Newsletter 17/04/23 – Marketing: Garante privacy, no all’uso di modalità ingannevoli – PA: sì agli elogi sul sito web, ma attenzione alla privacy – Fisco: via libera all’invio telematico dei dati sugli abbonamenti ai mezzi pubblici – A Budapest la Conferenza di primavera dei Garanti Ue

 

NEWSLETTER N. 502 del 17 aprile 2023


Marketing: Garante privacy, no all’uso di modalità ingannevoli
Sanzionata una digital company

Il Garante privacy ha sanzionato una società che offre servizi di digital marketing con una multa di 300mila euro per aver trattato in modo illecito dati personali a fini di marketing.

La digital company veicolava agli utenti presenti nel proprio database i messaggi ricevuti dalle società sue clienti (tutte di medio-grande dimensione e alcune molto conosciute) per effettuare campagne promozionali via sms, email e attraverso chiamate automatizzate. Il database era costituito da dati raccolti direttamente dalla società attraverso i propri portali online (di notizie, concorsi a premi, curiosità, ricette di cucina), ma anche da informazioni personali acquistate da broker di dati.

Dalle verifiche effettuate dall’Autorità, è emerso che in alcuni dei portali di proprietà della società, venivano utilizzati i cosiddetti “modelli oscuri” (dark patterns) che, attraverso interfacce grafiche opportunamente realizzate e altre modalità potenzialmente ingannevoli, invogliavano l’utente a prestare il consenso al trattamento dei dati per finalità di marketing e alla comunicazione dei dati a terzi sempre per la stessa finalità.

Negli stessi portali, l’Autorità ha rinvenuto una serie di altre violazioni, a partire dalla incapacità della società di dimostrare, in alcuni casi, l’acquisizione del consenso per l’invio di messaggi promozionali, fino all’obbligo per l’utente di fornire risposte sulle sue abitudini di acquisto o alla richiesta di inserire i dati di contatto (nome, email) di amici potenzialmente interessati ai servizi offerti. Da ultimo, anche l’invito a cliccare su un link che conduceva ad un altro sito per scaricare un e-book, con i dati di profilo dell’utente già riconosciuti e i consensi privacy già tutti selezionati.

L’Autorità inoltre, ricordando le verifiche da effettuare nel caso di acquisizione di banche dati da terzi, si è pronunciata in merito alla corretta ripartizione dei ruoli in ordine al trattamento dei dati personali tra le parti commerciali coinvolte nella filiera del marketing digitale.

Il Garante, tenendo conto delle misure correttive adottate, ha ammonito la società e ha vietato alcuni trattamenti ordinando il pagamento di una sanzione.

Entro il termine stabilito, la società ha definito la controversia pagando un importo pari alla metà della sanzione comminata.

 



PA: sì agli elogi sul sito web, ma attenzione alla privacy

L’uso del pennarello nero o del bianchetto non rappresenta una modalità efficace per rendere anonimi i dati personali degli utenti che vengono pubblicati on line. Anche nella pubblicazione dei feedback positivi sulla loro attività, le amministrazioni pubbliche devono tener presente la disciplina privacy, specialmente quando si tratta di dati sanitari.

È quanto sottolinea il Garante per la protezione dei dati personali al termine di una istruttoria che ha portato una sanzione di 50mila euro per l’Azienda sanitaria locale di Bari.

A seguito di una segnalazione giunta all’Autorità, è emerso infatti che la Asl, nel corso di sei anni, ha diffuso informazioni sullo stato di salute di centinaia di interessati all’interno di una sezione del sito istituzionale, denominata “Parlano bene di noi” e dedicata a raccogliere gli elogi ricevuti da utenti e associazioni.

Lo scopo era dunque quello di informare sul miglioramento dei rapporti con i cittadini, ma nei documenti consultabili on line (copie scansionate degli appositi moduli di ringraziamento, e-mail e lettere) erano presenti dati anagrafici e di contatto degli assistiti e numerose informazioni relative allo stato di salute dei soggetti che avevano presentato l’elogio, come dettagli clinici degli interventi o delle prestazioni ricevute, diagnosi, anamnesi. In alcuni elogi pubblicati, i riferimenti erano stati cancellati, in modo approssimativo, con il tratto di un pennarello nero, che non impediva di leggere le parti oscurate e da cui era possibile identificare gli autori.

Nel sanzionare la struttura, il Garante ha ricordato che la disciplina privacy impedisce la diffusione delle informazioni sullo stato di salute e che tali dati possono essere comunicati a un soggetto diverso dall’interessato solo sulla base di un idoneo presupposto giuridico o su indicazione dell’interessato stesso.

L’Autorità, ha inoltre osservato che la procedura di cancellazione manuale con pennarello o con bianchetto, per sua natura imprecisa e non definitiva, non può essere definita idonea a rendere anonime le informazioni personali degli interessati, né può definirsi una procedura di “pseudonimizzazione”, anche se eseguita in modo efficace, quanto piuttosto una semplice procedura manuale di oscuramento delle generalità degli interessati.

 



Fisco: via libera all’invio telematico dei dati sugli abbonamenti ai mezzi pubblici

Parere favorevole del Garante privacy sullo schema di decreto del Ministro dell’economia e delle finanze riguardante l’invio telematico all’Agenzia delle Entrate dei dati relativi alle spese per l’acquisto degli abbonamenti al trasporto pubblico locale, regionale e interregionale ai fini della richiesta di detrazione nella dichiarazione dei redditi precompilata.

La detrazione è rivolta a quei cittadini che per i loro spostamenti quotidiani si servono dei mezzi pubblici: studenti, lavoratori, pensionati.

Il testo recepisce le indicazioni fornite dall’Autorità nel corso delle interlocuzioni con il Ministero, volte a garantire il rispetto della protezione dei dati personali trattati.

La legge di Bilancio 2020 ha infatti introdotto la detrazione Irpef del 19% per gli abbonamenti ai servizi di trasporto, con un limite massimo di richiesta di 250 euro.

L’agevolazione riguarda sia le spese sostenute direttamente dal contribuente per l’acquisto dell’abbonamento, sia quelle affrontate per conto dei familiari fiscalmente a carico. Le detrazioni sono previste solo nel caso in cui gli oneri siano sostenuti con strumenti di pagamento tracciabili come bancomat, carte di credito, bollettini di conto corrente postale.

Il decreto del Ministero stabilisce in particolare che gli enti pubblici e i soggetti privati affidatari del servizio di trasporto trasmettano telematicamente all’Agenzia delle Entrate una comunicazione contenente le spese dei cittadini, con l’indicazione dei dati identificativi dei titolari degli abbonamenti e di coloro che hanno sostenuto le spese. Anche i soggetti che erogano i rimborsi sono tenuti alle medesime comunicazioni.

Seguirà uno schema di decreto per le modalità tecniche di utilizzo dei dati predisposto dall’Agenzia delle Entrate su cui il Garante si riserva di esprimere le proprie valutazioni.

 


A Budapest la Conferenza di primavera dei Garanti Ue
Al centro dei lavori la figura del Dpo

Si terrà a Budapest, dal 10 al 12 maggio, la Conferenza di primavera delle Autorità europee di protezione dati. L’evento, giunto alla 31a edizione, sarà per la prima volta aperto al pubblico, con un open day (il 12 maggio) che avrà come tema principale il Data protection officer, il suo ruolo all’interno delle organizzazioni e il rapporto con le Autorità.

Tra le sessioni in programma nel corso della Conferenza di primavera si segnalano quelle sulla valutazione dell’impatto sociale dell’uso delle nuove tecnologie in differenti ambiti; sull’interazione tra protezione dati e concorrenza (anche alla luce dei regolamenti sui Servizi e sui Mercati digitali); le buone prassi nella cooperazione fra autorità europee ed extra-europee e un aggiornamento sulle più recenti decisioni della Corte europea dei diritti dell’uomo e Corte di Giustizia dell’Unione europea.

L’11 maggio, in occasione della Spring Conference, il Garante privacy organizza nella sede dell’Istituto italiano di cultura il workshop “Persone vulnerabili: strumenti di tutela on line. I minori e la verifica dell’età”, nel corso del quale interverranno il Presidente, Pasquale Stanzione, la Vice Presidente, Ginevra Cerrina Feroni, il componente del collegio, Agostino Ghiglia, mentre l’altro componente Guido Scorza parteciperà come relatore al panel “Best Practices in Enforcement Cooperation between EEA and non-EEA countries” (10 maggio).

Il focus rivolto alla figura del DPO nel corso della Conferenza si pone in continuità con la strategia del Comitato europeo per la protezione dati (EDPB). Proprio al Responsabile della protezione dati è dedicata l’azione coordinata per l’attuazione del Regolamento nel 2023 (Coordinated Enforcement Framework – CEF 2023), a cui partecipano 26 Garanti, compreso l’EDPS. Le Autorità, attraverso questionari, accertamenti formali e follow-up, si concentreranno sugli aspetti della designazione e della posizione degli RPD nelle organizzazioni. Le iniziative del CEF mirano ad armonizzare l’attuazione delle norme e la cooperazione tra le autorità di controllo.

 

 


 

L’ATTIVITÀ DEL GARANTE – PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

  • Smishing: i suggerimenti del Garante per proteggersi dal phishing che sfrutta SMS e messaggistica – 14 aprile 2023

  • ChatGPT: al via una task force europea – Comunicato del 13 aprile 2023

  • ChatGPT: Garante privacy, limitazione provvisoria sospesa se OpenAI adotterà le misure richieste. L’Autorità ha dato tempo alla società fino al 30 aprile per mettersi in regola – Comunicato del 12 aprile 2023

  • Garante privacy e Agcom insieme per tutelare i minori online. Istituito un tavolo di lavoro per elaborare un codice di condotta nell’ambito del protocollo d’intesa – Comunicato del 12 aprile 2023

  • ChatGPT: Garante privacy, iniziato l’esame delle misure proposte da OpenAI – Comunicato dell’8 aprile 2023

  • ChatGPT: OpenAI collabora con il Garante privacy con impegni per tutelare gli utenti italiani – Comunicato del 6 aprile 2023

  • ChatGPT: domani incontro tra OpenAI e Garante privacy – Comunicato del 4 aprile 2023

  • Intelligenza artificiale: il Garante blocca ChatGPT Raccolta illecita di dati personali. Assenza di sistemi per la verifica dell’età dei minori – Comunicato del 31 marzo 2023

  • Telemarketing: Il Garante privacy approva il codice di condotta. Le regole entreranno in vigore una volta costituito l’Organismo di monitoraggio – Comunicato del 24 marzo 2023

  • Vishing: i suggerimenti del Garante per proteggersi dal phishing telefonico – 22 marzo 2023

  • Statistiche europee: EDPS, attenzione a non interferire col diritto alla protezione dati – 21 marzo 2023

  • Parità di genere: dal Garante privacy un aiuto alle PMI. Online il questionario dedicato a raccogliere i bisogni delle piccole e medie imprese – 16 marzo 2023

  • GDPR: focus dei Garanti europei sul ruolo dei responsabili della protezione dei dati – Comunicato del 15 marzo 2023

 

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 – 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it

Iscrizione alla Newsletter – Cancellazione dal servizio – Informazioni sul trattamento dei dati personali