Una raccolta di dati da un sito di annunci su internet è soggetta al regolamento sul trattamento dei dati personali?
Le disposizioni del regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, devono essere interpretate nel senso che è soggetta ai requisiti di tale regolamento, in particolare a quelli di cui all’articolo 5, paragrafo 1, di quest’ultimo, la raccolta, da parte dell’amministrazione tributaria di uno Stato membro presso un operatore economico, di informazioni riguardanti una quantità significativa di dati personali.
Corte giustizia UE sez. V, 24/02/2022, n.175
Che cos’è la conservazione sostitutiva?
È la conservazione in forma digitale di documenti in origine analogici, ossia la possibilità di eliminare gli archivi cartacei per trasferire i documenti originali in un sistema di conservazione digitale a norma di legge.
Il 1° gennaio 2022 sono entrate in vigore le nuove norme su “Formazione, Gestione e Conservazione dei Documenti Informatici” pubblicate dall’AgID. La loro finalità è, da una parte, l’aggiornamento delle linee guida del CAD e, dall’altra, la realizzazione di un quadro legislativo unico coerente con l’evoluzione degli strumenti digitali. I soggetti interessati sono, in particolare, le Pubbliche Amministrazioni, gli enti gestori di pubblici servizi, società a controllo pubblico, privati e soggetti privati che erogano servizi alla PA.
Che cosa sono i “dark patterns?
I dark patterns sono interfacce ed esperienze utente che mirano ad influenzare il comportamento degli utenti inducendoli a prendere decisioni non consapevoli, involontarie e potenzialmente dannose riguardo al trattamento dei loro dati personali. Si tratta, dunque, di un modo di progettare e presentare i contenuti che, benché formalmente conforme, viola sostanzialmente i requisiti e le condizioni poste dal GDPR. European Data Protection Board ha adottato, in data 14 marzo 2022, delle linee guida con le quali si offrono delle raccomandazioni pratiche ai designer e utenti di piattaforme social per disincentivarne l’utilizzo.
Che cosa sono i “dark patterns?
I dark patterns sono interfacce ed esperienze utente che mirano ad influenzare il comportamento degli utenti inducendoli a prendere decisioni non consapevoli, involontarie e potenzialmente dannose riguardo al trattamento dei loro dati personali. Si tratta, dunque, di un modo di progettare e presentare i contenuti che, benché formalmente conforme, viola sostanzialmente i requisiti e le condizioni poste dal GDPR. European Data Protection Board ha adottato, in data 14 marzo 2022, delle linee guida con le quali si offrono delle raccomandazioni pratiche ai designer e utenti di piattaforme social per disincentivarne l’utilizzo.
Come possiamo non lasciare traccia delle ricerche fatte su internet?
I grandi motori di ricerca come Google e Bing ci aiutano a orientarci sul web, ma quando li utilizziamo lasciamo che raccolgano quante più informazioni possibili sul nostro conto. Infatti, mentre navighiamo registrano il nostro indirizzo IP, le parole che cerchiamo, i risultati su cui clicchiamo e così via. In poche parole, sulla base delle nostre ricerche, creano un resoconto puntuale, una c.d. “mappa utente”. Tali mappe costituiscono una considerevole fonte di ricchezze perché poi sono vendute agli inserzionisti che, fra l’altro, ci bombardano con annunci mirati.
Come possiamo tutelarci e proteggere la nostra privacy? Utilizzando i motori di ricerca privati. Infatti questi motori non raccolgono i nostri dati (con la scusa di fornirci risultati di ricerca su misura), non memorizzano le ricerche, né tracciano le nostre azioni. Uno fra i tanti e certamente il più noto fra i motori di ricerca privati, è DuckDuckGo.
Nella comunicazione tra amministrazioni pubbliche, quali dati sanitari del dipendente all’INPS devono essere trasmessi per non incorrere in un illegittimo trattamento?
Secondo la Suprema Corte (Cass. civ., sez. I, ord., 28 marzo 2022, n. 9919), chiamata a pronunciarsi sulla richiesta di risarcimento avanzata da un uomo contro un comune laziale per i danni derivanti da un illegittimo trattamento dei suoi dati personali in occasione della presentazione della domanda di pensione per infermità dovuta a causa di servizio, i dati da trasmettere devono essere soltanto quelli “indispensabili” all’attività da compiere. Pertanto, la comunicazione, benché effettuata in maniera riservata, da un soggetto pubblico a un altro, deve recare solo la valutazione medico legale circa l’idoneità all’impiego, altri dati personali che, in quanto relativi alla diagnosi, agli esami obbiettivi e agli accertamenti clinici e strumentali svolti, nonché a informazioni anamnestiche, debbono considerarsi irrilevanti ai fini del buon esito del procedimento e, pertanto, sono da omettere.
È sempre necessario Il consenso dell’utente per qualunque attività con finalità promozionale, come per esempio le campagne telefoniche?
L’art. 130 codice privacy disciplina le comunicazioni indesiderate e specifica che: «l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente».
Pertanto, la norma richiede il consenso non solo per l’invio di materiale o per la vendita diretta, ma anche e più semplicemente per l’invio di generiche comunicazioni commerciali. Conseguentemente, è Illegittimo il trattamento dei dati personali delle persone contattate in assenza di consenso legittimamente manifestato, anche a prescindere dall’iscrizione o meno delle stesse nel registro pubblico delle opposizioni. (Cfr. Cass. civ., sez. I, ord., 28 marzo 2022, n. 9920).
Cos’è la crittografia end-to-end?
La crittografia end-to-end è in pratica una crittografia asimmetrica. Essa protegge i dati in modo tale che possano essere letti solo alle due estremità, dal mittente e dal destinatario senza alcuna possibilità di decrittazione. Nessun altro sarà perciò in grado di leggere i dati criptati: come, per esempio, gli hacker durante il trasferimento o i server di chi fornisce il servizio stesso.La crittografia end-to-end è in pratica una crittografia asimmetrica. Essa protegge i dati in modo tale che possano essere letti solo alle due estremità, dal mittente e dal destinatario senza alcuna possibilità di decrittazione. Nessun altro sarà perciò in grado di leggere i dati criptati: come, per esempio, gli hacker durante il trasferimento o i server di chi fornisce il servizio stesso.
Le scuolo possono consentire a soggetti autorizzati lo svolgimento di attività di ricerca tramite questionari, da sottoporre agli alunni, contenenti richieste di informazioni personali?
Sì, ma soltanto se i ragazzi e, nel caso di minori, chi esercita la responsabilità genitoriale, siano stati preventivamente informati sulle modalità di trattamento e sulle misure di sicurezza adottate per proteggere i dati personali degli alunni e, ove previsto, abbiano acconsentito al trattamento dei dati. Ragazzi e genitori devono, comunque, avere sempre la facoltà di non aderire all’iniziativa.
COOKIE BANNER O COOKIELESS: QUALE SARÀ IL PROSSIMO STRUMENTO DI MARKETING MASSIVO?
Il mercato del digital marketing è in via di cambiamento poiché l’uso dei cookies di terze parti è verso il suo epilogo. Tuttavia, considerato che il mercato vuole ottenere gli stessi risultati (misurazioni, statistiche, monitoraggio cross-device ecc.) a cui si è abituato, quali nuovi mezzi adotterà in assenza dello strumento che ne ha di fatto creato tale concreta possibilità?
Oggi, mentre attendiamo che questo nuovo scenario si paventi, affinché un’azienda possa impostare legalmente un cookie o un’altra tecnologia di tracciamento sul dispositivo di un utente, deve prima ottenere un valido consenso. Come chiarito anche dalla Corte di giustizia europea nel caso C-673/17, Planet49, tale autorizzazione può essere valida solo se soddisfa i requisiti definiti dalla GDPR e dalle linee guida del Garante pubblicate nella G.U. n. 163 del 9/07/2021.
Per garantire il rispetto di tali disposizioni EDPB (European Data Protection Board) ha deciso di istituire una task force per coordinare la risposta ai reclami relativi ai banner sui cookie presentati da NOYB (European Center for Digital Rights). Questa task force è stata istituita ai sensi dell’art. 70 (1)(u) GDPR e mira: a) promuovere lo scambio di opinioni su analisi legali e possibili violazioni; b) fornire supporto alle attività a livello nazionale; c) semplifica la comunicazione. Pertanto, man mano le varie autorità dei Paesi coinvolti – tra i quali sicuramente figurerà l’Italia – riceveranno indicazioni dalla task force, emetteranno provvedimenti di accertamento ed eventuali sanzioni a livello nazionale.
Si possono utilizzare recapiti telefonici contenuti nell’albo degli avvocati o di altri professionisti per proporre offerte commerciali agli iscritti?
Tutte le società, prima di poter utilizzare a fini di marketing i numeri contenuti in elenchi telefonici generali, sono tenute comunque a verificare che gli utenti non si siano iscritti nel Registro Pubblico delle Opposizioni e non abbiano quindi, in tal modo, espresso la propria contrarietà a ricevere telefonate pubblicitarie.
Il supermercato può rifiutarsi di concedere la tessera fedeltà se nel modulo da compilare il cliente non rilascia il consenso al trattamento dei suoi dati per scopo di marketing?
Il consenso per tali attività non può essere imposto, ma va raccolto in modo specifico.
Posta elettronica aziendale: come rispettare la Privacy?
Ecco perché è opportuno che il datore di lavoro renda disponibili indirizzi di posta elettronica condivisi tra più lavoratori (ad es. ufficioreclami@società.com) affiancandoli a quelli individuali (ad es. rossi@società.com) e valuti la possibilità di attribuire al lavoratore un diverso indirizzo destinato ad un uso privato.
Il datore di lavoro può mettere a disposizione di ciascun lavoratore apposite funzionalità di sistema che consentano di inviare automaticamente, in caso di assenze programmate, messaggi di risposta che contengano le “coordinate” di un altro lavoratore.
Si può altresì consentire al lavoratore di delegare un collega (fiduciario) in caso di assenze prolungate, a leggere i messaggi di posta e ad inoltrare al titolare del trattamento quelli ritenuti rilevanti per l’attività lavorativa. Di tale attività dovrebbe essere redatto apposito verbale e informato il lavoratore interessato.
In caso di assenze non programmate (ad es. per malattia), qualora il lavoratore non possa attivare la procedura descritta (anche avvalendosi di servizi webmail),il datore di lavoro può incaricare altro personale (ad esempio l’amministratore di sistema ) di gestire la posta del lavoratore, avvertendo l’interessato e i destinatari
E’ possibile profilare un utente in base ai programmi che vede sulla pay tv?
L’azienda deve comunque adottare delle pratiche di profilazione poco invasive (ad esempio suddividendo gli utenti solo in macrocategorie di consumo ed evitando la profilazione incrociata tra utenti telefonici e televisivi), limitare la conservazione dei dati raccolti ai tempi strettamente necessari e adottare tutte le cautele previste dalla normativa sulla privacy. In casi in cui la profilazione, come ogni trattamento dati, possa comportare dei rischi specifici per le libertà personali, l’azienda deve chiedere al Garante un’apposita verifica preliminare.
L’utilizzo degli smartphone all’interno della scuola è consentito??
Spetta alle istituzioni scolastiche disciplinare l’utilizzo degli smartphone all’interno delle aule o nelle scuole stesse. In ogni caso, laddove gli smartphone siano utilizzati per riprendere immagini o registrare conversazioni, l’utilizzo dovrà avvenire esclusivamente per fini personali e nel rispetto dei diritti delle persone coinvolte.
Condominio e trasferimenti di proprietà: sufficiente la dichiarazione del notaio?
Anche mediante la c.d. dichiarazione di avvenuta stipula rilasciata dal notaio rogante, purché essa risulti provvista di tutte le indicazioni utili all’amministratore ai fini della tenuta del registro dell’anagrafe condominiale.
Come deve procedere una società che ha acquisito banche dati da altri soggetti?
Dato il proprio consenso al tipo di trattamento dati che si vuole svolgere, come quello di invio di offerte commerciali.
L’azienda deve poi ricordarsi di fornire l’informativa a queste persone già al momento della registrazione o del primo utilizzo dei loro dati.
Che cos’è la valutazione di impatto sulla protezione dei dati (DPIA)?
Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.
