8 Lug 2020

L’Autorità Garante Privacy, interviene aggiornando le FAQ Covid 19, sull’uso di app di contact tracing e dispositivi in ambito aziendale.

In merito al “contact tracing“, l’Autorità fa presente che l’app dovrà essere disciplinata dall’art. 6, d.l. 30.4.2020, n. 28 (Sistema di allerta Covid-19).

Sono utilizzabili applicativi con funzionalità di “contact tracing” in ambito aziendale?

La funzionalità di “contact tracing”, prevista da alcuni applicativi al dichiarato fine di poter ricostruire, in caso di contagio, i contatti significativi avuti in un periodo di tempo commisurato con quello individuato dalle autorità sanitarie in ordine alla ricostruzione della catena dei contagi ed allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi, è − allo stato − disciplinata unicamente dall’art. 6, d.l. 30.4.2020, n. 28.

Secondo punto delle FAQ. Applicativi utilizzati in azienda che non trattano dati.

Gli applicativi, per esempio, utilizzati per la misurazione della temperatura o che consentono l’accesso in azienda a persone con la mascherina, possono essere utilizzate senza registrazione dei dati. In questo caso, il titolare del trattamento, dovrà dimostrare, secondo il principio dell’accountability, il rispetto delle misure adottate e perchè l’applicativo sia necessario per certe finalità.

Al fine di contenere il rischio di contagio sul luogo di lavoro sono disponibili applicativi che non trattano dati personali?

Sì, il datore di lavoro può ricorrere all’utilizzo di applicativi, allo stato disponibili sul mercato, che non comportano il trattamento di dati personali riferiti a soggetti identificati o identificabili. Ciò nel caso in cui il dispositivo utilizzato non sia associato o associabile, anche indirettamente (es. attraverso un codice o altra informazione), all’interessato né preveda la registrazione dei dati trattati.

Si pensi alle applicazioni che effettuano il conteggio del numero delle persone che entrano ed escono da un determinato luogo, attivando un “semaforo rosso” al superamento di un prestabilito numero di persone contemporaneamente presenti; oppure alle funzioni di taluni dispositivi indossabili che emettono un avviso sonoro o una vibrazione in caso di superamento della soglia di distanziamento fisico prestabilita (dunque senza tracciare chi indossa il dispositivo e senza registrare alcuna informazione). Si pensi, altresì, ad applicativi collegati ai tornelli di ingresso che, attraverso un rilevatore di immagini, consentono l’accesso solo a persone che indossano una mascherina (senza registrare alcuna immagine o altra informazione). In questi casi spetta comunque al titolare verificare il grado di affidabilità dei sistemi scelti, predisponendo misure da adottare in caso di malfunzionamento dei dispositivi o di falsi positivi o negativi.

(Fonte Garante Privacy)

 

2 Feb 2020

27 milioni e 800 mila euro la sanzione che l’Autorità Garante Privacy ha ingiunto alla società TIM, con Provvedimento del 15 gennaio 2020, per numerosi trattamenti illeciti di dati legati all’attività di marketing. Le violazioni hanno interessato nel complesso alcuni milioni di persone.

L’Autorità ha ricevuto centinaia di segnalazioni per la ricezione di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, oppure ancora malgrado il fatto che le persone contattate avessero espresso alla società la volontà di non ricevere telefonate promozionali. Irregolarità nel trattamento dei dati venivano lamentate anche nell’ambito dell’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da Tim.

Una persona è stata chiamata 155 volte in un mese. In circa duecentomila casi, sono state contattate anche numerazioni “fuori lista”, cioè non presenti negli elenchi delle persone contattabili di Tim. Sono state rilevate poi altre condotte illecite come l’assenza di controllo da parte della società sull’operato di alcuni call center; l’errata gestione e il mancato aggiornamento delle black list dove vengono registrate le persone che non vogliono ricevere pubblicità; l’acquisizione obbligata del consenso a fini promozionali per poter aderire al programma “Tim Party” con i suoi sconti e premi.

Informazioni non corrette e non trasparenti sul trattamento dei dati per la gestione delle APP e modalità non corrette per l’acquisizione del consenso.

Non è risultata efficiente la gestione del Data Breach, così come inadeguate sono risultate l’implementazione e la gestione da parte della Società dei sistemi che trattano dati personali (con violazione del principio di privacy by design). Disallineamenti sono emersi tra le black list di Tim e quelle dei call center incaricati, così come per le registrazioni audio dei contratti stipulati telefonicamente (verbal order).  Le utenze di clienti di altri operatori, detenute da Tim in quanto gestore delle Reti, sono state conservate per un tempo superiore ai limiti di legge e inserite, senza il consenso degli interessati, in alcune campagne promozionali.

Oltre alla sanzione, l’Autorità ha imposto a Tim 20 misure correttive, tra divieti e prescrizioni. In particolare, ha vietato a Tim l’uso dei dati a fini di marketing di chi aveva espresso ai call center il proprio diniego a ricevere telefonate promozionali, dei soggetti presenti in black list e dei “non clienti” che non avevano dato il consenso.

La società non potrà più utilizzare neanche i dati della clientela raccolti mediante le app “My Tim”, “Tim Personal” e “Tim Smart Kid” per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico.

Fra le prescrizioni, il Garante ha ingiunto a Tim di verificare la consistenza delle black list utilizzate e di acquisire tempestivamente quelle eventualmente formate dai call center per riversarle nella propria black list. Tim dovrà inoltre rivedere il programma “Tim Party” e consentire l’accesso dei clienti a sconti e concorsi a premi eliminando il consenso obbligato al marketing. L’azienda dovrà anche verificare la procedura per l’attivazione di tutte le app, specificare sempre, con linguaggio chiaro e comprensibile, i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, nonché acquisire un valido consenso. La Società dovrà inoltre implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società.

Le misure e le implementazioni richieste dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti, mentre il pagamento della sanzione dovrà essere effettuato entro trenta giorni.

( Fonte Garante Privacy)

 

21 Gen 2018

Il Garante per la protezione dei dati personali lancia una nuova scheda informativa con alcune semplici regole da seguire per far divertire i propri figli senza esporli a violazioni della propria riservatezza. Ad esempio, informandosi su quali e quanti dati potrebbe raccogliere e trattare il giocattolo e per quali finalità, spegnendolo o disconnettendolo dalla rete quando non viene utilizzato, impostando password di accesso sicure per la connessione a Internet dello smart toy, ed eventualmente anche per l’accesso al giocattolo o alla app che lo gestisce.

“Gli smart toys sono giocattoli capaci di interagire (tramite microfoni, fotocamere, sistemi di localizzazione e sensori) con le persone e con l’ambiente circostante e di connettersi alla rete per navigare online e comunicare con smartphone, tablet, pc, altri smart toys.”

Parliamo quindi di bambole, peluche, robot e giochi educativi – ma anche di altri dispositivi per bambini, come i baby monitor – progettati per rapportarsi attivamente con gli esseri umani e, in molti casi, in grado di compiere automaticamente varie operazioni, come registrare suoni, scattare foto, girare video e collegarsi con web e social network.

Occorre quindi ricordare che – per quanto giochi divertenti e a volte anche con funzioni educative –  gli smart toys sono pur sempre strumenti che raccolgono, elaborano e comunicano dati e informazioni, con possibili rischi per la privacy, soprattutto quella dei minori.

Ecco poche semplici regole:

  1. Cerca di essere “smart” anche tu: informati su quali e quanti dati tratterà il giocattolo
  2. Non “dire” troppe cose allo smart toy
  3. Password, impostazioni privacy e sistemi antivirus per un gioco sicuro
  4. Se non lo usi, spegnilo
  5. Social, ma non troppo
  6. Se dai via il giocattolo, non dare via i tuoi dati
  7. Giocattoli a prova di privacy

Il Garante, infine, ha ritenuto di dover ricordare ai produttori di questi giocattoli come il Codice privacy, in particolare l’art. 3, e il nuovo Regolamento UE/2016/679 in materia di protezione dati, in particolare l’art. 25, prevedano che i sistemi elettronici siano prodotti e configurati per ridurre al minimo la raccolta e il trattamento di dati personali (privacy by design e privacy by default).

Fonte: http://www.garanteprivacy.it/iot/smarttoys

26 Ott 2017

Gli utenti sono poco informati sulla gestione dei loro dati da siti web e app. E’ quanto emerge da un’indagine (denominata “GPEN sweep 2017 User Controls over Personal information”) condotta da ventiquattro Autorità per la protezione dei dati riunite nel Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di diversi Paesi, di cui fa parte il Garante italiano.

L’indagine ha preso in esame siti e app in diversi settori – vendita al dettaglio, finanza, banche, viaggi, social network, giochi d’azzardo, istruzione, sanità – ed ha analizzato le policy privacy con l‘obiettivo di verificare se per gli utenti  risulti facile capire quali informazioni vengano raccolte e per quali scopi, e quali siano le modalità per il loro trattamento, utilizzo e condivisione.

Le conclusioni a cui è giunta l’Autorità sono le seguenti:

– le informative privacy sono tendenzialmente generiche, prive di dettagli, e spesso formulate in modo impreciso;

– la maggior parte dei siti e delle app esaminate non informa gli utenti sull’uso che fa dei loro dati;

– le informative in genere non specificano a chi possono essere comunicati i dati personali raccolti;

– molti soggetti non spiegano agli interessati se e come i loro dati sono protetti, né come e dove sono conservati;

– solo in poco più della metà dei casi l’informativa spiega all’utente come esercitare il diritto di accesso ai propri dati personali.

L’indagine ha evidenziato che alcuni soggetti continuano a utilizzare riferimenti normativi obsoleti, e molti fra quelli che forniscono servizi a livello internazionale non sanno quale sia la normativa applicabile nei singoli Paesi. Inoltre, i siti di e-commerce che rilasciano fatture elettroniche spesso non forniscono alcuna informazione sulla propria attività attraverso il sito web.

Anche il settore bancario, secondo l’analisi delle Autorità, non fornisce adeguate informazioni. La situazione appare migliore in Italia: i siti web delle banche italiane, esaminati a campione dal Garante per la protezione dei dati personali, rispetto a quelli di altri Paesi offrono in generale agli utenti informazioni più adeguate e corrette.

(Fonte Garante Privacy)