Marketing e legittimo interesse: valida base giuridica solo nel caso del soft spam
Tre recenti provvedimenti del Garante per la privacy (Provv. 25 novembre 2021 [9737185], [9736961], [9738356]) ci consentono di tornare sul tema delle liste consensate nel marketing e richiamare il principio per cui chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati. Sul punto va ricordato che in ossequio al considerando n.47 del Reg. UE 679/2016 la base giuridica del legittimo interesse può essere invocata nel solo caso del soft spam (invio di offerte commerciali riguardanti un bene o un servizio già acquistato), mentre la regola generale è che i trattamenti per finalità di marketing sono leciti unicamente dopo aver acquisito un valido consenso. La vicenda, è nata su richiesta di due reclamanti che si lamentavano per la continua ricezione di messaggi (sms) indesiderati. Entrambi avevano provato a contattare la società che inviava
Il controllo dei propri dati personali: appunti in materia di diritto di accesso
Il diritto di accesso ai propri dati conservati da aziende e pubbliche amministrazioni costituisce il nucleo essenziale dei diritti riconosciuti dalla normativa europea ai cittadini. Si pensi ad esempio all’accesso ai referti medici, alle cartelle sanitarie oppure ai dati del traffico telefonico. Ad ogni diritto corrisponde un obbligo. Ed in tali casi il mancato riscontro alla richiesta di accesso può comportare maxi sanzioni per le aziende. Il Garante Privacy ha infatti inflitto una sanzione pari a 200 mila euro a Tim per non aver fornito ad un medico le informazioni sul traffico telefonico necessarie per difendersi in una causa penale. E più recentemente, sempre il Garante privacy, ha sanzionato per 4 mila euro una società privata, che si occupa di erogare la sorveglianza sanitaria, per aver dato un riscontro inidoneo all’interessato. Sulla base di tali importanti provvedimenti dell’Autorità e delle recenti linee guida dell’EDPB, è possibile delineare i contorni ed i tratti tipici di tale diritto. In
Il certificato del casellario giudiziale contiene dati personali anche se non vi è scritto nulla.
Per l’assunzione di vettori autonomi come prestatori di servizi, in Spagna Amazon chiedeva ai candidati vari documenti, tra cui anche un certificato di assenza di precedenti penali. E se tale prassi poteva già sembrare invasiva, il certificato di casellario giudiziale veniva pure inviato ad altre filiali della multinazionale con sede al di fuori dell'Unione Europea. Dal procedimento N. PS/00267/2020 condotto dall’autorità di controllo per la protezione dei dati iberica (AEPD) ne è infine scaturita una sanzione da 2 milioni di euro per la filiale del colosso dell’e-commerce americano. Quando il caso era stato sollevato dai sindacati, all’epoca dei fatti Amazon aveva motivato che la verifica sulla fedina penale dei candidati era necessaria per assicurare un livello adeguato dei propri standard qualitativi e "per garantire la sicurezza e la fiducia dei clienti", e si era difesa sostenendo che il certificato acquisito veniva conservato per soli due mesi e non forniva espressamente dettagli sui possibili
Sanzionata dal Garante una campagna di sms marketing
Chi commissiona una campagna promozionale deve sempre verificare che le società incaricate di svolgerla operino correttamente e non utilizzino illecitamente i dati di consumatori che non desiderano essere disturbati. Questa la decisione del Garante per la privacy nel sanzionare due società per l’invio di milioni di sms pubblicitari. L’Autorità era intervenuta su richiesta di due reclamanti che si lamentavano per la continua ricezione di messaggi indesiderati. Sms marketing: il committente risponde anche per le società di cui si avvale Entrambi avevano provato a contattare la società che inviava i messaggi o quella che offriva le promozioni, chiedendo di non essere più disturbati, ma senza successo e senza neppure ottenere riscontri soddisfacenti su dove avessero acquisito i loro dati personali. Nel corso dell’istruttoria, il Garante ha verificato che la società committente aveva incaricato un’azienda operante nel marketing di inviare sms promozionali a potenziali clienti. La società di marketing si era poi avvalsa di altri
Perdita dati aziendali e personali, cosa si rischia se non si interviene subito
Cosa significa Disaster Recovery? Di cosa si parla quando sentiamo l'espressione Data Breach? La violazione e la perdita dei dati, tanto quelli personali salvati su un hard disk, quanto quelli aziendali presenti su uno o più server, è un fenomeno sempre più frequente e particolarmente grave, come riportano gli esperti di recupero dati di Recovery Data, i quali spiegano cosa si può fare per limitare i danni e in quali casi è possibile ripristinare i dati. Cos'è il Disaster Recovery Plan e a cosa serve - Con Disaster Recovery si intende un ripristino di emergenza che viene effettuato dopo che si è verificata una grave perdita di dati, ovvero il tempo e il lavoro necessari per ritornare attivi e operativi dopo una catastrofe di questo genere (che si tratti di un evento naturale o di un attacco con scopi criminali). Per le aziende, quindi, il Disaster Recovery Plan è indispensabile per definire i
ASSIF DAY 2022: Gestire, Capire, Comunicare.
Accanto al Terzo Settore da più di venti anni e insieme ad #Assif per dibattere le richieste provenienti dalle organizzazioni Non Profit. Insieme al nostro CEO Piero Paoletti vediamo come l’approccio all’organizzazione e l’attenzione ai processi possono rivelarsi vincenti per l’efficientamento delle organizzazioni e la tutela degli investimenti.
Aggiornamento NextWare Pro 2.9.9.1
Rilasciato il nuovo aggiornamento del NextwarePro, il sistema di gestione sviluppato per il Non Profit e con il Non Profit. Export file ANAC La procedura è stata modificata in modo da includere anche gli incarichi liquidati e non ancora pagati ed i CIG richiesti, ma non ancora liquidati; per questi ultimi, se si vogliono inserire nel file, va indicata la modalità di assegnazione. Gestione fatture Da questa release la ricerca delle fatture tiene conto dell’esercizio: allo scopo di velocizzare la ricerca, è possibile quindi selezionare l’esercizio prima di cliccare sul pulsante di ricerca. Gestione bambini Da questa release viene storicizzata la data fine sostegno nel momento in cui si imposta la data fine e non solo se il bambino viene assegnato ad altro donatore. Stampa elenco donazioni Nel report vengono ora esposti anche: categoria donatore, gruppo donatore e stato estero. Contabilizzazione donazioni Viene ora impostato il tipo movimento dal progetto se non sono indicati i sottolivelli. Stampa bilanci riclassificati Da questa
Le Linee Guida dell’EDPB sul diritto di accesso dell’interessato
Il 19 gennaio 2022, durante la sessione plenaria, l’EDPB ha adottato le Linee guida sul diritto di accesso ai dati personali da parte dell’interessato. Già nel novembre 2019, nel corso di un evento su questo tema, i più importanti player avevano espresso le proprie opinioni in merito al diritto di accesso. Il Board, raccogliendo queste opinioni, ha sentito l’esigenza di pubblicare Linee guida per fornire, tra l’altro chiarimenti sulla portata del diritto di accesso, sulle informazioni che il titolare del trattamento deve fornire all’interessato, sul formato della richiesta di accesso, sulle principali modalità di fornitura dell’accesso e sulla nozione di “manifestamente infondata” o “richiesta eccessiva”. Nell’ultima relazione annuale, relativa all’anno 2020, l’Autorità Garante per la protezione dei dati personali ha illustrato che, nella maggior parte dei casi, i mancati o inidonei riscontri alle istanze avanzate dall’interessato hanno avuto ad oggetto il diritto di accesso ai dati. A riprova di ciò, è solo di
I siti web che utilizzano Google Analytics violano la privacy degli utenti europei
L'autorità austriaca per la protezione dei dati (Datenschutzbehörde) ha dichiarato illegale l'uso di Google Analytics perché viola il Gdpr, e come nel caso dell’invalidazione del Privacy Shield da parte della Corte di Giustizia UE e in altre pronunce che in passato hanno avuto pesanti impatti sulla protezione dei dati personali europea, ancora una volta c’è l'intervento dell’attivista Max Schrems. La decisione D155.027 GA del garante austriaco è stata infatti scaturita da una delle 101 diverse denunce presentate in varie nazioni dell’Unione Europea proprio a seguito della sentenza sul Privacy Shield da parte dell'ong austriaca Noyb, di cui Schrems è fondatore. Nello specifico del caso austriaco, analizzando un sito web dedicato alla salute l’autorità di controllo ha riscontrato che tutti i siti che utilizzano Google Analytics di fatto esportano negli Stati Uniti dati personali dei visitatori come i loro indirizzi IP e i loro identificatori univoci che vengono memorizzati nei cookie, informazioni che
La profilazione a scopo commerciale e il processo decisionale automatizzato secondo il Gdpr
L’evoluzione tecnologica in generale e la crescita della intelligenza artificiale negli ultimi anni hanno reso più facile la creazione di profili e l’adozione di decisioni automatizzate, con potenziali ripercussioni significative sui diritti e sulle libertà delle persone fisiche. L‘ampia diffusione dei social network e degli e-commerce, consultabili in ogni momento attraverso device, sempre più performanti hanno trasformato internet in un bacino di informazioni e di dati personali, dal quale è possibile la determinazione, l’analisi e la previsione di aspetti della personalità, del comportamento, degli interessi e delle abitudini di una persona. La profilazione è definita dal Regolamento UE 679/2016 (art.4.4. RGPD) come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli