Category: DPO

Stop al marketing selvaggio: le nuove regole per bloccare le chiamate dei call center su cellulare

C’è un ultimo step da fare per poter bloccare, attraverso il nuovo Registro Pubblico delle Opposizioni, le chiamate degli operatori di telemarketing anche nei telefoni cellulari.
Finora il servizio era infatti a disposizione dei numeri fissi, e in particolare di quelli registrati negli elenchi telefonici pubblici. Con il nuovo regolamento l’utente potrà invece iscrivere qualsiasi numero di telefono, sia fisso sia mobile.

Dopo un iter durato anni e molto accidentato, all’entrata in vigore del nuovo regolamento – che è stato approvato a fine 2021 nel cosiddetto decreto Capienze – manca soltanto un decreto della Presidenza del consiglio che recepisca le nuove regole. «I tempi saranno brevi», ha detto al Corriere della Sera Simone Baldelli, presidente della Commissione parlamentare sulla tutela dei consumatori: si parla di fine gennaio o inizio febbraio.

Il Registro pubblico delle opposizioni fu istituito nel 2010 e aggiornato poi nel 2018 ed è nato come «è un servizio gratuito per l’utente che permette di opporsi all’utilizzo per finalità pubblicitarie dei numeri di telefono di cui si è intestatari e dei corrispondenti indirizzi postali associati, presenti negli elenchi pubblici, da parte degli operatori che svolgono attività di marketing tramite il telefono e/o la posta cartacea».

L’iscrizione al Registro permetterà automaticamente l’annullamento di tutti i consensi pregressi rilasciati per finalità di marketing e stabilirà anche il divieto di cessione a terzi dei dati personali. Attualmente, i call center possono chiamare qualsiasi numero se hanno ottenuto il consenso da parte dell’utente. E ottenere il consenso è semplicissimo visto che la richiesta è contenuta in molti dei moduli che bisogna compilare per l’accesso a vari servizi, dall’iscrizione in palestra all’attivazione di una carta punti di un supermercato. L’iscrizione al Registro secondo le nuove regole cancellerà, appunto, tutti i consensi pregressi. Sarà anche possibile iscrivere il numero più volte per eliminare autorizzazioni date inavvertitamente anche dopo l’iscrizione al Registro.

Resteranno possibili solo le telefonate da parte di quelle aziende con cui si ha un contratto attivo o con cui lo si aveva fino a 30 giorni prima di iscriversi al Registro: per esempio, continueremo a ricevere telefonate dal nostro operatore telefonico anche dopo aver dato l’eventuale disdetta, però solo entro 30 giorni.

«Si metterà un limite, o almeno è auspicabile, al marketing telefonico selvaggio», dice Gianluca Di Ascenzo. «Succede spesso che le aziende diano l’incarico a una società di call center che, a sua volta, dà la commissione in subappalto. Si perde così il controllo della filiera: le telefonate arrivano da call center i cui numeri non sono iscritti al Roc, il Registro degli operatori delle comunicazioni, cosa che è assolutamente vietata». 

I numeri da cui riceviamo proposte di marketing dovrebbero sempre essere richiamabili, cioè immediatamente identificabili… Spesso però non è così.

Cookie: dal 10 gennaio sono entrate in vigore le nuove linee guida del Garante

Le nuove linee guida del Garante privacy sui cookie sono entrate in vigore il 10 gennaio 2022 aggiornando quanto richiesto in tema di tracciamento e di possibilità di scelta da dare all’utente che visita il nostro sito.
L’obiettivo di queste linee guida è proprio quello di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno. L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy.

Il Garante ha voluto porre l’attenzione su due questioni:
• classificazione dei cookie ed altri strumenti di tracciamento;
• lo “scrolling e la cookie wall”;
• la reiterazione nella richiesta di consenso;
• la privacy by design e by default in relazione ai cookie ed agli altri strumenti di tracciamento;
• le novità in materia d’informativa.

I Cookie sono di regola stringhe di testo che i siti web (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano – direttamente, nel caso dei publisher e indirettamente, cioè per il tramite di questi ultimi, nel caso delle “terze parti” – all’interno di un dispositivo terminale nella disponibilità dell’utente medesimo.
Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.
I cookie possono dunque svolgere importanti funzioni tra le più disparate, compresi l’esecuzione di autenticazioni informatiche, il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico. I cookie cd. “di autenticazione” sono di particolare importanza ogni qualvolta sia necessaria una verifica in ordine al soggetto che accede a
determinati servizi, come ad esempio quelli bancari.
Se da un lato è tramite i cookie che è possibile consentire, tra l’altro, alle pagine web di caricarsi più velocemente, come pure instradare le informazioni su una rete – in linea dunque con adempimenti strettamente connessi alla operatività stessa dei siti web -, sempre attraverso i cookie è possibile anche veicolare la pubblicità comportamentale (c.d. “behavioural advertising”) e misurare poi l’efficacia del messaggio pubblicitario.

Cosa fare in pratica

Si raccomanda pertanto l’adozione di un sistema di installazione dei cookie da parte del proprio sito web che soddisfi le indicazioni dell’EDPB e del Garante che preveda:
• i cookie dovranno identificarsi tendenzialmente in due tipi: tecnici (1) (che possono ricomprendere gli analitici anonimi che non permettano in nessun modo l’identificazione dell’interessato c.d. single out) e di profilazione (2) [se sono presente quelli analitici anonimi possono uscire da questa barra]. Dovrà ovviamente essere implementato un meccanismo che permetta all’utente granularmente di selezionare solo i cookie tecnici o entrambe le soluzioni.
• libero, per cui dovranno evitarsi banner che prevedano il c.d. “cookie-wall necessary” ossia il meccanismo per cui l’utente debba accettare l’installazione di tutti i cookie per poter accedere ai servizi del sito;
• i cookie andranno quindi acconsenti singolarmente, evitando meccanismi di accettazione multipla nella forma del “bundle”;
• informato, per cui il banner dovrà rendere un’informazione concisa, seppure completa e rimandare mediante link all’informativa estesa ove dovranno essere rese tutte le informazioni pertinenti, quali i tipi di cookie utilizzati, la loro natura e durata laddove prevista, oltre ad ogni altra informazione circa le modalità di accettazione, modifica e revoca;
• inequivocabile, per cui il banner dovrà chiaramente indicare all’utente che è prevista l’installazione di cookie necessari per il funzionamento del sito e che, previo consenso, potranno essere installati anche altri cookie eventualmente non anonimizzati e soprattutto cookie di profilazione.
• Il consenso dovrà essere sempre modificabile ed anche revocabile con la stessa facilità con cui esso è stato prestato: a tale fine è opportuno che l’informativa estesa preveda un comando “MODIFICA” ed un comando “REVOCA”.
• Infine, dovranno evitarsi meccanismi di installazione dei cookie prima che l’utente abbia svolto la propria azione positiva all’ingresso nel sito (per cui dovranno essere previsti strumenti di blocco automatico dei cookie fino alla scelta dell’interessato) oppure che prevedano una forma di opt-out: sono quindi sconsigliate forme di pre-selezione dei checkbox come anche il pre-posizionamento dei pulsanti “on-off” sulla modalità “on” e simili.

La guida non è esaustiva e dovrà essere calata in ogni singola realtà in base alle esigenze ed ai trattamenti svolti. Meraki può supportare l’azienda nell’implementazione di queste nuove linee guida!

Italy's Covid-19 Green Pass For Post-Vaccine Travel

Green Pass obbligatorio in azienda: le regole per adempiere ai controlli

Il Consiglio dei Ministri ha pubblicato, nella Gazzetta Ufficiale n. 226 del 21 settembre 2021, il decreto-legge 21 settembre 2021, n. 127, che introduce misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening.
Il Decreto prevede l’obbligo di esibire il certificato verde nei luoghi di lavoro, pubblici e privati, da venerdì 15 ottobre 2021 e fino al 31 dicembre 2021, termine di cessazione dello stato di emergenza.

Per il settore privato sono previste importanti novità, che riassumiamo sinteticamente di seguito.

PREVISIONI PER IL SETTORE PRIVATO (art. 3, D.L. 21 settembre 2021 n. 127)

  1. dal 15 ottobre 2021 al 31 dicembre 2021, chiunque svolga un’attività lavorativa nel settore privato è tenuto a possedere il green pass al fine di accedere al luogo in cui l’attività viene svolta, nonchè ad esibire il documento su richiesta ai soggetti incaricati del controllo;
  2. l’obbligo è esteso anche nei confronti di chi svolga -nei luoghi di lavoro di cui al punto precedente- nel settore privato, a qualsiasi titolo, la propria attività lavorativa o di formazione o di volontariato, anche sulla base di contratti esterni;
  3. sono incaricati di tale controllo i datori di lavoro, in relazione ai propri dipendenti, nonchè i committenti per eventuali soggetti esterni che svolgano attività lavorativa all’interno dei propri siti;
  4. entro il 15 ottobre 2021, i datori di lavoro sono tenuti a definire le modalità operative per l’organizzazione del controllo, anche a campione. Le verifiche delle certificazioni sono effettuate secondo le modalità indicate dal Decreto del Presidente del Consiglio dei Ministri del 17 giugno 2021 (cap. 2 del documento). Prioritariamente, ove possibile, i controlli devono essere svolti al momento dell’accesso al luogo di lavoro. I soggetti incaricati dell’accertamento delle eventuali violazioni saranno individuati con atto formale, emanato dal datore di lavoro.
  5. i lavoratori, nel caso in cui comunichino di non essere in possesso del green pass o qualora risultino privi della predetta certificazione al momento dell’accesso al luogo di lavoro, andranno considerati assenti ingiustificati fino alla presentazione della predetta certificazione e, comunque, non oltre il 31 dicembre 2021. Per i giorni di assenza ingiustificata non sono dovuti la retribuzione nè altro compenso o emolumento, comunque denominato, pur mantenendo la conservazione del posto di lavoro e non rilevando l’assenza ai fini disciplinari;
  6. nel caso in cui i lavoratori accedano ai luoghi di lavoro senza possedere il green pass, saranno sanzionabili disciplinarmente dal datore di lavoro e soggetti a sanzione amministrativa;
  7. sono soggette a sanzione le imprese che entro il 15 ottobre non definiscano le modalità del controllo o che, in concreto, non effettuino tale verifica;
  8. per le imprese con meno di quindici dipendenti, dopo il quinto giorno di assenza ingiustificata (lavoratore privo di certificazione al momento dell’accesso o non in possesso del green pass), il datore di lavoro potrà sospendere il lavoratore per la durata corrispondente a quella del contratto di lavoro stipulato per la sostituzione, comunque per un periodo non superiore a dieci giorni, rinnovabili per una sola volta, e non oltre il termine del 31 dicembre 2021.

COME VANNO EFFETTUATE LE VERIFICHE (art. 13 del DPCM 17 giugno 2021) – sintesi

  1. Comma 1. La verifica delle certificazioni verdi COVID-19 è effettuata mediante la lettura del codice a  barre bidimensionale, utilizzando esclusivamente l’applicazione mobile descritta nell’allegato B, paragrafo 4, [C19 Check] che consente unicamente di controllare  l’autenticità, la validità e l’integrità della certificazione, e di conoscere le generalità dell’intestatario, senza rendere visibili le informazioni che ne hanno determinato l’emissione.
  2. Comma 4. L’intestatario della certificazione verde COVID-19 all’atto della verifica di cui al  comma 1 dimostra, a richiesta dei verificatori di cui al comma 2, la propria identità personale mediante l’esibizione di un documento di identità.
  3. Comma 5. L’attività di verifica delle certificazioni non comporta, in alcun caso, la raccolta dei dati dell’intestatario in qualunque forma.

COSA FARE QUINDI

Per quanto, ad oggi, è dato sapere (in attesa di chiarimenti) si può affermare che:

  • I controlli devono essere svolti da personale formalmente individuato a cui è stata consegnata la lettera di autorizzazione contenente specifiche istruzioni su come dovrà comportarsi in materia di privacy;
  • NON è possibile per le aziende creare un elenco di dipendenti che riassuma quali siano vaccinati e quali no e/o con appuntante le scadenze del certificato vaccinale;
    È possibile, per i soggetti incaricati, tenere un elenco dei soggetti per cui sia stato effettuato il controllo di green pass al fine di rendicontare (soprattutto per aziende numerose) al responsabile HR di aver effettuato un controllo completo sul personale in forza;
  • Il decreto legge del 21 settembre 2021 riduce i tempi di “attesa” tra la seconda dose e l’abilitazione al green pass. Un dipendente che viene vaccinato dopo poche ore dovrebbe trovare il proprio green pass nel suo fascicolo personale (mediante l’accesso all’app IO);
  • L’app C19 check nella lettura può restuire la validità sia tramite schermate di colore verde che di colore azzurro. Entrambe valide in Italia.
  • Dovrà essere esposta nei luoghi di lavoro un’informativa privacy relativa al controllo green pass (che può anche essere inviata per posta una tantum ai dipendenti).
Merakisas.it è disponibile per supportare le aziende negli adempimenti sopra indicati! 

Green Pass: obbligatorio il controllo anche nelle mense aziendali

Una FAQ pubblicata sul sito di Palazzo Chigi riporta: “Per la consumazione al tavolo al chiuso i lavoratori possono accedere nella mensa aziendale o nei locali adibiti alla somministrazione di servizi di ristorazione ai dipendenti, solo se muniti di certificazione verde. A tal fine, i gestori sono tenuti a verificare le certificazioni con le modalità indicate dal dpcm del 17 giugno” è necessario provvedere alla designazione dei soggetti che muniti di APP sul telefonino procederanno al controllo del Green Pass.

È opportuno ricordare che:

  1. Per fini di privacy per il controllo del green pass può essere usato anche un cellulare personale in quanto l’applicazione non salva alcun dato nel dispositivo.
  2. Validare il Green Pass con il telefonino non è la stessa cosa che chiedere al dipendente se è vaccinato. Ad oggi non ci sono norme che autorizzino le aziende (salvo qualche categoria particolare) a richiedere ai propri dipendenti se abbiano o meno effettuato la vaccinazione Covid.

 

Cookie: dal 1° aprile entrano in vigore le nuove linee guida francesi

Il 1 ° aprile 2021 (e non si tratta di un pesciolino), diverranno applicabili le nuove linee guida “sui cookie e tecnologie similari” emanate dall’Autorità francese per la protezione dei dati (CNIL), contenti anche acune raccomandazioni finali sulle modalità pratiche per ottenere il consenso degli utenti alla memorizzazione oppure all’utilizzo di cookie non essenziali e tecnologie simili sui propri dispositivi, nonché una serie di Faq sull’argomento.

Volendo sintetizzare ciò che il documento contiene, riassumiamo di seguito per punti ciò che riteniamo più importate del provvedimento.

A chi si applica il provvedimento

Le linee guida si applicano alle aziende francesi o ad aziende che hanno utenti francesi tra la propria utenza.

Pulsante “accetta” e “rifiuta”

Sia le linee guida che le raccomandazioni sottolineano che deve essere altrettanto facile accettare o rifiutare l’uso dei cookie. Le interfacce di consenso che includono solo i pulsanti “accetta tutto” e “personalizza impostazioni”, in base ai quali gli utenti possono accettare tutti i cookie con un click ma possono rifiutarli con più click, non sono lecite. Se è presente un pulsante “accetta tutto”, deve esserci un pulsante “rifiuta tutto” della stessa dimensione e allo stesso livello sull’interfaccia. In alternativa, l’interfaccia per il consenso potrebbe includere un link “continua senza accettare”. Deve essere chiaro agli utenti come possono rifiutare i cookie.

Viene precisato che il “silenzio” da parte dell’utente, la mancanza di azione diretta dell’utente o altre azioni non direttamente riconducibili ad un chiaro atto positivo di espressione del consenso, debbano essere considerate come rifiuto.

Cookie di Analytics (anonimi) presentano alcune semplificazioni

Qualora vengano utilizzati soltanto cookie di Analytics anonimi per rendicontazioni ed analisi aggregate e qualora questi cookie non vengano relazionati con altri dati allo scopo di produrre analisi approfondite sugli utenti (non più anonime), si potrà procedere senza acquisire uno specifico consenso da parte degli utenti. A tal proposito, da quanto si legge nelle linee guida, la CNIL dovrebbe anche pubblicare un elenco di “strumenti” (cookie) che possano essere espressamente esentati dal consenso alle condizioni appena descritte.

Preferenze espresse dall’utente

Gli utenti, secondo quanto si legge dal provvedimento e dalle FAQ della CNIL, non dovrebbero essere invitati troppo spesso ad esprimere le proprie preferenze riguardanti i cookie.

La CNIL indica come “buona norma” la conservazione delle scelte dell’utente per 6 mesi (indicando che tale presupposto può e deve essere valutato caso per caso in base alle specifiche esigenze dell’azienda e del suo pubblico online).

Costruzione del banner relativo ai cookie

Si rende necessario, nel banner dei cookie, indicare a che tipologie di strumenti l’utente dia il proprio consenso. La CNIL indica tra le possibili categorie da poter utilizzare i cookie: “strettamente necessari, interazione e funzionalità semplici, miglioramento dell’esperienza, misurazione e/o targeting e pubblicità” alle quali, sempre secondo la CNIL, l’utente potrà prestare un consenso anche granulare (ovvero singolarmente, ad una o più delle citate categorie).

Terze parti

Nella Policy Privacy devono essere inseriti i link alle Policy Privacy delle singole aziende che forniscono cookie per cui sia necessario esprimere un consenso.

Consenso degli utenti prestato per ciascun sito

La CNIL in precedenza riteneva che fosse accettabile richiedere il consenso degli utenti per un gruppo di siti se gli utenti fossero stati informati della portata esatta del loro consenso. Quando i cookie non essenziali sono impostati da entità diverse dall’editore web e tali cookie consentono il monitoraggio delle attività degli utenti attraverso altri siti, ora la CNIL consiglia vivamente di richiedere il consenso degli utenti individualmente per ciascun sito.

Merakisas.it può aiutarti a sistemare la cookie policy, il cookie banner e quanto necessario per il rispetto della normativa. Contattaci senza impegno! 

 

 

Videosorveglianza e Privacy: quanto è importante il tempo di conservazione delle immagini?

La Videosorveglianza è uno strumento di grande utilità nel panorama aziendale.
Parallelamente alla crescita di installazioni di questo sistema di sicurezza, cresce anche la tecnologia applicabile sia ai dispositivi di ripresa (telecamere), sia ai dispositivi di registrazione che permettono l’utilizzo di add-on sempre più tecnologici quali l’identificazione facciale, l’accesso alle immagini da APP tramite smartphone/tablet, l’invio di una mail contenente una foto al passaggio di un soggetto davanti al cono di ripresa, la timbratura automatica aziendale, ecc…