Articoli

Trattamento di dati sensibili: parola alle Sezioni Unite

Avv. Flaviano Sanzari

Sulle corrette modalità di trattamento e comunicazione dei dati sensibili, nel rispetto dei diritti fondamentali della persona, sono chiamate a pronunciarsi le Sezioni Unite della Corte di Cassazione, evocate dalla prima sezione, con l’ordinanza interlocutoria n. 3455/2017.

In particolare, si dovrà stabilire se, nella fattispecie, la banca e la Regione abbiano violato le norme sulla privacy in occasione di un pagamento eseguito in favore di un cittadino.

Questi lamentava, infatti, la diffusione di dati sensibili rivelatori del suo stato di salute, perché, nel disporre il pagamento per via telematica, la Regione, nella causale, aveva fatto riferimento alla legge n. 210/1992 (sugli indennizzi per i danni da vaccini obbligatori o da trasfusioni di sangue infetto), la stessa usata dall’istituto di credito per contraddistinguere il corrispondente movimento nell’estratto conto inviato al cliente. Il ricorso era stato respinto dal Tribunale di Napoli, mentre la prima sezione della Corte di Cassazione, di fronte alla quale è approdata la controversia, ricorda come la Giurisprudenza sul punto non sia univoca.

Con la sentenza n. 10947/2014, infatti, proprio la prima sezione aveva sanzionato una simile condotta, stabilendo il dovere di trattare i dati personali nel rispetto dei diritti fondamentali, con particolare riguardo ai dati sensibili idonei a rivelare lo stato di salute ed evidenziando la necessità di ricorrere, in tali casi, a tecniche di cifratura o a codici di identificazione idonei a renderli temporaneamente non leggibili anche a chi è autorizzato ad accedervi.

Una scelta non condivisa, tuttavia, dalla terza sezione con la sentenza n. 10280/2015, che, in un’identica fattispecie, aveva invece escluso la violazione delle norme sulla privacy. Secondo i giudici, non vi sarebbe stata la diffusione, che si configura solo quando un dato è conoscibile e messo a disposizione di soggetti indeterminati e in qualunque forma.

Quanto alla banca, andava considerata la pluralità di soggetti che potevano conoscere il dato in ragione del servizio svolto, per cui non si potrebbe esigere che siano previamente identificati i soggetti a cui indirizzare la comunicazione. L’istituto di credito, inoltre, avrebbe agito nel rispetto del contratto di conto corrente, su mandato dello stesso cliente, per cui doveva riconoscersi, come previsto dal codice privacy e chiarito dalla giurisprudenza, che non è necessario alcun consenso al trattamento di dati sensibili, quando il trattamento è necessario per adempiere un obbligo di legge.

Neppure la Regione avrebbe violato le norme sulla privacy e, in particolare, l’articolo 22 che detta le regole di trattamento per gli enti pubblici, essendo questo destinato ad impedire che, attraverso la consultazione di banche dati, possano essere identificati gli interessati, ma non applicabile alla Regione che si era limitata a indicare, per ragioni di trasparenza ed efficacia dell’attività amministrativa, la causale del pagamento.

No del garante al consenso “obbligato” per finalità promozionali

Avv. Flaviano Sanzari

Il Garante Privacy, in linea con il proprio costante orientamento in materia, ha confermato che non può essere prestato da parte dei clienti un unico consenso omnicomprensivo per poter usufruire dei servizi prestati da un’azienda (“accetto/non accetto”), esteso anche alla ricezione di messaggi promo-pubblicitari.

Nella fattispecie da ultimo esaminata dal Garante, i clienti, all’atto della registrazione al sito internet e barrando il flag nell’apposita casella delle condizioni generali di utilizzo del portale, erano obbligati ad accettare le menzionate condizioni contrattuali e, al contempo, a prestare il proprio consenso alla ricezione di comunicazioni commerciali.

Tuttavia, come affermato dal Garante in più occasioni, questa modalità viola il principio in base al quale il consenso, per essere valido, deve essere non condizionato, ovvero libero, specifico ed informato. Per tale motivo, il Garante ha vietato all’operatore in questione, che aveva raccolto i dati attraverso il proprio sito internet, di utilizzarli per finalità di marketing.

Si segnala, per completezza, che i principi in esame sono stati trasposti, come era prevedibile, anche nel nuovo Regolamento UE privacy n° 679/2016, che è entrato in vigore il 24 maggio 2016 e che diventerà direttamente applicabile in tutti gli Stati membri dell’Unione a partire dal 25 maggio 2018 (cfr.: art. 7, 4° co., e i considerando 32 e 43).

Privacy, un Dpo per lo studio – Il Data protection offìcer, un onere ma anche un’opportunità

estratto da pag. 34 di ItaliaOggi del 30 gennaio 2017.

Download (PDF, 1.18MB)

Download (PDF, 1.18MB)

No all’algoritmo della reputazione, viola la dignità della persona

Avv. Flaviano Sanzari

No del Garante privacy alla piattaforma web per l’elaborazione di profili reputazionali. Con provvedimento del 24.11.2016, l’Autorità ha dichiarato che il trattamento di dati personali connesso ai servizi offerti tramite la banca dati informatica “Mevaluate” non risulta conforme al Codice Privacy ed è potenzialmente lesivo della dignità delle persone e, pertanto, ha vietato qualunque operazione di trattamento (presente o futura), ove effettuata sulla base dei presupposti e delle modalità indicate dalla società proprietaria della piattaforma, in riferimento ai dati personali degli interessati.

In particolare, l’infrastruttura, costituita da un portale web e un archivio informatico, dovrebbe raccogliere ed elaborare una mole rilevante di dati personali contenuti in documenti caricati volontariamente sulla piattaforma dagli stessi utenti o ricavati dal web. Attraverso un algoritmo, il sistema costruirebbe poi una sorta di rating reputazionale, assegnando ai soggetti censiti degli indicatori alfanumerici in grado di misurare in modo oggettivo l’affidabilità delle persone in campo economico e professionale.

Il Garante ha però ritenuto che il sistema comporti rilevanti problematiche per la privacy a causa della delicatezza delle informazioni che si vorrebbero utilizzare, del pervasivo impatto sugli interessati e delle  modalità di trattamento che la società titolare intende mettere in atto. Pur essendo infatti legittima, in linea di principio, l’erogazione di servizi che possano contribuire a rendere maggiormente efficienti, trasparenti e sicuri i rapporti socioeconomici, il sistema in esame presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di un’ampia platea di individui (clienti, candidati, imprenditori, liberi professionisti, cittadini), influenzando le scelte altrui e  condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.

Per quanto riguarda, poi, l’asserita oggettività delle valutazioni, la società proprietaria non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione del rating. L’Autorità ha avanzato perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione. Oltre alla difficoltà di misurare situazioni e variabili non facilmente classificabili, non vi sarebbero garanzie nemmeno sulla veridicità e completezza della documentazione su cui fondare la valutazione, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.

Infine, il Garante ha manifestato dubbi sulle misure di sicurezza del sistema, basate, prevalentemente, su procedure di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari. Si tratta, secondo l’Autorità, di misure inadeguate, specialmente se rapportate all’elevato numero di soggetti che potrebbero essere coinvolti e all’ingente quantitativo di informazioni, anche molto delicate, che verrebbero registrate all’interno della piattaforma.

Ulteriori criticità sono state ravvisate, inoltre, nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.

Diritto all’oblio, no per casi giudiziari gravi

Avv. Flaviano Sanzari

Non è possibile invocare il diritto all’oblio per vicende giudiziarie di particolare gravità e il cui iter processuale si è concluso da poco tempo, in quanto prevale l’interesse pubblico a conoscere la notizia. Lo ha sancito il Garante privacy con un recente provvedimento, dichiarando infondata la richiesta di deindicizzazione di alcuni articoli presentata da un ex consigliere comunale coinvolto in un’indagine per corruzione e truffa.

In particolare, la vicenda giudiziaria in oggetto si è conclusa nel 2012 con sentenza di patteggiamento e pena interamente coperta da indulto. Di fronte al rifiuto di Google di accogliere le richieste di deindicizzazione di alcuni URL – che risultavano digitando il nome e cognome dell’ex consigliere nel motore di ricerca e che facevano riaffiorare l’indagine in cui era rimasto coinvolto – quest’ultimo aveva presentato ricorso al Garante. A suo dire, non ricoprendo più incarichi pubblici e operando in un settore privato, la permanenza in rete di notizie risalenti a circa dieci anni prima (il procedimento giudiziario era stato avviato, infatti, nel 2006) e ormai prive di interesse, gli avrebbe arrecato un danno reputazionale, in grado di riflettersi sulla propria vita privata e sull’attuale attività lavorativa.

Nel rigettare la richiesta, l’Autorità ha invece rilevato che il trascorrere del tempo va valutato alla luce delle informazioni di cui si chiede la deindicizzazione; quando si tratta di reati gravi e che hanno destato un forte allarme sociale, in particolare, il diritto all’oblio deve essere bilanciato con altri interessi.

Nella fattispecie, nonostante fosse trascorso un certo lasso di tempo dai fatti riportati negli articoli, secondo il Garante merita considerazione il fatto che la vicenda giudiziaria si fosse definita solo pochi anni prima, nonché la circostanza che alcuni dei medesimi articoli, pubblicati fino al 2015, richiamavano la notizia riferendo di una maxi inchiesta sulla corruzione, di fatto rendendola di nuovo attuale e dimostrando l’interesse ancora vivo dell’opinione pubblica sulla vicenda.

Privacy: nuovo Regolamento Ue, prime linee guida

Avv. Flaviano Sanzari

Il Gruppo dei Garanti Europei (WP 29) ha approvato lo scorso 13 dicembre le prime linee guida contenenti indicazioni e raccomandazioni su importanti novità del Regolamento 2016/679 sulla protezione dei dati.

Si tratta, in particolare, di tre documenti riguardanti il responsabile per la protezione dei dati (Data Protection Officer – DPO), il diritto alla portabilità dei dati e l’autorità capofila che fungerà da “sportello unico” per i trattamenti transnazionali.

Le Linee guida sul DPO specificano i requisiti di questa figura e chiariscono i presupposti alla base della sua obbligatorietà. Ne vengono altresì illustrate le competenze professionali e le garanzie di indipendenza e inamovibilità.

Sulla portabilità dei dati, il Gruppo ne evidenzia il valore di strumento per l’effettiva  libertà di scelta dell’utente. Questi potrà decidere di trasferire altrove i dati personali forniti al titolare del trattamento (piattaforma di social network, fornitore di posta elettronica etc.), così come quelli generati navigando su siti o piattaforme messe a sua disposizione. Il documento esamina anche gli aspetti tecnici legati soprattutto all’interoperabilità fra i sistemi informatici e alla necessità di sviluppare applicazioni che facilitino l’esercizio del diritto.

Infine, i Garanti Ue hanno chiarito i criteri per l’individuazione dell’Autorità capofila che deve fungere da “sportello unico” per i trattamenti transnazionali, nei casi in cui il titolare o il responsabile tratta dati personali in più stabilimenti nell’Ue o offre prodotti o servizi in più Paesi Ue.

Trattamento di dati sensibili concernenti la salute

Con sentenza 20 maggio 2016 n. 10510, la Corte di Cassazione, prima sezione civile, ha stabilito che, in tema di trattamento dei dati sensibili, deve ritenersi illecita la pubblicazione, su un sito internet liberamente accessibile, di un provvedimento giurisdizionale che indichi lo stato di salute del ricorrente e le sue invalidità, atteso che si tratta di dati la cui tutela è posta a protezione del diritto alla riservatezza della sfera privata dell’individuo.

Trattamento di dati personali per finalità di polizia

Il trattamento di dati personali per finalità di polizia non è soggetto alla disciplina sulla privacy.

Sulla base di tale principio, la Suprema Corte, con la sentenza n. 10637/2016, ha ritenuto inammissibile il ricorso con il quale il Codacons aveva impugnato una sentenza del Tribunale di Roma che, a sua volta, aveva confermato la legittimità del provvedimento del Garante Privacy con il quale il presidente del Codacons si era visto negare la possibilità di conoscere l’origine dei dati iscritti a suo carico nel Centro Elaborazione Dati del Dipartimento della pubblica sicurezza.

Nel suddetto provvedimento di rigetto, il Garante aveva evidenziato come, ai sensi del codice in materia di protezione dei dati personali, i diritti di cui all’art.7 non possono essere esercitati “ con richiesta rivolta direttamente al titolare o al responsabile del trattamento o con ricorso ex art. 145“ ove il trattamento risulti effettuato dalle forze di polizia su dati destinati a confluire nel proprio Centro Elaborazione Dati in base alla legge.

Principio dell’alternatività fra il ricorso al Garante ed il ricorso in sede giurisdizionale

Avv. Flaviano Sanzari

 

La Corte di Cassazione, con la sentenza n. 6775 dell’aprile scorso, ha aggiunto un ulteriore tassello in merito alla corretta applicazione del principio di alternatività fra il ricorso al Garante per la protezione dei dati personali ed il ricorso in sede giurisdizionale.

La Suprema Corte, infatti, ha ribadito che il sistema dell’alternatività, previsto nell’ipotesi in cui entrambe le suddette iniziative abbiano il “medesimo oggetto“, risulti legittimo nel solo caso in cui le due domande siano tali che, in ipotesi di contestuale pendenza davanti a più giudici, potrebbero, in via generale, essere assoggettate al regime processuale della litispendenza o della continenza. Ne consegue che il detto principio non opera tutte le volte in cui, in sede giurisdizionale, si faccia valere l’inottemperanza, da parte del gestore del trattamento dei dati personali, rispetto ai provvedimenti assunti dal Garante, o, altresì, nel caso in cui venga proposta una domanda di risarcimento del danno riservata all’esame del giudice ordinario e che ha causa petendi e petitum autonomi e diversi.

Sempre in materia di alternatività del ricorso all’Autorità giudiziaria rispetto al ricorso al Garante, si segnala un’ ulteriore sentenza della Suprema Corte (n. 17408 del 2012), che, a differenza della suesposta pronuncia, afferisce al caso in cui la tutela giurisdizionale risulti attivata prima della proposizione del ricorso al Garante. In questo particolare caso di specie, l’azione giurisdizionale era stata incardinata precedentemente rispetto alla proposizione del ricorso al Garante “ per il medesimo oggetto – e la decisione di quest’ultimo, per non essere stato erroneamente dichiarato improponibile il ricorso, era sopraggiunta prima di quella giurisdizionale.

Stando ai giudici di Piazza Cavour, tale particolare situazione non giustifica la conseguenza dell’improponibilità sopravvenuta dell’azione giurisdizionale, dal momento che l’articolo 145 del Decreto Legislativo n. 196 del 2003 (Codice privacy) “ fonte normativa sul principio dell’alternatività “ contempla l’improponibilità dell’azione giurisdizionale nella sola ipotesi di proposizione di quest’ultima successivamente al ricorso al Garante. Se ne desume che il contenuto decisorio in concreto rivestito dal provvedimento del Garante, ove rilevante sull’oggetto del ricorso giurisdizionale, non possa essere ridiscusso fra le parti ai fini della decisione in sede giurisdizionale.