g-docweb-display Portlet

Newsletter 5 febbraio 2008

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Newsletter - Notiziario settimanale - anno X

N. 300 del 5 febbraio 2008

• Troppi dati per le "fidelity card": interviene il Garante
• No dei Garanti privacy Ue al "Pnr" europeo

Troppi dati per le "fidelity card": interviene il Garante
L´Autorità vieta l´uso dei dati a quattro società che operano nella grande distribuzione

Troppi dati per le "carte di fedeltà". Il Garante privacy (composto da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan, Giuseppe Fortunato)  ha vietato a quattro società -  di un gruppo di cinque sottoposto a controlli - l´uso di dati personali trattati in modo illecito: troppi i dati  raccolti per i programmi di fidelizzazione, moduli poco chiari e con informazioni incomplete, impossibilità di esprimere liberamente il consenso per i trattamenti di dati a fini di marketing.  Supermercati, catene di negozi, agenzie di viaggi raggiunti dal divieto non potranno più utilizzare i dati e dovranno conformarsi alle misure prescritte. Prosegue senza sosta, anche attraverso accertamenti della Guardia di finanza, l´azione del Garante a tutela dei consumatori che aderiscono ai programmi di fidelizzazione promossi da operatori economici della grande distribuzione, telefonia, trasporti, viaggi. Gli accertamenti, effettuati a livello nazionale, rientrano nel piano di verifiche programmate per accertare la corretta applicazione della normativa privacy e in particolare del provvedimento generale sulle "fidelity card" adottato nel febbraio del 2005. Il quadro che emerge dalle verifiche mostra  numerose irregolarità. Innanzitutto le società raccolgono troppi dati: oltre a nome, cognome luogo e data di nascita necessari per attribuire sconti, premi o bonus connessi all´uso della carta, richiedono anche titolo di studio, e-mail, professione e numero dei componenti del nucleo familiare. Dati ritenuti non pertinenti ed eccedenti dal Garante che  ne ha quindi vietato l´uso ed ha ordinato alle società di cancellarli o di renderli anonimi. Altre irregolarità sono state riscontrate nelle informative date ai consumatori e nella raccolta del consenso. Gli operatori dovranno  riformulare l´informativa, sia cartacea sia on line, specificando, in particolare, quali dati sia obbligatorio indicare al momento dell´adesione al progetto e quali siano invece facoltativi. Dovranno inoltre precisare i diritti (di accesso, rettifica, cancellazione) che la normativa riconosce e chiarire che il consenso per autorizzare l´uso dei dati per altre finalità (marketing, profilazione) è libero. E, soprattutto, dovranno mettere il consumatore in condizione di poter scegliere liberamente se e quali trattamenti di dati autorizzare. Scelta che non era invece possibile effettuare in alcuni dei moduli esaminati, dove con un´unica firma si aderiva al programma di fidelizzazione ma si autorizzava anche l´utilizzo dei dati a fini di marketing. Per quanto riguarda poi l´uso di dati facoltativi raccolti a fini statistici il Garante ha prescritto alle società di adottare opportuni accorgimenti che impediscano di ricondurre i dati all´interessato fin dal momento della raccolta.
[doc. web nn. 14669301466898146695614669711466985]


No dei Garanti privacy Ue al "Pnr" europeo
Critiche  alla proposta della Commissione di introdurre in Europa l´obbligo di comunicare alle autorità di polizia e di frontiera i dati dei passeggeri aerei

La proposta presentata lo scorso novembre dalla Commissione europea, secondo cui verrebbe introdotto in Europa l´obbligo di comunicare alle "autorità competenti" i dati dei passeggeri aerei diretti verso i Paesi dell´Ue, come già avviene per gli Usa, è stata accolta con forti critiche da tutte le autorità europee per la protezione dei dati. Un parere adottato congiuntamente dal gruppo di lavoro Ue (Gruppo articolo 29) e dal "Working Party on Police and Justice", presieduto da Francesco Pizzetti, ha richiamato l´attenzione del Consiglio Ue e della Commissione sugli aspetti giudicati contrari ai principi fondamentali in materia di tutela dei dati personali (http://ec.europa.eu/... wp145_en.pdf).

Le Autorità per la privacy di tutti i Paesi europei hanno espresso critiche molto serrate contro la proposta di decisione quadro del Consiglio che istituirebbe il cosiddetto "Pnr europeo". I Garanti ritengono che la proposta comporti una grave compressione dei diritti fondamentali dei cittadini europei, sanciti non soltanto dalla direttiva sulla protezione dei dati, ma ancor prima dalla Convenzione di Roma del 1950 (sui diritti umani fondamentali, compreso il diritto al rispetto della vita privata) e, successivamente, dalla Convenzione 108 del Consiglio d´Europa (sulla protezione dei dati personali).

Secondo i Garanti Ue per il Pnr europeo non sono dimostrate né la necessità né la proporzionalità del trattamento previsto nel progetto di decisione quadro. Soprattutto perché esiste già una direttiva Ue, la 2004/82, che  prevede l´obbligo per i vettori aerei europei di raccogliere e rendere disponibile, a richiesta, i dati Api (Advance Passenger Information), cioè i dati utilizzati per il check-in. Tale direttiva, peraltro, non ha trovato ancora piena attuazione in tutti gli Stati Membri. Appare quanto meno eccessivo introdurre, dunque, un obbligo ulteriore per finalità di sicurezza quando non si è ancora verificata l´efficacia di un sistema istituito per vigilare sulle frontiere europee.

Numerosi altri aspetti della proposta appaiono problematici: sono troppe le categorie di informazione oggetto di trasferimento, addirittura ulteriori rispetto a quelle previste nell´Accordo sul Pnr Usa; il periodo di conservazione dei dati da parte delle autorità competenti è eccessivo (tredici anni); non vi è chiarezza sulla necessità di prevedere esclusivamente un sistema del tipo "push" (invio di dati su richiesta), e non "pull" (accesso dall´esterno ai database per recuperare le informazioni di interesse), come già indicato nei pareri sul Pnr  Usa; l´eliminazione dei dati sensibili eventualmente raccolti (indispensabile per evitare il trattamento di questi dati, che è riservato solo ad alcuni specifici soggetti) va lasciato ai singoli vettori aerei, e non alle autorità riceventi; sono troppo larghi i margini della discrezionalità lasciata agli Stati Membri nell´attuare  le disposizioni contenute nella  decisione, soprattutto per quanto riguarda l´ambito di circolazione delle informazioni che dovrebbero essere fornite dai vettori aerei.
Le Autorità europee per la privacy chiedono di avviare quanto prima un serio dibattito sul tema che coinvolga tutte le parti in causa: dai Parlamenti nazionali alle compagnie aeree; dal Parlamento europeo alle autorità di protezione dati. Si tratta di evitare che i cittadini, non solo quelli europei,  siano oggetto di una sorveglianza generalizzata nei loro spostamenti aerei in Europa.


 

L´ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall´Autorità

Regolamento n. 1/2007 - Regolamento concernente le procedure interne all´Autorità aventi rilevanza esterna, finalizzate allo svolgimento dei compiti demandati al Garante per la protezione dei dati personali - 14 dicembre 2007 (G.U. n. 7 del 9 gennaio 2008) [doc. web n. 1477480]

Regolamento n. 2/2007 - Regolamento concernente l´individuazione dei termini e delle unità organizzative responsabili dei procedimenti amministrativi presso il Garante per la protezione dei dati personali - 14 dicembre 2007 (G.U. n. 7 del 9 gennaio 2008) [doc. web n. 1477624]

Il Garante scrive a Parlamento e Governo: urgente ridurre i tempi di conservazione  dei dati di traffico telefonico e Internet - 15 gennaio 2008 [doc. web n. 1479338]

Ispezione all´ex ospedale Regina Elena di Roma - 21 gennaio 2008 [doc. web n. 1480548]

Il Garante ai gestori Tlc: cancellate le informazioni sulla navigazione in Internet - 24 gennaio 2008 [doc. web n. 1481285]

Tabulati sotto chiave: il Garante detta ai gestori le regole per la tenuta dei dati di traffico telefonico e Internet - 1 febbraio 2008 [doc. web n. 1485429]

 

 

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.752 - Fax: 06.69677.755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it