Articoli

News #45: le Big Tech licenziano come non era mai successo prima; cambia la privacy policy di TikTok; si consolida la proposta di AI Act.

Immagine di copertina di Brett Zeck grazie a Unsplash.

MERCATI DIGITALI

FACEBOOK – Dopo giorni di indiscrezioni, arriva la notizia ufficiale: Facebook licenzia 11 mila dipendenti. Si tratta, indiscutibilmente, della più grande campagna di licenziamenti della storia delle #bigtech – più grande addirittura, in termini assoluti, del maxi licenziamento di Twitter di cui abbiamo parlato nella newsletter della scorsa settimana. Per stessa ammissione del CEO di Meta – Mark Zuckerberg – le ragioni dei licenziamenti andrebbero ricercate in un errore di valutazione delle entrate attese, connesso inevitabilmente alla attuale e generale crisi economica mondiale. In ogni caso, è stato chiarito che ciascuno degli ex dipendenti riceverà una indennità pari a 16 settimane di retribuzione (più due settimane extra per ogni anno di servizio svolto presso Facebook). Inoltre – notizia gradita soprattutto per gli statunitensi coinvolti – agli ex dipendenti e ai loro familiari sarà garantita, per i prossimi sei mesi, una copertura assicurativa per spese sanitarie, completamente a spese della società. Ma il metaverso, forse, perde consensi..

ONU vs MUSK – Volker Türk, Alto Commissario dell’ONU, ha recentemente inviato una lettera aperta a Elon Musk per esortarlo – all’indomani del maxi licenziamento che ha investito i dipendenti di Twitter – al rispetto dei diritti umani. L’appello si sarebbe reso necessario a fronte dell’ormai nota presa di posizione nei confronti della #libertàdiespressione, intesa da Musk in termini assoluti. Tale atteggiamento estremamente permissivo potrebbe infatti comportare quale conseguenza non gradita l’avallo di pratiche spiacevoli, come ad esempio il #hatespeech

RENDICONTAZIONE DI SOSTENIBILITÀ – Lo scorso 10 novembre il Parlamento Europeo ha adottato la proposta di Direttiva in materia di rendicontazione di sostenibilità aziendale. La nuova normativa impone a grandi aziende e multinazionali una serie di obblighi relativi alla rendicontazione circa l’impatto della loro attività sull’ambiente. Al fine di assicurare l’adempimento delle nuove disposizioni, sono inoltre previsti controlli e revisioni indipendenti. Dopo l’ok del Parlamento, il prossimo 28 novembre toccherà al Consiglio dell’Unione esprimersi sulla proposta. In caso di conferma ed entrata in vigore, le nuove regole entreranno in vigore tra il 2024 ed il 2028. 

AGCOM E NUOVE REGOLE ANTI TRUFFA – Sono state emanate nuove regole dall’Autorità per le Garanzie nelle Comunicazioni (“AGCOM”) per il cambio della SIM, con l’obiettivo di arginare le truffe legate al cambio dell’operatore della scheda telefonica. Innanzitutto, l’operazione di cambio SIM potrà essere effettuata solo dall’intestatario dell’utenza, a differenza di quanto succedeva finora con le deleghe – sarà possibile procedere ancora per delega solo nel caso di SIM aziendali. La verifica dell’identità, inoltre, dovrà essere effettuata attraverso due diverse procedure – una con un documento di identità e una tramite un codice ricevuto via SMS sul numero interessato, e oggetto di cambio operatore.

CGUE E CONSUMATORI – La Corte Federale di Giustizia tedesca ha domandato alla Corte di Giustizia dell’Unione Europea (“CGUE”) di pronunciarsi sulla posizione giuridica delle associazioni di tutela dei consumatori in relazione a potenziali violazioni del trattamento dei dati da parte di Meta. La Corte ha dichiarato che è in corso di decisione se un’eventuale mancata informazione da parte di Meta sulla portata, lo scopo e l’utilizzo dei dati degli utenti possa dare luogo a richieste di provvedimenti ingiuntivi ai sensi del diritto della concorrenza, e possa essere seguita da azioni di associazioni di tutela dei consumatori.

LOTTA ALLA PIRATERIA – Alcune case discografiche italiane hanno riportato una notevole vittoria nella lotta contro la pirateria online: il Tribunale di Milano ha respinto il ricorso di CloudFlare contro l’inibitoria cautelare che gli imponeva di interrompere la fornitura del suo servizio Dns pubblico a tre siti BitTorrent, che in precedenza erano stati bloccati dall’AGCOM. CloudFlare è uno dei principali intermediari internet sfruttati dalla pirateria online, ed era stato destinatario, a luglio 2022, di un’ingiunzione cautelare per implementare le misure tecniche che impedissero agli utenti di accedere ai siti identificati tramite il suo servizio. I servizi di CloudFlare consentivano infatti agli utenti di accedere a siti web in violazione del copyright, sottraendo ricavi a coloro che investono e creano musica. Così, confermando l’ordinanza originaria contro CloudFlare, il Tribunale di Milano ha stabilito un precedente importante secondo cui gli intermediari online possono essere obbligati a prendere provvedimenti efficaci se i loro servizi sono utilizzati per la pirateria musicale.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY & CYBERSECURITY

PRIVACY POLICY DI TIKTOK – La piattaforma TikTok ha annunciato un aggiornamento della propria privacy policy per lo Spazio Economico Europeo (“SEE”), che sarà effettivo a partire dal 2 dicembre 2022. L’obiettivo è quello di migliorare la trasparenza del servizio e la sicurezza dei dati trattati dalla società per tutti gli utenti europei. A tale scopo, l’aggiornamento alla policy si occupa soprattutto di modificare le sezioni dedicate al luogo di conservazione dei dati e alle modalità di trattamento dei dati di geolocalizzazione. Per quanto riguarda i trasferimenti internazionali – punto cruciale delle preoccupazioni sul tema – la piattaforma va nella direzione di investire le proprie risorse nella risoluzione delle problematiche sollevate dalla sentenza Schrems II, anche al fine di evitare le pesanti sanzioni che le autorità hanno già applicato nei confronti di altre piattaforme, sprovviste di misure di sicurezza che consentissero l’effettiva tutela dei dati dei propri utenti dall’accesso delle autorità governative.

TESTO DI COMPROMESSO SUL “AI ACT”  – Il Consiglio ha reso pubblica la versione finale del testo di compromesso sulla proposta di Regolamento recante norme armonizzate sull’intelligenza artificiale (“AI Act“), e lo sottoporrà all’adozione dell’orientamento generale al Comitato dei Rappresentanti Permanenti durante la prossima riunione del Consiglio Trasporti, Telecomunicazioni ed Energia (“TTE”) dell’8 novembre 2022. Il testo di compromesso sottolinea che la presidenza del Consiglio intende presentare alcune modifiche alla legge sull’AI, e invita le delegazioni a formulare le loro osservazioni finali prima che il documento sia presentato.

NEWSLETTER EDPS – E’ stata pubblicata la newsletter dell’European Data Protection Supervisor (“EDPS”), che raccoglie alcuni temi privacy tra i quali (i) la protezione dei dati personali da phishing e attacchi ransomware; (ii) i recenti Audit del EDPS; (iii) Intelligenza Artificiale; (iv) Machine Learning, e molto altro consultabile al link qui indicato.

SICUREZZA INFORMATICA UE – In occasione dei negoziati relativi alla nuova Direttiva europea sulla #cyberdifesa, Joseph Borrell – alto rappresentante della politica estera e della difesa dell’Unione – ha annunciato l’imminente creazione di un Centro europeo di coordinamento per la cyberdifesa. Per il raggiungimento di tale finalità, e a fronte dei sempre più numerosi #cyberattacchi, l’Unione si impegna ad incoraggiare collaborazioni e sinergie tra gli Stati membri in settori critici, tra i quali energia e sanità.

PROPOSTA REGOLAMENTO UE – Lo scorso 7 novembre è stato annunciato che la Commissione Europea ha adottato una proposta di regolamento finalizzata a rafforzare la trasparenza in materia di raccolta e condivisione dei dati relativi ai servizi di #affitto e #alloggioabrevetermine. Tra gli obiettivi, (i) armonizzare i requisiti di registrazione delle proprietà offerte in affitto, (ii) semplificare la condivisione di dati tra piattaforme online e autorità pubbliche, (iii) consentire il riutilizzo dei dati in forma aggregata. Al fine di illustrare con maggiore chiarezza la nuova proposta, la Commissione ha messo a disposizione online una scheda informativa e una serie di Q&A.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

DECIMO ANNIVERSARIO DELLA LEGGE SEVERINO – A dieci anni dall’entrata in vigore della legge Severino, risulta quanto mai evidente che investire nell’Anticorruzione è un’utilissima e indifferibile manovra economica. Come ha affermato il Presidente dell’ANAC, intervistato per l’occasione, negli ultimi anni l’Italia ha fatto importanti passi avanti, scalando dieci posizioni nella classifica di Transparency International. Eppure, nonostante il balzo dell’ultimo periodo, la strada da percorrere è ancora lunga per prevenire e reprimere la corruzione e l’illegalità nella Pubblica amministrazione, oltre che per promuovere la trasparenza. L’obiettivo è prioritario, con i fondi del PNRR e l’attenzione dell’Unione europea sull’Italia per una corretta gestione di tali finanziamenti. Restano rilevanti criticità sui temi del whistleblowing e della regolamentazione del lobbying, fenomeni rispetto ai quali l’Italia non è ancora in linea con le direttive europee.

DELUDENTE MONITORAGGIO ANTICORRUZIONE – Lo scorso 9 settembre l’Autorità Nazionale Nazionale Anticorruzione (“A.N.AC.”) aveva provveduto all’aggiornamento del Piano Triennale di Prevenzione della Corruzione e della Trasparenza in vigore per il triennio 2019-2021, (i) modificando la parte relativa alla mappatura delle attività degli uffici dell’A.N.AC., (ii) individuando i comportamenti a rischio e la relativa valutazione, (iii) programmando misure specifiche. Poco tempo dopo, è emerso da una specifica ricerca su tutti gli uffici giudiziari dislocati sul territorio nazionale (Procure della Repubblica, Tribunali, Procure Generali, Corti d’Appello e Corte di Cassazione) che gli stessi Tribunali chiamati a giudicare sull’adeguatezza dei presidi di contrasto alla corruzione di società private ed enti pubblici, sono a loro volta privi dei Piani anticorruzione e di adeguati canali di whistleblowing.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

UE vs. MICROSOFT –  Sulla scia dell’Antitrust britannico, anche la Commissione Europea ha di recente annunciato l’apertura di un’indagine nei confronti di Microsoft in ragione della sua proposta (del valore di ben 69 miliardi di dollari) di acquistare Activision Blizzard, colosso mondiale dei videogiochi, nonché “mamma” del famosissimo Call of Duty. Le preoccupazioni sono connesse, più in particolare, alla possibilità che Microsoft precluda, in concreto, ad altre società l’accesso ai videogiochi di Activision Blizzard. La durata dell’istruttoria è di 90 giorni: la decisione dovrà pertanto arrivare entro il 23 marzo 2023. 

USA: LINEE GUIDA SULLE RISORSE DIGITALI  Il governo USA ha pubblicato delle nuove linee guida dedicate alle risorse digitali, comprese le criptovalute, sulla protezione di consumatori, investitori e imprese, insieme alla promozione della stabilità finanziaria, della sicurezza nazionale e dell’ambiente, riconoscendo che le risorse digitali, incluse le criptovalute, presentano evidenti opportunità per rafforzare la leadership degli Stati Uniti nel sistema finanziario globale e che, al contempo, esse comportano rischi significativi. Le linee guida, in questo senso, promuovono l’innovazione (i) avviando la ricerca e lo sviluppo del settore privato, (ii) supportando le aziende statunitensi all’avanguardia a trovare un punto d’appoggio nei mercati globali e (iii) ponendo misure per mitigare i rischi con una più severa applicazione delle leggi esistenti e la creazione di standard di efficienza.

BASSA SASSONIA – L’autorità garante della Bassa Sassonia ha recentemente emesso un comunicato stampa per ricordare alle società che trasferiscono dati fuori dallo Spazio Economico Europeo o verso organizzazioni internazionali che alla fine di quest’anno – più precisamente il 27 dicembre –  dovranno essere obbligatoriamente aggiornate all’ultima versione (quella del 27 settembre 2021) le Clausole Contrattuali Standard (#SCC), lo strumento che consente alle società di esportare i dati in sicurezza, nel rispetto della normativa e delle tutele dettate dal GDPR, pur in mancanza di una decisione di adeguatezza. L’ obbligo vige, più in particolare, per tutti i contratti conclusi prima del 27 settembre 2021, quelli cioè che fino al prossimo 27 godranno di un “periodo di favore”, scaduto il quale ogni trasferimento non allineato alle nuove Clausole sarà illegale.

BELGIO  La commissione parlamentare belga per l’economia, la protezione dei consumatori e l’agenda digitale ha approvato il disegno di legge sulla protezione delle persone che segnalano violazioni del diritto dell’Unione o del diritto nazionale riscontrate all’interno di un Ente (“whistleblowing”), recependo la Direttiva sulla tutela delle persone che segnalano violazioni del diritto dell’Unione.

AUSTRALIA (NEW SOUTH WALES) – La Commissione per l’Informazione e la Privacy (“IPC”) ha pubblicato la relazione annuale 2021/2022 documentando i risultati raggiunti ed evidenziando alcune statistiche riguardo a (i) iniziative strategiche e regolamentari; (ii) richieste di accesso, revisioni e reclami sulla privacy; (iii) pareri in tema di privacy per supportare la conformità da parte degli Enti; (iv) audit proattivi sull’accesso ai dati personali e (v) sensibilizzazione sulla privacy e sui diritti dei soggetti interessati.

CINA  Dall’8 al 10 novembre prende il via la seconda edizione della Digital China Week, evento di formazione in cui diversi esperti del settore e aziende presenti sul mercato proporranno spunti per sviluppare un business di successo in Cina. L’evento è considerato particolarmente significativo nel settore, anche dal momento che il digitale in Cina rappresenta un imprescindibile stile di vita, con piattaforme differenti da quelle occidentali e tendenze come il live streaming o il social commerce.

REGNO UNITO – L’Information Commissioner’s Officer (ICO), autorità garante inglese, ha annunciato di aver avvertito – o meglio, rimproverato- il Dipartimento per l’Istruzione locale per violazione dell’art. 5 del Regolamento Europeo 2016/679 (GDPR). Dalle indagini sarebbero infatti emersi accessi non autorizzati ad LRS (database che fornisce un registro delle qualifiche degli alunni – quasi 30 milioni – a cui i fornitori di servizi di istruzione possono accedere e memorizzare dati). Più in particolare, è stato rilevato l’accesso di Trust Systems Software UK Ltd (“Trustopia”), società di screening che utilizzava il database per aiutare le società di gioco d’azzardo a confermare che i clienti fossero maggiorenni. Concedendo l’accesso al database a Trustopia, il Dipartimento per l’Istruzione si è sostanzialmente reso responsabile di un uso illegale dei dati (che venivano, di fatto, trattati per scopi diversi da quelli consentiti). La decisione di non irrogare alcuna sanzione – che avrebbe sfiorato i 10 milioni di sterline, a fronte della gravità della violazione – è stata giustificata da John Edwards, sesto commissario dell’ICO, con il fatto che i soldi delle multe ritornano al Governo. L’impatto per il Dipartimento, pertanto, sarebbe stato sostanzialmente minimo.

BADEN-WÜRTTEMBERG – L’Autorità garante locale ha recentemente emanato una guida rivolta a società ed enti pubblici finalizzata ad impartire istruzioni per una corretta integrazione di video sui propri siti web in perfetta compliance con la normativa europea sulla protezione dei dati personali. Più in particolare, la guida si sofferma sul rispetto dei requisiti fissati dalla legge federale (21 giugno 2021) sulla protezione della privacy nelle telecomunicazioni e nei telemedia (TTDSG). 

GERMANIA (ASSIA) – L’HBDI, Autorità garante dell’Assia, ha di recente rilasciato una dichiarazione in merito all’utilizzo di #GoogleFonts. Secondo quanto chiarito dall’Autorità, quando i fonts di Google sono integrati online, i dati dell’utente utilizzatore vengono trasferiti a Google. L’accento della questione viene posto sulla necessità che tale trasferimento sia supportato da una adeguata #basegiuridica, così come richiesto dall’art. 6 del GDPR. In particolare, le maggiori problematiche riguardano il fatto che un trasferimento di dati a Google si sostanza, nella pratica, in un trasferimento verso gli Stati Uniti (paese “particolarmente attenzionato” in seguito alla sentenza Schrems II e conseguente caduta del Privacy Shield).

REGNO UNITO – L’Information Commissioner’s Office (“ICO”) del Regno Unito ha annunciato una consultazione pubblica fino al 19 dicembre sulla priorità che l’autorità garante dà ai reclami in materia di libertà di informazione. L’ICO ha indicato che la consultazione è stata stimolata da finanziamenti limitati e da una maggiore necessità di sostenere le autorità pubbliche in difficoltà, che insieme hanno creato una “tempesta perfetta”. L’autorità di regolamentazione ha spiegato che il nuovo schema prenderà in considerazione i reclami in cui vi sia un chiaro interesse pubblico per le informazioni.

IRLANDA  La Commissione irlandese per la protezione dei dati ha presentato una bozza di decisione sulla conformità di Yahoo agli obblighi del GDPR, in materia di trattamento dei dati personali. Il vice commissario Graham Doyle ha dichiarato che l’indagine, iniziata nell’agosto 2019, ha esaminato la conformità dell’azienda ai requisiti di fornire informazioni trasparenti agli interessati ai sensi delle disposizioni del GDPR. Le autorità di controllo interessate avranno tempo fino al prossimo 24 novembre per opporsi al progetto di decisione.

CANADA  I governi di Canada, Singapore e Regno Unito hanno annunciato l’impegno congiunto ad aumentare le misure di sicurezza informatica per i dispositivi dell’Internet degli oggetti. I governi hanno dichiarato che i vantaggi delle tecnologie IT possono essere realizzati con requisiti di sicurezza informatica appropriati, che sono integrati nei prodotti fin dalla fase di progettazione, piuttosto che far ricadere questo onere sui consumatori. Il lavoro congiunto dei tre Paesi eviterà la frammentazione e ridurrà la duplicazione di test e valutazioni simili. 

Comunicazioni commerciali: la “spazzatura” che incombe sugli utenti

Nel migliore dei casi, ciascuno di noi perde quotidianamente un po’ di tempo a eliminare le e-mail di troppo, mentre la casella si appesantisce di qualche Megabyte in più. Più spesso, si rischia addirittura di perdere messaggi importanti in mezzo a centinaia di comunicazioni commerciali, o – nei casi peggiori – si ricevono malware o messaggi dannosi, che possono provocare seri danni.

Come difendersi da queste situazioni? Come riconoscerle? Cosa fare? Di seguito trovate alcune domande “classiche” sul tema dello spam, corredate da brevi risposte operative pensate per agevolare la propria tutela e – se siete un’azienda – evitare di incorrere in spinose questioni privacy.

Da dove viene la parola “spam”?

La parola “Spam” nasce come l’abbreviazione di “Spiced ham” e proviene da un marchio di carne in scatola che veniva prodotto dall’azienda americana Hormel Foods Corp nella prima metà del Novecento. Quella carne costituì una delle uniche fonti di cibo nutriente in Inghilterra durante la Seconda guerra mondiale; così, facendo leva sulla diffusione enorme del prodotto, nel dicembre del 1970, la BBC trasmise un episodio di una nota serie televisiva ambientato in un ristorante in cui il menù si componeva interamente di pietanze a base di “spam”, la famosa carne in scatola.

Cos’è lo spam oggi?

L’invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari è usualmente definito “Spam”, ed avviene tramite l’invio di materiale pubblicitario o di vendita diretta o il compimento di ricerche di mercato o, ancora, tramite attività di generica comunicazione commerciale. Non è necessario, solitamente, un invio massiccio né simultaneo di comunicazioni a una pluralità di indirizzi o numeri di telefono per configurare un caso di “Spam”: queste modalità rilevano, eventualmente, per qualificare la condotta come sistematica e determinare di conseguenza le eventuali sanzioni nel caso in cui le norme di legge non siano rispettate.

Con che mezzi possono essere raggiunti gli utenti?

Le modalità più frequenti di Spam sono l’invio di fax, sms, e-mail e telefonate. È possibile che i dati personali siano tratti da registri pubblici, elenchi, siti web, per cui si configura un comportamento tendenzialmente illecito come ha più volte ribadito il Garante italiano, ad esempio con questo provvedimento). Non è lecito nemmeno utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale istituito per favore la presentazione di istanze e lo scambio di informazioni con la Pubblica Amministrazione, perché tutti questi trattamenti avvengono senza il consenso degli interessati, come chiarito espressamente dalle Linee Guida (ormai risalenti) del 2013.

È stato di recente ribadito che non è neppure possibile contattare l’utente telefonicamente, chiedendo subito il consenso a ricevere comunicazioni promozionali: le modalità di cui all’art. 130 commi 1 e 2 del Codice Privacy, richiedono infatti il consenso anche per i numeri presenti in elenchi telefonici, sempre a condizione che ciò avvenga nel rispetto dei limiti e con le modalità che le leggi, i regolamenti o la normativa europea stabiliscono per la conoscibilità e pubblicità dei dati, ed in particolare secondo i requisiti fissati dalle disposizioni del Registro delle Opposizioni, di recente aggiornate e che diverranno operative a breve.

Quanto Spam possono ricevere gli utenti?

Fino a qualche tempo fa, l’invio massiccio di comunicazioni pubblicitarie veniva in buona parte bloccato dai software presenti nelle caselle di posta; progressivamente i livelli di spam hanno assunto proporzioni impressionanti e, ad oggi, si rileva che vengano distribuite decine di miliardi di e-mail indesiderate, corrispondenti a una percentuale fra il 60% e il 90% del volume complessivo delle e-mail totali scambiate. Questo ha comportato anche una significativa evoluzione nei software e nelle tecniche impiegate per diffondere le comunicazioni massive e, di conseguenza, anche le attività di Spam, a tutto danno dei poveri utenti del web.

Qual è la normativa applicabile in tema di Spam?

In generale, con l’entrata in vigore del Regolamento UE n. 2016/679 (“GDPR”), inviare messaggi promozionali senza il consenso dell’interessato costituisce un trattamento privo di una base giuridica valida e dunque illecito: in proposito, è stata nel tempo ridotta la portata “programmatica” del Considerando n. 47 al GDPR, che stabilisce “può essere considerato legittimo interesse trattare dati personali per finalità di marketing”, anche se l’idea in principio resta, pur nel bilanciamento di interessi precisato più volte dal Garante (ad esempio, nel provvedimento 2020 contro TIM). Se poi nella condotta dovessero ricorrere gli elementi costitutivi richiesti dall’art. 167 del Codice Privacy, e cioè l’acquisizione con mezzi fraudolenti di un archivio automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, il trattamento illecito di dati personali effettuato mediante Spam potrebbe essere altresì qualificabile come illecito penale.

Lo spam può essere legittimo?

La pratica definita “Soft Spam” è considerata ammessa, seppure con precisi limiti, e consiste nell’invio di comunicazioni commerciali, in cui il mittente dei messaggi (“Titolare del trattamento”) può disporre di un proprio legittimo interesse: esso sussiste, ad esempio, quando i messaggi commerciali vengono inviati ad interessati già clienti del titolare perché hanno acquistato prodotti analoghi a quelli oggetto della promozione o che, in qualche modo, hanno manifestato interesse alla sua azienda. In tal caso, il mittente è (almeno inizialmente) esonerato dall’obbligo di richiedere il consenso espresso dell’interessato, ma dovrà in ogni caso informarlo espressamente del fatto che potrà ricevere messaggi di natura commerciale, concedergli la possibilità, in modo semplice, di negare il proprio consenso ad un successivo uso del suo indirizzo e-mail o del suo numero di cellulare, e dimostrare che con il trattamento dei dati, diritti e libertà dell’interessato non verranno lesi, confrontando gli stessi con il proprio legittimo interesse, secondo una procedura di autovalutazione da compiersi prima dell’inizio del trattamento.

Come possono tutelarsi gli utenti?

Si segnalano in primo luogo alcune tutele preventive, che sono state diffuse anche dal Garante Privacy come buone pratiche, tra cui ad esempio:

  • non diffondere, specialmente on-line, il proprio indirizzo e-mail o il numero di telefono;
  • leggere con attenzione le informazioni sull’impiego ed eventuale diffusione dei propri dati personali qualora sia necessario iscriversi a un sito web;
  • dedicare un apposito indirizzo e-mail per fare acquisti online o iscriversi a newsletter.

In ciascuna e-mail commerciale, per buona prassi più volte ribadita dall’Autorità italiana e dal EDPB a livello europeo, dovrà poi esserci un tool automatizzato di “cancellazione”, che è sempre possibile cliccare per rimuoversi da successivi invii, e – almeno in teoria – dovrebbe essere tanto semplice quanto lo è stata l’iscrizione alla newsletter stessa.

Una terza via è quella di esercitare i propri diritti fissati dagli artt. 15-22 del GDPR scrivendo al mittente delle comunicazioni di Spam, tramite indirizzi come “privacy@nomeazienda” o anche al Data Protection Officer che – ove nominato – deve essere indicato insieme ai suoi contatti in ciascuna informativa privacy: una semplice e-mail del tipo “Voglio essere rimosso da questa lista, con la mail da cui scrivo” potrà ben essere sufficiente, senza ulteriori formalismi.

C’è infine sempre la possibilità di inviare segnalazioni all’Autorità Garante, ove non si riceva riscontro nei tempi di legge (30 giorni dall’invio della richiesta), ricordando in particolare la possibilità di revocare in qualsiasi momento il consenso al trattamento dei propri dati e di conseguenza di pretendere la cancellazione definitiva di essi.

Quale extrema ratio, è sempre possibile agire in sede civilistica con un’azione per il risarcimento dei danni, ove patiti (con lo scoglio, tuttavia, di doverne dimostrare la consistenza).

E se sono un’azienda, cosa faccio?

Prima di tutto, le indicazioni fornite in questo articolo sono valide anche per impostare una corretta strategia di marketing tramite newsletter.

Per tutto quanto riguarda il “direct marketing” visto dietro le quinte del team aziendale vi rimandiamo, invece, ad un prossimo articolo.

___________________________________________

Photo by Amy Shamblen on Unsplash