privacy

e-Commerce Forum 2010 live blogging (appunti): le decisioni del Garante in materia di privacy, prevenire è meglio che curare

0.00 avg. rating (0% score) - 0 votes

 

eCommerce Forum 2010 Milano: Studio legale CMB & Partner

trattamento dei dati in tutti quei casi diversi dal telefono: posta, fax, mms, sms, etc dove cioè non è necessario un operatore. fonti: 2002/58/ce e dlgs 196/2003. dove non c’è l’operatore è consentito trattamento solo con il consenso preventivo dell’interessato.

provvedimenti a livello nazionale: garante per la protezione dei dati personali del 29 maggio 2003. a livello comunitario parere 5/2004 (proposte e comunicazioni indesiderate ai fini di commercializzazione diretta).

inviare mail pubblicitarie senza il preventivo consenso dell’interessato è vietato, sanzioni 10k – 120k euro (erogata dal garante) ed è anche un illecito penale art. 167 codice privacy (erogata dal giudice penale). c’è un’altra sanzione erogata dal garante: il blocco dei dati, cioè l’impossibilità di utilizzarla per determinati fini a seguito di una decisione del garante (art. 11 comma 2 codice privacy, art. 154 lettera d codice privacy).

per gli interessati è più efficace rivolgersi al garante che al giudice per via delle sanzioni applicate e per il fatto di poter trattare tra le parti e chiudere in via amichevole (e pecuniaria) la controversia.

nel 2009 circa 340 segnalazioni di cui il 67% chiuso con sanzione per il merchant.

qualsiasi manifestazione di volontà preventiva con la quale la persona interessata accetta che i suoi dati vengano trattati a fini commerciali. quindi la volontà si esprime prima della ricezione del messaggio: anche l’invio di un solo messaggio non rispetta il requisito del consenso preventivo e non è in linea con il codice della privacy.

anche l’invio di fax aziendali a numeri presi dall’elenco telefonico non è permesso perché manca comunque il preventivo consenso (c’è già stata una sentenza in merito).

l’unica eccezione è mandare una mail pubblicitaria ad un cliente, preventivamente informato, con queste caratteristiche: il medesimo titolare tratta i dati, no società controllate nè controllanti; l’interessato deve essere già cliente del titolare (c’è già stato un rapporto contrattuale); deve trattarsi di prodotti o servizi del titolare del trattamento dei dati; le comunicazioni devono riguardare solo servizi o prodotti analoghi all’oggetto della vendita precedente (analogia: ragionevoli aspettative del ricevente  piuttosto che di quelle del mittente. es. se il merchant vende sia tende da campeggio che frigoriferi e il cliente ha comprato un frigorifero non gli si può proporre una tenda anche se dello stesso venditore); l’interessato deve sapere che si può opporre in qualsiasi momento al trattamento dei suoi dati e che può farli cancellare.

l’informativa carente o imprecisa incide sulla validità del consenso. l’informativa deve avare tutti i contenuti descritti dall’art. 13 del codice privacy. nel caso di trattamento per finalità di marketing bisogna dire anche che è un trattamento ulteriore non strettamente connesso al servizio o alla prestazione richiesti, inoltre deve sapere che il consenso è facoltativo, dev’essere spiegata la modalità del trattamento, indicato che i dati vengono ceduti a terzi, il fatto che l’interessato può opporsi per qualsiasi motivo e gli estremi identificativi del titolare del trattamento. non si può negare un servizio o una prestazione a chi non vuole fornire i propri dati per finalità di marketing.

bisogna fornire consensi differenziati per tutte le distinte finalità dell’informativa (es. pubblicità + profilazione clientela + cedere dati dei clienti a terzi), pena invalidità, illecito e sanzione amministrativa.

il trattamento dei dati non autorizza a mandare informazioni commerciali se non espressamente indicato e scelto dall’utente, proprio perché il consenso deve essere espresso in positivo.

non è possibile pre-flaggare il campo di accettazione.

acquisto banche dati per marketing online: occhio alle finalità del trattamento ed alla cessione dei dati a terzi. la responsabilità ricade sia su chi acquisisce che su chi vende i dati, quindi chi li acquista deve verificare la presenza delle informative e l’acquisizione del consenso (sui grossi numeri si può fare a campione e verbalizzare per testimoniare il processo attivo e diligente dell’acquirente dei dati). l’acquirente deve seguire accorgimenti per non cadere in incauto acquisto: assumere informazioni sulla banca dati, assumere informazioni sulle finalità per le quali la banca dati può essere utilizzata, qual è stata la formula del consenso, inviare la nuova informativa agli interessati per accedere ai propri dati e per opporsi eventualmente al trattamento, ottenere dal cedente una dichiarazione di garanzia sulla sussistenza dei requisiti previsti dalla legge ai fini delle comunicazioni commerciali da parte di terzi in relazione a tutti i nominativi presenti nel database.

Mi hanno rubato il motorino

0.00 avg. rating (0% score) - 0 votes

Qualche giorno fa impazzava su Facebook il video appello di Gea Cardona, una ragazza a cui avevano appena rubato il suo adorato motorino. Nel video auto-prodotto Gea spiega, per ben 4 minuti a camera fissa, la sua disperazione, cercando di impietosire il ladro per farsi restituire il bottino.


Non so se si tratti di un fake, ma ci sono alcuni interessanti spunti su cui riflettere:

  • professionale: si tratta di un video con buona propensione alla viralità, 450 visualizzazioni al giorno su YouTube considerando che non è l’originale e diverse riprese su Google
  • sociale: per gli adolescenti realizzare un video è l’ultimo dei problemi, “privacy” è una parola inglese come un’altra e gli utenti di Facebook possono essere d’aiuto in casi estremi
  • divertente: il video è così “forte” da aver scatenato già alcune parodie

Twitter attraverso FriendFeed: niente privacy

0.00 avg. rating (0% score) - 0 votes

Twitter - Problema di privacy sugli account protettiSu Twitter Alexiaco dice che utilizzando la ricerca interna al sito è possibile leggere gli aggiornamenti delle persone che hanno protetto i loro account rendendoli privati.

Ho provato, ma la risposta di Twitter mi pare corretta: “Either [NOMEUTENTE] has set twitter to private mode (hiding all messages from public view), or the messages between these users were so far apart in time that we couldn’t connect them.” Alex come posso riprodurre il problema?

Forse però non ho seguito la stessa procedura. Intanto aggiungo che sottoscrivendo un account su Friendfeed di qualcuno che ha protetto il suo feed su Twitter si riescono comunque a leggere tutti i suoi interventi dal sito FriendFeed usando la tab “Friends”…

Io sono collegato su Friendfeed con una persona che ha scelto di tenere gli aggiornamenti di Twitter privati. Su Twitter però non siamo collegati, eppure in FriendFeed leggo tutti i suoi twit.

Occhio! 🙁

La leggerezza di Genialloyd

0.00 avg. rating (0% score) - 0 votes

Stasera avevo bisogno di accedere ad un account di un cliente di Genialloyd che non ricordava la sua password, ho avviato la procedura per il recupero online ma, dato che esistono più profili collegati alla stessa mail, il sito dell’assicurazione invita a chiamare il numero verde gratuito per ottenere tutte le informazioni.

Faccio il numero e mi risponde una ragazza del call-center a cui spiego la situazione senza dare alcuna informazione sulla mia identità: non fornisco cognomi o indirizzi mail, né codici di alcun tipo, mi viene richiesta solo la targa dell’automobile per la quale non dispongo più delle credenziali di accesso al sito. Poi mi viene domandato se l’intestatario fosse Nome Cognome e rispondo di si. Bene, la ragazza digita sulla tastiera e dopo qualche secondo mi dice al telefono UserID e Password. Così, in diretta.

Ora io mi chiedo:

  • è normale che gli operatori possano accedere alle password degli utenti? La password non dovrebbe essere criptata o comunque non visibile in chiaro? Gli operatori viceversa devono avere la possibilità di modificare le password o al limite avviare una procedura automatica che ne invii una nuova (privacy).
  • è normale che chiunque possa chiamare un’assicurazione (che lavora solo online) ed ottenere con questa facilità nome, cognome, userid e password di un cliente? Si parla di credenziali necessarie per accedere ad un’area riservata, con lo storico dei sinistri, degli ordini, dati personali, etc…
  • è normale che un’azienda che riceve altissime percentuali di pagamenti con carta di credito e che sfrutta quotidianamente adeguate soluzioni per la sicurezza dei dati, come il protocollo SSL, cada poi su una banalità del genere?

In questi anni ho sempre consigliato Genialloyd – anche per questo mi trovo ogni tanto a fare i rinnovi per gli amici – e, per la mia esperienza, si tratta davvero di un’azienda che funziona. Questa situazione però mi ha messo un attimino di preoccupazione e spero che si tratti solo della leggerezza estemporanea di un operatrice. Altre esperienze simili?

Su Linkedin

0.00 avg. rating (0% score) - 0 votes

Interlocutore: “…Ah no, cioè solo se è nella tua lista di contatti diretti. In pratica vedi i contatti della tua prima linea. Per capirci, io tra i miei contatti ho Tizio e vedo i suoi 100 contatti in chiaro. Mentre per chiunque altro vedi solo il numero dei contatti.

Marlenek: “e’ proprio questo che non ha senso, far vedere i propri contatti a cani e porci!!

Interlocutore: “Babbazzo! E’ il motivo fondante l’idea, altrimenti non si chiamerebbe LinkedIn.com, ma MyDicks.com 😉

1 2 3  Torna su