Sono stati effettuati diversi controlli sulle Aziende che raccolgono dati di utenti Internet pubblicamente accessibili su Internet, al fine di verificarne la conformità al GDPR e al Data Protection Act.
Il Garante Privacy italiano riceve regolarmente reclami riguardanti le pratiche delle società che raccolgono dati personali sui siti web, al fine di effettuare elaborazioni commerciali.
Si rivolgono, ad esempio, alle aziende che raccolgono i dettagli telefonici delle persone che compaiono negli annunci pubblicati su un sito Web o persino negli elenchi online. Queste informazioni vengono quindi utilizzate per la comunicazione, anche se queste persone hanno indicato di essere contrarie alla propaganda commerciale.
Queste aziende sono, ad esempio:
- quelli che raccolgono per proprio conto tutti i dati anagrafici di un settore geografico che compaiono negli elenchi online e poi effettuano loro stessi ricerche commerciali (ad esempio una compagnia di assicurazioni per la vendita di prodotti assicurativi).
Pratiche osservate
Queste aziende utilizzano strumenti, come software di estrazione (o web scraping in inglese), per raccogliere automaticamente i dati di contatto degli utenti di Internet, nelle aree pubbliche Wi-Fi.
Questi dati, sebbene accessibili pubblicamente, sono dati personali. Pertanto, non sono liberamente riutilizzabili da alcun titolare del trattamento e non possono essere riutilizzati all’insaputa dell’interessato.
Tuttavia, i controlli effettuati nel 2019 hanno evidenziato diverse violazioni della normativa sulla protezione dei dati:
- l’assenza di informazioni da parte delle persone interpellate, in particolare sull’origine dei dati;
- il mancato consenso delle persone prima di essere sollecitate tramite messaggio elettronico o combinatore automatico da società che promuovono i loro prodotti o servizi;
- mancato rispetto del diritto di opposizione dei singoli.
Al fine di rispettare i diritti delle persone, Il Garante ricorda ai titolari del trattamento e ai loro fornitori di servizi, le migliori pratiche da adottare.
Rispettare i principi generali
- Ottenere un consenso libero, specifico, informato e inequivocabile
Quando le persone che hanno diffuso i propri dati a un primo titolare del trattamento, non si aspettano ragionevolmente di essere oggetto ad esempio, di comunicazione commerciale da parte di un’altra società, infatti il riutilizzo dei dati da parte di quest’altra società a fini commerciali è possibile solo con il loro consenso.
Esempio: un individuo che pubblica un annuncio su un sito per vendite tra privati, non si aspetta ragionevolmente di essere contattato da un professionista. I suoi dati non possono quindi essere trattati senza il suo consenso.
Allo stesso modo, quando l’azienda riutilizza dati pubblicamente accessibili su Internet, al fine di effettuare comunicazioni dirette relative ai propri prodotti e servizi, tramite messaggio elettronico o dialer automatico, deve obbligatoriamente ottenere il consenso delle persone prima di tali azioni.
È necessario garantire il carattere libero, specifico, informato e inequivocabile del consenso. In quanto tale, l’accettazione da parte di un utente, in modo generale e indifferenziato, delle condizioni di utilizzo (CGU) di un servizio non può essere assimilata ad uno specifico consenso, anche se tali condizioni di utilizzo informerebbero l’utente del suo impegno a ricevere comunicazione commerciale elettronicamente.
- Rispetta il diritto di opposizione previsto dal GDPR
Quando l’azienda sollecita commercialmente le persone con un altro mezzo (ad esempio tramite chiamata automatizzata), il software deve consentire di non raccogliere i dati delle persone iscritte negli elenchi anti comunicazione, con un operatore telefonico o con il Registro delle Opposizioni.
In ogni caso, l’azienda che utilizza questo software non deve sollecitare persone che si siano già opposte alla ricezione di comunicazioni commerciali .
Prima di utilizzare il software di estrazione dati
- Verificare la natura e l’origine dei dati
Le aziende che utilizzano questo software devono garantire la natura e l’origine dei dati raccolti. Alcuni software, infatti, estraggono queste informazioni da siti web, le cui condizioni generali d’uso (CGU) vietano l’importazione e il riutilizzo dei dati per fini commerciali. In questo caso, quindi, tale pratica non è autorizzata.
- Ridurre al minimo la raccolta dei dati
Come per qualsiasi trattamento di dati personali, la raccolta di dati per finalità di propaganda telefonica deve essere limitata a quanto strettamente necessario.
Le aziende che utilizzano questo software devono in particolare vigilare per evitare la raccolta di informazioni irrilevanti o eccessive, in particolare se particolari (ad esempio informazioni sulla salute, la religione o l’orientamento sessuale delle persone).
- Informare gli interessati circa il trattamento dei loro dati
Per rispettare l’equilibrio tra gli interessi delle società che utilizzano questo software e gli interessi delle persone interessate, è essenziale che la società che utilizza il software di estrazione dati fornisca, al più tardi al momento della prima comunicazione con le persone i cui dati sono trattati, le informazioni previste dall’articolo 14 del GDPR ed in particolare quella relativa alla fonte dei dati. Le informazioni devono essere concise, comprensibili e facilmente accessibili alle persone interessate.
- Supervisionare il rapporto contrattuale con i subappaltatori
Quando un’azienda utilizza i servizi di un fornitore che utilizza il software per suo conto, l’azienda deve assicurarsi che le misure sopra indicate siano prese in considerazione.
Inoltre, quando il prestatore di servizi agisce in qualità di subappaltatore ai sensi del GDPR, i contratti tra le parti devono essere conformi all’articolo 28 del GDPR definendo, in particolare:
- la finalità e la durata del trattamento;
- la natura del trattamento;
- il tipo di dati personali;
- le categorie di interessati;
- gli obblighi e i diritti del titolare del trattamento.
La guida del Responsabile illustra gli obblighi del subappaltatore e in particolare offre un esempio di clausole contrattuali.
- Effettuare, se necessario, un’analisi di impatto relativa alla protezione dei dati
In determinate situazioni, una valutazione dell’impatto sulla protezione dei dati (DPIA) è obbligatoria prima che avvenga il trattamento. Inoltre, anche se tale analisi di impatto non è obbligatoria, è buona pratica da adottare per garantire che il trattamento dei dati previsto sia conforme al GDPR.
Comments are closed for this article!