Articoli

Via libera alle body cam sui treni. Le direttive del Garante per il rispetto alla privacy di chi è filmato

Dato l’esponenziale aumento di aggressioni, furti e atti vandalici negli ultimi anni, il Garante, con provvedimento n. 362 del 22 maggio 2018, ha concesso ad una società di trasporto pubblico ferroviario di dotare i propri addetti alla sicurezza e capitreno di body cam (videocamere indossabili), con la prospettiva di contrastare i suddetti fenomeni. A tal fine però, l’esigenza di ordine pubblico dovrà necessariamente conciliarsi con la tutela della riservatezza delle persone riprese.

Per questo motivo l’Autorità ha tracciato delle linee guida entro le quali la società dovrà operare. Innanzitutto, il Garante ha previsto una serie di cautele a salvaguardia di utenti e dipendenti: infatti, le body cam non saranno accese durante tutta la durata del servizio, ma potranno essere attivate all’occorrenza dai capitreno o dagli addetti alla sicurezza, più propriamente, qualora ci si dovesse trovare in presenza di un concreto pericolo.

L’attivazione dei dispositivi sarà evidenziata mediante l’accensione di un led rosso. Una volta attivati, questi trasmetteranno le immagini alla sala operativa. Il soggetto che effettuerà le riprese non potrà in alcun modo manometterle, cancellarle o duplicarle. Soltanto una volta attestato che le immagini si riferiscono a fatti realmente pericolosi, potrà essere disposta la loro estrazione; ciò, comunque, ad opera di soggetti autorizzati all’accesso. Inoltre, questo tipo di attività dovrà essere tracciata.

Dovranno essere adottate particolari accortezze allorché le riprese implichino soggetti “deboli”, come ad esempio vittime, minori o testimoni, o qualora riprendano luoghi con particolari aspettative di riservatezza (ad esempio le toilette).

La presenza del sistema di videosorveglianza a bordo dei treni dovrà essere adeguatamente segnalata agli utenti mediante strumenti di comunicazione che ne descrivano le caratteristiche.

Caso Cambridge Analytica: prima multa a Facebook ad opera dell’I.C.O.

Avv. Vincenzo Colarocco

L’Information Commissioner’s Office (I.C.O.), authority britannica sulla privacy, ha irrogato nei confronti di Facebook una multa da 500.000 sterline per lo scandalo di Cambridge Analytica, la prima per la compagnia pioniera nel settore dei social media a seguito della violazione dei dati di 87 milioni di utenti.

Stando a quanto contenuto nel Notice of Intent emesso dall’I.C.O., Facebook ha violato la legge non tutelando gli utenti e le è stata per questo inflitta la massima sanzione prevista nel Regno Unito per questo genere di infrazioni. L’I.C.O., che generalmente non diffonde le sue risultanze al pubblico, ha annunciato la sua decisione, dichiarando di avere agito al fine di sollecitare l’interesse dell’opinione pubblica, troppo poco informata circa un argomento di preminente importanza.

Alla base della decisione ci sarebbe la violazione di due principi del  Data Protection Act del 1998: Facebook, operando come data controller, avrebbe elaborato i dati personali in modo scorretto, in violazione del primo principio di protezione dei dati di cui al programma 1 del DPA; inoltre la Società non è riuscita a prendere misure tecniche e organizzative appropriate contro il non autorizzato o illegale trattamento di dati personali, in violazione del settimo principio di protezione dei dati riportati nell’allegato 1 al DPA.

Il Commissario ritiene che Facebook sapesse o avrebbe dovuto ragionevolmente sapere che vi era il rischio che la violazione (i) si sarebbe  verificata, e (ii) sarebbe potuta essere di natura tale da provocare un disagio sostanziale.

Dal canto suo, Facebook, in una nota redatta dalla responsabile della privacy Erin Egan, ha ammesso che avrebbe dovuto “fare di più per indagare sulle richieste di Cambridge Analytica e agire nel 2015“, rimarcando l’impegno e la collaborazione usate nel lavoro svolto di fianco l’I.C.O. nell’ambito dell’indagine su Cambridge Analytica che ha portato alla decisione in esame.

Arriva il via libera della Cassazione per il trattamento dei dati personali per il “redditometro”

Avv. Vincenzo Colarocco

Recentemente l’Agenzia delle Entrate territorialmente competente, convenuta in giudizio da parte di un contribuente, ha proposto ricorso avverso la sentenza del Tribunale di Napoli che  proibiva di raccogliere e trattare informazioni sui contribuenti per poterne poi calcolare correttamente i relativi redditi.

La questione è giunta all’attenzione della Corte di Cassazione, la quale ha ribaltato la sentenza del Tribunale anzidetto. Infatti, la Suprema Corte ha riconosciuto come legittima l’attività di raccolta di informazioni e di accertamento svolta dall’ Agenzia – più specificatamente da parte dell’Anagrafe tributaria – in virtù della potestà amministrativa dell’ente in questione.

Il Tribunale di Napoli aveva infatti orientato la propria statuizione senza prendere in considerazione la normativa in materia di protezione dei dati personali ed inoltre, nonostante si trattasse di un Tribunale appartenente alla giurisdizione ordinaria, aveva provveduto alla disapplicazione dell’atto stesso di una PA, ossia dell’Agenzia in questione. La Corte di Cassazione ha invece ritenuto necessario prendere in considerazione le disposizioni legislative in materia di privacy: nel caso di specie, l’opposizione al trattamento non risulterebbe fondata su basi legittime in quanto, nonostante l’art. 7 del Codice della Privacy riconosca alla persona interessata il diritto di essere messo a conoscenza dei dati personali in possesso della pubblica amministrazione e quello di opporsi al trattamento degli stessi anche se direttamente attinenti allo scopo della raccolta, nell’operazione di bilanciamento dei diritti operata dalla giurisprudenza, l’interesse pubblico – coincidente con la possibilità che la PA possa svolgere le proprie attività di raccolta e trattamento di informazioni per adempiere ai propri doveri di «calcolo del redditometro» –  prevale nettamente sul diritto di opposizione. Oltre a ciò, i dati del contribuente trattati da parte dell’Agenzia non rientrano nelle categorie di “dati sensibili e giudiziari”. Pertanto l’attività svolta dall’Agenzia risulta essere legittima e rispettosa della normativa in materia di trattamento di dati personali in quanto si configura come attività di trattamento di dati esercitata da parte di un soggetto pubblico per lo svolgimento delle funzioni istituzionali, anche in assenza di una specifica disposizione di legge.

Stop ai “pop up” con consensi incorporati: necessario è lo specifico consenso dell’utente

Avv. Vincenzo Colarocco

Il Garante Privacy con il provvedimento n. 363 del 22 maggio 2018 emesso nei confronti di una società, Supermoney, che offre servizi di comparazione sul proprio sito web per più settori merceologici (mutui, assicurazioni, luce, gas, telefonia)  ha rilevato che la stessa non potrà utilizzare per le finalità di marketing i dati personali acquisiti per mezzo dei c.d. “pop up” con consenso incorporato, in assenza, appunto di un  libero e valido consenso per tale trattamento.

Il Garante ha infatti ribadito, ancora una volta, la necessità di acquisire un consenso informato, libero e specifico avuto riguardo alle finalità di trattamento per le quali i dati personali degli utenti sono raccolti.

Nel corso delle verifiche ispettive svolte dall’Autorità si è accertato che il pop up non permetteva l’accesso ai servizi offerti se l’utente non accettava, mediante un’unica casella di spunta, il trattamento dei propri dati per diverse finalità. In effetti, il sito web non consentiva all’interessato e/o utente di procedere alla richiesta di essere contattato, e tanto in assenza di  un consenso specifico e facoltativo al trattamento, espresso mediante un’azione positiva inequivocabile.

Supermoney dovrà avvisare tutti i soggetti ai quali ha ceduto le liste di dati personali che questi ultimi non potranno essere utilizzati, salvo  sia in grado di dimostrare di aver ricevuto il consenso libero, specifico e differenziato degli interessati.

La Corte di Cassazione: per l’invio di newsletter necessario il consenso libero e specifico

Avv. Vincenzo Colarocco

In data 2 luglio 2018, la Suprema Corte di Cassazione si è pronunciata sul trattamento di dati personali effettuato per finalità di invio di newsletter, largamente diffuso soprattutto con riferimento al web.

La vicenda prende le mosse nel 2014, a seguito della sanzione inflitta dal Garante Privacy nei confronti di una società specializzata nell’advertising su internet, per illecito trattamento di dati  personali per finalità promozionali in assenza di consenso «libero e specifico» degli interessati. In particolare, tale società richiedeva all’utente di fornire il proprio consenso previa lettura, su una diversa pagina web, di una generica informativa sul trattamento dei dati «per l’invio di comunicazioni promozionali nonché informazioni commerciali da parte di terzi».

Proposta l’opposizione, il Tribunale di Arezzo la accoglieva, ritenendo non sussistenti gli ulteriori adempimenti specificati e richiesti dall’Authority.

A seguito del ricorso del Garante, la Suprema Corte ha ribaltato l’interpretazione del giudice di merito precisando che, perché il consenso possa considerarsi liberamente prestato, l’interessato deve sempre essere con certezza posto in condizione di raffigurarsi, in maniera inequivocabile, gli effetti del consenso prestato al trattamento dei suoi dati, con la conseguenza, da un lato, che in caso di plurime finalità lo stesso dovrà essere differenziato per ciascuna delle stesse, dall’altro, che il consenso sarà da considerarsi carente ogniqualvolta l’informativa venga resa in altra pagina web e non possa esserne accertata la presa visione da parte dell’utente.

Il Parlamento Europeo chiede la sospensione del regime di trasferimento dei dati verso gli USA (c.d. “Privacy Shield”)

Avv. Vincenzo Colarocco

L’Unione Europea per la seconda volta mette in dubbio l’adeguatezza del livello di protezione dei dati personali garantito dagli Stati Uniti e lo fa con una risoluzione del Parlamento Europeo approvata lo scorso 5 luglio con la quale chiede la sospensione del “Privacy Shield”.

Il regime di trasferimento negli States dei dati appartenenti ai cittadini europei era in passato regolato sulla base del Safe Harbor (c.d. “approdo sicuro”), accordo internazionale che era già stato reso inoperativo da una sentenza della Corte di Giustizia del 2015 che aveva invalidato la decisione di adeguatezza emessa dalla Commissione Europea.

A seguito di tale sentenza era stato avviato un intenso dialogo tra la Commissione Europea e le autorità statunitensi, nella prospettiva di una nuova decisione di adeguatezza cui si è giunti nel luglio del 2016 con la decisione n. 1250 di autorizzazione al trasferimento dei dati dei cittadini europei, secondo il regime del cd. “Privacy Shield”.

Tuttavia, già nell’aprile del 2017 il Parlamento Europeo, con una risoluzione, chiedeva una valutazione approfondita sul Privacy Shield, attesi i discutibili provvedimenti in materia di privacy adottati dall’amministrazione americana.

La problematica evidenziata dal Parlamento Europeo aveva ad oggetto il livello di pervasività dei controlli delle Autorità di sicurezza statunitensi che, sulla scorta della legislazione nazionale, sono autorizzate ad accedere in maniera pressoché indiscriminata ed illimitata ai dati personali, senza alcun rispetto dei principi di adeguatezza e proporzionalità che, invece, a livello europeo sono garantiti dal GDPR.

Il dibattito è tornato ad intensificarsi a seguito dello scandalo Cambridge Analytica e della persistente decisione USA di controllare dati e comunicazioni, per fini di sicurezza, di soggetti non risiedenti nei territori statunitensi.

A ciò si è aggiunta anche la circostanza che numerose Società statunitensi avessero dichiarato di essere aderenti al Privacy Shield nonostante non avessero completato l’iter di certificazione e che non sussistano adeguate misure per verificare che la suddetta certificazione oltre ad essere stata effettivamente ottenuta, permanga in capo a dette società.

Conseguentemente il Parlamento Europeo ha approvato una risoluzione con cui ha chiesto la sospensione del Privacy Shield, a meno che le Autorità statunitensi non provvedano ad attuare un meccanismo che garantisca una migliore conformità ai principi del GDPR.

L’opinion del Garante Europeo sul principio della Privacy By Design e Privacy By Default

Avv. Vincenzo Colarocco

Il Garante Europeo per la protezione dei dati personali lo scorso 31 maggio ha emesso una opinion sul principio del principio della privacy by design e privacy by default.

Il motivo di tale intervento è chiaro: il Garante vuole fornire uno strumento per superare le difficoltà di tradurre principi giuridici in precetti attuabili.

Infatti, l’EDPS rileva come in passato si sia sempre creato un divario tra “la disciplina di conformità legale gestita da avvocati da un lato e il processo di innovazione dinamico guidato da manager e ingegneri aziendali dall’altro”, ove questi ultimi sono i responsabili della progettazione e della implementazione dei processi e sistemi che trattano dati personali.

In tale contesto, il principio della privacy by design, lungi dall’esaurirsi in una mera petizione di principio, rappresenta la chiave di volta per tutelare i dati personali qualunque sia lo sviluppo tecnologico futuro, ponendosi al riparo dai rischi di rapida obsolescenza cui sono soggette le norme che intervengono in questo settore.

Il parere, anzitutto, ricorda l’ideatrice di tale principio, Ann Cavoukian, commissario per l’informazione e la privacy ad Ontario, Canada. Mrs Cavoukian declinava la privacy by design in ulteriori sotto-principi, fra i quali la privacy by default, che, quindi, nasce come “corollario” del primo.

La privacy by design, ricorda il Garante, non rappresenta una novità nel panorama europeo, perché già diverse direttive (nello specifico, la 2002/58/CE, la 2014/53/UE e la 1995/46/CE) avevano ampiamente tradotto e recepito tale previsione all’interno dei propri testi normativi.

Tuttavia, mentre i predetti principi trovavano terreno fertile e di sviluppo concettuale in ambito legale, “il settore tecnologico – ad avviso del Garante – è ben lontano dal dispiegare tutto il suo potenziale per la protezione dei diritti fondamentali degli individui”.

Ecco perché fornisce alcune aree di intervento in cui il settore tecnologico dovrà impegnarsi al fine di garantire una migliore aderenza al predetto principio. In particolare:

  • secondo la prima dimensione, ogni attività di trattamento dati che preveda il supporto IT dovrà essere frutto di un progetto di design;
  • secondo la seconda dimensione, ogni attività di trattamento dati dovrà essere effettuata secondo il risk based approach, al fine di identificare e gestire il rischio di lesione dei diritti e delle libertà fondamentali degli individui;
  • secondo la terza dimensione, le misure individuate con il risk based approach dovranno poi essere adeguate ed efficaci;
  • infine, secondo la quarta dimensione, le garanzie identificate dovranno essere tra di loro integrate.

Privacy e diritto Penale: pubblicato il d.lgs. attuativo della Direttiva 2016/680

Avv. Vincenzo Colarocco

Pubblicato sulla G.U. n.119 del 24.5.2018 il testo del Decreto Legislativo 18 maggio 2018, n. 51, con il quale viene data attuazione alla Direttiva (UE) 2016/680 del Parlamento Europeo e del Consiglio, relativa alla protezione delle persone fisiche in materia di trattamento dei dati personali da parte delle Autorità competenti in ambito penale.

La Direttiva, attuata anche in vista del nuovo Regolamento (UE) 2016/679 (GDPR), viene fuori dall’esigenza, avvertita nei settori della cooperazione giudiziaria in ambito penale, di stabilire norme specifiche sulla protezione dati delle persone fisiche da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.

Per questi motivi, il testo legislativo fissa, inter alia, le modalità ed i tempi di trattamento e conservazione dei dati personali, elenca i cd. diritti dell’interessato, illustra il procedimento attuabile per esercitarli, stabilisce quali disposizioni in ambito di sicurezza dei dati e per il loro trasferimento, prevede la nomina di un responsabile per la protezione e commina sanzioni amministrative e penali.

A garanzia di ciò, ai sensi degli artt. 2 e 37 del decreto legislativo, l’autorità pubblica indipendente istituita dall’Italia ed incaricata di sorvegliare l’applicazione della normativa viene identificata nella figura il Garante della protezione dati.

Di particolare rilievo risulta altresì quanto previsto dall’art. 4 del d.lgs., il quale prevede un trattamento dei dati personali differenziato in base alle diverse categorie di interessati, quali: persone  sottoposte  a  indagine;  imputati;  persone  sottoposte   a indagine o imputate in procedimento  connesso  o  collegato;  persone condannate con sentenza definitiva; persone offese dal  reato;  parti civili; persone informate sui fatti; testimoni.

In ogni caso, secondo quanto disposto dalla direttiva nel considerando n. 31, tale categorizzazione dovrebbe attuarsi  in modo conforme al diritto alla presunzione di innocenza garantito dalla Carta e dalla CEDU, così come interpretato nella giurisprudenza rispettivamente della Corte di giustizia e della Corte europea dei diritti dell’uomo.

Legittimo registrare le conversazioni con i colleghi a loro insaputa se ciò serve al lavoratore per difendere i propri diritti

Avv. Vincenzo Colarocco

Con la sentenza n. 11322 del 10.5.2018, la Cassazione afferma che la registrazione di conversazioni effettuate sul posto di lavoro da parte di un dipendente all’insaputa dei colleghi, “non costituisce condotta suscettibile di sanzione disciplinare, se il lavoratore ha posto in essere tale comportamento per esigenze di tutela dei propri diritti”.

Nel caso in questione, viene irrogato da una società un licenziamento per giusta causa ad un proprio dipendente, reo di aver presentato in sede di giustificazioni, nel corso di un precedente procedimento disciplinare, una pennetta usb con le registrazioni di alcune conversazioni effettuate durante l’orario di lavoro con altri colleghi a loro insaputa, raccolte dal lavoratore al fine di precostituirsi una prova difensiva a fronte di contestazioni datoriali non cristalline.

A tal riguardo, la Corte di Cassazione ricorda che, alla luce della normativa posta a tutela della protezione dei dati personali, la registrazione fonografica di un colloquio ad opera di un soggetto che ne sia partecipe, ha natura di prova ammissibile sia nel processo civile che in quello penale.

Inoltre, la sentenza afferma come ciò sia possibile a prescindere dal consenso degli interessati, nel caso in cui la raccolta dei dati intervenga per far valere o difendere un diritto in sede giudiziaria o extra-giudiziaria. A ciò si aggiunga che il diritto di difesa si estende a tutte le attività dirette ad acquisire prove utilizzabili in giudizio, ancor prima che la controversia sia formalmente instaurata.

Unico limite, conclude la Corte, è che i dati medesimi siano trattati solo per le suddette finalità e per il periodo strettamente necessario per il loro perseguimento.

Corte di Giustizia dell’Unione Europea: l’amministratore di una fanpage su un social network e’ titolare del trattamento

Avv. Vincenzo Colarocco

L’amministratore di una fanpage di Facebook è titolare insieme alla stessa Facebook del trattamento dei dati personali dei visitatori della sua pagina. A stabilirlo è la sentenza della Corte di Giustizia dell’Unione Europea resa lo scorso 5 giugno nella causa C-210/16, sulla scorta della circostanza che gli amministratori delle pagine possono ottenere e trattare dati demografici concernenti il pubblico destinatario (in particolare tendenze in materia di età, sesso, situazione sentimentale e professionale), informazioni sullo stile di vita e sugli interessi di detto pubblico (incluse informazioni sugli acquisti e il comportamento di acquisto online dei visitatori della sua pagina, nonché le categorie di prodotti o di servizi di loro maggiore interesse) e dati territoriali. Del resto detti dati consentono all’amministratore della fanpage di stabilire dove avviare promozioni speciali o organizzare eventi e, in generale, di offrire informazioni maggiormente mirate e, dunque, attraverso la propria azione d’impostazione dei parametri determina le finalità e gli strumenti del trattamento dei dati personali dei visitatori della sua fanpage.