g-docweb-display Portlet

Newsletter 21/06/19 - Informazioni commerciali e Gdpr: le nuove regole - Lotta agli illeciti sui mercati: Garante autorizza Consob al trasferimento dei dati - Marketing: no alla raccolta punti "acchiappa consensi"

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

 

 

NEWSLETTER N. 454 del 21 giugno 2019

 

Informazioni commerciali e Gdpr: le nuove regole
Lotta agli illeciti sui mercati: Garante autorizza Consob al trasferimento dei dati
Marketing: no alla raccolta punti "acchiappa consensi"

 

_______________________________

 

Informazioni commerciali e Gdpr: le nuove regole
Il Garante privacy approva il Codice di condotta proposto dall’Ancic

Maggiore tutela delle persone censite, valutazione di impatto sulla protezione dei dati, adeguamento alle best practices europee, un nuovo organismo di monitoraggio sulle imprese aderenti al Codice. Queste sono alcune delle misure indicate nel Codice di condotta predisposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic), e approvato dal Garante per la privacy dopo un complesso iter di elaborazione.

Il testo sostituisce e aggiorna il vecchio Codice deontologico sulle informazioni commerciali - che rimarrà comunque in vigore fino al 19 settembre 2019 - aiutando le imprese del settore ad adeguarsi al Regolamento Ue in materia di protezione dati (Gdpr) e alla normativa italiana, modificata a fine 2018.

Nel Codice di condotta trova concreta applicazione il principio di responsabilizzazione (la cosiddetta accountability), fortemente sostenuto nel Gdpr, che impone alle associazioni di categoria e alle imprese un’applicazione consapevole, trasparente, effettiva delle norme regolamentari.

Con il nuovo testo, le società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager potranno trattare i dati personali dei soggetti censiti senza richiederne il consenso - basandosi sul legittimo interesse – ma dovranno garantire maggiori tutele agli interessati, informandoli correttamente sui trattamenti effettuati e garantendo loro il pieno esercizio dei diritti previsti dalla normativa privacy, come l’opposizione al trattamento, la rettifica o l’aggiornamento dei dati.

Diverse le novità introdotte. I fornitori aderenti dovranno operare secondo un approccio basato sul rischio, adottando misure tecniche, informatiche, procedurali, fisiche e organizzative utili a prevenire o minimizzare i rischi di distruzione, perdita, modifica e divulgazione non autorizzata o di accesso ai dati personali. Ogni fornitore dovrà inoltre impegnarsi ad osservare le linee guida, le raccomandazioni e le best practices adottate dal Comitato europeo per la protezione dei dati (EDPB) o da altre autorità di settore competenti, e dovrà designare - quando previsto - un responsabile per la protezione dei dati (Rpd/Dpo).

Sarà infine istituito un Organismo di monitoraggio (Odm) indipendente, esterno all’Ancic, composto da soggetti scelti secondo i criteri di onorabilità, autonomia, indipendenza e professionalità previsti dal Regolamento Ue e dettagliati nelle Linee guida europee recentemente approvate in via definitiva. L’Odm dovrà verificare l’osservanza del codice di condotta da parte degli aderenti e gestire la risoluzione dei reclami.

L’Autorità segnala che ha approvato il codice di condotta, ma ne ha subordinato l’efficacia al completamento della fase di accreditamento dell’Organismo di monitoraggio, come previsto dal Regolamento Ue sulla privacy. Per procedere in tal senso occorrerà però aspettare la conclusione dei lavori - in seno all’Edpb, organismo che riunisce tutti i Garanti europei - per la definizione di criteri uniformi per l’accreditamento.

Nel sottolineare l’importanza del nuovo Codice di condotta, l’Autorità ricorda che il suo rispetto potrà servire alle imprese a dimostrare la conformità alla normativa del trattamento dei dati personali da esse effettuato.

 

_______________________________

 

Lotta agli illeciti sui mercati: Garante autorizza Consob al trasferimento dei dati

 
Il Garante per la protezione di dati personali ha autorizzato la Consob a sottoscrivere un accordo amministrativo per il trasferimento di dati personali tra le autorità di vigilanza finanziaria dello spazio economico europeo (SEE) e quelle al di fuori del SEE.

Obiettivo dell’intesa il trasferimento di informazioni nell’ambito dell’attività di cooperazione internazionale, finalizzata ad assicurare l'assistenza reciproca per la repressione di comportamenti illeciti sui mercati e per il rispetto da parte degli operatori degli obblighi di trasparenza nei confronti del mercato e degli investitori.

L’accordo è stato definito, facendo seguito a vari cicli di discussioni, dall’Autorità europea degli strumenti finanziari e dei mercati (ESMA) e dall’organizzazione internazionale delle commissioni sui valori mobiliari (IOSCO) ed è stato sottoposto all’attenzione del Comitato europeo per la protezione dei dati personali (EDPB).

Il provvedimento del Garante rappresenta il primo caso di autorizzazione al trasferimento dei dati prevista dall’art. 46 del Regolamento Ue. In mancanza di una decisione di adeguatezza della Commissione europea, il Regolamento prevede infatti che anche gli accordi amministrativi tra autorità o organismi pubblici possono costituire garanzie adeguate per il trasferimento dei dati, purché comprendano diritti effettivi e tutelabili e abbiano l’autorizzazione dell’Autorità garante nazionale.

Il Garante ha ritenuto, in linea con il parere espresso dal Comitato europeo per la protezione di dati personali (EDPB), che le garanzie previste nell’accordo assicurino un livello adeguato di protezione dei dati ed ha quindi autorizzato la Consob alla sottoscrizione.

Nell’accordo si prevedono, infatti, il rispetto dei principi di trasparenza, proporzionalità, qualità dei dati, adeguate misure di sicurezza e meccanismi di tutela per gli interessati. Specifiche cautele riguardano i trasferimenti successivi di dati verso un soggetto che non sia un’autorità partecipante all’accordo o un Paese privo della decisione di adeguatezza della Commissione Ue.

Ogni autorità di vigilanza finanziaria dovrà pubblicare l’accordo sul proprio sito web, insieme ad un’informativa dettagliata sul trattamento dei dati.

Il Garante ha tuttavia precisato che l’accordo sarà valido ad alcune condizioni: le parti dovranno rispettare pienamente tutte le clausole e la Consob dovrà informare lo stesso Garante di qualsiasi sospensione di trasferimenti di dati e di qualsiasi revisione o sospensione della partecipazione all’accordo. La Consob dovrà conservare la documentazione relativa all’applicazione dell’accordo (ad esempio, numero delle richieste e lamentate violazioni presentate dagli interessati a livello europeo) e per i primi due anni trasmettere una relazione all’Autorità.

Il Garante sorveglierà l’applicazione pratica dell’accordo, verificando il rispetto delle garanzie, le cui violazioni comporterebbero la sospensione dei flussi di dati effettuati dalla Consob.

 

_______________________________

 

Marketing: no alla raccolta punti "acchiappa consensi"

Per poter partecipare ad un programma di raccolta punti e usufruire così di piccoli vantaggi il cliente non deve essere obbligato ad esprimere il consenso a ricevere pubblicità. Il principio è stato ribadito dal Garante privacy che ha vietato a una nota marca di pannolini l’ulteriore trattamento per finalità promozionali dei dati di oltre un milione e mezzo di persone, acquisiti in modo illecito mediante il form "raccolta punti" del sito della società.

Dagli accertamenti svolti dal Garante in collaborazione con il Nucleo speciale privacy della guardia di finanza, a seguito di una segnalazione, è emerso che solo nei primi due mesi del 2018 la società ha inviato newsletter promozionali a circa un milione di indirizzi e-mail raccolti e utilizzati senza un valido consenso.

Ai clienti interessati alla raccolta punti, infatti, non veniva data la possibilità, come richiesto dalla normativa, di esprimere un consenso libero e specifico per le singole finalità di trattamento che la società intendeva svolgere, tra le quali vi era appunto l’attività promozionale. Per poter completare la registrazione e aderire al programma di fidelizzazione i clienti erano invece obbligati a rilasciare due consensi generici, uno per la società e uno per i marchi collegati. 

Oltre a disporre il divieto, il Garante ha ingiunto alla società, qualora intenda svolgere attività promozionali, di modificare il form di raccolta dati presente sul sito, affinché gli utenti possano esprimere un consenso libero e informato per tale finalità. 

Per i trattamenti illeciti è stata applicata una sanzione amministrativa che la società ha già pagato.

 

_______________________________

 

 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

 

 

 

- 38^ sessione plenaria del Comitato della Convenzione 108: dal riconoscimento facciale alla profilazione, le nuove frontiere della protezione dati – Comunicato del 19 giugno 2019

- T4DATA: il 26 giugno a Catanzaro nuovo incontro formativo per gli RPD – Comunicato dell’11 giugno 2019

- Testamento biologico: Garante privacy, sì alla banca dati nazionale delle Dat - Comunicato del 06 giugno 2019

 

 

 

 

 

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza Venezia, n. 11 - 00187 Roma.
Tel: 06.69677.2751 - Fax: 06.69677.3785
Newsletter è consultabile sul sito Internet www.garanteprivacy.it

 

 

 

 

 

 

Iscrizione alla Newsletter - Cancellazione dal servizio - Informazioni sul trattamento dei dati personali