La trasmissione di dati personali di clienti che hanno effettuato pagamenti con carta di credito: quali sono le regole.

La trasmissione di dati personali di clienti o potenziali clienti (che abbiamo effettuato o meno, pagamenti con carta di credito) a partner che desiderano riutilizzarli a fini di comunicazione commerciale, deve rispettare determinati principi.

È normale che un’organizzazione desideri inviare un elenco di contatti ai partner, in modo che possano utilizzarlo per le loro operazioni di comunicazione commerciale. Queste trasmissioni di file sono, in particolare, effettuate nell’ambito di accordi commerciali a titolo oneroso.

Le regole applicabili dipendono, in parte, dai mezzi utilizzati dai partner ai quali i dati saranno trasmessi, per l’invio di comunicazioni commerciali.

Nota: oltre alle regole di seguito riportate, ogni organizzazione deve assicurarsi di rispettare tutti gli obblighi imposti dalla normativa per i trattamenti di cui è responsabile (facilitare l’esercizio dei diritti,  ridurre al minimo i dati, limitare il loro periodo di conservazione, garantirne la sicurezza, fornire prova di un valido consenso, ecc.).

Per il riutilizzo dei dati a fini di comunicazione commerciale tramite posta o telefonata (escluse le chiamate automatizzate)

Quando un’organizzazione desidera trasmettere dati personali in modo che i suoi partner possano effettuare comunicazioni commerciali, per posta o per telefono (escluse le chiamate automatizzate), la trasmissione di dati può essere basata sul legittimo interesse dell’organizzazione che li trasmette.

In tal caso, le persone fisiche devono essere informate e data la possibilità di opporsi in modo semplice e gratuito alla trasmissione dei propri dati.

Informa le persone

L’organizzazione che trasmette i dati deve preventivamente informare le persone.

Esempio: sul supporto di raccolta dati (modulo online o cartaceo).

Tali informazioni devono comprendere in particolare elementi sull’obiettivo (finalità) di tale trasmissione, nonché sulle categorie di destinatari dei dati (ad esempio: i settori interessati, il tipo di richiesta, il numero approssimativo di partner, ecc.) al fine di consentire interessati a compiere una scelta informata.

In un’ottica di trasparenza, Si raccomanda di mettere a disposizione delle persone un elenco completo e aggiornato dei partner, compresa la loro identità e un collegamento alla politica di protezione dei dati di ciascuno. Tale elenco potrebbe in particolare essere accessibile dal modulo di raccolta dati.   

Consenti alle persone di opporsi

L’organismo che trasmette i dati deve consentire agli interessati di opporsi, in modo semplice e gratuito, alla trasmissione dei propri dati durante la raccolta e in qualsiasi momento.

Il diritto di opposizione può concretizzarsi, ad esempio, da una casella di spunta accompagnata dal seguente messaggio:

  •  Mi oppongo alla trasmissione dei miei dati di contatto postali e/o del mio numero di telefono ai partner [link all’elenco dei partner] della società X a fini di comunicazione commerciale per posta e/o telefono.

Quando un’organizzazione desidera trasmettere dati personali ai suoi partner ai fini di comunicazione elettronica che richiedono il consenso (ad esempio: tramite e-mail, SMS, dialer automatico, ecc.), deve ottenere essa stessa il consenso delle persone a tale trasmissione.

Le informazioni fornite alle persone al momento dell’ottenimento del consenso preventivo, prima della trasmissione dei dati, possono variare a seconda di quanto contrattualmente previsto tra l’organizzazione che raccoglie i dati ei suoi partner. Si possono distinguere due ipotesi.

Caso n. 1: L’organizzazione che trasmette i dati raccoglie anche il consenso per le operazioni di comunicazioni commerciali, da parte dei suoi partner

Le organizzazioni che trasmettono dati devono ottenere il consenso per le operazioni di comunicazione dai loro partner al momento della raccolta dei dati. Ciò consentirà loro di poter avvicinare direttamente le persone che hanno acconsentito alla trasmissione dei propri dati, per tali finalità.

Affinché tale consenso sia informato, le persone fisiche devono in particolare essere chiaramente informate dell’identità dei partner, per conto dei quali viene raccolto il consenso e delle finalità per le quali i dati verranno utilizzati. Un elenco esaustivo e aggiornato deve essere messo a disposizione delle persone al momento dell’ottenimento del loro consenso. In particolare possono essere presi in considerazione i seguenti metodi:

  • l’elenco è visibile direttamente sul supporto di raccolta;
  • se l’elenco è troppo lungo, un collegamento ipertestuale potrebbe fare riferimento all’elenco nonché alle politiche sulla privacy dei partner.

In pratica, l’organizzazione che trasmette i dati può ottenere il consenso alla trasmissione dei dati e alle operazioni di comunicazione per conto dei propri partner, attraverso un’unica casella di spunta (deselezionata per impostazione predefinita).

  •  Accetto che il mio indirizzo e-mail venga inviato ai partner [link all’elenco dei partner] della società X ai fini della comunicazione commerciale via e-mail.

Nessuna possibile trasmissione del consenso da partner a partner

In ogni caso, il consenso ottenuto dall’organizzazione che trasmette i dati, per conto dei suoi partner, vale solo per questi ultimi. I partner che desiderano inviare, a loro volta, le informazioni ricevute ai propri partner (esempio: l’indirizzo e-mail), devono raccogliere nuovamente il consenso delle persone per la trasmissione dei dati e, se previsto, per le operazioni di comunicazione per i propri partner. Ad essi sono quindi applicabili tutte le regole sopra citate.

Caso n.2: L’organizzazione che trasmette i dati, non ottiene il consenso per le operazioni di comunicazione dai suoi partner

Questa ipotesi prevede 2 passaggi distinti:

  • L’organismo che trasmette i dati deve preventivamente informare i soggetti delle categorie di destinatari, al momento dell’acquisizione del consenso alla trasmissione dei dati.

In particolare, l’organizzazione deve informare le persone sulle finalità della trasmissione dei dati e sulle categorie di destinatari.

Si raccomanda di specificare, il numero approssimativo dei partner e il loro settore di attività. La raccolta del consenso presuppone, infatti, che l’interessato possa valutare l’entità e le conseguenze della trasmissione dei propri dati a cui acconsente.

I dati trasmessi consentiranno ai partner di inviare un messaggio agli interessati per offrire loro il loro consenso alla diffusione elettronica (vedi sotto).

  • I partner devono ottenere il consenso per le loro operazioni di comunicazioni elettroniche prima di poter validamente sollecitare le persone, i partner devono contattare le persone per ottenere il loro consenso.

Il fatto di sollecitare, per via elettronica, persone a proporle per ricevere offerte commerciali costituisce un trattamento di dati personali che può fondarsi sul legittimo interesse dell’organizzazione. Quest’ultimo deve garantire che le persone possano ragionevolmente aspettarsi:

  • verificando che le persone abbiano ricevuto informazioni sufficienti quando i loro dati sono stati trasmessi dall’azienda che li ha trasmessi (esempio: erano a conoscenza del tipo di richiesta, del numero approssimativo dei partner e del loro settore di attività);
  • limitando il numero di richieste rivolte alla stessa persona in modo che l’elaborazione non costituisca un fastidio significativo.

I partner per ottenere il consenso, se effettuato per via elettronica, non promuovano la loro immagine o i beni e servizi che commercializzano.

 Nessuna possibile trasmissione del consenso da partner a partner

In ogni caso, il consenso ottenuto dall’organizzazione che trasmette i dati, per conto dei suoi partner, vale solo per questi ultimi. I partner che desiderano inviare, a loro volta, le informazioni ricevute ai propri partner (esempio: l’indirizzo e-mail), devono raccogliere nuovamente il consenso delle persone per la trasmissione dei dati e, se previsto, per le operazioni di elaborazione per i propri partner. Ad essi sono quindi applicabili tutte le regole sopra citate.

Se ciò non è già stato fatto, i partner che ricevono i dati devono, quando comunicano per la prima volta con la persona interessata e al più tardi entro un mese, informarlo delle caratteristiche del trattamento di questi dati personali.

Tali informazioni devono comprendere in particolare il nome della società che ha trasmesso i dati al partner (società all’origine o all’origine della raccolta), i diritti dell’interessato compreso in particolare il suo diritto di opporsi o revocare il proprio consenso prospezione commerciale.

 Password: il mezzo di autenticazione più diffuso.

Quando ancora oltre 25 milioni di utenti nel mondo utilizzano la password 123456, vediamo un po’ di misure di sicurezza.                 

Basata sulla gestione di un “segreto” (ciò che io so), l’autenticazione tramite nome utente e password è un modo semplice ed economico per controllare l’accesso.

Tuttavia, questo metodo di autenticazione ha un basso livello di sicurezza.

Negli ultimi anni numerosi attacchi informatici hanno portato alla compromissione di interi database di account e password associate. Queste fughe di dati hanno contribuito in particolare ad arricchire la conoscenza degli aggressori, in termini di password. I rischi di compromettere gli account associati a questo metodo di autenticazione, sono notevolmente aumentati e richiedono un’attenzione speciale.

I rischi legati alla gestione delle password sono molteplici e si basano in particolare su:

  • la semplicità della password;
  • “ascolto in rete” (sniffing) per raccogliere le password trasmesse;
  • mantenere la password in chiaro;
  • la debolezza delle procedure di rinnovo della password, in caso di dimenticanza (caso di domande “segrete”). ​

Non esiste una definizione universale di una buona password, ma la sua complessità e la sua lunghezza consentono di ridurre il rischio di successo, in un attacco informatico, che consisterebbe nel testare in successione molte password (attacco di forza bruta). Si ritiene che la lunghezza della password sufficiente per resistere ai comuni attacchi, sia da 12 caratteri. Quando la dimensione della password diminuisce, devono essere previste misure compensative.

Autenticazione password: lunghezza, complessità, misure aggiuntive

I requisiti minimi in termini di dimensione e complessità della password, variano a seconda delle misure aggiuntive messe in atto per rendere più affidabile il processo di autenticazione: quindi, se l’autenticazione si basa esclusivamente su una password, ciò implica almeno l’uso di una password complessa di almeno 12 caratteri, composti da lettere maiuscole e minuscole, numeri e caratteri speciali.

 Misure complementari all’inserimento di una password (restrizioni di accesso, raccolta di altri dati, supporto in possesso dell’utente) consentono di ridurre la lunghezza e la complessità della password, poiché queste misure sono in grado di garantire un livello di sicurezza equivalente alla password da sola.

La tabella seguente mostra i 4 casi di autenticazione con password  

 Esempio di utilizzolunghezza minimaComposizione della passwordMisure complementari
solo passwordFORUM, BLOG12lettere maiuscoleminuscolofigurepersonaggi specialiConsiglio una buona password
Con limitazione di accesso
(la più comune)
SITI DI E-COMMERCE, ACCOUNT AZIENDALE, WEBMAIL8Almeno 3 dei seguenti 4 tipi: lettere maiuscole minuscolo figure personaggi specialiBlocco di più tentativi:
(esempi) Ritardo di accesso all’account dopo diversi errori «Captcha» Blocco dell’account dopo 10 errori
Con informazioni
aggiuntive
BANCA IN LINE5Numeri e/o lettereBlocco di più tentativi + Informazioni aggiuntive comunicate di per sé con una dimensione di almeno 7 caratteri (es. identificativo dedicato al servizio) Dove Identificazione del terminale dell’utente (es.: indirizzo IP, indirizzo MAC, ecc.) 
Con attrezzatura di proprietà
della persona
CARTA DI CREDITO O TELEFONO4FigureMateriale di proprietà della persona (es. carta SIM, carta di credito, certificato) + Bloccato dopo 3 tentativi falliti


In ogni caso
la password non deve essere comunicata all’utente in chiaro tramite e-mail.

Questi requisiti sono regole minime. Il controllo degli accessi potrebbe dover fare affidamento su regole più complesse, a seconda dei rischi a cui è esposto il sistema.  

Sicurezza dell’autenticazione

Qualunque siano le misure messe in atto, la funzione di autenticazione deve essere sicura:

  • utilizzando un algoritmo pubblico ritenuto potente;
  • l’aggiornamento del software privo di vulnerabilità note.

Quando l’autenticazione non avviene localmente, l’identità del server deve essere verificata utilizzando un certificato di autenticazione e il canale di comunicazione tra il server autenticato e il client, deve essere crittografato, utilizzando una funzione di crittografia sicura. La sicurezza delle chiavi private deve essere garantita.

Protezione delle password

La password non deve mai essere conservata in chiaro. Quando l’autenticazione avviene su un server remoto e, negli altri casi tecnicamente fattibili, la password deve essere trasformata mediante una funzione crittografica irreversibile e sicura, che preveda l’utilizzo di una chiave.

Rinnovo password

Rinnovo periodico

Il titolare del trattamento deve assicurarsi che la password venga rinnovata con una frequenza pertinente e ragionevole, che dipende in particolare dalla complessità imposta della password, dai dati trattati e dai rischi a cui è esposta.

L’interessato deve essere in grado di modificare autonomamente la propria password. In questo caso valgono le regole relative alla creazione delle password.

Rinnovo su richiesta

Su richiesta dell’interessato, ad esempio in caso di dimenticanza, il titolare del trattamento deve attuare una procedura per il rinnovo della password.

Se tale rinnovo richiede l’intervento di un amministratore, all’interessato viene assegnata una password temporanea, al quale viene imposta la modifica al primo collegamento.

Se questo rinnovo avviene automaticamente: la password non deve essere trasmessa in chiaro. L’utente deve essere reindirizzato a un’interfaccia da un URL temporaneo la cui validità non deve superare le 24 ore, consentendogli di inserire una nuova password e consentendo un solo rinnovo. Può essere utilizzato anche un codice di accesso temporaneo, purché abbia le stesse caratteristiche dell’URL temporaneo, ovvero abbia una validità di 24 ore e consenta un solo rinnovo.

Se il rinnovo prevede uno o più elementi aggiuntivi (numero di telefono, indirizzo postale, ecc.):

  • questi elementi non devono essere conservati nello stesso spazio di archiviazione dell’elemento di verifica della password; in caso contrario, devono essere archiviati in forma crittografata utilizzando un algoritmo pubblico noto per essere forte e deve essere garantita la sicurezza della chiave di crittografia;
  • al fine di prevenire tentativi di usurpazione basati sulla modifica di questi elementi, la persona deve essere immediatamente informata del loro cambiamento.

Cosa fare in caso di rischio di compromissione della password

Se un titolare del trattamento rileva una violazione dei dati in relazione alla password di una persona,

  1. Il titolare del trattamento deve darne comunicazione all’interessato, entro un termine non superiore a 72 ore;
  2. Deve obbligare l’utente interessato a modificare la sua password alla successiva connessione;
  3. Deve raccomandare di modificare le proprie password per altri servizi, nel caso in cui abbia utilizzato la stessa password per loro.

Autenticazione a più fattori: perché dovrebbe essere utilizzata per una maggiore sicurezza online.

E-commerce, home banking, social network: tanti account su molti siti web, su ciascuno di essi riportiamo molti dati personali, come possiamo proteggerli.         

Molto spesso, l’accesso a questi spazi personali si basa su un meccanismo di autenticazione, volto a verificare che tu sia effettivamente la persona che ha diritto ad accedere a questo account. Questo meccanismo di autenticazione può essere semplice (ad esempio una password) o multifattoriale (ad esempio una password e un codice ricevuto tramite SMS).

Perché evitare la semplice autenticazione?

Il problema con l’autenticazione semplice è che la sicurezza si basa su un unico fattore. Pertanto, se questo fattore di autenticazione univoco viene compromesso, un hacker potrà accedere liberamente al tuo account online e ai dati in esso contenuti. 

Questo spiega perché i primi bersagli dell’attacco da parte degli hacker sono le credenziali di accesso (identificatore dell’account – il più delle volte un indirizzo email – e la password). Avere queste informazioni aumenta le loro possibilità di accedere ad altri account, rubare i dati personali, inclusi dati bancari o sensibili e rubare l’ identità. Ciò porta a frequenti furti di database con nomi utente e password. Questo è anche uno degli obiettivi degli attacchi di phishing.

Perché utilizzare l’autenticazione a più fattori?

L’autenticazione a più fattori consente di rafforzare la sicurezza di accesso ai tuoi account aggiungendo uno o più fattori di autenticazione.

A volte lo troverai indicato con l’acronimo “2FA” (“Autenticazione a 2 Fattori), con “convalida in due fasi”.

Nota: sempre più servizi, in particolare i servizi bancari, offrono questo meccanismo di autenticazione fornendo agli utenti di Internet guide dettagliate per l’attivazione e l’utilizzo di questa funzionalità.

L’utilizzo dell’autenticazione a più fattori rende più difficile l’hacking in un account. Infatti, anche se un hacker riesce a ottenere il tuo nome utente e password, non potrà accedere al tuo account, per mancanza del secondo fattore di autenticazione.

Come funziona?

L’autenticazione a più fattori implementa un ulteriore fattore di autenticazione, associato al tuo account: “ciò che sai” (una password, ad esempio) può essere combinato con “ciò che hai”. Ad esempio, un codice ricevuto via e-mail o SMS, un token USB, una smart card.

Il meccanismo a più fattori è solitamente abilitato nelle impostazioni di sicurezza del tuo account. Una volta attivata, la tua identità viene verificata due volte prima che tu possa accedere all’account:

  • una prima volta, quando inserisci nome utente e password;
  • una seconda volta, con un codice di autenticazione che ti viene inviato via SMS, e-mail, telefono o generato tramite un’applicazione di codice di convalida, installata sul tuo dispositivo. Questo codice è riservato. È valido, in linea di principio, solo per pochi minuti.

Precauzioni da prendere:

Quando attivato, il secondo fattore diventa fondamentale per accedere al servizio. Pertanto, in caso di impossibilità di recuperarlo (ad esempio in caso di smarrimento, furto o malfunzionamento del telefono, che consente di ricevere il codice via SMS), l’accesso all’account è temporaneamente impossibile.

In quali casi è obbligatorio?

Dalla fine del 2019 (direttiva PSD2), le banche e i fornitori di servizi di pagamento devono implementare l’autenticazione a più fattori, per la maggior parte dei pagamenti remoti, l’accesso al conto e le operazioni sensibili (aggiunta del beneficiario del trasferimento, libretto degli assegni, cambio di indirizzo, ecc.).

I limiti dell’autenticazione a più fattori

Come ogni misura di sicurezza, l’autenticazione a più fattori non è infallibile. Pertanto, questo meccanismo rimane vulnerabile ad alcuni attacchi sofisticati come il phishing in tempo reale, l’intercettazione di SMS contenenti codici di autenticazione o attacchi del tipo “SIM swapping” (o “Sostituzione della scheda SIM” in Italiano).

Tuttavia, riduce significativamente il rischio di perdita o riutilizzo dei dati personali rispetto alla semplice autenticazione. Si consiglia quindi di attivare l’autenticazione a più fattori ogni volta che un servizio lo offre.

App di fotoritocco: consigli per gli utenti

Le App di fotoritocco consentono di applicare effetti speciali mediante “morphing” per invecchiare, ringiovanire o testare un effetto estetico, da una singola immagine dell’utente. Ecco alcuni suggerimenti per gli utenti.

Prima di scaricare l’App

Attenzione alle applicazioni fraudolente  

Scarica questo tipo di App solo da un App-store ufficiale (ad es. AppStore o Google Play). Vai alla pagina di presentazione. Cogli l’occasione per leggere recensioni o commenti negativi.

L’attrattiva o la natura divertente del servizio offerto non devono mettere in ombra eventuali controparti in merito all’utilizzo dei tuoi dati personali. I termini di servizio e l’informativa sulla privacy dell’app ti faranno sapere cosa viene fatto con i tuoi dati.

Un’azienda deve offrire all’utente determinate informazioni , che in particolare devono dirti:

  • se le tue foto sono conservate nell’Unione Europea (UE) o al di fuori dell’UE, nonché il loro periodo di conservazione;
  • se comunicati a terzi (es. partner commerciali, ecc.);
  • se vengono riutilizzati per altri scopi (es. pubblicità, ricerca, ecc.); 
  • e se esiste o meno un modo per esercitare i tuoi diritti GDPR (opposizione, cancellazione, accesso, ecc.).

Quando si usa

Verificare le autorizzazioni richieste dall’applicazione

L’accesso di un’app alla fotocamera e alla libreria significa che l’app può accedere a tutte le foto, non solo a quelle che l’utente desidera inviare. Quando carichi la tua foto, fai attenzione ai messaggi o ai suggerimenti che offrono l’accesso al tuo album completo.  

Fai attenzione alle foto degli altri.

I tuoi colleghi o parenti potrebbero non aver accettato i termini di utilizzo di questa applicazione. Per rispetto della loro privacy e soprattutto se queste foto possono essere rese pubbliche, utilizza l’applicazione solo con foto di te stesso.  

Infine, se condividi foto, tieni presente che possono includere anche metadati, come la geolocalizzazione, l’ora dello scatto o informazioni sul tuo dispositivo.

Dopo aver utilizzato l’app

Alcune app possono essere eseguite in background e raccogliere dati quando non le utilizzi. Ricordarsi di eliminare i diritti dell’applicazione dopo l’uso.

Accesso a locali con l’utilizzo del badge: come deve essere l’informativa, sia per i dipendenti che per i visitatori.

Caso pratico: l’azienda ABCD acquisisce un sistema non biometrico di accesso tramite badge, al fine di consentire il controllo delle persone che entrano nei suoi locali (dipendenti e visitatori).

Informativa per i visitatori

La società ABCD può informare i visitatori utilizzando due livelli di informazione.

  1. Il livello informativo 1 viene trasmesso su un pannello informativo esposto vicino al dispositivo di controllo accessi, ai locali della società ABCD;
  2. Il livello informativo 2, un’informativa più completa relativa alla gestione dei dati personali e ai diritti delle persone, deve essere messa a disposizione dei visitatori all’atto del rilascio del badge.

Se la società ABCD invia le istruzioni di accesso ai visitatori prima del loro arrivo, tale avviso può essere inviato anche tramite e-mail.

Livello informativo 1: diffuso su pannello informativo esposto in prossimità del dispositivo di controllo accessi ai locali.

Al fine di controllare l’accesso ai propri locali, la società ABCD chiede ai propri visitatori di identificarsi alla reception, portando il proprio badge.

I dati registrati in questo dispositivo di accesso ai locali, sono conservati per tre mesi e sono accessibili al personale addetto alla sicurezza.

Un opuscolo informativo più completo deve essere disponibile alla reception. Per esercitare i diritti di protezione dei dati e per qualsiasi informazione su questo dispositivo, il visitatore può contattare il  responsabile della protezione dei dati (DPO) (o, se non è stato nominato, una persona identificata dalla sua funzione) scrivendo a dpo@abcd.it ( o privacy@abcd.it ) o al seguente indirizzo postale: xxxxx

Livello informativo 2: istruzioni dell’azienda ABCD messe a disposizione al momento del rilascio del badge.

Finalità del trattamento (finalità e base giuridica):

ABCD, la cui sede principale si trova in _________________________________________________, ha istituito un sistema di accesso tramite badge per controllare l’accesso ai propri locali.

La base giuridica del trattamento è il legittimo interesse (cfr. articolo 6.1.f) del Regolamento Europeo sulla Protezione dei Dati).

Dati registrati sui visitatori della società ABCD:

  1. Identità: cognome, nome.
  2. Vita professionale: azienda di residenza e nome del dipendente o funzionario pubblico che accoglie il visitatore.
  3. Data e orari di entrata e di uscita.
  4. Nome del dipendente o dell’agente che accoglie il visitatore.

Destinatari:

Destinatari dei dati sono solo persone autorizzate da ABCD preposte alla sicurezza e personale dell’azienda preposto alla manutenzione delle apparecchiature, a questo solo scopo.

La durata della conservazione:

I dati sono conservati per tre mesi dal giorno della visita.

Diritti delle persone:

Il visitatore può accedere ai dati che lo riguardano o chiederne la cancellazione. Ha anche un diritto di opposizione, un diritto di rettifica e un diritto di limitare il trattamento dei dati.

Per esercitare questi diritti o per qualsiasi domanda sul trattamento dei tuoi dati in questo dispositivo, può essere contattare il nostro Responsabile della protezione dei dati (DPO).

  • Contatta il nostro DPO elettronicamente: dpo@abcd.it
  • Contatta il nostro DPO per posta:

[NB: se non è stato nominato un DPO, devono essere indicate le coordinate precise dove esercitare tali diritti in azienda].

Se il visitatore ritiene, dopo averci contattato, che i  diritti e le libertà non siano rispettate o che il sistema di controllo degli accessi non sia conforme alle norme sulla protezione dei dati, può essere presentato un reclamo al Garante Privacy.

Informazioni sui dipendenti

La società ABCD può informare i propri dipendenti con un unico mezzo.

Per esempio:

  • via email a tutto il personale;
  • su avviso, sistematicamente fornito al momento dell’assunzione del lavoratore al momento della sottoscrizione del contratto di lavoro.

Tali informazioni dovrebbero inoltre apparire permanentemente nella propria intranet/regolamento interno alla voce “Politica sulla protezione dei dati” – scheda “Accesso tramite badge”, per consentire ai dipendenti di esercitare i propri diritti. In assenza di una intranet o di normative interne, tali informazioni devono poter essere fornite, in qualsiasi momento, su richiesta dei dipendenti indirizzata a dpo@abcd.it ( o a privacy@abcd.it in assenza di un DPO )

Finalità del trattamento (finalità e base giuridica):

ABCD ha istituito un sistema di accesso tramite badge non biometrico per controllare l’accesso ai propri locali.

La base giuridica del trattamento è il legittimo interesse (cfr. articolo 6.1.f) del Regolamento Europeo sulla Protezione dei Dati).

Dati registrati sui dipendenti dell’azienda ABCD:

  1. Identità: cognome, nome, matricola interna, reparto, fotografia.
  2. Badge: numero badge, data di validità.
  3. Data e orari di entrata e di uscita.

Destinatari dei dati:

  • Personale autorizzato dall’ufficio del personale.
  • Le persone autorizzate al servizio che gestiscono la sicurezza dei locali.

Periodo di conservazione dei dati: 3 mesi.

Diritti delle persone:

Puoi accedere ai dati che ti riguardano o chiederne la cancellazione. Hai anche un diritto di opposizione, un diritto di rettifica e un diritto di limitare il trattamento dei tuoi dati.

Per esercitare questi diritti o per qualsiasi domanda sul trattamento dei tuoi dati in questo dispositivo, puoi contattare il nostro Responsabile della protezione dei dati (DPO).

  • Contatta il nostro DPO elettronicamente: dpo@abcd.it

 [NB: se non è stato nominato un DPO, indica precisi recapiti dove esercitare tali diritti in azienda]

Se ritieni, dopo averci contattato, che i tuoi diritti e le tue libertà non siano rispettati o che il sistema di controllo degli accessi non sia conforme alle norme sulla protezione dei dati, puoi presentare un reclamo al Garante Privacy.

La comunicazione commerciale tramite chiamata automatica, è una delle tante pratiche commerciali, alla quale però è possibile opporsi.

Come per tutte le altre tipologie di comunicazioni commerciali, l’elemento essenziale è il consenso ed il diritto di opposizione.

Principio generale :

La pubblicità tramite apparecchi automatici è possibile a condizione che le persone abbiano dato il proprio consenso esplicito.

Il consenso deve essere liberospecificoinformato e inequivocabile . Per essere valido, richiede un’azione positiva e specifica da parte dell’interessato (esempio: una casella di spunta dedicata e non preselezionata). L’accettazione delle condizioni generali d’uso non può essere sufficiente. L’accordo deve essere gratuito.

Esempio di informazioni su un sito web:

  • Accetto che le mie informazioni vengano utilizzate per elaborazioni commerciali.

Le due eccezioni al consenso preventivo

  • Se la persona cercata è già un cliente della società e se la ricerca riguarda prodotti o servizi simili forniti dalla stessa società. 

In una decisione sanzionatoria, tale eccezione non può essere invocata quando non è stata effettuata alcuna vendita o prestazione di servizio, anche quando il cliente ha creato un account online (ad esempio su un sito di e-commerce). La semplice creazione di un account, infatti, non significa che ci sarà un eventuale ordine di prodotti o servizi da parte dell’azienda.

  • Se la comunicazione non è di natura commerciale (esempio: beneficenza).

In questi due casi, la comunicazione potrebbe essere basata sul legittimo interesse dell’organizzazione. La persona deve, al momento del comunicazione del proprio numero di telefono:

  • essere informato che il proprio numero sarà utilizzato a fini di comunicazione;
  • poter opporsi a tale utilizzo in modo semplice e gratuito.

In tutti i casi

Si raccomanda che il consenso preventivo o il diritto di opposizione siano raccolti mediante una casella di controllo. L’uso di una casella preselezionata è vietato durante la raccolta del consenso.

Si consiglia di utilizzare una casella predefinita deselezionata per consentire alle persone di opporsi.

Inoltre, ogni messaggio elettronico deve:

  • specificare l’identità dell’inserzionista;
  • proporre un modo semplice per opporsi alla ricezione di nuove comunicazioni.

Nota: queste regole, siano esse relative alla comunicazione con privati ​​o professionisti, sono applicabili anche alla comunicazione via fax.

La pubblicità per posta o per telefono, è una prassi commerciale comune: le persone devono però potersi opporre in modo semplice.

La pubblicità per posta o per telefono è una pratica commerciale comune: le persone devono però essere preventivamente informate e devono potersi opporre in modo semplice e gratuito.

Principio generale: diritto di opposizione

La pubblicità per posta o per telefono è possibile a condizione che le persone fossero, al momento della comunicazione del proprio indirizzo postale e/o del proprio numero di telefono:

  1. informati dell’uso dei propri dati a fini di comunicazione;
  2. in grado di opporsi a tale uso in maniera semplice e gratuita.

Il diritto di opposizione può concretizzarsi, ad esempio, da una casella di spunta, accompagnata dal seguente messaggio:

  • Mi oppongo al fatto che il mio indirizzo postale e/o il mio numero di telefono vengano utilizzati per ricevere offerte dalla società xxxxx per posta e/o telefono.

In ogni caso, ciascuna richiesta deve consentire all’interessato di conoscere l’identità dell’ente che la propone e di esprimere, se lo desidera e con mezzi semplici, il proprio rifiuto a ricevere nuove richieste.

La comunicazione commerciale tramite SMS o MMS, è sempre legata al consenso informato.

La comunicazione commerciale tramite SMS o MMS è possibile, ma le persone devono prima essere informate. Devono altresì acconsentirvi preventivamente nel caso di persone fisiche o potersi opporre nel caso di professionisti.

Principio generale: consenso

La pubblicità tramite SMS o MMS è possibile a condizione che le persone abbiano espresso il proprio consenso prima di essere oggetto di propaganda.

Il consenso deve essere libero, specifico, informato e inequivocabile. Per essere valido, richiede un’azione positiva e specifica da parte dell’interessato (ad esempio, una casella di controllo dedicata non preselezionata). L’accettazione delle condizioni generali d’uso non è sufficiente. L’accordo deve essere gratuito.

Esempio di informazioni su un sito web:

  • Accetto che le mie informazioni vengano utilizzate per comunicazioni commerciali.

Due eccezioni a questo principio:

  • Se la persona cercata è già un cliente della società e se la ricerca riguarda prodotti o servizi simili forniti dalla stessa società. 

In una decisione sanzionatoria, tale eccezione non può essere invocata quando non è stata effettuata alcuna vendita o prestazione di servizio, anche quando il cliente ha creato un account online (ad esempio su un sito di e-commerce). La semplice creazione di un account, infatti, non significa che ci sarà un eventuale ordine di prodotti o servizi da parte dell’azienda.

  • Se la comunicazione non è di natura commerciale (ad esempio caritatevole).

In questi due casi, la comunicazione potrebbe essere basata sul legittimo interesse dell’organizzazione . La persona deve, al momento del ritiro del proprio numero di cellulare:

  • essere informato che il loro numero sarà utilizzato a fini di comunicazione;
  • poter opporsi a tale utilizzo in modo semplice e gratuito.

In tutti i casi

Il consenso preventivo o il diritto di opposizione siano raccolti mediante una casella di spunta.

L’uso di una casella preselezionata è vietato durante la raccolta del consenso, si consiglia quindi di utilizzare una casella predefinita deselezionata, per consentire alle persone di opporsi.  

Inoltre, ogni messaggio elettronico deve:

  • specificare l’identità dell’inserzionista;
  • offrire un modo semplice per opporsi alla ricezione di nuove sollecitazioni (ad esempio con un link per cancellarsi alla fine del messaggio).

Nota: queste regole, siano esse relative alla comunicazione con privati ​​o professionisti, sono applicabili anche alla comunicazione via fax.

La comunicazione commerciale via e-mail è possibile, ma ci deve essere sempre il consenso informato.

La comunicazione commerciale via e-mail è possibile, ma le persone devono prima essere informate. Devono altresì acconsentirvi preventivamente nel caso di persone fisiche o potersi opporre nel caso di professionisti.

Principio generale: consenso

La pubblicità via e-mail è possibile a condizione che le persone abbiano espresso il proprio consenso.

Il consenso deve essere libero, specifico, informato e inequivocabile . Per essere valido, richiede un’azione positiva e specifica da parte dell’interessato (ad esempio, una casella di controllo dedicata non preselezionata). L’accettazione delle condizioni generali d’uso non è sufficiente. L’accordo deve essere gratuito.

Esempio di informazioni su un sito web:

  • Accetto che le mie informazioni vengano utilizzate per comunicazioni commerciali.

Due eccezioni a questo principio:

  • Se la persona è già un cliente della società e se la ricerca riguarda prodotti o servizi simili forniti dalla stessa società. 

In una decisione sanzionatoria, tale eccezione non può essere invocata quando non è stata effettuata alcuna vendita o prestazione di servizio, anche quando il cliente ha creato un account online (ad esempio su un sito di e-commerce). La semplice creazione di un account, infatti, non significa che ci sarà un eventuale ordine di prodotti o servizi.

  • Se la comunicazione non è di natura commerciale (ad esempio caritatevole).

In questi due casi, la comunicazione può essere basata sul legittimo interesse dell’organizzazione. La persona deve, al momento della raccolta del proprio indirizzo di posta elettronica:

  • essere informato che il proprio indirizzo e-mail sarà utilizzato per scopi commerciali;
  • poter opporsi a tale utilizzo in modo semplice e gratuito al momento della raccolta dei dati e in qualsiasi momento, in particolare ogni volta che viene inviata una e-mail di comunicazione.

In tutti i casi

Il consenso preventivo o il diritto di opposizione siano raccolti tramite una casella di controllo. Se l’uso di una casella preselezionata è vietato in termini di ottenimento del consenso, si consiglia inoltre di utilizzare una casella predefinita non contrassegnata per consentire alle persone di opporsi.

Inoltre, ogni messaggio elettronico deve:

  • specificare l’identità dell’inserzionista;
  • offrire un modo semplice per opporsi alla ricezione di nuove sollecitazioni (ad esempio con un link per cancellarsi alla fine del messaggio).

Nota: queste regole, siano esse relative alla comunicazione con privati ​​o professionisti, sono applicabili anche alla comunicazione via fax.

Dati pubblicati online: la conformità del GDPR per il riutilizzo dei dati, per scopi commerciali.

Sono stati effettuati diversi controlli sulle Aziende che raccolgono dati di utenti Internet pubblicamente accessibili su Internet, al fine di verificarne la conformità al GDPR e al Data Protection Act.

Il Garante Privacy italiano riceve regolarmente reclami riguardanti le pratiche delle società che raccolgono dati personali sui siti web, al fine di effettuare elaborazioni commerciali.

Si rivolgono, ad esempio, alle aziende che raccolgono i dettagli telefonici delle persone che compaiono negli annunci pubblicati su un sito Web o persino negli elenchi online. Queste informazioni vengono quindi utilizzate per la comunicazione, anche se queste persone hanno indicato di essere contrarie alla propaganda commerciale.

Queste aziende sono, ad esempio:

  • quelli che raccolgono per proprio conto tutti i dati anagrafici di un settore geografico che compaiono negli elenchi online e poi effettuano loro stessi ricerche commerciali (ad esempio una compagnia di assicurazioni per la vendita di prodotti assicurativi).

Pratiche osservate

Queste aziende utilizzano strumenti, come software di estrazione (o web scraping in inglese), per raccogliere automaticamente i dati di contatto degli utenti di Internet, nelle aree pubbliche Wi-Fi.

Questi dati, sebbene accessibili pubblicamente, sono dati personali. Pertanto, non sono liberamente riutilizzabili da alcun titolare del trattamento e non possono essere riutilizzati all’insaputa dell’interessato.

 Tuttavia, i controlli effettuati nel 2019 hanno evidenziato diverse violazioni della normativa sulla protezione dei dati:

  • l’assenza di informazioni da parte delle persone interpellate, in particolare sull’origine dei dati;
  • il mancato consenso delle persone prima di essere sollecitate tramite messaggio elettronico o combinatore automatico da società che promuovono i loro prodotti o servizi;
  • mancato rispetto del diritto di opposizione dei singoli.

Al fine di rispettare i diritti delle persone, Il Garante ricorda ai titolari del trattamento e ai loro fornitori di servizi, le migliori pratiche da adottare.

Rispettare i principi generali

  • Ottenere un consenso libero, specifico, informato e inequivocabile

Quando le persone che hanno diffuso i propri dati a un primo titolare del trattamento, non si aspettano ragionevolmente di essere oggetto ad esempio, di comunicazione commerciale da parte di un’altra società, infatti il riutilizzo dei dati da parte di quest’altra società a fini commerciali è possibile solo con il loro consenso.

Esempio: un individuo che pubblica un annuncio su un sito per vendite tra privati, ​​non si aspetta ragionevolmente di essere contattato da un professionista. I suoi dati non possono quindi essere trattati senza il suo consenso.

Allo stesso modo, quando l’azienda riutilizza dati pubblicamente accessibili su Internet, al fine di effettuare comunicazioni dirette relative ai propri prodotti e servizi, tramite messaggio elettronico o dialer automatico, deve obbligatoriamente ottenere il consenso delle persone prima di tali azioni.

È necessario garantire il carattere libero, specifico, informato e inequivocabile del consenso. In quanto tale, l’accettazione da parte di un utente, in modo generale e indifferenziato, delle condizioni di utilizzo (CGU) di un servizio non può essere assimilata ad uno specifico consenso, anche se tali condizioni di utilizzo informerebbero l’utente del suo impegno a ricevere comunicazione commerciale elettronicamente.

  • Rispetta il diritto di opposizione previsto dal GDPR

Quando l’azienda sollecita commercialmente le persone con un altro mezzo (ad esempio tramite chiamata automatizzata), il software deve consentire di non raccogliere i dati delle persone iscritte negli elenchi anti comunicazione, con un operatore telefonico o con il Registro delle Opposizioni.

In ogni caso, l’azienda che utilizza questo software non deve sollecitare persone che si siano già opposte alla ricezione di comunicazioni commerciali .

Prima di utilizzare il software di estrazione dati

  1. Verificare la natura e l’origine dei dati

Le aziende che utilizzano questo software devono garantire la natura e l’origine dei dati raccolti. Alcuni software, infatti, estraggono queste informazioni da siti web, le cui condizioni generali d’uso (CGU) vietano l’importazione e il riutilizzo dei dati per fini commerciali. In questo caso, quindi, tale pratica non è autorizzata.

  1. Ridurre al minimo la raccolta dei dati

Come per qualsiasi trattamento di dati personali, la raccolta di dati per finalità di propaganda telefonica deve essere limitata a quanto strettamente necessario.

Le aziende che utilizzano questo software devono in particolare vigilare per evitare la raccolta di informazioni irrilevanti o eccessive, in particolare se particolari (ad esempio informazioni sulla salute, la religione o l’orientamento sessuale delle persone).

  1. Informare gli interessati circa il trattamento dei loro dati

Per rispettare l’equilibrio tra gli interessi delle società che utilizzano questo software e gli interessi delle persone interessate, è essenziale che la società che utilizza il software di estrazione dati fornisca, al più tardi al momento della prima comunicazione con le persone i cui dati sono trattati, le informazioni previste dall’articolo 14 del GDPR ed in particolare quella relativa alla fonte dei dati. Le informazioni devono essere concise, comprensibili e facilmente accessibili alle persone interessate.

  1. Supervisionare il rapporto contrattuale con i subappaltatori

Quando un’azienda utilizza i servizi di un fornitore che utilizza il software per suo conto, l’azienda deve assicurarsi che le misure sopra indicate siano prese in considerazione.

Inoltre, quando il prestatore di servizi agisce in qualità di subappaltatore ai sensi del GDPR, i contratti tra le parti devono essere conformi all’articolo 28 del GDPR definendo, in particolare:

  • la finalità e la durata del trattamento;
  • la natura del trattamento;
  • il tipo di dati personali;
  • le categorie di interessati;
  • gli obblighi e i diritti del titolare del trattamento.

La guida del Responsabile  illustra gli obblighi del subappaltatore e in particolare offre un esempio di clausole contrattuali.

  1. Effettuare, se necessario, un’analisi di impatto relativa alla protezione dei dati

In determinate situazioni, una valutazione dell’impatto sulla protezione dei dati (DPIA) è obbligatoria prima che avvenga il trattamento. Inoltre, anche se tale analisi di impatto non è obbligatoria, è buona pratica da adottare per garantire che il trattamento dei dati previsto sia conforme al GDPR.