Alcuni casi particolari
Transcript
Alcuni casi particolari
Alcuni casi particolari Risposte del Garante a quesiti, segnalazioni e ricorsi __________________________________ Pubblicità via fax Invio di fax per ricerche di mercato, promozioni, comunicazioni commerciali, vendita diretta, pubblicità o invio di materiale commerciale è lecito solo ottenuto il preventivo ed esplicito consenso del destinatario, anche se il numero compare in un elenco pubblico o viene reperito su Internet. Rientra nella fattispecie dell’invio di comunicazioni commerciali mediante sistemi automatizzati di chiamata senza l’intervento di un operatore (art. 130 del Codice). Destinatario ha il diritto di opporsi gratuitamente. Non è lecito chiedere che l’opposizione possa essere esercitata solo mediante l’invio di un fax a tariffa speciale (superiore a quella standard). 2 SMS pubblicitari 1/2 Provvedimento generale del Garante del 10 giugno 2003. Illecito inviare SMS per scopi promozionali, pubblicitari, di informazione commerciale o di vendita diretta senza il consenso specifico dell’abbonato. Consenso è necessario sia per promuovere servizio altrui sia per promuovere un proprio servizio. Illecito considerare SMS pubblicitari come ‘messaggi di servizio’ per eludere la normativa. Illecito subordinare stipula contratto telefonico o attivazione carta prepagata al consenso a ricevere messaggi pubblicitari. Scelta deve essere libera. 3 SMS pubblicitari 2/2 Consenso informato è necessario anche se SMS sono inviati da soggetti diversi dai gestori di telefonia mobile (es. attraverso siti web). Non corretto inviare SMS di ‘disturbo’ (es. in ore notturne). Provvedimento generale si applica anche a chi utilizza numeri generati in base a composizione casuale o automatizzata e non estraendoli da banche dati. Interessati devono poter esercitare i diritti previsti dalla legge. 4 MMS 1/3 Provvedimento generale del Garante del 12 marzo 2003. Immagini, suoni, filmati inviati via MMS possono contenere dati personali. La loro raccolta, divulgazione a terzi e conservazione possono costituire un trattamento. Non si applica il Codice quando: gli MMS non contengono dati personali; oppure i dati sono trattati per ‘fini esclusivamente personali’, a condizione che i dati non siano destinati a una ‘comunicazione sistematica’ o alla ‘diffusione’. 5 MMS 2/3 Non si applica Codice per l’invio occasionale di foto ad amici o familiari. Resta in ogni caso l’obbligo di mantenere sicure le informazioni raccolte a tutela della riservatezza dei soggetti fotografati. Si applica il Codice se la foto è diffusa in Internet o comunicata sistematicamente a terzi, anche per scopi culturali o informativi, quindi: obbligo del consenso dell’interessato, informativa, disposizioni particolari per dati sensibili. 6 MMS 3/3 L’uso di MMS implica il rispetto di ulteriori obblighi di legge, previsti da disposizioni diverse dal Codice: Abuso dell’immagine altrui (art. 10 c.c.). Esposizione, riproduzione, messa in commercio non consentita di immagini di una persona (legge 633/41): necessario il consenso della persona tranne in caso di notorietà, motivi di giustizia, polizia o scopi scientifici, o quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico. Vietato il commercio se reca pregiudizio all’onore, alla reputazione o al decoro della persona ritrattata. Illeciti penali: a) indebita raccolta, rivelazione e diffusione di immagini attinenti la vita privata in abitazioni altrui (615 bis c.p.); b) ingiurie, se si offende l’onore o il decoro del destinatario (594 c.p.); c) pubblicazioni oscene (528 c.p.); d) tutela dei minori riguardo al materiale pornografico (600 ter c.p.). 7 Videosorveglianza 1/2 Installare e utilizzare un sistema di videosorveglianza = trattamento di dati personali (= immagini delle persone). Provvedimento del Garante del 29 aprile 2004. Presupposti di liceità Alcuni limiti sono posti da: -disciplina su installazione audiovisivi -norme civili e penali su interferenze illecite nella vita privata, tutela della dignità, dell’immagine, del domicilio e degli altri luoghi cui è riconosciuta analoga tutela (toilette, stanze d’albergo, cabine, spogliatoi, ecc.) -norme riguardanti la tutela dei lavoratori, in particolare l. 300/1970 (Statuto dei lavoratori) -norme sulle intercettazioni. 8 Videosorveglianza 2/2 Nella videosorveglianza occorre tenere conto di: • principio di necessità, • principio di proporzionalità, • principio di finalità, • informativa – informativa minima, • verifica preliminare Garante, • autorizzazioni, • misure minime di sicurezza. 9 Banche: impronte digitali e telecamere Associazione tra impronte digitali e immagini dei clienti possibile solo in condizioni di effettivo rischio. Obbligo di informare i clienti (cartelli). Deve essere possibile accedere ai locali anche senza sottoporsi a questi trattamenti (es. esibizione di documento di identità). Telecamere devono inquadrare solo l’accesso alla banca. E’ sufficiente l’impronta di un solo dito. Immagini devono essere crittate prima della registrazione. Ai dati ‘in chiaro’ possono accedere solo polizia e autorità giudiziaria. Istituito il ‘vigilatore dei dati’ (soggetto indipendente). Dati cancellati automaticamente dopo una settimana (salvo 10 motivi di giustizia o richiesta interessato). Spamming 1/3 Provvedimento generale del Garante del 29 maggio 2003. Utilizzo e-mail per scopi pubblicitari, di vendita diretta, ricerche di mercato, comunicazione commerciale interattiva è lecito solo previo consenso del destinatario (= opt-in). Consenso è necessario anche se indirizzi sono formati e utilizzati automaticamente con un software. E-mail non sono pubbliche, non sono liberamente utilizzabili da chiunque per il solo fatto di essere liberamente accessibili in rete. Non provengono da pubblici registri, elenchi o documenti sottoposti a un regime di piena conoscibilità. Non rileva che i dati siano conoscibili per mere circostanze di fatto. 11 Spamming 2/3 Acquisto di banche dati di e-mail: è necessario accertare che ogni destinatario abbia acconsentito all’utilizzo della email per invio di materiale pubblicitario. Necessario inviare informativa al momento della registrazione dei dati. Interessati devono poter esercitare i diritti riconosciuti dalla legge, gratuitamente e senza formalità. Invio anonimo di messaggi pubblicitari e promozionali è vietato (= trattamento illecito di dati personali). Oggetto del messaggio dovrebbe indicare la natura pubblicitaria-promozionale. 12 Spamming 3/3 Esistenza di eventuali elenchi predisposti dagli operatori (c.d. ‘black-list’) non impone agli utenti un obbligo di iscrizione. Silenzio dell’interessato = diniego del consenso. E-mail provenienti dall’estero: non si applica la legge italiana sulla protezione dei dati personali. L’utente può chiedere una verifica da parte dell’autorità competente nazionale. Garante può valutare la singola posizione dei fornitori e contestare violazioni amministrative o trasmettere gli atti all’autorità giudiziaria penale (es. in caso di truffa via e-mail). 13 E-mail pubblicitarie Provvedimento del Garante del 20 aprile 2006. Non è consentito inviare e-mail pubblicitarie senza il preventivo consenso del destinatario, anche se si tratta del primo invio. 14 RFID 1/3 Radio Frequency Identification = può comportare un trattamento di dati personali Potenziale violazione privacy e controllo delle persone (es. profilazione, verifica dei percorsi, controllo della posizione geografica, ecc.). Pericolo di lettura e riscrittura da terzi non autorizzati (spec. se integrati con infrastrutture di rete). Provvedimento generale del Garante del 9 marzo 2005. 15 RFID 2/3 Informativa sull’uso di RFID e di lettori ottici che li attivano; non è sufficiente un avviso affisso nei locali; necessaria informativa sui prodotti e oggetti con RFID. Consenso deve essere espresso, libero e specifico. Disattivazione dopo l’acquisto; illecite RFID dopo la ‘barriera cassa’. Particolari cautele per RFID per accesso a luoghi riservati (= vietato controllo a distanza dei lavoratori; accesso occasionale deve essere possibile anche se RFID è indisponibile). 16 RFID 3/3 Microchip sottopelle in linea di principio esclusi (contrastano con i diritti le libertà fondamentali e la dignità della persona). Permessi solo in casi eccezionali per esigenze di tutela della salute ‘comprovate e giustificate’. Interessato deve poter chiedere la rimozione del microchip. Uso RFID proporzionale agli scopi, per le finalità per cui dati sono stati raccolti, conservazione per il tempo necessario. Obbligo di adottare misure di sicurezza. Obbligo della notificazione per trattamento di dati su localizzazione geografica e profilazione. 17 Servizi telefonici non richiesti Provvedimento del Garante del 16 febbraio 2006 Schede di telefonia mobile attivate all’insaputa degli interessati – operatori devono attivare procedure per rilevare tempestivamente intestazioni multiple (se >4 schede per persone fisiche; >7 schede persone giuridiche). Attivazione di servizi non richiesti (es. preselezione operatore) – persone contattate solo se hanno acconsentito a comunicazioni commerciali, va spiegato da dove sono stati estratti i dati, va registrata volontà di non aderire. 18 Motori di ricerca e diritto all’oblio Codice riconosce il diritto all’oblio. Decisione del Garante del 10 novembre 2004. Ricorso (opposizione per motivi legittimi a trattamento di autorità indipendente). Motori di ricerca riportavano decisione di AGCM di diversi anni prima (sanzioni amministrative per pubblicità ingannevole). Cautele per la pubblicazione delle decisioni di autorità indipendenti - decisione liberamente consultabile da sito web AGCM ma non direttamente da motori di ricerca. 19 Propaganda elettorale Dati utilizzabili senza consenso – dati contenuti nelle liste elettorali dei Comuni, documenti detenuti da soggetti pubblici accessibili a chiunque (es. albi professionali), dati di iscritti ai partiti. Dati utilizzabili previo consenso – necessario il consenso per inviare sms, mail, mms, fax, telefonate preregistrate, dati ricavati automaticamente da Internet, o da forum e newsgroup, liste abbonati a provider, dati presenti sul web per altre finalità. Dati non utilizzabili – archivi dello stato civile, anagrafe dei residenti, indirizzi raccolti per finalità istituzionali o prestazioni di servizi. Informazione – informativa dev’essere fornita all’atto del 20 contatto o registrazione dei dati. SMS di pubblica utilità Parere del Garante del 12 marzo 2003. Iniziative concordate tra soggetti pubblici e fornitori di servizi di telefonia mobile o tlc a valore aggiunto per inviare sms relativi a compiti istituzionali degli stessi soggetti pubblici. Es.: segnalazione provvedimenti di urgenza di autorità locali (es. traffico urbano, inquinamento dell’aria). Si tratta di trattamento di dati personali. Occorre verificare la presenza di un interesse pubblico. 21 SMS di pubblica utilità inviati da operatori telefonici Operatore soddisfa la richiesta di un soggetto pubblico, inoltra sms senza trasmettere i dati al soggetto pubblico. Numeri di tel. mobile non rientrano tra i dati personali contenuti in ‘pubblici registri, elenchi, atti o documenti conoscibili da chiunque’. Necessario quindi consenso espresso degli abbonati. Possibile prescindere dal consenso solo se è necessario rispettare obbligo normativo. Es. disastri e calamità naturali (provvedimento d’urgenza), ordine pubblico, igiene e sanità pubblica, sicurezza pubblica. Soggetto pubblico deve verificare: se la norma di legge che prevede l’adozione di provvedimenti d’urgenza conferisca il potere di derogare alle norme sul trattamento dei dati personali; se la situazione di pericolo non possa essere fronteggiata con mezzi ordinari. 22 SMS di pubblica utilità inviati da soggetti pubblici Soggetto pubblico utilizza dati in proprio possesso. Interessato ha manifestato la volontà di essere informato. Soggetto pubblico può inviare comunicazioni istituzionali anche mediante sms senza sollecitare la manifestazione del consenso e per le sole finalità connesse a una specifica richiesta o indicazione dell’interessato. Va fornita l’informativa. Se soggetto pubblico si avvale di terzi per questo servizio deve designare il responsabile e gli incaricati esterni. 23 Alcune sentenze Cassazione civile, sez. I, 15 luglio 2005, n. 15076 È corretta la decisione del tribunale il quale, confermando una decisione del garante per il trattamento dei dati personali, ritenga illegittime le registrazioni audiovisive di terzi effettuate da un investigatore privato senza il consenso dell'interessato, a nulla rilevando che siano state effettuate in luogo aperto al pubblico. Soc. S. Giorgio investigazioni c. C. e altro Dir. e Giust. 2005, f. 36, 32 nota (PECORA) 25 Cassazione civile, sez. I, 8 luglio 2005, n. 14390 Non costituisce violazione di alcuna norma a tutela della privacy la condotta dell'agente di polizia il quale, venuto per via privata a conoscenza di una condotta rilevante sul piano disciplinare di un collega, ne informi i superiori. T. c. Min. int. e altro Dir. e Giust. 2005, f. 33, 43 nota (PECORA) 26 Cassazione civile, sez. I, 8 luglio 2005, n. 14390 Il trattamento dei dati cosiddetti "supersensibili" (come quelli riguardanti la salute e la vita sessuale) da parte della p.a., anche se preordinato all'emanazione di provvedimenti disciplinari (e dunque per una finalità di interesse pubblico), necessita comunque il consenso scritto dell'interessato, se la legge o l'amministrazione interessata non abbiano previamente individuato quali dati e per quali finalità il trattamento è ammesso. T. c. Min. int. e altro Dir. e Giust. 2005, f. 33, 43 nota (PECORA) 27 Cassazione civile, sez. I, 8 luglio 2005, n. 14390 La tutela della riservatezza si estende anche ai dati già pubblicati in Internet, poiché chi compia operazioni di trattamento di tali informazioni, dal loro accostamento, comparazione, esame, analisi, congiunzione, rapporto od incrocio, può ricavare ulteriori informazioni e, quindi, un valore aggiunto informativo, non estraibile dai dati isolatamente considerati. T. c. Min. int. e altro Riv. internet 2005, 617 28 Tribunale Udine, 6 maggio 2005 Non c'è reato nell'invio di un singolo messaggio elettronico commerciale, non ripetuto e che non abbia provocato un concreto "vulnus" alla persona offesa, ma una mera lesione minima della "privacy", non determinante un danno patrimonialmente apprezzabile. Riv. internet 2005, 618 29 Tribunale Avezzano, 29 marzo 2005 La diffusione su sito Internet di notizia relativa a qualità di indagato rientra nella fattispecie prevista dall'art. 136 lett. c) del codice della privacy. Essa costituisce forma di esercizio del diritto di cronaca giudiziaria, che rientra nell'ipotesi di "trattamento temporaneo finalizzato esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero anche nell'espressione artistica". Ne consegue l'applicabilità al trattamento delle previsioni dell'art. 137 del codice, in base al quale a tali trattamenti non si applicano le disposizioni del codice sull'autorizzazione del Garante (art. 26), le garanzie sui dati giudiziari (art. 27), il trattamento può effettuarsi anche senza consenso dell'interessato (art. 23 e 26) e restano fermi unicamente i limiti del diritto di cronaca a tutela dei diritti di cui all'art. 2 e, in particolare, quello dell'essenzialità dell'informazione riguardo a fatti di interesse pubblico. S.F. c. Codacons 30 Riv. internet 2005, 463 nota (GAGLIARDI)