Articoli

La Corte di Cassazione interviene sulla data minimization

Avv. Vincenzo Colarocco

La Deutsche Bank è stata condannata per inadempimento contrattuale dalla Suprema Corte con sentenza n. 26778 pubblicata il 21.10.2019.

La giurisprudenza di legittimità ha precisato che le disposizioni e i principi in tema di dati sensibili (art. 4, comma 1, lett. d) del Codice della Privacy hanno carattere di norma imperativa (ex art. 1418 c.c.). e che tra i principi della data protection è da considerarsi sicuramente quello di minimizzazione nell’uso dei dati personali (“devono essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati”).

Il ricorso in Cassazione è stato proposto avverso una sentenza della Corte di Appello di Genova che aveva confermato la sentenza di primo grado con cui il Tribunale di Chiavari rigettava tutte le domande proposte volte a far accertare in capo all’istituto bancario la sua responsabilità contrattuale nonché la violazione delle norme vigenti in materia di privacy.

Il giudizio trae origine dalla circostanza che una filiale ligure della Deutsche Bank s.p.a. presentava al potenziale cliente il contratto da sottoscrivere per l’instaurazione del rapporto, nel quale l’istituto di credito chiedeva l’autorizzazione al trattamento dei dati sensibili – ora dati particolari ex art. 9 del GDPR – del cliente, pena il rifiuto di dar seguito al contratto.

Al cliente che, quindi, sottoscriveva il contratto senza autorizzare il trattamento dei dati sensibili veniva bloccata l’operatività sia del conto corrente bancario che del deposito titoli nella titolarità del cliente, il tutto giustificato dalla Banca dalla necessità del rilascio del consenso ai fini di una imprecisata completa e migliore gestione dei rapporti con i clienti e/o per eventuali fini cautelativi (potendo tali dati venire pro futuro a conoscenza della stessa Banca).

La Suprema Corte di Cassazione, sottolineando che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta decisamente con i principi informatori della legge sulla privacy, accoglie i motivi del ricorso disponendo che “la Banca avendo sottoposto l’informativa all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece […] consentire al cliente di aprire il conto e di operare […] per poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente” e rinvia alla Corte d’Appello di Genova.

Quanto valgono le violazioni del GDPR?

Avv. Vincenzo Colarocco

Le autorità di controllo europee stanno tenendo un approccio ragionevole e ponderato in merito alle sanzioni per il mancato rispetto del GDPR, e ciò, in modo conforme ai principi di effettività e proporzionalità. A titolo esemplificativo:

 

Autorità Fine () Quoted Art. Summary
Garante privacy francese (CNIL) Euro 50.000.000 nei confronti di  Google Inc. Art. 13 GDPR, Art. 14 GDPR, Art. 6 GDPR, Art. 4 nr. 11 GDPR, Art. 5 GDPR Violazione dei principi di trasparenza (Art. 5 GDPR), di informazione (Art. 13 / 14 GDPR) e delle basi giuridiche (Art. 6 GDPR).  (Art. 4 n. 11 GDPR).
Garante privacy italiano Euro 50.000 nei confronti del Movimento 5 Stelle Art. 32 GDPR Misure di sicurezza tecniche ed organizzative insufficienti
Garante privacy britannico (ICO) Euro 204.600.000 nei confronti di British Airways Art. 32 GDPR Misure di sicurezza tecniche ed organizzative insufficienti

 

Per una visione d’insieme e costantemente aggiornata sulle sanzioni erogate in Europa, basta cliccare qui.

Titolare o responsabile? Questo è il dilemma

Avv. Vincenzo Colarocco

Il 7 novembre scorso i Garanti Europei hanno pubblicato le Linee Guida sul concetto di titolare e responsabile in relazione al trattamento dei dati personali da parte delle istituzioni. Ciò conferma come la tematica sia sempre più dibattuta tanto che anche il Garante della protezione dei dati personali con parere pubblicato il 21 ottobre 2019 è intervenuto sul tema.

In particolare l’Autorità ha preliminarmente chiarito che “la vigente disciplina in materia di protezione dei dati personali (Regolamento (UE) 2016/679, d. lgs. n. 196/2003 come novellato dal d.lgs. n. 101/2018), si pone in linea di continuità con il quadro normativo previgente rispetto all’individuazione dei ruoli di “titolare” e di “responsabile” e alla distribuzione delle relative responsabilità”, ricordando che sul punto il GDPR non ha apportato novità rilevanti rispetto alla pregressa disciplina, richiamando anche l’applicabilità dell’Opinion 1/10 del WP29.

Ed infatti ai fini della qualificazione di un soggetto quale titolare o responsabile del trattamento, è necessario valutare, caso per caso, la specificità dell’attività posta in essere, avendo cura di considerare sia la determinazione delle finalità sia la normativa codicistica ove applicabile.

Nel caso sottoposto al Garante lo stesso ha chiarito, senza esitazioni, che “l’esercizio dell’attività assicurativa non può in alcun modo, neanche astrattamente, formare oggetto di “delega” da parte del soggetto che affida tramite gara tale servizio, in quanto la stessa può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore; l’attività assicurativa infatti è disciplinata da una specifica normativa primaria e secondaria (artt. 1882 ss. c.c.; d.lgs. n. 209/2005 – “Codice delle assicurazioni”; Regolamento IVASS n. 40/2018) che ne riserva l’esercizio alle imprese assicurative (art. 11, co. 1 cod. ass.), le quali operano sotto la vigilanza di un’Autorità di controllo

L’ente aggiudicante e la compagnia assicuratrice perseguono, infatti, interessi separati e distinti, che impediscono all’assicurazione di porre in essere un trattamento di dati “per conto” dell’ente aggiudicante. Tale autonomia è particolarmente evidente nella fase di gestione dei sinistri, laddove la compagnia debba decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio.

Dunque, la compagnia assicurativa non può che rivestire il ruolo di autonomo titolare del trattamento, così come peraltro già evidenziato dal provvedimento del 26 aprile 2007 – c.d. catena assicurativa.

Privacy e Sanità. Arriva imperante lo stop del Garante all’uso illecito dei dati degli accertamenti medici

Avv. Vincenzo Colarocco

Il Garante privacy, in linea con il proprio costante orientamento in materia, è intervenuto il mese scorso con una nota conclusiva di un’istruttoria nell’ambito della quale ha ritenuto illecito il trattamento effettuato da un’azienda sanitaria e dalla società alla quale la stessa aveva messo a disposizione copie di immagini di esame diagnostici di alcuni pazienti.

L’acquisizione della copia di immagini Tac –contenenti informazioni sullo stato di salute- da parte della società era finalizzata alla partecipazione ad una gara d’appalto in seguito depositata nell’ambito di un contenzioso giudiziario. Operazioni, queste, non riconducibili a quelle per le quali era stata nominata “responsabile”, solitamente ricondotte all’ attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac.

Orbene, rilevati i trattamenti illeciti, il Garante privacy ha osservato come le operazioni eseguite perseguivano, infatti, finalità proprie della società (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile (quali ad esempio, le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac) e quindi di per sé non idonee a giustificare la nomina della stessa a responsabile del trattamento ai sensi dell’art. 28 del GDPR.

Cookie: è necessario il consenso attivo degli utenti di Internet

Avv. Vincenzo Colarocco

Di recente la sentenza C-673/17 della Corte di Giustizia UE ha definito ulteriormente i requisiti del consenso, nello specifico per quel che riguarda l’installazione di cookie, sia a norma del GDPR che della Direttiva 95/46/CE.

Nel caso di specie, la Corte ha ritenuto inammissibile la pratica di richiedere il consenso degli utenti all’uso dei cookie tramite caselle di spunta preselezionate in quanto contraria al GDPR ed ha al contempo aggiunto che l’utente debba essere sempre informato sulla durata di conservazione dei cookie poiché il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie vanno annoverati tra le informazioni che il fornitore di servizi deve comunicare all’utente.

Il caso specifico riguarda la società Planet49, attiva nel settore dei giochi online che, secondo l’accusa dei consumatori tedeschi, aggirava il sistema di raccolta del consenso attivo previsto dalla normativa: la società aveva predisposto una casella di spunta preselezionata per l’installazione di cookie. Il Bundesgerichtshof (Corte federale di giustizia tedesca) ha sollevato una questione interpretativa dinnanzi alla Corte di giustizia sul diritto dell’Unione in materia di tutela della vita privata nel settore delle comunicazioni elettroniche, perché specificasse quali informazioni debbano essere fornite all’utente riguardo l’uso dei cookie. Sul punto la Corte ha stabilito che “Il requisito della manifestazione della volontà della persona interessata evoca un comportamento attivo e uno passivo, il consenso espresso tramite una casella di spunta preselezionata non implica un comportamento attivo da parte dell’utente di un sito internet, solo un comportamento attivo da parte di detta persona al fine di manifestare il proprio consenso è idoneo a soddisfare tale requisito” ed ha aggiunto che il silenzio, l’inattività o la preselezione di caselle non configurano una manifestazione del consenso.

Risarcimento danni per violazione del GDPR

Avv. Vincenzo Colarocco

Il trattamento dei dati personali è civilisticamente qualificabile quale attività pericolosa con il conseguente obbligo in capo a colui che tale attività effettui di risarcire all’interessato tanto i danni patrimoniali, quanto i danni non patrimoniali cagionati in conseguenza del trattamento. Il quadro delineato dall’esame dell’art. 82 del Regolamento evidenzia l’importanza di disciplinare le responsabilità del titolare e del responsabile del trattamento. Trattasi di una responsabilità propria che può essere imputata solo a coloro che assumono una determinata qualifica soggettiva. Il titolare del trattamento diventa responsabile per il solo fatto di “partecipare al trattamento” mentre il responsabile è vincolato solo dalla violazione dei suoi obblighi specifici se agisce al di fuori o in contrasto con le legittime istruzioni del titolare del trattamento.

Il regime di responsabilità civile elaborato dal Regolamento europeo prevede per il titolare e il responsabile del trattamento il diritto al risarcimento del danno a favore dell’interessato che abbia subito un qualsiasi danno materiale o immateriale causato da una violazione del Regolamento: questi possono derivare da trattamenti aventi ad oggetto “discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo […]; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche […]; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti personali, in particolare mediante la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento […]; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.

Fra i danni risarcibili rientrano tutti quelli subiti, quindi economici ma anche immateriali, derivanti dalle conseguenze dannose che si siano realizzate per un effetto di un illecito trattamento dei dati: infatti, la natura non patrimoniale del danno non esclude a priori che possano generarsi danni aventi carattere della patrimonialità. Orbene, se l’interessato vorrà ottenere il risarcimento del danno subito dovrà provare: i) l’esistenza del danno; ii) l’esistenza di una condotta che viola il GDPR; ed iii) il nesso causale.

Secondo quanto stabilito, infatti, dall’art. 82 GDPR, l’interessato, per conseguire un pieno ed effettivo ristoro del danno subito, qualora si ritenga leso nei propri diritti da un trattamento illecito, potrà rivolgersi indifferentemente tanto al titolare, quanto al responsabile del trattamento. E potrà farlo, in entrambi i casi, per l’intero ammontare del danno.

Trasparenza: linee guida EDPB in materia di videosorveglianza

Avv. Vincenzo Colarocco

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato il 10 giugno 2019 le linee-guida n. 3/2019 sul trattamento dei dati in materia di videosorveglianza che chiariscono in quali termini il regolamento generale sulla protezione dei dati si applichi al trattamento dei dati personali quando si utilizzano dispositivi video, e mirano a garantire l’applicazione coerente del GDPR in materia.
Brevemente, con riferimento all’informativa da rendere agli interessati viene confermata la struttura a due livelli: informativa sintetica (il cartello) e informativa completa (consultabile ad esempio sul sito internet). Quanto al cartello questo deve essere posizionato nei pressi della telecamera e deve contenere tutte le informazioni essenziali richieste dal GDPR. Di seguito l’esempio della nuova versione del cartello informativo fornito dalle stesse linee guida.

Pubblicato il modello del Garante privacy per la notifica del data breach

Avv. Vincenzo Colarocco

Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’art. 33 del Regolamento impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. La notifica ha la funzione di allertare l’autorità e consentire la predisposizione di misure di tutela immediate ai soggetti coinvolti.

Qui il modello predisposto dal Garante privacy per la notifica del data breach.

Nuove sanzioni per Unicredit, stavolta dall’Autorità di controllo della Romania

Avv. Vincenzo Colarocco

L’Autorità di controllo della Romania ha sanzionato Unicredit Bank con una multa pari a circa 130.000 euro, a seguito dell’accertata violazione da parte dell’istituto bancario di alcune disposizioni del GDPR.

Secondo le attività ispettive condotte da questo Garante, Unicredit non avrebbe applicato in modo efficace le misure tecniche e organizzative idonee a garantire la protezione dei dati personali e dunque la tutela dei diritti degli interessati, nella misura in cui, a fronte di una verifica effettuata a novembre 2018, non sarebbe stato rispettato il principio di minimizzazione dei dati che prescrive il loro trattamento limitatamente agli scopi per cui sono stati inizialmente trattati, in questo modo esponendo i dati dei clienti a facile divulgazione.

Di conseguenza, l’attività attuata da Unicredit si è posta in violazione dell’articolo 25, dell’articolo 5 e del considerando 78 del Regolamento.

Ma non è tutto. A tale sanzione ne è seguita una seconda: a quanto pare, i dati personali dei clienti che si trovavano in formato analogico presso la società sono stati oggetto di violazione ad opera di terzi, in particolare sono stati fotografati da persone non autorizzate ad averne accesso e successivamente diffusi sulla rete, con ogni conseguente danno per gli interessati coinvolti.

La circostanza dell’accesso non autorizzato è stata rilevata dall’Autorità rumena a seguito dell’istruttoria apertasi post notifica di data breach dell’ente bancario.

A fronte di una violazione accertata in ordine a 46 interessati, la sanzione comminata è stata pari a 15.000 euro.

Unicredit è già da tempo sotto la lente d’ingrandimento delle autorità di controllo: già a gennaio scorso, si è verificato un data breach che ha portato alla perdita di dati di 731mila correntisti. In quell’occasione, tuttavia, il Garante italiano, chiamato a pronunciarsi a seguito dell’intervenuta notifica, si è astenuto dall’irrogazione di sanzioni, limitandosi ad intimare ad Unicredit di provvedere contestualmente con la notifica della violazione anche agli interessati.

Multa dell’ICO da 204 milioni di euro a British Airways: copiate oltre 200.000 carte di credito

Avv. Vincenzo Colarocco

Nel settembre 2018, la British Airways notificava all’Information Commisioner’s Office (ICO), autorità di controllo britannica, l’intervenuto data breach rilevato con riferimento al proprio sito internet, ottemperando alla disciplina prevista dagli articoli 33 e seguenti del GDPR.

A seguito dell’istruttoria svolta da parte dell’Autorità garante è emerso che il sito web della compagnia ha subìto un attacco proveniente dall’esterno in grado di coinvolgere circa 500.000 clienti: in particolare, l’attacco ha consentito ai “pirati” informatici di dirottare gli utenti su un altro sito fraudolento, mediante il quale questi avrebbero raccolto – ovviamente in maniera non autorizzata – i loro dati personali.

L’ICO ha dichiarato che, dalle evidenze emerse, l’attacco sarebbe iniziato nel mese di giugno 2018, dunque ben tre mesi prima della sua scoperta e denuncia, e che avrebbe cagionato la violazione di circa 244.000 dati relativi alle carte di credito dei consumatori, con ogni conseguenza economica per gli stessi.

Il procedimento istruttorio si è concluso con l’intenzione di emanare un provvedimento sanzionatorio nei confronti della British Airways, con una multa di 183 milioni di sterline, pari a circa 204 milioni di euro. L’autorità ha, infatti, ritenuto che l’incidente informatico sia da ritenersi conseguente alla mancata adozione di idonee misure di sicurezza, tecniche ed organizzative, da parte della compagnia in qualità di titolare del trattamento dei dati degli utenti visitatori del proprio portale.

British Airways ha collaborato con l’indagine ICO e ha apportato miglioramenti alle sue disposizioni in materia di sicurezza fin da quando questi eventi sono venuti alla luce. L’azienda avrà ora l’opportunità di presentare osservazioni in merito a tali risultanze ed alla sanzione.

Il procedimento è stato condotto da parte dell’ICO in qualità di autorità di controllo capofila, ai sensi e per gli effetti della disciplina di cui agli articoli 56 e seguenti del GDPR: in base alle disposizioni sullo “sportello unico” del GDPR, le autorità di protezione dei dati nell’UE i cui residenti siano stati colpiti dall’evento avranno la possibilità di commentare le conclusioni dell’ICO.