Il Garante della Privacy pubblica i provvedimenti in materia di trattamento di dati per i quali è stato chiesto un parere. In genere si tratta di situazioni particolari e per le quali il Regolamento europeo rimanda a disposizioni di carattere nazionale.
Di seguito riporto due problemi che ritengo di interesse pratico per la vostra azienda:
- Utilizzo di pop up nei siti web con il consenso incorporato
- Comunicazione di dati degli iscritti ai sindacati
Per qualsiasi ulteriore informazione, non esitate a scrivermi.
Marketing: stop al pop up nei siti web con il consenso incorporato
Il Garante ha vietato a una società che offre servizi di comparazione sul proprio sito web (mutui, assicurazioni, luce, gas, telefonia) il trattamento, per finalità di marketing e di vendita ad altre aziende, dei dati raccolti attraverso un pop up senza il necessario consenso degli utenti [doc. web n. 8995274].
L’intervento del Garante ha fatto seguito ad alcune segnalazioni, riguardanti - a seconda dei casi - comunicazioni promozionali indesiderate ricevute dalla stessa società per telefono o per email, oppure telefonate promozionali indesiderate, su utenze fisse e mobili, effettuate per conto di società dei settori energetico e delle telecomunicazioni.
Le verifiche ispettive svolte dall’Autorità , anche con l’ausilio del Nucleo speciale privacy della Guardia di Finanza, hanno accertato che il pop up non permetteva l’accesso ai servizi offerti se l’utente non accettava, con un unico consenso, il trattamento dei dati per diverse finalità (fra le quali il marketing o la comunicazione dei dati a terzi).
In caso di compilazione delle caselle di testo, ma di mancata spunta del consenso, infatti, il sito non acquisiva i dati inseriti e non consentiva di procedere con la richiesta. Perciò, anche se l’informativa faceva riferimento alle diverse finalità di trattamento di dati, non si consentiva agli utenti di esprimere, come prevede la normativa, consensi specifici e differenziati. Se la società vorrà ancora utilizzare il pop up per raccogliere i dati a scopo promozionale (o per altre finalità ) dovrà consentire all’utente di scegliere liberamente se e quali finalità autorizzare.
Nel disporre il divieto, il Garante ha ribadito che la raccolta e/o la conservazione di dati personali, effettuate in violazione dell’obbligo del consenso informato, rappresentano un illecito trattamento dei dati a prescindere dal loro ulteriore uso e ha affermato che i dati raccolti con il pop up possono essere utilizzati solo per l’esecuzione delle richieste degli utenti.
L’Autorità ha vietato anche il trattamento dei dati tratti da elenchi acquisiti da altre aziende e per i quali la società non è stata in grado di dimostrare di avere il consenso libero e specifico per il marketing né quello per la comunicazione ad altri soggetti per scopi promozionali.
Il Garante, inoltre, ha ordinato alla società di avvisare tutti i soggetti ai quali ha ceduto liste di dati personali che questi non possono essere utilizzati senza aver acquisito il necessario consenso per le proprie attività .
Per le violazioni riscontrate la società ha oblato le sanzioni amministrative già contestate dal Nucleo speciale privacy.
Per contrastare la circolazione di dati “viziati” ed ulteriori possibili trattamenti illeciti, come il telemarketing indesiderato, l’Autorità si è riservata di effettuare accertamenti anche nei confronti dei partner commerciali della società .
Lavoro, vanno protetti i dati degli iscritti ai sindacati
Il datore di lavoro non può comunicare ad una organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto. Per consentire al sindacato di espletare le procedure che seguono la revoca della affiliazione sindacale e della relativa delega, il datore di lavoro avrebbe dovuto limitarsi a comunicare la sola scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.
È quanto affermato dal Garante privacy a conclusione di un’istruttoria originata dai reclami di alcuni dipendenti di una Azienda socio-sanitaria territoriale che si erano rivolti all’Autorità affinché valutasse la correttezza del datore di lavoro nel trattamento dei loro dati sensibili, quale è l’appartenenza sindacale [doc. web n. 9065999].
A giustificazione del proprio comportamento l’Azienda ha affermato, tra l’altro, di aver ritenuto necessario informare la Rappresentanza sindacale della variazione per evitare il rischio che senza questa comunicazione l’organismo avrebbe continuato ad operare in una composizione non più aderente alla realtà , con inevitabili ricadute sulla validità della contrattazione aziendale.
Le informazioni sull’adesione sindacale rientrano nella categoria dei dati sensibili - ha osservato l’Autorità - ai quali la disciplina di protezione dei dati riconosce particolari forme di tutela. Il datore di lavoro può lecitamente trattarli in base alla legge per adempiere agli obblighi derivanti dal rapporto di lavoro, ad esempio per effettuare il versamento delle quote di iscrizione ad associazioni o organizzazioni sindacali su delega e per conto del dipendente.
In questo caso invece l’amministrazione non si è limitata a comunicare alla Rappresentanza sindacale la revoca dell’affiliazione di alcuni lavoratori, ma ha inviato a tutti i componenti della sigla sindacale una e-mail cui erano allegati dei documenti nei quali era espressamente indicata l’iscrizione dei lavoratori che avevano aderito ad un altro sindacato. Ciò ha determinato una illecita comunicazione di dati personali sensibili dei reclamanti.
A conclusione dell’istruttoria il Garante ha ritenuto che dalla valutazione degli elementi acquisiti la condotta dell’Azienda, pur difforme dalla disciplina applicabile, abbia esaurito i suoi effetti e non sussistono quindi i presupposti per l’adozione di un provvedimento prescrittivo o inibitorio.
L’Autorità si è riservata però di avviare un autonomo procedimento per valutare la contestazione di una eventuale violazione amministrativa per l’illecita comunicazione dei dati sindacali.