Articoli

Tratti i dati personali senza consenso? Per la Cassazione è illecito permanente

Con l’ordinanza 18288/20 la seconda sezione civile della Corte di Cassazione pone un principio destinato a incidere nell’attività di molti titolari di banche dati, non solo per le Big-Tech ma anche per i data-broker, gli intermediari che forniscono dati e profili alle aziende e per i fornitori di servizi tecnologici.
 
La fattispecie

Il casus belli esaminato dai giudici ermellini riguardava l’ingiunzione di 340 mila euro comminata nel 2013 al Garante per la protezione dei dati personali a Postel per aver violato gli obblighi di idonea informativa e di raccolta del consenso, unitamente agli articoli 162.2-bis, 164 e 164-bis del decreto legislativo 196/2003. Tra i motivi di gravame – oltre a profili di incostituzionalità – anche l’intervenuta prescrizione dell’azione amministrativa. Rilievi a cui però la Suprema Corte ha opposto la natura permanente di quegli illeciti, ancorché rimasti “dormienti” per un lungo periodo.

Il principio

Questo orientamento fa desumere un importante principio: il termine di prescrizione non decorre sino a quando sussiste l’illecito. La vittima avrà quindi la possibilità di agire contro il responsabile in qualsiasi momento – anche dopo molti anni – se medio tempore la condotta illecita non è terminata. Il dies a quo del termine prescrizionale decorrerà dal primo giorno di avvenuta cessazione dell’illecito.

Conclusioni

La Corte ha ritenuto che il trattamento di dati personali senza adeguata informativa e senza la raccolta del consenso dell’interessato siano illeciti permanenti e dunque soggetti alla sanzione ratione temporis prevista all’atto dell’accertamento da parte delle autorità di controllo.

La soluzione interpretativa, resa nell’ottica di una tutela rafforzata dei diritti dell’interessato, suscita molte perplessità circa l’impatto sulla prescrizione dell’illecito amministrativo e sulla ragionevole durata dei procedimenti.

Avv. Vincenzo Colarocco e Dott. Niccolò Olivetti

Rapporto “Agente” – “Procacciatori”: titolari o responsabili? Il Garante sanziona un’agenzia operante per conto di Wind Tre s.p.a.

Con provvedimento del luglio scorso, il Garante Privacy ha comminato una sanzione pari all’1% della sanzione massima edittale nei confronti della società Merlini s.r.l. – agenzia che svolge attività di commercializzazione dei prodotti di Wind Tre s.p.a. – constatando una pluralità di violazioni nel trattamento dei dati personali, derivanti, in particolar modo, da una serie di irregolarità nel rapporto tra agente e relativi procacciatori.

I fatti

L’indagine del Garante per la protezione dei dati personali (“Garante”) si è inizialmente focalizzata su un call center che, tramite il contatto di potenziale clientela, offriva i servizi telefonici della società Wind Tre s.p.a. (“Wind Tre”). A seguito delle espletate verifiche, emergeva come tali attività facessero capo alla società “Alessandro Corbelli Sunrise s.r.l.s.” e, con specifico riferimento alle correlate operazioni di trattamento sui dati personali, si appurava:

  1. l’impossibilità di dimostrare l’origine dei dati degli utenti contattati;
  2. l’inottemperanza alle procedure implementate da Wind Tre per le attività di telemarketing e teleselling;
  3. l’assenza di fornitura di un’adeguata informativa ai sensi dell’art. 14 GDPR nel contesto della telefonata.

Tali manifeste irregolarità inducevano ad un ulteriore approfondimento dal quale emergeva “un significativo legame operativo” tra la predetta società di call center e la “Merlini s.r.l.” (in seguito, “Merlini”). In particolare quest’ultima, a fronte di un regolare contratto di agenzia (comprensivo sia della designazione a responsabile del trattamento che delle relative istruzioni), svolgeva attività di commercializzazione dei prodotti di Wind Tre, a tal fine avvalendosi di alcuni procacciatori dislocati sul territorio nazionale, tra cui figurava la summenzionata Alessandro Corbelli Sunrise s.r.l.s.

I principi desumibili dal provvedimento

Messe in luce le dinamiche alle base dei rapporti tra i soggetti coinvolti nel provvedimento in esame, il Garante ha avuto modo di verificare – e, per l’effetto, tacciare di illiceità – come risultasse mancante una qualunque forma scritta d’accordo – ivi includendosi anche una designazione in ambito privacy – tra Merlini e i cd. “procacciatori”.

Da tale sostanziale premessa ne discendeva una violazione dell’art. 28 GDPR (per aver fatto ricorso ai procacciatori in relazione ad attività di trattamento di dati personali di titolarità di Wind Tre senza che quest’ultima ne fosse informata e, ancora, per non aver posto in capo ai procacciatori i medesimi obblighi in materia di protezione dei dati personali che Merlini aveva nei confronti di Wind Tre) e dell’art. 29 GDPR (per aver consentito che i predetti trattamenti fossero svolti da soggetti che non hanno ricevuto dal titolare del trattamento le necessarie istruzioni).

Sul punto il Garante non ha accolto la difesa di Merlini, a mente della quale il procacciatore sarebbe da ritenersi quale autonomo titolare, operando sul mercato come libero professionista in ricerca di potenziali clienti. Il Garante, infatti, riteneva che tale argomentazione dovesse soccombere dinanzi alla sussistenza di elementi oggettivamente contrastanti quali la spendita del nome del titolare da parte del call center, nonché l’accesso da parte di quest’ultimo a dati di titolarità di Wind Tre mediante utilizzo di credenziali che dovevano rimanere nell’esclusiva disponibilità di Merlini.

A tanto si aggiunga che, in base a quanto stabilito dall’art. 1, comma 11, della Legge n. 5/2018, Merlini fosse da ritenersi responsabile anche delle condotte poste in essere dalla società Alessandro Corbelli Sunrise s.r.l.s. in violazione delle disposizioni della predetta legge.

Alla luce di quanto sopra, il Garante Privacy ingiungeva a Merlini di porre rimedio alla descritta situazione di illiceità nei riguardi dei procacciatori e, tra le alte misure imposte, prevedeva altresì il pagamento della somma di euro 200.000,00 a titolo di sanzione amministrativa per le irregolarità complessivamente riscontrate, pari all’1% della sanzione massima edittale.

Avv.ti Vincenzo Colarocco e Pietro Maria Mascolo

E-health: ok del Garante per le informazioni successive al triage

Avv. Vincenzo Colarocco

È stata archiviata l’istruttoria avviata dall’Ufficio del Garante per la protezione dei dati personali nei confronti di una ASL, che potrà quindi riprendere ad erogare il servizio on line, introdotto lo scorso anno, per fornire informazioni ai familiari dei pazienti che accedono al pronto soccorso dell’ospedale.

Nello specifico, il servizio consente al paziente, una volta completate le attività di triage, di autorizzare un familiare a ricevere un link sullo smartphone o sul tablet attraverso il quale poter visualizzare le procedure di cura, i tempi di attesa, le dimissioni o il trasferimento nei reparti di degenza, ma non le informazioni diagnostiche, né i dati anagrafici del paziente stesso.

Ciò che sembra aver convinto il Garante è la nuova valutazione d’impatto e i nuovi modelli di informativa e di consenso predisposti dalla ASL a seguito delle criticità in precedenza emerse in fase ispettiva. In particolare, è risultato dirimente l’aver eseguito una più approfondita analisi dei rischi, tesa a considerare le criticità per gli interessati in relazione alle peculiarità del servizio  de quo ed a giustificare le conseguenti azioni assunte dal titolare, migliorando, altresì, nel rispetto dei principi di necessità e proporzionalità (risultati carenti nell’ambito della prima ispezione).

Anche alla luce del presente momento storico, caratterizzato – come noto – dalla forte sollecitazione delle strutture ospedaliere e dall’impossibilità per i familiari di assistere personalmente i propri cari colpiti dal Coronavirus, non è da escludere che il descritto servizio possa essere adottato anche dalle altre Aziende sanitarie locali, puntando sempre di più verso il modello dell’e-health.

Covid-19: troppi dettagli sui malati, le considerazioni del Garante Privacy

Avv. Vincenzo Colarocco

A seguito di segnalazioni e reclami con i quali è stata lamentata, da parte dei famigliari, la diffusione sui social e sugli organi di stampa, anche on line, di dati personali riguardanti persone risultate positive al Covid 19, il Garante per la protezione dei dati personali ha affermato che in una situazione di emergenza quale quella attuale, in cui l’informazione mostra tutte le sue caratteristiche di servizio indispensabile per la collettività, non possono essere disattese alcune garanzie a tutela della riservatezza e della dignità delle persone colpite dalla malattia contenute nella normativa vigente e nelle Regole deontologiche relative all’attività giornalistica.

Ha pertanto richiamato l’attenzione di tutti gli operatori dell’informazione al rispetto del requisito dell’”essenzialità” delle notizie che vengono fornite, astenendosi dal riportare i dati personali dei malati che non rivestono ruoli pubblici, per questi ultimi nella misura in cui la conoscenza della positività assuma rilievo in ragione del ruolo svolto.

Tali cautele devono operare a prescindere dalla circostanza che i dati siano resi disponibili da enti o altri soggetti detentori dei dati medesimi e salvaguardano le tante persone risultate positive al virus, e poi guarite, da una “stigmatizzazione” permanente, resa possibile dalla diffusione delle notizie sulla rete.

L’obbligo di rispettare la dignità e la riservatezza dei malati vige anche per gli utenti dei social, a cominciare da alcuni amministratori locali, che spesso diffondono dati personali di persone decedute o contagiate senza valutarne interamente le conseguenze per gli interessati e per i loro famigliari.