NEWSLETTER N. 513 dell'8 novembre 2023

• Telemarketing: il Garante multa una società per 70mila euro
• Telecamere private, Garante: no alla ripresa di aree pubbliche
• Sistema informativo per le dipendenze: ok del Garante
• I Garanti privacy del mondo: l’AI metta al centro l’uomo

Telemarketing: il Garante multa una società per 70mila euro*
Con l’acquisto del caffè arrivava anche la telefonata di disturbo

*L'efficacia del provvedimento è stata sospesa dal Tribunale ordinario civile di Roma

Con l’acquisto del caffè arrivava anche la telefonata di disturbo. Il Garante privacy ha comminato una sanzione di 70mila euro ad una società produttrice di caffè per aver promosso il proprio marchio attraverso telefonate indesiderate, insistenti e concentrate nel tempo, rivolte per lo più ad utenti iscritti nel Registro pubblico delle opposizioni (Rpo).

L’Autorità si è attivata a seguito di numerose segnalazioni e reclami di utenti che lamentavano di aver ricevuto le chiamate anche da numerazioni telefoniche contraffatte. In molti casi le telefonate indesiderate seguivano l’acquisto del caffè. Alla richiesta di informazioni da parte del Garante, la società ha risposto che l’attività di marketing telefonico riguardava dati personali degli utenti acquisiti con diverse modalità: tramite il form presente nel proprio sito internet, mediante il passaparola dei clienti, il programma “Presenta un amico” e liste di contatti raccolti da società terze.

Dalle verifiche effettuate dall’Autorità sono emerse diverse violazioni, a partire dall’uso dei dati per finalità di marketing senza aver acquisito il consenso degli utenti e senza aver loro fornito una apposita informativa (assente nel corso delle telefonate e insufficiente quella presente sul sito internet poiché l’attività promozionale non era indicata tra le finalità perseguite dalla società). La stessa violazione aveva peraltro riguardato anche utenti che avevano acquistato il caffè attraverso il call center dal momento che l’ordine di acquisito era considerato come prova del consenso al marketing. La società inoltre non aveva attivato controlli preventivi per verificare se le utenze presenti nel proprio database fossero iscritte nel Registro pubblico delle opposizioni e aveva del tutto omesso controlli sul processo di acquisizione dei dati da parte delle società terze.

Alla luce delle gravi violazioni riscontrate, l’Autorità ha pertanto inflitto alla società una multa di 70mila euro per trattamento illecito di dati personali.

La società inoltre dovrà cancellare i dati acquisiti illecitamente per finalità di marketing e attivare idonee misure tecniche, organizzative e di controllo affinché il trattamento dei dati personali degli utenti avvenga nel rispetto della normativa privacy lungo tutta la filiera.

Telecamere private, Garante: no alla ripresa di aree pubbliche
Le telecamere “ascoltavano” anche le conversazioni dei passanti

Quando si installano sistemi di videosorveglianza in ambito personale o domestico, oltre a rispettare la riservatezza dei vicini, è necessario prestare la massima attenzione a non riprendere aree pubbliche. Lo ha ricordato il Garante Privacy nell’ammonire un cittadino che aveva installato sul muro esterno della propria abitazione alcune telecamere che potevano riprendere l’area pubblica antistante con un parco giochi e una piazza. L’intervento dell’Autorità segue la segnalazione di una stazione dei Carabinieri.

Dagli accertamenti degli agenti risultava infatti che l’impianto di videosorveglianza era composto da una prima telecamera posizionata sulla porta di accesso dell’abitazione in grado di riprendere zone non di diretta pertinenza, in violazione del Regolamento europeo. Il dispositivo, oltre a riprendere le immagini, consentiva di registrare le conversazioni di chi passava nelle vicinanze e di intervenire parlando attraverso il microfono. L’impianto prevedeva poi una seconda telecamera, non attiva, posizionata alla fine di un vialetto che collegava l’entrata con uno spazio interno all’edificio.

Nel corso dell’istruttoria il Garante privacy ha accertato che la ripresa dell’area pubblica, rispetto a quelle di propria pertinenza, era avvenuta in maniera non conforme ai principi di liceità e di minimizzazione dei dati della normativa privacy. Se infatti i trattamenti effettuati mediante sistemi di videosorveglianza installati per attività domestiche sono da ritenersi, in linea di massima, esclusi dall’ambito di applicazione della disciplina privacy, nel caso in cui l’angolo di visuale delle telecamere si estenda ad aree pubbliche o proprietà altrui essi sono soggetti agli obblighi del Regolamento.

Nel caso in esame, l’istruttoria ha rilevato che la ripresa delle aree pubbliche era avvenuta in assenza di idonei presupposti di liceità, considerato che chi ha installato le telecamere non ha dimostrato la sussistenza di un legittimo interesse riferito a una situazione di rischio effettivo che avrebbe potuto giustificare tale trattamento. Ciò vale ancora di più per la captazione di conversazioni avvenute in spazi pubblici attraverso dispositivi audio. Soltanto in presenza di situazioni di pericolo concreto si può estendere la ripresa delle videocamere anche ad aree comuni, luoghi aperti al pubblico o di pertinenza di terzi, purché ciò sia adeguatamente motivato e suffragato da idonea documentazione (es. denunce, minacce, furti).

Tenuto conto del fatto che la condotta ha esaurito i suoi effetti, avendo egli provveduto subito dopo l’apertura dell’istruttoria a sostituire la telecamera precedentemente installata con una fissa puntata verso l’ingresso, il Garante ha limitato il suo intervento al solo ammonimento.

Sistema informativo per le dipendenze: ok del Garante
Il Ministero della salute non raccoglierà l’informazione sulla condizione di detenuto

Via libera del Garante Privacy allo schema di decreto del Ministro della salute sul Sistema informativo nazionale per le dipendenze (SIND).

Il Garante ha rilasciato parere favorevole dopo un fitto confronto con il Ministero nell’ambito del quale sono state accolte le osservazioni sui profili di protezione dei dati che erano state sollevate dall’Ufficio.

In particolare, il Ministero ha recepito l’indicazione a non raccogliere nel SIND l’informazione relativa alla condizione di detenuto degli individui affetti da dipendenze, in quanto non previsto dalla normativa vigente né da quella di riforma della sanità penitenziaria.

Sono state inoltre definite puntualmente le specifiche finalità che saranno perseguite attraverso l’uso di dati aggregati. Il Ministero ha inoltre fornito assicurazioni in merito all’attività di “Monitoraggio HIV” effettuata tramite il SIND. Rileverà infatti solo dati aggregati relativi all’esecuzione del test sierologico HIV da parte degli utenti dei servizi per le dipendenze, in cui non saranno presenti informazioni di natura anagrafica.

Particolare attenzione è stata posta dal Garante sui tempi di conservazione dei dati, che sono stati determinati sulla base di comprovate argomentazioni tecnico-scientifiche e in analogia con quelli previsti per gli altri sistemi informativi del Ministero.

Il Garante nel suo parere ha colto l’occasione per richiamare i soggetti appartenenti al sistema statistico nazionale (SISTAN) al rispetto della disciplina di settore per i trattamenti di dati effettuati attraverso il SIND per finalità statistiche o di ricerca scientifica. La produzione di analisi e indicatori statistici sul fenomeno dell’assistenza sanitaria a persone con dipendenze o con comportamenti a rischio di uso e di abuso di sostanze sarà dunque a cura dell’Ufficio ministeriale di statistica.

I Garanti privacy del mondo: l’AI metta al centro l’uomo
Approvata anche una risoluzione sull’intelligenza artificiale applicata al contesto lavorativo

Hamilton, capitale delle Bermuda, ha ospitato dal 15 al 20 ottobre la 45a Global Privacy Assembly. La conferenza, che riunisce le Autorità di protezione dati a livello mondiale, si è articolata in una sessione aperta, con il coinvolgimento di diversi attori pubblici e privati, e in una sessione chiusa, riservata alle sole Autorità privacy.

I panel della sessione aperta sono stati dedicati all’intelligenza artificiale e alle tecnologie emergenti, alla protezione dei dati personali nel settore finanziario e, nella sessione chiusa, al panel relativo alle nuove tendenze della privacy e delle nuove tecnologie.

Proprio nel corso della sessione chiusa sono state adottate alcune risoluzioni sui temi più attuali della protezione dei dati personali, come il trattamento dei dati sanitari nella ricerca scientifica, la definizione di standard privacy globali, i sistemi di intelligenza artificiale generativa, come ChatGPT.

Il Garante privacy ha collaborato, insieme alle Autorità di Germania e Regno unito, alla stesura di una risoluzione sull’uso dell’intelligenza artificiale in ambito lavorativo.

Dal reclutamento dei candidati alla stipula del contratto, fino al monitoraggio dei dipendenti, il documento chiede di garantire un uso dei sistemi di AI incentrato sull'uomo. Visto il potenziale impatto sulla vita personale e professionale dei lavoratori, lo sviluppo di strumenti di intelligenza artificiale deve infatti avvenire secondo i principi della protezione dei dati by design e by default (cioè con garanzie previste fin dalla progettazione e per impostazione predefinita, che limitino al minimo l’uso dei dati e gli scopi per i quali sono trattati). Anche per il trattamento dei dati personali sono richieste un’adeguata base giuridica e garanzie volte a evitare una sorveglianza sproporzionata rispetto alle finalità, nel rispetto dei principi di necessità, proporzionalità e minimizzazione dei dati.

Il documento evidenzia inoltre, come previsto dalla normativa, il diritto di non essere soggetti a una decisione basata esclusivamente o principalmente su mezzi automatizzati, e richiama l’attenzione sul rischio di adottare modelli discriminatori.

La prossima Global Privacy Assembly è in programma a Jersey, dal 28 ottobre al 1° novembre 2024.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

• Al via la sesta edizione del Premio Stefano Rodotà. Il Consiglio d’Europa premia studi e ricerche nel campo della protezione dei dati personali – Comunicato del 7 novembre 2023

• Il Garante italiano incontra l’Autorità privacy islandese. Due giorni di lavori a tutela dei minori a partire dai casi Chatgpt, Replika, TikTok e Seesaw – Comunicato del 27 ottobre 2023

NEWSLETTER del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751- Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.gpdp.it