Articoli

Minimizzazione dei dati: il Garante danese sanziona una compagnia di taxi

Avv. Vincenzo Colarocco

Con un recente provvedimento pubblicato a seguito di un’attività ispettiva effettuata lo scorso ottobre, l’Autorità Danese, rilevando la sussistenza di una violazione del principio di minimizzazione dei dati, ha sanzionato con una multa da € 160.000,00 la società di taxi “Taxa 4×35”.

In dettaglio, nell’ambito del trattamento dati correlato agli ordini effettuati dai clienti, la società si era imposta una data retention pari a 2 anni, rilevando come un trattamento ulteriore non risultasse giustificato da alcuna necessità aziendale. L’Autorità, nell’ambito della suddetta attività ispettiva, verificava però come, per quanto la suindicata conservazione fosse concretamente realizzata ed adeguata rispetto alle finalità perseguite, non comprendesse tutti i dati identificativi del cliente. Infatti l’anonimizzazione era limitata al nome e al cognome, mentre non veniva intaccato il numero di telefono del cliente, dato per il quale la società aveva invece imposto una conservazione di 5 anni.

Alla luce di quanto sopra, la competente Autorità non ha potuto che constatare una violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c) del Regolamento UE 679/2016 (“GDPR”). In particolare non risultava correttamente utilizzata la misura tecnica dell’anonimizzazione dal momento che, prevedendo una retention più ampia per il numero di cellulare del cliente, a quest’ultimo ben potevano essere ricondotti una serie di dati afferenti alla corsa in taxi effettuata (es: data della corsa, ora di inizio e di fine della stessa, il numero di chilometri percorsi, il pagamento, la posizione iniziale e finale specificati come coordinate GPS) oltre il termine di due anni previsto per la conservazione del proprio nome e cognome.

È infatti evidente come, finché una corsa in taxi può essere collegata al cliente che ha prenotato il viaggio, le relative informazioni sono da considerarsi informazioni personali sul cliente.

No all’uso dei dati senza consenso di ex-pazienti per propaganda elettorale

Avv. Vincenzo Colarocco

Con il provvedimento del 14 febbraio 2019 il Garante ha comminato una sanzione di 16 mila euro a un medico che ha utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo e per finalità completamente differenti (quelle di promozione politico-elettorale).

Le iniziative di propaganda elettorale, o collegate a referendum o alla selezione di candidati alle elezioni, costituiscono un momento particolarmente significativo della partecipazione alla vita democratica (art. 49 Cost.). Pertanto, se i dati sono raccolti presso l’interessato, quest’ultimo deve essere comunque informato a norma di legge delle caratteristiche del trattamento, salvo che per gli elementi che gli siano già noti (art. 13 del GDPR). Ancor di più, se i dati –come nel caso di specie– non vengono raccolti direttamente presso gli interessati (art. 14 del GDPR) ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro con la struttura sanitaria presso la quale prestava la sua attività in regime di libera professione.

È bene precisare, come già più volte chiarito dall’Autorità in materia di propaganda elettorale che i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti (Provvedimento n. 107 del 6 marzo 2014). E tuttavia, il consenso è necessario anche per i dati raccolti nell’esercizio di attività professionali, di impresa o nell’ambito della professione sanitaria (Provvedimento n. 55 del 7 marzo 2019).

Un’opera collettiva a tutela della nostra privacy. Discorso del Presidente Soro in occasione della presentazione della relazione annuale

Avv. Vincenzo Colarocco

Il 7 maggio, alle ore 11:00, il Presidente del Garante per la protezione dei dati personali, Antonello Soro ha presentato al Parlamento e al Governo la relazione annuale dell’Autorità.

Dalle parole del Presidente è sembrato emergere che la rinnovata attenzione mostrata negli ultimi tempi alla privacy, in parte dovuta all’applicazione di una normativa non più solo nazionale, ha cristallizzato una certa consapevolezza: il dato è tanto l’oggetto di un diritto inviolabile quanto un bene suscettibile di valutazione economica, capace di produrre ingenti profitti. La stragrande maggioranza dei nostri dati è nella disponibilità di piattaforme digitali; l’unico modo per evitare un’inutile quanto infruttuosa guerra alla digitalizzazione, è scommettere sia sulla persona che sul progresso, nella prospettiva di trovarne un giusto bilanciamento. Il Dott. Soro, infatti, conferma che se è vero che le tecnologie e le innovazioni digitali condizionano le scelte delle persone fisiche, sia come singoli sia come appartenenti ad una collettività, è anche vero che delineano l’esercizio della sovranità. La razionalizzazione e l’armonizzazione, soprattutto a livello europeo, del quadro giuridico di riferimento, compendiato dalla predisposizione di misure efficaci, sono gli unici strumenti in grado di prevenire “totalitarismi digitali” e “capitalismi della sorveglianza”.

Vicende come Facebook-Cambridge Analytica dimostrano che l’assoluta prevalenza accordata a sistemi predittivi, funzionanti sulla base di algoritmi privi di qualsiasi intermediazione umana, potrebbe certamente mettere a repentaglio la stessa forma democratica, se sottratti ad un progetto etico giuridico e politico. Per tali ragioni, il Presidente ha affermato che seppur debba essere riconosciuta “l’inadeguatezza di un algoritmo a svolgere valutazioni necessariamente discrezionali e complesse”, si deve anche comprendere che il processo d’informatizzazione è troppo prezioso per il nostro Paese per potervi del tutto rinunciare. Da ciò nasce l’esigenza di renderlo “pienamente compatibile con i principi di proporzionalità e minimizzazione”.

Sebbene il Collegio guardi con occhio critico talune scelte legislative – un esempio tra tutti la data retention – perché talvolta miopi rispetto all’osservanza dei principi ricordati, tuttavia riconosce che tanto è stato fatto.

In questo senso, il Presidente ricorda le previsioni che consentono di richiedere, con una procedura particolarmente agile, la cancellazione o rettifica dei dati illegittimamente trattati in ambito giudiziario penale; l’adozione di alcune garanzie essenziali, omogenee per tutti gli uffici giudiziari, per impedire, in fase d’indagini, fughe di notizie pregiudizievoli anche della riservatezza individuale; la legge sul cyberbullismo, che ha valorizzato l’esigenza di tutela in forma specifica dell’immagine e dell’identità del minore; le disposizioni in tema di videosorveglianza negli asili per prevenire gli abusi; le nuove forme di esercizio del potere di vigilanza disciplinate con il protocollo d’intenti siglato con il Dis nel novembre 2013 e i costanti solleciti dell’Autorità al legislatore in alcune materie particolarmente sensibili come quella concernente il fenomeno del giornalismo di trascrizione; le disposizioni che, mirando ad appianare le asimmetrie contrattuali, garantiscono anche la tutela della riservatezza. Si pensi alla possibile qualificazione, come pratiche commerciali scorrette, le informative reticenti o, come abuso di posizione dominante, le illecite concentrazioni di data set anche di terze parti; allo Statuto dei lavoratori, come modificato dal Jobs Act; alle previsioni che regolamentano il tessuto endo-associativo dei partiti politici

Tuttavia, la regolamentazione non è tutto o meglio non basta. Il Garante ricorda come il 2018 è stato definito, dal Clusit, l’anno peggiore per la sicurezza cibernetica, così costantemente esposta a minacce tanto da configurare una sorta di cyber-guerriglia permanente. Se è vero che “il diritto alla protezione dei dati personali viene sempre più invocato di fronte alle innumerevoli “servitù volontarie” cui rischiamo di consegnare noi stessi, in cambio di utilità e servizi che paghiamo al prezzo di porzioni piccole o grandi della nostra libertà”, ne consegue che la consapevolezza di tutti noi è di cruciale importanza e occorre porsi come obiettivo la tutela di questo diritto di libertà, che diviene forma e regola dell’agire individuale e collettivo. “A quest’obiettivo nessuno può sentirsi estraneo: perché involge il senso stesso del nostro essere persona e la natura della società in cui viviamo”.

Facebook: l’antitrust rigetta l’eccezione di competenza in tema di privacy

Avv. Vincenzo Colarocco

L’Autorità Garante della Concorrenza e del Mercato (AGCM), con provvedimento del 29 novembre 2018, ha chiuso l’istruttoria per presunte violazioni degli articoli 21, 22, 24 e 25 del Codice del Consumo, avviata lo scorso aprile, nei confronti di Facebook Ireland Ltd. e della sua controllante Facebook Inc., irrogando alle stesse due sanzioni per complessivi 10 milioni di euro.

Secondo l’Antitrust, Facebook avrebbe posto in essere pratiche commerciali scorrette:

– inducendo ingannevolmente gli utenti a registrarsi sulla piattaforma social, dato che Facebook non fornirebbe, in fase di attivazione dell’account, informazioni adeguate ed immediate circa l’attività di raccolta dei dati che viene svolta a fini commerciali, e più in generale, non verrebbero messe in luce le finalità remunerative che in realtà risulterebbero essere alla base della fornitura del servizio di social network, enfatizzandone la sola gratuità e inducendo così gli utenti ad “assumere una decisione di natura commerciale che non avrebbero altrimenti preso” (registrazione al social network e permanenza nel medesimo);

– esercitando un “indebito condizionamento” nei confronti degli utenti/consumatori registrati, i quali subirebbero in modo inconsapevole ed automatico, cioè senza espresso e preventivo consenso, ma attraverso “l’applicazione di un meccanismo di preselezione del più ampio consenso alla condivisione di dati”, la trasmissione degli stessi da Facebook a siti web e/o app di terzi e viceversa, per finalità commerciali, ponendo in essere una pratica aggressiva.

Probabilmente quest’ultimo rappresenta uno dei punti più delicati della vicenda, in quanto potrebbe essere direttamente collegato a tutte le pratiche emerse dallo scandalo Cambridge Analytica in poi (clicca qui).

In considerazione dei rilevanti effetti di tali pratiche sui consumatori, l’Autorità ha altresì imposto a Facebook (ai sensi dell’art. 27, comma 8, del Codice del Consumo) l’obbligo di “pubblicare una dichiarazione rettificativa sul sito internet e sull’app per informare gli utenti consumatori”.

Risultano interessanti le argomentazioni dell’AGCM in merito al mancato accoglimento dell’eccezione sollevata da Facebook in relazione alla possibile incompetenza dell’Autorità stessa a trattare il caso, in ragione di possibili sovrapposizioni con le materie regolate dalla normativa sulla privacy. A tal proposito l’Autorità ha ritenuto che “non sussiste un conflitto tra le due discipline, integrandosi, piuttosto, le stesse in maniera complementare”.