Il commissario canadese per la privacy, Philippe Dufresne, ha rilasciato la seguente dichiarazione in una conferenza stampa.

Buongiorno e grazie per essere qui oggi.

Mi chiamo Philippe Dufresne e sono il commissario per la privacy del Canada.

Il mio mandato è proteggere e promuovere i diritti alla privacy degli individui nei settori pubblico e privato e garantire che le organizzazioni rispettino i loro obblighi in materia di privacy. Il mio ufficio indaga sui reclami, fornisce consulenza ai dipartimenti governativi e alle organizzazioni del settore privato, promuove la consapevolezza pubblica sulle questioni relative alla privacy e fornisce consulenza e raccomandazioni al Parlamento sulla riforma legislativa e su questioni relative alla privacy di interesse e importanza pubblica.

Dalla mia nomina lo scorso giugno, ho incontrato le principali parti interessate provenienti da tutto il Canada in rappresentanza del governo, delle imprese, della società civile, dei consumatori, del mondo accademico e dei gruppi meritevoli di equità. Uno dei temi ricorrenti delle discussioni è stato questo: la protezione della privacy nel nostro mondo sempre più digitale è una delle sfide chiave del nostro tempo.

In qualità di Commissario per la privacy del Canada, intendo affrontare pienamente questa sfida e, nel farlo, applicherò i tre elementi della mia visione della privacy, che sono:

1. Innanzitutto, la privacy è un diritto fondamentale. Deve essere protetto legalmente con un regime basato sui diritti forte, giusto, accessibile e applicabile che offra rimedi significativi per prevenire e affrontare le violazioni e che funga da incentivo per le istituzioni a creare una cultura della privacy con privacy by design e privacy by predefinito.
2. In secondo luogo, la privacy sostiene l’interesse pubblico e l’innovazione e la competitività del Canada . Non è una proposta aut-aut. Le organizzazioni che considerano le implicazioni sulla privacy fin dall’inizio di qualsiasi innovazione o iniziativa, e che rendono facile per i canadesi scegliere la protezione della privacy come impostazione predefinita, scopriranno che in definitiva è più efficiente ed efficace in termini di costi, e tali costi diventeranno investimenti che sono positivi per i consumatori, le imprese, le politiche pubbliche e l’innovazione.
3. In terzo e ultimo luogo, la privacy accelera la fiducia che i canadesi hanno nelle loro istituzioni. Quando gli individui sono rassicurati sul fatto che la loro privacy è sufficientemente protetta, si sentono sicuri di poter partecipare liberamente all’economia digitale.

Questi tre pilastri riflettono la realtà che i canadesi vogliono essere cittadini digitali attivi e informati, in grado di partecipare pienamente alla società e all’economia senza dover scegliere tra questa partecipazione e i loro diritti fondamentali alla privacy.

Come sapete, questa settimana è la Data Privacy Week e oggi abbiamo pubblicato i risultati della nostra indagine sulla condivisione delle informazioni sui clienti da parte di Home Depot Canada con Meta Platforms, che gestisce Facebook. La nostra scoperta principale, e un importante promemoria per tutte le organizzazioni, è che quando un cliente sceglie di ricevere una ricevuta elettronica anziché stampata, non acconsente alla condivisione delle proprie informazioni personali con terze parti.

Almeno dal 2018, Home Depot raccoglie gli indirizzi e-mail dei clienti alle casse dei negozi con lo scopo dichiarato di fornire ai clienti una copia elettronica della ricevuta.

È una domanda che sono sicuro che tutti noi ricordiamo essere stata posta prima o poi: “Desideri una ricevuta stampata o inviata via e-mail?” Quando viene offerta questa scelta, la maggior parte dei clienti probabilmente capisce che ciò è a loro vantaggio e comodità in questo mondo sempre più digitale. I canadesi probabilmente non si aspetterebbero né accetterebbero che le loro informazioni personali vengano condivise con terzi, come Facebook, semplicemente perché hanno optato per una ricevuta via email.

Tuttavia, l’indagine del mio ufficio a seguito di un reclamo ai sensi della legge sulla protezione delle informazioni personali e sui documenti elettronici ha rivelato che Home Depot ha inviato questi indirizzi e-mail, in formato codificato, insieme a dettagli di alto livello sugli acquisti in negozio di ciascun cliente, a Meta, che avrebbe quindi utilizzare queste informazioni per determinare se un cliente aveva un account Facebook. Se lo facessero, Meta confronterebbe gli acquisti in negozio della persona con gli annunci pubblicitari di Home Depot inviati sulla piattaforma per misurare e riferire sull’efficacia di tali annunci. Meta potrebbe anche utilizzare le informazioni per i propri scopi aziendali, inclusa la profilazione degli utenti e la pubblicità mirata non correlata a Home Depot. Sebbene ogni indirizzo e-mail condiviso da Home Depot con Meta fosse codificato in modo da non poter essere letto dai singoli utenti di Facebook, Meta ha utilizzato un processo automatizzato che gli ha consentito di abbinare gli indirizzi e-mail allegati ai singoli account Facebook.

Quando ai clienti di Home Depot è stato chiesto e accettato di ricevere una ricevuta elettronica, non sono mai stati informati del fatto che le loro informazioni sarebbero state condivise con Meta o di come sarebbero state utilizzate da entrambe le società. È qui che Home Depot non è stato all’altezza. I consumatori hanno bisogno di informazioni chiare nei punti chiave delle transazioni in modo che possano prendere decisioni informate su come utilizzare le loro informazioni personali e fornire un consenso significativo.

Sono lieto di condividere che, in risposta alle raccomandazioni contenute nel nostro rapporto, Home Depot ha interrotto questa pratica a partire da ottobre 2022. Home Depot ha inoltre confermato che otterrebbe un consenso esplicito e significativo qualora mettesse in atto una pratica simile in futuro. 

Ciò rappresenta un risultato molto concreto e positivo per i canadesi.

Le informazioni personali sono una parte fondamentale di ciò che siamo come individui e il rispetto del diritto alla privacy è essenziale per la nostra dignità e le nostre libertà fondamentali. Le organizzazioni non dovrebbero banalizzare l’uso delle informazioni personali. Anche se la nostra indagine ha riguardato un caso individuale, le nostre conclusioni generali si applicherebbero a qualsiasi organizzazione che abbia una pratica simile per quanto riguarda le ricevute elettroniche. Questo rapporto ricorda a tutte le aziende, che cercano sempre più di fornire servizi online e di offrire ricevute elettroniche, che devono essere chiare e trasparenti su come e perché chiedono informazioni personali ai consumatori e che devono ottenere un consenso significativo dai loro consumatori prima di condividere queste informazioni con terze parti. Ciò non è solo richiesto dalla legge sulla privacy, ma rappresenta anche un importante investimento nella fiducia che i canadesi hanno nell’economia digitale.

La Data Privacy Week è anche un’opportunità per incoraggiare i canadesi a chiedere sempre alle aziende perché e per quale scopo vengono richieste le loro informazioni personali, anche se la richiesta sembra essere semplice.

https://www.priv.gc.ca/en/opc-news/speeches/2023/s-d_20230126/