuti al giorno sui social

• 1/5 del tempo online è sui

social

L'importanza dei Social Networks…. un po' di numeri


• L'80% delle aziende investe sulle strategie di marketing sui social

• Entro il 2020, il 24% del budget totale per le attività di marketing sarà destinato alle piattaforme Social

L’importanza che i Social Media hanno

per la brand awareness


Cos’è un #?


Regolazione


Le FONTI

• Convenzione di Strasburgo (Convenzione del Consiglio d’Europa del 28 gennaio 1981 per la protezione delle persone in relazione all’elaborazione automatica dei dati personali)

• Direttiva CE n. 46 del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali

• Legge 31 dicembre 1996 n. 675

• Codice in materia di protezione dei dati personali, di cui al D.L. 30 giugno 2003 n. 196


Convenzione del Consiglio di Europa

del 28 gennaio 1981 (Convenzione di

Strasburgo)

• Scopo della Convenzione è garantire ad

ogni persona fisica il rispetto dei suoi

diritti e delle sue libertà fondamentali, e

in particolare del diritto alla vita privata,

in relazione all’elaborazione automatica

dei dati a carattere personale che la

riguardano


D I R E T T I V A C E del Parlamento Europeo

e del Consiglio

24 ottobre 1995 n. 46 relativa alla tutela delle

persone fisiche con riguardo

al trattamento dei dati personali,

nonché alla libera

circolazione di tali dati


LEGGE

31 DICEMBRE

1996 N. 675

TUTELA DELLE PERSONE

E DI ALTRI SOGGETTI

RISPETTO AL TRATTAMENTO DEI

DATI PERSONALI


“CODICE IN MATERIA DI

PROTEZIONE DEI DATI

PERSONALI”

decreto legislativo n. 196 del

30 giugno 2003


“Codice in materia di protezione dei dati personali”

• Entrato in vigore il 1 gennaio 2004

• Il Codice riunisce in unico contesto la legge

675/1996 e gli altri decreti legislativi,

regolamenti e codici deontologici che si sono

succeduti in questi anni, e contiene anche

importanti innovazioni tenendo conto della

“giurisprudenza” del Garante e della direttiva

Ue 2000/58 sulla riservatezza nelle

comunicazioni elettroniche


Il Codice è diviso in tre parti

• la prima è dedicata alle disposizioni generali, riordinate in modo tale da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato;

• la seconda è la parte speciale dedicata a specifici settori.

• la terza affronta la materia delle tutele amministrative e giurisdizionali con il consolidamento delle sanzioni amministrative e penali e con le disposizioni relative all’Ufficio del Garante.


La tutela della riservatezza nell’ambito della nuova disciplina

• La Parte I contiene i principi generali, con le finalità (art. 1 e 2),

• le definizioni (art. 4);

• i diritti dell’interessato (Titolo II),

• le regole generali per il trattamento dei dati (Titolo III);

• i principi in materia di sicurezza (Titolo V);

• l’ambito di applicazione (art.5, e Titolo VII);

• il trattamento di dati per fini esclusivamente personali (art.5, ultimo comma);

• l’estensione della disciplina al trattamento di dati svolto senza l’ausilio di mezzi elettronici (art. 35).



• La Parte II raccoglie le disposizioni relative a specifici settori (ambito giudiziario; forze di polizia, difesa e sicurezza dello stato; trattamenti in ambito pubblico; ambito sanitario; istruzione; scopi storici, statistici o scientifici; lavoro e previdenza sociale; sistema bancario, finanziario ed assicurativo; comunicazioni elettroniche; libere professioni; investigazione privata; giornalismo; opere letterarie ed artistiche; marketing.



• La Parte III tratta della tutela

dell’interessato, sia dinanzi al Garante

che in relazione alla tutela

giurisdizionale.

• La IV ed ultima Parte raccoglie le

disposizioni modificative, abrogative,

transitorie e finali.


Il Codice


Art. 1. Diritto alla protezione dei dati

personali

Chiunque ha diritto alla

protezione dei dati

personali che lo

riguardano.


Art. 2

(FINALITÀ)

• 1. Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle liberta' fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità' personale e al diritto alla protezione dei dati personali.

• 2. Il trattamento dei dati personali e' disciplinato assicurando un elevato livello di tutela dei diritti e delle liberta' di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalita' previste per il loro esercizio da parte degli interessati, nonché per l'adempimento degli obblighi da parte dei titolari del trattamento.


AMBITO

DI

APPLIC

AZIONE


Ambito di applicazione (art.5)

• la legge si applica al

trattamento dei dati personali

da chiunque effettuato nel

territorio dello Stato anche

se i dati personali sono

detenuti all’estero (art. 5).


2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il

trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. In caso

di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell'applicazione della disciplina sul

trattamento dei dati personali.


3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una

comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.


DIRITTI

DELL’INTERESSATO


DIRITTO DI

ACCESSO

(art.7)


Art. 7. Diritto di accesso ai dati

personali ed altri diritti

1. L'interessato ha diritto di ottenere la

conferma dell'esistenza o meno di dati

personali che lo riguardano, anche se non

ancora registrati, e la loro comunicazione

in forma intelligibile


2. L'interessato ha diritto di ottenere l'indicazione:

a) dell'origine dei dati personali;

b) delle finalità e modalità del trattamento;

c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;

d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;

e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante

designato nel territorio dello Stato, di responsabili o incaricati.


3. L'interessato ha diritto di ottenere:

a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;

b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione

in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati

sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato

rispetto al diritto tutelato.


4. L'interessato ha diritto di opporsi, in tutto

o in parte:

a) per motivi legittimi al trattamento dei dati

personali che lo riguardano, ancorché

pertinenti allo scopo della raccolta;

b) al trattamento di dati personali che lo

riguardano a fini di invio di materiale

pubblicitario o di vendita diretta o per il

compimento di ricerche di mercato o di

comunicazione commerciale.


Esercizio

dei DIRITTI

(art.8)


Art. 8. Esercizio dei diritti

1. I diritti di cui all'articolo 7 sono esercitati

con richiesta rivolta senza formalità al

titolare o al responsabile, anche per il

tramite di un incaricato, alla quale è fornito

idoneo riscontro

senza ritardo.


2. I diritti di cui all'articolo 7 non possono essere esercitati con richiesta al titolare o al responsabile o con ricorso ai sensi dell'articolo 145, se i trattamenti di dati personali sono

effettuati:

a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di

riciclaggio;

b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive

modificazioni, in materia di sostegno alle vittime di richieste estorsive;

c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione;

d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria

e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;

e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento

delle investigazioni difensive o per l'esercizio del diritto in sede giudiziaria;

f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne un

pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397;

g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogoverno o il Ministero

della giustizia;

h) ai sensi dell'articolo 53, fermo restando quanto previsto dalla legge 1 aprile 1981, n. 121.


Modalità di

Esercizio

(art.9/10)


Art. 9. Modalità di esercizio

1. La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante può individuare altro idoneo

sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta può essere formulata anche oralmente e in

tal caso è annotata sinteticamente a cura dell'incaricato o del responsabile.


Art. 10. Riscontro all'interessato

1. Per garantire l'effettivo esercizio dei diritti di cui all'articolo 7 il titolare del trattamento è tenuto ad adottare idonee misure volte, in particolare:

a) ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi programmi per elaboratore finalizzati ad un'accurata selezione dei dati che

riguardano singoli interessati identificati o identificabili;

b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con il pubblico.


DIRITTI

DELL’INTERESSATO

INFORMATIVA


Art. 13. Informativa 1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o

incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.


3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.

4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della

registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.


5-bis. L'informativa di cui al comma 1 non è

dovuta in caso di ricezione di curricula

spontaneamente trasmessi dagli interessati

ai fini dell'eventuale instaurazione di un

rapporto di lavoro. Al momento del primo

contatto successivo all'invio del curriculum,

il titolare è tenuto a fornire all'interessato,

anche oralmente, una informativa breve

contenente almeno gli elementi di cui al

comma 1, lettere a), d) ed f).


MODALITA’ DI

TRATTAMENTO


Art. 11. Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono:

a) trattati in modo lecito e secondo correttezza;

b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

c) esatti e, se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;

e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.


Cessazione

del

trattamento


Art. 16. Cessazione del trattamento 1. In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:

a) distrutti;

b) ceduti ad altro titolare, purchè destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;

c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;

d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12.

2. La cessione dei dati in violazione di quanto previsto dal comma 1, lettera b), o di altre disposizioni rilevanti in materia di trattamento dei dati personali è priva di effetti.


Responsabilità

per danni

Prof. Vincenzo Franceschelli Art. 15

(Danni cagionati per effetto del

trattamento)

• 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali e' tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.

• 2. Il danno non patrimoniale e' risarcibile anche in caso di violazione dell'articolo 11.


• La fattispecie richiamata è quella della responsabilità per esercizio di attività pericolose di cui all’art. 2050.

• Si opera, in sostanza, l’inversione dell’onere della prova cosicché l’interessato, per ottenere il risarcimento, dovrà provare il trattamento e il danno, ma non il dolo o la colpa.

• Secondo i principi, resta, ovviamente, a carico del danneggiato di provare l’esistenza di un nesso causale tra il trattamento e l’evento dannoso. Sarà il titolare del trattamento che, per evitare il risarcimento del danno, dovrà provare di avere adottato tutte le misure idonee ad evitarlo.


Sicurezza


Sicurezza dei dati e dei sistemi.

Responsabilità per danni derivanti

dal trattamento

• I dati personali oggetto di trattamento

devono, ai sensi dell’art. 31, essere

custoditi e controllati.

• Custoditi, per impedire che un terzo vi

acceda;

• controllati, per preservarne la veridicità.


Art. 31. Obblighi di sicurezza

1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.


Art. 33. Misure minime

1. Nel quadro dei più generali obblighi di

sicurezza di cui all'articolo 31, o previsti da

speciali disposizioni, i titolari del

trattamento sono comunque tenuti ad

adottare le misure minime individuate nel

presente capo o ai sensi dell'articolo 58,

comma 3, volte ad assicurare un livello

minimo di protezione dei dati personali.


Trattamento

con o senza

sistemi

elettronici


Art. 34. Trattamenti con strumenti elettronici 1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le

seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività

organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e recontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro


Art. 35. Trattamenti senza l'ausilio di strumenti elettronici 1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato

B), le seguenti misure minime:

a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.


Trattamenti

particolari:

Soggetti

pubblici –

polizia


Trattamento da parte di soggetti

pubblici

• Il Codice fissa particolari

regole per il trattamento di

dati da parte di soggetti

pubblici (Capo II della Parte

I, art. da 18 a 22)


TITOLO II

TRATTAMENTI DA PARTE DI

FORZE DI POLIZIA

• . Al trattamento di dati personali effettuato dal Centro elaborazione dati del Dipartimento di pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi in base alla legge, ovvero da organi di pubblica sicurezza o altri soggetti pubblici per finalita' di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati, effettuati in base ad espressa disposizione di legge che preveda specificamente il trattamento,


TITOLO II

TRATTAMENTI DA PARTE DI

FORZE DI POLIZIA

• non si applicano le seguenti disposizioni

del codice:

a) articoli 9, 10, 12, 13 e 16, da 18 a 22,

37, 38, commi da 1 a 5, e da 39 a 45;

b) articoli da 145 a 151.


Privacy e

consumatori

Il caso delle

telefonate

indesiderate


Cosa dice il Garante? Marketing e privacy: imprese avvertite, consumatori tutelati

Le regole del Garante per offerte commerciali a prova di privacy

«A chi può chiedere aiuto un utente esasperato dalle telefonate indesiderate? Si può monitorare il comportamento di un consumatore on-line? Come evitare che una promozione commerciale si trasformi in un boomerang per l'immagine di un'impresa? Quali sono le regole che deve rispettare un'azienda per contattare i potenziali clienti sui social network?»


COS’È IL REGISTRO PUBBLICO DELLE OPPOSIZIONI (RPO)?

È un registro istituito a tutela degli abbonati telefonici che non vogliono ricevere chiamate pubblicitarie, ma che al tempo stesso desiderano rimanere sugli elenchi telefonici ed essere reperibili per le comunicazioni interpersonali. Iscrivendosi al Regi stro un abbonato esercita il diritto “ad opporsi al trattamento” dei suoi dati personali a fini promozionali previsto dal Codice della privacy.

Deve essere l’utente a

iscriversi nel

Registro Pubblico

delle Opposizioni

nel caso non desideri

essere disturbato.


CHI PUÒ ISCRIVERSI

AL REGISTRO?

Al Registro (RPO) può

iscriversi solo

l’intestatario di

un’utenza (fissa o

mobile, privata o

aziendale) pubblicata

negli elenchi telefonici.

L’iscrizione al Registro

è gratuita.


VII Privacy e

consumatori

Internet e i

cookie


SE UN SITO INTERNET UTILIZZA DEI COOKIE, DEVE AVVISARE L’UTENTE?

Sì. Le società che fanno uso di cookie per profilare l’utente, per attività di marketing o di profilazione,

devono avvisare l’utente che accede al proprio sito.

In particolare, quando un navigatore accede alla home page o ad un’altra pagina di un sito web deve immediatamente veder comparire un banner ben

visibile, in cui sia indicato chiaramente se viene fatto uso di cookie per monitorare l’utente e per inviargli pubblicità mirata e se tali dati vengono condivisi con altri soggetti.

L’UTENTE PUÒ RIFIUTARE L’INSTALLAZIONE DI UN COOKIE DI PROFILAZIONE ?

Sì. Il breve avviso (banner) del sito deve riportare anche un link che indirizzi a una informativa più ampia sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione.

Deve anche riportare l’indicazione che, proseguendo nella navigazione (ad esempio accedendo ad un’altra area del sito o selezionando un’immagine o un link), l’utente presta il consenso all’uso dei cookie.


VIII Privacy e

consumatori

Internet, cookie

e spam Una decisione del

Garante


Trattamento per

finalità di marketing di

dati personali raccolti

mediante un sito web -

20 luglio 2017

Registro dei

provvedimenti

n. 324 del 20 luglio

2017

Shopping on line: acquisti in rete liberi dallo spam

Il Garante vieta a una società di utilizzare una banca dati per l'invio di pubblicità indesiderata

Gli utenti devono poter navigare liberamente su siti di e-commerce senza essere obbligati a rilasciare il consenso per usare i loro dati personali per finalità di marketing.


Questa la decisione del Garante della privacy [doc. web n. 6955363] presa in seguito alla segnalazione di alcuni utenti che si lamentavano per la ricezione di pubblicità indesiderata da parte di una società di shopping on line e per il mancato rispetto del diritto di opposizione al trattamento dei loro dati.

Dai riscontri raccolti dall'Autorità, anche grazie all'attività ispettiva effettuata in collaborazione con il Nucleo Speciale Privacy della Guardia di finanza, è emerso che gli utenti che desideravano accedere alle sezioni del sito web gestito dalla società di e-commerce, ed eventualmente acquistare i prodotti in vetrina, erano prima obbligati a registrarsi e ad accettare (barrando un'apposita casella) i termini e le condizioni e la privacy policy del sito.

Con l'adesione alla policy, con un unico click, l'utente acconsentiva che i propri dati venissero utilizzati non solo per le finalità connesse ai servizi offerti on line, ma anche per finalità di promozione commerciale, sia della società stessa sia dei suoi partner commerciali.

Una mole ingente di indirizzi e-mail e altri dati raccolti in questo modo venivano dunque registrati in una banca dati per l'invio di pubblicità non richiesta.


Nel provvedimento, il Garante ha ricordato che il consenso per il trattamento dei dati personali, per essere valido, non deve essere condizionato, ma libero e specifico, oltre che acquisito prima dell'invio di comunicazioni promozionali. Non si può quindi obbligare una persona a ricevere pubblicità solo per avere accesso alla "vetrina online" di un sito.

I dati richiesti dalla società in fase di registrazione, tra l'altro, spesso non erano necessari per la navigazione nel sito e neppure per l'acquisto dei prodotti reclamizzati, in violazione dei principi di minimizzazione e di necessità previsti dal Codice della privacy.

Il Garante ha quindi vietato alla società di utilizzare per attività di marketing i dati personali raccolti.

Il Nucleo Speciale Privacy ha già attivato un autonomo procedimento sanzionatorio relativo alla violazione accertata.


TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. b) e c), 144, 154, comma 1, lett. c) e d) del Codice, vieta a Dalani s.r.l. l'ulteriore trattamento per finalità di marketing dei dati personali raccolti mediante il sito www.dalani.it, in violazione dei principi di minimizzazione dei dati personali, necessità e correttezza di cui agli artt. 3 e 11, comma 1, lett. d) ed a), del Codice, nonché in assenza di un previo consenso manifestato liberamente e specificamente ai sensi dell'art. 130, commi 1 e 2, del Codice (punti 3.1 e 3.2).

Ai sensi degli artt. 152 del Codice e 10, d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 20 luglio 2017


IX Privacy e

consumatori

L’ultima difesa


Le persone fisiche che

subiscono spam o

altre attività di

marketing indesiderato

possono rivolgersi al

Garante presentando

una

SEGNALAZIONE

(che può essere

inviata via e-mail

senza particolari

formalità).

Se intendono invece esercitare gli specifici diritti riconosciuti dal Codice della privacy (ad esempio diritto di accesso, di aggiornamento dei dati, di opposizione al trattamento), possono rivolgersi al titolare dei dati (cioè la società o altro soggetto che ha inviato il messaggio pubblicitario), anche avvalendosi del modello standard pubblicato sul sito www.garanteprivacy.it

In caso di mancato o inidoneo riscontro da parte del titolare dei dati, l’interessato può presentare

RICORSO

al Garante (seguendo le indicazioni riportate sul sito web dell’Autorità) o rivolgersi all’Autorità giudiziaria ordinaria


Un caso famoso

Il caso

Peppermint


• Peppermint cita in via d’urgenza la

Telecom Italia chiedendo l’ostensione

(si, l’ostensione) dei dati necessari

all’identificazione dei fruitori di brani

musicali in evasione dei diritti d’autore,

e vince.

• Vince cinque volte a Roma, con le

ordinanze 18 agosto 2006, 9 febbraio

2007, 5 aprile 2007, 20 aprile 2007 e 26

aprile 2007.


• La massima, più o meno eguale per le cinque ordinanze, recita:

• “Il titolare di diritti d’autore ha diritto d’ottenere in via d’urgenza ex art. 156 bis L.d.A. dal provider, in capo al quale sussiste la legittimazione passiva nel relativo procedimento, l’ostensione dei dati anagrafici degli assegnatari di indirizzi IP che sulla base dei dati raccolti in Rete appaiono autori di condotte illecite attraverso piattaforme di peer to peer.

• L’esercizio di tale diritto non è precluso dalla vigente disciplina in materia di privacy e trattamento dei dati personali. E’ applicabile alla fattispecie l’art. 24 del Codice Privacy che consente il trattamento dei dati personali senza il consenso dell’interessato quando sia necessario per far valere o difendere un diritto in sede giudiziaria.


• Nella controversia interviene il Garante per la protezione dei dati personali.

• In un Comunicato, il Garante afferma:

• Internet - Caso Peppermint: il Garante privacy si costituisce in giudizio

• Con riferimento alla vicenda degli utenti italiani, ai quali la società Peppermint ha chiesto un risarcimento danni per aver condiviso via Internet file musicali nei siti cosiddetti "peer to peer" (P2P), l'Autorità ha deciso di costituirsi in giudizio presso il Tribunale di Roma nelle cause intentate dalla Peppermint nei confronti di gestori telefonici allo scopo di identificare alcune migliaia di utenti.

• La decisione del Garante nasce dalla volontà di verificare se nella vicenda siano stati rispettati tutti i diritti di protezione dei dati personali.

• Nei mesi scorsi diversi utenti italiani che utilizzano sistemi di file sharing si sono visti recapitare, dopo che l'autorità giudiziaria aveva imposto ad alcuni gestori telefonici la comunicazione dei loro dati identificativi, raccomandate da parte della casa discografica Peppermint con richieste di risarcimento del danno per violazione del diritto d'autore.

• L'Autorità Garante ha inoltre deciso di richiedere a diverse società interessate e a gestori telefonici tutti gli elementi utili per una piena valutazione del caso.

• Roma, 18 maggio 2007


• L’intervento del Garante ha un ruolo decisivo nella decisione della controversia.

• Il Tribunale di Roma, melius re perpensa, muta avviso e, con decisione 14 luglio 2007, così decide:

• “Il titolare di diritti d’autore non ha diritto d’ottenere dal provider ex art. 156 bis L.d.A. l’ostensione dei dati anagrafici degli assegnatari di indirizzi IP che sulla base dei dati raccolti in Rete appaiono autori di condotte illecite attraverso piattaforme di peer to peer.


• Il Tribunale di Roma, melius re perpensa, muta avviso e, con decisione 14 luglio 2007, così decide:

• L’esercizio di tale diritto è precluso dalla vigente disciplina in materia di privacy e trattamento dei dati personali in base alla quale è illecita, in assenza di idonea informativa all’interessato, acquisizione del consenso e notifica al Garante per il trattamento dei dati personali, la raccolta di indirizzi IP. Conseguentemente, ex art. 11 Codice Privacy, devono ritenersi inutilizzabili nel procedimento di ostensione i dati raccolti, senza che sia invocabile l’art. 24 del Codice Privacy, inapplicabile alla fattispecie. In ogni caso sul diritto all’ostensione del titolare del diritto d’autore prevarrebbe il diritto alla privacy dell’utente.

AltroConsumo · 2017. 10. 23. · 3. Il trattamento di dati personali effettuato da persone fisiche...

Documents

Transcript of AltroConsumo · 2017. 10. 23. · 3. Il trattamento di dati personali effettuato da persone fisiche...