Privacy, Newsletter del Garante n. 409 del 10 dicembre 2015: Promotori finanziari, E-commerce, militari in malattia

151211-garante-privacy.jpg
 

Il Garante per la protezione dei dati personali ha pubblicato la Newsletter n. 409 del 10 dicembre 2015. Tre gli argomenti trattati:

  1. Promotori finanziari: niente privacy sulle delibere di radiazione dall’Albo
  2. E-commerce, no alla profilazione senza consenso
  3. Maggiore riservatezza per i militari in malattia

Promotori finanziari: niente privacy sulle delibere di radiazione dall’Albo

Ok alla pubblicazione integrale sul sito della Consob. Necessario tutelare i risparmiatori e informare il mercato

Non viola la privacy la pubblicazione sul sito della Consob del provvedimento di radiazione dall’Albo di un promotore finanziario, completo dei dettagli sulle violazioni commesse. I risparmiatori devono essere pienamente informati dei comportamenti illeciti messi in atto dagli operatori del mercato. Questa la decisione [doc. wen n. 4487727] del Garante per la privacy che ha respinto il ricorso di un ex promotore che chiedeva alla Commissione Nazionale per le Società e la Borsa di emendare il provvedimento sulla sua radiazione, pubblicato on line.
Nel suo ricorso, l’interessato lamentava che la delibera Consob non contenesse solo l’estratto con gli elementi essenziali (generalità, dispositivo, succinta indicazione dei fatti), ma riportasse informazioni a suo dire eccedenti le finalità di pubblicazione, come le motivazioni e la descrizione dettagliata dei comportamenti illeciti a lui contestati. E sottolineava come il libero accesso a tali informazioni - indicizzate anche dai comuni motori di ricerca - danneggiasse gravemente la sua reputazione e ledesse la sua riservatezza.
Il Garante per la privacy ha stabilito invece che la pubblicazione on line della delibera Consob, nella sua versione integrale, risponde non solo alla necessità di dare notizia dell’adozione del provvedimento sanzionatorio di radiazione, ma anche al dovere istituzionale di vigilare sugli operatori del mercato e informare compiutamente i risparmiatori degli illeciti che possono essere commessi.
Nel caso specifico, quindi, l’Autorità non ha rilevato alcuna violazione alla riservatezza dell’interessato, poiché tale diritto deve essere bilanciato con quello di tutela e di informazione del mercato riconosciuto dalla normativa di riferimento. In base alla stessa finalità, il Garante ha anche ritenuto corretto che i provvedimenti pubblicati sul sito web della Consob rimangano reperibili dai motori di ricerca per tre anni, così come previsto dal regolamento interno della stessa Consob. Nel respingere il ricorso, infine, il Garante ha spiegato che i dati personali diffusi, contrariamente a quanto sostenuto dal ricorrente, non sono classificabili come giudiziari, in quanto tutti esclusivamente riferibili ad un procedimento amministrativo, qual è appunto quello di radiazione.

E-commerce, no alla profilazione senza consenso

Vietato ad una società l’uso dei dati di oltre 300mila persone per l’invio di newsletter personalizzate
    
No alla profilazione senza consenso di gusti e abitudini dei clienti per l’invio di newsletter personalizzate. Lo ha affermato il Garante privacy in un provvedimento [doc. web n. 4487559] con cui  ha vietato ad una società di e-commerce l’illecito trattamento dei dati di oltre 300 mila persone. La società - una delle più importanti nella fornitura on line di biglietti  per spettacoli teatrali,  manifestazioni sportive, concerti e nell’e-commerce di prodotti anche di marchi celebri -  non potrà più utilizzare i dati trattati in modo illecito. Dagli accertamenti ispettivi svolti dall’Autorità è emerso che la società raccoglieva dati personali attraverso tre siti, di cui uno operativo in più lingue straniere destinato ad utenti di paesi Ue ed Extra Ue. Il consenso richiesto, però, era  preselezionato e unico per varie finalità, comprese quelle di marketing e comunicazione dei dati ad altre società, sempre per scopi commerciali. Una procedura  contraria alla normativa, anche se l’utente poteva deselezionare il consenso e procedere alla registrazione al sito.
La società, inoltre, svolgeva, sempre senza consenso, un’attività di profilazione utilizzando un software per  l’invio di newsletter personalizzate, "create" elaborando i dati relativi agli ordini dei clienti o anche ai prodotti inseriti nel carrello il cui ordine non era stato finalizzato. La società peraltro non aveva provveduto ad adempiere all’obbligo di notificazione al Garante previsto dal Codice per l’attività di profilazione, né aveva stabilito alcun tempo di conservazione dei dati personali raccolti tramite i siti.
Il Garante  ha dunque disposto il divieto di uso dei dati dei clienti acquisiti illecitamente e ha  prescritto alla società  di adottare, entro sessanta giorni, le misure necessarie per mettersi in regola con le disposizioni del Codice privacy. La società dovrà, in particolare, integrare l’informativa indicando le aziende o le categorie economiche o merceologiche alle quali intende comunicare i dati per le loro finalità promozionali. Dovrà, poi, informare i soggetti, ai quali i dati sono stati già comunicati o ceduti, che non possono utilizzarli senza aver prima acquisito il consenso degli interessati.
La società dovrà, infine, prevedere tempi di conservazione dei dati e, alla scadenza, provvedere all’immediata cancellazione o alla  anonimizzazione permanente.

Maggiore riservatezza per i militari in malattia

Certificato con la diagnosi solo per l’organo sanitario competente

Maggiori garanzie di riservatezza per il personale militare assente per malattia. Con il parere [doc. web n. 4487512] sullo schema di decreto del Ministro della difesa che definisce le modalità per l’adozione del sistema del doppio certificato di malattia per il personale militare, il Garante privacy ha chiesto di perfezionare in più punti il testo, al fine di renderlo pienamente conforme alla normativa in materia di protezione dei dati personali.
Il militare assente per motivi di salute deve trasmettere un certificato medico con la sola prognosi al superiore diretto ed un diverso certificato medico con prognosi e diagnosi al competente organo della sanità militare, che deve verificare la persistenza dell’idoneità psicofisica del personale alla detenzione o all’uso delle armi nello svolgimento delle attività istituzionali cui è preposto.
Questo secondo certificato, che riporta i dati sanitari diagnostici, non deve confluire nel fascicolo personale del militare. L’Amministrazione può comunque effettuare,  tramite la Sanità militare (la Guardia di Finanza provvederà per il proprio personale), le visite di controllo per l’idoneità psicofisica previste dalle norme in vigore.
In caso di accertata inidoneità, i dati sanitari vengono comunicati alle Commissioni mediche per l’adozione dei provvedimenti conseguenti. Al superiore diretto saranno invece comunicati solo i dati di inidoneità privi della diagnosi.
Il Garante ha chiesto di identificare il responsabile del trattamento dei dati (ritenuto necessario dallo stesso Ministero) e di nominare il personale preposto al trattamento quale incaricato.
L’Autorità, inoltre, ha segnalato la necessità di adottare adeguate misure di sicurezza per la custodia delle informazioni e di definire precisi tempi della loro conservazione.
In particolare, per la gestione dei certificati si prevede l’uso di buste chiuse non trasparenti, con apposite diciture all’esterno e di armadi protetti posti in locali accessibili esclusivamente al personale autorizzato.
La trasmissione telematica dei certificati medici agli organi della Sanità militare sarà invece regolata da un altro decreto del Presidente del Consiglio dei Ministri, da emanare previo parere del Garante.

Ultime newsletter del Garante

Ultimi articoli su Privacy

ComplianceNet: