Articoli

Un data breach da 1,2 miliardi di dati personali

Avv. Vincenzo Colarocco

Un archivio contenente 1,2 miliardi di informazioni personali (si tratterebbe di un volume di 4 terabytes) è stato rinvenuto presso un server non protetto. Nello specifico, le informazioni comprenderebbero anche account di social media, indirizzi e-mail e numeri di telefono. Pur non potendo allo stato individuare le dinamiche di tale trasferimento non autorizzato di dati, ciò che in prima battuta emerge – secondo quanto dichiarato da Vinny Troia, Ceo di Night Lion Security – è che la maggior parte di tali dati sarebbero stati raccolti su un server Google Cloud da una società chiamata People Data Labs. L’amministratore delegato della predetta società ha ammesso che alcuni dati sarebbero di titolarità della sua azienda, ma non tutti, puntualizzando di aver adottato adeguate misure di sicurezza tecniche ed organizzative per la tutela dei dati, nonché di essersi dotati di esperti informatici con l’apposito compito di trovare dataset vulnerabili per bloccare i dati prima che vengano scoperti da malintenzionati. La peculiarità del breach, rilevata dallo stesso Vinny Troia, sta proprio nel fatto che i dati coinvolti siano, oltre ad e-mail, nomi e numeri di telefono, i relativi profili di Facebook, Twitter, LinkedIn e Github degli interessati: informazioni di particolare appetibilità per hacker ed altri criminali dediti al commercio illecito di dati. La vicenda pone nuovamente al centro dell’attenzione e del confronto il tema del livello di sicurezza da prescrivere ai soggetti fornitori in occasione dell’apposita nomina a responsabile esterno, anche nel caso in cui tali soggetti si rappresentino come aziende multinazionali dal prevalente potere contrattuale. Come noto, tali soggetti difficilmente consentono ai loro clienti, titolari del trattamento, di negoziare sulle misure di sicurezza, in questo modo risultando questi ultimi praticamente obbligati all’accettazione delle procedure così come da essi predisposte, con totale affidamento, specie tenuto conto della difficoltà per gli stessi di rinvenire valide alternative sul mercato. Questa vicenda ha fornito l’ulteriore dimostrazione che anche i sistemi dei giganti della rete possono essere suscettibili di violazione. Un tema di non poco momento, quello della posizione dominante di alcuni provider, in relazione al quale sarebbe auspicabile ottenere la posizione del Garante per la protezione dei dati personali.

Dove si applica il GDPR? Pubblicate le linee guida sull’ambito di applicazione territoriale

Avv. Vincenzo Colarocco

L’European Data Protection Board (EDPB), a seguito della quindicesima sessione plenaria tenutasi lo scorso 12 e 13 novembre, ha adottato la versione definitiva delle Linee Guida sull’ambito territoriale del Regolamento europeo n. 679/2016, meglio noto come “GDPR”, volte a delineare il corretto modus operandi in specifici casi affetti da criticità. Il testo fornisce un’importante interpretazione dell’art. 3 del GDPR, di certo ausilio per tutte le aziende che operano al di fuori del territorio dell’Unione Europea. La norma introduce due criteri alternativi per l’individuazione dell’ambito di applicazione territoriale, rispettivamente l’Establishment Criterion (criterio dello stabilimento sul territorio) e il Targeting Criterion (criterio della collocazione fisica e geografica degli interessati). A tali criteri deve essere aggiunto quello del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico. Nello specifico, con riferimento al primo criterio, il paragrafo 1 dell’art. 3 GDPR stabilisce che il regolamento si applica “al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”. L’EDPB profila un triplice approccio per determinare se il trattamento dei dati personali rientri o meno nell’ambito di applicazione del GDPR ai sensi dell’articolo 3, paragrafo 1: a) la definizione di “stabilimento” deve essere intesa in senso ampio, soprattutto nei casi che riguardano la fornitura di servizi online. Di conseguenza, in alcune circostanze, la presenza nell’Unione Europea di un solo dipendente o agente di un ente situato extra UE, che agisca con un grado sufficiente di autorità ed autonomia, nonché di stabilità, può essere sufficiente ad integrare uno stabilimento. Al contrario, la semplice presenza di un dipendente nell’UE, quando il trattamento non viene effettuato nel contesto delle attività del dipendente, non comporterà che il trattamento rientri nel campo di applicazione del GDPR. Per esempio: una casa automobilistica americana apre una filiale a Bruxelles: in questo caso, le relative attività ricadono nell’ambito del GDPR, essendoci una stabile organizzazione (la filiale) nell’UE; b) il titolare del trattamento o il responsabile del trattamento saranno soggetti agli obblighi del GDPR ogniqualvolta il trattamento sarà realizzato “in the context of the activities”, cioè quando il trattamento interesserà in termini strumentali la loro attività. Si potrebbe fare l’esempio di un sito di e-commerce gestito da un’azienda con sede in Cina: se da un lato le attività di trattamento vengono svolte esclusivamente in Cina, dall’altro l’azienda dispone di un ufficio europeo con sede a Berlino che conduce campagne di marketing dirette verso i mercati europei. L’EDPB afferma che, in questo caso, le attività dell’ufficio di Berlino sono “inestricabilmente collegate” all’elaborazione di dati personali del sito web di e-commerce cinese nella misura in cui la campagna di marketing verso l’UE renda redditizio il servizio offerto dal sito web. Il trattamento dei dati personali da parte del sito web cinese può quindi essere considerato come svolto nel contesto delle attività dell’ufficio di Berlino, e pertanto soggetto al GDPR; c) il GDPR specifica che il regolamento si applica al trattamento nell’ambito delle attività di uno stabilimento situato nell’UE “indipendentemente dal fatto che il trattamento avvenga o meno nell’Unione“. L’EPDB precisa, dunque, che l’applicazione della normativa prescinde dall’ubicazione o dalla nazionalità dell’interessato i cui i dati personali sono in corso di trattamento; d) la presenza del responsabile del trattamento nel territorio dell’UE non si traduce necessariamente nello stabilimento ai fini dell’individuazione dell’ambito di applicazione del GDPR. Se, invece, il titolare del trattamento soggetto al GDPR sceglie di avvalersi di un responsabile del trattamento situato al di fuori dell’Unione per una determinata attività di trattamento, sarà comunque necessario che il titolare del trattamento garantisca che il responsabile del trattamento tratti i dati conformemente al GDPR. Ad esempio: un istituto di ricerca finlandese conduce ricerche sul popolo Sami. L’istituto lancia un progetto che riguarda solo i Sami in Russia. Per questo progetto l’istituto si avvale di un responsabile del trattamento con sede in Canada. Sebbene il GDPR non si applichi direttamente al responsabile del trattamento canadese, il titolare del trattamento finlandese è tenuto a dare attuazione al GDPR in quanto stabilito nel territorio dell’Unione Europea, con la conseguenza che gli obblighi saranno impartiti anche al soggetto responsabile. Con riferimento al secondo criterio, invece, esso si focalizza sulla collocazione fisica e geografica degli interessati. A prescindere dallo stabilimento del titolare, dunque, la sola circostanza del trattamento di dati di cittadini dell’Unione Europea integra l’applicabilità della normativa. In particolare tale criterio si applica al settore radiotelevisivo, in base al quale sono soggetti al GDPR i trattamenti di dati effettuati nell’ambito di servizi diretti a interessati nell’Unione ovvero del monitoraggio di tali tipologie di servizi, anche se il titolare o il responsabile non sono stabiliti nell’Unione. Un altro esempio di applicazione del secondo criterio è reso dai servizi degli OTT ovvero “imprese prive di una propria infrastruttura e che in tal senso agiscono al di sopra delle reti, da cui Over-The-Top”, non aventi stabilimento in Europa ma che offrono, anche a pagamento, servizi diretti a soggetti siti nell’Unione (quali Google o Facebook). Ciò detto sui primi due criteri, l’EDPB precisa che il GDPR si applichi al trattamento dei dati personali effettuato dalle ambasciate e dai consolati degli Stati membri situati al di fuori dell’UE, in quanto tale trattamento rientra nell’ambito di competenza della Commissione. Caso diverso quello in cui, in virtù delle disposizioni di diritto internazionale, taluni enti, organismi o organizzazioni stabiliti nell’Unione beneficiano di privilegi e immunità quali quelli previsti dalla Convenzione di Vienna sulle relazioni diplomatiche. Analizzati i criteri, è opportuno menzionare il tema della nomina del rappresentante stabilito. La nomina da parte di titolari e responsabili del trattamento di un proprio rappresentante stabilito in uno degli Stati membri dell’Unione Europea è uno degli obblighi da rispettare per conformarsi al GDPR. Il rappresentante può essere una persona fisica o giuridica stabilita nell’Unione in grado di rappresentare titolare o responsabile del trattamento dei dati stabilito al di fuori dell’Unione in relazione ai rispettivi obblighi previsti dal GDPR. L’EDPB specifica che la funzione del rappresentante non è assolutamente compatibile con quella del DPO: quest’ultimo – per definizione –  gode di autonomia decisionale ed estraneità rispetto alla determinazione delle finalità e delle modalità del trattamento. Un esempio di nomina obbligatoria è il seguente: un e-commerce gestito da un’azienda con sede in Turchia offre servizi per la creazione, l’edizione, la stampa e la spedizione di album di foto di famiglia personalizzati. Il sito Web è disponibile in inglese, francese, olandese e tedesco e i pagamenti possono essere effettuati in euro o sterline. Il sito web indica che gli album fotografici possono essere consegnati solo per posta nel Regno Unito, in Francia e in Germania. Tale sito Web ai sensi dell’articolo 3, paragrafo 2, lettera a) è soggetto al GDPR: il titolare dovrà nominare un rappresentante stabilito in uno degli Stati membri in cui è disponibile il servizio offerto, quindi Regno Unito, Francia, Belgio, Paesi Bassi, Lussemburgo o Germania. Il nome ed altre informazioni del responsabile del trattamento dei dati devono far parte delle informazioni rese disponibili online agli interessati una volta che hanno iniziato ad usufruire del servizio creando il loro album fotografico. Al contempo l’art. 27, paragrafo 2 del GDPR prevede una deroga alla nomina obbligatoria del rappresentante nell’Unione da parte del titolare o del responsabile del trattamento quando “il trattamento è occasionale, non include, su larga scala, il trattamento di categorie speciali di dati di cui all’articolo 9, paragrafo 1, o il trattamento di dati personali relativi a condanne penali e reati di cui all’articolo 10“, ed ancora quando  il trattamento è effettuato da un’autorità o un ente pubblico. Nei casi in cui una parte significativa degli interessati si trovino in un determinato Stato membro, l’EDPB raccomanda che il rappresentante sia stabilito in quello stesso Stato membro. Per concludere le linee guida sull’ambito di applicazione territoriale del GDPR fanno riferimento ad obblighi e responsabilità del rappresentante. Il rappresentante agisce per conto del titolare del trattamento o del responsabile del trattamento e facilita la comunicazione tra gli interessati e il titolare o responsabile del trattamento. Se necessario, con l’aiuto di un proprio team, il rappresentante comunica con gli interessati e coopera con le autorità di controllo interessate.

Il delicato equilibrio del diritto all’oblio: pubblicate le nuove Linee Guida per i motori di ricerca

Avv. Vincenzo Colarocco

Concordemente con quanto previsto ai sensi dell’art. 70, par. 1, lett. e) del Regolamento UE 679/2016 (“GDPR”), il Comitato Europeo per la protezione dei dati (“EDPB” o il “Comitato”), in data 2 dicembre 2019, ha adottato delle linee guida riguardo al rapporto tra diritto all’oblio e motori di ricerca (in seguito le “Linee Guida”, rinvenibili, in lingua inglese, al seguente link: https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2019/guidelines-52019-criteria-right-be-forgotten-search_it). Obiettivo delle Linee Guida è quello di fornire una corretta interpretazione del diritto all’oblio (ex art. 17 GDPR) e del diritto di opposizione al trattamento (ex art. 21 GDPR) alla luce di quanto statuito dalla Corte di Giustizia Europea all’esito del noto caso C-131/12 (Google Spain SL e Google Inc. c. Agencia Española de Protección de Datos “AEPD” e Mario Costeja González, sentenza del 13 maggio 2014). In premessa l’EDPB evidenzia come ciascuna richiesta di cancellazione dovrà rintracciare la propria legittimazione nell’ampio novero di casistiche previste dall’art. 17 GDPR, precisando come, nella prassi, risulteranno più frequenti – nonché più pertinenti – alcune basi legali piuttosto che altre. Ad esempio il Comitato sottolinea come, nel caso in cui un interessato ritenga che una notizia a sé afferente risulti ormai obsoleta, potrà motivare la propria richiesta di oblio dai motori di ricerca in forza della previsione di cui all’art. 17, par. 1, lett. a) GDPR concernente i casi in cui i “dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati”. Al contrario, sembra improbabile che una richiesta di cancellazione venga presentata in forza di una revoca del consenso in precedenza espresso (ex art. 17, par. 1, lett. b) GDPR) poiché, qualora effettivamente sussista un consenso a legittimare il trattamento, tale consenso sarà stato fornitore all’editore web e non al motore di ricerca che indicizza i dati. Le Linee Guida, quindi, si concentrano sulle ipotesi in cui, in linea con quanto disposto ai sensi dell’art. 17, par. 3, GDPR i titolari del trattamento possono non dar seguito ad una richiesta di cancellazione. Tra le dette circostanze – complessivamente ricavabili dal summenzionato articolo – l’EDPB si focalizza sulla casistica più complessa: il bilanciamento tra il diritto all’oblio e il diritto alla libertà di espressione e di informazione rilevando come, inevitabilmente, nell’ambito della detta valutazione, rileveranno una pluralità di fattori quali: la natura dei dati in questione ed il relativo grado di “sensibilità”; il concreto interesse degli utenti di internet nell’accedere alle informazioni di cui si richiede la cancellazione; l’eventuale ruolo pubblico rivestito dall’interessato richiedente.

Il Data Brech lycamobile e la diffusione di dati sensibili online

Avv. Vincenzo Colarocco

Se è vero che i dati personali, costituiscono il nuovo petrolio è altresì vero che le violazioni di dati personali tendono a imporsi quali veri e propri attentati ai diritti e alla libertà delle persone fisiche, rivendicati dagli artefici, al fine di far conoscere le finalità della propria azione, oltre che diffondere una regime di “terrore” volto a minare i paradigmi adottati dalle aziende per rafforzare la cybersecurity, quale responsabilità condivisa che deve essere affrontata in modo sinergico, tra aziende, istituzioni e utenti. Nel solco di tali attacchi e rivendicazioni, sempre più frequenti, lo scorso 5 novembre, il gruppo di hacker LulzSec (Lulz Security) annunciava sul proprio profilo Twitter di essere entrato in possesso di una grande quantità di informazioni di natura sensibile, relative ai clienti dell’operatore telefonico low cost Lycamobile. In particolare, il data breach perpetrato ai danni dei migliaia di Clienti di Lycamobile ha avuto ad oggetto dati personali di natura particolare estratti da carte di identità, tessere sanitarie, passaporti, carte di credito, moduli di attivazione SIM, oltreché credenziali di accesso dei rivenditori. Alla violazione di sicurezza è poi seguita la diffusione online, sulla piattaforma MEGA, di un’esigua entità dei dati sensibili raccolti illecitamente, che in tal modo sono stati resi accessibili a qualsivoglia soggetto potenzialmente predisposto a porre in essere futura attività illecita proprio a mezzo di tali dati. Nei casi di data breach analoghi a quello summenzionato, a norma degli artt. 33 e 34 del Regolamento UE 2016/679, il Titolare del trattamento ha l’obbligo di notificare l’avvenuta violazione all’Autorità competente nel termine di 72 ore dalla scoperta dell’evento, scaduto il quale è necessario corredare la notifica dei motivi del ritardo. Nel caso di specie, avendo la violazione comportato un rischio elevato per i diritti delle persone è altresì richiesto dalla normativa di riferimento che il titolare del trattamento la comunichi a tutti gli interessati, utilizzando i canali più idonei, a meno che non abbia già adottato misure tali da ridurne l’impatto. Considerato che, senza le giuste competenze e risorse, però, la rilevazione di violazioni dei dati e la loro tempestiva segnalazione rappresentano una seria sfida nell’ambito della cybersecurity, si rileva, ad oggi, che tale specifica comunicazione, la quale vedrebbe come destinatari i clienti di Lycamobile, non sarebbe avvenuta, né direttamente a mezzo di Short Message Service sulle singole utenze, né indirettamente, a mezzo del sito web ufficiale dell’operatore telefonico.

Data retention: quanto mi costi?

Avv. Vincenzo Colarocco

Il 30 ottobre 2019, il commissario di Berlino per la protezione dei dati e la libertà di informazione ha erogato una sanzione di circa 14,5 milione di euro per violazione del principio di data retention.

In particolare, l’autorità ha individuato un utilizzo ultroneo e non giustificato di dati personali da parte della società immobiliare, la quale impediva la cancellazione degli stessi dai propri archivi agli inquilini, nonostante non fossero più strumentali per il perseguimento delle originarie finalità di raccolta. Tra i dati coinvolti, informazioni sulle vicende personali e finanziarie degli inquilini, come buste paga, moduli di auto-divulgazione, estratti da contratti di lavoro e di formazione, dati fiscali, dati di previdenza sociale e di assicurazione sanitaria ed estratti conto bancari. In realtà la non conformità dei sistemi di archiviazione della Deutsche Wohnen SE era già stata segnalata dall’autorità a seguito di un audit nel giugno 2017 ed anche in occasione del successivo audit del marzo 2019 era stata rilevata l’inefficienza delle procedure di conservazione e cancellazione dei dati.

La violazione contestata è quella dell’articolo 25 del GDPR, nonché dei principi generali di trattamento stabiliti nell’articolo 5 dello stesso. L’articolo 25, paragrafo 1, infatti, prevede che, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento metta in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati (“privacy by design e by default”). All’art. 5, lett. e), invece, il Regolamento prescrive che i dati vengano conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere, infatti, conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate.

Tra i fattori aggravanti, la creazione ad opera della stessa Deutsche Wohnen SE della struttura dell’archivio in questione ed il lungo periodo di conservazione non autorizzata, mentre tra quelli attenuanti l’adozione di azioni di rimedio e la collaborazione con l’autorità. Sono state, inoltre, comminate diverse multe minori tra i 6.000 e i 17.000 euro per casi specifici di archiviazione non autorizzata.

La sanzione amministrativa non è ancora definitiva dal momento che la Deutsche Wohnen SE ha annunciato che contesterà l’ammenda in tribunale.

Multa dell’ICO da 204 milioni di euro a British Airways: copiate oltre 200.000 carte di credito

Avv. Vincenzo Colarocco

Nel settembre 2018, la British Airways notificava all’Information Commisioner’s Office (ICO), autorità di controllo britannica, l’intervenuto data breach rilevato con riferimento al proprio sito internet, ottemperando alla disciplina prevista dagli articoli 33 e seguenti del GDPR.

A seguito dell’istruttoria svolta da parte dell’Autorità garante è emerso che il sito web della compagnia ha subìto un attacco proveniente dall’esterno in grado di coinvolgere circa 500.000 clienti: in particolare, l’attacco ha consentito ai “pirati” informatici di dirottare gli utenti su un altro sito fraudolento, mediante il quale questi avrebbero raccolto – ovviamente in maniera non autorizzata – i loro dati personali.

L’ICO ha dichiarato che, dalle evidenze emerse, l’attacco sarebbe iniziato nel mese di giugno 2018, dunque ben tre mesi prima della sua scoperta e denuncia, e che avrebbe cagionato la violazione di circa 244.000 dati relativi alle carte di credito dei consumatori, con ogni conseguenza economica per gli stessi.

Il procedimento istruttorio si è concluso con l’intenzione di emanare un provvedimento sanzionatorio nei confronti della British Airways, con una multa di 183 milioni di sterline, pari a circa 204 milioni di euro. L’autorità ha, infatti, ritenuto che l’incidente informatico sia da ritenersi conseguente alla mancata adozione di idonee misure di sicurezza, tecniche ed organizzative, da parte della compagnia in qualità di titolare del trattamento dei dati degli utenti visitatori del proprio portale.

British Airways ha collaborato con l’indagine ICO e ha apportato miglioramenti alle sue disposizioni in materia di sicurezza fin da quando questi eventi sono venuti alla luce. L’azienda avrà ora l’opportunità di presentare osservazioni in merito a tali risultanze ed alla sanzione.

Il procedimento è stato condotto da parte dell’ICO in qualità di autorità di controllo capofila, ai sensi e per gli effetti della disciplina di cui agli articoli 56 e seguenti del GDPR: in base alle disposizioni sullo “sportello unico” del GDPR, le autorità di protezione dei dati nell’UE i cui residenti siano stati colpiti dall’evento avranno la possibilità di commentare le conclusioni dell’ICO.

Facebook e il negoziato con la FTC per la nomina di un comitato di supervisione privacy

Avv. Vincenzo Colarocco

Nel contesto dell’indagine aperta dalla Federal Trade Commission (FTC) per il caso Cambridge Analytica sono in corso delle trattative tra Facebook e la sopra citata agenzia governativa americana per la negoziazione di un accordo che prevede una fortificazione delle privacy practices dell’azienda.

Tra gli aspetti oggetto di negoziazione sembrerebbe che Facebook per rafforzare la tutela dei dati dei propri utenti abbia accettato di creare un privacy committee da riunire trimestralmente, composto da membri del Consiglio di amministrazione di Facebook. Il negoziato in corso prevede, inoltre, la possibilità di designare un valutatore esterno -nominato congiuntamente da Facebook e dalla FTC- che rivesta il ruolo di soggetto in grado di analizzare la condotta dell’azienda relativamente agli ordini impartiti dalla FTC oltre che monitorare le politiche sulla privacy di Facebook. Si è prospettata, infine, la possibilità di nominare un responsabile della conformità, che potrebbe essere lo stesso Mark Zuckerberg.

Tutti gli impegni descritti e proposti in bozza di accordo, sono da inquadrare nell’ambito dell’istruttoria avviata dalla FTC per accendere un faro sul caso Cambridge Analytica, il quale ha profondamente segnato il rapporto tra Facebook e gli utenti facendo emergere con chiarezza la fondamentale importanza della protezione dei dati personali all’interno dei social media.

In relazione al caso –esploso nel marzo 2018- è in corso una valutazione (sulla più che plausibile) violazione di un accordo vincolante siglato nel 2011 con Facebook denominato consent decree secondo cui gli utenti devono sempre essere avvisati sull’eventuale uso dei propri dati personali che può avvenire solo con il loro consenso: si prevede quindi oltre che la previsione di una ingente sanzione, anche l’intesa su una nuova governance sulla privacy degli utenti.

“Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali”: di cosa si è discusso il 9 aprile 2019 presso la Sala Valente del Tribunale di Milano all’evento organizzato dall’Unione Giuristi per l’Impresa

Avv. Vincenzo Colarocco

Il 9 aprile 2019, presso la Sala Valente del Tribunale di Milano, si è tenuto l’evento organizzato da UGI – Unione Giuristi per l’Impresa, intitolato “Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali”. Il Presidente di UGI, nonché General Counsel e Data Protection Officer del Gruppo Mondadori, Avv. Ugo Ettore Di Stefano, ha dato avvio ai lavori proponendo l’obiettivo di delineare, insieme ai relatori chiamati al confronto, l’attuale scenario dell’adeguamento al GDPR delle imprese italiane, tenuto conto di novità, sfide ed anche preoccupazioni. L’occasione è stata promotrice del nuovo “Commentario al Regolamento UE 2016/679 e al Codice della Privacy aggiornato”, a cura degli Avvocati Andrea d’Agostino, Luca R. Barlassina e Vincenzo Colarocco, con prefazione della Dott.ssa Augusta Iannini, Vicepresidente dell’Autorità Garante per la protezione dei dati personali, edito da Amazon ed il cui ricavato sarà in parte destinato alle vittime del cyberbullismo.

All’esito dell’introduzione dell’Avv. Ugo Ettore Di Stefano, è intervenuta proprio la Dott.ssa Iannini, ponendo l’accento sull’importanza del principio di accountability introdotto dal Regolamento e su come questo abbia profondamente inciso sulla consulenza in ambito privacy: l’Autorità garante ha ribadito come l’approccio alla normativa sia divenuto proattivo, propositivo ed anche creativo. È seguito l’intervento dell’Avv. Andrea d’Agostino, Vicepresidente di UGI, Senior Legal Counsel e Responsabile Privacy del Gruppo Mondadori, che ha raccontato l’esperienza dell’adeguamento del suo gruppo, in particolare soffermandosi sul tema della “sensibilizzazione” – più che “formazione” – delle figure interne all’azienda sul tema della privacy. L’adeguamento – ha spiegato d’Agostino – deve mettere al centro i lettori (i clienti, ndr), comprenderne le esigenze e soddisfarle nel pieno rispetto dei loro diritti, così come oggi riconosciuti. Non si tratta di una affannosa lotta alla più aderente soluzione alla fine della quale “ne rimarrà solo uno”, un po’ come se fossimo destinati al the last DPO: citando Guerre Stellari e facendo sapiente uso dell’ironia, d’Agostino puntualizza l’importanza del dialogo e della cooperazione tra la figura del Data Protection Officer e quella dell’Autorità di controllo. Dalla visione aziendale alla disciplina dei dati personali nel settore pubblico: il Dott. Francesco Modafferi dell’Autorità garante ha introdotto il tema del valore delle banche dati per le Pubbliche Amministrazioni e della gestione degli stessi, alla luce dell’evoluzione tecnologica. Francesco Modafferi si è soffermato sul ricorso agli algoritmi in ambito pubblico per l’elaborazione di determinate informazioni e sulle esigenze da questo scaturite: come assicurare la trasparenza della PA a fronte di un sistema “poco trasparente”? Il tema dell’impiego degli algoritmi non può non far sorgere interrogativi anche di responsabilità civile. Di Giangiacomo Olivi, partner di Dentons, l’intervento dedicato al rapporto tra GDPR e nuove tecnologie: la vera sfida, a fronte di una evidente obsolescenza programmata della tecnologia e della monetizzazione del dato, è costituita in realtà proprio dalla disciplina applicabile: le tecnologie vengono applicate a livello globale ma i singoli Stati continuano ad emanare normative differenti tra loro che non consentono un uso uniforme e condiviso dei servizi offerti dall’innovazione. Non poteva mancare un focus sui temi del marketing e della profilazione, curato dal Dott. Luca Natali dell’Autorità Garante. L’art. 130 del Codice Privacy, come novellato dal decreto di armonizzazione n. 101/2018, offre alternative basi giuridiche al trattamento dei dati per finalità di marketing, tenuto conto della concreta attività svolta: dal meccanismo dell’opt-in a quello dell’opt-out, tenendo ferma “la stella” dei diritti dell’interessato. La giornata è quindi proseguita con gli interventi pomeridiani: l’Avv. Di Stefano si è soffermato su alcune riflessioni di opportunità nello svolgimento dei compiti affidati al ruolo del DPO: ricorrente anche in quella sede il fondamentale dialogo con l’Autorità di controllo. Non solo: Di Stefano mette difronte ad un dato di fatto che è quello della fallibilità delle procedure, valorizzando l’attività di remediation da condurre ex post rispetto alla predisposizione delle stesse.

Dal ruolo del DPO a quello del consulente in ambito privacy: l’Avv. Stefano Previti, titolare dello Studio Previti Associazione Professionale, ha riflettuto sulle molteplici sfaccettature del consulente al giorno d’oggi. Il consulente, infatti, non può e non deve più limitarsi a dare stretta applicazione alla normativa, ma deve sviluppare peculiari skills, tra cui rientrano la competenza manageriale, la conoscenza in ambito informatico e l’attitudine alla formazione del personale, in questo modo rappresentandosi come una risorsa polivalente per il titolare del trattamento, capace di guidarlo anche nelle scelte di business. Per chiudere il cerchio sulle figure soggettive, sono intervenuti l’Avv. Gaetano Arnò, DPO di PricewaterhouseCoopers TLS e a seguire il Dott. Filiberto E. Brozzetti dell’Autorità di controllo, con un compiuto excursus sulle figure di titolare, responsabile esterno e sub-responsabile del trattamento e sulle criticità spesso rilevate nella gestione contrattuale di tali ruoli.

L’intensa giornata di GDPR si è conclusa con gli autorevoli interventi sul quadro sanzionatorio delineato dal Regolamento e sulle modalità ispettive in ambito privacy dell’Avv. Daniele Vecchi, Partner di Gianni, Origoni, Grippo, Cappelli & Partners, dell’Avv. Veronica Pinotti, Partner di White Case LLP e del Colonnello Marco Menegazzo, Comandante del Nucleo Speciale Privacy della Guardia di Finanza. L’Avv. Vecchi, ripercorrendo molteplici case study, ha sostenuto che se, da un lato, con il GDPR si è giunti finalmente ad una disciplina unitaria di matrice europea sul trattamento dei dati personali, dall’altro, sussistono ancora oggi evidenti lacune normative che lo stesso GDPR non è in grado di colmare, oltre a scenari problematici anche recenti, quale può rappresentarsi la disciplina dei dati personali a fronte di una ipotesi di Hard Brexit. Il tema della “patologia” della privacy, e dunque dei possibili accertamenti amministrativi e dell’irrogazione delle sanzioni, è stato affrontato attraverso due differenti (ma comunque non distanti) visioni: quella del consulente del titolare del trattamento, portata sul tavolo dall’esperienza dell’Avv. Pinotti, e quella del Colonnello Menegazzo, il quale si è fatto promotore di un atteggiamento condiviso di cooperazione e collaborazione nell’ottica del primario interesse della tutela degli interessati.

All’esito della giornata, si può dire che l’obiettivo primario, in apertura introdotto dall’Avv. Di Stefano, sia stato ampiamente raggiunto, e non solo: il confronto sul tema dell’adeguamento, in ambito privato ma anche pubblico, ha consentito di riflettere insieme su alcuni scenari ancora oggi dubbi e di ottenerne le soluzioni medio tempore con l’ausilio dell’Autorità di controllo, di analizzare in prospettiva i ruoli coinvolti nello stesso, di poter affermare, in definitiva, come tale processo sia destinato a divenire continuativo e mai a cristallizzarsi.

Violare la privacy dei minori costa caro: il caso dell’app TikTok

Avv. Vincenzo Colarocco

Il consenso dei minori al trattamento dei dati personali è una questione delicata, ed è stata recentemente oggetto di attenzione della Federal Trade Commission. Quest’ultimo -ente statunitense preposto alla tutela dei consumatori- ha sanzionato l’app musicale TikTok, che conta 500 milioni di utenti attivi mensili e di proprietà di Bytedance, per aver violato la privacy dei propri utenti minorenni. A riguardo, è stata comminata una sanzione da 5,7 milioni di dollari in ragione di una palese violazione del Children’s Online Privacy Protection Act, legge che negli USA regola la protezione della privacy dei minorenni in rete, e che vieta la raccolta e il trattamento di dati sensibili da soggetti minori di 18 anni senza che vi sia il consenso dei genitori o dei tutori legali.

Secondo una nota diffusa dalla Federal Trade Commissionl’operatore era a conoscenza del fatto che l’ applicazione fosse utilizzata da soggetti minorenni, eppure ha deliberatamente mancato di ottenere il consenso dei genitori prima di raccogliere nomi, indirizzi email e altri dati sensibili di utenti di età inferiore ai tredici anni“, inaugurando un precedente sanzionatorio nell’ambito della violazione della privacy di soggetti minori.

Invero, il testo normativo, il Children’s Online Privacy Protection Act, sulla base del quale è stata comminata la sanzione prevede che “an operator is required to obtain verifiable parental consent before any collection, use, or disclosure of personal information from children, including consent to any material change in the collection, use, or disclosure practices to which the parent has previously consented”. Nonostante la chiarezza del testo di legge gli operatori di TikTok consentivano l’utilizzo dell’applicazione da parte di soggetti minori, che conferivano dati personali quali nome, cognome, indirizzo e-mail, immagine, numero di telefono e altre informazioni personali, senza che nell’utilizzo dell’applicazione fosse stato richiesto il preventivo consenso dei soggetti legittimati a fornirlo per loro conto, e quindi genitori o tutori legali. Ad attivare la procedura sanzionatoria da parte dell’ente americano competente in materia, sono state le migliaia segnalazioni ricevute da parte dei genitori dei soggetti interessati, le quali hanno dato origine ad un precedente importantissimo nell’ambito della violazione dei dati personali online di minori, e in relazione al quale, in ambito europeo, lo stesso GDPR, all’art. 8, ha dedicato un’attenzione particolare, disciplinando dettagliatamente il tema del consenso e le relative condizioni, avendo a riguardo i servizi della società dell’informazione.

Facebook e la raccolta dati in Germania: l’antitrust perimetra l’area di incidenza

Avv. Vincenzo Colarocco

Il Bundeskartellamt (l’Antitrust tedesco) ha deciso di imporre a Facebook severe restrizioni nei casi di elaborazione dei dati che prevedano una combinazione di dati estrapolati da diverse fonti, come per esempio WhatsApp e Instagram. Questa authority, infatti, è dell’opinione che la sconfinata raccolta di dati da più fonti e la fusione degli stessi costituisca un abuso di posizione dominante. In più, i termini d’uso proposti dall’azienda californiana nonché le stesse modalità di raccolta ed utilizzo dei dati costituirebbero, secondo il Bundeskartellamt, una violazione del GDPR.

Si legge, infatti, nella decisione che secondo i termini d’uso di Facebook l’utilizzo del social network da parte degli utenti comporta il trattamento dei loro dati in relazione sia al sito web Facebook, sia alla sua app mobile, sia ai servizi WhatsApp e Instagram, ed ancora ai siti terzi che gli utenti visitino durante la navigazione Internet. Tale mole di dati vengono attribuiti all’account Facebook dell’utente ma, secondo il Bundeskartellamt, verrebbero trattati senza consenso dello stesso, rendendo così il trasferimento illecito. Per l’autorità tedesca, al fine di trattare i dati provenienti dai diversi servizi del gruppo, come WhatsApp e Instagram,  sarà necessario, per Facebook, ottenere il consenso informato dell’utente stesso, in assenza del quale, i dati dovranno rimanere attribuiti al servizio che li ha raccolti e, quindi, non potranno essere elaborati assieme agli altri. Ugualmente per i dati raccolti dalla navigazione su siti terzi (ad esempio quando l’utente condivide sulla sua bacheca un link esterno a Facebook). L’autorità federale ci tiene a sottolineare la posizione dominante di cui Facebook gode sul mercato tedesco. Questo infatti conta 23 milioni di utenti attivi quotidianamente, equivalenti a un market share di oltre il 95% per gli utenti giornalieri e di oltre l’80%, cifre queste caratteristiche di un monopolio. Il Bundeskartellamt ha altresì chiesto al colosso di Menlo Park di presentare, entro 12 mesi, delle proposte volte ad attuare i cambiamenti richiesti. Ad ogni modo, la decisione dell’autorità di vigilanza non è definitiva e Facebook non ha tardato a richiedere appello avverso la stessa presso l’Alto tribunale regionale di Düsseldorf. Secondo i legali della compagnia, l’autorità federale non avrebbe tenuto conto della concorrenza che Facebook ha in Germania affermando, inoltre, che questa avrebbe male interpretato la compliance con il GDPR, mettendo in serio pericolo così l’omogeneità degli standard per la protezione dei dati  nel vecchio continente.