La Newsletter dello Studio Previti
a. la resa di un’informativa inidonea, all’interno della quale non era espresso il rapporto di contitolarità del trattamento, non erano ben specificate le finalità del trattamento né era stato reso chiaro agli utenti se fossero obbligati o meno a fornire i propri dati, e quali fossero le conseguenze di un eventuale diniego;
b. il trattamento di dati in assenza di consenso degli interessati, anzi la società dichiarava che lo stesso fosse fondato su un generico “rischio frode” non adeguatamente giustificato;
c. la mancata notificazione all’Autorità dello svolgimento di un trattamento di dati per finalità di geolocalizzazione, come previsto dalla normativa vigente prima dell’entrata in vigore del nuovo Regolamento europeo 2016/679.
Ciò è quanto emerso dalle indagini avviate dal Garante a seguito di alcuni accertamenti ispettivi effettuati presso “Uber Italy srl” per via di un “data breach” reso noto dalla società capofila statunitense nel 2017 – che aveva coinvolto 57 milioni di utenti nel mondo – e sanzionato dalle autorità olandesi e inglese sulla base delle rispettive normative nazionali.
Se il collaboratore è “esterno”, si applica la normativa privacy?
Il lavoratore, che sia un dipendente interno o un collaboratore “esterno” alla società, va sempre informato in maniera esaustiva sul trattamento dei suoi dati. Di conseguenza il datore di lavoro è obbligato a rispettarne i diritti, le libertà fondamentali e la reputazione professionale.
È quanto ribadito dal Garante privacy nel provvedimento del 7 aprile, pubblicato il 19 maggio scorso, con il quale ha sanzionato con la somma di 50 mila euro, una società che – senza alcun preavviso né comunicazione successiva – aveva inibito alla lavoratrice l’accesso all’account di posta elettronica utilizzato per le relazioni commerciali, mantenendolo, tuttavia, attivo e gestendolo autonomamente ed a sua insaputa. Conseguentemente, la collaboratrice esterna continuava a ricevere sui propri dispositivi portatili – cellulare e personal computer – gli avvisi e le richieste di immissione di nuova password. Quest’ultima, difatti, era stata modificata da remoto, senza che la stessa consulente fosse stata informata. A seguito dell’accertamento ispettivo, l’Autorità ha ribadito gli obblighi informativi e quelli di corretta e trasparente gestione della casella di posta aziendale a carico della società, precisando che il fatto che la reclamante fosse una collaboratrice esterna, e non una lavoratrice subordinata, non rilevasse ai fini della necessità di tali adempimenti.
Numerose, peraltro, le violazioni contestate all’azienda:
a) omesso riscontro alla richiesta di informazioni del Garante;
b) inosservanza del principio di limitazione della conservazione dei dati;
c) mancata documentazione del rilascio di idonea informativa;
d) mancata risposta all’istanza dell’interessata;
e) inibizione dell’account aziendale. L’azienda dovrà inoltre consentire alla lavoratrice di accedere alla propria casella di posta per recuperare la sua corrispondenza e disattivare l’account, informando clienti e fornitori della sussistenza di indirizzi alternativi. La società non potrà trattare i dati estratti dalla casella di posta, se non per la tutela dei diritti in sede giudiziaria e solo per il tempo necessario a tale scopo e dovrà garantire un tempestivo riscontro all’esercizio dei diritti di tutti i suoi lavoratori, rilasciando loro un’idonea, preventiva e documentata informativa sul trattamento dei dati personali, incluso l’utilizzo di internet e della posta elettronica aziendale.
Dati personali del “debitore”? Quali sono i confini del trattamento?
Gli istituti di credito e/o finanziari non possono divulgare a familiari, colleghi o vicini di casa di un soggetto debitore la situazione di insolvenza in cui versa. Tale comportamento, tenuto per esercitare indebite pressioni sul debitore e conseguire il pagamento della somma dovuta, viola il principio di liceità nel trattamento dei dati personali.
Questo è quanto ribadito dal Garante privacy italiano con il provvedimento sanzionatorio del 7 aprile, reso noto il 19 maggio, che ha colpito una società finanziaria per un importo pari a 10 mila euro. Principale violazione riscontrata: l’invio di sms al coniuge di un cliente debitore in ritardo con i pagamenti.
La sanzione giunge a conclusione di un procedimento avviato dall’Autorità a seguito del reclamo presentato dal titolare di tre finanziamenti, il quale lamentava una violazione della propria riservatezza da parte della società, che aveva contattato più volte la moglie, quale soggetto fideiussore per uno dei tre prestiti, ma non di quello per cui veniva sollecitato il recupero del credito. Nel determinare l’ammontare della sanzione il Garante, oltre alla mancata osservanza delle indicazioni date agli istituti di credito nel 2005, ha tenuto in considerazione l’assenza di precedenti specifici a carico della società e la decisione tempestiva di cancellare il numero di telefono della coniuge dalla pratica relativa al finanziamento del marito.
Quanto conta gestire correttamente le richieste di esercizio dei diritti degli interessati?
Il Garante torna su una delle questioni più calde in materia di protezione dei dati personali, sanzionando un’azienda commerciale per 20mila euro, non solo per aver trattato i dati di un cliente per finalità promozionali in assenza di preventivo consenso, ma anche per non aver correttamente riscontrato le sue richieste.
Con provvedimento del 7 aprile, pubblicato il 19 maggio, l’Autorità ha ribadito che il titolare del trattamento è sempre tenuto a soddisfare la richiesta di esercizio dei diritti da parte dell’interessato, nei tempi previsti dalla normativa in materia di protezione dati personali. L’interessato, pur avendo, nel corso di una prima chiamata promozionale, espresso all’operatore la propria opposizione a ricevere ulteriori telefonate, era stato nuovamente contattato a fini di marketing. L’interessato aveva, dunque, deciso di esercitare i diritti riconosciuti dalla normativa privacy, richiedendo all’azienda di conoscere l’origine dei propri dati e di cancellarli, senza, tuttavia, ottenere riscontro alcuno. Inoltre, successivamente all’avvio dell’istruttoria da parte dell’Autorità, l’azienda (la cui casella PEC era perfettamente funzionante) non aveva mai risposto neppure alla richiesta di informazioni e di esibizione di documenti formulata dal Garante, determinando, quindi, il rallentamento degli adempimenti istruttori e dell’azione amministrativa e la conseguente applicazione della sanzione. L’Autorità ha, altresì, ingiunto al titolare di fornire riscontro alle richieste del reclamante.
Firma elettronica qualificata: dal 31.12.2022 saranno revocati alcuni dispositivi
Con comunicazione del 24 maggio, l’Agenzia per l’Italia Digitale (“AgID”) ha reso noto che, a partire dal 31 dicembre di quest’anno, le firme digitali apposte mediante alcuni dispositivi di derivazione francese non saranno più valide.
L’agenzia francese ANSSI (“Agence nationale de la sécurité des systèmes d’information”), organismo designato in Francia per la certificazione dei dispositivi per la firma elettronica qualificata – sulla base di quanto previsto dall’art. 30 del Regolamento eIDAS, ha notificato ad AgID l’imminente revoca di 2 secure electronic signature creation devices (SSCD) e qualified electronic signature creation devices (QSCD) dall’elenco notificato alla Commissione europea. Si tratta, nello specifico, di smart card di tipo Applet ID One Classic v1.01.1 en configuration CNS, Classic ou CIE chargée sur Cosmo v7.0-n Large, Standard et Basic (modes dual ou contact) sur composants NXP T, e smart card TS-CNS con chip NXP ASEPCOS-CNS v1.84 in SSCD configuration with patch PL07 on NXP P60D080PVG dual interface microcontroller T, che l’agenzia francese ha deciso di ritirare dall’elenco notificato alla Commissione (insieme ad ulteriori 24 devices). Dal 31 dicembre in avanti, le firme digitali apposte con tali dispositivi non saranno valide.
AgID ha tempestivamente informato i prestatori di servizi fiduciari qualificati (“QTSP”) affinché venga predisposto un piano di sostituzione che preveda il ricorso a dispositivi alternativi certificati e con tecnologie più recenti, oppure a soluzioni alternative di firma digitale “da remoto” e di identificazione e autenticazione elettroniche.
AgID si è, inoltre, rivolta alle istituzioni italiane competenti per eventuali ulteriori iniziative.
Ennesima stangata per Clearview: nuova pesante sanzione dal Garante privacy britannico
L'Information Commissioner's Office (ICO), a seguito di un’indagine congiunta con l’Autorità garante dei dati personali australiana (OAIC), ha reso noto, lo scorso 23 maggio, di aver sanzionato la Clearview AI Inc per oltre 7,5 milioni di sterline per aver utilizzato immagini di persone – nel Regno Unito e in altri paesi – raccolte dal Web e dai social media, per la creazione di un database online globale che potrebbe essere utilizzato per il riconoscimento facciale.
L’Autorità britannica ha ordinato, inoltre, alla società di cessare immediatamente la sua attività di raccolta di dati personali dei residenti nel Regno Unito, anche se disponibili pubblicamente su internet, e di eliminare quanto già archiviato nei suoi sistemi.
Negli anni, Clearview ha raccolto, senza aver informato gli utenti, più di 20 miliardi di immagini di volti ed altri dati personali, recuperando tali informazioni tra i dati pubblicati online, per costruire un database attraverso il quale poter riconoscere le persone tramite sistemi biometrici di riconoscimento facciale.
Dato l’elevato numero di utenti di internet e dei social media nel Regno Unito, è probabile che il succitato database includa una notevole quantità di dati provenienti da residenti nel Regno Unito che sono stati raccolti a loro insaputa. Inoltre, sebbene Clearview non offra più i suoi servizi alle organizzazioni del Regno Unito, l'azienda lavora con diversi altri clienti situati in altri paesi, non solo in Europa. Per questi motivi l’ICO ha riconosciuto la elevata possibilità che siano effettuati dei trattamenti anche dei dati personali di soggetti che risiedano nel Regno Unito.
“Cara Europa…”: la lettera aperta di Max Schrems sul futuro accordo UE-USA per il trasferimento dei dati
Il ricorrente principale nelle cause “Schrems” e “Schrems II” ha inviato una lettera aperta – resa nota il 23 maggio – ai principali esponenti delle autorità europee in materia di protezione dei dati personali. Sebbene molti dettagli sul previsto accordo tra gli Stati Uniti e l’Unione Europea sul trasferimento dei dati non siano ancora chiari, sono emersi degli elementi che preoccupano l’attivista Max Schrems, il quale nutre dubbi sulla stabilità di un eventuale nuovo accordo di adeguatezza da parte della Commissione europea.
A preoccupare l’attivista, in prima battuta, sarebbe l’adozione di un corretto test di bilanciamento tra diritti e libertà degli interessati e normativa in materia di sorveglianza negli Stati Uniti: sembrerebbe infatti che i negoziatori statunitensi non abbiano intenzione di modificare il diritto statutario in relazione alle procedure di sorveglianza dell’individuo, ma intendano, di fatto, proporre un cambiamento linguistico “blando” con l’inserimento di termini come “necessario e proporzionato” in relazione al trattamento effettuato dalle agenzie di intelligence. Allo stesso modo, pare sia emerso che i negoziatori statunitensi non stiano lavorando concretamente all’emendamento della legge statunitense che consentirebbe di creare percorsi di ricorso giudiziario in favore degli interessati dell’Unione Europea, come reso noto dai comunicati ufficiali delle scorse settimane. Infine, Schrems ribadisce la necessità di un aggiornamento degli obblighi di protezione dei dati commerciali, argomento, ad oggi, non ancora affrontato dai negoziatori statunitensi ed europei.
Niente tregua per Google: ennesima pesantissima sanzione, stavolta in Spagna!
Il colosso americano è stato raggiunto da una sanzione pari a 10 milioni di euro da parte dell’“Agencia Española de Protección de Datos” (“AEPD”) – la più alta mai inflitta a suo carico in Spagna – per il trasferimento illecito di dati a terzi e per violazione del diritto all’oblio.
Secondo l'AEPD, Google avrebbe raccolto i dati personali di tutti gli utenti che hanno compilato il modulo online necessario ai fini dell’espletamento della richiesta per l’indicizzazione dei contenuti pubblicati, e li avrebbe inviati illecitamente ad un’altra società, la “Proyecto Lumen”, un database divenuto successivamente pubblico.
Sono stati diffusi i dati identificativi degli utenti, i loro indirizzi e-mail ed i dettagli delle richieste legali pervenute a Google da parte di quest’ultimi.
Oltre alla sanzione economica di rilevante entità, l’autorità ha imposto a Google la cancellazione di tutti i dati condivisi con Lumen e l’interruzione immediata del trattamento oggetto di contestazione.
Inarrestabile l’attività dell’EDPB: ecco il report per l’anno 2021
Lo scorso 12 maggio l’“European Data Protection Board” (“EDPB”) ha pubblicato il report delle attività relative all’anno 2021. Un anno pieno, caratterizzato da interventi rilevanti che influenzeranno tutte le attività per del biennio 2022-2023: dalla Decisione vincolante su Whatsapp Irlanda al Parere congiunto con l’“European Data protection Supervisor” (“EDPS”) in merito alla proposta di regolamento europeo europeo sull’intelligenza artificiale.
Nel 2021, l’EDPB ha, in buona sostanza, adottato 14 linee guida e raccomandazioni su temi quali le notifiche di violazione dei dati, i codici di condotta come strumenti di trasferimento dei dati, la conservazione dei dati delle carte di credito, gli assistenti vocali virtuali e il significato di termini specifici del GDPR.
L’EDPB ha, inoltre, emesso pareri di coerenza per garantire l’applicazione del GDPR da parte delle autorità di controllo nazionali e 35 pareri riguardanti, principalmente, progetti di decisioni relative a norme vincolanti d’impresa e clausole contrattuali standard.
Versione integrale consultabile qui.
Qui invece la versione in executive summary.
Negoziati delle Nazioni Unite contro la criminalità informatica: freno dell’EDPS
L’“European Data protection Supervisor” (“EDPS”) mostra cautela: sì alla cooperazione internazionale per la repressione dei reati informatici, ma nel rispetto della protezione dei dati personali quale diritto fondamentale dell’uomo.
Il 18 maggio 2022, l’EDPS ha pubblicato il suo parere sulla partecipazione dell’Unione Europea ai negoziati delle Nazioni Unite per una convenzione internazionale globale sulla lotta all’uso delle tecnologie dell’informazione e della comunicazione a fini criminali, per la redazione della futura convenzione delle Nazioni Unite sulla criminalità informatica.
Pur ribadendo il sostegno, in linea di principio, alla cooperazione internazionale nella lotta alla criminalità informatica, l’EDPS raccomanda strenuamente che il testo della convenzione tuteli i dati personali e i diritti alla vita privata secondo il diritto dell’UE.
La preoccupazione espressa dal Garante europeo è che il documento possa indebolire la protezione dei diritti fondamentali delle persone, compresi i diritti alla protezione dei dati e alla vita privata garantiti dal diritto dell’Unione, considerato anche il numero di paesi che partecipano alle negoziazioni. L’autorità sottolinea che lo scambio di dati personali dovrebbe limitarsi ai reati definiti nella futura Convenzione delle Nazioni Unite e dovrebbe essere accompagnato da un’adeguata procedura di monitoraggio. Dovrebbero, inoltre, applicarsi futuri accordi tra paesi dell’UE e paesi terzi che garantiscono un livello di protezione dei diritti alla privacy delle persone più elevato rispetto alla Convenzione delle Nazioni Unite. L’EDPS, infine, auspica di essere consultato sul progetto di convenzione delle Nazioni Unite prima che venga finalizzato.
Norme armonizzate in materia di cybersecurity: il Garante europeo dice sì!
Il 18 maggio 2022, l’“European Data protection Supervisor” (“EDPS”) ha pubblicato due pareri, uno sulla “Proposta di regolamento sulla cybersicurezza”, recante misure per garantire un livello comune elevato di cybersicurezza nelle istituzioni, organi, uffici e agenzie dell’UE (IUE), e l’altro sulla “Proposta di regolamento sulla sicurezza delle informazioni” nelle Istituzione europee.
L’autorità europea accoglie con favore l’obiettivo delle proposte di migliorare la cybersicurezza e la sicurezza dell’informazione delle Istituzioni europee, stabilendo norme comuni e requisiti minimi di sicurezza che siano in linea con gli obiettivi pertinenti della strategia dell’UE per la cybersicurezza. Entrambe le proposte sono interconnesse con la proposta NIS 2.0, che mira ad armonizzare e rafforzare le pratiche di cybersicurezza in tutta l’Unione europea, e per la quale l’EDPS aveva già emesso un parere.
Wojciech Wiewiórowski, EDPS, ha dichiarato: “Con la direttiva NIS 2.0 appena approvata dai co-legislatori la scorsa settimana, la Commissione europea ha fatto un ulteriore passo avanti proponendo tempestivamente le norme corrispondenti per le IUE. Questi saranno i primi atti giuridici dedicati esclusivamente alla regolamentazione della sicurezza dei dati nelle Istituzioni europee, compreso l’EDPS. Non esiste protezione dei dati personali senza una gestione e misure efficaci dei rischi per la sicurezza”.
L’autorità evidenzia anche i rischi per il rispetto della normativa UE sulla privacy e sulla protezione dei dati che sono implicati dalle misure di sicurezza previste dalle proposte e, a tal proposito, raccomanda che sia garantito che tutte le misure di sicurezza previste abbiano una base giuridica valida, siano necessarie e proporzionate.
A parere del Garante europeo, la proposta sulla cybersicurezza dovrà essere migliorata per allinearsi alle norme sostanziali della direttiva NIS 2.0, in modo da ottenere norme coerenti e omogenee per gli Stati membri dell’Unione e per le Istituzioni, al fine di contribuire alla creazione di un livello generale di cybersicurezza in tutto il territorio europeo.
Videosorveglianza e diritti degli interessati: sanzionata Mercadona SA.
Con provvedimento pubblicato lo scorso 13 maggio, l’“Agencia Española de Protección de Datos”(“AEPD”) ha inflitto una sanzione di euro 170.000 alla più grande catena di supermercati della Spagna. Tra le violazioni riscontrate la scorretta gestione delle richieste in materia di esercizio dei diritti degli interessati e l’assenza di idonea base giuridica per la cancellazione delle riprese di videosorveglianza.
Il provvedimento trae origine da un incidente subito dall’interessato all’interno di uno dei supermercati, per cui, al fine di ottenere il risarcimento, il cliente richiedeva l’accesso alle riprese video tramite un modulo di contatto online fornito dal titolare del trattamento. Successivamente l’interessato inviava, a supporto della propria richiesta, una e-mail che includeva nome, indirizzo di posta elettronica, numero di telefono, la descrizione dell’incidente e dei danni subiti. Il titolare del trattamento rispondeva fornendo un numero di riferimento per il caso, omettendo, però di rilasciare ulteriori informazioni nei mesi successivi. Veniva, di conseguenza, contattato il “Data Protection Officer”, il quale rappresentava di non avere avuto contezza alcuna della richiesta di accesso. Di più: il filmato era già stato cancellato in osservanza di una circolare dell’AEPD sul punto e della corrispondente policy redatta dal titolare del trattamento. Di qui, il reclamo all’AEPD che ha rilevato che il titolare del trattamento avesse violato gli artt. 12 e 15 del GDPR, non rispondendo alla richiesta di accesso. Inoltre, ha ritenuto che l’obbligo – previsto dalla legge spagnola – di eliminare le riprese video dopo, al più tardi, un mese, sia confliggente con l’obbligo di rispondere a una richiesta di accesso entro un mese dalla sua ricezione, come previsto dall’art. 12, par. 3, GDPR . L’autorità ha ritenuto che l’obbligo di rispondere a una richiesta di accesso ai sensi del GDPR ha la precedenza, altrimenti un titolare del trattamento potrebbe sempre eludere il diritto di accesso dell’interessato invocando l'obbligo di cancellazione ai sensi della circolare dell’AEPD. Infine, l’AEPD ha riscontrato la violazione dell’art. 6 del GDPR per la cancellazione delle riprese video in assenza di base giuridica, argomentando che l’interesse ad ottenere il filmato come prova prevale sull’obbligo del titolare del trattamento di cancellare il filmato entro un mese secondo la circolare dell’AEPD. Per rafforzare il suo ragionamento, l’Autorità ha fatto riferimento alla situazione opposta in cui un titolare del trattamento è autorizzato, sulla base del legittimo interesse, a conservare le riprese video per un periodo superiore ai trenta giorni, al fine di difendersi da un reclamo.
Marketing diretto e interesse legittimo: quali sono i presupposti?
Con provvedimento dello scorso 10 marzo, il “”(APD, in francese o “GBA”, in tedesco) ha ritenuto legittimo, per il titolare del trattamento, l’invio di materiale pubblicitario tramite e-mail ai fini della vendita diretta: non sarebbe dunque richiesta, a tal fine, la manifestazione del consenso da parte dell’interessato.
Il provvedimento scaturisce dalla richiesta dell’interessato di non ricevere più messaggi di marketing diretto da parte del titolare del trattamento. Egli, inoltre, chiedeva di conoscere l’origine dell’acquisizione dei propri dati personali e la base giuridica del trattamento, ritenendo, per quest’ultimo profilo, che fosse necessario il proprio consenso.
Il titolare del trattamento rispondeva alla richiesta, dichiarando di aver ottenuto i dati da un’altra società. Riconosceva, inoltre, che l’interessato aveva ricevuto ulteriori messaggi a causa di un errore umano. Di qui, il reclamo all’autorità belga, la quale ha ordinato al titolare del trattamento di riscontrare la richiesta dell’interessato e di consentire a quest’ultimo di poter agevolmente opporsi alla ricezione di comunicazioni di marketing diretto. Tuttavia, ha respinto il reclamo in relazione al profilo della erroneità della base giuridica, in virtù di quanto previsto dal considerando 47 del GDPR, il quale afferma specificamente che il legittimo interesse può costituire idonea base giuridica del trattamento dei dati personali ai fini del marketing diretto.
Nel caso di specie, l’indirizzo e-mail del soggetto interessato era pubblicamente disponibile online, per cui l’Autorità ha ritenuto che egli avrebbe potuto ragionevolmente aspettarsi l’utilizzo per fini pubblicitari.
Digital Markets Act: in scena il penultimo atto per l’entrata in vigore
Lo scorso 16 maggio la Commissione per il Mercato Interno del Parlamento europeo ha approvato l’accordo provvisorio raggiunto con i governi dell'Unione Europea sulla proposta di regolamento sui Mercati Digitali (“Digital Markets Act – DMA”). Insieme al parallelo “Digital Services Act”(“DSA”), il DMA affronterà una serie di questioni sociali ed economiche limitando il potere di mercato delle grandi piattaforme online e rendendo il mercato digitale più sicuro, equo e competitivo.
Le norme contenute nel provvedimento si applicheranno alle grandi aziende, i cosiddetti “gatekeeper”, aventi una posizione dominante nell’ambito delle piattaforme online. Tra queste possono rientrare social network, messenger, assistenti virtuali o motori di ricerca, con un fatturato maturato nell’Unione Europea superiore a 7,5 miliardi di euro o un valore di mercato superiore a 75 miliardi di euro, e almeno 45 milioni di utenti finali mensili e 10.000 utenti commerciali annuali.
I gatekeeper saranno chiamati a rispettare una serie di obblighi, tra cui garantire l'interoperabilità dei loro servizi di messaggistica con quelli più piccoli. Inoltre, non potranno più trattare i dati personali degli utenti, a meno che non venga prestato esplicitamente il consenso né potranno classificare i propri prodotti o servizi in modo più favorevole.
In caso di violazioni sistematiche della normativa, oltre all’irrogazione delle sanzioni previste dal GDPR, la Commissione può vietare ai gatekeeper di acquisire altre società per un certo periodo di tempo (le cosiddette acquisizioni killer).
Quali le prossime tappe? Il DMA, unitamente alla proposta di regolamento gemella sui servizi digitali, dovrebbe essere sottoposto al voto finale del Parlamento nel prossimo luglio prima di essere formalmente adottato dal Consiglio e pubblicato nella Gazzetta ufficiale dell’Unione Europea. Il DMA entrerà in vigore 20 giorni dopo la pubblicazione e le disposizioni saranno applicabili nei successivi sei mesi.
A cura dell'Avv. Vincenzo Colarocco e del dipartimento Compliance, media e tecnologia di Studio Previti