La relazione annuale del Garante: il punto di vista di ICT Legal Consulting sulle tematiche di maggiore interesse
Leggi l’approfondimento di ICT Legal Consulting, studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.
Introduzione e background
L’Autorità Garante per la protezione dei dati personali (composta da Antonello Soro, Augusta Iannini, Giovanna Bianchi Clerici, Licia Califano) ha presentato il giorno 7 maggio la Relazione sull’attività svolta nel 2018. Leggiamo dal sito ufficiale del Garante che “La Relazione chiude il settennato del Collegio presieduto da Antonello Soro e illustra i diversi fronti sui quali è stata impegnata in questi anni l’Autorità. La Relazione fa inoltre il punto sullo stato di attuazione della legislazione in materia, anche alla luce del nuovo Regolamento UE, e indica i nuovi scenari che si aprono per la protezione dei dati personali”.
Essa ripercorre tutto l’iter che ha preceduto – e nel primo periodo seguito – l’applicazione del GDPR, nella considerazione di fondo che la tecnologia, come detto da Soro, è senza limiti. L’assunto di ordine politico – sovranazionale è che l’Europa dovrebbe assumere un ruolo politico leader nella relazione tra potenze, in particolare tra Stati Uniti e Cina.
Per dare qualche dato numerico, sono state 150 le ispezioni, 488 le sanzioni contestate, € 8.161,806 le sanzioni riscosse, il tutto grazie al costante lavoro ed apporto del Nucleo Speciale della Guardia di finanza, che nel 2018 è divenuto “Nucleo speciale tutela privacy e frodi tecnologiche”.
Aspetti principali ed implicazioni pratiche
Volendo brevemente tracciare gli aspetti più salienti della relazione, senza pretesa di esaustività, si possono individuare i tratti a nostro avviso più “interessanti”, per quanto di nostro interesse:
MARKETING, PROFILAZIONE E TRATTAMENTO DI DATI
- Estensione della data retention: le istanze ricevute dal Garante hanno riguardato prevalentemente richieste di allungamento dei tempi di conservazione dei dati, con riferimento ai trattamenti di profilazione e marketing, per un arco di tempo superiore a quello stabilito dal Garante con il Provvedimento del 24 febbraio 2005 – doc. web n. 1103045), il quale indica che “i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione, salva la reale trasformazione in forma anonima che non permetta, anche indirettamente o collegando altre banche di dati, di identificare gli interessati. Eventuali intenzioni di trattare i dati oltre tali termini potranno essere attuate solo previa valutazione di questa Autorità ai sensi dell´art. 17 del Codice”. Sul presupposto della sussistenza di un consenso diversificato per ciascuna finalità, si è ritenuto congruo un tempo massimo di conservazione di 7 anni, ferma restando la loro automatica cancellazione o anonimizzazione definitiva allo scadere del predetto termine (provvedimento 16 maggio 2018, n. 294 – doc. web n. 8998339); ciò potrebbe valere non solo per i dati dei clienti, ma anche dei potenziali clienti, o “prospect”, secondo quanto definito dal Garante nel provvedimento del 18 aprile 2018, n. 233 – doc. web n. 8997404) riguardante una società che progetta autoveicoli. Peraltro, in tale occasione, il Garante ha giudicato congrua una data retention addirittura di 10 anni. Al contrario, per società operanti nel settore della moda e della cosmesi, poiché appartenenti ad una fascia di consumo medio-bassa e con una ricorrente frequenza di spesa, l’Autorità ha ritenuto insussistenti i presupposti per estendere la data retention per periodi superiori a quelli indicati nel citato provvedimento generale del 2005.
- Telemarketing c.d. “selvaggio”: nonostante la legge 11 gennaio 2018, n. 5, “Nuove disposizioni in materia di iscrizione e funzionamento del Registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato”, le chiamate indesiderate continuano ad interessare sia coloro che sono iscritti al Registro pubblico delle opposizioni (Rpo) sia i possessori di utenze c.d. private (non inserite in elenchi telefonici). I settori in cui operano maggiormente i committenti di tali telefonate sono quelli della telefonia ed energetico. Si lamenta soprattutto il mancato o tardivo riscontro in materia di esercizio dei diritti, la violazione del diritto di opposizione all’ulteriore trattamento nonché risposte all’esercizio del diritto di accesso carenti, ossia non adeguatamente esaustive circa l’origine dei dati raccolti, di fondamentale importanza per l’interessato per risalire agli archivi da cui hanno origine tali chiamate. Il settore è stato caratterizzato da ordinanze ingiunzione per un importo pari ad € 3.440.000. Gli accertamenti ispettivi sono stati effettuati ai sensi degli artt. 157 e 158 del D. Lgs. 196/2003 (di seguito: “Codice Privacy”), presso le sedi legali ed operative delle società ma anche presso le sedi dei dealer incaricati dello svolgimento dell’attività promozionale. Si è rilevata l’inidoneità delle informative fornite agli interessati, ed il Garante ha vietato il trattamento dei dati degli interessati per le finalità di marketing in assenza di un valido consenso espresso.
Il Garante ha poi rilevato che talune forme di profilazione (es. “persona anziana”, “basso spendente”) erano effettuate con dati imprecisi ed in assenza di uno specifico consenso. Dagli accertamenti del Garante è inoltre emerso che la società committente non aveva svolto adeguati controlli sui partner commerciali. Nella maggior parte dei casi poi, tali partner erano stati qualificati come titolari autonomi pur avendo accesso a tutti i dati contenuti nei sistemi del committente e senza peraltro avere margini di autonomia circa le finalità del trattamento. Il Garante ha quindi vietato l’ulteriore trattamento per finalità di marketing in assenza di un consenso libero ed informato ed ha prescritto l’adozione di misure tecniche ed organizzative volte a tracciare le attività promozionali svolte dai partner e a documentare i dinieghi dei consensi degli interessati (provv. 22 maggio 2018, n. 313, doc. web n. 8995285). - Invio di comunicazioni a contenuto promozionale agli indirizzi PEC dei liberi professionisti: il Garante ha rilevato che, oltre ad essere trattati (gli indirizzi PEC) in assenza di un valido consenso informato, i vari indirizzi erano stati rastrellati massivamente (web scraping) mediante appositi software presenti sul Web (es. Registro Ini-Pec) o dal sito www.registroimprese.it. Si è rilevato che tale condotta è in contrasto con l’art. 6 bis co I D.lgs 82/2005 (Codice dell’Amministrazione Digitale), l’art. 16 co X DL 185/2008 secondo il quale l’estrazione dagli elenchi pubblici è concessa alle sole Pubbliche Amministrazioni. Il Garante ha chiarito che è necessario il consenso degli interessati anche quando gli indirizzi PEC sono rinvenibili da registri pubblicamente accessibili in quanto “l’agevole reperibilità non ne autorizza il trattamento per qualsiasi scopo, ma soltanto per le specifiche finalità sottese alla loro pubblicazione” (cfr. provv. 11 gennaio 2001, doc. web n. 40823 e, quindi, con il provv. generale sullo spamming, 29 maggio 2003, doc. web n. 29840 e con le Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, punto 2.5; v. altresì provv. 6 ottobre 2016, n. 390, doc. web n. 5834805; provv. 21 settembre n. 2017, n. 378, doc. web n. 7221917; provv. 30 novembre 2017, n. 503, doc. web n. 7522090). Né viene meno l’illegittimità del trattamento per la semplice presenza del link di disiscrizione alla mailing list in calce alla comunicazione commerciale, posto che il consenso deve essere legittimamente acquisito prima dell’invio della comunicazione commerciale, salvo si tratti di soft spam, né vale a legittimare tale pratica l’assunto carattere istituzionale delle comunicazioni (e in particolare, su riconoscimenti e patrocini ricevuti da parte degli Ordini professionali di appartenenza degli interessati).
- Pop up con consenso obbligatorio per le finalità di marketing: il Garante ha accertato la violazione della normativa privacy nel caso di un “pop up” che subordinava la possibilità di accedere ai servizi al consenso espresso dell’interessato ai trattamenti sia di marketing che di comunicazione di dati a terzi. In difetto di tale consenso, di fatto obbligatorio, non si avrebbe avuto accesso ai servizi. Inoltre, i consensi per le diverse finalità non erano stati differenziati, pertanto l’utente con un unico consenso avrebbe accettato i due diversi trattamenti per le due diverse finalità. Con il provvedimento il Garante ha ribadito che la semplice raccolta, come anche la conservazione, costituiscono esse stesse dei trattamenti, pertanto la raccolta dei dati tramite il così descritto pop up non è conforme alla normativa e ciò “assorbe” le ulteriori violazioni (assenza di un libero consenso). Ha pertanto prescritto la riformulazione del pop up in termini “privacy compliant”. Inoltre, con riferimento alla cessione di liste a terzi di dati personali per finalità di marketing il Garante ha ribadito che l’acquirente di banche dati deve verificare che l’interessato abbia espresso il proprio consenso alla comunicazione dei propri dati a terzi, nonché all’attività di marketing, perché in caso contrario, il vizio originario del consenso travolge – in termini di illiceità – ogni ulteriore attività di trattamento. Il Garante ha quindi vietato il trattamento in presenza dell’incapacità dell’acquirente di comprovare il consenso libero e specifico degli interessati, contestando le relative sanzioni amministrative.
TRATTAMENTO DATI NEI RAPPORTI DI LAVORO
- Per i trattamenti di dati comuni riferiti al lavoratore il datore di lavoro adotta, quale base giuridica, l’esecuzione del contratto di lavoro e l’adempimento degli obblighi derivanti dalle discipline lavoristiche di settore. Mentre per quanto riguarda i dati c.d. particolari (ex sensibili), questi possono essere trattati solo se ricorre una delle basi giuridiche dell’art. 9(2) GDPR, altrimenti sono vietati. I trattamenti di dati particolari per finalità di gestione del rapporto di lavoro (anche successivamente all’interruzione dello stesso) o in fase di pre-assunzione possono essere effettuati solo se necessari per l’adempimento di obblighi previsti da leggi o regolamenti ovvero dal Contratto Collettivo (si veda art. 9(2)(b) GDPR).
- Per quanto riguarda il trattamento dei dati giudiziari il Garante chiarisce che l’autorizzazione generale non costituisce più una base giuridica idonea, avendo cessato di produrre i propri effetti in data 19 settembre 2018. Spetta infatti al legislatore individuare in quali ipotesi è consentito effettuare il trattamento nonché la predisposizione delle garanzie appropriate mediante adozione di un apposito atto normativo, non ancora emanato.
- Per i trattamenti effettuati attraverso dispositivi che consentano la localizzazione geografica di veicoli (dispositivi smartphone e tablet) e quindi, indirettamente, la geolocalizzazione dei dipendenti a cui i dispositivi sono affidati, il Garante ha ribadito che tali sistemi non risultano “direttamente preordinati all’esecuzione della prestazione lavorativa” e pertanto vanno qualificati quali strumenti dai quali “derivi anche la possibilità di un controllo a distanza” (con conseguente applicazione dell’art. 4 co 1 L. 300/1970 – Statuto dei Lavoratori). Il Garante ha rilevato infatti che nel caso di specie vi sarebbe stato un monitoraggio continuo e sistematico del lavoratore, posto che i dispositivi utilizzati dal titolare permettono di geolocalizzare i veicoli – e dunque i dipendenti – in tempo reale, essendo possibile monitorare non solo il tracciato ma anche eventuali pause. L’attività di trattamento è quindi risultata essere un monitoraggio continuo in violazione dei principi di necessità pertinenza e non eccedenza, con riferimento alle finalità perseguite dal datore di lavoro.
- Controlli sulla posta elettronica indesiderata: il Garante ha ribadito il proprio orientamento circa le condizioni di liceità dei trattamenti effettuati dal datore sugli account di posta assegnati al lavoratore individualmente, utilizzati per contestazioni disciplinari. L’accesso alla casella era stato effettuato da soggetti autorizzati. I profili di illegittimità contestati sono stati: la mancata informativa ai dipendenti circa i trattamenti effettuati sulla posta, inoltre la conservazione per l’intera durata del rapporto di lavoro non sarebbe conforme ai principi di liceità, necessità e proporzionalità. In altre parole, ad essere contestata è la massiva e indiscriminata conservazione di ogni contenuto transitante sulla casella. La giustificazione apportata, data dalla necessità di conservare taluni documenti (es. scritture contabili) o in generale quella volta a garantire l’ordinaria ed efficiente gestione dei flussi documentali non può essere perseguita in tale modalità, posto che i sistemi di posta elettronica non consentono di salvare i documenti nelle modalità richieste dalla legge. In altre parole, se la finalità perseguita è questa, il datore dovrebbe fare riferimento alla disciplina di settore per garantire le caratteristiche di autenticità integrità, affidabilità, leggibilità e reperibilità della documentazione (DPCM 3 dicembre 2013); mentre i documenti che rivestono la qualità di scritture contabili, devono essere conservati secondo le modalità previste dall’art. 2214 c.c. e artt. 43 e 44 del Codice dell’Amministrazione Digitale. Ne consegue che la predisposizione di strumenti volti a garantire l’efficace gestione dei flussi documentali ben potrebbe essere realizzata, secondo il Garante, con strumenti meno invasivi per il diritto alla riservatezza dei dipendenti. Il Garante ha quindi ribadito che la raccolta sistematica delle comunicazioni sugli account aziendali, la loro memorizzazione per un periodo non predeterminato e comunque amplissimo, e per finalità indicate solo in astratto (quali ad es. la difesa in giudizio) costituisce attività di controllo dell’attività dei dipendenti. Del tutto diversa è la situazione in cui il datore di lavoro metta a disposizione dei dipendenti l’archivio delle email scambiate tramite l’account aziendale. Questa è una facoltà del datore di lavoro e rientra tra le modalità di messa a disposizione degli strumenti di lavoro e può essere oggetto di specifiche istruzioni (es. individuando periodi di conservazione diversificati in base alle funzioni svolte, e coerenti con i limiti di spazio a disposizione, fornendo indicazioni sulla necessità di effettuare periodicamente la selezione e cancellazione dei messaggi). In ogni caso, alcune indicazioni in merito ai controlli che il datore può effettuare sulla posta elettronica sono rinvenibili all’interno delle Linee guida sulla posta elettronica ed internet, reperibili al seguente link.
- Trattamento di dati sensibili idonei a rivelare l’adesione sindacale dei dipendenti: emerge dalla Relazione che il datore di lavoro non può comunicare ad un’organizzazione sindacale la nuova sigla alla quale ha aderito un suo ex iscritto. Per consentire infatti al sindacato di porre in essere le procedure che seguono alla revoca dell’iscrizione, il datore di lavoro avrebbe dovuto limitarsi a comunicare la scelta del lavoratore di non aderire più all’originaria sigla di appartenenza.
DATA BREACH: dal 1 marzo al 31 dicembre 2018 sono pervenute all’Autorità 650 notifiche di data breach, di cui 630 dal 25 maggio al 31 dicembre 2018, che hanno riguardato nel 27% dei casi soggetti pubblici, mentre nel 73% dei casi soggetti privati. Le tipologie di data breach più ricorrenti sono state:
- attacchi informatici volti all’acquisizione di dati personali (credenziali di accesso, indirizzi e-mail, numeri di telefono o dati relativi a strumenti di pagamento);
- diffusione di virus di tipo ransomwere;
- smarrimento o furto di dispositivi digitali o documenti cartacei;
- comunicazione o diffusione accidentale di dati personali.
LE ISPEZIONI DEL GARANTE: il D.lgs 101/2018 ha ridisegnato i poteri del Garante: da un lato ha previsto che esso possa richiedere informazioni e documenti al titolare, al responsabile, agli interessati ed anche a terzi. Il Garante può inoltre disporre accessi a banche dati, avvalendosi, se del caso, di strumenti di polizia giudiziaria. Si evidenzia che le ispezioni sono avvenute anche online, attraverso l’esame diretto dei siti web. I provvedimenti adottati sono stati: provvedimenti cautelari (blocco o divieto), verifiche sullo stato di attuazione delle prescrizioni adottate dal Garante, il divieto di ulteriori trattamenti di dati personali. Ha così disposto le relative sanzioni amministrative, anche per quelle fattispecie di reato depenalizzate, in virtù degli artt. 24 e 25 D.lgs 101/2018.
Riportiamo alcune delle fattispecie sanzionate:
- Violazione delle misure minime di sicurezza previste, per fatti accaduti durante la vigenza del pregresso disposto dell’art. 169 co. II del “vecchio” Codice Privacy;
Continua a leggere qui.
In collaborazione con
ICT Legal Consulting è uno studio legale internazionale con sede a Milano, Bologna, Roma ed Amsterdam e presente in diciannove altri paesi, specializzato nel settore delle tecnologie informative, della protezione dei dati personali, della sicurezza e della proprietà intellettuale.