Articoli

Privacy e Sanità. Arriva imperante lo stop del Garante all’uso illecito dei dati degli accertamenti medici

Avv. Vincenzo Colarocco

Il Garante privacy, in linea con il proprio costante orientamento in materia, è intervenuto il mese scorso con una nota conclusiva di un’istruttoria nell’ambito della quale ha ritenuto illecito il trattamento effettuato da un’azienda sanitaria e dalla società alla quale la stessa aveva messo a disposizione copie di immagini di esame diagnostici di alcuni pazienti.

L’acquisizione della copia di immagini Tac –contenenti informazioni sullo stato di salute- da parte della società era finalizzata alla partecipazione ad una gara d’appalto in seguito depositata nell’ambito di un contenzioso giudiziario. Operazioni, queste, non riconducibili a quelle per le quali era stata nominata “responsabile”, solitamente ricondotte all’ attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac.

Orbene, rilevati i trattamenti illeciti, il Garante privacy ha osservato come le operazioni eseguite perseguivano, infatti, finalità proprie della società (partecipazione alla gara e difesa in giudizio) non riconducibili a quelle per le quali era stata designata responsabile (quali ad esempio, le attività di manutenzione per garantire l’efficienza dell’apparecchiatura e la qualità delle immagini della Tac) e quindi di per sé non idonee a giustificare la nomina della stessa a responsabile del trattamento ai sensi dell’art. 28 del GDPR.

Cookie: è necessario il consenso attivo degli utenti di Internet

Avv. Vincenzo Colarocco

Di recente la sentenza C-673/17 della Corte di Giustizia UE ha definito ulteriormente i requisiti del consenso, nello specifico per quel che riguarda l’installazione di cookie, sia a norma del GDPR che della Direttiva 95/46/CE.

Nel caso di specie, la Corte ha ritenuto inammissibile la pratica di richiedere il consenso degli utenti all’uso dei cookie tramite caselle di spunta preselezionate in quanto contraria al GDPR ed ha al contempo aggiunto che l’utente debba essere sempre informato sulla durata di conservazione dei cookie poiché il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie vanno annoverati tra le informazioni che il fornitore di servizi deve comunicare all’utente.

Il caso specifico riguarda la società Planet49, attiva nel settore dei giochi online che, secondo l’accusa dei consumatori tedeschi, aggirava il sistema di raccolta del consenso attivo previsto dalla normativa: la società aveva predisposto una casella di spunta preselezionata per l’installazione di cookie. Il Bundesgerichtshof (Corte federale di giustizia tedesca) ha sollevato una questione interpretativa dinnanzi alla Corte di giustizia sul diritto dell’Unione in materia di tutela della vita privata nel settore delle comunicazioni elettroniche, perché specificasse quali informazioni debbano essere fornite all’utente riguardo l’uso dei cookie. Sul punto la Corte ha stabilito che “Il requisito della manifestazione della volontà della persona interessata evoca un comportamento attivo e uno passivo, il consenso espresso tramite una casella di spunta preselezionata non implica un comportamento attivo da parte dell’utente di un sito internet, solo un comportamento attivo da parte di detta persona al fine di manifestare il proprio consenso è idoneo a soddisfare tale requisito” ed ha aggiunto che il silenzio, l’inattività o la preselezione di caselle non configurano una manifestazione del consenso.

Diritto all’oblio: a che punto siamo?

Avv. Vincenzo Colarocco

L’Autorità Garante Italiana, con provvedimento del 24 luglio 2019 n. 153, afferma il principio secondo il quale il diritto all’oblio va riconosciuto anche a chi è stato riabilitato dopo una condanna.

Nel caso oggetto della pronuncia, l’interessato, dopo aver tentato di far deindicizzare le pagine direttamente a Google, si era rivolto all’Autorità lamentando il pregiudizio derivante alla propria reputazione personale e professionale dalla permanenza in rete di informazioni obsolete e non aggiornate. Per questo motivo aveva chiesto al Garante di ordinare a Google la rimozione dai risultati di ricerca di due Url, reperibili digitando il proprio nominativo, che contenevano informazioni su una vicenda giudiziaria che lo aveva visto coinvolto nel 2007 e sulla sentenza di condanna pronunciata nei suoi confronti nel 2010. Nelle pagine web però non vi era alcuna traccia della successiva riabilitazione che l’uomo aveva chiesto e ottenuto nel 2013. L’Autorità, nel giudicare fondato il reclamo, ha ordinato la deindicizzazione, sulla base della considerazione che l’ulteriore trattamento dei dati realizzato attraverso la persistente reperibilità in rete degli Url contestati, nonostante la riabilitazione e il tempo trascorso dal verificarsi dei fatti, determinasse un impatto sproporzionato sui diritti dell’interessato, peraltro non bilanciato da un attuale interesse del pubblico a conoscere la vicenda.

Vero è che l’attività di informazione presenta in molti casi profili di conflitto con il diritto alla riservatezza dei soggetti cui le notizie diffuse si riferiscono, da cui la necessità di individuare il giusto equilibrio tra i contrapposti interessi di rango costituzionale. Il diffondersi della memoria digitale e la capacità dei motori di ricerca di mettere in correlazione una molteplicità di informazioni che attengono a una medesima persona, la permanenza delle notizie diffuse tramite internet e la facilità di fruibilità da parte degli utenti del materiale divulgato, pongono sempre in nuovi termini la problematica della tutela dei dati sensibili. In questo contesto, assume rilevanza il diritto all’oblio, considerato quale peculiare espressione del diritto alla riservatezza e del legittimo interesse di ciascuno a non rimanere indeterminatamente esposto ad una rappresentazione non più attuale della propria persona derivante dalla reiterata pubblicazione di una notizia, con pregiudizio alla propria reputazione e riservatezza. A ben guardare, tali circostanze assumono un rilievo di particolare importanza se si ha a riguardo la permanenza in rete di notizie di cronaca giudiziaria, non aggiornate, potendo rappresentare altresì un ostacolo al reinserimento sociale della persona.

Ed infatti, nel caso di specie, la persistenza in rete di tali informazioni giudiziarie non aggiornate non è in linea con i principi alla base dell’istituto della riabilitazione, il quale, pur non estinguendo il reato, comporta il venir meno delle pene accessorie e di ogni altro effetto penale della condanna come misura premiale finalizzata al reinserimento sociale della persona.

Nuovo codice di condotta per i sistemi di informazione creditizia

Avv. Vincenzo Colarocco

Al fine di garantire la compliance con il Regolamento UE 679/2016 (“GDPR”) ed il riformato Codice Privacy, l’Autorità Garante per la protezione dei dati personali ha di recente approvato, con provvedimento del 12 settembre 2019, il nuovo codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (cosiddetti “SIC”).

I SIC costituiscono delle banche dati in cui sono contenuti una pluralità di dati personali riferibili a soggetti richiedenti, ad esempio, la concessione di un credito, la dilazione di un pagamento, un finanziamento o altra analoga facilitazione finanziaria. Detti dati saranno trattati per perseguire finalità quali la valutazione di un rischio di credito, la valutazione dell’affidabilità e della puntualità nei pagamenti dell’interessato, la prevenzione del rischio di frodi e furti di identità.

Il Garante ha, quindi, dettato una serie di prescrizioni ed accortezze – che troveranno applicazione sia da parte dei “gestori” dei SIC che dai soggetti abilitati alla relativa consultazione – da porre in essere in relazione al trattamento delle suesposte categorie di dati personali. In particolare, si prevede che:

–          dovranno essere attuate misure idonee a garantire la correttezza, l’aggiornamento periodico e l’esattezza dei dati;

–          non potranno costituire oggetto di trattamento le categorie particolari di dati personali di cui all’art. 9 del GDPR;

–          il SIC risulterà accessibile solo ad un numero limitato di soggetti espressamente istruiti in tale senso;

–          quando la richiesta di credito formulata da un interessato non è accolta, verrà a questi comunicato se è stato previamente consultato un SIC e, in tal caso, gli saranno altresì indicati gli estremi identificativi del SIC di specie.

Il Garante ha inoltre espressamente sottolineato come i dati censiti nelle descritte banche dati potranno essere trattati senza il consenso degli interessati, riconducendo la base giuridica del trattamento nel legittimo interesse perseguito dai titolari in relazione alle suelencate finalità (ai sensi dell’art. 6, comma 1, lett. f del GDPR); tale circostanza dovrà trovare spazio all’interno dell’informativa da fornire agli interessati. Informativa che, come sottolineato dalla medesima Autorità, assume un’importanza decisiva intenzione ulteriormente confermata dall’aver allegato un modello di informativa privacy al Codice di Condotta (cfr. Allegato 3 del provvedimento del 12 settembre 2019).

In conclusione, risulta opportuno accennare all’organismo di monitoraggio che vigilerà sull’operato dei SIC (ancora in fase di accreditamento), che sarà in particolare chiamato a verificare il rispetto delle prescrizioni di cui al codice di condotta in esame e alla normativa vigente per quanto attiene alle operazioni di trattamento di dati personali poste in essere all’interno delle banche dati.

Antiriciclaggio: la V direttiva europea è stata recepita

Avv. Vincenzo Colarocco

Il 3 ottobre u.s. la Presidenza del Consiglio ha approvato lo schema di decreto legislativo attuativo della V direttiva antiriciclaggio n. 2018/843, che recepisce tutte le novità in materia. Il decreto completa un’esperienza segnata anche dalla procedura di infrazione per mancato recepimento della IV direttiva, nonché di plurimi interventi del Garante per la protezione dei dati personali ben riassunti nel parere dello scorso luglio.

Il decreto fa seguito al provvedimento del 30 luglio 2019 della Banca Italia che ha emanato “Disposizioni in materia di adeguata verifica della clientela per il contrasto del riciclaggio e del finanziamento del terrorismo”. Tra le novità previste dal testo vi è anzitutto l’ampliamento del novero dei destinatari degli obblighi, ad oggi imposti anche ai fornitori di servizi di valuta digitale, di portafoglio digitale, ai galleristi ed alle case d’asta nel caso in cui il valore dell’operazione o di una serie di operazioni legate tra loro sia pari o superiore a 10 mila euro, ricomprendendo, tra l’altro, le succursali “insediate” degli intermediari assicurativi (trattasi delle succursali collocate in Italia di agenti e broker aventi sede legale e amministrazione centrale in un altro Stato membro o in uno Stato terzo). Con il decreto è stato poi tracciato l’obbligo di segnalazione periodica per le transazioni effettuate con soggetti operanti in Paesi ad alto rischio, con la previsione di adozione di misure di adeguata verifica rafforzata. Con riferimento alla valutazione del rischio, il nuovo testo consente di introdurre strumenti che le autorità di vigilanza possono utilizzare per ridurre il rischio connesso ai Paesi terzi, come ad esempio il diniego all’autorizzazione all’attività per intermediari bancari o finanziari esteri o all’apertura di succursali in Paesi ad alto rischio per gli intermediari italiani. Di non poco conto, specie considerato l’attuale scenario della società digitale, il divieto di emissione e utilizzo di prodotti di moneta elettronica anonimi e ciò in coerenza con il vigente divieto di conti e libretti di risparmio in forma anonima o con intestazione fittizia oltre ad un ulteriore intervento sotto il profilo sanzionatorio.

Youtube ha violato la privacy dei minori: si va al patteggiamento

Avv. Vincenzo Colarocco

Già dallo scorso anno, alcune associazioni americane a tutela della privacy avevano accusato Google per avere trattato illecitamente i dati degli utenti della piattaforma Youtube. Non una categoria di interessati qualunque quella che sarebbe stata danneggiata dal colosso della Silicon Valley: si sarebbe trattato, infatti, degli utenti minorenni fruitori dei video e degli altri contenuti messi a disposizione dal provider. Ebbene è di questi giorni la notizia che le accuse perpetrate non sarebbero state infondate: Google ha infatti dato avvio al patteggiamento con la Federal Trade Commission, autorità che avrebbe effettivamente accertato l’intervenuta violazione della normativa sulla privacy dei bambini, il Children’s Online Privacy Protection Act. Google ha davvero raccolto i dati ed altre informazioni personali di minori sotto i 13 anni senza il consenso dei genitori. La cifra per il patteggiamento va dai 150 ai 200 milioni di dollari e se l’accordo sarà approvato si tratterà della maggiore sanzione erogata dall’authority in procedimenti riguardanti i bambini. Se, da un lato, la sanzione mostra come le autorità americane stiano intensificando gli sforzi per mettere fine alle violazioni della privacy da parte delle aziende della Silicon Valley (si pensi a Facebook), dall’altro, le indiscrezioni sul patteggiamento hanno lasciato insoddisfatte le associazioni che hanno denunciato YouTube, convinte che la cifra non sia adeguata e non possa funzionare da deterrente per il futuro, che piuttosto suggerirebbero una multa di almeno mezzo miliardo di dollari. Il patteggiamento – che potrebbe dare avvio ad una serie di altri casi analoghi di patteggiamento per siti o app in violazione – dovrebbe essere annunciato con la fine del mese di settembre 2019.

Bulgaria: arrivano le sanzioni del Garante Privacy per due violazioni di dati

Avv. Vincenzo Colarocco

A pochi giorni di distanza, l’Autorità bulgara per la protezione dei dati personali, potrebbe emettere due importanti sanzioni per la violazione dei dati degli utenti.

Nel primo caso si tratta di una sanzione rivolta ad una delle banche del gruppo ungherese OTP, la DSK Bank, per un importo corrispondente a più di mezzo milione di euro. A fronte del data breach che ha colpito 33.492 clienti ed a causa del quale sono state divulgate informazioni quali nominativi completi, copie di carte d’identità, indirizzi, numeri di conto e, addirittura, dati relativi ad atti di proprietà di persone che avevano preso prestiti dall’istituto bancario, il Garante, ha intrapreso un’indagine. Sebbene, la banca abbia affermato che i propri sistemi in tale occasione non sono risultati compromessi, essendosi trattato di furto di dati non digitali, l’Autorità ha dichiarato che in caso di accertata omessa adozione delle misure tecniche e organizzative adeguate per garantire la riservatezza dei clienti, prescritte agli artt. 32 e ss. del GDPR, l’istituto di credito incorrerebbe nelle sanzioni previste dalla normativa sui dati.

Il secondo caso, invece, riguarda una sanzione da emettere nei riguardi dell’Agenzia Nazionale delle Entrate.

A dichiararlo ad una emittente televisiva è il presidente del Garante, Ventsislav Karadjov, il quale ha spiegato le motivazioni che giustificherebbero la somma stimata in 2,6 milioni di euro. Questi ha spiegato che la commissione ha tenuto conto delle responsabilità dell’agenzia fiscale nel denunciare una intervenuta violazione di dati e contattare le persone interessate, sottolineando che quest’ultima avrebbe minimizzato rispetto al rischio di furti d’identità, e che non avrebbe adottato tutte le possibili cautele per prevenire l’attacco informatico.

Artificial Intelligence usata per le truffe: le aziende si preparino ad affrontare nuove sfide

Avv. Vincenzo Colarocco

Qualunque tecnologia sufficientemente avanzata è indistinguibile dalla magia”. Così recita la terza legge sulla tecnologia del famoso scrittore di fantascienza Arthur C. Clarke. Ebbene, il caso riportato dal Wall Street Journal, relativo ad un’azienda britannica a cui sono stati sottratti in maniera fraudolenta oltre 200 mila euro grazie a una voce ricostruita al computer che imitava quella dell’amministratore delegato della casa madre tedesca, ben non si tratta di magia quanto piuttosto di un utilizzo vizioso della tecnologia AI (artificial intelligence). Secondo quanto riportato dal quotidiano internazionale statunitense, si tratta del primo caso conosciuto, in relazione al quale l’intelligenza artificiale è stata utilizzata per mettere in atto un reato di truffa. La singolare, quanto scoraggiante vicenda ha avuto inizio nel marzo scorso con una telefonata ricevuta dal Ceo di una società controllata britannica, da quello che ha creduto essere l’amministratore delegato del gruppo, mentre invece si trattava di una voce perfettamente ricostruita al computer grazie ad un algoritmo. Entrando nel particolare della vicenda, l’amministratore delegato del gruppo richiedeva di accreditare la cifra di €220.000 ($243,000) sul conto di un fornitore ungherese. Il manager della controllata britannica si è fidato tanto era sicuro che a parlare fosse proprio il suo superiore, inconfondibile per l’accento tedesco e la particolare maniera di costruire la frase. Ha quindi eseguito l’operazione, ricevendo una seconda telefonata di conferma, e una terza telefonata che aveva ad oggetto una nuova richiesta di trasferimento monetario. A ben guardare si è trattato di una truffa messa a punto con un sistema di ricostruzione della voce che impiegava un algoritmo particolarmente sofisticato e capace di imitare alla perfezione il modo di parlare di un essere umano. Le aziende 4.0, dunque, nel loro intento di migliorare i processi produttivi adottando nuove tecnologie e strumenti, quali la stessa intelligenza artificiale, si troveranno ad affrontare nuove sfide per arginare quegli usi fraudolenti che i nuovi paradigmi informatici potrebbero portare con sé.

Lo stato di salute della data protection: Comunicazione della Commissione europea al Parlamento e al Consiglio europeo del 24 luglio 2019

Avv. Vincenzo Colarocco

La Commissione europea ha pubblicato il 24.7.2019 una “Comunicazione al Parlamento europeo e al Consiglio” dal titolo “Data protection rules as a trust-enabler in the UE and beyond – taking stock” che delinea lo stato attuale della protezione dei dati nell’UE, con particolare attenzione all’impatto del GDPR (il framework dovrà essere completato dal regolamento e-Privacy, attualmente in corso di elaborazione legislativa).

La maggior parte degli Stati membri ha istituito il quadro giuridico necessario e il nuovo sistema che rafforza l’applicazione delle norme sulla protezione dei dati sta entrando in funzione. La Commissione ha rilevato una maggiore consapevolezza dei cittadini che esercitano sempre più spesso i loro diritti. Il quadro legislativo dell’UE in materia di protezione dei dati è diventato caposaldo del progetto europeo di innovazione della società civile.

Il progetto europeo abbraccia le tematiche della sanità e della ricerca, dell’intelligenza artificiale, dei trasporti, dell’energia, delle politiche elettorali, della concorrenza e dell’applicazione della legge.

FaceApp: molto rumore per nulla?

Avv. Vincenzo Colarocco

FaceApp è un’applicazione per dispositivi mobili, prodotta da una società russa con sede a San Pietroburgo, la Wireless Lab, capace di modificare la foto-ritratto scattata dall’utente in un’immagine invecchiata, ringiovanita o trasformata in altro sesso.

Se, da un lato, la FaceApp mania impazza, complice anche l’abuso di molti influencer, dall’altro, il dibattito sull’applicazione si fa sempre più fervido. Lo sviluppatore americano Joshua Nozzi, con un tweet, ha accusato la Wireless Lab di raccogliere dati senza il consenso degli utenti, infuocando in questa maniera l’opinione pubblica. “Be careful with FaceApp” scriveva Nozzi “it immediately uploads your photos without asking, whether you chose or not”.

A destare preoccupazione il fatto che le foto modificate dall’applicazione siano salvate su un server controllato dalla Wireless Lab, senza che la privacy policy e i termini e condizioni chiariscano, in maniera intellegibile e trasparente, finalità e tempo di conservazione delle stesse. Detto altrimenti, FaceApp non sembra essere GDPR compliant nonostante la normativa comunitaria, secondo il disposto dell’articolo 3 del Regolamento, debba trovare applicazione anche in questo caso.

Proprio a proposito di GDPR, dalla lettura della privacy policy dell’applicazione si può facilmente scoprire che:

  • non è indicato il Titolare del trattamento;
  • non si fa riferimento ai diritti riconosciuti agli interessati che utilizzano l’applicazione;
  • le finalità del trattamento sono espresse in modo generico;
  • si comunica vagamente che ai dati dell’utente potranno accedere anche le società affiliate, senza indicare con precisione i motivi. In particolare, si legge che i dati potranno essere utilizzati dalle affiliate per migliorare i loro servizi, senza spiegare quali siano.

Sembra, infatti, che con l’utilizzo di FaceApp si conceda una licenza perpetua, irrevocabile, non esclusiva, esente da diritti, a livello mondiale, trasferibile per utilizzare, riprodurre, modificare, adattare, pubblicare, il contenuto caricato dall’utente.

Le gravi lacune dell’informativa, quindi, non comportano solo una violazione dei principi di trasparenza e correttezza dell’informazione resa all’interessato ma implicano, anche, la negazione dei diritti di cui egli stesso è titolare.

Servizio divertente? Probabile. Necessità di nuove verifiche sull’uso dei dati? Assodato. Agli utenti non resta altro che capire se qualche risata possa dirsi sufficiente per mettere a repentaglio la propria immagine e  non solo.