Alcuni casi particolari

Alcuni casi particolari
Risposte del Garante a quesiti,
segnalazioni e ricorsi
__________________________________
Pubblicità via fax
Invio di fax per ricerche di mercato, promozioni,
comunicazioni commerciali, vendita diretta, pubblicità o invio
di materiale commerciale è lecito solo ottenuto il
preventivo ed esplicito consenso del destinatario, anche
se il numero compare in un elenco pubblico o viene reperito
su Internet.
Rientra nella fattispecie dell’invio di comunicazioni
commerciali mediante sistemi automatizzati di chiamata
senza l’intervento di un operatore (art. 130 del Codice).
Destinatario ha il diritto di opporsi gratuitamente. Non è
lecito chiedere che l’opposizione possa essere esercitata solo
mediante l’invio di un fax a tariffa speciale (superiore a quella
standard).
2
SMS pubblicitari 1/2
Provvedimento generale del Garante del 10 giugno
2003.
Illecito inviare SMS per scopi promozionali, pubblicitari, di
informazione commerciale o di vendita diretta senza il
consenso specifico dell’abbonato.
Consenso è necessario sia per promuovere servizio altrui sia
per promuovere un proprio servizio. Illecito considerare SMS
pubblicitari come ‘messaggi di servizio’ per eludere la
normativa.
Illecito subordinare stipula contratto telefonico o
attivazione carta prepagata al consenso a ricevere messaggi
pubblicitari. Scelta deve essere libera.
3
SMS pubblicitari 2/2
Consenso informato è necessario anche se SMS sono inviati
da soggetti diversi dai gestori di telefonia mobile (es.
attraverso siti web).
Non corretto inviare SMS di ‘disturbo’ (es. in ore
notturne).
Provvedimento generale si applica anche a chi utilizza numeri
generati in base a composizione casuale o automatizzata
e non estraendoli da banche dati.
Interessati devono poter esercitare i diritti previsti dalla
legge.
4
MMS 1/3
Provvedimento generale del Garante del 12
marzo 2003.
Immagini, suoni, filmati inviati via MMS possono
contenere dati personali.
La loro raccolta, divulgazione a terzi e conservazione
possono costituire un trattamento.
Non si applica il Codice quando: gli MMS non
contengono dati personali; oppure i dati sono trattati
per ‘fini esclusivamente personali’, a condizione che i
dati non siano destinati a una ‘comunicazione
sistematica’ o alla ‘diffusione’.
5
MMS 2/3
Non si applica Codice per l’invio occasionale di foto ad
amici o familiari.
Resta in ogni caso l’obbligo di mantenere sicure le
informazioni raccolte a tutela della riservatezza dei
soggetti fotografati.
Si applica il Codice se la foto è diffusa in Internet o
comunicata sistematicamente a terzi, anche per scopi
culturali o informativi, quindi: obbligo del consenso
dell’interessato, informativa, disposizioni particolari per
dati sensibili.
6
MMS 3/3
L’uso di MMS implica il rispetto di ulteriori obblighi di legge, previsti
da disposizioni diverse dal Codice:
Abuso dell’immagine altrui (art. 10 c.c.).
Esposizione, riproduzione, messa in commercio non
consentita di immagini di una persona (legge 633/41): necessario
il consenso della persona tranne in caso di notorietà, motivi di
giustizia, polizia o scopi scientifici, o quando la riproduzione è
collegata a fatti, avvenimenti, cerimonie di interesse pubblico o
svoltisi in pubblico. Vietato il commercio se reca pregiudizio
all’onore, alla reputazione o al decoro della persona ritrattata.
Illeciti penali: a) indebita raccolta, rivelazione e diffusione di
immagini attinenti la vita privata in abitazioni altrui (615 bis c.p.); b)
ingiurie, se si offende l’onore o il decoro del destinatario (594 c.p.);
c) pubblicazioni oscene (528 c.p.); d) tutela dei minori riguardo al
materiale pornografico (600 ter c.p.).
7
Videosorveglianza 1/2
Installare e utilizzare un sistema di videosorveglianza =
trattamento di dati personali (= immagini delle persone).
Provvedimento del Garante del 29 aprile 2004.
Presupposti di liceità
Alcuni limiti sono posti da:
-disciplina su installazione audiovisivi
-norme civili e penali su interferenze illecite nella vita
privata, tutela della dignità, dell’immagine, del domicilio e
degli altri luoghi cui è riconosciuta analoga tutela (toilette,
stanze d’albergo, cabine, spogliatoi, ecc.)
-norme riguardanti la tutela dei lavoratori, in particolare l.
300/1970 (Statuto dei lavoratori)
-norme sulle intercettazioni.
8
Videosorveglianza 2/2
Nella videosorveglianza occorre tenere conto di:
•
principio di necessità,
•
principio di proporzionalità,
•
principio di finalità,
•
informativa – informativa minima,
•
verifica preliminare Garante,
•
autorizzazioni,
•
misure minime di sicurezza.
9
Banche: impronte digitali e
telecamere
Associazione tra impronte digitali e immagini dei clienti
possibile solo in condizioni di effettivo rischio.
Obbligo di informare i clienti (cartelli).
Deve essere possibile accedere ai locali anche senza
sottoporsi a questi trattamenti (es. esibizione di documento di
identità).
Telecamere devono inquadrare solo l’accesso alla banca.
E’ sufficiente l’impronta di un solo dito.
Immagini devono essere crittate prima della registrazione.
Ai dati ‘in chiaro’ possono accedere solo polizia e autorità
giudiziaria.
Istituito il ‘vigilatore dei dati’ (soggetto indipendente).
Dati cancellati automaticamente dopo una settimana (salvo
10
motivi di giustizia o richiesta interessato).
Spamming 1/3
Provvedimento generale del Garante del 29 maggio
2003.
Utilizzo e-mail per scopi pubblicitari, di vendita diretta,
ricerche di mercato, comunicazione commerciale interattiva è
lecito solo previo consenso del destinatario (= opt-in).
Consenso è necessario anche se indirizzi sono formati e
utilizzati automaticamente con un software.
E-mail non sono pubbliche, non sono liberamente
utilizzabili da chiunque per il solo fatto di essere
liberamente accessibili in rete. Non provengono da pubblici
registri, elenchi o documenti sottoposti a un regime di piena
conoscibilità. Non rileva che i dati siano conoscibili per mere
circostanze di fatto.
11
Spamming 2/3
Acquisto di banche dati di e-mail: è necessario accertare
che ogni destinatario abbia acconsentito all’utilizzo della email per invio di materiale pubblicitario. Necessario inviare
informativa al momento della registrazione dei dati.
Interessati devono poter esercitare i diritti riconosciuti
dalla legge, gratuitamente e senza formalità.
Invio anonimo di messaggi pubblicitari e promozionali è
vietato (= trattamento illecito di dati personali).
Oggetto del messaggio dovrebbe indicare la natura
pubblicitaria-promozionale.
12
Spamming 3/3
Esistenza di eventuali elenchi predisposti dagli operatori
(c.d. ‘black-list’) non impone agli utenti un obbligo di
iscrizione.
Silenzio dell’interessato = diniego del consenso.
E-mail provenienti dall’estero: non si applica la legge
italiana sulla protezione dei dati personali.
L’utente può chiedere una verifica da parte dell’autorità
competente nazionale.
Garante può valutare la singola posizione dei fornitori e
contestare violazioni amministrative o trasmettere gli atti
all’autorità giudiziaria penale (es. in caso di truffa via e-mail).
13
E-mail pubblicitarie
Provvedimento del Garante del 20 aprile
2006.
Non
è
consentito
inviare
e-mail
pubblicitarie senza il preventivo consenso
del destinatario, anche se si tratta del primo
invio.
14
RFID 1/3
Radio Frequency Identification = può comportare un
trattamento di dati personali
Potenziale violazione privacy e controllo delle
persone (es. profilazione, verifica dei percorsi,
controllo della posizione geografica, ecc.).
Pericolo di lettura e riscrittura da terzi non
autorizzati (spec. se integrati con infrastrutture di
rete).
Provvedimento generale del Garante del 9 marzo 2005.
15
RFID 2/3
Informativa sull’uso di RFID e di lettori ottici che li
attivano; non è sufficiente un avviso affisso nei locali;
necessaria informativa sui prodotti e oggetti con RFID.
Consenso deve essere espresso, libero e specifico.
Disattivazione dopo l’acquisto; illecite RFID dopo la
‘barriera cassa’.
Particolari cautele per RFID per accesso a luoghi
riservati (= vietato controllo a distanza dei lavoratori;
accesso occasionale deve essere possibile anche se
RFID è indisponibile).
16
RFID 3/3
Microchip sottopelle in linea di principio esclusi
(contrastano con i diritti le libertà fondamentali e la
dignità della persona). Permessi solo in casi eccezionali
per esigenze di tutela della salute ‘comprovate e
giustificate’. Interessato deve poter chiedere la
rimozione del microchip.
Uso RFID proporzionale agli scopi, per le finalità
per cui dati sono stati raccolti, conservazione per il
tempo necessario.
Obbligo di adottare misure di sicurezza.
Obbligo della notificazione per trattamento di dati su
localizzazione geografica e profilazione.
17
Servizi telefonici non richiesti
Provvedimento del Garante del 16 febbraio 2006
Schede di telefonia mobile attivate all’insaputa
degli interessati – operatori devono attivare procedure
per rilevare tempestivamente intestazioni multiple (se
>4 schede per persone fisiche; >7 schede persone
giuridiche).
Attivazione di servizi non richiesti (es. preselezione
operatore) – persone contattate solo se hanno
acconsentito a comunicazioni commerciali, va spiegato
da dove sono stati estratti i dati, va registrata volontà di
non aderire.
18
Motori di ricerca e diritto all’oblio
Codice riconosce il diritto all’oblio.
Decisione del Garante del 10 novembre 2004.
Ricorso (opposizione per motivi legittimi a trattamento
di autorità indipendente).
Motori di ricerca riportavano decisione di AGCM di
diversi anni prima (sanzioni amministrative per
pubblicità ingannevole).
Cautele per la pubblicazione delle decisioni di autorità
indipendenti - decisione liberamente consultabile da
sito web AGCM ma non direttamente da motori di
ricerca.
19
Propaganda elettorale
Dati utilizzabili senza consenso – dati contenuti nelle liste
elettorali dei Comuni, documenti detenuti da soggetti pubblici
accessibili a chiunque (es. albi professionali), dati di iscritti ai
partiti.
Dati utilizzabili previo consenso – necessario il consenso
per inviare sms, mail, mms, fax, telefonate preregistrate, dati
ricavati automaticamente da Internet, o da forum e
newsgroup, liste abbonati a provider, dati presenti sul web
per altre finalità.
Dati non utilizzabili – archivi dello stato civile, anagrafe dei
residenti, indirizzi raccolti per finalità istituzionali o
prestazioni di servizi.
Informazione – informativa dev’essere fornita all’atto del
20
contatto o registrazione dei dati.
SMS di pubblica utilità
Parere del Garante del 12 marzo 2003.
Iniziative concordate tra soggetti pubblici e fornitori di
servizi di telefonia mobile o tlc a valore aggiunto per
inviare sms relativi a compiti istituzionali degli stessi
soggetti pubblici.
Es.: segnalazione provvedimenti di urgenza di
autorità locali (es. traffico urbano, inquinamento
dell’aria).
Si tratta di trattamento di dati personali. Occorre
verificare la presenza di un interesse pubblico.
21
SMS di pubblica utilità inviati da
operatori telefonici
Operatore soddisfa la richiesta di un soggetto pubblico, inoltra sms
senza trasmettere i dati al soggetto pubblico.
Numeri di tel. mobile non rientrano tra i dati personali contenuti in
‘pubblici registri, elenchi, atti o documenti conoscibili da chiunque’.
Necessario quindi consenso espresso degli abbonati.
Possibile prescindere dal consenso solo se è necessario
rispettare obbligo normativo. Es. disastri e calamità naturali
(provvedimento d’urgenza), ordine pubblico, igiene e sanità
pubblica, sicurezza pubblica.
Soggetto pubblico deve verificare: se la norma di legge che
prevede l’adozione di provvedimenti d’urgenza conferisca il potere
di derogare alle norme sul trattamento dei dati personali; se la
situazione di pericolo non possa essere fronteggiata con mezzi
ordinari.
22
SMS di pubblica utilità inviati da
soggetti pubblici
Soggetto pubblico utilizza dati in proprio possesso.
Interessato ha manifestato la volontà di essere
informato. Soggetto pubblico può inviare comunicazioni
istituzionali anche mediante sms senza sollecitare la
manifestazione del consenso e per le sole finalità
connesse a una specifica richiesta o indicazione
dell’interessato.
Va fornita l’informativa.
Se soggetto pubblico si avvale di terzi per questo
servizio deve designare il responsabile e gli incaricati
esterni.
23
Alcune sentenze
Cassazione civile, sez. I, 15 luglio
2005, n. 15076
È corretta la decisione del tribunale il quale,
confermando una decisione del garante per il
trattamento dei dati personali, ritenga illegittime le
registrazioni audiovisive di terzi effettuate da un
investigatore privato senza il consenso dell'interessato, a
nulla rilevando che siano state effettuate in luogo aperto
al pubblico.
Soc. S. Giorgio investigazioni c. C. e altro
Dir. e Giust. 2005, f. 36, 32 nota (PECORA)
25
Cassazione civile, sez. I, 8 luglio
2005, n. 14390
Non costituisce violazione di alcuna norma a tutela della
privacy la condotta dell'agente di polizia il quale, venuto
per via privata a conoscenza di una condotta rilevante
sul piano disciplinare di un collega, ne informi i
superiori.
T. c. Min. int. e altro
Dir. e Giust. 2005, f. 33, 43 nota (PECORA)
26
Cassazione civile, sez. I, 8 luglio
2005, n. 14390
Il trattamento dei dati cosiddetti "supersensibili" (come
quelli riguardanti la salute e la vita sessuale) da parte
della p.a., anche se preordinato all'emanazione di
provvedimenti disciplinari (e dunque per una finalità di
interesse pubblico), necessita comunque il consenso
scritto dell'interessato, se la legge o l'amministrazione
interessata non abbiano previamente individuato quali
dati e per quali finalità il trattamento è ammesso.
T. c. Min. int. e altro
Dir. e Giust. 2005, f. 33, 43 nota (PECORA)
27
Cassazione civile, sez. I, 8 luglio
2005, n. 14390
La tutela della riservatezza si estende anche ai dati già
pubblicati in Internet, poiché chi compia operazioni di
trattamento di tali informazioni, dal loro accostamento,
comparazione, esame, analisi, congiunzione, rapporto
od incrocio, può ricavare ulteriori informazioni e, quindi,
un valore aggiunto informativo, non estraibile dai dati
isolatamente considerati.
T. c. Min. int. e altro
Riv. internet 2005, 617
28
Tribunale Udine, 6 maggio 2005
Non c'è reato nell'invio di un singolo messaggio
elettronico commerciale, non ripetuto e che non abbia
provocato un concreto "vulnus" alla persona offesa, ma
una mera lesione minima della "privacy", non
determinante un danno patrimonialmente apprezzabile.
Riv. internet 2005, 618
29
Tribunale Avezzano, 29 marzo 2005
La diffusione su sito Internet di notizia relativa a qualità di
indagato rientra nella fattispecie prevista dall'art. 136 lett. c) del
codice della privacy. Essa costituisce forma di esercizio del diritto
di cronaca giudiziaria, che rientra nell'ipotesi di "trattamento
temporaneo finalizzato esclusivamente alla pubblicazione o
diffusione occasionale di articoli, saggi e altre manifestazioni del
pensiero anche nell'espressione artistica". Ne consegue
l'applicabilità al trattamento delle previsioni dell'art. 137 del codice,
in base al quale a tali trattamenti non si applicano le disposizioni
del codice sull'autorizzazione del Garante (art. 26), le garanzie sui
dati giudiziari (art. 27), il trattamento può effettuarsi anche senza
consenso dell'interessato (art. 23 e 26) e restano fermi
unicamente i limiti del diritto di cronaca a tutela dei diritti di cui
all'art. 2 e, in particolare, quello dell'essenzialità dell'informazione
riguardo a fatti di interesse pubblico.
S.F. c. Codacons
30
Riv. internet 2005, 463 nota (GAGLIARDI)