PUBBLICITA’ E PRIVACY
Gli indirizzi prelevati da pubblici registri non sono utilizzabili a fini pubblicitari
L’articolo L’origine dei dati personali ed il principio di finalità del trattamento: i limiti all’utilizzo dei dati pubblici prende le mosse dalle sentenze di due autorità garanti della privacy europee e, sostanzialmente, conclude che non si possono utilizzare per attività promozionali le informazioni contenute in registri pubblici, liberamente consultabili.
Infatti, anche se gli interessati non possono opporsi alla trascrizione dei dati personali in certi registri pubblici (ad es. nel registro del catasto, per quanto riguarda la unità immobiliari, trattandosi di un obbligo di legge), per il principio della limitazione delle finalità, rispetto allo scopo iniziale di trattamento, non è possibile, pur potendo accedere alle informazioni, utilizzarle con altri fini (quale quello di proporre all’interessato l’acquisto della sua proprietà).
Le inadempienze si aggravano in assenza dell’informativa sulla provenienza dei dati ed, a maggior ragione, se poi manca anche la risposta alla richiesta in tal senso degli interessati.
GESTIONE DEI RISCHI E MISURE DI CONTRASTO
Non affrontiamo impreparati l’occorrenza di un data breach!
L’articolo Data breach: pianificare per prevenire il ‘panico d’organizzazione’ sottolinea l’importanza di un piano per affrontare l’emergenza costituita da una violazione dei dati personali.
Una simulazione di incidente per la sicurezza delle informazioni serve a testare la procedura d’intervento e ad individuare eventuali punti critici. E’ necessario, però, che a monte vi sia una corretta e preventiva pianificazione e soprattutto la definizione dell’assetto organizzativo aziendale finalizzato all’intervento.
La simulazione dovrebbe mettere in evidenza non solo le criticità tecniche (appurabili anche preventivamente, per es. con un test di penetrazione), ma anche quelle organizzative, in particolare la capacità di tenere i nervi saldi per affrontare gli obiettivi di sicurezza e tutela degli interessati. Per questo è rilevante la definizione coerente di ruoli e responsabilità, magari effettuata attraverso la “matrice RACI” [tabella che mette in relazione i compiti con le diverse mansioni aziendali, attribuendo a ciascuna il ruolo di Responsabile dell’attività, di Responsabile dell’approvazione, di Persona da consultare, o di Persona da informare. Ndr]. Il coinvolgimento potrà prevedere soggetti esterni (consulenti).
Alcuni processi decisionali sono: analisi, mitigazione, controllo dei danni, gestione delle comunicazioni (interne ed esterne) e degli adempimenti normativi. Il personale coinvolto deve aver chiaro cosa sia una violazione dei dati personali, deve essere in grado di rilevare quanto attiene all’incidente sulla sicurezza dei dati e di effettuare un report completo (le circostanze relative alla violazione, le sue conseguenze e i provvedimenti adottati per porvi rimedio, secondo l’Art. 33 del GDPR). Ulteriori adempimenti possono scaturire dall’eventuale Service Level Agreement definito con i clienti.
I risultati delle analisi dei rischi devono essere ripetibili
L’articolo La ripetibilità della valutazione del rischio nell’ambito della protezione dei dati personali dà alcuni suggerimenti per la valutazione dei rischi.
Il processo di valutazione del rischio è composto da tre fasi: l’identificazione, l’analisi e la ponderazione. Il trattamento del rischio è un passo successivo. [valutazione e trattamento costituiscono la gestione del rischio, ndr].
E’ importante la “ripetibilità” nella valutazione (requisito della ISO 27001): cioè, nello stesso contesto, soggetti diversi dovrebbero pervenire a risultati dell’analisi quantomeno paragonabili, anche eventualmente per valutazioni fatte in tempi diversi. Ciò fornisce una certa garanzia di oggettività.
Nell’ambito dei dati personali, la ripetibilità è richiesta dal GDPR.
La valutazione del rischio deve essere eseguita almeno una volta l’anno ed ogni volta che intervengono variazioni significative del contesto, quali le minacce, i fattori interni ed esterni.
Per assicurare la reperibilità si dovrebbe tener conto di quanto segue:
- procedurare la metodologia di valutazione;
- coinvolgere nell’analisi più persone interessate, per tutti gli aspetti coinvolti (funzioni interni, clienti, fornitori, …);
- i team che eseguono la valutazione in tempi diversi devono avere una composizione omogenea;
- i criteri per l’attribuzione dei valori di gravità, di probabilità e di rilevabilità devono essere chiari ed univoci;
- le scelte dei valori attribuiti dovrebbero essere motivate e documentate, ciò che è utile soprattutto in fase di revisione;
- analogamente per la scelta delle misure da adottare per ridurre il livello di rischio sino ad un valore accettabile.
L’autore arriva a suggerire, quando ve ne sia l’opportunità e la possibilità, di far effettuare la valutazione dei rischi a due team diversi, sotto la guida di un facilitatore e composti da personale proveniente per entrambi dalle stesse aree aziendali coinvolte (quali ufficio privacy, area ICT, risorse umane, approvvigionamenti, area del facility, se non anche rappresentanti del business, del commerciale, del marketing, ecc). In presenza di risultati divergenti, il facilitatore dovrebbe far negoziare i due gruppi per farli convergere, con l’aumento della consapevolezza, verso una soluzione condivisa e soddisfacente.
LIMITI E RISCHI NEL MONITORAGGIO DELLE PERSONE
Per il Garante, i dati in fattura non devono servire alla determinazione della capacità contributiva degli acquirenti
L’articolo Stop del Garante Privacy all’uso massivo dei dati presenti nelle fatture elettroniche informa che il Garante privacy ritiene che i dati fattura integrati (descrizione delle prestazioni ricevute o dei beni acquistati) relativi ad operazioni verso i consumatori finali, non possono essere utilizzati dall’Agenzia delle entrate, nelle attività massive ed informatizzate di analisi del rischio di evasione. Per questa tipologia di operazioni, infatti, non essendovi l’obbligo per il cedente/prestatore di identificare il cessionario/committente, (salvo casi come gli obblighi antiriciclaggio), la riferibilità, dei dati personali presenti nelle fatture, a un certo consumatore potrebbe portare a trattamenti non corretti. Del resto il prestatore non ha alcun obbligo di identificare il committente, tenendo conto anche dei fini diversi per i quali i dati personali vengono raccolti (in particolare, l’attuazione della disciplina IVA).
In pratica un errore nell’anagrafica o l’indicazione di un nominativo o codice fiscale diverso da quello reale da parte del consumatore finale, attribuirebbe la spesa indicata nella fattura a un soggetto diverso da quello effettivo, con ciò attribuendogli un indice segnaletico di capacità contributiva errato. E, a distanza di anni, tale soggetto diverso non sarebbe in grado dimostrare di non aver effettuato l’acquisto dei beni o dei servizi di tale fattura.
Le verifiche fiscali restano comunque attuabili in relazione a richieste di detrazione/deduzione delle spese sostenute, nonché in ambito di contrasto all’evasione dell’IVA.
RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY
Le informazioni aziendali riservate non rientrano negli obblighi del Decreto Trasparenza
L’articolo Decreto Trasparenza: le informazioni classificate non rientrano negli obblighi di informare i lavoratori, ma occorre effettuare ex ante la valutazione informa che in relazione al al “Decreto Trasparenza” (Dlgs 104/2022), il Ministero del Lavoro ha finalmente pubblicato un primo orientamento (circolare 19/2022) a proposito dei sistemi automatizzati, per i quali è dovuta l’informativa al lavoratore ed ai sindacati se:
- sono finalizzati a mettere in atto un procedimento decisionale che sia in grado di condizionare lo svolgimento del rapporto di lavoro;
- incidono sul rapporto di lavoro in termini di sorveglianza, valutazione della prestazione e adempimento degli obblighi contrattuali del lavoratore.
L’autore dell’articolo giudica esorbitante la mole di informazioni che, al proposito, il datore di lavoro deve rendere disponibili, oltretutto in tempi brevi ed in una forma che risulti comprensibile al lavoratore. E le informazioni sono dovute “anche nel caso di intervento umano meramente accessorio”.
Nell’orientamento del Ministero, sono escluse dall’obbligo le informazioni aziendali ed esperienze tecnico-industriali, comprese quelle commerciali, che:
- sono segrete, nel senso che non risultano generalmente note o facilmente accessibili a esperti e operatori di settore;
- in quanto segrete, hanno valore economico;
- sono soggette a misure ragionevolmente adeguate perché siano mantenute segrete.
Peraltro, con ciò, al datore di lavoro è richiesto anche l’onere di stabilire se un’informazione, relativa ad un sistema decisionale o di monitoraggio automatizzati, costituisce o meno un segreto aziendale (il segreto commerciale è qualificato in base all’Art. 98 del D.Lgs 30/2005 e richiede in certi casi una consulenza tecnica).
I produttori di applicazioni e servizi che trattano dati personali non hanno responsabilità sul trattamento? Non è esattamente così
L’articolo Il ruolo privacy dei produttori di applicazioni, servizi e prodotti basati sul trattamento di dati personali osserva che il GDPR non attribuisce alcuna responsabilità, circa il trattamento dei dati personali, ai produttori degli strumenti utilizzati da Titolari e dai Responsabili per eseguire i trattamenti.Il GDPR attribuisce al Titolare del trattamento una responsabilità generale per tutti i trattamenti di dati personali, sia per quelli eseguiti direttamente, tramite il personale dipendente autorizzato, che per quelli eseguiti tramite le organizzazioni esterne all’azienda, le quali assumono il ruolo di “Responsabili del trattamento”. In base al Considerando 74 del GDPR, si tratta di
- responsabilità operativa (c.d. responsibility);
- responsabilità giuridica (c.d. liability);
- responsabilità intesa come “chiamata a rendere conto delle proprie azioni” (c.d. accountability).
Queste responsabilità vanno gestite con
- misure che soddisfino in particolare il principio di “privacy by design e by default”;
- una valutazione d’impatto sulla protezione dei dati (la c.d. DPIA) qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Se il contenuto degli articoli del GDPR non attribuisce responsabilità ai produttori di applicazioni, servizi e prodotti basati sul trattamento di dati personali, il Considerando 78, sempre del GDPR, precisa che i produttori
- in fase di sviluppo, progettazione e selezione da parte dei titolari, dovrebbero essere incoraggiati a tenere conto della normativa sulla Privacy allorché sviluppano e progettano le loro applicazioni, i loro servizi ed i loro prodotti;
- dovrebbero tenere in debito conto lo stato dell’arte, e far sì che i titolari del trattamento e i responsabili del trattamento possano adempiere ai loro obblighi di protezione dei dati.
E le Linee Guida WP 248 rev.01 chiariscono che i produttori possono eseguire una DPIA sui loro prodotti tecnologici, ciò che favorirebbe la DPIA da parte dei Titolari del trattamento.
Linee guida EDPB (European Data Protection Board) 4/2019 affermano che i produttori dovrebbero sforzarsi di dimostrare che la “Privacy by Design e by Default” è parte integrante del ciclo di vita dello sviluppo della loro soluzione per il trattamento, magari anche ricorrendo ad una certificazione. E’ altresì raccomandato ai titolari del trattamento di richiedere che i produttori dimostrino in che modo i loro hardware, software, servizi o sistemi permettono al titolare di adempiere all’obbligo di rispettare il principio di “Privacy by Design”, per es. utilizzando indicatori chiave di prestazione (KPI) per dimostrare l’efficacia delle misure e delle garanzie nell’attuazione dei principi e dei diritti.
I Garanti Europei hanno così delineato un ruolo privacy “attivo” dei produttori, i quali non possono e non debbono ritenersi esclusi dalla necessità della tutela dei diritti e delle libertà fondamentali delle persone fisiche.
Sono attesi regolamenti a favore dei soggetti interessati i cui dati sono trattati per mezzo dell’AI
L’articolo La responsabilità civile in materia di Intelligenza Artificiale: implicazioni per la protezione dati riferisce della proposta di direttiva sulla responsabilità da intelligenza artificiale dell’UE, che intende garantire che le innovazioni tecnologiche relative all’Intelligenza Artificiale (AI) non vadano a scapito dei diritti e delle libertà dei cittadini.
Per prima cosa, si dovrà garantire che i danneggiati possano chiedere un risarcimento, in caso di danno. Infatti attualmente la legislazione prevede che il querelante debba spiegare in dettaglio la colpa, il danno e il nesso di causalità tra i due; cosa che risulta estremamente difficile in presenza di sistemi di AI, in ragione della loro complessità, autonomia e mancanza di trasparenza. Dovrà essere quindi previsto come individuare la colpa o l’omissione di un fornitore, di uno sviluppatore o di un utente dell’IA.
All’atto pratico, la direttiva proposta introduce la “presunzione di causalità”: se i danneggiati possono dimostrare che qualcuno non ha rispettato un determinato obbligo, pertinente al danno, e che è ragionevolmente probabile un nesso di causalità con le prestazioni dell’IA, il giudice può presumere che tale inosservanza abbia causato il danno. Inoltre, se un fornitore non ha ottemperato alle prescrizioni nell’utilizzo dei servizi di AI, il danneggiato dovrebbe essere messo in grado di accedere agli elementi di prova pertinenti.
La presenza di garanzie dovrebbe contribuire alla diffusione dellAI in Europa e l’attribuzione delle responsabilità dovrebbe spingere a rispettare le norma di sicurezza, in materia di protezione dei dati personali, a partire dalle misure di prevenzione. I segreti commerciali dovranno comunque rimanere protetti.
Quand’è che un trattamento automatizzato è decisionale e rientra negli obblighi previsti da Decreto Trasparenza?
L’articolo Decreto Trasparenza: non tutti i trattamenti automatizzati prevedono necessariamente una componente decisionale afferma che nell’applicazione del D.lgs 104/2022 “Decreto trasparenza”, in vigore dallo scorso agosto, può risultare complesso capire se si rientra nel caso di un trattamento automatizzato o decisionale, con i conseguenti obblighi di informazione.
Una guida è costituita dalla Circolare n. 19 del 20.09.2022 Ministero del Lavoro, che, a proposito del trattamento dati dei dipendenti, cita:
- “[…] Ad esempio, l’obbligo dell’informativa sussiste nelle seguenti ipotesi: assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, lo screening dei curricula, l’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
- gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, reti neurali, deep-learning, ecc. […];
L’articolo quindi riporta i seguenti esempi.
- la rilevazione presenze automatizzata con invio diretto al consulente del lavoro non comporta un processo decisionale e non rientra nel Decreto Trasparenza;
- il controllo della navigazione sul web che rileva eventuali anomalie (es. superamento di una soglia sul numero di volte in cui la password è digitata in modo errato) e blocca l’accesso al lavoratore comporta un processo decisionale automatizzato e rientra nel Decreto con obbligo quindi di informativa specifica;
- la rilevazione della posizione di un lavoratore attraverso un dispositivo wearable e la conseguente indicazione automatica al lavoratore del miglior modo per eseguire le attività che gli sono affidate (ad esempio la scelta di un percorso) rientra nel Decreto, anche se già oggetto di accordo sindacale, allo scopo di fornire un’informativa completa.
Il principio base che si evince dagli esempi e che, poi, costituisce lo spirito del Decreto è il principio della trasparenza.
Il datore di lavoro deve effettuare una valutazione d’impatto (DPIA) dei trattamenti, procedendo se necessario alla consultazione preventiva del Garante. L’eventuale modello aziendale per la DPIA deve altresì comprendere i seguenti elementi:
- gli aspetti del rapporto di lavoro sui quali incide l’utilizzo dei sistemi;gli scopi, le finalità, la logica ed il funzionamento dei sistemi;
- le categorie di dati e i parametri principali utilizzati per programmare o addestrare i sistemi oggetto, inclusi i meccanismi di valutazione delle prestazioni;
- le misure di controllo adottate per le decisioni automatizzate e gli eventuali processi di correzione;
- le analisi e valutazioni in merito al livello di accuratezza, robustezza e cybersecurity, nonché alle metriche ed al loro impatto potenzialmente discriminatorio.
Le procedure dei sistemi di gestione della protezione dei dati dovrebbero eventualmente essere integrate prendendo in considerazione, ai fini della consegna o del rinnovo dell’informativa richiesta dal Decreto:
- i vari tipi di collaboratori impiegati,
- i cambi di mansione,
- le dimissioni, per l’archiviazione e successiva distruzione dei dati del collaboratore,
- la privacy by design in modo da comprendere aggiornamento informativa collaboratore, registro del trattamento, analisi dei rischi, DPIA e trasmissione a rappresentanze sindacali,
- gli aspetti legati agli eventuali contratti di trattamento dei dati dei dipendenti affidati ad altra organizzazione, o viceversa ricevuti in affidamento da altra organizzazione per il relativo trattamento.
Possono inoltre essere definite le modalità documentali e possono essere previsti audit di gestione per la conformità al Decreto. Mentre il diritto di accesso ai propri dati da parte del lavoratore dovrebbe essere comunque già previsto.
Secondo la circolare n. 4 dell’Ispettorato Nazionale del Lavoro, nei prossimi mesi dovrebbero essere fornite ulteriori indicazioni, ad esempio relativamente ai concetti di “accuratezza” e “robustezza” delle informazioni da consegnare.
Le scuole sotto pressione per gli adempimenti privacy, ma il caso è generalizzabile
L’articolo La raffica di richieste di accesso civico di MonitoraPA ha aperto un dibattito nel mondo scolastico ma rispondere è inevitabile riferisce che i promotori denominati “MonitoraPA”, dichiarano di avere inviato via Pec un’istanza di accesso civico generalizzato a 8254 scuole, per tutelare la privacy e proteggere le persone dagli attacchi dei colossi del web. In pratica è richiesto di conoscere documenti quali atti istruttori dell’acquisto di beni e forniture digitali e relativi contratti, analisi dei rischi e valutazione di impatto privacy. Corre l’obbligo di risposta entro 30 giorni.
Visto anche il diffuso utilizzo di servizi digitali (posta elettronica, messaggistica, videoconferenza, didattica a distanza, didattica digitale integrata, registro elettronico), lo scenario che si potrà presentare è che, relativamente agli adempimenti per il GDPR, alcune scuole hanno poco o nulla, altre hanno un apparato documentale improprio e inadeguato, altre ancora ce l’hanno un po’ più adeguato, ma non aggiornato e forse qualche scuola lo aggiorna periodicamente.
Il problema principale del GDPR è che, quale “regolamento generale”, non offre alcun dettaglio sugli adempimenti richiesti e rimanda la principio della responsabilizzazione (accountability), per cui ogni titolare del trattamento dei dati personali deve decidere autonomamente con il rischio di dimenticare o sbagliare qualcosa, incorrendo in sanzioni amministrative anche rilevanti. Per questo, sostiene l’autore, la privacy è percepita “come uno strato della montagna di adempimenti burocratici costantemente alimentata da legislatori inconsapevoli”.
Si dovrebbero studiare mezzi che affrontino e risolvano i problemi in termini trasversali e uniformi, così come previsto dallo stesso GDPR in termini di codici di condotta e linee guida settoriali.
La valutazione di impatto, da parte delle scuole, non sempre è obbligatoria
L’articolo MonitoraPA: sulla didattica a distanza non è necessario che la singola scuola faccia la valutazione d’impatto può giovare alle direzioni ed ai funzionari scolastici, poiché dirime alcune questioni poste dalla richiesta di accesso civico inoltrata dai sedicenti “MonitoraPA” a migliaia di istituti scolastici (vedasi l’articolo MonitoraPA: sulla didattica a distanza non è necessario che la singola scuola faccia la valutazione d’impatto, o il suo sunto riportato sopra), imponendo di fare complesse valutazioni giuridiche.
Per quanto riguarda i contratti relativi a servizi digitali, questi devono effettivamente essere disponibili. La loro divulgazione deve però essere preceduta dalla verifica che non sussistano elementi ostativi all’accesso civico generalizzato (D.Lgs. 82/2005, Art. 68).
Non è necessaria la valutazione di impatto se il trattamento dei dati effettuato dalle istituzioni scolastiche, per quanto relativo a minorenni e a lavoratori, non presenta ulteriori caratteristiche suscettibili di aggravare i rischi (dal provvedimento del Garante del 26/03/2020). Ad esempio, non è richiesta la valutazione di impatto per il trattamento effettuato da una singola scuola (non, quindi, su larga scala) nell’ambito dell’utilizzo di un servizio online di videoconferenza o di una piattaforma che non consente il monitoraggio sistematico degli utenti. Ma nel caso in cui la DPIA sia stata redatta, da una PA, essa è considerata di interesse pubblico.
I documenti relativi alle misure tecniche per la sicurezza digitale devono essere stati predisposti. Analogamente la valutazione di impatto per trasferimento di dati all’estero, verso USA o altri paesi terzi non dotati di “decisione di adeguatezza”.
In generale, una scuola può valutare se una richiesta è massiva o vessatoria e, nel caso, rifiutarsi di soddisfarla.
I cookie wall diventano legittimi, o almeno questo sembra essere l’orientamento attuale…
Premessa all’articolo Per i cookie wall c’è uno spiraglio: non sono illegittimi in assoluto: i “cookie wall” sono un meccanismo vincolante (cd. “take it or leave it”), nel quale l’utente verrebbe obbligato, senza alternativa, ad esprimere il proprio consenso alla ricezione di cookie ovvero altri strumenti di tracciamento, pena l’impossibilità di accedere al sito.
Il precedente parere del Garante, espresso nelle Linee guida sui cookie, dichiarava illegittimo il sistema dei cookie wall, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consentisse comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.
Tuttavia, adesso il Garante privacy, il Garante della concorrenza del mercato, la Cassazione, sebbene con ruoli diversi, hanno affermato che l’illegittimità scatta solo quando è calpestata la volontà dell’utente, purché abbia tutte le informazioni (che non devono essere ingannevoli) per esprimere le proprie scelte liberamente e consapevolmente.
Quindi, si possono scambiare i cookie con la fornitura di un servizio: un gestore di un sito Internet, nel somministrare un servizio fungibile, cui l’utente possa rinunciare senza gravoso sacrificio, può legittimamente condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie. Questo può riguardare anche l’iscrizione a newsletter.
[D’altra parte, con direttiva UE 2019/770, attuata già da un anno con un D.Lgs., i dati personali possono essere usati per comprare contenuti e servizi digitali. Ndr]
…ma, riguardo alla problematica di cui all’articolo precedente, le idee non sono ancora del tutto chiare
Secondo l’articolo Utenti costretti a rinunciare alla propria privacy oppure a pagare un abbonamento per leggere le notizie: editori sotto la lente del Garante, molti siti hanno messo in campo sistemi che obbligano l’utente a pagare per sottoscrivere un abbonamento (il cosiddetto paywall), oppure a rassegnarsi dando il proprio consenso all’installazione di cookie e altri strumenti di tracciamento.
Il Garante per la protezione dei dati personali ha reso noto, allora, di aver aperto un’indagine sulle pratiche messe in atto dagli editori per verificare se siano compatibili con le prescrizioni del GDPR.
[Questo appare in contrasto con le affermazioni del precedente articolo Per i cookie wall c’è uno spiraglio: non sono illegittimi in assoluto (Ndr) ed infatti…] in un secondo comunicato il Garante ha rilevato che la normativa europea sulla protezione dei dati personali non esclude in linea di principio che il titolare di un sito subordini l’accesso ai contenuti, da parte degli utenti, al consenso prestato dai medesimi per finalità di profilazione (attraverso cookie o altri strumenti di tracciamento) o, in alternativa, al pagamento di una somma di denaro.
Quali lavoratori sono interessati alle misure previste dal Decreto Trasparenza?
L’articolo Decreto trasparenza: le disposizioni transitorie non sono poi così tanto transitorie riguarda il D.lgs. 27.06.2022 n. 104, cosiddetto “Decreto Trasparenza”, in vigore dal 13/08/2022, e ne riesamina alcuni aspetti, peraltro fondamentali.
Tra i compiti del datore di lavoro, o del committente, c’è quello di informare i lavoratori in merito all’utilizzo di sistemi decisionali o di monitoraggio automatizzati (che si intuisce siano strumenti tecnici per la raccolta ed elaborazione dei dati e la decisione, in automatico senza apporto umano o con minimo apporto, idonei ad incidere sul rapporto di lavoro). Inoltre il lavoratore ha il diritto di accesso a questi dati e di richiedere ulteriori informazioni al datore di lavoro, che deve rispondere entro 30 giorni.
Altri obblighi, in capo al datore di lavoro, citati in vari articoli del decreto, sono:
- le informazioni devono essere fornite prima dell’inizio dell’attività lavorativa,
- se intervengono modifiche, le informazioni aggiornate devono essere consegnate almeno 24 ore prima,
- le informazioni devono essere in un formato strutturato e trasparente e leggibile,
- le informazioni devono essere comunicate anche alle rappresentanze sindacali (si suppone con la stessa tempistica).
In caso di inadempienza, le sanzioni amministrative previste (applicate dall’ispettorato del Lavoro) sono piuttosto pesanti. Adesso, a causa delle “disposizioni transitorie”, c’è il problema di decifrare verso quali lavoratori si deve applicare quanto sopra.
Le disposizioni sopra elencate si applicano dall’entrata in vigore del decreto, quindi per gli assunti dal 13 agosto in poi. Mentre per i rapporti di lavoro già in essere entro il 1° agosto 2022, gli obblighi del datore di lavoro sono limitati alla fornitura o integrazione delle informazioni dovute, entro 60 giorni da richiesta scritta del lavoratore. Una circolare ha precisato che per gli assunti tra il 2 e il 12 agosto vi sono gli stessi obblighi che ricorrono per i lavoratori in forza entro il 1° agosto e cioè che l’informativa va fornita obbligatoriamente solo a presentazione di richiesta scritta, salvo non vi siano variazioni circa i sistemi decisionali o di monitoraggio automatizzati, per cui l’informativa è comunque dovuta e con anticipo di almeno 24 ore.
L’autore dell’articolo tiene quindi a precisare che permangono peraltro tutti gli altri adempimenti relativi al trattamento dei dati personali in conformità con il GDPR, analisi dei rischi, DPIA, registro del trattamento, informativa e misure di protezione, anche perché l’Ispettorato del Lavoro potrebbe trasmettere al Garante segnalazioni in merito.
Suggerisce inoltre che il comportamento più trasparente per il datore di lavoro dovrebbe indirizzarlo a consegnare la nuova informativa a tutti i lavoratori, indipendentemente dalla data di assunzione e senza attendere esplicite richieste. Conclude però che i punti da chiarire restano molti.
Attenzione ai protocolli di rete utilizzati nei siti web, se trasmettono dati
L’articolo Garante Privacy: se un sito web trasmette dati personali è necessario l’utilizzo di protocolli sicuri informa che il Garante della privacy ha ribadito che per scongiurare il rischio di furti d’identità e garantire una adeguata tutela dei dati personali, l’interazione degli utenti con un sito web ai fini della trasmissione di dati personali deve essere protetta con protocolli crittografici (come quello “https”). Di fatto, ha sanzionato un’azienda che utilizzava il protocollo di rete “http”, in quanto non crittografato e quindi non sicuro.
Anche se i dati trasmessi sono solo di tipo comune, non appartenenti a categoria particolare (come nominativo e indirizzo email), non devono essere messe a rischio la loro integrità e riservatezza, quindi è d’obbligo l’utilizzo di adeguate misure tecniche – organizzative. Questo si applica anche ad eventuali siti realizzati prima dell’entrata in vigore del GDPR.
IN BREVE, DALL’ITALIA E DAL MONDO
Sono legittime, per difesa preventiva, le registrazioni audio all’insaputa dei presenti?
Secondo l’articolo Cassazione: il lavoratore può registrare di nascosto le conversazioni con i colleghi per tutelare la propria posizione in azienda, non serve il consenso dell’interessato quando il trattamento dei dati – come l’audio “rubato” all’ignaro interlocutore – serve a precostituirsi un mezzo di prova, magari contro il datore. A patto, tuttavia, che l’utilizzo del file audio non vada oltre tale finalità, la quale costituisce il legittimo esercizio di un diritto. La registrazione, inoltre, non deve durare oltre lo stretto tempo necessario.
Questo, almeno, è il parere dell’autore dell’articolo, in quanto in un caso reale la Corte di Appello ha escluso il carattere ritorsivo del licenziamento sul rilievo che la circostanza non potrebbe essere provata dalle conversazioni fra presenti registrate “in modo abusivo” dall’interessato.
In ogni caso, la Suprema corte raccomanda un equilibrato bilanciamento tra la garanzia prevista per la riservatezza delle comunicazioni e il diritto di difesa.
Altre indicazioni circa il ruolo del Data Protection Officer (Responsabile della Protezione dei Dati)
L’articolo Il coinvolgimento del DPO nella gestione della sicurezza dei trattamenti di dati personali intende precisare il ruolo del DPO, in modo che l’azienda che lo ha nominato non incorra in aspettative errate, che potrebbero essere causa del mancato rispetto di requisiti del GDPR. Per esempio si potrebbe incorrere in conflitti di interesse per il DPO, o viceversa mancato coinvolgimento del DPO, mancata sorveglianza delle misure di sicurezza o inadeguatezza delle valutazioni dei rischi.
Il DPO può partecipare alle fasi di analisi e predisposizione delle misure di sicurezza e successiva sorveglianza, solo se è stato coinvolto già dalle prime fasi; altrimenti, ad esempio, la selezione di tecnologie e l’adozione di soluzioni organizzative potrebbe incontrare delle criticità.
Dopo aver fornito i propri pareri sulle misure predisposte, al fine di garantire la protezione dei dati personali, per la sorveglianza sulla loro corretta applicazione il DPO potrebbe anche ricorrere ad esperti tecnici esterni per svolgere le attività di audit.
E’ buona prassi che il DPO si relazioni con il personale interno preposto al monitoraggio della sicurezza, richieda report periodici e riferisca ai vertici dell’organizzazione eventuali criticità, fabbisogni e opportunità. La periodicità, l’estensione e l’approfondimento dei controlli devono seguire l’approccio basato sul rischio.
In caso di occorrenza di un data breach, il coinvolgimento del DPO è relativo quantomeno a
- valutazione dell’evento e registrazione interna,
- notifica all’autorità di controllo, comunicazione agli interessati,
- misure di contenimento e mitigazione predisposte,
a garanzia della loro conformità alle prescrizioni normative.
[E non si dimentichi che il DPO è tenuto (Art. 38 del GDPR) a cooperare con l’autorità di controllo e fungere da punto di contatto per questioni connesse al trattamento, tra cui la consultazione preventiva per le DPIA che dovessero presentare un rischio elevato per gli interessati. Ndr]
Il Regno Unito è pronto a uno “strappo” con l’Europa sulla protezione dei dati personali
Secondo l’articolo Il Regno Unito è pronto a dire addio al Gdpr per sostituirlo con una propria regolamentazione nazionale, il governo inglese sta predisponendo una riforma per sostituire il GDPR con una regolamentazione nazionale, per una protezione dei dati che tuteli meglio gli interessi di imprese e consumatori semplificando le regole ed i regolamenti esistenti.
Il Regno Unito intenderebbe assumere il ruolo di “ponte” per lo scambio dei dati con gli USA ed altri paesi che tuttora non sono in possesso della c.d. “decisione di adeguatezza”. Allo stesso tempo, ad oggi non si capisce se il Regno Unito medesimo potrà mantenere per se stesso tale “decisione”, in quanto l’accordo che attualmente la prevede ha una scadenza automatica nel 2024.
Privacy non per obbligo, ma per necessità
Quanto espresso dal titolo dell’articolo Il 76% dei consumatori non comprerebbe da un’azienda di cui non si fida riguardo al rispetto della privacy è il risultato della quarta edizione della “CISCO customer privacy survey”.
La grandezza del valore in titolo suggerisce che se, i consumatori iniziano a chiedere più rispetto per la loro privacy, le regole sulla protezione dei dati personali, sin qui troppo spesso tradite, ignorate e violate, cominceranno a essere rispettate non tanto per paura delle sanzioni, quanto per paura di perdere utenti e clienti.
Per quanto riguarda l’apprezzamento e la fiducia dei clienti verso le aziende, il rispetto della privacy è sullo stesso piano del rispetto delle regole per l’ambiente e per la sicurezza.
Sindacati e privacy
L’autore dell’articolo Il ruolo per i sindacati nell’assetto della privacy nelle aziende cita alcune situazioni in cui vi è un’interazione delle organizzazioni sindacali con aspetti relativi alla privacy.
Innanzitutto, i dati di appartenenza sindacale sono dati di categoria particolare (Art. 9 del GDPR).
Secondo una Faq del Garante, i sindacati, quali titolari del trattamento di dati personali, sono tenuti a nominare il DPO (Data Protection Officer, o Responsabile della Protezione dei Dati).
A fronte del Decreto Trasparenza (D.Lgs 104/2022) le informazioni inerenti l’ “utilizzo di sistemi decisionali o di monitoraggio automatizzati” devono essere fornite ai lavoratori e anche alle rappresentanze sindacali ed i lavoratori possono richiedere, tramite queste, ulteriori informazioni.
Da provvedimenti di due autorità garanti, si rileva che il sindacato si è fatto parte promotrice nel denunciare presunti illeciti di aziende nel trattamento dei dati dei lavoratori (nello specifico, per processi di assunzione e per procedure di avanzamento di carriera).
Le organizzazioni sindacali si pongono quindi come stakeholder legittimati ad agire per la tutela dei diritti degli interessati, anche in assenza di un incarico ad hoc, così come lo sono le Associazioni dei consumatori che possono agire anche senza una concreta violazione della privacy e anche senza mandato specifico, per questioni di privacy attinenti al commercio.
A fronte di tale considerazione, il ruolo del DPO nei sindacati potrebbe non solo essere di consulenza e supervisione della privacy nei trattamenti interni al sindacato, ma anche di consulenza circa valutazioni sulla conformità al GDPR dei trattamenti inerenti ai dati personali dei lavoratori rappresentati effettuati dalle imprese e delle P.A.
L’European Data Protection Board approva la certificazione di Europrivacy
L’articolo L’European Data Protection Board approva la certificazione di Europrivacy informa che l’EDPB (European Data Protection Board), con il parere del 10/10/2022 (Opinion 28/2022), ha approvato i criteri di certificazione di Europrivacy (organismo di certificazione lussemburghese) sulla protezione dei dati personali.
Si tratta di uno schema adottabile sia dai titolari che dai responsabili del trattamento di dati personali ed è un meccanismo di criteri scalabile per diversi settori di attività.
Questa certificazione, che può essere richiesta per dimostrare la propria conformità al GDPR (superando le verifiche da parte di organismi indipendenti), ha validità in tutti i 27 stati membri dell’Unione Europea.
L’autore rammenta che il considerando 100 dello stesso Regolamento Europeo incoraggia l’istituzione di meccanismi di certificazione e prevede che, al pari di questo, altri saranno in futuro approvati.
[E’ timore personale del redattore di questo riassunto che il proliferare di certificazioni diverse aventi lo stesso oggetto, rispetto ad una sola, non contribuisca a semplificare le cose, bensì ad aumentare le incertezze e il senso di oppressione burocratica. Solo in Italia sono attualmente disponibili quantomeno la Prassi di Riferimento UNI 43, che salvo ripensamenti si stava accingendo a fare da guida ad una prossima norma EN di validità europea, e lo Schema di certificazione ISDP 10003).]
Nominare il Dpo potrebbe essere da equilibristi
L’articolo Attenzione alla corretta nomina del Dpo altrimenti arriva la sanzione dell’autorità informa che continuano ad essere comminate sanzioni, anche significative, a causa di nomine di DPO (o Responsabile della Protezione dei Dati personali) poiché l’Autorità di controllo giudica che sia in conflitto di interesse.
D’altra parte ciò è dovuto alla natura ibrida del ruolo di DPO: egli deve aiutare e consigliare l’impresa, ma allo stesso tempo la sorveglia e la controlla, a tutela della esatta osservanza del Gdpr e delle altre disposizioni in materia di protezione dati e privacy [e deve altresì collaborare fattivamente con gli inquirenti in caso di ispezione per conto del Garante; ndr]. L’ambiguità si fa evidente qualora il DPO sia un dipendente dell’azienda, dato che dovrebbe essere “indipendente”. La mancanza di norme di dettaglio e, spesso, di disponibilità economica e di competenze specifiche (si pensi ad una piccola azienda) portano, in caso di verifica, ad una sanzione amministrativa certa.
L’autore dell’articolo riporta esempi tratti da casi reali, per lo più provvedimenti sanzionatori e talvolta prassi espresse dai Garanti:
- Non può essere Dpo di una società, facente parte di un gruppo, chi nel contempo è anche amministratore delegato di società di servizi che trattano dati personali per conto della prima società.
- Non si può nominare Dpo un dirigente che è a capo di un dipartimento che si occupa di operational risk, information risk management, o di una unità ispettiva interna.
- Il componente del consiglio di amministrazione di una società, il vice Ceo o l’avvocato senior non possono fare il Dpo della società.
- Non può essere nominato Dpo un direttore amministrativo che assume decisioni rilevanti che hanno sostanziali implicazioni sull’assetto organizzativo di un ente, specie riguardo alle modalità e alle finalità di trattamento dei dati personali di dipendenti e utenti.
- Sono incompatibili l’attività di Dpo e quella di avvocato difensore in giudizio.
- Può essere ammessa la compatibilità tra la funzione di Dpo e quella di responsabile della conformità al GDPR per quanto riguarda la divulgazione e l’osservanza delle relative regole di condotta.
- Può essere ammessa la compatibilità tra la funzione di Dpo e quella di responsabile della segreteria dell’organo collegiale di vertice di una organizzazione.
- Il Garante della Privacy del Regno Unito ha nominato proprio Dpo il capo della sezione “risk and governance” [il che appare in contrasto con quanto asserito al punto 2; ndr].
La Commissione Europea ha finalizzato i regolamenti per le piattaforme web
Qua si riporta l’estratto dall’articolo Pubblicato in Gazzetta Ufficiale il Digital Services Act, sei mesi di tempo per adeguarsi.
Il Digital Services Act Package, presentato dalla Commissione europea a fine 2020, con lo scopo di costruire nuove regole per l’economia digitale, le piattaforme online come i social media e i siti di e-commerce, comprende il cosiddetto Digital Market Act (DMA), Regolamento UE 2022/1925, del 14/09/2022 e il Digital Services Act (DSA), Regolamento UE 2022/2065, del 19/10/2022.
[l DMA va in vigore il 2 maggio 2023, tuttavia l’articolo 3, paragrafi 6 e 7, e gli articoli 40, 46, 47, 48, 49 e 50 si applicano a decorrere dal 1° novembre 2022 e gli articoli 42 e 43 si applicano a decorrere dal 25 giugno 2023. La pagina web Digital Markets Act: cos’è e cosa prevede offre una breve guida, con infografica, sui suoi contenuti. Ndr]
Per il DSA ci sono sei mesi di tempo per adeguarsi e sanzioni fino al 10% del fatturato per le organizzazioni rientranti negli obblighi che non rispetteranno le regole (fino al 20% in caso di recidiva). Altri requisiti, citando integralmente l’articolo originale: << Le grandi aziende tecnologiche dovranno essere più trasparenti sulle loro operazioni e agire per prevenire la diffusione della disinformazione e gli effetti negativi sui diritti fondamentali. La pubblicità mirata sarà limitata e i “Dark Pattern” e altre pratiche ingannevoli saranno bandite. Piattaforme e servizi online molto grandi (gatekeepers) saranno soggetti a obblighi più severi, proporzionati ai rischi che rappresentano per la società, tra cui quelli di analizzare i rischi sistemici che creano e di effettuare analisi di riduzione del rischio con cadenza annuale per consentire un monitoraggio continuo. >>
La ISO 27001:2022 si adegua a cybersecurity e privacy, per la sicurezza delle informazioni
L’articolo Uscita la nuova ISO 27001:2022 con gli standard su sicurezza delle informazioni, cybersecurity e privacy informa che l’obiettivo della norma ISO/IEC 27001:2022 [“Information security, cybersecurity and privacy protection — Information security management systems — Requirements”] è di fornire alle organizzazioni gli strumenti di base per la protezione delle informazioni, inclusi i dati personali ma non limitata ad essi, specie nella considerazione della crescita degli attacchi digitali. Nota: in questa edizione è stato modificato anche il titolo della norma.
Si tratta di una norma atta alla certificazione delle organizzazioni, ma non è una norma tecnica, bensì un framework di requisiti e “controlli” da gestire attraverso processi aziendali. E’ integrabile con altri sistemi di gestione [essendo strutturata in base all’dell’High Level Structure (Allegato SL delle Direttive ISO/IEC, Parte 1); ndr].
[E’ utile precisare che per “controllo“, secondo la definizione della ISO 27000, si intende una misura che modifica (o mantiene) il rischio; si tratta quindi di un “provvedimento”. Ndr].
L’aggiornamento della norma, pur senza significative modifiche in relazione ai requisiti, è orientato a garantire:
- integrità, riservatezza e disponibilità dei dati,
- individuazione delle minacce e delle vulnerabilità,
- protezione dei dati, in qualunque forma o supporto (digitale, cloud, cartaceo, verbale),
- una maggior resilienza rispetto agli attacchi informatici.
Invece, per quanto riguarda i “controlli“, di cui all’Allegato A, sono stati eliminati quelli meno efficaci (32), aggiunti nuovi più attuali (11) ed eseguiti nuovi accorpamenti (4 sezioni invece di 14).
La già prevista “Dichiarazione di Applicabilità” dovrà essere conforme ai controlli dell’Allegato A, ma non necessariamente redatta in base ad essi. Potranno essere sempre introdotti controlli extra, ove necessario.
In definitiva, comunque, i controlli non sono altro che quelli della ISO/IEC 27002:2022 (“Information security, cybersecurity and privacy protection — Information security controls”), che ne fornisce linee guida e informazioni di supporto per una corretta applicazione.
Oltre alla cybersecurity, c’è un’attenzione alla protezione dei dati personali, che si esplica nel controllo 5.34 “Privacy and protection of PII” ed, in modo indiretto, attraverso altri controlli. Questo aspetto avvalora la certificazione secondo 27001 quale misura di accountability nei riguardi del GDPR (ma la 27001 non è certificativa ai sensi del GDPR).
Le organizzazioni già certificate 27001 hanno tempo sino al 31/10/2025 per aggiornare la certificazione alla nuova edizione della norma.
L’autore dell’articolo informa infine che è stato pubblicato anche l’aggiornamento della ISO/IEC 27005:2022 “Information security, cybersecurity and privacy protection — Guidance on managing information security risks” e che è in corso l’aggiornamento della ISO/IEC 27701:2019 “Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guideline”.
Teorie applicate alla protezione dei dati personali
L’autore dell’articolo La teoria della legittimità e quella degli stakeholder applicate alla protezione dei dati personali si rifà in realtà ad un articolo di Paige Bartley, che sostiene che “le organizzazioni devono concentrarsi sui punti in comune e sui principi fondamentali prima di concentrarsi sui requisiti specifici del regolamento [sulla protezione dei dati] in stile checklist”.
I punti principali presi in esame sono la teoria della legittimità e quella degli stakeholder.
Affinché le proprie attività siano considerate legittime e quindi accettabili un’organizzazione deve operare nel rispetto delle norme, regolamenti, ma anche prassi e consuetudini della comunità cui appartiene. In difetto, l’organizzazione potrebbe incorrere in sanzioni, perdere quote di mercato e reputazione, incontrare difficoltà nel reperire finanziamenti e personale qualificato.
Secondo la teoria degli stakeholder, l’organizzazione deve prendere in considerazione i diritti, gli interessi e le aspettative di tutti coloro che possono essere influenzati dalle decisioni manageriali e che, per converso, possono esercitare la loro influenza sui risultati di tali decisioni. Prendendo in considerazione gli interessati si favorisce, da un lato, il rispetto della legittimità e, dall’altro, una miglior gestione dell’organizzazione stessa [intravedendo gli interessati come fattori interni ed esterni che possono incidere sul raggiungimento dei fini aziendali; ndr].
E’ abbastanza ovvio che entrambe le teorie impattano anche sulla protezione dei dati personali.
[Per maggiori dettagli si veda direttamente l’articolo originale al link fornito].
Se ci clonano il profilo social è bene fare subito la denuncia
In breve, dall’articolo L’intestatario del profilo social che non denuncia il furto di identità non può attribuire ad ignoti i post diffamatori, derivando le conclusioni da una sentenza della Corte di Cassazione, nel caso in cui non sia stato denunciato alcun furto d’identità digitale alla polizia postale, la persona cui appartiene il profilo sui social è indiziato di avere la paternità dei post che vi appaiono. Compresi quelli di contenuto diffamatorio.
Qualora ricorra siffatta situazione non è dunque affatto sufficiente sostenere di non essere l’autore dei post diffamatori ed invocare un più preciso accertamento da parte degli inquirenti.
VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE
- Il Garante privacy ha sanzionato per 45.000,00 € una società statunitense, per per aver comunicato illecitamente indirizzi di posta elettronica e dati sulla salute di circa 2000 pazienti italiani.
- Il Garante per la protezione dei dati personali ha sanzionato la Regione Lazio per la somma di 100.000 € per non avere aggiornato i dati della piattaforma utilizzata dalle ASL per l’invito agli screening oncologici.
- Un riepilogo delle infrazioni che hanno condotto a sanzioni a carico delle banche: mail contenenti i dati personali dei clienti inviate per sbaglio ad altri clienti, invio errato di sms di addebito per bonifici mai effettuati, spedizione di documenti bancari tramite WhatsApp ai destinatari sbagliati, spedizione ripetuta di messaggi pubblicitari nonostante l’opposizione dei clienti, procedure interne che ostacolano l’esercizio dei diritti, profilazione senza consenso degli utenti dell’home banking in base alle loro attività.
- L’ex responsabile della sicurezza di Uber è stato condannato dal tribunale di San Francisco per aver tenuto nascosto un attacco informatico del 2016, che ha portato al furto dei dati personali di oltre 57 milioni di persone tra utenti e dipendenti della compagnia, nonché i dati di contatto ed i numeri delle patenti di 600 mila autisti. I capi di accusa erano ostacolo alla giustizia e depistaggio (occultamento di reato).
ing. Michele Lopardo
Responsabile Qualità @ Wondersys