Articoli

Nuove sanzioni per Unicredit, stavolta dall’Autorità di controllo della Romania

Avv. Vincenzo Colarocco

L’Autorità di controllo della Romania ha sanzionato Unicredit Bank con una multa pari a circa 130.000 euro, a seguito dell’accertata violazione da parte dell’istituto bancario di alcune disposizioni del GDPR.

Secondo le attività ispettive condotte da questo Garante, Unicredit non avrebbe applicato in modo efficace le misure tecniche e organizzative idonee a garantire la protezione dei dati personali e dunque la tutela dei diritti degli interessati, nella misura in cui, a fronte di una verifica effettuata a novembre 2018, non sarebbe stato rispettato il principio di minimizzazione dei dati che prescrive il loro trattamento limitatamente agli scopi per cui sono stati inizialmente trattati, in questo modo esponendo i dati dei clienti a facile divulgazione.

Di conseguenza, l’attività attuata da Unicredit si è posta in violazione dell’articolo 25, dell’articolo 5 e del considerando 78 del Regolamento.

Ma non è tutto. A tale sanzione ne è seguita una seconda: a quanto pare, i dati personali dei clienti che si trovavano in formato analogico presso la società sono stati oggetto di violazione ad opera di terzi, in particolare sono stati fotografati da persone non autorizzate ad averne accesso e successivamente diffusi sulla rete, con ogni conseguente danno per gli interessati coinvolti.

La circostanza dell’accesso non autorizzato è stata rilevata dall’Autorità rumena a seguito dell’istruttoria apertasi post notifica di data breach dell’ente bancario.

A fronte di una violazione accertata in ordine a 46 interessati, la sanzione comminata è stata pari a 15.000 euro.

Unicredit è già da tempo sotto la lente d’ingrandimento delle autorità di controllo: già a gennaio scorso, si è verificato un data breach che ha portato alla perdita di dati di 731mila correntisti. In quell’occasione, tuttavia, il Garante italiano, chiamato a pronunciarsi a seguito dell’intervenuta notifica, si è astenuto dall’irrogazione di sanzioni, limitandosi ad intimare ad Unicredit di provvedere contestualmente con la notifica della violazione anche agli interessati.

Multa dell’ICO da 204 milioni di euro a British Airways: copiate oltre 200.000 carte di credito

Avv. Vincenzo Colarocco

Nel settembre 2018, la British Airways notificava all’Information Commisioner’s Office (ICO), autorità di controllo britannica, l’intervenuto data breach rilevato con riferimento al proprio sito internet, ottemperando alla disciplina prevista dagli articoli 33 e seguenti del GDPR.

A seguito dell’istruttoria svolta da parte dell’Autorità garante è emerso che il sito web della compagnia ha subìto un attacco proveniente dall’esterno in grado di coinvolgere circa 500.000 clienti: in particolare, l’attacco ha consentito ai “pirati” informatici di dirottare gli utenti su un altro sito fraudolento, mediante il quale questi avrebbero raccolto – ovviamente in maniera non autorizzata – i loro dati personali.

L’ICO ha dichiarato che, dalle evidenze emerse, l’attacco sarebbe iniziato nel mese di giugno 2018, dunque ben tre mesi prima della sua scoperta e denuncia, e che avrebbe cagionato la violazione di circa 244.000 dati relativi alle carte di credito dei consumatori, con ogni conseguenza economica per gli stessi.

Il procedimento istruttorio si è concluso con l’intenzione di emanare un provvedimento sanzionatorio nei confronti della British Airways, con una multa di 183 milioni di sterline, pari a circa 204 milioni di euro. L’autorità ha, infatti, ritenuto che l’incidente informatico sia da ritenersi conseguente alla mancata adozione di idonee misure di sicurezza, tecniche ed organizzative, da parte della compagnia in qualità di titolare del trattamento dei dati degli utenti visitatori del proprio portale.

British Airways ha collaborato con l’indagine ICO e ha apportato miglioramenti alle sue disposizioni in materia di sicurezza fin da quando questi eventi sono venuti alla luce. L’azienda avrà ora l’opportunità di presentare osservazioni in merito a tali risultanze ed alla sanzione.

Il procedimento è stato condotto da parte dell’ICO in qualità di autorità di controllo capofila, ai sensi e per gli effetti della disciplina di cui agli articoli 56 e seguenti del GDPR: in base alle disposizioni sullo “sportello unico” del GDPR, le autorità di protezione dei dati nell’UE i cui residenti siano stati colpiti dall’evento avranno la possibilità di commentare le conclusioni dell’ICO.

La Commissione Europea adotta la decisione di adeguatezza relativa al Giappone

Avv. Vincenzo Colarocco

Il GDPR prevede regole specifiche per consentire trasferimenti di dati personali verso Paesi terzi ed organizzazioni internazionali, estranei all’ambito di applicazione del Regolamento. In particolare, l’art. 45 disciplina l’ipotesi di trasferimento dei dati effettuati sulla base di una decisione di adeguatezza.

Il 23 gennaio 2019 la Commissione europea ha adottato la decisione di adeguatezza relativa al Giappone, così consentendo la libera circolazione dei dati personali tra le due economie sulla base di solide garanzie di protezione senza la necessità di autorizzazioni specifiche. L’adozione della decisione costituisce l’ultima fase della procedura avviata nel settembre 2018 e fa parte della strategia dell’UE nel settore della protezione e dei flussi internazionali di dati, già annunciata nel gennaio 2017 con la comunicazione della Commissione sullo scambio e la protezione dei dati personali in un mondo globalizzato.

Com’è stato sostenuto da Věra Jourová, Commissaria responsabile per la Giustizia, i consumatori e la parità di genere: “Questa decisione di adeguatezza crea il più grande spazio al mondo di circolazione sicura dei dati. I cittadini europei i cui dati personali saranno trasferiti in Giappone beneficeranno di una protezione forte delle informazioni relative alla vita privata. Investire nella tutela della vita privata paga: questo accordo costituirà un modello per futuri partenariati in questo settore fondamentale e contribuirà alla definizione di standard di livello mondiale”.

Già prima dell’adozione della decisione, il Giappone aveva cominciato a predisporre, nel proprio ordinamento, un sistema di norme integrative volto a riconoscere un quadro in materia di protezione dei dati analogo a quello adottato dall’Ue. In particolare, nel 2003 sono state promulgate la legge sulla protezione delle informazioni personali (APPI); la legge sulla protezione delle informazioni personali detenute da organi amministrativi (APPIHAO); la legge sulla protezione delle informazioni personali detenute da agenzie amministrative registrate (APPI-IAA).

La Commissione, tenendo conto del parere precedentemente espresso dal Comitato europeo per la protezione dei dati, ha ritenuto che il Giappone garantisca un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea a operatori economici che gestiscono informazioni personali in Giappone. La legge nazionale giapponese è stata specificamente integrata dalle norme di cui all’allegato I, nonché dalle dichiarazioni, dalle garanzie e dagli impegni ufficiali che figurano nell’allegato II.

Al fine di consentire alla Commissione il monitoraggio costatante della corretta applicazione del quadro giuridico su cui si basa la decisione e per verificare se il Giappone continui o meno a garantire un livello adeguato di protezione, tra due anni sarà effettuato un primo riesame congiunto di rivalutazione del quadro normativo. I rappresentanti del Comitato europeo per la protezione dei dati parteciperanno al riesame per quanto riguarda l’accesso ai dati per motivi di contrasto o di sicurezza nazionale. Successivamente, il riesame avrà luogo almeno ogni quattro anni.

L’Avvocato Generale della Corte di Giustizia nel caso Facebook Ireland

Avv. Vincenzo Colarocco

Nel procedimento C-18/18, giunto innanzi alla Corte di Giustizia, al centro della controversia vi è un commento diffamatorio postato sul social network Facebook a seguito del quale la diffamata, Eva Glawischnig-Piesczek, ricorrente aveva ottenuto il blocco dei Dns (Domain Name System), blocco che ha consentito al contenuto di non essere più visibile ai cittadini austriaci.

Più nello specifico, un utente di Facebook aveva condiviso, sulla sua pagina personale, un articolo di una rivista di informazione austriaca online titolato «I Verdi: a favore del mantenimento di un reddito minimo per i rifugiati», commentandolo con un commento degradante nei confronti della signora Glawischnig-Piesczek, e tale contenuto risultava visibile a qualsiasi utente di Facebook.

All’indomani della diffusione di tale contenuto e della richiesta di cancellazione dello stesso da parte della diretta interessata, nell’inottemperanza di Facebook, la sig.ra Glawischnig-Piesczek domandava che venisse ordinato a Facebook di cessare la pubblicazione e/o diffusione identiche al commento contestato e/o dal «contenuto equivalente». Tuttavia, la rimozione del contenuto avveniva solo con riferimento al territorio austriaco.

L’Oberster Gerichtshof (Corte Suprema, Austria), accertata l’illiceità del contenuto pubblicato, chiamato a statuire sulla questione se il provvedimento inibitorio possa anche essere esteso, a livello mondiale, alle dichiarazioni testualmente identiche e/o dal contenuto equivalente di cui Facebook non è a conoscenza, ha chiesto alla Corte di giustizia di interpretare in tale contesto la direttiva sul commercio elettronico.

In data 4 giugno 2019 sono pervenute le conclusioni dell’Avvocato Generale, il quale ha ritenuto che la direttiva sul commercio elettronico non osti a che un host provider che gestisce una piattaforma di social network, quale Facebook, sia costretto, mediante un provvedimento ingiuntivo, a ricercare e ad individuare, tra tutte le informazioni diffuse dagli utenti di tale piattaforma, le informazioni identiche a quella qualificata come illecita dal giudice che ha emesso tale provvedimento ingiuntivo.

Tale approccio consente di garantire un giusto equilibrio tra i diritti fondamentali coinvolti, ossia la protezione della vita privata e dei diritti della personalità, quella della libertà d’impresa, nonché quella della libertà d’espressione e d’informazione.

Ad avviso dell’avvocato generale, poiché la direttiva non disciplina la portata territoriale di un obbligo di rimozione delle informazioni diffuse tramite una piattaforma di social network, essa non osta a che un host provider sia costretto a rimuovere siffatte informazioni a livello mondiale.

 

Tali conclusioni non devono tuttavia indurre in errore e perciò sovrapporsi a quanto statuito dallo stesso Avvocato Szpunar relativamente al caso Google c. CNIL: in quell’occasione questi ha ritenuto necessaria una differenziazione a seconda del luogo a partire dal quale è effettuata la ricerca, sottolineando infatti che, sebbene per determinati ambiti – ad esempio in materia di diritto della concorrenza o di diritto dei marchi – sono ammessi in determinati casi effetti extraterritoriali, tale possibilità non sarebbe comparabile alla materia della protezione dei dati personali.

La differenziazione è obbligatoria tenuto conto che il concetto di deindicizzazione differisce da quello di cancellazione/rimozione, attività quest’ultima che presuppone l’accertata illiceità del contenuto. Nel primo caso, infatti, per contro, non ricorrendo aspetti diffamatori, ma solo l’obsolescenza del contenuto (veritiero), l’interesse pubblico all’informazione potrebbe giustificare la limitazione dell’applicazione extraterritoriale della normativa sulla riservatezza, così come ponderata in quell’occasione in sede di conclusioni dall’Avvocato Generale.

No alla pubblicazione dei dati dei dirigenti pubblici: l’arresto della Corte costituzionale

Avv. Vincenzo Colarocco

Con sentenza n. 20, del 21 febbraio 2019, la Corte Costituzionale ha dichiarato l’illegittimità della disciplina sulla pubblicazione dei dati patrimoniali dei dirigenti pubblici: la disposizione viziata estendeva a tutti i dirigenti pubblici, a prescindere dal ruolo ricoperto, l’obbligo di pubblicazione dei dati relativi, da un lato, ai compensi percepiti per lo svolgimento dell’incarico, dall’altro, ai dati patrimoniali ricavabili dalla dichiarazione dei redditi, dalle annotazioni risultanti dai registri immobiliari, nonché dal possesso di quote societarie. A parere della Corte, il diritto alla riservatezza dei dipendenti pubblici, da intendersi come il diritto a controllare la circolazione delle informazioni inerenti la propria persona, è stato compresso a fronte dell’esigenza di garantire il principio di trasparenza delle pubbliche amministrazioni, finalizzato alla lotta alla corruzione nella pubblica amministrazione. La P.A. –sostiene la Corte– non ha in precedenza dato applicazione al principio di proporzionalità del trattamento che domina la disciplina a tutela dei dati personali, pienamente recepito dall’art. 5 del Regolamento europeo 2016/679, meglio noto come GDPR, andando a prediligere la misura più appropriata per assicurare il bilanciamento tra i diritti e per non sacrificare la riservatezza degli interessati. Se da un lato, si rende necessaria la previsione di strumenti che consentano al cittadino di accedere liberamente alle informazioni sull’impiego delle risorse pubbliche, dall’altro – come correttamente rileva la Corte – non appare giustificato l’accesso incondizionato anche in relazione a categorie di dati non strettamente connesse all’esercizio di pubblici incarichi, come ad esempio il patrimonio immobiliare del dipendente pubblico. A ciò si aggiunga che nella pubblicazione di tali dati la P.A. non ha operato alcuna distinzione tra i dirigenti, in relazione al ruolo, alle responsabilità e alla carica ricoperta: la Corte ha ritenuto tale scelta un effettivo rischio di generare “opacità per confusione”, oltre che di stimolare forme di ricerca tendenti unicamente a soddisfare mere curiosità. Con la pronuncia del 21 febbraio, sono stati opportunamente bilanciati e garantiti il diritto alla privacy e la tutela minima delle esigenze di trasparenza amministrativa, individuando, in conclusione, nei dirigenti apicali delle amministrazioni statali (previsti dall’articolo 19, commi 3 e 4, del decreto legislativo n. 165 del 2001) coloro ai quali sono applicabili gli obblighi di pubblicazione imposti dalla disposizione censurata: con riferimento a tali dirigenti di compiti di elevatissimo rilievo, infatti, l’obbligo di totale trasparenza non è appare irragionevole. A fronte di tale intervento della Corte, il legislatore nazionale è ora tenuto a ritracciare il perimetro della categoria dei destinatari degli obblighi di trasparenza e delle modalità con cui questi devono essere attuati, nel rispetto dei principi tracciati da questa pronuncia.

Top Legal Academy – Data protection Officer e Privacy Matter exper

Roma – 15-16 marzo 2019 – Legance

La conoscenza del diritto relativo al trattamento dei dati personali rappresenta un bagaglio informativo ormai indispensabile per il professionista che opera a contatto con le aziende e che deve confrontarsi quotidianamente con una nuova disciplina europea e italiana, complessa e completamente rivoluzionata dall’avvento del GDPR.
TopLegal Academy presenta la seconda edizione del Master in Data Protection Officer e Privacy Matter Expert, un percorso di pecializzazione intensivo in 6 weekend sui temi più rilevanti della privacy e del trattamento dei dati personali. L’offerta si caratterizza per la presenza sinergica di docenti provenienti da prestigiosi studi legali, giuristi di impresa in aziende di primaria importanza e autorevoli esponenti del Garante per la Protezione dei Dati Personali. In aula la puntuale analisi normativa sarà accompagnata dall’esame di casi pratici ed esempi concreti, saranno esaminate le problematiche più ricorrenti nell’attività lavorativa del DPO e del Privacy Matter Expert e individuate le soluzioni operative e interpretative più idonee.

Download (PDF, 488KB)

Obiettivi
Il presente Master costituisce la IIa Edizione dopo quella di Milano del 2018 e ha l’obiettivo principale di fornire ai partecipanti conoscenze
tecnico/giuridiche in ambito privacy analizzando il nuovo contesto normativo di cui al Regolamento Europeo UE 2016/679 (GDPR) nonché i provvedimenti del Garante per la Protezione dei Dati Personali, del Working Party 29 (Gruppo 29) e la giurisprudenza in tema di privacy.
L’intero Master prevede giornate formative con docenze di avvocati specializzati e rinomati nel settore di riferimento, legali d’azienda esperti della materia, autorevoli esponenti del garante e professionisti tecnico/ informatici. L’attenta scelta dei professionisti e degli argomenti affrontati consente di fornire al partecipante conoscenze teoriche rigorose sempre accompagnate da esperienze pratiche, al fine di consentirgli di svolgere la professione di Data Protection Officer e/o Privacy Matter Expert al meglio delle proprie potenzialità.

Calendario
febbraio
Venerdì 15 – Sabato 16
Venerdì 22 – Sabato 23
marzo
Venerdì 1 – Sabato 2
Venerdì 8 – Sabato 9
Venerdì 15 – Sabato16
Venerdì 22 – Sabato 23

RELATORI:

Dott.ssa Augusta Iannini, Dott.ssa Michela Massimi – Garante per la Protezione dei Dati Personali

Avv. Andrea Fedi, Avv. Lucio Scudiero – Legance Avvocati Associati

Avv. Vincenzo Colarocco – Studio Previti

Avv. Matteo Orsingher, Avv. Fabrizio Sanna – Orsingher Ortu Avvocati Associati

Avv. Paola Pucci – Toffoletto, De Luca Tamajo e Soci

Ing. Giuseppe D’Agostino  – PwC Italia

Avv. Barbara Ferri – PwC TLS

Avv. Angela Maria Galiano – ALD Automotive Italia S.r.l.

Dott.ssa Fiorentina Russo – ALES S.p.A.

Dott .Fabrizio Cutrupi – AGM Solutions S.r.l.

Avv. Salvatore Modesto – Intesa SanPaolo

Avv. Andrea d’Agostino, Avv. Luca R. Barlassina, Avv. Ugo E. Di Stefano – Gruppo Mondadori

Avv. Gioia Vasintoni – Autostrade per l’Italia S.p.A.i

Dott. Francesco Modafferi, Dott.ssa Luana Patti – Garante per la Protezione dei Dati Personali

Avv. Roberta Quintavalle – Gruppo Mediaset

Avv. Luca Pierro – Fiditalia S.p.A

per maggiori informazioni.

Reddito di cittadinanza e GDPR: Il Garante interviene evidenziando i gravi rischi

Avv. Vincenzo Colarocco

Il Presidente dell’Autorità Garante per la protezione dei dati personali, con la memoria dell’8 febbraio 2019, evidenzia come molte norme del decreto legge 28 gennaio 2019 n. 4 presentino notevoli criticità sotto il profilo della protezione dei dati personali. Si rileva come, non essendo stato richiesto il parere preventivo previsto dall’art. 36 al paragrafo 4, non sia stato possibile preventivamente individuare i rischi derivanti dalle diverse attività di trattamento. Ad avviso del Garante, infatti, le norme mancano di sufficiente precisione: le previsioni, di portata generale, si rivelano inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati. In particolare, non appare rispettato il principio di proporzionalità poiché la sorveglianza su larga scala, continua e capillare, dei soggetti interessati determinerebbe un’intrusione sproporzionata e ingiustificata nella sfera privata dei singoli. Si contesta, in particolare, che attraverso le due piattaforme digitali, da istituire una presso l’ANPAL e l’altra presso il Ministero del lavoro, transiterebbe un massivo flusso di informazioni e di dati, riferiti tanto ai richiedenti quanto ai componenti il nucleo familiare degli stessi – ivi inclusi i dati dei minorenni – idonei anche a rivelare lo stato di salute o l’eventuale sottoposizione a misure restrittive della libertà personale. La mancanza di regole pertinenti e di adeguati accorgimenti, in grado di garantire la qualità e l’esattezza dei dati, espone a rischi di non poco momento. Forti dubbi si nutrono anche in merito al cd. monitoraggio sull’utilizzo della carta Rdc, su cui possono essere compiuti dei controlli puntuali, centralizzati e sistematici sulle scelte di consumo individuali, in assenza di procedure ben definite. L’Autorità si mostra preoccupata anche dalla Dichiarazione sostitutiva unica (DSU), presupposto per il riconoscimento del reddito di cittadinanza e prodromica al rilascio dell’attestazione Isee: il documento in parola, infatti, verrebbe precompilato a cura dell’INPS, con la collaborazione dell’Agenzia delle Entrate. La precompilazione, per quanto risponda all’ esigenza di semplificazione amministrativa, non può pregiudicare la sicurezza e l’integrità dei dati contenuti.. Il Garante, infine, rileva come il sito web del Governo, dedicato al reddito di cittadinanza, mostri alcune carenze, specie con riferimento all’informativa sul trattamento dei dati.

Cambridge Analytica: chiusura dell’istruttoria

Avv. Vincenzo Colarocco

Il Garante per la privacy ha concluso, con provvedimento del 10 gennaio 2019 [doc. web n. 9080914], l’istruttoria avviata nei confronti di Facebook sul caso “Cambridge Analytica”, società di analisi che ha raccolto i dati personali di oltre 50 milioni di utenti di Facebook. Nel corso dell’istruttoria veniva accertato, preliminarmente, che i fatti si sarebbero verificati prima dell’applicabilità del Regolamento UE 2016/679 –quindi sotto la vigenza della Direttiva 95/46/CE– e ben prima del Codice Privacy, così come modificato ai sensi del D.lgs. 101/2018. Al termine delle verifiche è stato accertato che i dati personali dei cittadini italiani (tra i quali, a mero titolo esemplificativo, i dati del profilo pubblico (nominativo e genere), data di nascita, lista di amici, ecc.), acquisiti tramite l’app “Thisisyourdigitallife” e raccolti attraverso la funzione “Facebook Login”, venivano trattati illecitamente, in quanto in assenza di una idonea informativa e di uno specifico consenso. Nel corso della medesima istruttoria è inoltre emerso –e nello specifico in occasione delle elezioni politiche del 4 marzo 2018– che mediante il prodotto “Candidati” veniva consentito agli elettori, previo rilascio del loro indirizzo postale, di avere specifiche informazioni sui candidati nella propria circoscrizione elettorale, nonché, nella “Sezione notizie”, veniva data la possibilità di acquisire “informazioni sul voto” e/o di “condividere” il fatto di aver votato. Sul punto, il Garante ha rilevato che queste funzioni, messe a disposizione dalla piattaforma Facebook, non erano previste, né tantomeno indicate nella “data policy” di quest’ultima, ed erano pertanto, difficilmente riconducibili all’ambito delle proprie finalità, oltre che potenzialmente idonee a rilevare le opinioni politiche dei cittadini italiani. Il Garante ha, dunque, negato l’utilizzo a Facebook di ogni dato personale o informazione espressa dagli utenti mediante le modalità sopradescritte trasmettendo all’Autorità per la protezione dei dati irlandese le valutazioni di competenza.

Diritto d’accesso dei lavoratori e riservatezza aziendale: quali Limiti?

Avv. Vincenzo Colarocco

Con l’ordinanza n. 32533 del 14 dicembre 2018, la Suprema Corte di Cassazione, rigettando il ricorso promosso da una banca avverso una sentenza del Tribunale di Roma (confermativa di un precedente provvedimento reso dal Garante per la protezione dei dati personali), ha ribadito la sussistenza del diritto di accesso in favore del dipendente rispetto alla documentazione inerente ad un procedimento disciplinare cui il medesimo era stato sottoposto. In particolare, il dipendente in questione proponeva ricorso dinanzi al Garante Privacy ribadendo la richiesta (già formulata all’istituto di credito datore di lavoro) di ottenere due documenti elaborati dalla banca che, inevitabilmente, riportavano alcuni suoi dati personali. L’istante sosteneva che l’accesso a tali dati avrebbe trovato giustificazione nell’esigenza di esercitare il proprio diritto di difesa e di impugnazione avverso la sanzione irrogatagli. La Banca replicava di aver fornito al ricorrente tutte le informazioni necessarie, essendo le stesse riportate all’interno della lettera di contestazione trasmessagli, in più assumeva che i documenti oggetto di richiesta, oltre a contenere dati della società di uso strettamente interno (in quanto espressione del diritto, costituzionalmente garantito, di organizzare e gestire la propria attività), risultavano atti “endoprocedimentali” e, pertanto, attinenti solo al momento formativo della volontà datoriale, pertanto irrilevanti ai fini di esercizio dell’asserito diritto di difesa. Il Garante rilevava come a mente della versione del D. Lgs n. 196/2003 (“Codice Privacy”) ratione temporis applicabile, l’art. 8, comma 4 (ora abrogato dal D. Lgs. 101/2018), riconoscesse espressamente il carattere di dato personale dei c.d. “dati valutativi” (quelle informazioni personali che non hanno carattere oggettivo essendo relative a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo) e che, anche rispetto a questi ultimi, fosse possibile esercitare i diritti di cui all’art. 7 (anch’esso successivamente abrogato dal D. Lgs. 101/2018), compreso il diritto di accesso. L’Autorità precisava inoltre che il summenzionato diritto fosse esercitabile senza dover motivare la richiesta o dimostrare di dover acquisire i dati per difendere un diritto in giudizio. Dinanzi alle doglianze espresse dalla banca, gli Ermellini, rigettando il ricorso, precisano che il diritto di accesso non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza dello stesso soggetto interessato, atteso che scopo della norma suddetta è garantire  la verifica ratione temporis dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati; tale diritto, pertanto, andrebbe garantito in ogni momento del rapporto lavorativo, dal momento che “la documentazione relativa alle vicende del rapporto di lavoro, imposta dalla legge (come per i libri paga e matricola), o prevista dall’organizzazione aziendale (tramite circolari interne), dà luogo alla formazione di documenti che formano oggetto di diritto di accesso”. Inoltre, dalla lettura del disposto normativo in tema di diritto di accesso non si evince alcuna specifica limitazione in ordine alle concrete finalità per le quali il diritto di accesso possa essere esercitato. Il diritto di accesso, quindi, ben può essere utilizzato dal dipendente per proprie finalità difensive.

Consulenti del lavoro: il Garante Privacy chiarisce “sono responsabili del trattamento”

Avv. Vincenzo Colarocco

Con l’entrata in vigore del Regolamento europeo n. 679/2016, anche noto come GDPR, i titolari del trattamento hanno iniziato ad interrogarsi sul ruolo da attribuire ai soggetti terzi che avrebbero dovuto compiere operazioni del trattamento per loro conto e, dunque, per le loro finalità, come per esempio i fornitori di servizi o i consulenti esterni. Tra questi, una figura molto dibattuta è stata quella del consulente del lavoro che nell’esercizio della propria prestazione professionale inevitabilmente tratta i dati personali dei dipendenti e collaboratori del titolare del trattamento. Il consulente tratterebbe i dati per la finalità – di gestione del rapporto lavorativo – definita dal titolare ma al tempo stesso manterrebbe una sostanziale autonomia, trattandosi di figura professionale dotata di competenze sue proprie. Con lettera del 24 settembre 2018 il Consiglio nazionale dei consulenti del lavoro ha sottoposto al Garante un quesito avente ad oggetto proprio il ruolo del consulente del lavoro alla luce del GDPR. Il Garante ha risposto al quesito sottopostogli in data 22 gennaio 2019 chiarendo come occorra distinguere il segmento di attività del consulente, se questi tratti i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista. Nel primo caso, afferma il Garante, il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività e dovrà, quindi, ricoprire il ruolo di titolare del trattamento. Nel secondo caso, invece, occorre fare riferimento alla figura del responsabile, dal momento che il consulente tratterà i dati per finalità definite da altro soggetto, appunto, il titolare. Qualora, poi, il consulente si avvalga normalmente di collaboratori di propria fiducia, questi potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento e dell’art. 2 quaterdecies del Codice della Privacy. Il Garante ha escluso a priori, invece, la sussistenza di un rapporto di contitolarità tra il datore di lavoro ed il consulente in questione. Ritenuto responsabile del trattamento, il consulente dovrà essere nominato con apposito atto o contratto ai sensi dell’art. 28 del GDPR ed al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.