Call center: arrivano le sanzioni del Garante

Call center: arrivano le sanzioni del Garante
Per servizi non richiesti e telefonate indesiderate 60 sanzioni per oltre 260 mila euro ai gestori telefonici

Sessanta sanzioni applicate e oltre 260 mila euro già versati sono solo i primi risultati dei recenti interventi del Garante sull'operato dei call center a tutela degli utenti telefonici. Le sanzioni comminate a gestori di telefonia fissa e mobile per illeciti trattamenti di dati personali riguardano prevalentemente attivazione di servizi non richiesti (cambi di operatore, linee Internet veloci, servizi aggiuntivi) e, in misura minore, telefonate pubblicitarie indesiderate. Le società telefoniche hanno preferito, in molti casi, chiudere subito il contenzioso attraverso il pagamento anticipato in misura ridotta, previsto per chi non intenda impugnare la contestazione della violazione.

Prosegue in questo modo l'azione del Garante a tutela degli utenti telefonici che numerosi segnalano costi e disagi derivanti da un uso scorretto dei loro dati personali da parte dei call center dei principali gestori (Telecom, Tele2, Fastweb, Wind, Eutelia, Tiscali). Nella maggior parte dei casi è stato sufficiente che chiunque, un figlio, un collaboratore di famiglia, rispondesse al telefono e senza dare alcun assenso a quanto veniva proposto, perché venissero attivati servizi mai richiesti con conseguenti fatturazioni di costi in bolletta, distacco, anche per alcuni mesi, della linea telefonica, attese per il passaggio ad un altro operatore. A volte non c'è stata neanche la telefonata e l'utente si è accorto di "aver aderito" a qualche nuova offerta solo al ricevimento della bolletta.

Le sanzioni sono frutto dell'applicazione da parte del Garante del provvedimento generale dello scorso anno cui avevano fatto seguito cinque specifici provvedimenti lo scorso giugno, con i quali aveva imposto a gestori e call center di interrompere comportamenti illeciti di dati. L'Autorità ha infatti effettuato una serie di ispezioni presso i call center, sia interni sia esterni, di cui si servono i principali gestori telefonici: dalle verifiche è emerso che la maggior parte dei call center non informavano adeguatamente le persone contattate o operavano addirittura senza dire all'utente che si stavano raccogliendo i suoi dati, per quali finalità venivano usati, se era obbligato o meno a comunicarli, quali erano i suoi diritti. I call center hanno invece l'obbligo di informare con la massima trasparenza gli utenti sulla provenienza dei dati e sul loro uso e, se richiesto, di registrare la volontà dell'abbonato di non essere più disturbato. Per omessa o inidonea informativa il Codice privacy prevede una sanzione che va da 3000 a 18.000 euro, che può essere aumentata sino al triplo a seconda delle condizioni economiche della società.

I giornalisti garantiscano ai minori tutele effettive
Non basta omettere il cognome per tutelare un minore, anche i riferimenti indiretti lo rendono identificabile

Non basta omettere il cognome per tutelare un minore, se poi nell'articolo giornalistico vengono forniti particolari tali da renderlo facilmente identificabile.

É quanto ha ribadito il Garante (relatore Mauro Paissan) nell'accogliere il ricorso di una donna che riteneva di aver subito una violazione dei propri dati personali e di quelli dei propri figli da parte di un quotidiano. La vicenda si riferisce ad un fatto di cronaca nel quale era coinvolto un bambino che, conteso dai genitori separati, era poi stato ricoverato in ospedale. Motivo del ricorso della donna non era tanto il fatto in sé quanto quello che nell'articolo, pur non essendo citati il cognome degli interessati, venivano forniti numerosi particolari che avrebbero facilmente permesso l'identificazione dei soggetti: città in cui si è svolta la vicenda, nome, età e particolari dettagliati sulla salute del minore, nome ed età della sorella (pure minore), nomi ed iniziali del cognome dei genitori, loro professione, luogo di attuale residenza della madre. Molti, dunque, gli elementi forniti dal giornalista sulla base dei quali sarebbe stato possibile, ad un numero significativo di persone, riconoscere la ricorrente e i suoi due figli.

Il Garante ha ribadito che, anche quando si ricorre all'oscuramento dei nomi, se si forniscono dettagli tali da poter identificare la persona oggetto del fatto di cronaca si lede il suo diritto alla privacy, circostanza ancora più grave se si tratta di un minore.

Il Garante ha invece rigettato la seconda parte dell' istanza della ricorrente, nella quale si chiedeva la cancellazione dall'archivio del quotidiano delle informazioni relative ai protagonisti della vicenda e di poter conoscere l'origine delle stesse: per quest'ultima richiesta, in particolare, l'Autorità ha ribadito che va rispettato il segreto professionale del giornalista.

Il Garante ha quindi vietato al quotidiano l'ulteriore utilizzo dei dati in questione "quale misura necessaria a tutela dei diritti e delle libertà fondamentali degli interessati" e ha stabilito, a carico della società editrice del quotidiano, un risarcimento pari a 300 euro.

Immigrazione clandestina: dati dei passeggeri aerei nel rispetto della privacy
L'Italia ha recepito la direttiva comunitaria sull'obbligo per le compagnie aeree di comunicare alla polizia di frontiera i dati relativi ai passeggeri aerei 

Con il decreto legislativo (144/2007), pubblicato in Gazzetta Ufficiale lo scorso 5 settembre, l'Italia ha recepito la direttiva comunitaria 2004/82 riguardante l'obbligo per i vettori aerei di comunicare alla polizia di frontiera i dati relativi alle persone trasportate (dati API – Advance Passenger Information). Nell'attività di recepimento si è tenuto conto dei rilievi formulati dall'Autorità in sede di lavori preparatori e il testo consente un bilanciamento tra protezione dei dati personali, tutela delle frontiere e lotta all'immigrazione clandestina.

Il decreto prevede l'obbligo per le compagnie aeree di comunicare alle autorità competenti in materia di controlli di polizia di frontiera, prima del termine del check-in, e solo su richiesta delle autorità stesse, alcuni dati relativi ai passeggeri: i dati corrispondono alle informazioni denominate "API" e sono specificati in misura tassativa. Il testo fissa poi alcune modalità relative alla raccolta, cancellazione e conservazione dei dati in oggetto. Va sottolineato che i dati API comprendono sostanzialmente le informazioni delle quali le compagnie aeree dispongono al momento del check-in (diversamente dai dati PNR, che riguardano, ad esempio, anche informazioni sulle modalità di pagamento, sull'assegnazione del posto, sulla natura di "frequent flyer" del passeggero, sui bagagli al seguito, ecc.)

Le osservazioni del Garante italiano, che hanno trovato riscontro nel decreto, si basavano in larga parte sulla posizione assunta dall'Autorità nell'ambito del Gruppo dei Garanti europei a Bruxelles (Parere 9/2006 – WP127, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp127_it.pdf).

Il Gruppo dei Garanti europei aveva ribadito, in primo luogo, la necessità che le norme nazionali di recepimento non prevedessero finalità ulteriori rispetto a quelle indicate nella direttiva per quanto concerne l'utilizzazione dei dati API – ossia, migliorare i controlli alle frontiere e combattere l'immigrazione illegale. Tale indicazione è stata rispettata nella norma italiana, ove si stabilisce chiaramente che lo scopo della raccolta consiste nel "migliorare i controlli alle frontiere e combattere l'immigrazione illegale" – in tal senso escludendo utilizzazioni ulteriori dei dati se non (come prevede l'art. 4) "a seguito di specifica segnalazione" per cui i dati si rendano "indispensabili" in relazione a finalità specifiche (prevenzione di pericoli per l'ordine pubblico, la sicurezza nazionale, o attività di indagine in corso). Inoltre, le attività di raccolta riguardano soltanto le persone trasportate "nel territorio italiano", si esclude cioè (secondo quanto indicato dal Gruppo Art. 29) la possibilità di estendere la raccolta ai dati di passeggeri su voli genericamente svolti all'interno dell'Unione europea.

Le osservazioni del Gruppo Articolo 29 si erano appuntate anche sulla necessità di limitare il periodo di conservazione dei dati. In questo senso il decreto prevede che i dati richiesti dovranno essere comunicati dalle compagnie aeree per via telematica alle competenti autorità, le quali li registrano "in via provvisoria" provvedendo a cancellarli entro 24 ore qualora non risultino "necessari" per il contrasto dell'immigrazione illegale. I dati che invece risultino necessari a tale scopo, nei termini sopra indicati, potranno essere conservati per non oltre sei mesi. Anche le compagnie aeree sono tenute a cancellare i dati da esse comunicati, entro 24 ore dall'arrivo del volo.

Netta delimitazione poi delle categorie di dati oggetto di comunicazione. Si tratta delle sole categorie indicate nella direttiva, che pure sembrava lasciare agli Stati membri un certo margine di manovra rispetto all'inclusione di dati ulteriori (ad esempio, biometrici). Restano fermi, inoltre, gli obblighi di informare i passeggeri ai sensi del Codice privacy e di osservare ogni altra disposizione sul trattamento dei dati; in particolare, si fa specificamente menzione del rispetto dei principi di proporzionalità, finalità e conservazione limitata nel tempo.

Un decreto interministeriale che dovrà essere adottato entro il 20 dicembre 2007 (con il parere favorevole del Garante) definirà le modalità tecniche ed operative per la comunicazione dei dati API (anche con riguardo alle idonee misure di sicurezza). Il Garante vigilerà sull'attuazione del decreto e sull'effettivo rispetto delle misure a tutela della riservatezza in esso previste.