Tag Archives: marketing

30 Giu 2018

La società xx dovrà rivedere le procedure, “ereditate” da da un’altra società in seguito alla fusione aziendale, con le quali gestisce telefonate ed sms promozionali, al fine di interrompere i contatti commerciali indesiderati. Non potrà inoltre utilizzare, per finalità di marketing, i dati personali di quanti non abbiano espresso un libero e valido consenso per tale trattamento. Questa la decisione adottata dal Garante al termine delle ispezioni avviate muovendo dalle numerose segnalazioni di utenti che protestavano per il disturbo arrecato dalla rete commerciale della società [doc. web n. 8995285].

Gli accertamenti – avviati nel 2016 con la collaborazione della Guardia di finanza – hanno confermato la presenza di molteplici violazioni, tra cui la ricezione di contatti commerciali in tempi successivi rispetto all’esercizio del diritto di opposizione. A fronte delle lamentele degli utenti, la società spesso si giustificava facendo riferimento a non meglio precisati disguidi tecnici.

(fonte Garante Privacy)

28 Feb 2018

Il Garante per la privacy ha vietato a una società e a un’associazione a essa collegata l‘invio senza consenso di e-mail promozionali a liberi professionisti, utilizzando i loro indirizzi di posta elettronica certificata [doc. web n. 7810723].

Dalle verifiche  – avviate dall’Autorità a seguito di numerose segnalazioni ed effettuate con l’ausilio del Nucleo Speciale Privacy della Guardia di Finanza – è emerso che alcuni collaboratori volontari dell’Associazione e una società terza avevano reperito on line massivamente gli indirizzi Pec di avvocati e, in minor parte, di commercialisti, revisori contabili, consulenti del lavoro e notai, con varie modalità manuali e automatizzate, in violazione dei fondamentali principi di finalità, liceità e correttezza del trattamento dei dati personali.

La società aveva poi spedito agli indirizzi di più di 800.000 professionisti diverse e-mail, contenenti la notizia della pubblicazione di un bando di selezione per “consulente reputazionale”, l’invito a partecipare ad un webinar e articoli relativi alla società mittente.

Oltre ad essere stati trattati senza consenso, gli indirizzi Pec erano stati reperiti in modo illecito dal registro Ini-Pec, l’Indice nazionale dei domicili digitali, dal sito www.registroimprese.it e dagli elenchi pubblicati da alcuni ordini provinciali. La norma stabilisce infatti che l’estrazione di elenchi di indirizzi di posta elettronica certificata contenuti nel registro delle imprese o negli albi o elenchi “è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza“. In un caso le e-mail risultavano inviate anche dopo che il destinatario si era già opposto formalmente al trattamento dei suoi dati personali, esercitando i diritti previsti dal Codice privacy.

A nulla sono valse le giustificazioni addotte dalla società e dall’associazione, le quali, tra l’altro, si ritenevano esentate dalla richiesta del consenso preventivo sulla base della presunta natura “istituzionale” delle comunicazioni. Le e-mail infatti, come ha chiarito il Garante, avevano carattere promozionale, in quanto favorivano le attività dell’associazione connesse alla figura di “consulente reputazionale” e dunque dovevano essere inviate nel rispetto delle regole previste dal Codice privacy e dalle Linee guida del Garante in materia di attività promozionale e contrasto allo spam. L’Autorità ha vietato, di conseguenza, alla società e all’associazione l’ulteriore illecito trattamento dei dati dei professionisti e ne ha prescritto la cancellazione, riservandosi di valutare eventuali profili sanzionatori.

(Fonte Garante Privacy)

Leggi anche:

2 Feb 2018

I passanti che guardano le pubblicità proiettate sui totem presenti nelle principali stazioni ferroviarie italiane dovranno essere informati sulla presenza di una telecamera che analizza le loro reazioni. Questa la decisione del Garante della privacy al termine dell’istruttoria avviata per approfondire alcune segnalazioni e articoli di stampa che lamentavano i potenziali rischi di tracciamento o monitoraggio da remoto dei viaggiatori di passaggio davanti alle webcam integrate in oltre 500 colonnine [doc. web n. 7496252].

Nel corso dell’istruttoria la società, che ha installato il sistema per valutare l’efficacia della pubblicità trasmessa sui totem, ha negato la presenza di rischi per la privacy, così come paventati dai media. La tecnologia adottata, infatti, consentirebbe di analizzare, solamente in forma anonima e in maniera localizzata al singolo totem, l’espressione facciale (da felice a triste) e alcune altre caratteristiche delle persone che osservano il messaggio pubblicitario, senza conservare né trasmettere alcuna immagine o altri dati riferibili a specifici soggetti inquadrati dalla telecamera.

Il sistema, in un primo momento, aveva superato una verifica del Garante perché, sulla base della documentazione disponibile nel 2012, risultava che fosse impostato in modo da non trattare dati personali, eliminando così a monte qualunque problema alla riservatezza di chi si soffermava davanti ai totem. Dalla nuova documentazione tecnica presentata, l’Autorità ha rilevato che il sistema attuale in effetti non consente il riconoscimento facciale dei passanti, né il loro monitoraggio o tracciamento, e che i dati sul gradimento della pubblicità sono inviati al sistema centrale in forma totalmente anonima. Nonostante l’assenza di queste criticità, il Garante ha però accertato che l’apparecchiatura installata per effettuare l’analisi del volto di chi osserva gli annunci promozionali, anche se in locale e per un brevissimo lasso di tempo prima della immediata sovrascrittura delle immagini, effettua comunque un trattamento di dati personali funzionale all’analisi statistica dell’audience.

Il Garante ha quindi prescritto alla società di collocare presso ogni totem installato un cartello, (anche in formato di vetrofania) che segnali la presenza della telecamera e che riporti gli elementi essenziali relativi al trattamento dei dati effettuato. Tale informativa sintetica dovrà inoltre contenere i riferimenti all’informativa completa facilmente raggiungibile – anche tramite un apposito QR Code – sul sito internet della società. La società dovrà infine garantire la sicurezza delle tecnologie utilizzate nei totem, adottando un monitoraggio almeno semestrale della telecamera e della memoria interna, al fine di individuare eventuali malfunzionamenti, indisponibilità o tentativi di accesso illecito agli apparati.

Potrebbe interessarti: http://www.patriziameo.it/privacy/2017/04/19/i-totem-ci-spiano-e-cosi/

30 Nov 2017

Se un indirizzo email è presente su un social network non significa che possa essere utilizzato liberamente per qualsiasi scopo. Per inviare proposte commerciali, ad esempio, è sempre necessario il consenso dei destinatari. Per questi motivi il Garante per la privacy ha vietato a una società l’ulteriore trattamento di indirizzi email senza consenso per attività di marketing [doc. web n. 7221917].

L’intervento del Garante ha preso l’avvio dalla segnalazione di una società di consulenza finanziaria che lamentava l’invio di numerose email promozionali indirizzate alle caselle di posta elettronica di alcuni suoi promotori senza che questi ne avessero autorizzato la ricezione.

Dagli accertamenti, svolti presso la società dall’Autorità in collaborazione con il  Nucleo Speciale Privacy della GdF, è emerso che la raccolta degli indirizzi di posta elettronica avveniva, oltre che con altre modalità, anche attraverso l’instaurazione di rapporti su Linkedin e Facebook o “pescando” contatti sui social. La società solo negli ultimi due anni ha inviato circa 100.000 email pubblicitarie.

Il Garante, anche sulla base delle Linee guida del 4 luglio 2013  che hanno disciplinato peraltro proprio il fenomeno del “social spam“, ha quindi ritenuto illecito il trattamento degli indirizzi di posta elettronica.

(Fonte Garante Privacy)

7 Lug 2017

Il Garante per la protezione dei dati personali, in un recente provvedimento, ha dato riscontro ad un’istanza di verifica preliminare presentata da una Società del settore dell’alta moda.
L’istanza ha riguardato, in particolare, la possibilità di trattare dati personali riferiti alla clientela, raccolti su scala globale, “per finalità di profilazione e promozionali”, tra le quali il marketing e le ricerche di mercato, per un periodo superiore, rispettivamente, a dodici e ventiquattro mesi indicati nel citato provvedimento.

In base a quanto dichiarato, i dati presenti nel Crm riguarderebbero: dati anagrafici (nome, cognome e data di nascita) e di contatto (indirizzo, numero di telefono, email); ammontare complessivo degli acquisti individuali e dati di dettaglio rispetto agli stessi (stagione e data dell’acquisto, tipologia, ovvero categoria merceologica, modello, tipologia materiale, taglia e colore, numero di prodotti acquistati, prezzo dei prodotti, incluso l’eventuale sconto praticato.

Le finalità perseguite dalla società sarebbero: marketing nonché ricerche di mercato e studi rispetto al proprio settore di produzione; personalizzazione dei servizi offerti alla propria clientela (ad es. nei diversi punti vendita, consentendo al personale addetto alle boutique del gruppo di verificare quali acquisti siano stati effettuati in precedenza dal cliente).

In quest’ottica verrebbe implementato un sistema di Customer relationship management (Crm), al quale avrebbero accesso anche società del gruppo e partner commerciali, tutti in qualità di responsabili del trattamento.

Sulla base di questo, la Società ha chiesto che i tempi di conservazione dei dati presenti nel Crm fossero pari a dieci anni, in considerazione del fatto che i beni offerti sono di lusso e vista la frequenza media di acquisto da parte dei clienti, è estremamente bassa nel breve periodo, quindiun tempo inferiore ridurrebbe sensibilmente i vantaggi della profilazione.
Il Garante sulla base del provvedimento del 24 febbraio 2005, in cui per finalità di marketing e profilazione i tempi di conservazione sono rispettivamente dodici e ventiquattro mesi dalla loro registrazione, e considerato che nel settore dei beni di lusso potrebbero vanificare l’utilità della rilevazione in ragione della frequenza diradata degli acquisti, ha riconosciuto come un intervallo di conservazione pari a sette anni.
Oltracciò, il Garante ha voluto evidenziare la necessità che l’informativa prevista dall’art. 13 del Codice privacy contenga, in maniera analitica e dettagliata, l’indicazione esaustiva della tipologia dei dati da trattare e il periodo di conservazione degli stessi.
Infine ha ricordato come alla scadenza del periodo massimo di conservazione i dati personali oggetto dell’attività di profilazione e promozionali debbano essere cancellati automaticamente ovvero anonimizzati in modo permanente ed irreversibile.

(fonte Garante Privacy)

19 Apr 2017

Le colonnine che si trovano in stazione centrale a Milano ci spiano? Il Garante della Privacy ha chiesto chiarimenti alla società produttrice dei totem. Si tratta delle colonnine su cui vengono proiettate le pubblicità all’interno della struttura, i cosiddetti cartelloni «intelligenti». La segnalazione è partita da un professionista che occortosi di una segnalazione di errore mostrato da una delle colonnine, di solito ben illuminate dagli slogan pubblicitari, ha notato un sistema per il tracciamento facciale. In pratica si tratta di un software per il tracciamento facciale, in grado di riconoscere sesso, età e livello di attenzione di chi guarda.

Dati che vengono raccolti per poi essere ceduti alle agenzie di marketing per la misurazione del successo pubblicitario o per architettare nuove campagne. Pertanto stiamo parlando di una raccolta di dati per scopo di profilazione, in una stazione in cui passanono migliaia di di viaggiatori al giorno.

Ricordiamo, che per effettuare questo tipo di trattamento, occorre che gli utenti siano stati informati e, sopratutto, che sia stato acquisito un consenso specifico.

Il Garante, qualora le notizie inerenti a tale sistema dovessero trovare conferma, dovrà, altresì, verificare che la società abbia inoltrato una richiesta di verifica preliminare. Occorrerà, inoltre, effettuare un controllo in merito all’anonimato delle rilevazioni e alla possibilità di registrare le immagini visualizzate in tempo reale.

21 Nov 2016

Torniamo a parlare del consenso nell’attività di marketing. Nonostante il Garante Privacy si sia più volte espresso in materia e abbia emanato delle “Linee guida in materia di attività promozionale e contrasto allo spam” del 4 luglio 2013, in alcuni siti per procedere agli acquisti, il consenso è unico e generico.

Il caso specifico si muove a seguito di alcune segnalazioni ricevute dall’Autorità che ha avviato degli accertamenti, da cui è emerso che una società aveva offerto alla propria clientela la possibilità di gestire la scheda anagrafica, i consumi e le fatture direttamente sul sito web. Per usufruire di tali servizi, però, i clienti dovevano completare una procedura di registrazione dove erano costretti a barrare un’unica casella per concedere un consenso onnicomprensivo al trattamento dei loro dati personali sia per le finalità legate alla gestione del contratto, sia per la ricezione di messaggi di posta elettronica contenenti pubblicità o altro materiale promozionale. Una modalità che, in concreto, violava il principio, più volte rimarcato dal Garante, in base al quale il consenso, per essere ritenuto valido, non deve essere condizionato, ma libero, specifico e informato.

Nell’informativa (resa nell’ambito di un documento denominato “Trattamento dei dati personali”) si avvisavano gli interessati che «i dati […] potranno essere utilizzati da xx […] per la stipulazione e la gestione del contratto di erogazione dei Servizi indicati al punto 1 delle condizioni generali di contratto e per tutte le conseguenti operazioni di Suo interesse» (afferenti alla sfera contrattuale), nonché «al fine di inviarLe periodicamente messaggi contenenti pubblicità, materiale pubblicitario, annunci interni, iniziative promozionali, comunicazioni commerciali».

A fronte delle diverse finalità così identificate, non veniva però richiesto nel sito web uno specifico consenso per il trattamento dei dati raccolti per finalità promozionali; era invece possibile manifestare un unico consenso onnicomprensivo (“accetto”/”non accetto”) in relazione ai diversi trattamenti descritti nell’informativa.

Pertanto, i clienti non devono essere obbligati a rilasciare il consenso a ricevere comunicazioni promozionali, per poter usufruire dei servizi on line. Il consenso deve essere manifestato liberamente e non deve essere condizionato.

Nel corso dell’istruttoria, inoltre, il Garante ha rilevato che il ramo aziendale di fornitura del gas era stato acquisito da un’altra società, che non aveva provveduto, come previsto dalla normativa, a inviare ai nuovi clienti l’informativa relativa al trattamento dei dati personali.

L’azienda xxx, non risulta inoltre aver adempiuto all’obbligo di informativa di cui all’art. 13, comma 4, del Codice, in base al quale «se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione».

La tesi sulla mancanza di informativa dell’azienda non è conforme alla legge: non sarebbe stato possibile rendere l’informativa in forma individuale agli interessati perché «ne sarebbe disceso un impiego di mezzi manifestamente sproporzionato ‒ anche per costi e oneri ‒ rispetto al diritto tutelato», si è autonomamente determinata a procedere alla pubblicazione sul proprio sito web di una pagina dedicata ai “clienti ex xxx”.

Tale modalità, se del caso, avrebbe eventualmente dovuto essere stabilita dal Garante, come previsto dall’art. 13, comma 5, lett. c), del Codice, previamente adito, quale misura appropriata, ad esito di un’apposita valutazione sull’impossibilità (o eccessiva onerosità) in concreto dell’adempimento dell’obbligo informativo in forma individuale.

L’Autorità ha quindi vietato al primo operatore energetico, che aveva predisposto lo sportello per i servizi on line, di utilizzare per finalità di marketing i dati personali di cui era ancora in possesso in assenza di un valido consenso. Ha invece prescritto alla società acquirente del ramo gas di provvedere quanto prima a informare i clienti sulle modalità di trattamento dei loro dati.

(Fonte Garante Privacy)