ref:topbtw-3356.html/ 10 Giugno 2022
EUROPA : Lo spionaggio dolce e cortese..
Il Gdpr regola l’utilizzo che si può fare dei dati, ma spesso le aziende si appoggiano, nelle loro policies, a formulazioni vaghe o incomplete, come mostra uno studio di Obc Transeuropa.
Il general data protection regulation (Gdpr) regola il trattamento dei dati personali in Ue.
Tra le aziende che più facilmente ottengono accesso alle informazioni private dei cittadini ci sono
le compagnie telefoniche, che sono infatti tenute a rendere conto del loro uso dei dati in
apposite “privacy policies”.
Molto spesso però queste policies si appoggiano a formulazioni vaghe o incomplete.
Anche rispetto ad aspetti problematici come la raccolta di dati biometrici.
Le informazioni sul trattamento dei dati personali, spesso difficili da leggere e incomplete
Come specificato nel Gdpr, le informazioni sul trattamento dei dati personali devono essere fornite in maniera
facilmente accessibile e comprensibile.
Ma questo non accade sempre.
Spesso infatti le aziende, e non solo quelle di telecomunicazioni, non adottano impaginazioni,
linguaggi o espedienti grafici che favoriscono la lettura.
Tra le aziende che più facilmente ottengono accesso alle informazioni private dei cittadini ci
sono le compagnie telefoniche, che sono infatti tenute a rendere conto del loro uso dei dati
in apposite “privacy policies”.
Manca un’armonizzazione nell’approccio alla privacy.
L’approccio varia tra chi si limita a pubblicare un semplice documento legale in formato pdf
e chi invece ricorre a strumenti appositi.
Come sezioni Q&A o pagine web in cui si spiegano le modalità di utilizzo dei dati.
In generale c’è una forte disomogeneità nelle policies delle diverse compagnie, quando invece
un’armonizzazione porterebbe notevoli vantaggi, sicuramente in quanto a trasparenza.
Le informazioni sul diritto di accesso, rettifica, cancellazione, limitazione, opposizione e revoca
del trattamento dei dati personali dovrebbero essere chiaramente riportate nella privacy policy.
Così come quelle sul diritto a sporgere un reclamo.
Come fa notare noyb nel suo report sui software di videoconferenza, citando le linee
guida del gruppo di lavoro “articolo 29”, non è sufficiente informare solo sull’esistenza di questi diritti.
Il controllore dovrebbe infatti includere anche “un riassunto di ciò che ogni diritto comporta
e come l’interessato può prendere provvedimenti per esercitarlo e le eventuali limitazioni di tale diritto”.
Su questo punto si riscontrano diversi approcci.
Spesso le informazioni sono presentate in maniera parziale,
con una descrizione molto sintetica dei diritti dell’utente e talvolta senza indicare le informazioni
di contatto della persona o dell’ufficio a cui inviare le richieste.
Come nel caso della app di Vodafone Germania, nella cui privacy policy non viene fornita alcuna informazione
in merito.
Diverse aziende italiane invece adottano formule piuttosto vaghe come “hai il diritto di proporre un reclamo
al Garante per la protezione dei dati personali” (Tim e la collegata Kena mobile),
ma senza aggiungere informazioni sulle modalità e le basi giuridiche per farlo.
Le categorie di dati raccolti e il loro trattamento
Rispetto alle tipologie di dati considerate in questa ricerca,
il quadro è abbastanza omogeneo tra i diversi paesi.
La tendenza è raccogliere dati di posizione, di navigazione e di comportamento dell’utente.
In generale la base giuridica per la raccolta è il consenso dell’utente.
Ma c’è anche chi sceglie di raccoglierli in ogni caso invocando la clausola dell’interesse legittimo.
1 su 25 tra gli operatori telefonici italiani, tedeschi, francesi e spagnoli non raccoglie dati sulla posizione
degli utenti.
La raccolta di dati biometrici presenta aspetti problematici.
Sui dati biometrici invece la situazione è più diversificata.
In molti casi non è specificato se siano o meno raccolti, anche perché potrebbero
essere confluiti in altre delle categorie citate.
Tra i dati biometrici possono infatti rientrare anche caratteristiche come il ritmo di digitazione
o di “scrolling” sullo schermo, che sono anche dati comportamentali.
Tuttavia i dati biometrici comprendono anche elementi più problematici, come il riconoscimento
delle impronte digitali o del volto, che sono ricavabili da qualsiasi smartphone prodotto negli ultimi anni.
Per quanto riguarda le attività di profilazione, che analizzano i dati dell’utente al fine di migliorare il
servizio ma anche per proporgli offerte commerciali “su misura”,
l’approccio generale sembra essere quello di chiedere il consenso esplicito.
Tuttavia in alcuni casi (ad esempio Orange e Vodafone in Spagna) si dice che l’attività di
profilazione avverrà in ogni caso.
In altri invece la situazione risulta poco chiara, come per Vodafone e Congstar GmbH in Germania e, in parte,
Digi e la app di Yoigo in Spagna.
Le policies in materia di cessione e cancellazione dei dati
Tutte le compagnie dichiarano di cedere, a certe condizioni, i dati personali a soggetti terzi.
Spesso i dati personali sono ceduti a partner commerciali dell’operatore.
Nella maggior parte dei casi si tratta di attività legate all’esecuzione del contratto
o a valutazioni di solvenza del cliente.
In certi casi si fa esplicito riferimento a partner
commerciali (talvolta parte dello stesso gruppo aziendale dell’operatore) ai quali,
con il consenso dell’utente, i dati potranno essere ceduti per le finalità più diverse,
incluso proporre l’acquisto di altri beni o servizi del tutto scollegati dall’utenza telefonica.
Le formule usate sono talvolta molto generiche.
Per quanto riguarda la conservazione dei dati, diverse aziende adottano formule molto sintetiche
in cui spiegano in poche righe che i dati saranno conservati “per un periodo di tempo non superiore
al conseguimento delle finalità per le quali sono raccolti o successivamente trattati” (Tim Italia), e
indicando un limite temporale massimo dopo il quale saranno comunque cancellati.
Altre hanno invece un approccio più trasparente e pubblicano una tabella che illustra nel dettaglio
le tempistiche di conservazione delle varie categorie di dati
(Coop voce, ho., Vodafone e Wind Tre in Italia, Bouygues Telecom in Francia).
In Germania generalmente i dati vengono comunque cancellati entro 12-14 mesi.
Il Gdpr e le compagnie telefoniche
I due articoli del Gdpr più rilevanti nel contesto di questa ricerca sono i numeri 13 e 15.
L’articolo 13 elenca le informazioni che l’azienda deve fornire quando l’utente sottoscrive un servizio.
Queste, come spiegato nel report di noyb, sono solitamente elencate in un documento noto come “privacy policy”.
Tre elementi devono essere sempre presenti nella descrizione delle politiche sulla privacy:
quali categorie di dati vengono raccolti, per quale finalità sono richiesti e qual è la base giuridica
del trattamento.
Tra le informazioni che l’azienda è tenuta a dare ci sono inoltre le generalità del titolare
del trattamento, eventuali destinatari dei dati personali raccolti (autorità pubbliche,
altre aziende, ecc.), il periodo di conservazione e informazioni sulla possibilità di
chiedere l’accesso ai dati o la loro cancellazione.
Oltre alla possibilità di sporgere un reclamo in caso di condotte scorrette.
( Redazione -. Openpolis )
Link
https://www.openpolis.it/gli-operatori-telefonici-e-la-gestione-dei-dati-personali-degli-utenti/
SCRIVI: IL TUO COMMENTO
- Today' NEW contacts -
I lettori di questa pagina sono: