Dal mutuo ai viaggi, l’Ue serra le file sulla tutela della privacy

Pagine a cura di Antonio Ciccia Messina

Cambi gestore di servizi per l’energia o la telefonia? Scatta il diritto alla portabilità del dato. Compri su internet? Non devono chiederti dati eccedenti rispetto a quelli strettamente necessari per la consegna del prodotto. Paghi una polizza vita come fumatore e non è vero? Scatta il diritto alla rettifica del dato. Sono queste alcune situazioni tipo censite in un vademecum della Commissione Europea, che ha lanciato una campagna informativa sul regolamento Ue 2016/679. È il regolamento sulla privacy, che manderà in soffitta la vecchia privacy (anche se non tutto il codice della privacy) e che impone alle imprese di adeguarsi entro il 25 maggio 2018 (nuovi adempimenti, soprattutto dal lato della sicurezza delle reti e degli archivi). A poco più di 100 giorni dalla data di applicazione della nuova normativa, la Commissione europea spiega che il cantiere è ancora aperto: il nuovo regolamento prevede un’unica serie di norme direttamente applicabili in tutti gli stati dell’Unione, ma saranno necessari ancora notevoli adeguamenti per determinati aspetti, come la modifica delle leggi esistenti da parte degli stati nazionali o l’istituzione del Comitato europeo per la protezione dei dati da parte delle autorità di protezione dei dati. In Italia sono in corso d’opera i decreti legislativi attuativi dell’articolo 13 della legge 163/2013 e i provvedimenti del garante previsti dai commi da 1021 a 1024 della legge 205/2017 (legge bilancio per il 2018). Per orientarsi tra le nuove disposizioni e i nuovi adempimenti, ripercorriamo la casistica offerta dalla Commissione Europea: serva da metro di paragone anche per casi irrisolti. Partiamo da casi sviluppati dal lato dell’interessato, cioè del soggetto cui si riferiscono i dati personali.

Ogni esempio fa vedere in concreto come si applica un istituto del Regolamento Ue 2016/679.

Cambio del gestore. Il diritto alla portabilità del dato si usa, per esempio, quando si trova un fornitore più conveniente. Un consumatore trova un fornitore di energia elettrica che pratica tariffe più basse.

In base alle nuove regole, si può chiedere all’attuale fornitore di trasmettere i propri dati personali direttamente al nuovo gestore, se tecnicamente fattibile. In ogni caso, l’imprenditore è obbligato a trasmettere all’interessato i suoi dati in un format comune e leggibile così da poter essere usato da altri sistemi.

Richiesta del mutuo. I diritti relativi alle decisioni automatizzate si usano, ad esempio, quando si richiede un mutuo. Un utente fa domanda di mutuo ad una banca online. All’interessato viene richiesto di caricare alcuni dati personali e l’algoritmo della banca comunica se la banca accoglierà la richiesta di mutuo e fornisce il tasso di interesse applicabile. L’utente deve essere informato dei suoi diritti e cioè: esprimere la propria opinione, contestare la decisione, chiedere l’intervento umano nel procedimento di revisione della decisione automatizzata.

Moroso su Google. Si prenda l’esempio di taluno che digita il proprio nome in un motore di ricerca sulla rete internet, ed il risultato comprende collegamenti a un vecchio articolo di giornale su un debito pagato tanto tempo prima. Se l’interessato non è un personaggio pubblico e l’interesse alla cancellazione del risultato prevale sull’interesse pubblico all’accesso all’informazione, il motore di ricerca è obbligato a cancellare il collegamento.

Premio assicurativo per il non fumatore. Una persona è interessata a stipulare un contratto con una nuova compagnia di assicurazione, ma si accorge che la compagnia, per errore, ha qualificato l’utente come fumatore e questo provoca un aumento del premio da pagare per l’assicurazione sulla vita: l’interessato ha il diritto alla cancellazione del dato inesatto.

Agenzia di viaggi. Si prenda l’esempio di una agenzia di viaggi, che raccoglie i dati personali dei propri clienti. La società deve spiegare in maniera chiara e precisa e in un linguaggio comprensibile perché i dati sono necessari, come verranno usati, e per quanto tempo i dati saranno conservati. Il trattamento deve essere programmato e realizzato in modo da rispettare I principi della protezione dei dati.

Pubblicità a clienti. Una banca ha un contratto con un cliente per fornirgli un conto e un prestito personale. Alla fine del primo anno, la banca usa i dati personali del cliente per verificare se ha i requisiti per un migliore tipo di prestito e un nuovo prodotto di investimento. La banca informa il cliente. La banca può trattare i dati del cliente in quanto le nuove finalità sono compatibili con quelli iniziali.

Credito e assicurazioni. La banca intende mettere a conoscenza dei dati personali del cliente compagnie di assicurazione, a partire dal contratto di conto corrente e finanziamento personale. Il trattamento successivo non è legittimo senza il consenso esplicito del cliente, considerato che la finalità non è compatibile con quella iniziale per cui i dati sono stati raccolti.

Car sharing. Una società fornisce il servizio di condivisione di autoveicoli. Per questi servizi la società richiede il nome, l’indirizzo e il numero della carta di credito dei clienti ed eventualmente informazioni sulla disabilità (e quindi dati sanitari), ma non certo dati sull’origine razziale.

Curriculum. Una società ha un ufficio assunzioni e per questa finalità raccoglie i curriculum di persone alla ricerca di un impiego, che pagano una commissione per l’attività di ricerca di personale. Si programma di conservare i dati per 20 anni ma senza precauzioni per l’aggiornamento dei curriculum. Il periodo di conservazione appare sproporzionato rispetto alla finalità di ricerca del persona nel breve e nel medio termine.

Peraltro la mancata richiesta di aggiornamento a intervalli regolari priva di utilità alcune ricerche, ad esempio, perchè gli interessati hanno acquisito nuove qualifiche.

App musicali. Una società che fornisce una applicazione musicale deve chiedere il consenso per trattare i dati relativi alle preferenze musicali allo scopo di mandare proposte mirate relative a concerti e canzoni.

E-commerce. Una società vende prodotti online. Può trattare dati se e in quanto necessario per rispondere passo passo alle richieste del cliente prima della conclusione del contratto e per l’esecuzione del contratto. Si possono trattare senza consenso il nome, l’indirizzo di consegna dei prodotti, il numero della carta di credito (se il pagamento avviene con carta).

Obbligo di legge. Una impresa occupa alcuni dipendenti. Al fine di ottenere le coperture del Sistema di sicurezza nazionale, la legge impone di trasmettere alcuni dati personali (come l’ammontare dello stipendio) alle competenti autorità.

Procedimenti disciplinari dei professionisti. Un’associazione professionale, come l’ordine degli avvocati o dei medici conduce procedimenti disciplinari a carico dei propri iscritti. Può farlo, senza consenso al trattamento dei dati, perché trattasi di un obbligo di legge.

Controllo computer dei dipendenti. Una società fornisce servizi di sicurezza informatica mediante monitoraggio delle postazioni in uso ai dipendenti.

L’impresa può legittimamente trattare dati personali per questa finalità, a condizione che sia minimizzato il livello di osservazione e raccolta dei dati, ad esempio fissando a priori limitazioni tecniche alla accessibilità a certi siti web (salvo regole più rigorose e stringenti in vigore nei singoli stati componenti dell’Ue).

Clienti. Un’impresa ha un legittimo interesse (trattamento dei dati senza consenso dell’interessato) quando il trattamento avviene nell’ambito della relazione con un cliente, nel caso di marketing diretto e anche per la prevenzione di frodi e per assicurare la sicurezza della rete e del Sistema informatico.

Campagna promozionale. Una compagnia aerea diffonde una informativa privacy nella quale specifica che i dati personali dei clienti possono essere utilizzati per un concorso organizzato che mette in palio voli gratis. I clienti che comprano i biglietti possono aderire alla partecipazione al concorso se hanno manifestato chiaramente il loro consenso al trattamento dei dati nel concorso. Il consenso vale per il concorso, ma non per altri scopi.

Film su internet. Un’impresa offre online la visione di film. Nel raccogliere i dati dei clienti si chiedono dati ulteriori, come l’orientamento sessuale o politico dell’interessato. La persona può essere indotta a ritenere che la fornitura di questi dati sia necessaria per accedere al servizio di visione dei film. In questo caso il consenso non è libero e, quindi, non è valido.

Newsletter online. Una società diffonde una newsletter online. I clienti danno il consenso autorizzandi al trattamento dei dati relativi ai loro interessi così da permettere l’elaborazione di un profilo delle preferenze di lettura. In corso d’anno gli interessati informano che non vogliono più ricevere la newsletter; la società deve cancellare tutti i dati raccolti nell’ambito della sottoscrizione della newsletter, compresi i profili riferiti al singolo interessato.Marketing. Due amici rispettivamente hanno il primo una palestra e il secondo una libreria. Tutti e due raccolgono i dati dei loro clienti. Il libraio non naviga in buone acque: ha pochi clienti e vorrebbe dare impulso alle vendite.

Contatta il gestore della palestra e gli chiede se i frequentatori della palestra siano interessati a ricevere una pubblicità relativa alla nuova biografia di un famoso atleta.

L’informativa privacy del gestore della palestra segnala ai clienti che i loro dati potrebbero essere condivisi con altri partner per l’offerta di prodotti nel campo della salute e del benessere.
Fonte: