Articoli

La Cassazione sui limiti alla diffusione dei dati personali di dipendenti comunali

Legittima la sanzione irrogata dal Garante a un Comune per aver pubblicato sull’albo pretorio on line per oltre un anno una determina dirigenziale contenete dati personali di un dipendente.

Con l’ordinanza numero 18292 del 3 settembre 2020 la Corte di Cassazione ha chiarito che l’ostensione da parte di un comune dei dati personali (non sensibili) di un dipendente, mediante pubblicazione sull’albo pretorio di una determina dirigenziale per un periodo superiore a 15 giorni, viola il codice della privacy.

Nel caso di specie il Comune aveva mantenuto visibili per oltre un anno sul proprio albo pretorio on line una determinazione dirigenziale dalle quali risultavano dati quali il nome e il cognome del dipendente e l’esistenza di un contenzioso con il Comune (determina di nomina del difensore dell’amministrazione, con relativo impegno di spesa), ma anche lo stato di famiglia, nonché la circostanza che vivesse da solo, che avesse avanzato una domanda di rateizzazione del debito e che tale istanza fosse stata rigettata.

Il Garante per la protezione dei dati personali ritenendo illegittima la diffusione dei dati personali di un dipendente comunale per un periodo superiore di quindici giorni stabiliti come periodo necessario di pubblicazione delle delibere comunali nell’albo pretorio ex art. 124 del Tuel, ha sanzionato l’ente locale. In particolare, secondo l’Autorità le predette informazioni, in quanto non afferenti all’assetto organizzativo degli uffici e pertanto non riconducibili alle strette esigenze di trasparenza amministrativa, avrebbero dovuto essere archiviate e celate immediatamente dopo la scadenza del termine minimo di quindici giorni.

Secondo gli ermellini, dunque, decorso il termine minimo di pubblicazione obbligatoria sull’albo pretorio delle determinazioni del Comune, gli atti amministrativi contenenti dati personali (praticamente tutti) devono essere cancellati e resi non più accessibili.

Avv. Ginevra Proia

Rapporto “Agente” – “Procacciatori”: titolari o responsabili? Il Garante sanziona un’agenzia operante per conto di Wind Tre s.p.a.

Con provvedimento del luglio scorso, il Garante Privacy ha comminato una sanzione pari all’1% della sanzione massima edittale nei confronti della società Merlini s.r.l. – agenzia che svolge attività di commercializzazione dei prodotti di Wind Tre s.p.a. – constatando una pluralità di violazioni nel trattamento dei dati personali, derivanti, in particolar modo, da una serie di irregolarità nel rapporto tra agente e relativi procacciatori.

I fatti

L’indagine del Garante per la protezione dei dati personali (“Garante”) si è inizialmente focalizzata su un call center che, tramite il contatto di potenziale clientela, offriva i servizi telefonici della società Wind Tre s.p.a. (“Wind Tre”). A seguito delle espletate verifiche, emergeva come tali attività facessero capo alla società “Alessandro Corbelli Sunrise s.r.l.s.” e, con specifico riferimento alle correlate operazioni di trattamento sui dati personali, si appurava:

  1. l’impossibilità di dimostrare l’origine dei dati degli utenti contattati;
  2. l’inottemperanza alle procedure implementate da Wind Tre per le attività di telemarketing e teleselling;
  3. l’assenza di fornitura di un’adeguata informativa ai sensi dell’art. 14 GDPR nel contesto della telefonata.

Tali manifeste irregolarità inducevano ad un ulteriore approfondimento dal quale emergeva “un significativo legame operativo” tra la predetta società di call center e la “Merlini s.r.l.” (in seguito, “Merlini”). In particolare quest’ultima, a fronte di un regolare contratto di agenzia (comprensivo sia della designazione a responsabile del trattamento che delle relative istruzioni), svolgeva attività di commercializzazione dei prodotti di Wind Tre, a tal fine avvalendosi di alcuni procacciatori dislocati sul territorio nazionale, tra cui figurava la summenzionata Alessandro Corbelli Sunrise s.r.l.s.

I principi desumibili dal provvedimento

Messe in luce le dinamiche alle base dei rapporti tra i soggetti coinvolti nel provvedimento in esame, il Garante ha avuto modo di verificare – e, per l’effetto, tacciare di illiceità – come risultasse mancante una qualunque forma scritta d’accordo – ivi includendosi anche una designazione in ambito privacy – tra Merlini e i cd. “procacciatori”.

Da tale sostanziale premessa ne discendeva una violazione dell’art. 28 GDPR (per aver fatto ricorso ai procacciatori in relazione ad attività di trattamento di dati personali di titolarità di Wind Tre senza che quest’ultima ne fosse informata e, ancora, per non aver posto in capo ai procacciatori i medesimi obblighi in materia di protezione dei dati personali che Merlini aveva nei confronti di Wind Tre) e dell’art. 29 GDPR (per aver consentito che i predetti trattamenti fossero svolti da soggetti che non hanno ricevuto dal titolare del trattamento le necessarie istruzioni).

Sul punto il Garante non ha accolto la difesa di Merlini, a mente della quale il procacciatore sarebbe da ritenersi quale autonomo titolare, operando sul mercato come libero professionista in ricerca di potenziali clienti. Il Garante, infatti, riteneva che tale argomentazione dovesse soccombere dinanzi alla sussistenza di elementi oggettivamente contrastanti quali la spendita del nome del titolare da parte del call center, nonché l’accesso da parte di quest’ultimo a dati di titolarità di Wind Tre mediante utilizzo di credenziali che dovevano rimanere nell’esclusiva disponibilità di Merlini.

A tanto si aggiunga che, in base a quanto stabilito dall’art. 1, comma 11, della Legge n. 5/2018, Merlini fosse da ritenersi responsabile anche delle condotte poste in essere dalla società Alessandro Corbelli Sunrise s.r.l.s. in violazione delle disposizioni della predetta legge.

Alla luce di quanto sopra, il Garante Privacy ingiungeva a Merlini di porre rimedio alla descritta situazione di illiceità nei riguardi dei procacciatori e, tra le alte misure imposte, prevedeva altresì il pagamento della somma di euro 200.000,00 a titolo di sanzione amministrativa per le irregolarità complessivamente riscontrate, pari all’1% della sanzione massima edittale.

Avv.ti Vincenzo Colarocco e Pietro Maria Mascolo

Immuni: l’app non è per tutti. Quali le indicazioni del Garante?

Il Garante, precisando alcune misure che necessariamente dovranno essere adottate in fase di sperimentazione per arginare quanto più possibile i rischi connessi al trattamento dei dati, autorizza Immuni ma l’applicazione è in grado di funzionare solo sui dispositivi di ultima generazione. Il sistema di tracciamento inaccessibile a molti sarà lo stesso efficace?
 
La nuova applicazione Immuni

Il Garante per la protezione dei dati personali ha autorizzato, con il provvedimento dell’1 giugno 2020, il Ministero della salute, titolare del trattamento, ad avviare il sistema nazionale di tracciamento digitale dei contatti (di seguito “Sistema”) attraverso l’applicazione Immuni.

In particolare, tenuto conto della valutazione d’impatto trasmessa dal Ministero è stato rilevato che il trattamento di dati personali effettuato nell’ambito del Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati, che attenuano i rischi che potrebbero derivare da trattamento illecito.

Le misure indicate dal Garante

Tuttavia, le cautele non sono mai troppe e, per queste ragioni, il Garante ha ritenuto opportuno precisare alcune misure che necessariamente dovranno essere adottate in fase di sperimentazione per arginare quanto più possibile i rischi connessi al trattamento dei dati.

Pertanto, il rispetto dei principi del GDPR diventa certamente prioritario.

Gli obblighi di trasparenza impongono da un lato, che gli utenti debbano essere informati adeguatamente in ordine al funzionamento dell’algoritmo di calcolo utilizzato per la valutazione del rischio di esposizione al contagio e del fatto che le notifiche generate dal sistema non sempre riflettono una condizione di rischio; dall’altro, che particolare attenzione dovrà essere dedicata all’informativa e al messaggio di allerta, tenendo altresì conto del fatto che i soggetti attinti dal trattamento saranno anche minori ultra quattordicenni.

Il rispetto della limitazione delle finalità e del principio di minimizzazione dei dati comporta che i dati raccolti attraverso il Sistema non potranno essere trattati per finalità non previste dalla norma che istituisce l’applicazione, dovendo altresì evitare ogni forma di nuova associazione a soggetti identificabili e adottando idonee misure di sicurezza e tecniche di anonimizzazione.

Quanto, poi, all’osservanza del principio di limitazione delle conservazione la retention degli indirizzi IP dei cellulari dovrà essere commisurata ai tempi strettamente necessari per il rilevamento di anomalie e di attacchi.

L’apparente parità di trattamento

Sembra, tuttavia, che l’attesa, i dibattiti, i dubbi in merito al funzionamento dell’applicazione siano serviti a poco, perché il Sistema è sì funzionale alla tutela della salute pubblica di tutti ma non è per tutti. Solo gli smartphone di ultima generazione supportano l’utilizzo dell’applicazione: nelle FAQ ufficiali dell’applicazione si legge che “i requisiti di sistema per usare Immuni sono imposti dalla tecnologia sottostante di Apple e Google, che non è disponibile per versioni precedenti di iOS, Android e Google Play Services”.

Se tanti non potranno scaricare l’applicazione perché dotati di un dispositivo di vecchia generazione, il tanto discusso Sistema funzionerà effettivamente? 

Avv. Marta Cogode

Fase 2: quali misure per il ritorno sui luoghi di lavoro?

Il 4 maggio è iniziata in Italia la “Fase 2”. A fronte dell’individuazione da parte del Governo degli specifici settori merceologici, quali misure sono tenuti ad adottare i datori di lavoro per consentire il ritorno in sicurezza? A seguito dell’aggiornamento del “Protocollo condiviso di regolazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” abbiamo predisposto alcune FAQ per le aziende.

Il 24 aprile 2020 è stato aggiornato il Protocollo del 14 marzo (poi confluito nel DPCM del 26.4.2020 sub allegato 6), in vista dell’inizio della “Fase 2”. Difatti, a seguito del primo Protocollo, con DPCM del 10 aprile 2020, il Governo ha istituito un Comitato di esperti in materia economica e sociale. Il Comitato ha elaborato le misure necessarie a fronteggiare l’emergenza e per una ripresa graduale nei diversi settori delle attività sociali, economiche e produttive, e ha tracciato le linee guida per l’aggiornamento del predetto protocollo sulla sicurezza dei lavoratori. Il nuovo Protocollo recepisce il documento tecnico sulla possibile rimodulazione delle misure di contenimento del contagio nei luoghi di lavoro e strategie di prevenzione reso disponibile dall’INAIL il 23 aprile 2020.

Le attività produttive individuate dai provvedimenti emanati possono fare ritorno sui luoghi di lavoro purché sia attuato il massimo utilizzo di modalità di lavoro agile (smart working) per le attività che possono essere svolte al proprio domicilio o in modalità a distanza. I datori di lavoro, inoltre, dovranno incentivare le ferie e i congedi retribuiti per i dipendenti nonché gli altri strumenti previsti dalla contrattazione collettiva, oltre a sospendere le attività dei reparti aziendali non indispensabili alla produzione. Infine, dovranno applicare protocolli di sicurezza anti-contagio che prevedano l’adozione di strumenti di protezione individuale in ogni caso in cui non sia possibile garantire il distanziamento sociale.

Per fare chiarezza sulle misure da adottare per un ritorno in sicurezza, il nostro Studio ha predisposto apposite FAQ.

Si segnala, inoltre, come in data 4 maggio 2020 il Garante per la protezione dei dati personali abbia fornito chiarimenti anche in relazione al trattamento di dati personali posto in essere per finalità di prevenzione e contenimento del contagio in ambito lavorativo, pubblico e privato, con apposite FAQ.

Avv.ti Vincenzo Colarocco e Chiara Benvenuto

E-health: ok del Garante per le informazioni successive al triage

Avv. Vincenzo Colarocco

È stata archiviata l’istruttoria avviata dall’Ufficio del Garante per la protezione dei dati personali nei confronti di una ASL, che potrà quindi riprendere ad erogare il servizio on line, introdotto lo scorso anno, per fornire informazioni ai familiari dei pazienti che accedono al pronto soccorso dell’ospedale.

Nello specifico, il servizio consente al paziente, una volta completate le attività di triage, di autorizzare un familiare a ricevere un link sullo smartphone o sul tablet attraverso il quale poter visualizzare le procedure di cura, i tempi di attesa, le dimissioni o il trasferimento nei reparti di degenza, ma non le informazioni diagnostiche, né i dati anagrafici del paziente stesso.

Ciò che sembra aver convinto il Garante è la nuova valutazione d’impatto e i nuovi modelli di informativa e di consenso predisposti dalla ASL a seguito delle criticità in precedenza emerse in fase ispettiva. In particolare, è risultato dirimente l’aver eseguito una più approfondita analisi dei rischi, tesa a considerare le criticità per gli interessati in relazione alle peculiarità del servizio  de quo ed a giustificare le conseguenti azioni assunte dal titolare, migliorando, altresì, nel rispetto dei principi di necessità e proporzionalità (risultati carenti nell’ambito della prima ispezione).

Anche alla luce del presente momento storico, caratterizzato – come noto – dalla forte sollecitazione delle strutture ospedaliere e dall’impossibilità per i familiari di assistere personalmente i propri cari colpiti dal Coronavirus, non è da escludere che il descritto servizio possa essere adottato anche dalle altre Aziende sanitarie locali, puntando sempre di più verso il modello dell’e-health.

Covid-19: troppi dettagli sui malati, le considerazioni del Garante Privacy

Avv. Vincenzo Colarocco

A seguito di segnalazioni e reclami con i quali è stata lamentata, da parte dei famigliari, la diffusione sui social e sugli organi di stampa, anche on line, di dati personali riguardanti persone risultate positive al Covid 19, il Garante per la protezione dei dati personali ha affermato che in una situazione di emergenza quale quella attuale, in cui l’informazione mostra tutte le sue caratteristiche di servizio indispensabile per la collettività, non possono essere disattese alcune garanzie a tutela della riservatezza e della dignità delle persone colpite dalla malattia contenute nella normativa vigente e nelle Regole deontologiche relative all’attività giornalistica.

Ha pertanto richiamato l’attenzione di tutti gli operatori dell’informazione al rispetto del requisito dell’”essenzialità” delle notizie che vengono fornite, astenendosi dal riportare i dati personali dei malati che non rivestono ruoli pubblici, per questi ultimi nella misura in cui la conoscenza della positività assuma rilievo in ragione del ruolo svolto.

Tali cautele devono operare a prescindere dalla circostanza che i dati siano resi disponibili da enti o altri soggetti detentori dei dati medesimi e salvaguardano le tante persone risultate positive al virus, e poi guarite, da una “stigmatizzazione” permanente, resa possibile dalla diffusione delle notizie sulla rete.

L’obbligo di rispettare la dignità e la riservatezza dei malati vige anche per gli utenti dei social, a cominciare da alcuni amministratori locali, che spesso diffondono dati personali di persone decedute o contagiate senza valutarne interamente le conseguenze per gli interessati e per i loro famigliari.

Didattica a distanza ai tempi del Covid-19: l’istruzione non si ferma, ma attenzione ai dati dei minori e agli attacchi malevoli

Avv. Vincenzo Colarocco

L’emergenza causata dal diffondersi del Covid-19, presta il fianco a soggetti malintenzionati che, facendo leva sull’attuale situazione, fanno girare e-mail e pec dubbie che a volte contengono dei veri e propri malware o, addirittura, hackerano i sistemi.

È proprio delle ultime ore la notizia dell’attacco alle piattaforme didattiche e ai registri online gestiti da Axios, che in poche ore sono stati messi letteralmente fuori uso.

Per tali ragioni, se, come vedremo, da un lato l’utilizzo di queste piattaforme è senz’altro utile oltre che consigliato, dall’altro impone l’adozione di ulteriori e più rigide misure di sicurezza, anche atte a limitare errori umani.

Secondo quanto previsto dal Dpcm dell’8 marzo 2020, i dirigenti scolastici attivano, nel più ampio esercizio delle proprie prerogative, per tutta la durata della sospensione delle attività didattiche nelle scuole, modalità di didattica a distanza, con particolare attenzione alle specifiche esigenze degli studenti con disabilità (art. 2 lett. m). Previsione similare è contenuta nello stesso decreto per le Università per le quali le attività didattiche o curriculari possono essere svolte con modalità a distanza dalle stesse individuate (art. 2 lett. n).

Il MIUR, con la nota dell’8 marzo, ha chiarito che la didattica a distanza deve garantire, quanto più possibile, la continuità didattica che non consiste nella mera trasmissione di materiali ma si sostanzia in un insieme di attività che vanno “dalla registrazione delle lezioni, all’utilizzo di piattaforme per la didattica a distanza, presso l’istituzione scolastica, presso il domicilio o altre strutture”.

Anche il Garante per la protezione dei dati personali, con il Provvedimento del 26 marzo 2020, n. 64, ha fornito delle prime indicazioni utili per la didattica a distanza dal punto di vista privacy.

 In particolare, l’Autorità ha avuto modo di chiarire che gli istituti scolastici “dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 del Regolamento).Varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di “classi virtuali”, la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in modo “social” tra docenti, studenti e famiglie. Alcune piattaforme offrono anche molteplici ulteriori servizi, non sempre specificamente rivolti alla didattica. Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento).

Con riferimento al consenso è stato chiarito che le istituzioni scolastiche non devono richiedere il consenso per la gestione dei dati personali degli interessati trattati per il tramite delle piattaforme digitali non tanto perché era già stato rilasciato al momento dell’iscrizione quanto, piuttosto, perché è connesso all’esecuzione di un contratto di cui l’interessato è parte ovvero all’esecuzione di un compito d’interesse pubblico (art. 6 lett. b) ed e) del Regolamento).

Considerazioni diverse, invece, andrebbero fatte qualora si vogliano utilizzare dati particolari, ad esempio dati biometrici, per permettere tanto agli studenti che stanno per concludere il liceo quanto agli studenti universitari di sostenere gli esami da remoto. In questi casi il trattamento del dato biometrico dello studente è legittimato dall’acquisizione del suo consenso, ai sensi e per gli effetti dell’art. 9 lett. a) del Regolamento.

 “Le istituzioni scolastiche sono invece tenute, qualora non lo abbiano già fatto, ad informare gli interessati del trattamento secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679”. Così la nota del MIUR sull’informativa. In linea con quanto previsto dalla normativa vigente gli istituti scolastici sono tenuti a informare i propri studenti.

Il Garante Privacy ha avuto modo di precisare che “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”.