
Update Privacy: consenso, “mi piace” e direttive europee
E’ degli ultimi mesi la notizia di nuove e importanti delibere relative alla normativa sulla privacy. In particolare si tratta di due provvedimenti generali del Garante, di un Decreto Legge e di un Regolamento dell’Unione Europea. Vediamoli uno per uno.
1. PROVVEDIMENTI GENERALI DEL GARANTE
Il Garante per la protezione dei dati personali ha adottato due importanti provvedimenti al fine di regolamentare il marketing diretto effettuato mediante invio di comunicazioni commerciali con mezzi automatizzati (chiamate pre-registrate, posta elettronica, sms, mms, fax).
Il primo provvedimento prevede che il consenso dei destinatari di comunicazioni commerciali, acquisito attraverso modalità automatizzate per finalità di marketing, legittimi anche il marketing “tradizionale” (posta cartacea o chiamate telefoniche tramite operatore). In altre parole, non sarà necessaria la raccolta di un secondo consenso.
Di più ampia portata il secondo provvedimento: il marketing diretto, a norma di legge, necessita l’acquisizione del consenso preventivo ed informato dell’interessato (opt-in) e la nuova informativa, in particolare, richiede di specificare quali modalità verranno utilizzate per il trattamento (posta cartacea, telefonate automatizzate, fax, e-mail, sms, mms), e quali saranno le finalità (ad esempio, la profilazione dell’utente).
In sostanza, è resa valida l’acquisizione di un unico consenso per tutte le finalità del trattamento dei dati personali riconducibili ad attività di marketing in senso ampio (invio di materiale pubblicitario, vendita diretta, compimento di ricerche di mercato, comunicazione commerciale) a patto che modalità e finalità siano specificate al momento del consenso. Rimane invece la necessità di ottenere una separata espressione di consenso da parte dell’interessato se si vogliano raccogliere i dati anche per finalità di profilazione, e/o di comunicazione o cessione dei dati a terze parti.
NB: E’ importante identificare correttamente il termine “profilazione”: la profilazione positiva (segmentazione), come l’invio di comunicazioni specifiche sulla base degli interessi manifestati attraverso le aperture di messaggi categorizzati, non richiede infatti una diversa adesione.
L’altra novità, in tema di acquisizione del consenso, riguarda i social network: ad oggi, il fatto stesso di diventare FAN o follower di una determinata azienda/marchio/prodotto su un social network, può costituire di per sé una valida espressione di consenso all’invio di comunicazioni promozionali (a patto che, al momento dell’iscrizione, si evinca che l’interessato ha voluto manifestare anche la volontà di ricevere messaggi promozionali. In caso diverso, l’impiego a fini promozionali dei dati personali presenti nei profili social degli utenti non sarà legittimato.
2. DECRETO LEGGE 14 AGOSTO 2013
Il decreto legge 14 agosto 2013, n. 93 “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province” contiene un’importante novità relativa alla cosiddetta normativa 231 sulla responsabilità penale delle società e sull’adozione di un modello organizzativo e di un codice etico.
A seguito del provvedimento, convertito in legge il 15 ottobre 2013, il reato di “frode informatica aggravato dalla sostituzione dell’identità digitale” è stato inserito tra le fattispecie penali che determinano la responsabilità diretta delle società e degli enti. A seguito di questa importante riforma, anche i reati di indebito utilizzo, falsificazione, alterazione e ricettazione di carte di credito o di pagamento (di cui all’art. 55 comma 9 del d. lgs. n. 231/2007), nonché i delitti (non le contravvenzioni) in materia di violazione della privacy, in particolare il trattamento illecito dei dati (art. 167), la falsità nelle dichiarazioni notificate al Garante (art. 168) e l’inosservanza dei provvedimenti del Garante (art. 170) determineranno la responsabilità penale diretta della società o dell’ente, se commessi da dirigenti, dipendenti o collaboratori. Per evitare una sanzione penale diretta, la società o l’ente dovranno dimostrare di essersi dotati di un adeguato modello rioganizzativo, di un organismo di vigilanza e di un codice etico.
Il terzo aggiornamento, in particolare, risulta di grande impatto per gli enti, che si assumono la responsabilità a seguito di illecito nel trattamento dei dati; violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del d.lgs. n. 231/2001. Si attende ora che il decreto venga convertito in legge (entro 60 giorni dalla sua emanazione).
3. REGOLAMENTO DELL’UNIONE EUROPEA IN TEMA DI VIOLAZIONE DEI DATI PERSONALI NELL’AMBITO DELLE ATTIVITÀ DEI FORNITORI DI SERVIZI DI COMUNICAZIONE
Il Regolamento, emanato a giugno 2013, pur essendo direttamente applicabile solo ai fornitori al pubblico di servizi di comunicazione, diverrà uno standard condiviso valido per tutti.
- L’art. 4 della direttiva 2002/58/CE dispone che i fornitori di servizi di comunicazione elettronica accessibili al pubblico sono tenuti a notificare le violazioni di dati personali alle autorità nazionali competenti. Una violazione può considerarsi avvenuta quando il fornitore ha acquisito elementi sufficienti relativi a un incidente di sicurezza che ha compromesso dati personali.
- L’art. 3 del Regolamento prevede che, nel caso la violazione di dati personali rischi di pregiudicare la vita privata di un abbonato (o di un’altra persona), il fornitore possa comunicare l’avvenuta violazione anche all’abbonato stesso o ai terzi coinvolti – tale notifica non sarà necessaria se il fornitore sarà in grado di dimostrare in modo convincente all’autorità nazionale competente di avere utilizzato adeguate misure tecnologiche di protezione applicate ai dati (ad esempio forme di crittografazione). La notifica dovrà essere effettuata facendo ricorso a mezzi di comunicazione che consentano un rapido recapito delle informazioni e la cui sicurezza sia garantita con le tecnologie più avanzate. Il Regolamento affronta anche il caso in cui, per poter ottenere determinati servizi di comunicazione elettronica, si faccia ricorso a un altro fornitore che non ha un legame contrattuale diretto con gli abbonati: in tal caso quest’ultimo dovrà informare immediatamente il fornitore che lo ha ingaggiato in caso di violazione di dati personali.
- L’art. 2 del Regolamento definisce la procedura in tema di notifica, la quale va effettuata all’autorità nazionale competente entro 24 ore dal rilevamento della violazione, ove possibile, al fine di garantire massima tempestività e precisione.
Queste le novità più rilevanti dell’estate. Chi volesse ricevere assistenza legale specialistica su questi argomenti, può contattare il nostro partner Studio Legale Maglio&Partners.
*Update del 15 ottobre 2013