Con la newsletter del 7 febbraio, il Garante privacy si è occupato di telemarketing indesiderato, del caso Cambridge Analytica di cui è ormai conclusa l’istruttoria e della posizione dei consulenti del lavoro come responsabili del trattamento dei dati secondo il nuovo Regolamento UE.
Telemarketing indesiderato. Il Garante privacy ha sanzionato Wind Tre S.p.a. per gravi violazioni della normativa in materia di protezione dei dati personali nel corso di attività di marketing telefonico e via sms. L’iniziativa sanzionatoria fa seguito ad un provvedimento adottato prima dell’entrata in vigore del nuovo Regolamento UE con cui il garante aveva dichiarato illecito il trattamento dei dati dei clienti effettuato dalla società telefonica e vietato l’ulteriore uso di tali dati a fini di marketing. Wind Tre aveva infatti usato senza consenso i dati dei clienti a fini promozionali e sempre senza consenso li aveva comunicati alla rete dei partner commerciali. Il trattamento illecito è derivato principalmente dalla mancata verifica delle liste di chi non desiderava essere contattato a scopi pubblicitari black list” , ma anche dalla sistematica e prolungata comunicazione illecita di dati della clientela a terzi, cioè appunto ai partner commerciali. Caso Cambridge Analytica. Il Garante ha poi annunciato la chiusura dell’istruttoria avviata nei confronti di Facebook per il caso Cambridge Analytica dalle quali è risultato che i dati dei cittadini italiani acquisiti tramite l’App Thisisyourdigitalife” il test della personalità ideato per raccogliere le informazioni personali oggetto di profilazione , benché non siano stati trasmessi a Cambridge Analytica, sono stati comunque trattati in modo illecito, in assenza di idonea informativa e di uno specifico consenso. Pertanto il Garante ne ha vietato l’ulteriore trattamento e si è riservato di avviare un separato procedimento sanzionatorio. Consulenti del lavoro e trattamento dati. In merito al ruolo e alla responsabilità dei consulenti del lavoro nel trattamento dei dati personali, il Garante ha precisato che sono qualificabili come responsabili del trattamento” laddove trattino i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto. Rispondendo ai quesiti sottoposti dal Consiglio Nazionale dei consulenti del lavoro e da numerosi professionisti, il Garante ha infatti chiarito che il GDPR conferma le definizioni di titolare e responsabile del trattamento, nelle quali il primo resta il soggetto che determina le finalità e i mezzi del trattamento di dati personali e il secondo colui che tratta dati personali per conto del titolare del trattamento . Ne consegue che, riprendendo le parole del Garante, i consulenti del lavoro sono titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento. Sono, viceversa, responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. E’ il caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori .