Articoli

Software Claudette: I.A. contro le clausole vessatorie

Avv. Vincenzo Colarocco

Nasce “Claudette”, il software basato sull’intelligenza artificiale che viene in soccorso dei consumatori per metterli in guardia dalle clausole vessatorie dei contratti stipulati unilateralmente e sottoscritti online. A guidare il relativo progetto è stato l’Istituto Universitario Europeo di Fiesole, con i Professori Giovanni Sartor e Hans-W- Micklitz, in collaborazione con gli ingegneri dell’Università di Bologna e dell’Università di Modena e Reggio Emilia.

A fronte di un aumento del 15% nel 2018 per l’e-commerce italiano, il valore mondiale degli acquisti online sembra stagliarsi attorno ai 2 milioni di euro. Tali acquisti vengono però effettuati, nella maggior parte dei casi, ignorando le clausole contrattuali o le condizioni di servizio. Già dieci anni fa, e dunque prima ancora dell’entrata in vigore del Regolamento (UE) 2016/679 (“GDPR”), uno studio pubblicato sul Journal of Law and Policy for the Information Society rappresentava come la lettura effettiva delle sole privacy policy sarebbe costata, in termini di tempo, circa 200 ore l’anno per utente; a tanto si aggiunga lo scarso rilievo pratico di un analitico esame delle suddette clausole, stante il limitato potere contrattuale dell’utente in relazione a controparti quali Google, Facebook o Amazon.

Claudette si propone di contrastare l’inserzione delle clausole abusive attraverso l’automazione della fase di identificazione delle stesse secondo lo schema tipico dei meccanismi di machine learning: i ricercatori hanno raccolto i termini e le condizioni di servizio di alcune delle maggiori piattaforme online, quali, tra le altre, Google, Linkedin, Dropbox, World of Warcraft, Yahoo e Twitter, ed hanno ricondotto ciascuna clausola ad otto diverse categorie, tra le quali figurano: giurisdizione, legge applicabile e limitazioni di responsabilità. L’applicazione dell’I.A. al caso di specie ha portato ad un risultato senza dubbio significativo: l’8,6% delle frasi totali (segnatamente, 1032 delle 12011 inserite) è stato identificato come potenzialmente abusivo. Oltre ai consumatori, Claudette potrebbe essere d’ausilio anche agli stessi operatori del settore, come per esempio consulenti o avvocati, chiamati a pronunciarsi sulla legittimità dei regolamenti contrattuali predisposti dai propri clienti, in questo modo ottimizzando la fase di studio dei contratti e di conseguente identificazione delle clausole abusive.

Il garante vieta di rendere pubbliche le valutazioni e le contestazioni disciplinari al dipendente

Avv. Vincenzo Colarocco

È illecita l’affissione in bacheca di dati personali relativi alle valutazioni e alle contestazioni disciplinari dei soci lavoratori. Questo è quanto afferma il Garante con il provvedimento n. 500 del 13 dicembre 2018. In particolare, una società toscana aveva messo in atto una sorta di “concorso a premi” obbligatorio per i lavoratori e, settimanalmente, pubblicava sulla bacheca aziendale le valutazioni sull’attività dei propri lavoratori attraverso un cartello nel quale i volti dei dipendenti erano associati a emoticon che rappresentavano, in forma sintetica, i giudizi, positivi o negativi, espressi sul socio, corredati, se del caso, dalle contestazioni disciplinari. La valutazione negativa comportava una decurtazione dallo stipendio.

Il Garante, sul punto, ritiene che sia conforme a normativa che il datore di lavoro tratti i dati necessari a compiere la valutazione sul corretto adempimento della prestazione lavorativa del proprio dipendente, cui eventualmente consegue l’esercizio del potere disciplinare nei modi e nei limiti previsti dalla disciplina di settore. Tuttavia, la sistematica messa a disposizione delle medesime informazioni mediante affissione su una bacheca all’interno dei locali della società, pubblicamente, in modo da rendere edotti tutti gli altri dipendenti ed eventuali terzi visitatori, non appare lecita, in quanto, tali soggetti, non sono legittimati a conoscere i dati personali riguardanti valutazioni e rilievi disciplinari.

I trattamenti effettuati si pongono, dunque, in contrasto con il Regolamento (UE) 2016/679 e sono da ritenersi illeciti perché non rispondenti al principio di liceità, correttezza e trasparenza, nonché a quello della minimizzazione dei dati. Le informazioni concernenti valutazioni e contestazioni disciplinari sono particolarmente delicate poiché incidono sulla dignità professionale del dipendente.

Del resto, il fatto che i soci lavoratori avessero prestato il proprio consenso a partecipare al concorso non pare essere dirimente: tale manifestazione di volontà non può costituire la base giuridica idonea a legittimare il trattamento di dati personali. La ragione è data da un lato, dalla sussistenza di un’asimmetria tra le rispettive parti del rapporto di lavoro, cui consegue la necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso; dall’altro, il consenso prestato dai soci potrebbe unicamente riguardare l’autorizzazione a detrarre dalla busta paga eventuali decurtazioni derivanti da valutazioni negative.

Al via la fatturazione elettronica ma ancora riserve sulla protezione dei dati personali

Avv. Vincenzo Colarocco

Dal primo gennaio la Legge di Bilancio 2018 ha introdotto l’obbligo della fatturazione elettronica, anche nelle relazioni commerciali tra soggetti passivi Iva privati (aziende e professionisti) e verso i consumatori finali. In particolare, per le cessioni di beni e le prestazioni di servizi effettuate tra soggetti residenti, stabiliti o identificati nel territorio dello Stato dovranno essere emesse, utilizzando il Sistema di Interscambio (SDI), esclusivamente fatture elettroniche in formato XML, già in uso per le fatture della P.A.. I soggetti passivi IVA dovranno trasmettere telematicamente all’Agenzia delle Entrate i dati relativi alle operazioni di cessione di beni e di prestazione di servizi effettuate e ricevute verso e da soggetti non stabiliti nel territorio dello Stato, salvo quelle per le quali è stata emessa una bolletta doganale e quelle per le quali siano state emesse o ricevute fatture elettroniche secondo le modalità del Sistema di Interscambio. La trasmissione telematica dovrà essere effettuata entro l’ultimo giorno del mese successivo a quello della data del documento emesso ovvero a quello della data di ricezione del documento comprovante l’operazione. Restano esonerati solo i soggetti passivi che rientrano nel c.d. “regime di vantaggio” e quelli che applicano il regime forfettario.

La modifica è di grande portata, poiché l’adempimento interesserà la maggior parte delle partite IVA, con conseguente trasmissione in digitale di un ingente numero di documenti e rischi relativi.

Oltre ai timori che il sistema di interscambio possa subire crash informatici, con dispersione dei dati, il Garante della privacy è intervenuto in diverse occasioni sollevando dubbi e rilevando criticità.

Con articolato provvedimento del 20 dicembre scorso, il Garante ha individuato i presupposti e le condizioni perché l’Agenzia delle Entrate possa avviare i trattamenti di dati connessi al nuovo obbligo.

La fatturazione elettronica, così come originariamente prefigurata dall’Agenzia, presentava rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali. L’Agenzia, oltre a recapitare le fatture ai contribuenti attraverso il sistema di interscambio, avrebbe anche archiviato integralmente tutti i file delle fatture elettroniche che contengono informazioni di dettaglio, non rilevanti a fini fiscali, sui beni e servizi acquistati come le abitudini e le tipologie di consumo legate alla fornitura di servizi energetici, di telecomunicazione o trasporto (es. regolarità nei pagamenti, pedaggi autostradali, biglietti aerei, pernottamenti), o addirittura l’indicazione puntuale delle prestazioni legali (es. numero procedimento penale) o sanitarie (es. percorso diagnostico neuropsichiatrico infantile).

Il nuovo sistema di fattura prevede, invece, che l’Agenzia si limiti a memorizzare solo i dati fiscali necessari per i controlli automatizzati (es. incongruenze tra dati dichiarati e quelli a disposizione dell’Agenzia), con l’esclusione della descrizione del bene o servizio oggetto di fattura. Dopo il periodo transitorio indispensabile a modificare il sistema, nuovi servizi di consultazione delle fatture saranno resi disponibili solo su specifica richiesta del contribuente, sulla base di accordi che saranno esaminati dall’Autorità.

I soggetti che erogano prestazioni sanitarie saranno esclusi dall’obbligo di emettere fattura elettronica.

Al fine di prevenire trattamenti impropri dei dati, il Garante ha avvertito tutti gli operatori (soggetti Iva e intermediari, anche tecnici) che alcune clausole contrattuali, predisposte dalle società di software, possono violare il Regolamento ed espongono a sanzioni.

Ulteriori sforzi sono richiesti all’Agenzia delle entrate per implementare la cifratura dei dati (utile soprattutto in caso di utilizzo della pec), per minimizzare i dati da memorizzare e per conformarsi agli obblighi di trasparenza e correttezza nei confronti degli interessati riguardo ai controlli fiscali effettuati attraverso trattamenti automatizzati o con l’acquisizione delle fatture per le quali il contribuente usufruisce dei servizi di consultazione e conservazione. Tutto ciò in vista di una nuova valutazione d’impatto, prevista dalla normativa sulla protezione dei dati, che l’Agenzia dovrà produrre entro il 15 aprile 2019.

Emergenza data breach: colpite la catena di alberghi marriott e quora

Avv. Vincenzo Colarocco

Ben quattro anni dopo l’accaduto, la catena di alberghi Marriott annuncia di aver subito attacchi informatici tali da mettere a rischio i dati personali di circa 500 milioni di soggetti. Solo a seguito di una segnalazione ricevuta l’8 settembre scorso, il colosso alberghiero ha avviato un’inchiesta interna che avrebbe svelato simili violazioni: per alcuni clienti, sarebbero state trafugate anche le coordinate bancarie, oltre naturalmente ai dati anagrafici e agli indirizzi di posta elettronica. Ad oggi, il gruppo dichiara di non aver ancora del tutto definito la portata del breach, non essendo in grado di identificare precisamente quali e quante informazioni siano state “hackerate” prima della scoperta dell’accaduto. La notizia che potrebbe esporre il colosso ad ingenti sanzioni è che, nonostante i dati fossero criptati, gli hacker sarebbero venuti in possesso delle chiavi di accesso.

Il breach sembra non risparmiare nessuno: di questi giorni la notizia di un’altra violazione, questa volta verificatasi ad una piattaforma dedicata all’informazione, Quora.

Il sito web di domande e risposte ha annunciato, mediante l’invio di un’e-mail ai soggetti coinvolti, di avere subìto un attacco informatico che ha interessato i dati di almeno 100 milioni di suoi utenti. L’elemento distintivo di questo attacco è che ha riguardato non soltanto le anagrafiche, gli indirizzi e-mail e le password, ma anche altri dati personali  dell’utente, ulteriori rispetto a quelli di registrazione, dal momento che l’accesso alla piattaforma è disponibile anche mediante l’account creato su altri social network.

Le linee guida sull’applicazione dell’ambito territoriale del gdpr

Avv. Vincenzo Colarocco

Il testo chiarisce alcuni aspetti dell’articolo 3 del GDPR che, come noto, obbliga molti dei top player del mondo digitale al rispetto della normativa privacy europea. In concreto, infatti, come si fa a stabilire quando una società asiatica sia tenuta al rispetto del GDPR? Che dire di chi commercializza i propri prodotti tramite un portale e-commerce: l’apertura di un ufficio in Italia può essere considerata come uno stabilimento?

I Garanti Europei sono intervenuti per rispondere a questi e altri quesiti più o meno complessi, al fine di rendere agevole la comprensione e, dunque, l’applicazione della lettera della norma. L’articolo 3 del GDPR enuclea due criteri principali: quello dello “stabilimento” e quello che si basa sull’“oggetto delle attività di trattamento”. Se uno di questi due criteri è soddisfatto, troveranno applicazione le disposizioni pertinenti del GDPR. Inoltre, al paragrafo 3 conferma l’applicazione della normativa vigente in caso di trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

È evidente come le Linee Guida potranno produrre forti conseguenze tanto sulle istituzioni quanto sulle imprese europee e straniere. Per tali ragioni, il Board Europeo dei Garanti ha sottoposto il testo a consultazione pubblica prima della sua definitiva approvazione.

Si attende, pertanto, il testo definitivo che sarà sicuramente utile al fine di garantire una corretta interpretazione della norma.

Violenza sessuale: vietata la pubblicazione di informazioni che possano identificare la vittima, anche indirettamente

Avv. Vincenzo Colarocco

Il Garante per la protezione dei dati personali ha ribadito, con alcune recenti decisioni (cfr. inter alia n. 9065807, 9065782, 9065800) il principio per cui viene fatto divieto ai media di diffondere informazioni che possano rendere identificabile, anche in via indiretta, una vittima di violenza sessuale.

L’art. 137 del Codice della Privacy prevedeva – e tuttora dispone nel nuovo testo dell’art. 12, comma 1, lett. c), del d.lgs. 101/2018,– che in caso di diffusione o di comunicazione di dati personali per finalità giornalistiche restano fermi i limiti del diritto di cronaca a tutela dei diritti e delle libertà delle persone e, nello specifico, il limite dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico.

Il Garante ha affermato che detto limite deve essere interpretato con particolare rigore quando vengono in considerazione dati idonei a identificare vittime di reati, a maggior ragione con riferimento a notizie che riguardano episodi di violenza sessuale, attesa la particolare tutela accordata dall’ordinamento, anche in sede penale, alla riservatezza delle persone offese da tali delitti.

La diffusione all’interno di un articolo di informazioni idonee a rendere, sia pure indirettamente, la vittima identificabile, risulta in contrasto con le esigenze di tutela della dignità della medesima anche in ragione dell’art. 8, comma 1, del codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica.

Il Garante ha ricordato che in caso di inosservanza del divieto, il titolare del trattamento, in questo caso l’editore, può incorrere anche nelle nuove sanzioni amministrative introdotte dal GDPR, all’art. 83, par. 5, lett. e), che possono raggiungere i 20 milioni di euro o il 4% del fatturato mondiale totale annuo dell’esercizio precedente.

Comminate le prime sanzioni per violazioni al gdpr

Avv. Vincenzo Colarocco

A circa sei mesi di distanza dall’entrata in vigore del Regolamento UE 679/2016 (“GDPR”), recante la nuova disciplina in materia di trattamento dei dati personali nel contesto comunitario, si segnalano le prime sanzioni derivanti da violazioni del nuovo tessuto normativo.

Anzitutto si segnala un provvedimento sanzionatorio adottato dal Garante Privacy Austriaco in relazione ad un inappropriato utilizzo dei sistemi di videosorveglianza aziendali (per un approfondimento sul tema, in lingua originale, clicca qui). In particolare, l’azienda sanzionata risultava munita di videocamere che, prescindendo da una concreta finalità, da qualunque segnalazione al Garante e dall’esposizione della dovuta segnaletica, riprendevano non solo gli ingressi agli stabilimenti aziendali ma anche i volti di chi percorrevi gli attigui marciapiedi. In tale circostanza la sanzione comminata è stata pari ad euro 4.000,00 circa.

Da riportarsi è anche la sanzione conseguente ad un caso di data breach verificatosi in Germania. Nonostante i casi di violazione di dati personali non si siano certo fatti attendere in questa prima fase di entrata in vigore del GDPR, il provvedimento adottato dal Garante Tedesco (disponibile qui in allegato in lingua originale) si attesta sinora come una rarità nello scenario comunitario. La particolarità della sanzione comminata nel caso di specie si attesta nella circostanza che l’Autorità competente sembrerebbe aver tenuto in maggior considerazione l’evidenza che i dati violati (nello specifico nome utente e password aziendali) fossero stati mal conservati dall’azienda coinvolta, piuttosto che dalla conseguente sottrazione degli stessi. Tale ultima circostanza costituirebbe infatti, stando al Garante Tedesco, la mera conseguenza di non essersi muniti di sistemi di cifratura adeguati che, seppur in caso di sottrazione di dati, avrebbero quantomeno potuto evitare che le password dei dipendenti venissero rese pubbliche. In seguito a tali eventi la sanzione adottata si è attestata sugli euro 20.000.

Le descritte misure sanzionatorie restano comunque ben più lievi rispetto a quella recentemente comminata dall’Autorità Portoghese (pari ad euro 400.000,00) ad una struttura ospedaliera nazionale rea di aver posto in essere delle politiche estremamente leggere in materia di accesso a dati sanitari, con la conseguenza che gli addetti di qualsiasi reparto potevano, con estrema facilità, non soltanto accedere, ma anche modificare i dati personali e sanitari contenuti nelle cartelle cliniche di tutti i pazienti ospiti del complesso ospedaliero. La portata della sanzione adottata ha fatto sì che la notizie fosse rilanciata con enfasi anche dai quotidiani nazionali portoghesi (qui un esempio).

Dal quadro esposto emerge chiaramente come le Autorità Europee Garanti della Privacy, dopo una concepibile prima fase di assestamento, guardino ormai con attenzione crescente a quel complesso di norme del GDPR attinenti alla sfera sanzionatoria, di cui tanto si è parlato nei momenti antecedenti all’entrata in vigore della nuova normativa. Risulta altresì evidente come il quadro sanzionatorio – e per l’effetto quello delle possibili condotte che possano integrarlo – si configuri come assai vario. Non adottare la dovuta segnaletica in ambito di videosorveglianza; non munirsi di policy adeguate per regolamentare l’accesso ai dati; non beneficiare di semplici sistemi di cifratura per le password dei propri dipendenti, rappresentano errori assai comuni e che possono essere commessi a qualunque livello aziendale.