Articoli

L’Autorità garante per la privacy multa Rousseau, piattaforma del partito M5S

Avv. Vincenzo Colarocco

Con il provvedimento n. 83 del 9 aprile 2019 il Garante privacy offre preziosi spunti e raccomandazioni da tenere in debita considerazione per lo svolgimento della “Privacy Impact Assessment” (c.d. “PIA”, cfr. art. 35 GDPR) e per l’adozione di misure di sicurezza tecniche e organizzative idonee a garantire la protezione dei dati personali (cfr. art. 32 GDPR).

Nel caso di specie l’Autorità, chiamata a pronunciarsi in merito all’adeguatezza dei sistemi informatici riferiti alla piattaforma Rousseau e ad altri siti connessi al “Movimento 5 Stelle”, ha prescritto l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti di tali siti web conformi ai principi della disciplina in materia di protezione dei dati personali, a tal fine ingiungendo all’”Associazione Rousseau” “quale responsabile del trattamento e in tale qualità trasgressore, il pagamento entro 180 giorni dalla data di ricezione del presente provvedimento, di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento”.

L’Autorità, in particolare, ha ritenuto che, malgrado un sostanziale innalzamento dei livelli di sicurezza inizialmente previsti nell’ambito dei siti web oggetto del provvedimento n. 548 del 21 dicembre 2017, il trattamento di specie fosse comunque posto in essere in violazione della normativa vigente. Tanto in virtù dell’evidenza che il detto trattamento aveva ad oggetto anche dati particolari di cui all’art. 9 del GDPR e che la violazione si protraeva per un tempo significativo, interessando un rilevante numero di soggetti, riscontrandosi quindi una carenza di misure tecniche ed organizzative nonché l’utilizzo di sistemi e dispositivi obsoleti. Infatti, tale circostanza, unitamente a quanto rilevato in materia di auditing informatico, renderebbe evidente come le misure adottate -consistenti in procedure organizzative o comunque non basate su automatismi informatici- lasciando esposti i risultati delle votazioni ad accessi ed elaborazioni di vario tipo, non garantirebbero l’adeguata protezione dei dati personali relativi alle votazioni online.

Tanto premesso il Garante, in conformità con quanto previsto dall’art. 32 del GDPR, ha accertato il “mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiuti” nonché la “condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione delle piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai solo dati necessari nei diversi ambiti di operatività”.

Violare la privacy dei minori costa caro: il caso dell’app TikTok

Avv. Vincenzo Colarocco

Il consenso dei minori al trattamento dei dati personali è una questione delicata, ed è stata recentemente oggetto di attenzione della Federal Trade Commission. Quest’ultimo -ente statunitense preposto alla tutela dei consumatori- ha sanzionato l’app musicale TikTok, che conta 500 milioni di utenti attivi mensili e di proprietà di Bytedance, per aver violato la privacy dei propri utenti minorenni. A riguardo, è stata comminata una sanzione da 5,7 milioni di dollari in ragione di una palese violazione del Children’s Online Privacy Protection Act, legge che negli USA regola la protezione della privacy dei minorenni in rete, e che vieta la raccolta e il trattamento di dati sensibili da soggetti minori di 18 anni senza che vi sia il consenso dei genitori o dei tutori legali.

Secondo una nota diffusa dalla Federal Trade Commissionl’operatore era a conoscenza del fatto che l’ applicazione fosse utilizzata da soggetti minorenni, eppure ha deliberatamente mancato di ottenere il consenso dei genitori prima di raccogliere nomi, indirizzi email e altri dati sensibili di utenti di età inferiore ai tredici anni“, inaugurando un precedente sanzionatorio nell’ambito della violazione della privacy di soggetti minori.

Invero, il testo normativo, il Children’s Online Privacy Protection Act, sulla base del quale è stata comminata la sanzione prevede che “an operator is required to obtain verifiable parental consent before any collection, use, or disclosure of personal information from children, including consent to any material change in the collection, use, or disclosure practices to which the parent has previously consented”. Nonostante la chiarezza del testo di legge gli operatori di TikTok consentivano l’utilizzo dell’applicazione da parte di soggetti minori, che conferivano dati personali quali nome, cognome, indirizzo e-mail, immagine, numero di telefono e altre informazioni personali, senza che nell’utilizzo dell’applicazione fosse stato richiesto il preventivo consenso dei soggetti legittimati a fornirlo per loro conto, e quindi genitori o tutori legali. Ad attivare la procedura sanzionatoria da parte dell’ente americano competente in materia, sono state le migliaia segnalazioni ricevute da parte dei genitori dei soggetti interessati, le quali hanno dato origine ad un precedente importantissimo nell’ambito della violazione dei dati personali online di minori, e in relazione al quale, in ambito europeo, lo stesso GDPR, all’art. 8, ha dedicato un’attenzione particolare, disciplinando dettagliatamente il tema del consenso e le relative condizioni, avendo a riguardo i servizi della società dell’informazione.

Il comitato europeo per la protezione dei dati personali avvia la consultazione pubblica sulle Linee guida in materia di codici di condotta

Avv. Vincenzo Colarocco

Il 12 febbraio 2019, il Comitato Europeo per la protezione dei dati personali ha sottoposto a consultazione pubblica le Linee Guida redatte in materia di codici di condotta. Queste mirano a fornire orientamenti pratici e supporto interpretativo rispetto all’applicazione degli articoli 40 e 41 del Regolamento generale sulla protezione dei dati. In questo senso, le Linee Guida andranno lette in combinato disposto con le procedure e le norme relative alla presentazione, all’approvazione e alla pubblicazione dei codici di condotta a livello sia nazionale che europeo.

No alla pubblicazione dei dati dei dirigenti pubblici: l’arresto della Corte costituzionale

Avv. Vincenzo Colarocco

Con sentenza n. 20, del 21 febbraio 2019, la Corte Costituzionale ha dichiarato l’illegittimità della disciplina sulla pubblicazione dei dati patrimoniali dei dirigenti pubblici: la disposizione viziata estendeva a tutti i dirigenti pubblici, a prescindere dal ruolo ricoperto, l’obbligo di pubblicazione dei dati relativi, da un lato, ai compensi percepiti per lo svolgimento dell’incarico, dall’altro, ai dati patrimoniali ricavabili dalla dichiarazione dei redditi, dalle annotazioni risultanti dai registri immobiliari, nonché dal possesso di quote societarie. A parere della Corte, il diritto alla riservatezza dei dipendenti pubblici, da intendersi come il diritto a controllare la circolazione delle informazioni inerenti la propria persona, è stato compresso a fronte dell’esigenza di garantire il principio di trasparenza delle pubbliche amministrazioni, finalizzato alla lotta alla corruzione nella pubblica amministrazione. La P.A. –sostiene la Corte– non ha in precedenza dato applicazione al principio di proporzionalità del trattamento che domina la disciplina a tutela dei dati personali, pienamente recepito dall’art. 5 del Regolamento europeo 2016/679, meglio noto come GDPR, andando a prediligere la misura più appropriata per assicurare il bilanciamento tra i diritti e per non sacrificare la riservatezza degli interessati. Se da un lato, si rende necessaria la previsione di strumenti che consentano al cittadino di accedere liberamente alle informazioni sull’impiego delle risorse pubbliche, dall’altro – come correttamente rileva la Corte – non appare giustificato l’accesso incondizionato anche in relazione a categorie di dati non strettamente connesse all’esercizio di pubblici incarichi, come ad esempio il patrimonio immobiliare del dipendente pubblico. A ciò si aggiunga che nella pubblicazione di tali dati la P.A. non ha operato alcuna distinzione tra i dirigenti, in relazione al ruolo, alle responsabilità e alla carica ricoperta: la Corte ha ritenuto tale scelta un effettivo rischio di generare “opacità per confusione”, oltre che di stimolare forme di ricerca tendenti unicamente a soddisfare mere curiosità. Con la pronuncia del 21 febbraio, sono stati opportunamente bilanciati e garantiti il diritto alla privacy e la tutela minima delle esigenze di trasparenza amministrativa, individuando, in conclusione, nei dirigenti apicali delle amministrazioni statali (previsti dall’articolo 19, commi 3 e 4, del decreto legislativo n. 165 del 2001) coloro ai quali sono applicabili gli obblighi di pubblicazione imposti dalla disposizione censurata: con riferimento a tali dirigenti di compiti di elevatissimo rilievo, infatti, l’obbligo di totale trasparenza non è appare irragionevole. A fronte di tale intervento della Corte, il legislatore nazionale è ora tenuto a ritracciare il perimetro della categoria dei destinatari degli obblighi di trasparenza e delle modalità con cui questi devono essere attuati, nel rispetto dei principi tracciati da questa pronuncia.

Videosorveglianza e modifica degli assetti aziendali: cosa fare?

Avv. Vincenzo Colarocco

Con la circolare n. 1881 del 25 febbraio 2019, avente ad oggetto “indicazioni operative in ordine al rilascio di provvedimenti autorizzativi”, l’Ispettorato Nazionale del Lavoro (INL) fornisce una serie di indicazioni operative circa la corretta applicazione dell’art. 4 della legge 300/1970 (Statuto dei Lavoratori) nelle ipotesi di intervenuti processi di modifica degli assetti proprietari (quali a mero titolo esemplificativo, cessioni, fusioni, affitto di ramo d’azienda, ecc.).

In particolare, ci si chiede se, nelle ipotesi di cambiamento di titolarità dell’impresa che ha installato impianti audiovisivi o altri strumenti di controllo a distanza dei lavoratori sia necessario rinnovare le procedure di accordo in sede sindacale o autorizzativa o se sia sufficiente che la sopravvenuta modifica della proprietà venga resa formalmente nota alle sedi competenti dell’Ispettorato.

Su tale aspetto, l’INL è intervenuto precisando quanto segue: “il mero “subentro” di un’impresa in locali già dotati degli impianti/strumenti non integra di per sé profili di illegittimità qualora gli impianti/strumenti stessi siano stati installati osservando le procedure (accordo collettivo o autorizzazione) previste dall’art. 4 della L. n. 300/1970e non siano intervenuti mutamenti dei presupposti legittimanti (organizzative e produttive, quelle di sicurezza sul lavoro e quella di tutela del patrimonio aziendale) e delle modalità di funzionamento degli strumenti di sorveglianza.

Resta fermo l’obbligo per l’azienda “che subentra” di: (i) comunicare all’Ufficio che l’ha rilasciato, gli estremi del provvedimento di autorizzazione all’installazione degli impianti; (ii) di rendere una dichiarazione attestante che –con il cambio di titolarità- non sono mutati né i presupposti legittimanti il suo rilascio, né le modalità di uso dell’impianto audiovisivo o dello strumento autorizzato.

Tale circolare è del tutto coerente con la responsabilizzazione (c.d. accountability), prevista dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali demandando alle aziende le modalità di tutelare un proprio interesse legittimo, rispettando, pur sempre, la dignità e la riservatezza dei lavoratori.

Cambridge Analytica: chiusura dell’istruttoria

Avv. Vincenzo Colarocco

Il Garante per la privacy ha concluso, con provvedimento del 10 gennaio 2019 [doc. web n. 9080914], l’istruttoria avviata nei confronti di Facebook sul caso “Cambridge Analytica”, società di analisi che ha raccolto i dati personali di oltre 50 milioni di utenti di Facebook. Nel corso dell’istruttoria veniva accertato, preliminarmente, che i fatti si sarebbero verificati prima dell’applicabilità del Regolamento UE 2016/679 –quindi sotto la vigenza della Direttiva 95/46/CE– e ben prima del Codice Privacy, così come modificato ai sensi del D.lgs. 101/2018. Al termine delle verifiche è stato accertato che i dati personali dei cittadini italiani (tra i quali, a mero titolo esemplificativo, i dati del profilo pubblico (nominativo e genere), data di nascita, lista di amici, ecc.), acquisiti tramite l’app “Thisisyourdigitallife” e raccolti attraverso la funzione “Facebook Login”, venivano trattati illecitamente, in quanto in assenza di una idonea informativa e di uno specifico consenso. Nel corso della medesima istruttoria è inoltre emerso –e nello specifico in occasione delle elezioni politiche del 4 marzo 2018– che mediante il prodotto “Candidati” veniva consentito agli elettori, previo rilascio del loro indirizzo postale, di avere specifiche informazioni sui candidati nella propria circoscrizione elettorale, nonché, nella “Sezione notizie”, veniva data la possibilità di acquisire “informazioni sul voto” e/o di “condividere” il fatto di aver votato. Sul punto, il Garante ha rilevato che queste funzioni, messe a disposizione dalla piattaforma Facebook, non erano previste, né tantomeno indicate nella “data policy” di quest’ultima, ed erano pertanto, difficilmente riconducibili all’ambito delle proprie finalità, oltre che potenzialmente idonee a rilevare le opinioni politiche dei cittadini italiani. Il Garante ha, dunque, negato l’utilizzo a Facebook di ogni dato personale o informazione espressa dagli utenti mediante le modalità sopradescritte trasmettendo all’Autorità per la protezione dei dati irlandese le valutazioni di competenza.

Il caso Wind Tre: iniziative di telemarketing e trattamento illecito di dati

Avv. Vincenzo Colarocco

Il Garante della Privacy è intervenuto nuovamente sul tema del trattamento dei dati personali in relazione ad iniziative di marketing, pronunciandosi nei confronti di Wind Tre s.p.a.. All’esito di un’istruttoria avviata a seguito di numerose segnalazioni che lamentavano la ricezione di telefonate con operatore e di sms indesiderati a contenuto promozionale, l’Autorità Garante italiana ha emesso un’ordinanza di ingiunzione nei confronti di Wind Tre s.p.a (Provvedimento n. 493 del 29 novembre 2018) condannando la compagnia di telecomunicazioni al pagamento di una sanzione pecuniaria pari a 600 mila euro. La sanzione deriva da un provvedimento adottato nel mese di maggio 2018 (Provvedimento n. 330 del 22 maggio 2018) e quindi precedente all’entrata in vigore del Regolamento n. 679/2016, nell’ambito del quale l’Autorità aveva dichiarato illecito il trattamento dei dati dei clienti effettuato dalla società telefonica a fini di marketing. Le violazioni contestate a Wind Tre s.p.a. dal Garante Privacy sono da ricondurre a due condotte specifiche: la mancata verifica delle liste di chi non aveva prestato il consenso per essere contattato a scopi pubblicitari (“black list”), detenute dalla società, nelle quali erano presenti i segnalanti, e la sistematica, prolungata e illecita comunicazione di dati della clientela a terzi partner commerciali. La società, infatti aveva proceduto ad un’erronea qualificazione soggettiva della maggior parte dei punti vendita, individuandoli come titolari autonomi, anziché come responsabili del trattamento, incorrendo pertanto in una illecita comunicazione. Inoltre, tutte le richieste provenienti dai soggetti interessati inerenti alla revoca del consenso per finalità di telemarketing e marketing non erano state registrate ed organizzate dalla società ma solo  comunicate ai partner, che avrebbero dovuto poi provvedere in autonomia. Pertanto, accertata l’illiceità del trattamento, nel definire l’importo dovuto, l’Autorità ha tenuto conto della gravità delle violazioni contestate, del fatto che siano stati impiegati differenti canali di contatto (telefonate, sms) con esponenziale aumento dell’invasività delle campagne promozionali, della loro reiterazione nel tempo nonché della dimensione e delle condizioni economiche della società, ma anche – in termini favorevoli – del fatto che Wind Tre s.p.a abbia posto in essere autonome iniziative per eliminare le criticità emerse. Inoltre, sulla qualifica soggettiva dei partner commerciali, l’Autorità ha chiarito che l’omessa designazione di tali soggetti quali “responsabili del trattamento” ha dato luogo ad una sistematica oltre che prolungata comunicazione illecita dei dati riferiti alla clientela a terzi, fino al 93% degli operatori economici che vanno a comporre la rete commerciale della Società. Tuttavia, l’iniziale sanzione di 150 mila euro è risultata  inefficace, costringendo l’Autorità in questa occasione ad aumentarla del quadruplo, arrivando cosi alla somma di 600 mila euro.

Diritto d’accesso dei lavoratori e riservatezza aziendale: quali Limiti?

Avv. Vincenzo Colarocco

Con l’ordinanza n. 32533 del 14 dicembre 2018, la Suprema Corte di Cassazione, rigettando il ricorso promosso da una banca avverso una sentenza del Tribunale di Roma (confermativa di un precedente provvedimento reso dal Garante per la protezione dei dati personali), ha ribadito la sussistenza del diritto di accesso in favore del dipendente rispetto alla documentazione inerente ad un procedimento disciplinare cui il medesimo era stato sottoposto. In particolare, il dipendente in questione proponeva ricorso dinanzi al Garante Privacy ribadendo la richiesta (già formulata all’istituto di credito datore di lavoro) di ottenere due documenti elaborati dalla banca che, inevitabilmente, riportavano alcuni suoi dati personali. L’istante sosteneva che l’accesso a tali dati avrebbe trovato giustificazione nell’esigenza di esercitare il proprio diritto di difesa e di impugnazione avverso la sanzione irrogatagli. La Banca replicava di aver fornito al ricorrente tutte le informazioni necessarie, essendo le stesse riportate all’interno della lettera di contestazione trasmessagli, in più assumeva che i documenti oggetto di richiesta, oltre a contenere dati della società di uso strettamente interno (in quanto espressione del diritto, costituzionalmente garantito, di organizzare e gestire la propria attività), risultavano atti “endoprocedimentali” e, pertanto, attinenti solo al momento formativo della volontà datoriale, pertanto irrilevanti ai fini di esercizio dell’asserito diritto di difesa. Il Garante rilevava come a mente della versione del D. Lgs n. 196/2003 (“Codice Privacy”) ratione temporis applicabile, l’art. 8, comma 4 (ora abrogato dal D. Lgs. 101/2018), riconoscesse espressamente il carattere di dato personale dei c.d. “dati valutativi” (quelle informazioni personali che non hanno carattere oggettivo essendo relative a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo) e che, anche rispetto a questi ultimi, fosse possibile esercitare i diritti di cui all’art. 7 (anch’esso successivamente abrogato dal D. Lgs. 101/2018), compreso il diritto di accesso. L’Autorità precisava inoltre che il summenzionato diritto fosse esercitabile senza dover motivare la richiesta o dimostrare di dover acquisire i dati per difendere un diritto in giudizio. Dinanzi alle doglianze espresse dalla banca, gli Ermellini, rigettando il ricorso, precisano che il diritto di accesso non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza dello stesso soggetto interessato, atteso che scopo della norma suddetta è garantire  la verifica ratione temporis dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati; tale diritto, pertanto, andrebbe garantito in ogni momento del rapporto lavorativo, dal momento che “la documentazione relativa alle vicende del rapporto di lavoro, imposta dalla legge (come per i libri paga e matricola), o prevista dall’organizzazione aziendale (tramite circolari interne), dà luogo alla formazione di documenti che formano oggetto di diritto di accesso”. Inoltre, dalla lettura del disposto normativo in tema di diritto di accesso non si evince alcuna specifica limitazione in ordine alle concrete finalità per le quali il diritto di accesso possa essere esercitato. Il diritto di accesso, quindi, ben può essere utilizzato dal dipendente per proprie finalità difensive.

Consulenti del lavoro: il Garante Privacy chiarisce “sono responsabili del trattamento”

Avv. Vincenzo Colarocco

Con l’entrata in vigore del Regolamento europeo n. 679/2016, anche noto come GDPR, i titolari del trattamento hanno iniziato ad interrogarsi sul ruolo da attribuire ai soggetti terzi che avrebbero dovuto compiere operazioni del trattamento per loro conto e, dunque, per le loro finalità, come per esempio i fornitori di servizi o i consulenti esterni. Tra questi, una figura molto dibattuta è stata quella del consulente del lavoro che nell’esercizio della propria prestazione professionale inevitabilmente tratta i dati personali dei dipendenti e collaboratori del titolare del trattamento. Il consulente tratterebbe i dati per la finalità – di gestione del rapporto lavorativo – definita dal titolare ma al tempo stesso manterrebbe una sostanziale autonomia, trattandosi di figura professionale dotata di competenze sue proprie. Con lettera del 24 settembre 2018 il Consiglio nazionale dei consulenti del lavoro ha sottoposto al Garante un quesito avente ad oggetto proprio il ruolo del consulente del lavoro alla luce del GDPR. Il Garante ha risposto al quesito sottopostogli in data 22 gennaio 2019 chiarendo come occorra distinguere il segmento di attività del consulente, se questi tratti i dati dei propri dipendenti ovvero dei propri clienti (persone fisiche) nella sua qualità di professionista. Nel primo caso, afferma il Garante, il consulente del lavoro agisce in piena autonomia e indipendenza determinando puntualmente le finalità e i mezzi del trattamento dei dati del cliente per il perseguimento di scopi attinenti alla gestione della propria attività e dovrà, quindi, ricoprire il ruolo di titolare del trattamento. Nel secondo caso, invece, occorre fare riferimento alla figura del responsabile, dal momento che il consulente tratterà i dati per finalità definite da altro soggetto, appunto, il titolare. Qualora, poi, il consulente si avvalga normalmente di collaboratori di propria fiducia, questi potranno operare sotto la sua diretta autorità e in base alle istruzioni impartite, configurando il rapporto preso in considerazione dall’art. 29 del Regolamento e dell’art. 2 quaterdecies del Codice della Privacy. Il Garante ha escluso a priori, invece, la sussistenza di un rapporto di contitolarità tra il datore di lavoro ed il consulente in questione. Ritenuto responsabile del trattamento, il consulente dovrà essere nominato con apposito atto o contratto ai sensi dell’art. 28 del GDPR ed al termine del rapporto professionale i dati contenuti negli archivi dovranno essere cancellati e/o consegnati al titolare conformemente alle condizioni individuate nel contratto di affidamento dell’incarico.

Impronte digitali per aprire le automobili: ipotesi percorribile?

Avv. Vincenzo Colarocco

Di recente, un noto marchio automobilistico ha sviluppato un sistema che consentirà ai guidatori di sbloccare la propria autovettura mediante l’impronta digitale. Tanto risulterà possibile attraverso l’installazione, sulla portiera del veicolo, di un sensore d’impronte digitali –tipico dell’interfaccia utente degli smartphone– che consentirà di registrare più impronte consentendo, così, l’utilizzo della stessa auto a più persone. Si segnala, inoltre, l’implementazione di ulteriori progetti finalizzati a consentire, in futuro, non solo l’apertura dell’auto ma, altresì, l’accensione della stessa migliorando ulteriormente i profili legati alla sicurezza degli utenti.

Il profilo personale del guidatore verrebbe quindi riconosciuto dall’automobile così consentendo all’utilizzatore di regolare anche i sedili, gli specchietti laterali e le impostazioni di connettività secondo le sue preferenze. In futuro, queste possibilità potrebbero estendersi anche alla regolazione della temperatura della cabina, della posizione del piantone dello sterzo e altre regolazioni personali.

La descritta tecnologia, destinata in futuro a remunerative opportunità di business per l’industria automobilistica, appare sicuramente promettente se adeguatamente implementata nel rispetto della privacy dell’utilizzatore e, in particolare, del trattamento dei suoi dati biometrici.