Articoli

Data breach: le comunicazioni agli utenti non devono essere generiche

Avv. Vincenzo Colarocco

Con un provvedimento n. 106 del 30 aprile 2019, il Garante privacy ha ribadito –nei confronti di un importante fornitore di servizi di posta elettronica– la necessità di fornire le adeguate informazioni agli utenti coinvolti dal data breach. La decisione è stata presa dall’Autorità nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda.

Nel caso di specie, la violazione si è verificata in conseguenza di un attacco informatico ai sistemi di front end per la consultazione delle caselle di posta elettronica tramite webmail che, ancorché allo stato arginato, ha permesso che fosse acquisita, da parte di soggetti terzi ignoti, una grande quantità di credenziali di autenticazione (circa un milione e mezzo di utenti). L’accesso fraudolento alle caselle e-mail è sempre fonte di potenziale pregiudizio per gli interessati, quale rischio elevato per i diritti e le libertà delle persone fisiche (si pensi, al furto o usurpazione di identità).

A tal proposito, l’autorità garante ha chiarito che le comunicazioni agli utenti di intervenuti data breach, ai sensi dell’art. 34 del Regolamento, da parte di un fornitore di servizi non dovranno essere generiche, ma dovranno fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, ed in particolare:

(i)        contenere una descrizione della natura della violazione e delle sue possibili conseguenze;
(ii)       fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi (ad esempio, dovrà essere spiegato agli utenti di non utilizzare più le credenziali compromesse e di modificare la password utilizzata per l’accesso a qualsiasi altro servizio online se uguale o simile a quella violata).

Minimizzazione dei dati: il Garante danese sanziona una compagnia di taxi

Avv. Vincenzo Colarocco

Con un recente provvedimento pubblicato a seguito di un’attività ispettiva effettuata lo scorso ottobre, l’Autorità Danese, rilevando la sussistenza di una violazione del principio di minimizzazione dei dati, ha sanzionato con una multa da € 160.000,00 la società di taxi “Taxa 4×35”.

In dettaglio, nell’ambito del trattamento dati correlato agli ordini effettuati dai clienti, la società si era imposta una data retention pari a 2 anni, rilevando come un trattamento ulteriore non risultasse giustificato da alcuna necessità aziendale. L’Autorità, nell’ambito della suddetta attività ispettiva, verificava però come, per quanto la suindicata conservazione fosse concretamente realizzata ed adeguata rispetto alle finalità perseguite, non comprendesse tutti i dati identificativi del cliente. Infatti l’anonimizzazione era limitata al nome e al cognome, mentre non veniva intaccato il numero di telefono del cliente, dato per il quale la società aveva invece imposto una conservazione di 5 anni.

Alla luce di quanto sopra, la competente Autorità non ha potuto che constatare una violazione del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c) del Regolamento UE 679/2016 (“GDPR”). In particolare non risultava correttamente utilizzata la misura tecnica dell’anonimizzazione dal momento che, prevedendo una retention più ampia per il numero di cellulare del cliente, a quest’ultimo ben potevano essere ricondotti una serie di dati afferenti alla corsa in taxi effettuata (es: data della corsa, ora di inizio e di fine della stessa, il numero di chilometri percorsi, il pagamento, la posizione iniziale e finale specificati come coordinate GPS) oltre il termine di due anni previsto per la conservazione del proprio nome e cognome.

È infatti evidente come, finché una corsa in taxi può essere collegata al cliente che ha prenotato il viaggio, le relative informazioni sono da considerarsi informazioni personali sul cliente.

Riscatti: il sequestro di “persona” nell’era digitale

Avv. Vincenzo Colarocco

L’avvento dell’era digitale ha determinato una trasformazione nella fisionomia delle tradizionali forme di criminalità, inducendo altresì una crescita esponenziale della frequenza con cui, grazie all’uso dello strumento informatico, sono perpetrati gli illeciti comuni: quale il furto di dati compiuto direttamente sui personal computer.

Gli strumenti usati sono diversi. Fino a qualche tempo fa venivano usati i c.d. Ransom Trojans, “trappole” che convincevano gli utenti ad accettare i termini del malware con la scusa di sterilizzare i computer da false minacce come virus o errori di sistema; oggi, molto in voga tra le organizzazioni cybercriminali, sono i Ransomware, malware che, tramite la tecnica dell’Encryption (metodo codificante i dati in un formato che sia impossibile da leggere per chi non è autorizzato a farlo) limitano l’accesso al dispositivo infettato.

In entrambi i casi l’obiettivo è uno soltanto: farsi pagare dalle vittime ingenti somme di denaro al fine di restituire i dati o sciogliere le limitazioni d’accesso. Questo crea, ovviamente, grandi difficoltà, soprattutto laddove non sono poste politiche di sicurezza adeguate e quindi la possibilità di recupero dei dati da copie di backup o altre tecniche di archiviazione sicura.

Ma non finisce qui. La tecnica del riscatto è impiegata anche in situazioni diverse. Infatti, in alcuni casi, le organizzazioni di cybercriminali sono riuscite ad accedere ad interi database, giovando sulle criticità dei sistemi di autenticazione e copiandone i contenuti dietro pagamento di un prezzo imposto.

A subire l’offensiva, proprio qualche giorno fa, sono stati i servizi di hosting GitHub, Bitbucket e GitLab. Centinaia di repository di codice sorgente Git sono stati cancellati e sostituiti con una richiesta di riscatto da parte degli aggressori. L’attacco sulle diverse piattaforme è stato lanciato, coordinatamente, il 3 maggio.

Facebook e il negoziato con la FTC per la nomina di un comitato di supervisione privacy

Avv. Vincenzo Colarocco

Nel contesto dell’indagine aperta dalla Federal Trade Commission (FTC) per il caso Cambridge Analytica sono in corso delle trattative tra Facebook e la sopra citata agenzia governativa americana per la negoziazione di un accordo che prevede una fortificazione delle privacy practices dell’azienda.

Tra gli aspetti oggetto di negoziazione sembrerebbe che Facebook per rafforzare la tutela dei dati dei propri utenti abbia accettato di creare un privacy committee da riunire trimestralmente, composto da membri del Consiglio di amministrazione di Facebook. Il negoziato in corso prevede, inoltre, la possibilità di designare un valutatore esterno -nominato congiuntamente da Facebook e dalla FTC- che rivesta il ruolo di soggetto in grado di analizzare la condotta dell’azienda relativamente agli ordini impartiti dalla FTC oltre che monitorare le politiche sulla privacy di Facebook. Si è prospettata, infine, la possibilità di nominare un responsabile della conformità, che potrebbe essere lo stesso Mark Zuckerberg.

Tutti gli impegni descritti e proposti in bozza di accordo, sono da inquadrare nell’ambito dell’istruttoria avviata dalla FTC per accendere un faro sul caso Cambridge Analytica, il quale ha profondamente segnato il rapporto tra Facebook e gli utenti facendo emergere con chiarezza la fondamentale importanza della protezione dei dati personali all’interno dei social media.

In relazione al caso –esploso nel marzo 2018- è in corso una valutazione (sulla più che plausibile) violazione di un accordo vincolante siglato nel 2011 con Facebook denominato consent decree secondo cui gli utenti devono sempre essere avvisati sull’eventuale uso dei propri dati personali che può avvenire solo con il loro consenso: si prevede quindi oltre che la previsione di una ingente sanzione, anche l’intesa su una nuova governance sulla privacy degli utenti.

No all’uso dei dati senza consenso di ex-pazienti per propaganda elettorale

Avv. Vincenzo Colarocco

Con il provvedimento del 14 febbraio 2019 il Garante ha comminato una sanzione di 16 mila euro a un medico che ha utilizzato gli indirizzi di circa 3.500 ex-pazienti per inviare lettere a sostegno di un candidato alle elezioni politiche regionali del 4 marzo 2018, senza che gli interessati avessero espresso alcun specifico consenso a riguardo e per finalità completamente differenti (quelle di promozione politico-elettorale).

Le iniziative di propaganda elettorale, o collegate a referendum o alla selezione di candidati alle elezioni, costituiscono un momento particolarmente significativo della partecipazione alla vita democratica (art. 49 Cost.). Pertanto, se i dati sono raccolti presso l’interessato, quest’ultimo deve essere comunque informato a norma di legge delle caratteristiche del trattamento, salvo che per gli elementi che gli siano già noti (art. 13 del GDPR). Ancor di più, se i dati –come nel caso di specie– non vengono raccolti direttamente presso gli interessati (art. 14 del GDPR) ma ricevuti dall’Istituto oncologico all’atto della cessazione del rapporto di lavoro con la struttura sanitaria presso la quale prestava la sua attività in regime di libera professione.

È bene precisare, come già più volte chiarito dall’Autorità in materia di propaganda elettorale che i dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari, non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti (Provvedimento n. 107 del 6 marzo 2014). E tuttavia, il consenso è necessario anche per i dati raccolti nell’esercizio di attività professionali, di impresa o nell’ambito della professione sanitaria (Provvedimento n. 55 del 7 marzo 2019).

Un’opera collettiva a tutela della nostra privacy. Discorso del Presidente Soro in occasione della presentazione della relazione annuale

Avv. Vincenzo Colarocco

Il 7 maggio, alle ore 11:00, il Presidente del Garante per la protezione dei dati personali, Antonello Soro ha presentato al Parlamento e al Governo la relazione annuale dell’Autorità.

Dalle parole del Presidente è sembrato emergere che la rinnovata attenzione mostrata negli ultimi tempi alla privacy, in parte dovuta all’applicazione di una normativa non più solo nazionale, ha cristallizzato una certa consapevolezza: il dato è tanto l’oggetto di un diritto inviolabile quanto un bene suscettibile di valutazione economica, capace di produrre ingenti profitti. La stragrande maggioranza dei nostri dati è nella disponibilità di piattaforme digitali; l’unico modo per evitare un’inutile quanto infruttuosa guerra alla digitalizzazione, è scommettere sia sulla persona che sul progresso, nella prospettiva di trovarne un giusto bilanciamento. Il Dott. Soro, infatti, conferma che se è vero che le tecnologie e le innovazioni digitali condizionano le scelte delle persone fisiche, sia come singoli sia come appartenenti ad una collettività, è anche vero che delineano l’esercizio della sovranità. La razionalizzazione e l’armonizzazione, soprattutto a livello europeo, del quadro giuridico di riferimento, compendiato dalla predisposizione di misure efficaci, sono gli unici strumenti in grado di prevenire “totalitarismi digitali” e “capitalismi della sorveglianza”.

Vicende come Facebook-Cambridge Analytica dimostrano che l’assoluta prevalenza accordata a sistemi predittivi, funzionanti sulla base di algoritmi privi di qualsiasi intermediazione umana, potrebbe certamente mettere a repentaglio la stessa forma democratica, se sottratti ad un progetto etico giuridico e politico. Per tali ragioni, il Presidente ha affermato che seppur debba essere riconosciuta “l’inadeguatezza di un algoritmo a svolgere valutazioni necessariamente discrezionali e complesse”, si deve anche comprendere che il processo d’informatizzazione è troppo prezioso per il nostro Paese per potervi del tutto rinunciare. Da ciò nasce l’esigenza di renderlo “pienamente compatibile con i principi di proporzionalità e minimizzazione”.

Sebbene il Collegio guardi con occhio critico talune scelte legislative – un esempio tra tutti la data retention – perché talvolta miopi rispetto all’osservanza dei principi ricordati, tuttavia riconosce che tanto è stato fatto.

In questo senso, il Presidente ricorda le previsioni che consentono di richiedere, con una procedura particolarmente agile, la cancellazione o rettifica dei dati illegittimamente trattati in ambito giudiziario penale; l’adozione di alcune garanzie essenziali, omogenee per tutti gli uffici giudiziari, per impedire, in fase d’indagini, fughe di notizie pregiudizievoli anche della riservatezza individuale; la legge sul cyberbullismo, che ha valorizzato l’esigenza di tutela in forma specifica dell’immagine e dell’identità del minore; le disposizioni in tema di videosorveglianza negli asili per prevenire gli abusi; le nuove forme di esercizio del potere di vigilanza disciplinate con il protocollo d’intenti siglato con il Dis nel novembre 2013 e i costanti solleciti dell’Autorità al legislatore in alcune materie particolarmente sensibili come quella concernente il fenomeno del giornalismo di trascrizione; le disposizioni che, mirando ad appianare le asimmetrie contrattuali, garantiscono anche la tutela della riservatezza. Si pensi alla possibile qualificazione, come pratiche commerciali scorrette, le informative reticenti o, come abuso di posizione dominante, le illecite concentrazioni di data set anche di terze parti; allo Statuto dei lavoratori, come modificato dal Jobs Act; alle previsioni che regolamentano il tessuto endo-associativo dei partiti politici

Tuttavia, la regolamentazione non è tutto o meglio non basta. Il Garante ricorda come il 2018 è stato definito, dal Clusit, l’anno peggiore per la sicurezza cibernetica, così costantemente esposta a minacce tanto da configurare una sorta di cyber-guerriglia permanente. Se è vero che “il diritto alla protezione dei dati personali viene sempre più invocato di fronte alle innumerevoli “servitù volontarie” cui rischiamo di consegnare noi stessi, in cambio di utilità e servizi che paghiamo al prezzo di porzioni piccole o grandi della nostra libertà”, ne consegue che la consapevolezza di tutti noi è di cruciale importanza e occorre porsi come obiettivo la tutela di questo diritto di libertà, che diviene forma e regola dell’agire individuale e collettivo. “A quest’obiettivo nessuno può sentirsi estraneo: perché involge il senso stesso del nostro essere persona e la natura della società in cui viviamo”.

L’Autorità garante per la privacy multa Rousseau, piattaforma del partito M5S

Avv. Vincenzo Colarocco

Con il provvedimento n. 83 del 9 aprile 2019 il Garante privacy offre preziosi spunti e raccomandazioni da tenere in debita considerazione per lo svolgimento della “Privacy Impact Assessment” (c.d. “PIA”, cfr. art. 35 GDPR) e per l’adozione di misure di sicurezza tecniche e organizzative idonee a garantire la protezione dei dati personali (cfr. art. 32 GDPR).

Nel caso di specie l’Autorità, chiamata a pronunciarsi in merito all’adeguatezza dei sistemi informatici riferiti alla piattaforma Rousseau e ad altri siti connessi al “Movimento 5 Stelle”, ha prescritto l’adozione di misure necessarie e opportune al fine di rendere i trattamenti dei dati personali degli utenti di tali siti web conformi ai principi della disciplina in materia di protezione dei dati personali, a tal fine ingiungendo all’”Associazione Rousseau” “quale responsabile del trattamento e in tale qualità trasgressore, il pagamento entro 180 giorni dalla data di ricezione del presente provvedimento, di euro 50.000 a titolo di sanzione per la violazione di cui al combinato disposto degli artt. 32 e 83, paragrafo 4, lettera a) del Regolamento”.

L’Autorità, in particolare, ha ritenuto che, malgrado un sostanziale innalzamento dei livelli di sicurezza inizialmente previsti nell’ambito dei siti web oggetto del provvedimento n. 548 del 21 dicembre 2017, il trattamento di specie fosse comunque posto in essere in violazione della normativa vigente. Tanto in virtù dell’evidenza che il detto trattamento aveva ad oggetto anche dati particolari di cui all’art. 9 del GDPR e che la violazione si protraeva per un tempo significativo, interessando un rilevante numero di soggetti, riscontrandosi quindi una carenza di misure tecniche ed organizzative nonché l’utilizzo di sistemi e dispositivi obsoleti. Infatti, tale circostanza, unitamente a quanto rilevato in materia di auditing informatico, renderebbe evidente come le misure adottate -consistenti in procedure organizzative o comunque non basate su automatismi informatici- lasciando esposti i risultati delle votazioni ad accessi ed elaborazioni di vario tipo, non garantirebbero l’adeguata protezione dei dati personali relativi alle votazioni online.

Tanto premesso il Garante, in conformità con quanto previsto dall’art. 32 del GDPR, ha accertato il “mancato, completo tracciamento degli accessi al database del sistema Rousseau e delle operazioni sullo stesso compiuti” nonché la “condivisione delle credenziali di autenticazione da parte di più incaricati dotati di elevati privilegi per la gestione delle piattaforma Rousseau e la mancata definizione e configurazione dei differenti profili di autorizzazione in modo da limitare l’accesso ai solo dati necessari nei diversi ambiti di operatività”.

“Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali”: di cosa si è discusso il 9 aprile 2019 presso la Sala Valente del Tribunale di Milano all’evento organizzato dall’Unione Giuristi per l’Impresa

Avv. Vincenzo Colarocco

Il 9 aprile 2019, presso la Sala Valente del Tribunale di Milano, si è tenuto l’evento organizzato da UGI – Unione Giuristi per l’Impresa, intitolato “Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali”. Il Presidente di UGI, nonché General Counsel e Data Protection Officer del Gruppo Mondadori, Avv. Ugo Ettore Di Stefano, ha dato avvio ai lavori proponendo l’obiettivo di delineare, insieme ai relatori chiamati al confronto, l’attuale scenario dell’adeguamento al GDPR delle imprese italiane, tenuto conto di novità, sfide ed anche preoccupazioni. L’occasione è stata promotrice del nuovo “Commentario al Regolamento UE 2016/679 e al Codice della Privacy aggiornato”, a cura degli Avvocati Andrea d’Agostino, Luca R. Barlassina e Vincenzo Colarocco, con prefazione della Dott.ssa Augusta Iannini, Vicepresidente dell’Autorità Garante per la protezione dei dati personali, edito da Amazon ed il cui ricavato sarà in parte destinato alle vittime del cyberbullismo.

All’esito dell’introduzione dell’Avv. Ugo Ettore Di Stefano, è intervenuta proprio la Dott.ssa Iannini, ponendo l’accento sull’importanza del principio di accountability introdotto dal Regolamento e su come questo abbia profondamente inciso sulla consulenza in ambito privacy: l’Autorità garante ha ribadito come l’approccio alla normativa sia divenuto proattivo, propositivo ed anche creativo. È seguito l’intervento dell’Avv. Andrea d’Agostino, Vicepresidente di UGI, Senior Legal Counsel e Responsabile Privacy del Gruppo Mondadori, che ha raccontato l’esperienza dell’adeguamento del suo gruppo, in particolare soffermandosi sul tema della “sensibilizzazione” – più che “formazione” – delle figure interne all’azienda sul tema della privacy. L’adeguamento – ha spiegato d’Agostino – deve mettere al centro i lettori (i clienti, ndr), comprenderne le esigenze e soddisfarle nel pieno rispetto dei loro diritti, così come oggi riconosciuti. Non si tratta di una affannosa lotta alla più aderente soluzione alla fine della quale “ne rimarrà solo uno”, un po’ come se fossimo destinati al the last DPO: citando Guerre Stellari e facendo sapiente uso dell’ironia, d’Agostino puntualizza l’importanza del dialogo e della cooperazione tra la figura del Data Protection Officer e quella dell’Autorità di controllo. Dalla visione aziendale alla disciplina dei dati personali nel settore pubblico: il Dott. Francesco Modafferi dell’Autorità garante ha introdotto il tema del valore delle banche dati per le Pubbliche Amministrazioni e della gestione degli stessi, alla luce dell’evoluzione tecnologica. Francesco Modafferi si è soffermato sul ricorso agli algoritmi in ambito pubblico per l’elaborazione di determinate informazioni e sulle esigenze da questo scaturite: come assicurare la trasparenza della PA a fronte di un sistema “poco trasparente”? Il tema dell’impiego degli algoritmi non può non far sorgere interrogativi anche di responsabilità civile. Di Giangiacomo Olivi, partner di Dentons, l’intervento dedicato al rapporto tra GDPR e nuove tecnologie: la vera sfida, a fronte di una evidente obsolescenza programmata della tecnologia e della monetizzazione del dato, è costituita in realtà proprio dalla disciplina applicabile: le tecnologie vengono applicate a livello globale ma i singoli Stati continuano ad emanare normative differenti tra loro che non consentono un uso uniforme e condiviso dei servizi offerti dall’innovazione. Non poteva mancare un focus sui temi del marketing e della profilazione, curato dal Dott. Luca Natali dell’Autorità Garante. L’art. 130 del Codice Privacy, come novellato dal decreto di armonizzazione n. 101/2018, offre alternative basi giuridiche al trattamento dei dati per finalità di marketing, tenuto conto della concreta attività svolta: dal meccanismo dell’opt-in a quello dell’opt-out, tenendo ferma “la stella” dei diritti dell’interessato. La giornata è quindi proseguita con gli interventi pomeridiani: l’Avv. Di Stefano si è soffermato su alcune riflessioni di opportunità nello svolgimento dei compiti affidati al ruolo del DPO: ricorrente anche in quella sede il fondamentale dialogo con l’Autorità di controllo. Non solo: Di Stefano mette difronte ad un dato di fatto che è quello della fallibilità delle procedure, valorizzando l’attività di remediation da condurre ex post rispetto alla predisposizione delle stesse.

Dal ruolo del DPO a quello del consulente in ambito privacy: l’Avv. Stefano Previti, titolare dello Studio Previti Associazione Professionale, ha riflettuto sulle molteplici sfaccettature del consulente al giorno d’oggi. Il consulente, infatti, non può e non deve più limitarsi a dare stretta applicazione alla normativa, ma deve sviluppare peculiari skills, tra cui rientrano la competenza manageriale, la conoscenza in ambito informatico e l’attitudine alla formazione del personale, in questo modo rappresentandosi come una risorsa polivalente per il titolare del trattamento, capace di guidarlo anche nelle scelte di business. Per chiudere il cerchio sulle figure soggettive, sono intervenuti l’Avv. Gaetano Arnò, DPO di PricewaterhouseCoopers TLS e a seguire il Dott. Filiberto E. Brozzetti dell’Autorità di controllo, con un compiuto excursus sulle figure di titolare, responsabile esterno e sub-responsabile del trattamento e sulle criticità spesso rilevate nella gestione contrattuale di tali ruoli.

L’intensa giornata di GDPR si è conclusa con gli autorevoli interventi sul quadro sanzionatorio delineato dal Regolamento e sulle modalità ispettive in ambito privacy dell’Avv. Daniele Vecchi, Partner di Gianni, Origoni, Grippo, Cappelli & Partners, dell’Avv. Veronica Pinotti, Partner di White Case LLP e del Colonnello Marco Menegazzo, Comandante del Nucleo Speciale Privacy della Guardia di Finanza. L’Avv. Vecchi, ripercorrendo molteplici case study, ha sostenuto che se, da un lato, con il GDPR si è giunti finalmente ad una disciplina unitaria di matrice europea sul trattamento dei dati personali, dall’altro, sussistono ancora oggi evidenti lacune normative che lo stesso GDPR non è in grado di colmare, oltre a scenari problematici anche recenti, quale può rappresentarsi la disciplina dei dati personali a fronte di una ipotesi di Hard Brexit. Il tema della “patologia” della privacy, e dunque dei possibili accertamenti amministrativi e dell’irrogazione delle sanzioni, è stato affrontato attraverso due differenti (ma comunque non distanti) visioni: quella del consulente del titolare del trattamento, portata sul tavolo dall’esperienza dell’Avv. Pinotti, e quella del Colonnello Menegazzo, il quale si è fatto promotore di un atteggiamento condiviso di cooperazione e collaborazione nell’ottica del primario interesse della tutela degli interessati.

All’esito della giornata, si può dire che l’obiettivo primario, in apertura introdotto dall’Avv. Di Stefano, sia stato ampiamente raggiunto, e non solo: il confronto sul tema dell’adeguamento, in ambito privato ma anche pubblico, ha consentito di riflettere insieme su alcuni scenari ancora oggi dubbi e di ottenerne le soluzioni medio tempore con l’ausilio dell’Autorità di controllo, di analizzare in prospettiva i ruoli coinvolti nello stesso, di poter affermare, in definitiva, come tale processo sia destinato a divenire continuativo e mai a cristallizzarsi.

Un anno di Regolamento UE 2016/679 – La privacy nel settore privato: spunti e riflessioni con esponenti del Garante per la Protezione dei Dati Personali

Milano – 9 aprile 2019 – Tribunale di Milano

Download (PDF, 1.42MB)

Violare la privacy dei minori costa caro: il caso dell’app TikTok

Avv. Vincenzo Colarocco

Il consenso dei minori al trattamento dei dati personali è una questione delicata, ed è stata recentemente oggetto di attenzione della Federal Trade Commission. Quest’ultimo -ente statunitense preposto alla tutela dei consumatori- ha sanzionato l’app musicale TikTok, che conta 500 milioni di utenti attivi mensili e di proprietà di Bytedance, per aver violato la privacy dei propri utenti minorenni. A riguardo, è stata comminata una sanzione da 5,7 milioni di dollari in ragione di una palese violazione del Children’s Online Privacy Protection Act, legge che negli USA regola la protezione della privacy dei minorenni in rete, e che vieta la raccolta e il trattamento di dati sensibili da soggetti minori di 18 anni senza che vi sia il consenso dei genitori o dei tutori legali.

Secondo una nota diffusa dalla Federal Trade Commissionl’operatore era a conoscenza del fatto che l’ applicazione fosse utilizzata da soggetti minorenni, eppure ha deliberatamente mancato di ottenere il consenso dei genitori prima di raccogliere nomi, indirizzi email e altri dati sensibili di utenti di età inferiore ai tredici anni“, inaugurando un precedente sanzionatorio nell’ambito della violazione della privacy di soggetti minori.

Invero, il testo normativo, il Children’s Online Privacy Protection Act, sulla base del quale è stata comminata la sanzione prevede che “an operator is required to obtain verifiable parental consent before any collection, use, or disclosure of personal information from children, including consent to any material change in the collection, use, or disclosure practices to which the parent has previously consented”. Nonostante la chiarezza del testo di legge gli operatori di TikTok consentivano l’utilizzo dell’applicazione da parte di soggetti minori, che conferivano dati personali quali nome, cognome, indirizzo e-mail, immagine, numero di telefono e altre informazioni personali, senza che nell’utilizzo dell’applicazione fosse stato richiesto il preventivo consenso dei soggetti legittimati a fornirlo per loro conto, e quindi genitori o tutori legali. Ad attivare la procedura sanzionatoria da parte dell’ente americano competente in materia, sono state le migliaia segnalazioni ricevute da parte dei genitori dei soggetti interessati, le quali hanno dato origine ad un precedente importantissimo nell’ambito della violazione dei dati personali online di minori, e in relazione al quale, in ambito europeo, lo stesso GDPR, all’art. 8, ha dedicato un’attenzione particolare, disciplinando dettagliatamente il tema del consenso e le relative condizioni, avendo a riguardo i servizi della società dell’informazione.