Articoli

Il caso Wind Tre: iniziative di telemarketing e trattamento illecito di dati

Avv. Vincenzo Colarocco

Il Garante della Privacy è intervenuto nuovamente sul tema del trattamento dei dati personali in relazione ad iniziative di marketing, pronunciandosi nei confronti di Wind Tre s.p.a.. All’esito di un’istruttoria avviata a seguito di numerose segnalazioni che lamentavano la ricezione di telefonate con operatore e di sms indesiderati a contenuto promozionale, l’Autorità Garante italiana ha emesso un’ordinanza di ingiunzione nei confronti di Wind Tre s.p.a (Provvedimento n. 493 del 29 novembre 2018) condannando la compagnia di telecomunicazioni al pagamento di una sanzione pecuniaria pari a 600 mila euro. La sanzione deriva da un provvedimento adottato nel mese di maggio 2018 (Provvedimento n. 330 del 22 maggio 2018) e quindi precedente all’entrata in vigore del Regolamento n. 679/2016, nell’ambito del quale l’Autorità aveva dichiarato illecito il trattamento dei dati dei clienti effettuato dalla società telefonica a fini di marketing. Le violazioni contestate a Wind Tre s.p.a. dal Garante Privacy sono da ricondurre a due condotte specifiche: la mancata verifica delle liste di chi non aveva prestato il consenso per essere contattato a scopi pubblicitari (“black list”), detenute dalla società, nelle quali erano presenti i segnalanti, e la sistematica, prolungata e illecita comunicazione di dati della clientela a terzi partner commerciali. La società, infatti aveva proceduto ad un’erronea qualificazione soggettiva della maggior parte dei punti vendita, individuandoli come titolari autonomi, anziché come responsabili del trattamento, incorrendo pertanto in una illecita comunicazione. Inoltre, tutte le richieste provenienti dai soggetti interessati inerenti alla revoca del consenso per finalità di telemarketing e marketing non erano state registrate ed organizzate dalla società ma solo  comunicate ai partner, che avrebbero dovuto poi provvedere in autonomia. Pertanto, accertata l’illiceità del trattamento, nel definire l’importo dovuto, l’Autorità ha tenuto conto della gravità delle violazioni contestate, del fatto che siano stati impiegati differenti canali di contatto (telefonate, sms) con esponenziale aumento dell’invasività delle campagne promozionali, della loro reiterazione nel tempo nonché della dimensione e delle condizioni economiche della società, ma anche – in termini favorevoli – del fatto che Wind Tre s.p.a abbia posto in essere autonome iniziative per eliminare le criticità emerse. Inoltre, sulla qualifica soggettiva dei partner commerciali, l’Autorità ha chiarito che l’omessa designazione di tali soggetti quali “responsabili del trattamento” ha dato luogo ad una sistematica oltre che prolungata comunicazione illecita dei dati riferiti alla clientela a terzi, fino al 93% degli operatori economici che vanno a comporre la rete commerciale della Società. Tuttavia, l’iniziale sanzione di 150 mila euro è risultata  inefficace, costringendo l’Autorità in questa occasione ad aumentarla del quadruplo, arrivando cosi alla somma di 600 mila euro.

Facebook e la raccolta dati in Germania: l’antitrust perimetra l’area di incidenza

Avv. Vincenzo Colarocco

Il Bundeskartellamt (l’Antitrust tedesco) ha deciso di imporre a Facebook severe restrizioni nei casi di elaborazione dei dati che prevedano una combinazione di dati estrapolati da diverse fonti, come per esempio WhatsApp e Instagram. Questa authority, infatti, è dell’opinione che la sconfinata raccolta di dati da più fonti e la fusione degli stessi costituisca un abuso di posizione dominante. In più, i termini d’uso proposti dall’azienda californiana nonché le stesse modalità di raccolta ed utilizzo dei dati costituirebbero, secondo il Bundeskartellamt, una violazione del GDPR.

Si legge, infatti, nella decisione che secondo i termini d’uso di Facebook l’utilizzo del social network da parte degli utenti comporta il trattamento dei loro dati in relazione sia al sito web Facebook, sia alla sua app mobile, sia ai servizi WhatsApp e Instagram, ed ancora ai siti terzi che gli utenti visitino durante la navigazione Internet. Tale mole di dati vengono attribuiti all’account Facebook dell’utente ma, secondo il Bundeskartellamt, verrebbero trattati senza consenso dello stesso, rendendo così il trasferimento illecito. Per l’autorità tedesca, al fine di trattare i dati provenienti dai diversi servizi del gruppo, come WhatsApp e Instagram,  sarà necessario, per Facebook, ottenere il consenso informato dell’utente stesso, in assenza del quale, i dati dovranno rimanere attribuiti al servizio che li ha raccolti e, quindi, non potranno essere elaborati assieme agli altri. Ugualmente per i dati raccolti dalla navigazione su siti terzi (ad esempio quando l’utente condivide sulla sua bacheca un link esterno a Facebook). L’autorità federale ci tiene a sottolineare la posizione dominante di cui Facebook gode sul mercato tedesco. Questo infatti conta 23 milioni di utenti attivi quotidianamente, equivalenti a un market share di oltre il 95% per gli utenti giornalieri e di oltre l’80%, cifre queste caratteristiche di un monopolio. Il Bundeskartellamt ha altresì chiesto al colosso di Menlo Park di presentare, entro 12 mesi, delle proposte volte ad attuare i cambiamenti richiesti. Ad ogni modo, la decisione dell’autorità di vigilanza non è definitiva e Facebook non ha tardato a richiedere appello avverso la stessa presso l’Alto tribunale regionale di Düsseldorf. Secondo i legali della compagnia, l’autorità federale non avrebbe tenuto conto della concorrenza che Facebook ha in Germania affermando, inoltre, che questa avrebbe male interpretato la compliance con il GDPR, mettendo in serio pericolo così l’omogeneità degli standard per la protezione dei dati  nel vecchio continente.

Il garante vieta di rendere pubbliche le valutazioni e le contestazioni disciplinari al dipendente

Avv. Vincenzo Colarocco

È illecita l’affissione in bacheca di dati personali relativi alle valutazioni e alle contestazioni disciplinari dei soci lavoratori. Questo è quanto afferma il Garante con il provvedimento n. 500 del 13 dicembre 2018. In particolare, una società toscana aveva messo in atto una sorta di “concorso a premi” obbligatorio per i lavoratori e, settimanalmente, pubblicava sulla bacheca aziendale le valutazioni sull’attività dei propri lavoratori attraverso un cartello nel quale i volti dei dipendenti erano associati a emoticon che rappresentavano, in forma sintetica, i giudizi, positivi o negativi, espressi sul socio, corredati, se del caso, dalle contestazioni disciplinari. La valutazione negativa comportava una decurtazione dallo stipendio.

Il Garante, sul punto, ritiene che sia conforme a normativa che il datore di lavoro tratti i dati necessari a compiere la valutazione sul corretto adempimento della prestazione lavorativa del proprio dipendente, cui eventualmente consegue l’esercizio del potere disciplinare nei modi e nei limiti previsti dalla disciplina di settore. Tuttavia, la sistematica messa a disposizione delle medesime informazioni mediante affissione su una bacheca all’interno dei locali della società, pubblicamente, in modo da rendere edotti tutti gli altri dipendenti ed eventuali terzi visitatori, non appare lecita, in quanto, tali soggetti, non sono legittimati a conoscere i dati personali riguardanti valutazioni e rilievi disciplinari.

I trattamenti effettuati si pongono, dunque, in contrasto con il Regolamento (UE) 2016/679 e sono da ritenersi illeciti perché non rispondenti al principio di liceità, correttezza e trasparenza, nonché a quello della minimizzazione dei dati. Le informazioni concernenti valutazioni e contestazioni disciplinari sono particolarmente delicate poiché incidono sulla dignità professionale del dipendente.

Del resto, il fatto che i soci lavoratori avessero prestato il proprio consenso a partecipare al concorso non pare essere dirimente: tale manifestazione di volontà non può costituire la base giuridica idonea a legittimare il trattamento di dati personali. La ragione è data da un lato, dalla sussistenza di un’asimmetria tra le rispettive parti del rapporto di lavoro, cui consegue la necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso; dall’altro, il consenso prestato dai soci potrebbe unicamente riguardare l’autorizzazione a detrarre dalla busta paga eventuali decurtazioni derivanti da valutazioni negative.

Il garante privacy verifica la conformità dei codici deontologici

Avv. Vincenzo Colarocco

Sono stati recentemente diramati, dall’Autorità Garante italiana, i nuovi testi dei riformati codici deontologici in ossequio alle prescrizioni dettate dalla disciplina comunitaria in materia di protezione dei dati personali.

In particolare, con il D. Lgs. n. 101/2018 – volto alla modifica del D. Lgs. 196/2003 (“Codice Privacy”) al fine di conformarlo al Regolamento UE 679/2016 (“GDPR”) – il Legislatore Italiano ha posto in capo al Garante Privacy l’onere di verificare quali disposizioni dei codici di deontologia e di buona condotta allegati al previgente Codice Privacy fossero da ritenersi conformi al GDPR. In particolare, le valutazioni dell’Autorità italiana si sono concentrate sui codici deontologici inerenti ai trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive.

Concordemente con quanto disposto dal D.Lgs. 101/2018, l’opera del Garante non si è limitata ad una valutazione di mera conformità ma ha richiesto, altresì, un aggiornamento formale dei riferimenti al nuovo quadro normativo europeo, con la conseguente soppressione o ridefinizione di talune previsioni alla luce dei nuovi principi di accountability, privacy by default e by design che permeano l’intera impostazione del GDPR. In dettaglio, ai sensi del D. Lgs. 101/2018, entro 90 giorni dalla data di entrata in vigore del decreto, il Garante avrebbe pubblicato in Gazzetta Ufficiale le disposizioni ritenute conformi (ridenominate “regole deontologiche”), emendate dalle disposizioni incompatibili, prescindendo quindi da una consultazione pubblica. Consultazione al contrario prevista – per una durata minima di 60 giorni – per le regole deontologiche di cui all’art. 2-quater del novellato Codice Privacy.

Nei giorni scorsi il Garante ha quindi trasmesso al Ministero della Giustizia i testi aggiornati delle regole deontologiche sottoposte alla sua valutazione, testi che possono essere consultati direttamente sul sito dell’Autorità (qui) e che, nello specifico, attengono ai trattamenti per fini statistici o di ricerca scientifica; ai trattamenti con finalità di archiviazione nel pubblico interesse o per scopi di ricerca storica; ai trattamenti effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria; al trattamento di dati personali nell’esercizio dell’attività giornalistica.

Al via la fatturazione elettronica ma ancora riserve sulla protezione dei dati personali

Avv. Vincenzo Colarocco

Dal primo gennaio la Legge di Bilancio 2018 ha introdotto l’obbligo della fatturazione elettronica, anche nelle relazioni commerciali tra soggetti passivi Iva privati (aziende e professionisti) e verso i consumatori finali. In particolare, per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti, stabiliti o identificati nel territorio dello Stato dovranno essere emesse, utilizzando il Sistema di Interscambio (SDI), esclusivamente fatture elettroniche in formato XML, già in uso per le fatture della P.A.. I soggetti passivi IVA dovranno trasmettere telematicamente all’Agenzia delle Entrate i dati relativi alle operazioni di cessione di beni e di prestazione di servizi effettuate e ricevute verso e da soggetti non stabiliti nel territorio dello Stato, salvo quelle per le quali è stata emessa una bolletta doganale e quelle per le quali siano state emesse o ricevute fatture elettroniche secondo le modalità del Sistema di Interscambio. La trasmissione telematica dovrà essere effettuata entro l’ultimo giorno del mese successivo a quello della data del documento emesso ovvero a quello della data di ricezione del documento comprovante l’operazione. Restano esonerati solo i soggetti passivi che rientrano nel c.d. “regime di vantaggio” e quelli che applicano il regime forfettario.

La modifica è di grande portata, poiché l’adempimento interesserà la maggior parte delle partite IVA, con conseguente trasmissione in digitale di un ingente numero di documenti e rischi relativi.

Oltre ai timori che il sistema di interscambio possa subire crash informatici, con dispersione dei dati, il Garante della privacy è intervenuto in diverse occasioni sollevando dubbi e rilevando criticità.

Con articolato provvedimento del 20 dicembre scorso, il Garante ha individuato i presupposti e le condizioni perché l’Agenzia delle Entrate possa avviare i trattamenti di dati connessi al nuovo obbligo.

La fatturazione elettronica, così come originariamente prefigurata dall’Agenzia, presentava rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali. L’Agenzia, oltre a recapitare le fatture ai contribuenti attraverso il sistema di interscambio, avrebbe anche archiviato integralmente tutti i file delle fatture elettroniche che contengono informazioni di dettaglio, non rilevanti a fini fiscali, sui beni e servizi acquistati come le abitudini e le tipologie di consumo legate alla fornitura di servizi energetici, di telecomunicazione o trasporto (es. regolarità nei pagamenti, pedaggi autostradali, biglietti aerei, pernottamenti), o addirittura l’indicazione puntuale delle prestazioni legali (es. numero procedimento penale) o sanitarie (es. percorso diagnostico neuropsichiatrico infantile).

Il nuovo sistema di fattura prevede, invece, che l’Agenzia si limiti a memorizzare solo i dati fiscali necessari per i controlli automatizzati (es. incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia), con l’esclusione della descrizione del bene o servizio oggetto di fattura. Dopo il periodo transitorio indispensabile a modificare il sistema, nuovi servizi di consultazione delle fatture saranno resi disponibili solo su specifica richiesta del contribuente, sulla base di accordi che saranno esaminati dall’Autorità.

I soggetti che erogano prestazioni sanitarie saranno esclusi dall’obbligo di emettere fattura elettronica.

Al fine di prevenire trattamenti impropri dei dati, il Garante ha avvertito tutti gli operatori (soggetti Iva e intermediari, anche tecnici) che alcune clausole contrattuali, predisposte dalle società di software, possono violare il Regolamento ed espongono a sanzioni.

Ulteriori sforzi sono richiesti all’Agenzia delle entrate per implementare la cifratura dei dati (utile soprattutto in caso di utilizzo della pec), per minimizzare i dati da memorizzare e per conformarsi agli obblighi di trasparenza e correttezza nei confronti degli interessati riguardo ai controlli fiscali effettuati attraverso trattamenti automatizzati o con l’acquisizione delle fatture per le quali il contribuente usufruisce dei servizi di consultazione e conservazione. Tutto ciò in vista di una nuova valutazione d’impatto, prevista dalla normativa sulla protezione dei dati, che l’Agenzia dovrà produrre entro il 15 aprile 2019.

Violenza sessuale: vietata la pubblicazione di informazioni che possano identificare la vittima, anche indirettamente

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali ha ribadito, con alcune recenti decisioni (cfr. inter alia n. 9065807, 9065782, 9065800) il principio per cui viene fatto divieto ai media di diffondere informazioni che possano rendere identificabile, anche in via indiretta, una vittima di violenza sessuale.

L’art. 137 del Codice della Privacy prevedeva – e tuttora dispone nel nuovo testo dell’art. 12, comma 1, lett. c), del d.lgs. 101/2018,– che in caso di diffusione o di comunicazione di dati personali per finalità giornalistiche restano fermi i limiti del diritto di cronaca a tutela dei diritti e delle libertà delle persone e, nello specifico, il limite dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico.

Il Garante ha affermato che detto limite deve essere interpretato con particolare rigore quando vengono in considerazione dati idonei a identificare vittime di reati, a maggior ragione con riferimento a notizie che riguardano episodi di violenza sessuale, attesa la particolare tutela accordata dall’ordinamento, anche in sede penale, alla riservatezza delle persone offese da tali delitti.

La diffusione all’interno di un articolo di informazioni idonee a rendere, sia pure indirettamente, la vittima identificabile, risulta in contrasto con le esigenze di tutela della dignità della medesima anche in ragione dell’art. 8, comma 1, del codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica.

Il Garante ha ricordato che in caso di inosservanza del divieto, il titolare del trattamento, in questo caso l’editore, può incorrere anche nelle nuove sanzioni amministrative introdotte dal GDPR, all’art. 83, par. 5, lett. e), che possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Facebook: l’antitrust rigetta l’eccezione di competenza in tema di privacy

Avv. Vincenzo Colarocco

L’Autorità Garante della Concorrenza e del Mercato (AGCM), con provvedimento del 29 novembre 2018, ha chiuso l’istruttoria per presunte violazioni degli articoli 21, 22, 24 e 25 del Codice del Consumo, avviata lo scorso aprile, nei confronti di Facebook Ireland Ltd. e della sua controllante Facebook Inc., irrogando alle stesse due sanzioni per complessivi 10 milioni di euro.

Secondo l’Antitrust, Facebook avrebbe posto in essere pratiche commerciali scorrette:

– inducendo ingannevolmente gli utenti a registrarsi sulla piattaforma social, dato che Facebook non fornirebbe, in fase di attivazione dell’account, informazioni adeguate ed immediate circa l’attività di raccolta dei dati che viene svolta a fini commerciali, e più in generale, non verrebbero messe in luce le finalità remunerative che in realtà risulterebbero essere alla base della fornitura del servizio di social network, enfatizzandone la sola gratuità e inducendo così gli utenti ad “assumere una decisione di natura commerciale che non avrebbero altrimenti preso” (registrazione al social network e permanenza nel medesimo);

– esercitando un “indebito condizionamento” nei confronti degli utenti/consumatori registrati, i quali subirebbero in modo inconsapevole ed automatico, cioè senza espresso e preventivo consenso, ma attraverso “l’applicazione di un meccanismo di preselezione del più ampio consenso alla condivisione di dati”, la trasmissione degli stessi da Facebook a siti web e/o app di terzi e viceversa, per finalità commerciali, ponendo in essere una pratica aggressiva.

Probabilmente quest’ultimo rappresenta uno dei punti più delicati della vicenda, in quanto potrebbe essere direttamente collegato a tutte le pratiche emerse dallo scandalo Cambridge Analytica in poi (clicca qui).

In considerazione dei rilevanti effetti di tali pratiche sui consumatori, l’Autorità ha altresì imposto a Facebook (ai sensi dell’art. 27, comma 8, del Codice del Consumo) l’obbligo di “pubblicare una dichiarazione rettificativa sul sito internet e sull’app per informare gli utenti consumatori”.

Risultano interessanti le argomentazioni dell’AGCM in merito al mancato accoglimento dell’eccezione sollevata da Facebook in relazione alla possibile incompetenza dell’Autorità stessa a trattare il caso, in ragione di possibili sovrapposizioni con le materie regolate dalla normativa sulla privacy. A tal proposito l’Autorità ha ritenuto che “non sussiste un conflitto tra le due discipline, integrandosi, piuttosto, le stesse in maniera complementare”.

Comminate le prime sanzioni per violazioni al gdpr

Avv. Vincenzo Colarocco

A circa sei mesi di distanza dall’entrata in vigore del Regolamento UE 679/2016 (“GDPR”), recante la nuova disciplina in materia di trattamento dei dati personali nel contesto comunitario, si segnalano le prime sanzioni derivanti da violazioni del nuovo tessuto normativo.

Anzitutto si segnala un provvedimento sanzionatorio adottato dal Garante Privacy Austriaco in relazione ad un inappropriato utilizzo dei sistemi di videosorveglianza aziendali (per un approfondimento sul tema, in lingua originale, clicca qui). In particolare, l’azienda sanzionata risultava munita di videocamere che, prescindendo da una concreta finalità, da qualunque segnalazione al Garante e dall’esposizione della dovuta segnaletica, riprendevano non solo gli ingressi agli stabilimenti aziendali ma anche i volti di chi percorrevi gli attigui marciapiedi. In tale circostanza la sanzione comminata è stata pari ad euro 4.000,00 circa.

Da riportarsi è anche la sanzione conseguente ad un caso di data breach verificatosi in Germania. Nonostante i casi di violazione di dati personali non si siano certo fatti attendere in questa prima fase di entrata in vigore del GDPR, il provvedimento adottato dal Garante Tedesco (disponibile qui in allegato in lingua originale) si attesta sinora come una rarità nello scenario comunitario. La particolarità della sanzione comminata nel caso di specie si attesta nella circostanza che l’Autorità competente sembrerebbe aver tenuto in maggior considerazione l’evidenza che i dati violati (nello specifico nome utente e password aziendali) fossero stati mal conservati dall’azienda coinvolta, piuttosto che dalla conseguente sottrazione degli stessi. Tale ultima circostanza costituirebbe infatti, stando al Garante Tedesco, la mera conseguenza di non essersi muniti di sistemi di cifratura adeguati che, seppur in caso di sottrazione di dati, avrebbero quantomeno potuto evitare che le password dei dipendenti venissero rese pubbliche. In seguito a tali eventi la sanzione adottata si è attestata sugli euro 20.000.

Le descritte misure sanzionatorie restano comunque ben più lievi rispetto a quella recentemente comminata dall’Autorità Portoghese (pari ad euro 400.000,00) ad una struttura ospedaliera nazionale rea di aver posto in essere delle politiche estremamente leggere in materia di accesso a dati sanitari, con la conseguenza che gli addetti di qualsiasi reparto potevano, con estrema facilità, non soltanto accedere, ma anche modificare i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti ospiti del complesso ospedaliero. La portata della sanzione adottata ha fatto sì che la notizie fosse rilanciata con enfasi anche dai quotidiani nazionali portoghesi (qui un esempio).

Dal quadro esposto emerge chiaramente come le Autorità Europee Garanti della Privacy, dopo una concepibile prima fase di assestamento, guardino ormai con attenzione crescente a quel complesso di norme del GDPR attinenti alla sfera sanzionatoria, di cui tanto si è parlato nei momenti antecedenti all’entrata in vigore della nuova normativa. Risulta altresì evidente come il quadro sanzionatorio – e per l’effetto quello delle possibili condotte che possano integrarlo – si configuri come assai vario. Non adottare la dovuta segnaletica in ambito di videosorveglianza; non munirsi di policy adeguate per regolamentare l’accesso ai dati; non beneficiare di semplici sistemi di cifratura per le password dei propri dipendenti, rappresentano errori assai comuni e che possono essere commessi a qualunque livello aziendale.