Articoli

Il Data Brech lycamobile e la diffusione di dati sensibili online

Avv. Vincenzo Colarocco

Se è vero che i dati personali, costituiscono il nuovo petrolio è altresì vero che le violazioni di dati personali tendono a imporsi quali veri e propri attentati ai diritti e alla libertà delle persone fisiche, rivendicati dagli artefici, al fine di far conoscere le finalità della propria azione, oltre che diffondere una regime di “terrore” volto a minare i paradigmi adottati dalle aziende per rafforzare la cybersecurity, quale responsabilità condivisa che deve essere affrontata in modo sinergico, tra aziende, istituzioni e utenti. Nel solco di tali attacchi e rivendicazioni, sempre più frequenti, lo scorso 5 novembre, il gruppo di hacker LulzSec (Lulz Security) annunciava sul proprio profilo Twitter di essere entrato in possesso di una grande quantità di informazioni di natura sensibile, relative ai clienti dell’operatore telefonico low cost Lycamobile. In particolare, il data breach perpetrato ai danni dei migliaia di Clienti di Lycamobile ha avuto ad oggetto dati personali di natura particolare estratti da carte di identità, tessere sanitarie, passaporti, carte di credito, moduli di attivazione SIM, oltreché credenziali di accesso dei rivenditori. Alla violazione di sicurezza è poi seguita la diffusione online, sulla piattaforma MEGA, di un’esigua entità dei dati sensibili raccolti illecitamente, che in tal modo sono stati resi accessibili a qualsivoglia soggetto potenzialmente predisposto a porre in essere futura attività illecita proprio a mezzo di tali dati. Nei casi di data breach analoghi a quello summenzionato, a norma degli artt. 33 e 34 del Regolamento UE 2016/679, il Titolare del trattamento ha l’obbligo di notificare l’avvenuta violazione all’Autorità competente nel termine di 72 ore dalla scoperta dell’evento, scaduto il quale è necessario corredare la notifica dei motivi del ritardo. Nel caso di specie, avendo la violazione comportato un rischio elevato per i diritti delle persone è altresì richiesto dalla normativa di riferimento che il titolare del trattamento la comunichi a tutti gli interessati, utilizzando i canali più idonei, a meno che non abbia già adottato misure tali da ridurne l’impatto. Considerato che, senza le giuste competenze e risorse, però, la rilevazione di violazioni dei dati e la loro tempestiva segnalazione rappresentano una seria sfida nell’ambito della cybersecurity, si rileva, ad oggi, che tale specifica comunicazione, la quale vedrebbe come destinatari i clienti di Lycamobile, non sarebbe avvenuta, né direttamente a mezzo di Short Message Service sulle singole utenze, né indirettamente, a mezzo del sito web ufficiale dell’operatore telefonico.

E se il medico pubblicasse le tue foto sui social network?

Avv. Vincenzo Colarocco

Filmati di soggetti ricoverati, foto prima/dopo l’intervento di chirurgia, messaggi di cordoglio per il decesso di un paziente che, per una morale religiosa, si è lasciato morire: sono solo alcuni dei casi che riguardano il fenomeno della condivisione di informazioni relative a dati particolari nell’ambito medico sui social network.

I professionisti, infatti, perseguendo scopi pubblicitari o di altro genere, maturano l’errata convinzione che la mera omissione del nome dei pazienti sia sufficiente a garantire un grado di non identificabilità tale da preservare un diritto fondamentale quale quello alla privacy. Nulla di più sbagliato.

Invero, è nota la definizione di dato personale sancita dall’art. 4 del GDPR, il quale individua come tale “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

In Italia la questione è già da qualche tempo al centro dell’attenzione.

Nel 2017 il Ministero della Salute, mediante una nota, chiese alla Federazione Nazionale dell’Ordine dei medici di redigere un monito rivolto a tutti gli ordini provinciali invitando tutti i professionisti iscritti all’albo a verificare l’uso degli strumenti social in relazione alla professione, ribadendo l’obbligo di rispettare l’art. 10 del Codice deontologico, che impone al medico di “mantenere il segreto su tutto ciò di cui è a conoscenza in ragione della propria attività professionale. La morte della persona assistita non esime il medico dall’obbligo del segreto professionale”. Occorre ricordare che, il medesimo Codice impone, all’art. 11, “rispetto della riservatezza, in particolare dei dati inerenti alla salute e alla vita sessuale. Il medico assicura la non identificabilità dei soggetti coinvolti nelle pubblicazioni o divulgazioni scientifiche di dati e studi clinici”.

La questione dello scorretto e non autorizzato utilizzo dei dati particolari dei pazienti da parte dei medici è stata recentemente attenzionata dall’autorità di controllo di Cipro, la quale ha inflitto una sanzione di 14.000 euro ad un medico che aveva pubblicato su internet i dati sensibili di un paziente senza il suo consenso: in particolare, il chirurgo aveva filmato con il suo telefonino una persona ricoverata in ospedale per sottoporsi a un intervento di rinoplastica e aveva successivamente pubblicato tale contenuto sul web a scopo dimostrativo (prima/dopo) senza riportare il nome del paziente, nell’errata convinzione che tale scelta potesse garantirne l’anonimato, nonostante questi fosse comunque riconoscibile dal volto. Ancor più grave la condotta solo a considerare che il profilo ufficiale Instagram della clinica vanta circa 4 mila follower.

La Corte di Cassazione interviene sulla data minimization

Avv. Vincenzo Colarocco

La Deutsche Bank è stata condannata per inadempimento contrattuale dalla Suprema Corte con sentenza n. 26778 pubblicata il 21.10.2019.

La giurisprudenza di legittimità ha precisato che le disposizioni e i principi in tema di dati sensibili (art. 4, comma 1, lett. d) del Codice della Privacy hanno carattere di norma imperativa (ex art. 1418 c.c.). e che tra i principi della data protection è da considerarsi sicuramente quello di minimizzazione nell’uso dei dati personali (“devono essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati”).

Il ricorso in Cassazione è stato proposto avverso una sentenza della Corte di Appello di Genova che aveva confermato la sentenza di primo grado con cui il Tribunale di Chiavari rigettava tutte le domande proposte volte a far accertare in capo all’istituto bancario la sua responsabilità contrattuale nonché la violazione delle norme vigenti in materia di privacy.

Il giudizio trae origine dalla circostanza che una filiale ligure della Deutsche Bank s.p.a. presentava al potenziale cliente il contratto da sottoscrivere per l’instaurazione del rapporto, nel quale l’istituto di credito chiedeva l’autorizzazione al trattamento dei dati sensibili – ora dati particolari ex art. 9 del GDPR – del cliente, pena il rifiuto di dar seguito al contratto.

Al cliente che, quindi, sottoscriveva il contratto senza autorizzare il trattamento dei dati sensibili veniva bloccata l’operatività sia del conto corrente bancario che del deposito titoli nella titolarità del cliente, il tutto giustificato dalla Banca dalla necessità del rilascio del consenso ai fini di una imprecisata completa e migliore gestione dei rapporti con i clienti e/o per eventuali fini cautelativi (potendo tali dati venire pro futuro a conoscenza della stessa Banca).

La Suprema Corte di Cassazione, sottolineando che la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta decisamente con i principi informatori della legge sulla privacy, accoglie i motivi del ricorso disponendo che “la Banca avendo sottoposto l’informativa all’attenzione del cliente all’atto della sottoscrizione del contratto di conto corrente bancario, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece […] consentire al cliente di aprire il conto e di operare […] per poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente” e rinvia alla Corte d’Appello di Genova.

Cassazione penale: lo spamming è reato?

Avv. Vincenzo Colarocco

Di recente la sentenza n. 41604 del 10.10.2019 della Corte di Cassazione, terza penale ha definito ulteriormente il profilo del nocumento, nello specifico per quel che riguarda le attività di spam, alla luce delle modifiche normative del D.lgs. 101/2018, di attuazione del GDPR.

Nel caso di specie, la Corte ha ritenuto che debba escludersi il nocumento –inteso come concreta lesione della sfera personale o patrimoniale riconducibile a un’operazione di illecito trattamento dei dati protetti– quando si tratta della ricezione di un numero molto contenuto di messaggi (non più di tre o quattro) e quindi non assimilabile ad una significativa invasione dello spazio informatico.

Il ricorso all’ultimo grado di giudizio è stato proposto avverso una sentenza emessa dalla Corte d’Appello di Torino la quale ha convalidato la sentenza di primo grado, ritenendo confermati i profili di colpevolezza addebitati all’imputato per il reato di cui all’art. 167 del Codice Privacy e violazione dell’art. 130.

Il giudizio trae origine dalla circostanza che vedeva l’imputato – un avvocato – che al fine di procurarsi un profitto promuoveva la partecipazione ai propri corsi di aggiornamento e convegni da lui patrocinati o organizzati nel settore dell’igiene dentale. In particolare, l’imputato, inviava delle comunicazioni via e-mail agli iscritti all’Associazione Igienisti Dentali italiani (con la quale aveva collaborato) senza il loro consenso.

Avverso la sentenza emessa all’esisto del gravame, l’imputato proponeva ricorso per Cassazione in cui lamentava l’illogicità e l’apparenza della motivazione, la non rilevanza esigua e occasionale del comportamento contestato.

I Giudici della Suprema Corte, pronunciandosi sui motivi di ricorso annullano senza rinvio la sentenza di condanna perché il fatto non sussiste precisando che “non siamo in presenza di un effettivo “nocumento” sia da parte dell’associazione “A.I.D.I.”, sia da parte dei suoi singoli iscritti” e che il “reato contestato di illecito trattamento di dati personali non può ritenersi configurabile, a prescindere dalla qualificazione del nocumento in termini di elemento costitutivo del reato o di condizione di obiettiva di punibilità”.

E’ possibile riprendere il lavoratore di nascosto?

Avv. Vincenzo Colarocco

Il direttore di un supermercato spagnolo decide di far installare alcune telecamere nascoste, senza preavvisare i propri dipendenti, a causa d’ingenti furti subiti ai danni del proprio supermercato. In particolare, erano state rilevate alcune irregolarità tra stock di magazzino e vendite e una rilevante perdita negli incassi nell’arco di cinque mesi.

Come previsto dall’art. 4 dello Statuto dei lavoratori, anche per il diritto spagnolo il datore di lavoro deve preventivamente informare i dipendenti della sussistenza di impianti audiovisivi sui luoghi di lavoro, negando, con ciò, l’ammissibilità della c.d. videosorveglianza occulta dei lavoratori.

La Corte europea dei diritti dell’uomo, chiamata a decidere sulle conclusioni dei tribunali nazionali, che avevano ritenuto legittimi i licenziamenti disposti dal datore di lavoro considerato che le videoriprese avevano dato evidenza che i furti erano stati perpetrati da parte del personale, ha riconosciuto, seppur entro determinati limiti, la liceità, dell’uso di telecamere nascoste nei luoghi di lavoro senza previa informazione dei dipendenti (sentenza del 17 ottobre 2019 nel caso López Ribalda ed altri v. Spagna). In particolare, ad avviso dei Giudici della Corte, la mancata informazione della sorveglianza, nonostante sia prevista dalle norme interne iberiche, è da ritenersi giustificata dal “ragionevole sospetto” di una grave colpa dei dipendenti rispetto al furto perpetrato in danno della società e dall’entità della perdita economica subita a causa dello stesso (per il caso di specie si trattava di oltre 80.000 euro).

Per la CEDU, il monitoraggio a distanza dei lavoratori è stato ritenuto proporzionato, legittimo ed equamente bilanciato con le ragioni di tutela del patrimonio aziendale del datore di lavoro. L’intrusione nella privacy dei dipendenti, tra l’altro, è stata ritenuta non eccessivamente grave per la sua breve durata (10 giorni), per il numero limitato delle persone messe a conoscenza dei video e per la scarsa estensione dell’area sorvegliata, limitata proprio alla zona casse.

Con riferimento alla sentenza da ultimo citata, si è espresso anche il Garante per la protezione dei dati personali italiano con la dichiarazione del 17 ottobre 2019 specificamente affermando che “la sentenza della Grande Camera della Corte di Strasburgo se da una parte giustifica, nel caso di specie, le telecamere nascoste, dall’altra conferma però il principio di proporzionalità come requisito essenziale di legittimazione dei controlli in ambito lavorativo. L’installazione di telecamere nascoste sul luogo di lavoro è stata infatti ritenuta ammissibile dalla Corte solo perché, nel caso che le era stato sottoposto, ricorrevano determinati presupposti: vi erano fondati e ragionevoli sospetti di furti commessi dai lavoratori ai danni del patrimonio aziendale, l’area oggetto di ripresa (peraltro aperta al pubblico) era alquanto circoscritta, le videocamere erano state in funzione per un periodo temporale limitato, non era possibile ricorrere a mezzi alternativi e le immagini captate erano state utilizzate soltanto a fini di prova dei furti commessi. La videosorveglianza occulta è, dunque, ammessa solo in quanto extrema ratio, a fronte di “gravi illeciti” e con modalità spaziotemporali tali da limitare al massimo l’incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria. Il requisito essenziale perché i controlli sul lavoro, anche quelli difensivi, siano legittimi resta dunque, per la Corte, la loro rigorosa proporzionalità e non eccedenza: capisaldi della disciplina di protezione dati la cui “funzione sociale” si conferma, anche sotto questo profilo, sempre più centrale perché capace di coniugare dignità e iniziativa economica, libertà e tecnica, garanzie e doveri”.

Data retention: quanto mi costi?

Avv. Vincenzo Colarocco

Il 30 ottobre 2019, il commissario di Berlino per la protezione dei dati e la libertà di informazione ha erogato una sanzione di circa 14,5 milione di euro per violazione del principio di data retention.

In particolare, l’autorità ha individuato un utilizzo ultroneo e non giustificato di dati personali da parte della società immobiliare, la quale impediva la cancellazione degli stessi dai propri archivi agli inquilini, nonostante non fossero più strumentali per il perseguimento delle originarie finalità di raccolta. Tra i dati coinvolti, informazioni sulle vicende personali e finanziarie degli inquilini, come buste paga, moduli di auto-divulgazione, estratti da contratti di lavoro e di formazione, dati fiscali, dati di previdenza sociale e di assicurazione sanitaria ed estratti conto bancari. In realtà la non conformità dei sistemi di archiviazione della Deutsche Wohnen SE era già stata segnalata dall’autorità a seguito di un audit nel giugno 2017 ed anche in occasione del successivo audit del marzo 2019 era stata rilevata l’inefficienza delle procedure di conservazione e cancellazione dei dati.

La violazione contestata è quella dell’articolo 25 del GDPR, nonché dei principi generali di trattamento stabiliti nell’articolo 5 dello stesso. L’articolo 25, paragrafo 1, infatti, prevede che, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso, il titolare del trattamento metta in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati (“privacy by design e by default”). All’art. 5, lett. e), invece, il Regolamento prescrive che i dati vengano conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere, infatti, conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatta salva l’attuazione di misure tecniche e organizzative adeguate.

Tra i fattori aggravanti, la creazione ad opera della stessa Deutsche Wohnen SE della struttura dell’archivio in questione ed il lungo periodo di conservazione non autorizzata, mentre tra quelli attenuanti l’adozione di azioni di rimedio e la collaborazione con l’autorità. Sono state, inoltre, comminate diverse multe minori tra i 6.000 e i 17.000 euro per casi specifici di archiviazione non autorizzata.

La sanzione amministrativa non è ancora definitiva dal momento che la Deutsche Wohnen SE ha annunciato che contesterà l’ammenda in tribunale.

Quanto valgono le violazioni del GDPR?

Avv. Vincenzo Colarocco

Le autorità di controllo europee stanno tenendo un approccio ragionevole e ponderato in merito alle sanzioni per il mancato rispetto del GDPR, e ciò, in modo conforme ai principi di effettività e proporzionalità. A titolo esemplificativo:

 

Autorità Fine () Quoted Art. Summary
Garante privacy francese (CNIL) Euro 50.000.000 nei confronti di  Google Inc. Art. 13 GDPR, Art. 14 GDPR, Art. 6 GDPR, Art. 4 nr. 11 GDPR, Art. 5 GDPR Violazione dei principi di trasparenza (Art. 5 GDPR), di informazione (Art. 13 / 14 GDPR) e delle basi giuridiche (Art. 6 GDPR).  (Art. 4 n. 11 GDPR).
Garante privacy italiano Euro 50.000 nei confronti del Movimento 5 Stelle Art. 32 GDPR Misure di sicurezza tecniche ed organizzative insufficienti
Garante privacy britannico (ICO) Euro 204.600.000 nei confronti di British Airways Art. 32 GDPR Misure di sicurezza tecniche ed organizzative insufficienti

 

Per una visione d’insieme e costantemente aggiornata sulle sanzioni erogate in Europa, basta cliccare qui.

Titolare o responsabile? Questo è il dilemma

Avv. Vincenzo Colarocco

Il 7 novembre scorso i Garanti Europei hanno pubblicato le Linee Guida sul concetto di titolare e responsabile in relazione al trattamento dei dati personali da parte delle istituzioni. Ciò conferma come la tematica sia sempre più dibattuta tanto che anche il Garante della protezione dei dati personali con parere pubblicato il 21 ottobre 2019 è intervenuto sul tema.

In particolare l’Autorità ha preliminarmente chiarito che “la vigente disciplina in materia di protezione dei dati personali (Regolamento (UE) 2016/679, d. lgs. n. 196/2003 come novellato dal d.lgs. n. 101/2018), si pone in linea di continuità con il quadro normativo previgente rispetto all’individuazione dei ruoli di “titolare” e di “responsabile” e alla distribuzione delle relative responsabilità”, ricordando che sul punto il GDPR non ha apportato novità rilevanti rispetto alla pregressa disciplina, richiamando anche l’applicabilità dell’Opinion 1/10 del WP29.

Ed infatti ai fini della qualificazione di un soggetto quale titolare o responsabile del trattamento, è necessario valutare, caso per caso, la specificità dell’attività posta in essere, avendo cura di considerare sia la determinazione delle finalità sia la normativa codicistica ove applicabile.

Nel caso sottoposto al Garante lo stesso ha chiarito, senza esitazioni, che “l’esercizio dell’attività assicurativa non può in alcun modo, neanche astrattamente, formare oggetto di “delega” da parte del soggetto che affida tramite gara tale servizio, in quanto la stessa può essere svolta esclusivamente da soggetti specializzati e sottoposti ad una disciplina di settore; l’attività assicurativa infatti è disciplinata da una specifica normativa primaria e secondaria (artt. 1882 ss. c.c.; d.lgs. n. 209/2005 – “Codice delle assicurazioni”; Regolamento IVASS n. 40/2018) che ne riserva l’esercizio alle imprese assicurative (art. 11, co. 1 cod. ass.), le quali operano sotto la vigilanza di un’Autorità di controllo

L’ente aggiudicante e la compagnia assicuratrice perseguono, infatti, interessi separati e distinti, che impediscono all’assicurazione di porre in essere un trattamento di dati “per conto” dell’ente aggiudicante. Tale autonomia è particolarmente evidente nella fase di gestione dei sinistri, laddove la compagnia debba decidere se liquidare direttamente un sinistro senza particolari formalità, ovvero avviare più puntuali verifiche o anche resistere in giudizio.

Dunque, la compagnia assicurativa non può che rivestire il ruolo di autonomo titolare del trattamento, così come peraltro già evidenziato dal provvedimento del 26 aprile 2007 – c.d. catena assicurativa.

Privacy e Sanità. Arriva imperante lo stop del Garante all’uso illecito dei dati degli accertamenti medici

Avv. Vincenzo Colarocco

Il Garante privacy, in linea con il proprio costante orientamento in materia, è intervenuto il mese scorso con una nota conclusiva di un’istruttoria nell’ambito della quale ha ritenuto illecito il trattamento effettuato da un’azienda sanitaria e dalla società alla quale la stessa aveva messo a disposizione copie di immagini di esame diagnostici di alcuni pazienti.

L’acquisizione della copia di immagini Tac –contenenti informazioni sullo stato di salute- da parte della società era finalizzata alla partecipazione ad una gara d’appalto in seguito depositata nell’ambito di un contenzioso giudiziario. Operazioni, queste, non riconducibili a quelle per le quali era stata nominata “responsabile”, solitamente ricondotte all’ attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac.

Orbene, rilevati i trattamenti illeciti, il Garante privacy ha osservato come le operazioni eseguite perseguivano, infatti, finalità proprie della società (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile (quali ad esempio, le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac) e quindi di per sé non idonee a giustificare la nomina della stessa a responsabile del trattamento ai sensi dell’art. 28 del GDPR.

Cookie: è necessario il consenso attivo degli utenti di Internet

Avv. Vincenzo Colarocco

Di recente la sentenza C-673/17 della Corte di Giustizia UE ha definito ulteriormente i requisiti del consenso, nello specifico per quel che riguarda l’installazione di cookie, sia a norma del GDPR che della Direttiva 95/46/CE.

Nel caso di specie, la Corte ha ritenuto inammissibile la pratica di richiedere il consenso degli utenti all’uso dei cookie tramite caselle di spunta preselezionate in quanto contraria al GDPR ed ha al contempo aggiunto che l’utente debba essere sempre informato sulla durata di conservazione dei cookie poiché il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie vanno annoverati tra le informazioni che il fornitore di servizi deve comunicare all’utente.

Il caso specifico riguarda la società Planet49, attiva nel settore dei giochi online che, secondo l’accusa dei consumatori tedeschi, aggirava il sistema di raccolta del consenso attivo previsto dalla normativa: la società aveva predisposto una casella di spunta preselezionata per l’installazione di cookie. Il Bundesgerichtshof (Corte federale di giustizia tedesca) ha sollevato una questione interpretativa dinnanzi alla Corte di giustizia sul diritto dell’Unione in materia di tutela della vita privata nel settore delle comunicazioni elettroniche, perché specificasse quali informazioni debbano essere fornite all’utente riguardo l’uso dei cookie. Sul punto la Corte ha stabilito che “Il requisito della manifestazione della volontà della persona interessata evoca un comportamento attivo e uno passivo, il consenso espresso tramite una casella di spunta preselezionata non implica un comportamento attivo da parte dell’utente di un sito internet, solo un comportamento attivo da parte di detta persona al fine di manifestare il proprio consenso è idoneo a soddisfare tale requisito” ed ha aggiunto che il silenzio, l’inattività o la preselezione di caselle non configurano una manifestazione del consenso.