Articoli

L’Autorità garante per la privacy multa Rousseau, piattaforma del partito M5S

Avv. Vincenzo Colarocco

Con il provvedimento n. 83 del 9 aprile 2019 il Garante privacy offre preziosi spunti e raccomandazioni da tenere in debita considerazione per lo svolgimento della “Privacy Impact Assessment” (c.d. “PIA”, cfr. art. 35 GDPR) e per l’adozione di misure di sicurezza tecniche e organizzative idonee a garantire la protezione dei dati personali (cfr. art. 32 GDPR).

Nel caso di specie l’Autorità, chiamata a pronunciarsi in merito all’adeguatezza dei sistemi informatici riferiti alla piattaforma Rousseau e ad altri siti connessi al “Movimento 5 Stelle”, ha prescritto l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti di tali siti web conformi ai principi della disciplina in materia di protezione dei dati personali, a tal fine ingiungendo all’”Associazione Rousseau” “quale responsabile del trattamento e in tale qualità trasgressore, il pagamento entro 180 giorni dalla data di ricezione del presente provvedimento, di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento”.

L’Autorità, in particolare, ha ritenuto che, malgrado un sostanziale innalzamento dei livelli di sicurezza inizialmente previsti nell’ambito dei siti web oggetto del provvedimento n. 548 del 21 dicembre 2017, il trattamento di specie fosse comunque posto in essere in violazione della normativa vigente. Tanto in virtù dell’evidenza che il detto trattamento aveva ad oggetto anche dati particolari di cui all’art. 9 del GDPR e che la violazione si protraeva per un tempo significativo, interessando un rilevante numero di soggetti, riscontrandosi quindi una carenza di misure tecniche ed organizzative nonché l’utilizzo di sistemi e dispositivi obsoleti. Infatti, tale circostanza, unitamente a quanto rilevato in materia di auditing informatico, renderebbe evidente come le misure adottate -consistenti in procedure organizzative o comunque non basate su automatismi informatici- lasciando esposti i risultati delle votazioni ad accessi ed elaborazioni di vario tipo, non garantirebbero l’adeguata protezione dei dati personali relativi alle votazioni online.

Tanto premesso il Garante, in conformità con quanto previsto dall’art. 32 del GDPR, ha accertato il “mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiuti” nonché la “condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione delle piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai solo dati necessari nei diversi ambiti di operatività”.

“Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali”: di cosa si è discusso il 9 aprile 2019 presso la Sala Valente del Tribunale di Milano all’evento organizzato dall’Unione Giuristi per l’Impresa

Avv. Vincenzo Colarocco

Il 9 aprile 2019, presso la Sala Valente del Tribunale di Milano, si è tenuto l’evento organizzato da UGI – Unione Giuristi per l’Impresa, intitolato “Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali”. Il Presidente di UGI, nonché General Counsel e Data Protection Officer del Gruppo Mondadori, Avv. Ugo Ettore Di Stefano, ha dato avvio ai lavori proponendo l’obiettivo di delineare, insieme ai relatori chiamati al confronto, l’attuale scenario dell’adeguamento al GDPR delle imprese italiane, tenuto conto di novità, sfide ed anche preoccupazioni. L’occasione è stata promotrice del nuovo “Commentario al Regolamento UE 2016/679 e al Codice della Privacy aggiornato”, a cura degli Avvocati Andrea d’Agostino, Luca R. Barlassina e Vincenzo Colarocco, con prefazione della Dott.ssa Augusta Iannini, Vicepresidente dell’Autorità Garante per la protezione dei dati personali, edito da Amazon ed il cui ricavato sarà in parte destinato alle vittime del cyberbullismo.

All’esito dell’introduzione dell’Avv. Ugo Ettore Di Stefano, è intervenuta proprio la Dott.ssa Iannini, ponendo l’accento sull’importanza del principio di accountability introdotto dal Regolamento e su come questo abbia profondamente inciso sulla consulenza in ambito privacy: l’Autorità garante ha ribadito come l’approccio alla normativa sia divenuto proattivo, propositivo ed anche creativo. È seguito l’intervento dell’Avv. Andrea d’Agostino, Vicepresidente di UGI, Senior Legal Counsel e Responsabile Privacy del Gruppo Mondadori, che ha raccontato l’esperienza dell’adeguamento del suo gruppo, in particolare soffermandosi sul tema della “sensibilizzazione” – più che “formazione” – delle figure interne all’azienda sul tema della privacy. L’adeguamento – ha spiegato d’Agostino – deve mettere al centro i lettori (i clienti, ndr), comprenderne le esigenze e soddisfarle nel pieno rispetto dei loro diritti, così come oggi riconosciuti. Non si tratta di una affannosa lotta alla più aderente soluzione alla fine della quale “ne rimarrà solo uno”, un po’ come se fossimo destinati al the last DPO: citando Guerre Stellari e facendo sapiente uso dell’ironia, d’Agostino puntualizza l’importanza del dialogo e della cooperazione tra la figura del Data Protection Officer e quella dell’Autorità di controllo. Dalla visione aziendale alla disciplina dei dati personali nel settore pubblico: il Dott. Francesco Modafferi dell’Autorità garante ha introdotto il tema del valore delle banche dati per le Pubbliche Amministrazioni e della gestione degli stessi, alla luce dell’evoluzione tecnologica. Francesco Modafferi si è soffermato sul ricorso agli algoritmi in ambito pubblico per l’elaborazione di determinate informazioni e sulle esigenze da questo scaturite: come assicurare la trasparenza della PA a fronte di un sistema “poco trasparente”? Il tema dell’impiego degli algoritmi non può non far sorgere interrogativi anche di responsabilità civile. Di Giangiacomo Olivi, partner di Dentons, l’intervento dedicato al rapporto tra GDPR e nuove tecnologie: la vera sfida, a fronte di una evidente obsolescenza programmata della tecnologia e della monetizzazione del dato, è costituita in realtà proprio dalla disciplina applicabile: le tecnologie vengono applicate a livello globale ma i singoli Stati continuano ad emanare normative differenti tra loro che non consentono un uso uniforme e condiviso dei servizi offerti dall’innovazione. Non poteva mancare un focus sui temi del marketing e della profilazione, curato dal Dott. Luca Natali dell’Autorità Garante. L’art. 130 del Codice Privacy, come novellato dal decreto di armonizzazione n. 101/2018, offre alternative basi giuridiche al trattamento dei dati per finalità di marketing, tenuto conto della concreta attività svolta: dal meccanismo dell’opt-in a quello dell’opt-out, tenendo ferma “la stella” dei diritti dell’interessato. La giornata è quindi proseguita con gli interventi pomeridiani: l’Avv. Di Stefano si è soffermato su alcune riflessioni di opportunità nello svolgimento dei compiti affidati al ruolo del DPO: ricorrente anche in quella sede il fondamentale dialogo con l’Autorità di controllo. Non solo: Di Stefano mette difronte ad un dato di fatto che è quello della fallibilità delle procedure, valorizzando l’attività di remediation da condurre ex post rispetto alla predisposizione delle stesse.

Dal ruolo del DPO a quello del consulente in ambito privacy: l’Avv. Stefano Previti, titolare dello Studio Previti Associazione Professionale, ha riflettuto sulle molteplici sfaccettature del consulente al giorno d’oggi. Il consulente, infatti, non può e non deve più limitarsi a dare stretta applicazione alla normativa, ma deve sviluppare peculiari skills, tra cui rientrano la competenza manageriale, la conoscenza in ambito informatico e l’attitudine alla formazione del personale, in questo modo rappresentandosi come una risorsa polivalente per il titolare del trattamento, capace di guidarlo anche nelle scelte di business. Per chiudere il cerchio sulle figure soggettive, sono intervenuti l’Avv. Gaetano Arnò, DPO di PricewaterhouseCoopers TLS e a seguire il Dott. Filiberto E. Brozzetti dell’Autorità di controllo, con un compiuto excursus sulle figure di titolare, responsabile esterno e sub-responsabile del trattamento e sulle criticità spesso rilevate nella gestione contrattuale di tali ruoli.

L’intensa giornata di GDPR si è conclusa con gli autorevoli interventi sul quadro sanzionatorio delineato dal Regolamento e sulle modalità ispettive in ambito privacy dell’Avv. Daniele Vecchi, Partner di Gianni, Origoni, Grippo, Cappelli & Partners, dell’Avv. Veronica Pinotti, Partner di White Case LLP e del Colonnello Marco Menegazzo, Comandante del Nucleo Speciale Privacy della Guardia di Finanza. L’Avv. Vecchi, ripercorrendo molteplici case study, ha sostenuto che se, da un lato, con il GDPR si è giunti finalmente ad una disciplina unitaria di matrice europea sul trattamento dei dati personali, dall’altro, sussistono ancora oggi evidenti lacune normative che lo stesso GDPR non è in grado di colmare, oltre a scenari problematici anche recenti, quale può rappresentarsi la disciplina dei dati personali a fronte di una ipotesi di Hard Brexit. Il tema della “patologia” della privacy, e dunque dei possibili accertamenti amministrativi e dell’irrogazione delle sanzioni, è stato affrontato attraverso due differenti (ma comunque non distanti) visioni: quella del consulente del titolare del trattamento, portata sul tavolo dall’esperienza dell’Avv. Pinotti, e quella del Colonnello Menegazzo, il quale si è fatto promotore di un atteggiamento condiviso di cooperazione e collaborazione nell’ottica del primario interesse della tutela degli interessati.

All’esito della giornata, si può dire che l’obiettivo primario, in apertura introdotto dall’Avv. Di Stefano, sia stato ampiamente raggiunto, e non solo: il confronto sul tema dell’adeguamento, in ambito privato ma anche pubblico, ha consentito di riflettere insieme su alcuni scenari ancora oggi dubbi e di ottenerne le soluzioni medio tempore con l’ausilio dell’Autorità di controllo, di analizzare in prospettiva i ruoli coinvolti nello stesso, di poter affermare, in definitiva, come tale processo sia destinato a divenire continuativo e mai a cristallizzarsi.

Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali

Milano – 9 aprile 2019 – Tribunale di Milano

Download (PDF, 1.42MB)

Violare la privacy dei minori costa caro: il caso dell’app TikTok

Avv. Vincenzo Colarocco

Il consenso dei minori al trattamento dei dati personali è una questione delicata, ed è stata recentemente oggetto di attenzione della Federal Trade Commission. Quest’ultimo -ente statunitense preposto alla tutela dei consumatori- ha sanzionato l’app musicale TikTok, che conta 500 milioni di utenti attivi mensili e di proprietà di Bytedance, per aver violato la privacy dei propri utenti minorenni. A riguardo, è stata comminata una sanzione da 5,7 milioni di dollari in ragione di una palese violazione del Children’s Online Privacy Protection Act, legge che negli USA regola la protezione della privacy dei minorenni in rete, e che vieta la raccolta e il trattamento di dati sensibili da soggetti minori di 18 anni senza che vi sia il consenso dei genitori o dei tutori legali.

Secondo una nota diffusa dalla Federal Trade Commissionl’operatore era a conoscenza del fatto che l’ applicazione fosse utilizzata da soggetti minorenni, eppure ha deliberatamente mancato di ottenere il consenso dei genitori prima di raccogliere nomi, indirizzi email e altri dati sensibili di utenti di età inferiore ai tredici anni“, inaugurando un precedente sanzionatorio nell’ambito della violazione della privacy di soggetti minori.

Invero, il testo normativo, il Children’s Online Privacy Protection Act, sulla base del quale è stata comminata la sanzione prevede che “an operator is required to obtain verifiable parental consent before any collection, use, or disclosure of personal information from children, including consent to any material change in the collection, use, or disclosure practices to which the parent has previously consented”. Nonostante la chiarezza del testo di legge gli operatori di TikTok consentivano l’utilizzo dell’applicazione da parte di soggetti minori, che conferivano dati personali quali nome, cognome, indirizzo e-mail, immagine, numero di telefono e altre informazioni personali, senza che nell’utilizzo dell’applicazione fosse stato richiesto il preventivo consenso dei soggetti legittimati a fornirlo per loro conto, e quindi genitori o tutori legali. Ad attivare la procedura sanzionatoria da parte dell’ente americano competente in materia, sono state le migliaia segnalazioni ricevute da parte dei genitori dei soggetti interessati, le quali hanno dato origine ad un precedente importantissimo nell’ambito della violazione dei dati personali online di minori, e in relazione al quale, in ambito europeo, lo stesso GDPR, all’art. 8, ha dedicato un’attenzione particolare, disciplinando dettagliatamente il tema del consenso e le relative condizioni, avendo a riguardo i servizi della società dell’informazione.

Il phishing è inarrestabile!

Avv. Vincenzo Colarocco

L’8 marzo 2019, Microsoft Corporation ha rilasciato la 24° edizione del Microsoft Security Intelligence Report (SIR), un report che offre una panoramica delle minacce informatiche patite nel 2018. Il SIR, che è il risultato dell’analisi di 6.500 miliardi di minacce transitanti ogni giorno nel Cloud di Microsoft, da evidenza di come il phishing si confermi tra il metodo d’attacco più usato dai cyber criminali (nel 2018 è aumentata al 250% la percentuale di messaggi malevoli ricevuti dagli utenti), crollino i ransomwere e crescano, infine, i criptominer.

Questi ultimi sono virus installati sui computer delle vittime a loro insaputa, rubando la potenza di calcolo utile per coniare valute digitali come i bitcoin. Questo tipo di software funziona in background e, fino al momento in cui e prestazioni della macchina colpita non degradano sensibilmente, è difficile accorgersi della sua presenza. Può, quindi, continuare a lavorare per molto tempo indisturbato, assicurando così agli hacker profitti senza rischi esorbitanti. Il programma spesso di attiva con la semplice visita ad un sito web contraffatto.

Si chiude invece il periodo d’oro del ransomware. Questo tipo di attacco, il quale si realizza mediante la diffusione di programmi in grado di cifrare il contenuto dei dischi, ha subito un crollo del 60% tra il marzo del 2017 ed il dicembre del 2018. Tale diminuzione è imputabile allo sviluppo delle tecnologie di difesa, nonché, alla crescente sensibilizzazione degli utenti al problema, facendo dirottare, così, i cyber criminali verso altre tipologie d’attacco. Ad ogni modo, i ransomware sono ancora oggi uno dei primi vettori d’attacco per le aziende pubbliche italiane le quali, ad oggi, resistono ad utilizzare le nuove tecnologie di difesa.

Infine, il phishing, ossia l’adescamento via mail di potenziali vittime, si conferma il metodo d’attacco favorito dai cyber criminali. Tra gennaio e dicembre 2018, infatti, il quantitativo di messaggi segnalati come phishing è aumentato del 250%. L’obiettivo principale dei pirati informatici è quello di distribuire payload zero-day agli utenti, compromettendo così più o meno seriamente i sistemi colpiti.

In questo caso, gli hacker hanno cambiato le proprie tattiche in risposta ai tool e alle tecniche di rilevamento sempre più sofisticati.

Le campagne di phishing continuano a cambiare forma e sfruttano sempre con maggior frequenza più Url, domini e indirizzi IP per inviare le mail, appoggiandosi anche alle infrastrutture Cloud e utilizzando piattaforme di collaboration online per distribuire codice maligno e moduli di login fasulli per ottenere le credenziali delle vittime.

No alla pubblicazione dei dati dei dirigenti pubblici: l’arresto della Corte costituzionale

Avv. Vincenzo Colarocco

Con sentenza n. 20, del 21 febbraio 2019, la Corte Costituzionale ha dichiarato l’illegittimità della disciplina sulla pubblicazione dei dati patrimoniali dei dirigenti pubblici: la disposizione viziata estendeva a tutti i dirigenti pubblici, a prescindere dal ruolo ricoperto, l’obbligo di pubblicazione dei dati relativi, da un lato, ai compensi percepiti per lo svolgimento dell’incarico, dall’altro, ai dati patrimoniali ricavabili dalla dichiarazione dei redditi, dalle annotazioni risultanti dai registri immobiliari, nonché dal possesso di quote societarie. A parere della Corte, il diritto alla riservatezza dei dipendenti pubblici, da intendersi come il diritto a controllare la circolazione delle informazioni inerenti la propria persona, è stato compresso a fronte dell’esigenza di garantire il principio di trasparenza delle pubbliche amministrazioni, finalizzato alla lotta alla corruzione nella pubblica amministrazione. La P.A. –sostiene la Corte– non ha in precedenza dato applicazione al principio di proporzionalità del trattamento che domina la disciplina a tutela dei dati personali, pienamente recepito dall’art. 5 del Regolamento europeo 2016/679, meglio noto come GDPR, andando a prediligere la misura più appropriata per assicurare il bilanciamento tra i diritti e per non sacrificare la riservatezza degli interessati. Se da un lato, si rende necessaria la previsione di strumenti che consentano al cittadino di accedere liberamente alle informazioni sull’impiego delle risorse pubbliche, dall’altro – come correttamente rileva la Corte – non appare giustificato l’accesso incondizionato anche in relazione a categorie di dati non strettamente connesse all’esercizio di pubblici incarichi, come ad esempio il patrimonio immobiliare del dipendente pubblico. A ciò si aggiunga che nella pubblicazione di tali dati la P.A. non ha operato alcuna distinzione tra i dirigenti, in relazione al ruolo, alle responsabilità e alla carica ricoperta: la Corte ha ritenuto tale scelta un effettivo rischio di generare “opacità per confusione”, oltre che di stimolare forme di ricerca tendenti unicamente a soddisfare mere curiosità. Con la pronuncia del 21 febbraio, sono stati opportunamente bilanciati e garantiti il diritto alla privacy e la tutela minima delle esigenze di trasparenza amministrativa, individuando, in conclusione, nei dirigenti apicali delle amministrazioni statali (previsti dall’articolo 19, commi 3 e 4, del decreto legislativo n. 165 del 2001) coloro ai quali sono applicabili gli obblighi di pubblicazione imposti dalla disposizione censurata: con riferimento a tali dirigenti di compiti di elevatissimo rilievo, infatti, l’obbligo di totale trasparenza non è appare irragionevole. A fronte di tale intervento della Corte, il legislatore nazionale è ora tenuto a ritracciare il perimetro della categoria dei destinatari degli obblighi di trasparenza e delle modalità con cui questi devono essere attuati, nel rispetto dei principi tracciati da questa pronuncia.

Videosorveglianza e modifica degli assetti aziendali: cosa fare?

Avv. Vincenzo Colarocco

Con la circolare n. 1881 del 25 febbraio 2019, avente ad oggetto “indicazioni operative in ordine al rilascio di provvedimenti autorizzativi”, l’Ispettorato Nazionale del Lavoro (INL) fornisce una serie di indicazioni operative circa la corretta applicazione dell’art. 4 della legge 300/1970 (Statuto dei Lavoratori) nelle ipotesi di intervenuti processi di modifica degli assetti proprietari (quali a mero titolo esemplificativo, cessioni, fusioni, affitto di ramo d’azienda, ecc.).

In particolare, ci si chiede se, nelle ipotesi di cambiamento di titolarità dell’impresa che ha installato impianti audiovisivi o altri strumenti di controllo a distanza dei lavoratori sia necessario rinnovare le procedure di accordo in sede sindacale o autorizzativa o se sia sufficiente che la sopravvenuta modifica della proprietà venga resa formalmente nota alle sedi competenti dell’Ispettorato.

Su tale aspetto, l’INL è intervenuto precisando quanto segue: “il mero “subentro” di un’impresa in locali già dotati degli impianti/strumenti non integra di per sé profili di illegittimità qualora gli impianti/strumenti stessi siano stati installati osservando le procedure (accordo collettivo o autorizzazione) previste dall’art. 4 della L. n. 300/1970e non siano intervenuti mutamenti dei presupposti legittimanti (organizzative e produttive, quelle di sicurezza sul lavoro e quella di tutela del patrimonio aziendale) e delle modalità di funzionamento degli strumenti di sorveglianza.

Resta fermo l’obbligo per l’azienda “che subentra” di: (i) comunicare all’Ufficio che l’ha rilasciato, gli estremi del provvedimento di autorizzazione all’installazione degli impianti; (ii) di rendere una dichiarazione attestante che –con il cambio di titolarità- non sono mutati né i presupposti legittimanti il suo rilascio, né le modalità di uso dell’impianto audiovisivo o dello strumento autorizzato.

Tale circolare è del tutto coerente con la responsabilizzazione (c.d. accountability), prevista dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali demandando alle aziende le modalità di tutelare un proprio interesse legittimo, rispettando, pur sempre, la dignità e la riservatezza dei lavoratori.

Top Legal Academy – Data protection Officer e Privacy Matter exper

Roma – 15-16 marzo 2019 – Legance

La conoscenza del diritto relativo al trattamento dei dati personali rappresenta un bagaglio informativo ormai indispensabile per il professionista che opera a contatto con le aziende e che deve confrontarsi quotidianamente con una nuova disciplina europea e italiana, complessa e completamente rivoluzionata dall’avvento del GDPR.
TopLegal Academy presenta la seconda edizione del Master in Data Protection Officer e Privacy Matter Expert, un percorso di pecializzazione intensivo in 6 weekend sui temi più rilevanti della privacy e del trattamento dei dati personali. L’offerta si caratterizza per la presenza sinergica di docenti provenienti da prestigiosi studi legali, giuristi di impresa in aziende di primaria importanza e autorevoli esponenti del Garante per la Protezione dei Dati Personali. In aula la puntuale analisi normativa sarà accompagnata dall’esame di casi pratici ed esempi concreti, saranno esaminate le problematiche più ricorrenti nell’attività lavorativa del DPO e del Privacy Matter Expert e individuate le soluzioni operative e interpretative più idonee.

Download (PDF, 488KB)

Obiettivi
Il presente Master costituisce la IIa Edizione dopo quella di Milano del 2018 e ha l’obiettivo principale di fornire ai partecipanti conoscenze
tecnico/giuridiche in ambito privacy analizzando il nuovo contesto normativo di cui al Regolamento Europeo UE 2016/679 (GDPR) nonché i provvedimenti del Garante per la Protezione dei Dati Personali, del Working Party 29 (Gruppo 29) e la giurisprudenza in tema di privacy.
L’intero Master prevede giornate formative con docenze di avvocati specializzati e rinomati nel settore di riferimento, legali d’azienda esperti della materia, autorevoli esponenti del garante e professionisti tecnico/ informatici. L’attenta scelta dei professionisti e degli argomenti affrontati consente di fornire al partecipante conoscenze teoriche rigorose sempre accompagnate da esperienze pratiche, al fine di consentirgli di svolgere la professione di Data Protection Officer e/o Privacy Matter Expert al meglio delle proprie potenzialità.

Calendario
febbraio
Venerdì 15 – Sabato 16
Venerdì 22 – Sabato 23
marzo
Venerdì 1 – Sabato 2
Venerdì 8 – Sabato 9
Venerdì 15 – Sabato16
Venerdì 22 – Sabato 23

RELATORI:

Dott.ssa Augusta Iannini, Dott.ssa Michela Massimi – Garante per la Protezione dei Dati Personali

Avv. Andrea Fedi, Avv. Lucio Scudiero – Legance Avvocati Associati

Avv. Vincenzo Colarocco – Studio Previti

Avv. Matteo Orsingher, Avv. Fabrizio Sanna – Orsingher Ortu Avvocati Associati

Avv. Paola Pucci – Toffoletto, De Luca Tamajo e Soci

Ing. Giuseppe D’Agostino  – PwC Italia

Avv. Barbara Ferri – PwC TLS

Avv. Angela Maria Galiano – ALD Automotive Italia S.r.l.

Dott.ssa Fiorentina Russo – ALES S.p.A.

Dott .Fabrizio Cutrupi – AGM Solutions S.r.l.

Avv. Salvatore Modesto – Intesa SanPaolo

Avv. Andrea d’Agostino, Avv. Luca R. Barlassina, Avv. Ugo E. Di Stefano – Gruppo Mondadori

Avv. Gioia Vasintoni – Autostrade per l’Italia S.p.A.i

Dott. Francesco Modafferi, Dott.ssa Luana Patti – Garante per la Protezione dei Dati Personali

Avv. Roberta Quintavalle – Gruppo Mediaset

Avv. Luca Pierro – Fiditalia S.p.A

per maggiori informazioni.

Reddito di cittadinanza e GDPR: Il Garante interviene evidenziando i gravi rischi

Avv. Vincenzo Colarocco

Il Presidente dell’Autorità Garante per la protezione dei dati personali, con la memoria dell’8 febbraio 2019, evidenzia come molte norme del decreto legge 28 gennaio 2019 n. 4 presentino notevoli criticità sotto il profilo della protezione dei dati personali. Si rileva come, non essendo stato richiesto il parere preventivo previsto dall’art. 36 al paragrafo 4, non sia stato possibile preventivamente individuare i rischi derivanti dalle diverse attività di trattamento. Ad avviso del Garante, infatti, le norme mancano di sufficiente precisione: le previsioni, di portata generale, si rivelano inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati. In particolare, non appare rispettato il principio di proporzionalità poiché la sorveglianza su larga scala, continua e capillare, dei soggetti interessati determinerebbe un’intrusione sproporzionata e ingiustificata nella sfera privata dei singoli. Si contesta, in particolare, che attraverso le due piattaforme digitali, da istituire una presso l’ANPAL e l’altra presso il Ministero del lavoro, transiterebbe un massivo flusso di informazioni e di dati, riferiti tanto ai richiedenti quanto ai componenti il nucleo familiare degli stessi – ivi inclusi i dati dei minorenni – idonei anche a rivelare lo stato di salute o l’eventuale sottoposizione a misure restrittive della libertà personale. La mancanza di regole pertinenti e di adeguati accorgimenti, in grado di garantire la qualità e l’esattezza dei dati, espone a rischi di non poco momento. Forti dubbi si nutrono anche in merito al cd. monitoraggio sull’utilizzo della carta Rdc, su cui possono essere compiuti dei controlli puntuali, centralizzati e sistematici sulle scelte di consumo individuali, in assenza di procedure ben definite. L’Autorità si mostra preoccupata anche dalla Dichiarazione sostitutiva unica (DSU), presupposto per il riconoscimento del reddito di cittadinanza e prodromica al rilascio dell’attestazione Isee: il documento in parola, infatti, verrebbe precompilato a cura dell’INPS, con la collaborazione dell’Agenzia delle Entrate. La precompilazione, per quanto risponda all’ esigenza di semplificazione amministrativa, non può pregiudicare la sicurezza e l’integrità dei dati contenuti.. Il Garante, infine, rileva come il sito web del Governo, dedicato al reddito di cittadinanza, mostri alcune carenze, specie con riferimento all’informativa sul trattamento dei dati.

Cambridge Analytica: chiusura dell’istruttoria

Avv. Vincenzo Colarocco

Il Garante per la privacy ha concluso, con provvedimento del 10 gennaio 2019 [doc. web n. 9080914], l’istruttoria avviata nei confronti di Facebook sul caso “Cambridge Analytica”, società di analisi che ha raccolto i dati personali di oltre 50 milioni di utenti di Facebook. Nel corso dell’istruttoria veniva accertato, preliminarmente, che i fatti si sarebbero verificati prima dell’applicabilità del Regolamento UE 2016/679 –quindi sotto la vigenza della Direttiva 95/46/CE– e ben prima del Codice Privacy, così come modificato ai sensi del D.lgs. 101/2018. Al termine delle verifiche è stato accertato che i dati personali dei cittadini italiani (tra i quali, a mero titolo esemplificativo, i dati del profilo pubblico (nominativo e genere), data di nascita, lista di amici, ecc.), acquisiti tramite l’app “Thisisyourdigitallife” e raccolti attraverso la funzione “Facebook Login”, venivano trattati illecitamente, in quanto in assenza di una idonea informativa e di uno specifico consenso. Nel corso della medesima istruttoria è inoltre emerso –e nello specifico in occasione delle elezioni politiche del 4 marzo 2018– che mediante il prodotto “Candidati” veniva consentito agli elettori, previo rilascio del loro indirizzo postale, di avere specifiche informazioni sui candidati nella propria circoscrizione elettorale, nonché, nella “Sezione notizie”, veniva data la possibilità di acquisire “informazioni sul voto” e/o di “condividere” il fatto di aver votato. Sul punto, il Garante ha rilevato che queste funzioni, messe a disposizione dalla piattaforma Facebook, non erano previste, né tantomeno indicate nella “data policy” di quest’ultima, ed erano pertanto, difficilmente riconducibili all’ambito delle proprie finalità, oltre che potenzialmente idonee a rilevare le opinioni politiche dei cittadini italiani. Il Garante ha, dunque, negato l’utilizzo a Facebook di ogni dato personale o informazione espressa dagli utenti mediante le modalità sopradescritte trasmettendo all’Autorità per la protezione dei dati irlandese le valutazioni di competenza.