La Newsletter dello Studio Previti sulle principali novità in materia.
Lo scorso 19 dicembre, il Garante italiano si è pronunciato nei confronti della Regione Lazio con un provvedimento sanzionatorio per la somma di euro 100.000. Le ragioni si sostanziano nell’assenza di adeguate tutele sul controllo dei metadati della posta elettronica dei dipendenti oltre che nella violazione delle norme che limitano il controllo a distanza dei lavoratori
L’attività istruttoria dell’autorità ha preso avvio dalla segnalazione di un sindacato che aveva lamentato un monitoraggio posto in essere dall’amministrazione sulla posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale, avente ad oggetto i metadati relativi ad orari, destinatari, contenuto delle comunicazioni, peso degli allegati, per via del sospetto di una potenziale divulgazione a terzi di informazioni protette dal segreto d'ufficio. Il Garante ha, dunque, accertato che il monitoraggio effettuato dall’ente pubblico in questione è stato posto in essere in assenza di idonei presupposti giuridici violando così i principi di protezione dei dati e delle norme sul controllo a distanza. L'Autorità ha chiarito che la raccolta generalizzata e l'archiviazione estensiva dei metadati della posta elettronica non sono funzionali alla "prestazione" del dipendente ai sensi dello Statuto dei lavoratori. Il trattamento dei dati personali realizzato ha, tra l'altro, reso possibile al datore di lavoro di entrare in possesso di informazioni relative alla sfera privata dei dipendenti, non attinenti al rapporto di lavoro. Oltre alla sanzione amministrativa di 100.000 euro, il Garante ha vietato alla Regione Lazio ogni ulteriore operazione di trattamento dei metadati relativi all’utilizzo della posta elettronica dei lavoratori e disposto la cancellazione di quelli illecitamente raccolti.
Lo scorso 9 dicembre 2022 è stata data attuazione alla direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, in tema di protezione dei soggetti che rendono note quelle violazioni contrarie al diritto dell’unione e al diritto degli stati membri. Il provvedimento di attuazione è stato approvato dal Consiglio dei Ministri ed è attualmente all’esame del Parlamento.
Le disposizioni contenute nella direttiva si riferiscono ai c.d whistleblowers, ossia a quei soggetti che segnalano minacce o pregiudizi al pubblico interesse di cui sono venuti a conoscenza nel contesto dello svolgimento di attività professionali. La direttiva in questione offre norme minime di tutela, tese ad uniformare le normative nazionali, tenendo che, nel segnalare ogni eventuale violazione, i whistleblowers esercitano il diritto alla libertà di espressione. Lo scopo della normativa è quello di rafforzare i principi di trasparenza e responsabilità e di prevenire la commissione dei reati. Nel settore privato, la tutela del whistleblower è limitata e riguarda per ora esclusivamente i lavoratori e collaboratori degli enti che hanno adottato il modello organizzativo previsto dal decreto 231 del 2001, con riferimento agli illeciti rilevanti perla responsabilità amministrativa. Il decreto amplia in maniera significativa l’ambito di applicazione, comprendendo nella disciplina del whistleblowing anche le imprese che hanno impiegato, nell’ultimo anno, la media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato oppure che rientrano nell’ambito di applicazione degli atti dell’Unione europea in materia di soprattutto di protezione del risparmio.
Lo scorso 16 dicembre 2022, l’Agenzia per l’Italia Digitale (“AgID”) ha pubblicato un approfondimento inerente al tema dello scambio dei pacchetti di archiviazione dei documenti informatici nell’ottica di rafforzamento dell’interoperabilità tra poli di conservazione.
Al fine di approfondire il contesto di applicazione delle linee guida sul documento informatico, infatti, l’AgID ha promosso l’attivazione di un tavolo di lavoro, in continuità con il Gruppo di lavoro sui Poli di Conservazione che, nel giugno 2021, aveva prodotto il documento “Definizione di un modello di riferimento per i Poli di conservazione”. È stato, dunque, approfondito il tema dello scambio dei Pacchetti di Archiviazione nell’ottica di rafforzare l’interoperabilità tra poli di conservazione. Il tema dell’interoperabilità e dello scambio di Pacchetti di Archiviazione tra diversi sistemi di conservazione e diversi conservatori, ha assunto una rilevanza sempre maggiore e richiede l’elaborazione di analisi e approfondimenti dedicati, di cui il documento pubblicato in data 16 dicembre 2022 può essere l'inizio.
Lo scorso 15 dicembre 2022 le presidenti della Commissione e del Parlamento europeo e il presidente del Consiglio hanno firmato la dichiarazione europea sui diritti e i principi digitali. La dichiarazione, che era stata precedentemente presentata dalla Commissione nel gennaio del 2022, si inserisce nella visione della trasformazione digitale dell'Europa entro il 2030 che intende creare un solido quadro di governance per conseguire i prossimi obiettivi digitali.
La firma della dichiarazione europea sui diritti e i principi digitali al più alto livello rispecchia l'impegno politico comune dell'UE e dei suoi Stati membri di promuovere e attuare i principi che essa contiene in tutti gli ambiti della vita digitale e di conseguire gli obiettivi della bussola per il digitale 2030. La dichiarazione e i diritti da essa contemplati trovano fondamento nei trattati e nella Carta dei diritti fondamentali dell’Uomo. La dichiarazione si basa sulle politiche digitali esistenti, quali la protezione dei dati, la protezione della vita privata nell'ambiente digitale, i diritti dei lavoratori e la giurisprudenza della Corte di giustizia. Con la dichiarazione sui diritti e i principi digitali, l'UE intende garantire i valori europei attraverso la garanzia di una connettività digitale ad alta velocità e a prezzi accessibili, di classi scolastiche ben attrezzate ed insegnanti formati mediante adeguate competenze digitali, un accesso agevole ai servizi pubblici online, un ambiente digitale sicuro per i bambini, la disconnessione dopo l'orario di lavoro, la possibilità di ottenere informazioni facilmente comprensibili sull'impatto ambientale dei nostri prodotti digitali, il controllo di come vengono utilizzati i dati personali e con chi sono condivisi.
Il 14 dicembre 2022 i paesi membri dell'OCSE (Organizzazione per la cooperazione e lo sviluppo economico) hanno adottato il primo accordo intergovernativo sugli orientamenti comuni per la salvaguardia della privacy e dei diritti fondamentali della persona umana al momento di accesso ai dati personali per scopi di sicurezza nazionale e di adempimento di obblighi di lgge.
La Dichiarazione dell'OCSE (Declaration on Government Access to Personal Data Held by Private Sector Entities) si propone di migliorare la fiducia nei flussi di dati transfrontalieri, chiarendo come le agenzie di sicurezza nazionale e le forze dell'ordine possano accedere ai dati personali nell'ambito dei quadri giuridici esistenti. La Dichiarazione, che respinge qualsiasi approccio all'accesso governativo ai dati personali non conforme ai valori democratici e allo stato di diritto, è il risultato di due anni di lavoro dell'OCSE con un gruppo di esperti nazionali in materia di protezione dei dati, sicurezza nazionale e applicazione della legge. Il progetto nasce dalla crescente preoccupazione che l'assenza di principi comuni possa condurre a limitazioni ingiustificate dei flussi di dati. La Dichiarazione integra le Linee guida sulla privacy dell'OCSE, uno dei risultati più importanti raggiunti nel 1980 dall'organizzazione e base delle norme sulla privacy di molti Paesi. Aggiornate l'ultima volta nel 2013, le Linee guida sulla privacy forniscono un punto di riferimento comune per la protezione dei dati personali e mirano a facilitare i flussi transfrontalieri di dati, sostenendo al contempo i valori democratici, lo stato di diritto e la protezione della privacy e di altri diritti e libertà. La nuova Dichiarazione si snoda attraverso una serie di principi condivisi che riflettono i punti in comune tratti dalle leggi e dalle pratiche esistenti nei paesi membri dell'OCSE, in un costante processo di integrazione per tutelare il diritto alla riservatezza degli individui.
L’Agencia Espanola de proteccion datos (“AEPD”) ha sanzionato una nota società per euro 5.000 euro per aver inviato ad un soggetto interessato un'e-mail contenente i dati personali di un altro cliente, in violazione degli articoli 5, paragrafo 1, lettera f), e 32 del GDPR.
Il provvedimento sanzionatorio è giunto a completamento dell’attività istruttoria avviata a seguito di un reclamo che ha coinvolto due clienti di INDECEMI (la società titolare del trattamento). uno di questi, infatti, aveva ricevuto un'e-mail contenente i dati personali dell'altro, di qui la segnalazione al titolare del trattamento e la presentazione del un reclamo all'autorità spagnola. In tale contesto, l’AEPD ha dichiarato che l'esistenza di una violazione delle misure di sicurezza adottate dal titolare del trattamento non determina necessariamente l’irrogazione di un provvedimento sanzionatorio, ma richiede un'analisi approfondita degli strumenti messi a disposizione del titolare, con il fine di garantire l’implementazione. Tuttavia, nel caso di specie, i moduli per la gestione dei diritti degli interessati non erano ordinati ed archiviati nella maniera corretta e non sussisteva alcuna garanzia documentabile e dimostrabile riguardo alle misure di sicurezza concretamente adottate dal titolare del trattamento. Di qui, l’imposizione della sanzione di € 3.000 per la violazione dell'articolo 5(1)(f) del GDPR e di di € 2.000 per la violazione dell'articolo 32 del GDPR.
Con provvedimento dello scorso 2 novembre, l’autorità di protezione dei dati portoghese (“Comissão Nacional de Proteção de Dados” – “CNPD”) ha inflitto il provvedimento sanzionatorio all’Istituto nazionale di statistica per numerose violazioni della disciplina in materia di protezione dei dati personali.
Il caso traeva origine dal censimento organizzato dall’ente pubblico, con la possibilità per gli intervistati di compilare un sondaggio online utilizzando una password fornita tramite posta cartacea a ciascuna residenza familiare, mediante una società terza, fornitrice del servizio, vale a dire “Cloudflare”.
Secondo quanto appurato dall’autorità a seguito di un reclamo di un interessato, sono state violate le norme relative alla liceità del trattamento di categorie particolari di dati personali (le domande relative a religione e dati sanitari non erano state debitamente contrassegnate come facoltative); sono stati violati gli obblighi di trasparenza, in quanto agli interessati non è stata sottoposta alcune informativa; non è stata redatta una valutazione di impatto completa ed esaustiva in relazione al trattamento dei dati; l’accordo di nomina a responsabile del trattamento non conteneva specificazioni in merito al servizio fornito da Cloudflare; infine, veniva operato un trasferimento dei dati all’estero in assenza di adozione di uno degli strumenti prescritti dagli artt. 44 e ss. del Regolamento UE 2016/679. A seguito delle numerose violazioni riscontrate, l’autorità ha emesso la sanzione di 4.300.000,00 euro ed ingiunto l’interruzione del trattamento effettuato in violazione delle disposizioni normative.