NEWSLETTER N. 500 del 21 febbraio 2023
- Telemarketing, Garante: il “no” dell’utente va registrato subito
- Sanità: per le ricette transfrontaliere servono maggiori garanzie
- Cloud nella PA: le Autorità Ue chiedono il rispetto della privacy
Telemarketing, Garante: il “no” dell’utente va registrato subito
Se l’utente dice “no” alla telefonata commerciale indesiderata il call center o la società che lo ha contattato deve annotare subito la sua volontà e cancellare il nominativo dalle liste utilizzate per il telemarketing. L’opposizione espressa nel corso della telefonata non deve essere confermata con email o altre modalità, come invece viene spesso richiesto di fare da parte degli operatori, ed è valida anche per le campagne promozionali future.
Il principio è stato affermato dal Garante privacy che, al termine di una complessa attività istruttoria, ha rilevato diverse condotte illecite messe in atto da Edison Energia spa nei confronti di un numero rilevante di utenti. L’Autorità ha quindi ingiunto alla società l’adozione di una serie di misure per mettersi in regola e le ha ordinato il pagamento di una sanzione di 4 milioni e 900 mila euro.
Entro il termine stabilito, la società si è avvalsa della facoltà di definire la controversia ed ha pagato un importo pari alla metà della sanzione comminata.
Le gravi irregolarità sono emerse nel corso degli accertamenti effettuati dall’Autorità a seguito di diverse segnalazioni ed hanno evidenziato: la ricezione di telefonate senza consenso; il mancato riscontro alle richieste di non ricevere più telefonate indesiderate; l’impossibilità di esprimere consensi liberi e specifici per diverse finalità (promozionali, profilazione, comunicazione di dati a terzi) nell’ambito del sito o dell’app, la presenza di informative carenti o inesatte.
Il Garante ha quindi ordinato a Edison di facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e fornire riscontro, senza ritardo, alle istanze, comprese quelle relative al diritto di opposizione.
Diritto che – ha specificato l’Autorità – può essere esercitato “in qualsiasi momento” (anche nel corso della telefonata promozionale) e la volontà dell’utente deve essere correttamente registrata.
Il Garante ha inoltre vietato alla società ogni ulteriore trattamento per finalità promozionali effettuato utilizzando liste di contatti predisposte da altre aziende che non abbiano acquisito un consenso libero, specifico, informato e documentato alla comunicazione dei dati degli utenti. Se la società vorrà, in futuro, utilizzare per l’attività promozionale utenze telefoniche fornite da terzi dovrà verificare costantemente, anche attraverso adeguati controlli a campione, che i dati siano trattati nel pieno rispetto della normativa privacy.
Alla società infine è stato vietato il trattamento dei dati per finalità di marketing e di profilazione raccolti senza un consenso libero e specifico e le è stato ingiunto di fornire agli utenti un’informativa corretta, nella quale siano indicate solo le attività di trattamento effettivamente svolte.
Sanità: per le ricette transfrontaliere servono maggiori garanzie
Le indicazioni del Garante privacy al Ministero della Salute
Per le ricette transfontaliere occorrono maggiori garanzie e il Garante per la protezione dei dati personali è pronto ad offrire la sua collaborazione al Ministero della salute per un sistema di assistenza transfrontaliera a prova di privacy.
E’ questo il contenuto del parere che l’Autorità ha reso al Ministero della Salute su uno schema di decreto che definisce le modalità di accesso alle prescrizioni di medicinali rilasciate nel territorio italiano a pazienti che intendano utilizzarle in un altro Stato membro dell’Unione europea.
Il Garante ha innanzitutto sottolineato che i dati sulla salute, per la loro particolare natura, necessitano di una tutela rafforzata e devono conformarsi alla specifica normativa sulla protezione dati, rispettandone i principi. Ha dunque dato precise indicazioni al Ministero per superare le diverse criticità presenti al momento nel testo. Sarà necessario, in particolare, riformulare e chiarire meglio i rapporti tra i diversi soggetti (medici prescrittori, Ministero della salute, Ministero dell’economia e delle finanze ecc.) coinvolti nel processo di generazione e utilizzo della ricetta transfrontaliera, specificando la titolarità dei trattamenti dati. Lo schema dovrà precisare meglio le informazioni da rendere all’interessato e indicare la corretta base giuridica e il motivo di interesse pubblico rilevante che consentono il trattamento dei dati e dovrà specificare le operazioni eseguibili e le appropriate tutele previste per i diritti fondamentali degli interessati.
Il Ministero dovrà inoltre rendere conformi alle indicazioni del Garante, rese anche con precedente parere (22 agosto 2022, n. 294), le modalità attraverso le quali il Sistema Tessera sanitaria rende disponibili i dati ai Fascicoli Sanitari Elettronici e ai dossier farmaceutici attraverso l’infrastruttura nazionale. Andranno specificati infine i soggetti che possono accedervi e per quali finalità. Allo scopo di garantire la qualità e la sicurezza delle informazioni andranno adottate inoltre opportune misure, quali, ad esempio, la preventiva valutazione d’impatto.
Cloud nella PA: le Autorità Ue chiedono il rispetto della privacy
Il Comitato europeo per la protezione dati (EDPB) ha adottato una relazione sui risultati della sua prima azione di applicazione coordinata relativa all’uso di servizi cloud da parte del settore pubblico.
Il Report è frutto dell’attività di 22 Autorità privacy dello Spazio economico europeo che, nell’ambito del Quadro di attuazione coordinata (CEF – Coordinated Enforcement Framework), hanno avviato indagini coordinate sull’utilizzo del cloud nelle amministrazioni pubbliche, interpellando un centinaio di enti, attivi in settori cruciali come sanità, fisco e istruzione, ma anche centrali di acquisto e fornitori ICT.
Nella relazione, l’EDPB ha sottolineato la necessità per gli enti pubblici di agire nel pieno rispetto del GDPR, fornendo alle PA una serie di raccomandazioni, a cominciare dalla rinegoziazione dei contratti cloud, con il coinvolgimento del responsabile della protezione dati. Il Comitato europeo invita inoltre le Autorità di protezione dati a promuovere la conformità delle soluzioni cloud, attraverso la pubblicazione di pareri non vincolanti (o raccomandazioni) sugli obblighi dei titolari e sull’importanza di condurre una valutazione d’impatto.
All’indagine ha partecipato anche il Garante privacy. Dal contesto italiano emerge una generale “mancanza di consapevolezza” sui trasferimenti verso Paesi terzi e sulle richieste di accesso ai dati conservati nello Spazio economico europeo da parte di autorità pubbliche di Paesi terzi, oltre che sull’eventuale ulteriore trattamento dei dati realizzato dai fornitori di servizi cloud tramite la telemetria (utilizzata per monitorare il funzionamento dell’infrastruttura). Un altro aspetto delicato riguarda l’audit: alcuni enti hanno lamentato come i cloud provider non permettano lo svolgimento di attività di verifica e ispezione e come sia difficile accordarsi su clausole specifiche.
“Il rapporto – ha commentato Andrea Jelinek Presidente dell’EDPB – fornisce un utile metro di paragone e confido che diventerà un importante punto di riferimento per le amministrazioni che cercano servizi cloud conformi al Regolamento europeo”.
L’ATTIVITÀ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità
-
Presentazione del volume “La Privacy dell’Era Digitale. Le Relazioni dei Presidenti dell’Autorità Garante 1997-2022”. Il 22 febbraio diretta streaming – 17 febbraio 2023
-
Intelligenza artificiale, dal Garante privacy stop al chatbot “Replika”
Troppi i rischi per i minori e le persone emotivamente fragili – Comunicato del 3 febbraio 2023 -
Il Metaverso tra utopie e distopie. Il convegno del Garante privacy in occasione della Giornata europea – Comunicato del 25 gennaio 2023
NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it
Iscrizione alla Newsletter – Cancellazione dal servizio – Informazioni sul trattamento dei dati personali