HISTORIES

Il Garante sanziona Douglas Italia per 1 milione e 400 mila euro
Problemi con le Fidelity Card e la conservazione dei dati personali dei clienti

Le violazioni privacy sono state accertate dal Garante a conclusione di un procedimento avviato a seguito di un reclamo. La società dovrà adottare una serie di misure per conformarsi alla normativa italiana ed europea riguardo a:
tempi di conservazione dei dati e ai trattamenti effettuati a fini di marketing e profilazione.
modalità di raccolta dati nell’informativa e riguardo ai cookie indicando solo i trattamenti effettivamente svolti e le finalità effettivamente perseguite.
alla raccolta di un consenso libero e specifico per le diverse attività (marketing della società, marketing di soggetti terzi e profilazione).Al momento degli accertamenti ispettivi - svolti in collaborazione con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza - Douglas conservava i dati di quasi tre milioni e trecentomila clienti delle precedenti società, avendo necessità, come rappresentato a propria difesa, di doversi confrontare, per molti aspetti di protezione dei dati, con la capogruppo tedesca, che tende ad applicare regole standard a tutte le società del gruppo.
La società italiana, tuttavia, una volta acquisiti i dati dalle aziende incorporate, li avevi lasciati per lungo tempo “inerti” e non si era preoccupata di richiedere alcun consenso al trattamento per le proprie attività.
Douglas Italia dovrà quindi cancellare i dati risalenti a più di 10 anni (fatti salvi contenziosi in atto) e cancellare oppure pseudonimizzare quelli più recenti. Nel caso decida di pseudonimizzarli, la società dovrà darne pubblicità sul proprio sito ed inviare una comunicazione ai clienti di cui disponga delle coordinate di posta elettronica, informandoli che, in caso di mancato rinnovo della fidelity card, entro sei mesi i loro dati saranno cancellati. In sede di rinnovo, i clienti potranno eventualmente esprimere il consenso alla società per il trattamento dei dati. Douglas infine dovrà adottare adeguate soluzioni organizzative e tecniche volte ad assicurare la corretta conservazione dei dati dei propri clienti nel rispetto dei principi di finalità e minimizzazione del GDPR.
Data: 28 novembre 2022
Ordinanza del Garante

Vodafone: call center e informazioni incomprensibili
Contratti proposti alla velocità di 200 parole al minuto per 6 minuti

No a messaggi incomprensibili e a contatti promozionali indesiderati per spingere gli utenti telefonici, specialmente gli anziani, a sottoscrivere nuovi contratti.
Lo ha ribadito il Garante che ha sanzionato per 500 mila euro Vodafone Italia in seguito al reclamo presentato da una signora ultraottantenne, che si era vista trasferire, contro la sua volontà, la propria utenza telefonica da un altro operatore a Vodafone stessa.
La società dovrà inoltre controllare il corretto operato dei call center esterni utilizzati per campagne di telemarketing, in particolare nel momento dell’acquisizione del consenso per finalità pubblicitarie e nella registrazione vocale dei contratti.
Nel corso dell’istruttoria del Garante, la società si era difesa affermando che l’anziana utente aveva volontariamente contattato un call center albanese per farsi proporre un contratto alternativo e che la stessa aveva poi confermato di voler sottoscrivere il nuovo contratto direttamente al telefono tramite i cosiddetti “vocal order”.
L’Autorità, riascoltando la registrazione del colloquio con il call center albanese, ha però accertato che all’utente non era stata fornita un’adeguata informativa sul trattamento dei suoi dati, resa per giunta incomprensibile dalla velocità con cui era letta al telefono: ben 63 parole in 16 secondi. Lo stesso contratto per il trasferimento dell’utenza era stato proposto alla velocità di 200 parole al minuto per ben 6 minuti, risultando ugualmente incomprensibile, anche a seguito di ripetuti ascolti.
Nel provvedimento, il Garante privacy ha quindi contestato a Vodafone di aver violato, tramite la società albanese, i principi di correttezza e trasparenza previsti dal GDPR in relazione alla conclusione di un contratto per servizi telefonici.

Data: 28 novembre 2022
Ordinanza del Garante
 

IL PUNTO SU...

Emissione e ricezione e-fatture
Pronte le regole tecniche che recepiscono le indicazioni del Garante Privacy

Con Provvedimento del 24 novembre l'Agenzia delle Entrate definisce le regole tecniche:

• per l’emissione e la ricezione delle fatture elettroniche per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti o stabiliti nel territorio dello Stato e per le relative variazioni, utilizzando il Sistema di Interscambio (SdI);
• per la trasmissione telematica dei dati delle operazioni di cessione di beni e prestazioni di servizi transfrontaliere;
• per l’attuazione delle ulteriori disposizioni di cui all’articolo 1 del Dl n. 127/2015.

Il Provvedimento, in particolare, sostituisce integralmente quello precedente del 30 aprile 2018, al fine di recepire le disposizioni dell’articolo 14 del Dl n. 124/2019 e le previsioni contenute nel parere n. 454 del 22 dicembre 2021 del Garante privacy, e stabilisce che:

• l’Agenzia delle entrate memorizza e utilizza, insieme alla Guardia di Finanza, i file xml delle fatture elettroniche per le sole attività istruttorie puntuali, previa richiesta di esibizione della documentazione secondo la normativa vigente; restano confermati gli effetti giuridici previsti dalla normativa vigente in caso di inottemperanza da parte dei contribuenti, nei tempi stabiliti, alle richieste di esibizione ricevute. I suddetti file sono inoltre resi disponibili in caso di indagini penali ovvero su disposizione dell’Autorità giudiziaria. Resta ferma l’applicabilità delle disposizioni normative vigenti in ambito sanzionatorio, accertativo ed eventualmente penale nel caso di mancata risposta o rifiuto, da parte del soggetto sottoposto al controllo, alla richiesta di esibizione;
• con riferimento alle fatture elettroniche tra operatori economici, l’Agenzia delle entrate memorizza nella banca dati fattura integrati, da utilizzare per lo svolgimento delle attività di analisi del rischio di evasione, elusione e frode fiscale, di promozione dell’adempimento spontaneo e di controllo ai fini fiscali anche il metodo di pagamento e, con esclusione delle fatture emesse nei confronti dei consumatori finali e delle fatture emesse da cedenti/prestatori che operano nell’ambito del settore legale, anche la descrizione dell’operazione, ossia natura, quantità e qualità dei beni ceduti e dei servizi prestati;
• relativamente alle fatture emesse da cedenti/prestatori che operano nell’ambito del settore legale, data la potenziale particolare delicatezza delle informazioni che possono essere contenute nella descrizione dell’operazione, al fine di garantire l’inintelligibilità delle stesse nella banca dati dei file xml delle fatture elettroniche, le suddette fatture, individuate in base al codice ATECO del cedente/prestatore, saranno memorizzate in modalità cifrata.

L'Agenzia Entrate, inoltre, informa della realizzazione di nuovi servizi di colloquio automatico tra sistemi informatici al fine di consentire download e upload massivi dei dati relativi ai file delle fatture elettroniche, dei corrispettivi, e degli elenchi che l’Agenzia mette a disposizione al fine del pagamento dell’imposta di bollo.
Infine, con l'intento di limitare le false fatturazioni, è reso possibile ai soggetti passivi IVA o i loro delegati o incaricati, tramite il servizio di censimento del canale abituale, di inserire, visualizzare, aggiornare e eliminare l’informazione relativa al/ai canale/i di trasmissione abitualmente utilizzati per la trasmissione della fattura elettronica.
Data: 24 novembre 2022
Agenzia delle Entrate