Mentre una serie di lettori si iscrivono alla mia conferenza dell’8 Febbraio L’amico Paolo Giardini, professionista, collega in AIP e Responsabile Comunicazioni di OPSI, mi informa di uno stranissimo comportamento della fiera che dovrebbe (sembrerebbe) ergersi a informatrice sugli argomenti di Privacy e correlati…
Provando a compilare il modulo di registrazione per l’ingresso alla fiera sul sito di infoSecurity, vengono richiesti un certo numero di dati personali fra i quali i seguenti sono obbligatori: Nome, Cognome, Email, Cellulare, Azienda, Settore di Attività, Indirizzo, Città, Provincia, CAP, Nazione e Telefono.
Tralasciando per un secondo la necessità per legge di esplicare in modo APPROFONDITO le finalità del trattamento, cosa che il sito di InfoSecurity non fa, la cosa preoccupante è che si è vincolati per ricevere anche solamente un biglietto OMAGGIO se si è in possesso di codice promozione a concedere l’autorizzazione a:
[...] ricevere informazioni promozionali sulle manifestazioni organizzate, sugli espositori e sui prodotti degli espositori mediante posta, telefono, posta elettronica, sms, mms, effettuare analisi statistiche strettamente connesse con l’oggetto dell’attività aziendale.
Oltre alla mia personale convinzione che questo atteggiamento sia eticamente scorretto e che abusi dei dati forniti per altro scopo, mi preme sottolineare che il comportamento è anche e soprattutto ILLECITO.
Il Garante infatti, in una sentenza abbastanza recente esplica chiaramente come l’obbligo di concedere autorizzazioni per fini non correlati all’oggetto sia non solo difforme dalla normativa ma che addirittura ciò termini implicitamente il “contratto” siglato al momento dell’accettazione.
Ecco il testo della sentenza:
Ne deriva che l’autorizzazione al trattamento dei dati per finalità di marketing non soddisfa i requisiti posti dal legislatore, secondo il quale il “consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato” (art. 23, comma 3, del Codice): nel caso di specie, infatti, non può definirsi “libero”, ma necessitato, il consenso al trattamento dei dati personali che l’interessato “deve” prestare (aderendo a un testo predisposto unilateralmente dalla controparte contrattuale) quale condizione per il conseguimento della prestazione richiesta. [...]
A questo proposito [...] ha rappresentato l’intenzione [...] di apportare alcune modifiche al testo dell’informativa attualmente resa alla clientela, con l’inserimento della seguente frase: “Il mancato consenso al trattamento dei dati per fini commerciali o un rifiuto di rispondere non avrà alcuna conseguenza sul suo acquisto”.
E’ ovviamente possibile riempire i campi con dati di fantasia, ma una volta premuto invio ci si trova di fronte ad un altro form, precompilato con i dati inseriti precedentemente e la richiesta di un nuovo consenso al trattamento, anche questo obbligatorio, che non lascia dei dubbi, soprattutto vista l’obbligatorietà di campi come “numero dipendenti” oppure “hai potere di acquisto in azienda” che sottendono una sicura profilazione dell’utente.
Altra “chicca”: sono presentati 2 box di informativa ai quali si può concedere l’autorizzazione separatamente. Peccato che entrambi riportino le stesse finalità di trattamento…
Dice Paolo nella sua mail:
Peccato! Un evento così interessante, con tanti interventi dedicati alla privacy, viziato in partenza.
A queste condizioni non credo che partecipero’.
Ed io non posso fare altro che dare ragione al buon Paolo e ringraziarlo per la sua analisi e precisione.
E nel frattempo, essendo il “contratto” da voi firmato con InfoSecurity non valido a norma di legge vi invito a procedere legalmente contro qualunque tipo di messaggio dovesse arrivarvi post-conferenza…
UPDATE: InfoSecurity ha stranamente aggiornato il form con tre differenti consensi, come da noram di legge. Rimane da capire che ha “firmato” il vecchio consenso: la sentenza parla chiaro, quindi a voi ;)
Post Simili
»InfoSecurity2007
»Privacy: podcast della puntata di Zarathustra
»8 Febbraio, InfoSecurity 2007: pedofilia a norma di legge
»Ritorno da Perugia e nuovo progetto
»Eludere i Controlli di Polizia: il video completo
»E-Privacy 2006 e Spyware!
»Matteo Flora al TG3 nazionale…
»Controllo del Lavoratore
Esperto di Sicurezza sembra pretenzioso... Uffa! Diciamo allora piccolo blog di intrattenimento di Matteo G.P. Flora (aka LK) sperduto passeggero della rete, poeta, (poco) santo, e navigatore... E se proprio siete 
05 Feb 07
7:27 pm
ma che novità !!
:)
chi non se ne era accorto che infosecurity era un pacco da questo punto di vista? non andiamo mica all’hackmeeting :)
privacy in congressi come questi è una parola di cui molto si discute ma poco si prende in considerazione.
Vogliono sempre sapere chi sei, cosa fai e cosa vuoi da loro.
07 Feb 07
8:45 pm
1)Almeno a Infosecurity parlano di informatica e non di politica
2)I due form sono separati perché NON hanno le stesse finalità di trattamento. Il primo siete obbligati ad attivarlo, il secondo (dare dati personali ad aziende terza) no.
08 Feb 07
10:46 am
quanto hai scritto suonerebbe diverso se ti fossi allontanato da Infosecurity per coerenza. Invece è una sorta di “sputo dove e mentre mangio”, perchè non solo farai l’intervento programmato, ma ne hai fatto anche un altro da tappabuchi.
Detto questo, i due box non sono per nulla uguali. Il secondo box ti chiede se vuoi ricevere informazioni promozionali non legate alla fiera, e non è obbligatorio acconsentire. Il primo box invece, è del tutto legittimo, così l’organizzazione si prende la libertà di fare quel che gli pare, anche se non previsto (es. ti manda news quando si terranno interventi simili) e poi serve anche per stabilire chi è interessato a questa manifestazione, per tracciarne un profilo in modo da accoglierli al meglio nelle prossime occasioni. Viene inoltre lasciata all’utente la possibilità di scelta, dev’essere sempre l’utente a decidere se acconsentire o meno al trattamento, e basta dire questo per farti capire come non c’entri un benemerito con la sentenza che citi. Altra cosa che non hai capito, è che quello è il form per l’accesso ai servizi online, ed è normale che se accedi ai servizi online di una fiera, questi trattino i tuoi dati personali a fini statistici e al fine di inviarti notizie su fiera ed espositori.
Se ti dico “ciao bel bambino, se mi dici come ti chiami ti regalo questa caramella” non sono un estorsore nè violo alcunchè.
O paghi o rinunci ad una parte della tua privacy, lo fanno anche i supermercati…tu ce l’hai una scheda per la raccolta punti?
08 Feb 07
10:50 am
quanto hai scritto suonerebbe diverso se ti fossi allontanato da Infosecurity per coerenza. Invece è una sorta di “sputo dove e mentre mangio”, perchè non solo farai l’intervento programmato, ma ne hai fatto anche un altro da tappabuchi.
Detto questo, i due box non sono per nulla uguali. Il secondo box ti chiede se vuoi ricevere informazioni promozionali non legate alla fiera, e non è obbligatorio acconsentire. Il primo box invece, è del tutto legittimo, così l’organizzazione si prende la libertà di fare quel che gli pare, anche se non previsto (es. ti manda news quando si terranno interventi simili) e poi serve anche per stabilire chi è interessato a questa manifestazione, per tracciarne un profilo in modo da accoglierli al meglio nelle prossime occasioni. Viene inoltre lasciata all’utente la possibilità di scelta, dev’essere sempre l’utente a decidere se acconsentire o meno al trattamento, e basta dire questo per farti capire come non c’entri un benemerito con la sentenza che citi. Altra cosa che non hai capito, è che quello è il form per l’accesso ai servizi online, ed è normale che se accedi ai servizi online di una fiera, questi trattino i tuoi dati personali a fini statistici e al fine di inviarti notizie su fiera ed espositori.
Se ti dico “ciao bel bambino, se mi dici come ti chiami ti regalo questa caramella” non sono un estorsore nè violo alcunchè.
O paghi o rinunci ad una parte della tua privacy, lo fanno anche i supermercati…tu ce l’hai una scheda per la raccolta punti?
“my two cents” ;)
09 Feb 07
12:18 pm
Carissimo K (bel display di coraggio!)
Rileggiti la norma. Dice esattamente questo: il consenso va prestato PER LA REGISTRAZIONE. Il consoenso per l’invio di materiale è altra cosa e va espresso separatamente, pena l’invalidazione del contratto.
E nonostante la tua bella teoria come vedi il form è stato aggiornato secondo quanto riporto…
IO non mi sono dovuto registrare: ero relatore, ricordi? ;)
No, appositamente per questo motivo.
09 Feb 07
1:20 pm
si, non ho detto che non dovevi registrarti per coerenza, ma che avresti potuto evitare un evento che critichi. Se mi fai una torta e, mentre ti dico che non mi piace, te ne chiedo un altro piatto…tu che pensi? :)
il form è stato aggiornato perchè qualcuno gli ha segnalato che, anche se passabile dal punto di vista normativo, non lo è dal punto di vista etico. E in un periodo in cui si parla tanto di “esperti” di security poco etici, non era il caso di mischiare le carte proprio in una fiera a tema.
Insomma, spesso una semplice mail è molto meglio di una diffamazione pubblica ;)
uh? se ti serve l’email te la do’. Per il resto, non ci conosciamo, quindi inutile buttare il nome qua e là a favore dei motori di ricerca…e la privacy? ;)
09 Feb 07
1:37 pm
No. Mi spiace, ma non è semplicemente la verità. Davvero.
Di mail ne sono intercorse 4 o 5 prima che la cosa finisse qui. La “pubblica gogna”, per quanto mi riguarda, è SEMPRE l’ultima chance.
Alla ultima mail che diceva che non avevano trovato alcun tipo di problema nella informativa è scattata, dopo aver fatto COMUNQUE presente per un’ultima volta, la paginetta web.
E subito dopo sono arrivati i contatti dallo staff di InfoSecurity che chiedevano come modificare, a cui ho risposto.
E dopo un paio di giorni le modifiche sono andate online.
Non eri tu che dicevi che spesso una mail è meglio che diffamare pubblicamente?
Avresti ricevuto le stesse risposte (compreso il motivo della pubblicazione) senza bisogno di una risposta pubblica.
Un saluto.
M.
09 Feb 07
6:52 pm
te la sei presa esageratamente, permaloso :)
cmq visto “Lettera da un ammiratore…” posso capire il motivo.
quando sei più tranquillo riprendiamo il discorso se vuoi, l’email c’è.
senza rancore,
ciao ;)