Gio.
Utente
Il Garante per la protezione dei dati personali, con newsletter del 25 giugno, del 19 maggio e del 5 maggio u.s., è intervenuto su alcuni argomenti + volte dibattuti in questo forum ed oggetto di interpretazioni diverse!
Buste paga e privacy
A seguito di una segnalazione, con la quale si lamentava il fatto che i cedolini dei dipendenti di una delle sedi regionali del Ministero fossero stampati su carta continua e non imbustati, sistemati in scatoloni, smistati alle varie segreterie e consegnati a mano ai dipendenti oppure lasciati sui tavoli, in modo da rendere accessibili a chiunque informazioni sulla sfera privata dei lavoratori (coordinate bancarie, sigla del sindacato di appartenenza destinatario della ritenuta, trattenute per cessioni del quinto, …) il Garante della Privacy si è espresso come segue.
I cedolini dello stipendio devono essere consegnati spillati, in busta chiusa o in formato elettronico direttamente sulle mail dei dipendenti e non devono contenere informazioni lesive della riservatezza. Gli uffici addetti alla predisposizione e alla consegna dei cedolini sono tenuti a tutelare la privacy dei lavoratori, limitando l'inserimento di informazioni sulla sfera privata e impedendo l'indebita conoscenza dei dati da parte di persone non autorizzate.
Dati contenuti nelle fidelity card
Il Garante si è nuovamente espresso in merito ai dati che possono essere richiesti ai fini del rilascio delle fidelity card, intervenendo presso una società operante nel settore tessile ordinandole di cancellare i dati personali dei titolari della carta fedeltà "non pertinenti e eccedenti" rispetto all'unica attività perseguita con l'utilizzo della card, consistente nell'attribuire sconti presso i punti vendita che commercializzano il proprio marchio (ad esempio la professione dei richiedenti o i dati riferiti ai figli come nome, data di nascita, sesso). Nell’informativa che accompagna il questionario per il rilascio della fidelity card occorrerà specificare i dati che devono essere forniti obbligatoriamente.
Consenso al trattamento: differenziato e non condizionato
Il Garante della Privacy ha ribadito che il consenso all'uso dei dati non può mai essere condizionato, ma libero e consapevole. Non si possono imporre scelte ai clienti e ai consumatori o chiedere un consenso generico per usi diversi, né si può negare un servizio richiesto a chi non vuole sottoscrivere un modulo in cui non viene garantita la libertà del consenso o a chi non vuole fornire i propri dati per finalità di marketing.
Tale precisazione si è resa necessaria a seguito di una verifica effettuata presso una società che si occupa della vendita on line di biglietti per eventi musicali, teatrali, sportivi e culturali, la quale sottoponeva ai clienti, al momento della registrazione, un modulo che non permetteva di prestare un consenso specifico e differenziato per le diverse finalità di trattamento dei dati. Era presente, infatti, una sola casella, per giunta già contrassegnata con l'apposito segno di "spunta". In questo modo i clienti oltre a dare il consenso all'uso dei propri dati personali, indispensabile per poter usufruire del servizio, lo prestavano automaticamente anche per le finalità di marketing. Chi non sottoscriveva il modulo così com'era non riceveva il servizio.
Il Garante ha vietato alla società l'ulteriore trattamento dei dati illegittimamente acquisiti, disponendo, inoltre, la riformulazione del modulo di iscrizione al sito con l'obbligo di fornire ai clienti la possibilità di prestare consensi differenziati.
E-mail e fax indesiderati
Il Garante della Privacy è nuovamente intervenuto in merito all’invio di pubblicità tramite fax e posta elettronica senza il preventivo consenso degli interessati. Anche se i dati sono estratti dalle Pagine Gialle o dai registri pubblici, quando si usano sistemi automatizzati è obbligatorio acquisire prima il consenso dei destinatari.
In alcuni casi le società forniscono l'informativa e la richiesta di consenso contestualmente all'invio del primo fax o della prima e-mail che hanno già un contenuto di carattere commerciale. L'Autorità ha ribadito, invece, che l'uso di sistemi automatizzati per inviare messaggi promozionali, anche quando si tratti di dati estratti da elenchi categorici o da albi, impone la preventiva acquisizione del consenso da parte dei destinatari.
Buste paga e privacy
A seguito di una segnalazione, con la quale si lamentava il fatto che i cedolini dei dipendenti di una delle sedi regionali del Ministero fossero stampati su carta continua e non imbustati, sistemati in scatoloni, smistati alle varie segreterie e consegnati a mano ai dipendenti oppure lasciati sui tavoli, in modo da rendere accessibili a chiunque informazioni sulla sfera privata dei lavoratori (coordinate bancarie, sigla del sindacato di appartenenza destinatario della ritenuta, trattenute per cessioni del quinto, …) il Garante della Privacy si è espresso come segue.
I cedolini dello stipendio devono essere consegnati spillati, in busta chiusa o in formato elettronico direttamente sulle mail dei dipendenti e non devono contenere informazioni lesive della riservatezza. Gli uffici addetti alla predisposizione e alla consegna dei cedolini sono tenuti a tutelare la privacy dei lavoratori, limitando l'inserimento di informazioni sulla sfera privata e impedendo l'indebita conoscenza dei dati da parte di persone non autorizzate.
Dati contenuti nelle fidelity card
Il Garante si è nuovamente espresso in merito ai dati che possono essere richiesti ai fini del rilascio delle fidelity card, intervenendo presso una società operante nel settore tessile ordinandole di cancellare i dati personali dei titolari della carta fedeltà "non pertinenti e eccedenti" rispetto all'unica attività perseguita con l'utilizzo della card, consistente nell'attribuire sconti presso i punti vendita che commercializzano il proprio marchio (ad esempio la professione dei richiedenti o i dati riferiti ai figli come nome, data di nascita, sesso). Nell’informativa che accompagna il questionario per il rilascio della fidelity card occorrerà specificare i dati che devono essere forniti obbligatoriamente.
Consenso al trattamento: differenziato e non condizionato
Il Garante della Privacy ha ribadito che il consenso all'uso dei dati non può mai essere condizionato, ma libero e consapevole. Non si possono imporre scelte ai clienti e ai consumatori o chiedere un consenso generico per usi diversi, né si può negare un servizio richiesto a chi non vuole sottoscrivere un modulo in cui non viene garantita la libertà del consenso o a chi non vuole fornire i propri dati per finalità di marketing.
Tale precisazione si è resa necessaria a seguito di una verifica effettuata presso una società che si occupa della vendita on line di biglietti per eventi musicali, teatrali, sportivi e culturali, la quale sottoponeva ai clienti, al momento della registrazione, un modulo che non permetteva di prestare un consenso specifico e differenziato per le diverse finalità di trattamento dei dati. Era presente, infatti, una sola casella, per giunta già contrassegnata con l'apposito segno di "spunta". In questo modo i clienti oltre a dare il consenso all'uso dei propri dati personali, indispensabile per poter usufruire del servizio, lo prestavano automaticamente anche per le finalità di marketing. Chi non sottoscriveva il modulo così com'era non riceveva il servizio.
Il Garante ha vietato alla società l'ulteriore trattamento dei dati illegittimamente acquisiti, disponendo, inoltre, la riformulazione del modulo di iscrizione al sito con l'obbligo di fornire ai clienti la possibilità di prestare consensi differenziati.
E-mail e fax indesiderati
Il Garante della Privacy è nuovamente intervenuto in merito all’invio di pubblicità tramite fax e posta elettronica senza il preventivo consenso degli interessati. Anche se i dati sono estratti dalle Pagine Gialle o dai registri pubblici, quando si usano sistemi automatizzati è obbligatorio acquisire prima il consenso dei destinatari.
In alcuni casi le società forniscono l'informativa e la richiesta di consenso contestualmente all'invio del primo fax o della prima e-mail che hanno già un contenuto di carattere commerciale. L'Autorità ha ribadito, invece, che l'uso di sistemi automatizzati per inviare messaggi promozionali, anche quando si tratti di dati estratti da elenchi categorici o da albi, impone la preventiva acquisizione del consenso da parte dei destinatari.