Articoli

Tratti i dati personali senza consenso? Per la Cassazione è illecito permanente

Con l’ordinanza 18288/20 la seconda sezione civile della Corte di Cassazione pone un principio destinato a incidere nell’attività di molti titolari di banche dati, non solo per le Big-Tech ma anche per i data-broker, gli intermediari che forniscono dati e profili alle aziende e per i fornitori di servizi tecnologici.
 
La fattispecie

Il casus belli esaminato dai giudici ermellini riguardava l’ingiunzione di 340 mila euro comminata nel 2013 al Garante per la protezione dei dati personali a Postel per aver violato gli obblighi di idonea informativa e di raccolta del consenso, unitamente agli articoli 162.2-bis, 164 e 164-bis del decreto legislativo 196/2003. Tra i motivi di gravame – oltre a profili di incostituzionalità – anche l’intervenuta prescrizione dell’azione amministrativa. Rilievi a cui però la Suprema Corte ha opposto la natura permanente di quegli illeciti, ancorché rimasti “dormienti” per un lungo periodo.

Il principio

Questo orientamento fa desumere un importante principio: il termine di prescrizione non decorre sino a quando sussiste l’illecito. La vittima avrà quindi la possibilità di agire contro il responsabile in qualsiasi momento – anche dopo molti anni – se medio tempore la condotta illecita non è terminata. Il dies a quo del termine prescrizionale decorrerà dal primo giorno di avvenuta cessazione dell’illecito.

Conclusioni

La Corte ha ritenuto che il trattamento di dati personali senza adeguata informativa e senza la raccolta del consenso dell’interessato siano illeciti permanenti e dunque soggetti alla sanzione ratione temporis prevista all’atto dell’accertamento da parte delle autorità di controllo.

La soluzione interpretativa, resa nell’ottica di una tutela rafforzata dei diritti dell’interessato, suscita molte perplessità circa l’impatto sulla prescrizione dell’illecito amministrativo e sulla ragionevole durata dei procedimenti.

Avv. Vincenzo Colarocco e Dott. Niccolò Olivetti

La Cassazione sui limiti alla diffusione dei dati personali di dipendenti comunali

Legittima la sanzione irrogata dal Garante a un Comune per aver pubblicato sull’albo pretorio on line per oltre un anno una determina dirigenziale contenete dati personali di un dipendente.

Con l’ordinanza numero 18292 del 3 settembre 2020 la Corte di Cassazione ha chiarito che l’ostensione da parte di un comune dei dati personali (non sensibili) di un dipendente, mediante pubblicazione sull’albo pretorio di una determina dirigenziale per un periodo superiore a 15 giorni, viola il codice della privacy.

Nel caso di specie il Comune aveva mantenuto visibili per oltre un anno sul proprio albo pretorio on line una determinazione dirigenziale dalle quali risultavano dati quali il nome e il cognome del dipendente e l’esistenza di un contenzioso con il Comune (determina di nomina del difensore dell’amministrazione, con relativo impegno di spesa), ma anche lo stato di famiglia, nonché la circostanza che vivesse da solo, che avesse avanzato una domanda di rateizzazione del debito e che tale istanza fosse stata rigettata.

Il Garante per la protezione dei dati personali ritenendo illegittima la diffusione dei dati personali di un dipendente comunale per un periodo superiore di quindici giorni stabiliti come periodo necessario di pubblicazione delle delibere comunali nell’albo pretorio ex art. 124 del Tuel, ha sanzionato l’ente locale. In particolare, secondo l’Autorità le predette informazioni, in quanto non afferenti all’assetto organizzativo degli uffici e pertanto non riconducibili alle strette esigenze di trasparenza amministrativa, avrebbero dovuto essere archiviate e celate immediatamente dopo la scadenza del termine minimo di quindici giorni.

Secondo gli ermellini, dunque, decorso il termine minimo di pubblicazione obbligatoria sull’albo pretorio delle determinazioni del Comune, gli atti amministrativi contenenti dati personali (praticamente tutti) devono essere cancellati e resi non più accessibili.

Avv. Ginevra Proia

Didattica a distanza ai tempi del Covid-19: l’istruzione non si ferma, ma attenzione ai dati dei minori e agli attacchi malevoli

Avv. Vincenzo Colarocco

L’emergenza causata dal diffondersi del Covid-19, presta il fianco a soggetti malintenzionati che, facendo leva sull’attuale situazione, fanno girare e-mail e pec dubbie che a volte contengono dei veri e propri malware o, addirittura, hackerano i sistemi.

È proprio delle ultime ore la notizia dell’attacco alle piattaforme didattiche e ai registri online gestiti da Axios, che in poche ore sono stati messi letteralmente fuori uso.

Per tali ragioni, se, come vedremo, da un lato l’utilizzo di queste piattaforme è senz’altro utile oltre che consigliato, dall’altro impone l’adozione di ulteriori e più rigide misure di sicurezza, anche atte a limitare errori umani.

Secondo quanto previsto dal Dpcm dell’8 marzo 2020, i dirigenti scolastici attivano, nel più ampio esercizio delle proprie prerogative, per tutta la durata della sospensione delle attività didattiche nelle scuole, modalità di didattica a distanza, con particolare attenzione alle specifiche esigenze degli studenti con disabilità (art. 2 lett. m). Previsione similare è contenuta nello stesso decreto per le Università per le quali le attività didattiche o curriculari possono essere svolte con modalità a distanza dalle stesse individuate (art. 2 lett. n).

Il MIUR, con la nota dell’8 marzo, ha chiarito che la didattica a distanza deve garantire, quanto più possibile, la continuità didattica che non consiste nella mera trasmissione di materiali ma si sostanzia in un insieme di attività che vanno “dalla registrazione delle lezioni, all’utilizzo di piattaforme per la didattica a distanza, presso l’istituzione scolastica, presso il domicilio o altre strutture”.

Anche il Garante per la protezione dei dati personali, con il Provvedimento del 26 marzo 2020, n. 64, ha fornito delle prime indicazioni utili per la didattica a distanza dal punto di vista privacy.

 In particolare, l’Autorità ha avuto modo di chiarire che gli istituti scolastici “dovranno conformarsi ai principi di privacy by design e by default, tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati (artt. 24 e 25 del Regolamento).Varie piattaforme o servizi on line permettono di effettuare attività di didattica a distanza, consentendo la configurazione di “classi virtuali”, la pubblicazione di materiali didattici, la trasmissione e lo svolgimento on line di video-lezioni, l’assegnazione di compiti, la valutazione dell’apprendimento e il dialogo in modo “social” tra docenti, studenti e famiglie. Alcune piattaforme offrono anche molteplici ulteriori servizi, non sempre specificamente rivolti alla didattica. Tra i criteri che devono orientare la scelta degli strumenti da utilizzare è, dunque, opportuno includere, oltre all’adeguatezza rispetto alle competenze e capacità cognitive di alunni e studenti, anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento).

Con riferimento al consenso è stato chiarito che le istituzioni scolastiche non devono richiedere il consenso per la gestione dei dati personali degli interessati trattati per il tramite delle piattaforme digitali non tanto perché era già stato rilasciato al momento dell’iscrizione quanto, piuttosto, perché è connesso all’esecuzione di un contratto di cui l’interessato è parte ovvero all’esecuzione di un compito d’interesse pubblico (art. 6 lett. b) ed e) del Regolamento).

Considerazioni diverse, invece, andrebbero fatte qualora si vogliano utilizzare dati particolari, ad esempio dati biometrici, per permettere tanto agli studenti che stanno per concludere il liceo quanto agli studenti universitari di sostenere gli esami da remoto. In questi casi il trattamento del dato biometrico dello studente è legittimato dall’acquisizione del suo consenso, ai sensi e per gli effetti dell’art. 9 lett. a) del Regolamento.

 “Le istituzioni scolastiche sono invece tenute, qualora non lo abbiano già fatto, ad informare gli interessati del trattamento secondo quanto previsto dagli artt. 13 e 14 del Regolamento UE 2016/679”. Così la nota del MIUR sull’informativa. In linea con quanto previsto dalla normativa vigente gli istituti scolastici sono tenuti a informare i propri studenti.

Il Garante Privacy ha avuto modo di precisare che “la valutazione di impatto, che l’art. 35 del Regolamento richiede per i casi di rischi elevati, non è necessaria se il trattamento effettuato dalle istituzioni scolastiche e universitarie, ancorché relativo a soggetti in condizioni peculiari quali minorenni e lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravarne i rischi per i diritti e le libertà degli interessati. Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio on line di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti o comunque non ricorre a nuove soluzioni tecnologiche particolarmente invasive (quali, tra le altre, quelle che comportano nuove forme di utilizzo dei dati di geolocalizzazione o biometrici)”.

Il Data Breach dell’INPS cosa ci insegna?

Avv. Vincenzo Colarocco

Un grande caso di data breach, in vigenza del GDPR ed in piena emergenza Covid-19, ha colpito l’Istituto nazionale della previdenza sociale (INPS), dal cui sito web è stato possibile accedere ad informazioni riguardanti i dati personali di un numero vastissimo di contribuenti.

L’evidente deficit di sicurezza informatica, dimostra come, specie per la pubblica amministrazione, non siano stati effettuati sufficienti investimenti e strutturati adeguati processi aziendali per la digitalizzazione. Il Garante privacy italiano, Antonello Soro, ha evidenziato come i descritti accadimenti siano gravissimi, aggiungendo di “aver preso contatto con l’Inps e avviato i primi accertamenti per verificare se possa essersi trattato di un problema legato alla progettazione del sistema o se si tratti invece di una problematica di portata più ampia”. E ancora, “quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è – ha proseguito il Garante – una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.

In questo momento di forte distanziamento sociale ma di avvicinamento digitale, pare necessaria una costante attenzione e una piena consapevolezza da parte dei titolari del trattamento nella gestione dei dati personali. In questo quadro, l’aderenza alle best practices è un tema rilevante, strategico ed indispensabile, anche in un ottica di accountability del titolare del trattamento; quest’ultimo, infatti, dimostrando di aver adottato concretamente tutte le misure tecniche e organizzative, idonee al caso di specie e volte alla riduzione dei rischi inerenti il trattamento dei dati, adempierà anche agli obblighi di legge.

È evidente come la situazione di crisi possa essere strumentalizzata dagli hacker per sfruttare le vulnerabilità derivanti dall’attuale situazione di emergenza correlata al Coronavirus ed al conseguente maggior ricorso alla digitalizzazione. Tuttavia, pare doveroso sottolineare come per il caso di specie non si sia trattato di un attacco perpetrato da terzi malintenzionati.

In questo contesto, le aziende e/o organizzazioni dovranno garantire la sicurezza dei dati personali dei cittadini. Al fine di limitare i rischi, sarà necessario, a questo proposito, attuare rapidamente azioni di prevenzione, informazione e formazione e redigere istruzioni interne.

Sarà opportuno:

  • facilitare la trasmissione delle informazioni istituendo, se necessario, canali dedicati per garantire la sicurezza e la riservatezza dei dati;
  • aumentare le misure tecniche e organizzative adottate (misure di contenimento, telelavoro, ecc.);
  • individuare adeguate contromisure in funzione dei parametri indicati negli articoli 25 e 32 del GDPR;
  • predisporre procedure di verifica periodica delle misure adottate per assicurarne l’efficacia;
  • sviluppare un sistema di miglioramento continuo sulla sicurezza dei dati personali verificando le vulnerabilità del sistema informatico e la consapevolezza di tutte le persone fruitori di detti servizi.

Si ritiene che l’importanza della questione della digitalizzazione assuma un rilievo non solo per gli addetti ai lavori ma anche per la politica, specie se si guarda alla pubblica amministrazione. Quanto è accaduto, è sintomo di una forte criticità insita nel Sistema Paese, dove le evidenti carenze tecniche rendono ancor più vulnerabili i diritti fondamentali dei cittadini.

È, quindi, opportuno cambiare assicurando l’adeguato investimento in competenza e formazione tenendo anche in considerazione che l’isolamento cui la popolazione è attualmente soggetta ha determinato un maggior ricorso agli strumenti informatici.

La ripartenza inizia anche da qui, assumendosi le responsabilità soprattutto nelle strategie politiche, investendo in cyber security, in competenze strutturate e nella cultura del dato, puntando già da subito allo sviluppo del contact tracing. In quest’ottica, è necessario che soprattutto la pubblica amministrazione si attivi per la predisposizione di infrastrutture di connettività, cloud, cyber security, big data e competenze ICT, pilastri su cui investire per sostenere la ricostruzione e modernizzazione del tessuto economico e sociale del nostro Paese, per rilanciare non solo l’economia ma anche l’ordinario vivere dello stesso.

FAQ Coronavirus – Data protection

In ragione del rischio sanitario connesso alla diffusione del Covid-19, la raccolta dei dati personali si rende necessaria per ragioni di accertamento e prevenzione. Occorre tuttavia distinguere le attività di prevenzione poste in essere dai soggetti istituzionali e sanitari da quelle dei soggetti privati e degli enti pubblici. Il Garante per la protezione dei dati personali ha infatti chiarito che tale attività deve essere svolta solo da soggetti che istituzionalmente esercitano queste funzioni in modo qualificato.

Ultimo aggiornamento 14 marzo 2020 Continua a leggere

CoronaVirus: come limitare il contagio con l’Intelligenza Artificiale nel rispetto della privacy

Avv. Vincenzo Colarocco

Nelle ultime settimane stiamo assistendo all’adozione di misure straordinarie nel tentativo di limitare il contagio da Covid-19, ma il fenomeno potrebbe essere efficacemente contenuto grazie a big data e intelligenza artificiale. L’utilizzo di dati aggregati, anonimizzati e su larga scala dei soggetti contagiati, permetterebbe infatti di elaborare modelli predittivi sull’evoluzione del contagio e di ricostruire gli spostamenti delle persone infette, evitando il sorgere di nuovi focolai e rispettando la privacy degli individui coinvolti. Per consultare l’articolo completo, clicca qui.

CoronaVirus: come limitare il contagio con l’Intelligenza Artificiale nel rispetto della privacy

A cura di Vincenzo Colarocco per Sanità24 de Il Sole 24 Ore. Continua a leggere

Intelligenza Artificiale: in arrivo il Libro Bianco della Commissione Europea

Avv. Vincenzo Colarocco

La Commissione Europea ha annunciato che il prossimo 19 febbraio sarà pubblicato il c.d. Libro bianco sull’Intelligenza artificiale (scopo di tale “White Paper” è quello di avviare un confronto con il pubblico, le parti interessate, il Parlamento europeo e il Consiglio al fine di raggiungere il consenso politico) che ha il precipuo obiettivo di gettare le fondamenta del dibattito sulle questioni etiche legate all’intelligenza artificiale.

Del testo, il quale rappresenta l’esito della discussione pubblica inerente proposte per affrontare le sfide poste da questa tecnologia, è disponibile una bozza pubblicata dal sito di informazione Euractiv. Le informazioni trapelate da tale bozza hanno avuto un ampia eco, specie quelle riguardanti la moratoria sul riconoscimento facciale: infatti, tra le proposte avanzate dalla Commissione, spicca quella che prevede la possibilità di vietare l’uso di sistemi di riconoscimento facciale nei luoghi pubblici per un periodo che va dai tre ai cinque anni al fine di “salvaguardare i diritti delle persone, in particolare contro ogni possibile abuso della tecnologia”.

Allo stato, si attende la pubblicazione del documento – che, stando a quanto dichiarato alla commissione Affari legali del Parlamento europeo dal Commissario alla Concorrenza, Margrethe Vestager, sarà accompagnato da una relazione sulla sicurezza e le responsabilità nell’intelligenza artificiale – per comprendere la posizione strategica che l’Unione Europea vuole adottare sul tema sempre più importante per la tutela degli interessati.

“Security-Enabled Transformation: la resa dei conti”: di cosa si è discusso del Politecnico di Milano presso l’Aula Magna Carassa e Dadda, campus Bovisa del Politecnico di Milano il 5 febbraio 2020

Avv. Vincenzo Colarocco

Lo scorso 5 febbraio 2020, presso l’Aula Magna Carassa e Dadda, campus Bovisa, si è tenuto il Convegno “Security-enabled transformation: la resa dei conti” in cui sono stati presentati i risultati della Ricerca dell’Osservatorio Security & Privacy della School of Management del Politecnico di Milano (in seguito anche “Osservatorio”).

I Responsabili Scientifici dell’Osservatorio, hanno dato avvio ai lavori proponendo, insieme ai relatori chiamati al confronto, la presentazione dei risultati della Ricerca. Dall’introduzione di questo evento, già si è potuto capire, l’intento di rispondere al bisogno di conoscere, comprendere e affrontare le principali problematiche dell’information security e privacy, monitorando l’utilizzo di nuove tecniche e tecnologie a supporto di tale area da parte delle aziende e user e creando una community permanente di confronto. Come è stato più volte ribadito durante l’evento e riprendendo le parole del Garante per la protezione dei dati personali, è necessario porre l’accento “sull’importanza della protezione dati come presupposto ineludibile della sicurezza individuale e collettiva, tanto più necessario all’epoca dei big data e dell’Internet di “ogni cosa”. Con riferimento all’evoluzione del mercato dell’information security, la dinamica del mercato conferma la maggiore attenzione al tema security e data protection. È seguito, poi, l’intervento di Raoul Brenna (Responsabile della Practice Cybesecurity in CEFRIEL e Direttore del Percorso di Alta Formazione per Cybersecurity Manager) che ha ribadito come dalle nuove tecnologie nascono nuove opportunità ma anche nuove minacce e come determinati fattori quali, la cultura, il livello di persone e di organizzazione, siano elementi imprescindibili in un’ottica di cybersecurity. A seguire vi sono state molteplici tavole rotonde incentrate sui temi della:

  • trasformazione digitale e il ruolo strategico della sicurezza: tra security-by-design e strumenti della difesa real time”;
  • gestione dell’Industrial Security: tecnologie, modelli organizzativi e scenari di rischio”: ci si è soffermati sulla necessità di guardare prima la minaccia e poi la vulnerabilità differenziando i casi di “minaccia economicamente motivata” (più pericolosa) da quelle minacce poste in essere da aggressori “non economicamente motivati”. Inoltre, è stato precisato come sia sempre più opportuno porre in essere delle simulazioni di attacco per la verifica delle procedure aziendali in linea con le aspettative di business. E ancora, ci si è soffermati sulla security by design: prevedendo dei piani di miglioramento della sicurezza a lungo termine (minimizzazione dei contenuti e introduzione di una security by design nei processi con proposizione di standard per l’integrazione dei sistemi di sicurezza (nuovi impianti e linee produttive).
  • “GDPR e data protection: procedure e strumenti per garantire la compliance alle normative”. Durante il confronto, sono state raccontate le esperienze di adeguamento di varie realtà aziendali.

A seguire, nel pomeriggio, si è dato avvio a due sessioni parallele, l’una incentrata sui temi più tecnologici con riferimento all’ “Evoluzione dell’Information security tra nuove minacce e specializzazione delle difese” moderata da L. Bechelli, e l’altra sugli “Strumenti per garantire la compliance normativa e una efficace gestione dei rischi”, moderata da G. Troiano. Durante quest’ultima fase e nel corso della prima sessione sono state evidenziate alcune feature importanti per un sistema di gestione integrato, tra cui:

  • la definizione di un modello organizzativo per la data privacy fondato sul principio di accountability o responsabilizzazione;
  • la centralità del ruolo del Data Protection Officer;
  • la necessità di adeguare il corpo normativo interno con aggiornamento dei controlli tecnologici e delle clausole contrattuali per la gestione delle terze parti;
  • la definizione di un’infrastruttura tecnologica;
  • la definizione di una struttura organizzativa;
  • la definizione esaustiva di minacce, misure di sicurezza, nonché di gestione del rischio orientato al miglioramento continuo, anche per una migliore gestione dei data breach.

Viola il diritto alla riservatezza e all’immagine chi pubblica le foto altrui su Facebook senza consenso

Avv. Vincenzo Colarocco

Viola il diritto alla riservatezza e all’immagine chi pubblica le foto altrui su Facebook senza consenso. È quanto disposto dal Tribunale di Bari accogliendo il ricorso di un uomo che chiedeva venissero rimosse le foto sue e dei suoi figli dal profilo Facebook della propria ex compagna.

La pubblicazione di una foto è subordinata alla manifestazione, esplicita o implicita, del consenso da parte della persona ritratta. E tale condizione “è prevista sia dalle disposizioni normative a tutela del diritto all’immagine (art. 10 c.c. et art. 96 legge 633/1941) sia da quelle a tutela del diritto alla riservatezza (art. 6 Regolamento UE 2016/679) poiché l’altrui pubblicazione di una propria immagine fotografica costituisce in ogni caso (e a prescindere dall’applicabilità o meno della normativa di tutela di riferimento) una forma di trattamento di un dato personale”.

Irrilevante la differenza tra negazione e cessazione del consenso. Nel caso di specie, il consenso del ricorrente risulta espressamente negato, o, comunque, ne risulta comunicata la cessazione.

Il giudice ha disposto anche una misura di coercizione indiretta dell’adempimento dell’obbligo a norma dell’articolo 614-bis del c.p.c., condannando la donna a corrispondere una somma per ogni giorno di ritardo nell’esecuzione dell’ordine di cancellazione.