Privacy Point - Dalla rassegna stampa online sulla protezione dei dati personali - dicembre 2020

Prosegue, con questa newsletter, la sintesi degli articoli di recente pubblicazione online, in particolare sul sito di Federprivacy, che potrebbero essere di vostro interesse in materia di protezione del dati personali.

E’ ben noto ormai che, con la sigla GDPR, che utilizzeremo nel seguito, ci si riferisce al Regolamento UE  2016/679 “General Data Protection Regulation”, in vigore ormai dal maggio 2018.

Nei vari paragrafi trovate i link agli articoli originali ai quali potete accedere per una lettura più approfondita.

 

Indice

1. Alcuni requisiti del GDPR da tenere in considerazione
2. Contratti di servizi per il trattamento dei dati personali secondo le Clausole Contrattuali Standard dell’UE
3. Aspetti relativi alla videosorveglianza
4. Internet delle cose: opportunità e rischi
5. Siete a conoscenza del Dark web?
6. La limitazione temporale del marketing è una responsabilità del Titolare del dati personali
7. Scaricare app sullo smartphone può mettere a rischio i nostri dati sensibili
8. Un problema sentito: la lunghezza delle privacy policy
9. Come si configura il cloud provider nei riguardi del trattamento dei dati personali per conto dei clienti?
10. Il responsabile del trattamento dei dati personali può essere interno o deve necessariamente essere esterno?
11. Autorizzazioni all’uso di dati personali carpite o eluse nel web
12. La pubblicità mirata, online e non
13. Il principio della trasparenza va oltre la semplice informativa agli interessati
14. Smart working con dispositivi a carico dei dipendenti? Anche no.
15. A torto o ragione, pesanti sanzioni contro Google e Amazon
16. Regolamenti per l’impiego dei cookie: è richiesto il parere degli interessati
17. Il controllo remoto dei lavoratori deve rispettare l’articolo 4 dello Statuto dei lavoratori
18. Il Gdpr non è un ostacolo ma una spinta verso la digitalizzazione
19. Una sintesi per l’impiego dei cookie
20. Data breach: cosa fare in merito alle comunicazioni che devono essere inviate

 

Alcuni requisiti del GDPR da tenere in considerazione

L’articolo Carrefour frana sulla privacy: sanzioni per oltre 3 milioni di euro ha un certo interesse perché, a parte l’entità della sanzione che denota quanto possano pesare le conseguenze economiche per inadempienze, mette in luce i seguenti aspetti della privacy che è bene non trascurare:

 – i siti web pubblicati devono consentire agli iscritti alle iniziative dell’azienda di accedere in maniera semplice ai loro dati personali;

 – la privacy policy dei siti web pubblicati, nel caso in cui vi sia trasferimento presso paesi al di fuori della Comunità Europea, deve fornire le relative informazioni;

 – l’utilizzo dei cookie di profilazione impone la preventiva autorizzazione dell’interessato;

 – l’effettiva conservazione dei dati personali non deve eccedere il periodo che per questa è stato stabilito (nel caso specifico non erano stati cancellati i dati rimasti inattivi per oltre 5 anni);

 – il rispetto dei diritti degli interessati richiede che sia dia luogo per tempo alle loro richieste in merito alla cancellazione dei propri dati personali, così come all’interruzione dell’invio di messaggi pubblicitari;

 – i dati personali non possono essere comunicati a terzi, estranei alle finalità del trattamento, incluse società affiliate, se ciò non è stato autorizzato degli interessati.

 

Contratti di servizi per il trattamento dei dati personali secondo le Clausole Contrattuali Standard dell’UE

Si fa riferimento all’articolo Trasferimento dati all’estero, nuove clausole contrattuali standard dalla Commissione Ue.

I paragrafi 3 e 9 dell’Art. 28 del GDPR impongono la scrittura di un contratto tra una società o amministrazione e un fornitore esterno per servizi che comportano un trattamento di dati per conto del committente. Questi servizi possono andare da quelli amministrativi e contabili, alla gestione dei servizi informatici, alla gestione di contatti con la clientela, all’appalto per videosorveglianza, o alla cura dei siti internet.

Sono previste, in caso di inadempienza, sanzioni sino al maggior valore tra 10 milioni di euro e il 2% del fatturato.

In virtù del paragrafo 8 dello stesso Art.28, la Commissione Europea, il 19/11/2020, ha pubblicato in bozza le nuove Clausole Contrattuali Standard (SCCs), il cui allegato riporta nel dettaglio le caratteristiche del trattamento dei dati e le misure di sicurezza che devono essere specificate nei contratti.

Si rileva peraltro [ndt] che nell’impossibilità di redigere contratti specifici, come nel caso dell’utilizzo dei servizi di provider come Microsoft o Google, sia opportuno aderire alle clausole contrattuali standard da loro predisposte.

 

Aspetti relativi alla videosorveglianza

Seguono le informazioni tratte dall’articolo Videosorveglianza, sui tempi di conservazione il Garante passa la palla alle aziende.

In Italia, prima dell’entrata in vigore del GDPR, la materia della videosorveglianza era regolamentata da provvedimenti generali (l’ultimo il 10/04/2010), che imponevano una verifica preliminare da richiedere al Garante. Adesso, sono i titolari del trattamento (quindi le imprese) ad avere la responsabilità delle scelte relative agli aspetti più delicati, primo tra tutti il termine di conservazione delle immagini, sebbene il Garante possa sempre intervenire a posteriori, anche sanzionando le scelte non ritenute idonee.

Il Garante fornisce comunque esempi e indicazioni (vedasi le risposte alle domande più frequenti – Faq): quanto più prolungato è il periodo di conservazione previsto (soprattutto se oltre 72 ore), tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità di conservazione; l’azienda deve scrivere un suo regolamento interno [concordato con le rappresentanze sindacali o con l’Ispettorato del Lavoro, ndr]; il termine di conservazione delle immagini deve essere esposto su un cartello nelle zone riprese dalle telecamere.

Inoltre, se il trattamento presenta rischi elevati, le aziende devono redigere la valutazione di impatto. Anche in questo caso non si chiede più la verifica preliminare al Garante, ma questo può comunque intervenire successivamente con verifiche ed eventuali provvedimenti. Casi individuati per l’obbligatorietà della valutazione di impatto sono:

 – sistemi integrati, che collegano telecamere tra soggetti diversi;

 – sistemi intelligenti, capaci di analizzare le immagini ed elaborarle, ad esempio al fine di rilevare automaticamente comportamenti o eventi anomali, segnalarli, ed eventualmente registrarli;

 – sorveglianza sistematica su larga scala di una zona accessibile al pubblico;

 – sistema di videosorveglianza per trattare categorie particolari di dati (come dati sanitari).

Inoltre, i cartelli devono riportare:

 – i contatti del responsabile della protezione dei dati (e del DPO -Data Protection Officer-, se nominato);

 – il periodo di conservazione dei dati;

 – la modalità per richiedere l’informativa estesa;

 – l’ufficio cui rivolgersi per chiedere copia delle riprese o esercitare gli altri diritti dell’interessato.

Da un altro articolo (Videosorveglianza, le nuove FAQ del Garante Privacy) si rileva la necessità di rispettare il principio di minimizzazione dei dati, riguardo alle modalità di ripresa e alla posizione dell’impianto di videosorveglianza, e che i dati trattati non possono essere eccedenti rispetto alle finalità del trattamento. E’ il titolare del trattamento che, in base al principio della responsabilizzazione, deve valutare la proporzionalità del trattamento, oltre alla sua liceità, in considerazione del contesto e rapportando le finalità al rischio per i diritti e le libertà delle persone fisiche.

 

Internet delle cose: opportunità e rischi

L’articolo Internet of Things, ancora irrisolti i nodi della tutela della privacy parla della necessità di adeguare la protezione dei dati personali impiegati attraverso l’ “Internet of Things (IoT)”, il cui sviluppo coinvolge sempre di più la nostra quotidianità e la nostra privacy. Si tratta dell’estensione di Internet al mondo degli oggetti e dei luoghi concreti, attraverso il collegamento tra loro dei nostri diversi dispositivi e la trasmissione dei dati via internet e, nel breve raggio, con modalità wireless, con lo scopo di fornirci informazioni sempre più legate alle nostre azioni, a dove siamo, alla situazione o condizione in cui ci troviamo, nonché alle nostre abitudini e preferenze. I dispositivi coinvolti vanno dai computer, agli smartphone, ai dispositivi indossabili (orologi, auricolari), ai dispositivi di domotica (automazione domestica), ai navigatori, agli assistenti personali intelligenti.

La spinta evolutiva a questo processo è data dai vantaggi che possono trarne aziende nella fornitura di servizi, piuttosto che di soli prodotti. L’utente è posto al centro della rete in un’estesa interazione uomo-macchina; tutto ciò presenta però dei rischi per i dati personali. La qualità dei dati forniti e degli stessi dati personali può essere inficiata dal grado di affidabilità dei trattamenti, dal volume e tipo di dati, dal numero di soggetti coinvolti, da utilizzi impropri, dal trasferimento a terzi, dalla vulnerabilità delle interfacce. Inoltre, il comportamento degli utenti può risultare inconsciamente condizionato anche in modo significativo e, tramite le loro scelte, possono essere individuati la loro identità e finanche dati personali di categoria particolare, con conseguente creazione di profili individuali molto dettagliati.

Ne deriva l’opportunità, anzi l’imprescindibile necessità, dell’applicazione dei principi del GDPR, quali la trasparenza, i consensi in funzione delle finalità, le basi giuridiche che legittimano il trattamento, la privacy by design e by default, l’applicazione delle misure a protezione della disponibilità, integrità e riservatezza dei dati. [Il problema sarà come e quanto l’Autorità per la Protezione dei Dati Personali potrà garantire, se non in casi sporadici a seguito di specifici reclami, la verifica della conformità di siffatta mole di trattamenti, ndr]

 

Siete a conoscenza del Dark web?

Con questi termini, che per certi versi ci rammentano la saga Guerre stellari, si intende un sottoinsieme del web, composto da pagine accessibili tramite il protocollo Tor, sviluppato per consentire comunicazioni anonime e sicure. Diventato pubblico dal 2004, questo sottoinsieme è diventato, grazie alla possibilità di accesso anonimo, anche sede di un fiorente mercato nero, in cui trovare, per quanto riguarda la privacy, i mezzi per carpire dati personali.

L’articolo Mercato di dati personali nel dark web, costano fino a 418 euro i dettagli di un account Paypal cita ad esempio che i dettagli della carta di credito di un utente sono prezzati tra i 5 e i 16 euro, mentre quelli del conto Paypal partono da 42 fino ad arrivare a 418 euro. Il prezzo delle credenziali di incauti utenti varia in funzione di quanto possano essere appetibili per criminali e malintenzionati per effettuare estorsioni, truffe, schemi di phishing e furto diretto di denaro.

[Taluni dati sono accessibili anche gratuitamente e la facilità con cui possono essere reperiti deve stimolare l’applicazione di misure di sicurezza aziendale e personali adeguate, ndr]

 

La limitazione temporale del marketing è una responsabilità del Titolare del dati personali

L’articolo Marketing, se il consenso è correttamente acquisito resta valido fino a revoca dell’interessato informa circa un recente provvedimento dell’autorità Garante per la privacy.

Il limite dei due anni per tenere i dati per scopi di marketing e il limite di un anno per scopi di marketing profilato, sempre previo consenso degli interessati, sono superati dal provvedimento del Garante per la Protezione dei Dati Personali n. 181 del 15 ottobre 2020, in cui si afferma che, in base al GDPR [e al di cui principio di responsabilizzazione, ndr] è il titolare del trattamento a fissare un limite alla conservazione dei dati e questo termine (o la modalità per calcolarlo) deve essere oggetto di una informativa all’interessato.

Il consenso al trattamento dei dati personali per finalità promozionali deve ritenersi dunque valido entro il periodo di conservazione stabilito e salvo revoca da parte dell’interessato, sempre che sia stato correttamente indicato nelle informative e acquisito.La definizione del periodo di conservazione deve in ogni caso essere effettuata in base a motivi oggettivi, quali il ciclo di vita del prodotto o i tempi di reiterazione dell’acquisto, e qualora il trattamento presenti un rischio per i diritti e le libertà degli interessati, deve essere supportata da una valutazione di impatto.

Non sono più richieste valutazioni preliminari al Garante, nel caso di presenza di “rischi specifici” o di supero dell’anno o dei due anni (in presenza o meno di profilazione). Tuttavia il Garante potrà sempre esercitare la sua funzione di controllo [e di provvedimento, ndt].

 

Scaricare app sullo smartphone può mettere a rischio i nostri dati sensibili

L’articolo App e profilazione: quali gli aspetti privacy da considerare? si pone dalla parte dell’utente delle innumerevoli app che possono essere scaricate ed installate per effettiva utilità (acquisti online, prenotazioni, home-banking, gestione del fitness e della salute, e quant’altro), ma che implicano una certa cautela per la gestione dei dati personali. Vengono indicati i seguenti consigli.

 1 – Scaricare l’app solamente dopo aver verificato se le tipologie di dati che verranno raccolti rispondono al principio di minimizzazione e se le finalità del fornitore corrispondono solo a quelle attese o vanno ben oltre (ad es. per l’utilizzo dei dati per marketing, o per la condivisione con terze parti) [questa verifica è peraltro probabilmente impraticabile sino a che la app non è scaricata, nel qual caso, se non la si giudica adeguata non resta che disinstallarla, ndr]

 2 – Quando è richiesta una registrazione, fornire solo i dati necessari al servizio [ma spesso per finalizzare la registrazione è necessario compilare anche dati eccedenti: si può sempre rinunciare ad utilizzare il servizio se le richieste ci sembrano eccessive, ndr]

 3 -Diverse app richiedono l’accesso alle informazioni contenute o conservate sullo smartphone, come immagini, rubrica, file, collegamenti ai profili social, dati di geolocalizzazione, e richiedono l’attivazione del microfono e/o della videocamera: è necessario diffidare di quanto non attiene alle finalità del servizio proposto, perché determinate informazioni possono essere sfruttate per profilare l’utente (senza che ne sia stato richiesto il consenso esplicito ed informato) e/o per accedere ai dati, quantomeno di contatto, di altri individui.

[Potrebbe essere interessante porsi il problema di quanto sia lecita un’eventuale autorizzazione all’accesso alla nostra rubrica contenente contatti, i quali non avrebbero, ovviamente, alcuna possibilità di opporsi alla trasmissione dei loro dati personali; ndr]

 

Un problema sentito: la lunghezza delle privacy policy

L’articolo Un hackaton per rendere le privacy policy qualcosa che tutti possano leggere (e capire) prende a riferimento le privacy policy di Facebook, Google, Zoom ed in genere delle applicazioni più scaricate in Europa, per evidenziare la prolissità delle stesse ed il tempo necessario per leggerle (da 1/2 ora a 1 ora [ammesso di non cliccare sui rimandi e di comprendere tutto senza la necessità di interpretazioni e ricerche, ndr]), tempo spropositato rispetto ai pochi secondi necessari ad attivare le applicazioni stesse. Il risultato è che l’informativa sulla privacy, invece di rafforzare la consapevolezza e supportare le scelte dell’interessato, può, scoraggiandone la lettura, divenire un modo [intenzionale o meno, ndr] per eludere la conoscenza di come e perché i dati personali verranno trattati.

Per questa ragione, il Collegio del Garante per la Protezione dei Dati Personali ha rivolto, nell’ambito del “legal hackathon italiano online” lanciato da Legal Hackers Roma per gli scorsi 10÷12 dicembre, un invito a presentare proposte per la riduzione di almeno il 50% della lunghezza delle informative privacy di una qualsiasi delle grandi piattaforme social e web anche utilizzando icone, simboli e altre soluzioni grafiche. [da Wikipedia: un hackathon (anche detto hackfest) è un evento al quale partecipano, a vario titolo, esperti di diversi settori dell’informatica: sviluppatori di software, programmatori e grafici; ndr]

[Non resta che aspettare i risultati, sperando che risolvano la contraddizione tra la richiesta di chiarezza e brevità dell’informativa, da parte del GDPR, e la “pesantezza” e sovrabbondanza del GDPR stesso, nonché di tutti i decreti legge nazionali, disposizioni e provvedimenti del Garante che sono emessi con flusso continuo. Ndr]

 

Come si configura il cloud provider nei riguardi del trattamento dei dati personali per conto dei clienti?

L’articolo Quando e perché il cloud provider non può essere un responsabile del trattamento disquisisce sui rapporti tra titolare e responsabile del trattamento dei dati personali, nonché della relativa nomina a responsabile esterno del trattamento, nel caso in cui si gestiscano i dati su cloud, quindi tramite un cloud provider.

Partendo dall’analisi della normativa e legislazione, anche pregressa e superata (dal GDPR), a partire dal 2012, l’autore arriva alla conclusione che il cloud provider assume la funzione di titolare autonomo del trattamento, piuttosto che di responsabile, in virtù dell’indipendenza, rispetto al primo titolare, con cui effettua il trattamento stesso. Infatti, trovano difficile applicazione i requisiti posti dall’Art. 28 del GDPR, per i quali il responsabile tratterebbe i dati soltanto su istruzione documentata del titolare, oltre agli altri obblighi previsti per il responsabile nei confronti del titolare, in quanto è improbabile se non impossibile che il titolare possa imporre e neppure negoziare col providere prescrizioni e clausole contrattuali, che risultano invece già preordinate e immodificabili. Mancherebbero inoltre i rapporti di subordinazione del responsabile rispetto al titolare, nonché di strumentalità tra gli stessi trattamenti eseguiti dal titolare e dal cloud provider.

In definitiva non resterebbe che accettare il fatto e la nomina del cloud provider come titolare autonomo, con ciò non venendo meno la responsabilità del primo titolare nei suoi confronti, in quanto gli compete pur sempre l’onere di verifica preliminare e controllo periodico sull’operato del fornitore.

[ndr: ci si trova ancora una volta nell’imbarazzo. Si ritengono del tutto logiche le considerazioni espresse nell’articolo, anche per averle già presupposte in precedenza: la definizione delle modalità del trattamento e l’adozione delle misure tecniche ed organizzative per la conformità al GDPR sono prerogative del titolare ed è il provider che se ne fa carico per attuare la gestione nel cloud. Tuttavia, ci si trova di fatto di fronte ad una situazione per cui il cloud provider – si prenda, fra tutti, Google – definisce esplicitamente nei termini contrattuali di essere titolare dei soli dati del cliente per quanto necessario acché questo possa fruire appieno delle funzionalità fornite, ma è responsabile esterno del trattamento per quel che riguarda i possibili dati personali che il cliente inserisce e gestisce nell’ambito della piattaforma cloud. E’ pure impensabile che il provider possa accettare e ritornare firmato al cliente un atto di nomina a titolare autonomo del trattamento.]

 

Il responsabile del trattamento dei dati personali può essere interno o deve necessariamente essere esterno?

[ndr: corre l’obbligo di soffermarsi su una precisa affermazione, riscontrata nell’originale dell’’articolo precedente, per cui sarebbe esclusa la possibilità di poter assegnare la funzione di responsabile a soggetti od organismi interni all’organizzazione del titolare, ciò che deriverebbe dal paragrafo 3 dell’Art. 28 del GDPR, per il quale “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico… che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata…”. Considerare, da parte dello scrivente, in assenza dei necessari titoli professionali in materia legale, che detto vincolo potrebbe essere anche costituito dal rapporto contrattuale tra azienda e dipendente e che l’atto giuridico potrebbe essere determinato dalla stessa nomina controfirmata dalle parti, sarebbe irrilevante. Il fatto che una piccola o media, ma anche grande impresa, possa trattare i dati personali propri o ad essa affidati senza necessariamente ricorrere a fornitori esterni è però una realtà ed il titolare, non potendo occuparsi di tutto in prima persona, dovrà comunque trasferire le proprie istruzioni e la delega per certi incarichi, previsti dal GDPR, su un responsabile o su un incaricato preposto, oltre che ad altri incaricati a questo subordinati, comunque lo si voglia chiamare.

L’impiego del responsabile del trattamento dei dati personali, qualora un trattamento debba essere effettuato per conto del titolare del trattamento, è peraltro obbligatorio (paragrafo 1 dell’Art. 28). Oggi vi sono autorevoli commentatori che ritengono che sia possibile anche configurare un responsabile interno. Sebbene sul piano europeo si sia affermata l’interpretazione opposta, in Italia si continua ad ammettere il ruolo di responsabile interno, almeno fin quando qualcuno non richieda un intervento chiarificatore sovranazionale o sino ad una presa di posizione precisa da parte del Garante italiano per la protezione dei dati personali. Per analisi approfondite sono consultabili pagine web come Regolamento UE  2016/679: che fine fa il responsabile interno?, Responsabili interni ed esterni al trattamento dei dati personali, la nuova figura dell’incaricato e le criticità che pone l’abrogazione dell’art. 29 del D. Lgs. 196/2003 apportata dal D. Lgs. 101/2018 e analoghe.

La conclusione è che, avendo la necessità o l’inevitabilità di un responsabile interno, si sarebbe portati a risolvere la faccenda, per il momento e nonostante un leggero imbarazzo, giocando sulle parole (vista anche la confusione in essere per le traduzioni come nel caso del data controller e del data processor): nominare un “incaricato responsabile interno” (dove “responsabile” è aggettivo), piuttosto che “responsabile interno” (dove “responsabile” è sostantivo).]

 

Autorizzazioni all’uso di dati personali carpite o eluse nel web

L’articolo Web pieno di trabocchetti sulla privacy e in cerca di trasparenza riferisce di come molti siti web, inclusi social media, app e siti di e-commerce, simulando e sbandierando la trasparenza circa il trattamento dei dati personali, quale principio a tutela degli interessati (vedi slogan del tipo “la tua privacy è importante”), in realtà effettuino un monitoraggio stretto delle scelte ed abitudini degli utenti, avendone carpito autorizzazioni in modo astuto o finanche illegittimo.

Sono citati, ad esempio, la difficoltà di decifrazione delle informative sulla privacy (confrontare con l’articolo Un hackaton per rendere le privacy policy qualcosa che tutti possano leggere (e capire)), l’invito ad autorizzare i cookie come utilità per proteggere i dati personali [la presenza del pulsante “Accetta tutto”, quale scorciatoia; ndr], l’invito ad attivare annunci personalizzati [senza specificare che ciò comporterà profilazione, ndr], le difficoltà messe in atto per scoraggiare e rendere ardua la cancellazione dei propri dati [autorizzazioni o account].

Tutto ciò ha determinato una crescente sfiducia negli utenti di internet e indotto il Parlamento europeo a discutere circa nuove regole restrittive per le piattaforme online.

[Alcuni consigli per l’utente sono stati forniti nell’articolo App e profilazione: quali gli aspetti privacy da considerare?, Ndr]

 

La pubblicità mirata, online e non

L’articolo La pubblicità mirata anima il dibattito a Bruxelles: “eliminazione graduale o divieto totale nell’Ue” mette ancora in primo piano la pubblicità online basata sui dati personali dell’utente. Dal 2007 si è passati, da una pubblicità basata sulle scelte di navigazione dell’utente nel contesto delle pagine web visitate, ad una pubblicità mirata (targeted advertising) basata sul profilo dell’utente, profilo altrimenti acquisito.

Questo da un lato può anche essere un vantaggio per l’interessato, cui sono proposti annunci più pertinenti con le sue [presunte] necessità. Dall’altro, vista la complessità tecnologica, e quindi il costo, delle piattaforme di raccolta e proliferazione dei dati degli utenti, questo sistema di pubblicità digitale mirata è appannaggio di pochi grandi gruppi (si citano ad esempio Google, Facebook, Amazon), che dispongono fra l’altro di gigantesche basi di dati proprietarie e che gestiscono per intero la catena della distribuzione. Il che si traduce in una posizione dominante, di regime pressoché monopolistico, anche con presenza di conflitti di interesse nonché di possibili abusi della privacy, a scapito delle compagnie minori.

Dal punto di vista della protezione dei dati personali, il sistema arriva ad essere talmente invasivo da inviare messaggi agli utenti, anche se non stanno navigando in internet, in funzione del posto in cui si trovano e delle loro caratteristiche costituite da dati di categoria particolare.Ne sono scaturite istanze, da parte di organizzazioni per i diritti digitali, e pronunciamenti, da parte di Autorità Garanti di stati membri UE, a difesa dei principi del GDPR.

 

Il principio della trasparenza va oltre la semplice informativa agli interessati

L’articolo Con il Gdpr la trasparenza non è limitabile alle sole informative sulla privacy evidenzia che il principio di trasparenza nella protezione dei dati non si limita all’informativa da fornire agli interessati, bensì anche ad agevolare il controllo da parte delle autorità amministrative, istituzioni legislative e autorità giudiziarie. Ad esempio, la possibilità, data al paragrafo 9 dell’Art. 35 del GDPR, riguardo alla valutazione di impatto, di raccogliere le opinioni degli interessati riguardo al trattamento va ben oltre la semplice messa a disposizione di una informativa.

La trasparenza deve essere così rispettata nelle informative privacy (anche con argomenti da evidenziare in modo particolare, come per le decisioni automatizzate), nelle valutazioni dei rischi, nelle valutazioni di impatto e negli accordi di contitolarità. Non si deve dimenticare che l’autorità di controllo può richiedere la documentazione che attesti le misure organizzative e le tecniche adottate dai titolari ed ai responsabili del trattamento a protezione dei dati personali. Il Data Protection Officer [ove presente] deve agevolare la trasparenza sia nei confronti degli interessati, che riguardo alle modalità di esecuzione dei trattamenti dei dati personali.

 

Smart working con dispositivi a carico dei dipendenti? Anche no.

Quanto segue è tratto dall’articolo Privacy & BYOD: una questione complessa.

La modalità dello smart working [ormai significativamente sperimentata anche in Italia, purtroppo a causa della situazione epidemiologica, ndr] potrebbe invogliare le imprese ad adottare pratiche di BYOD – Bring Your Own Device -, permettendo ai dipendenti di svolgere le attività lavorative al di fuori del normale ambiente d’ufficio, a fronte dell’utilizzo di dispositivi mobile, come il computer portatile, di proprietà personale.

D’altra parte, se anche l’idea di poter trarre un vantaggio economico [che sarebbe però scaricato sui lavoratori, con legittimità tutta da verificare, ndr] potrebbe giocare a favore di tale eventualità, vi sono aspetti che non possono essere tralasciati con questioni che dovrebbero essere risolte.

Per quanto riguarda i dati personali, l’azienda rimarrebbe comunque responsabile, in quanto titolare del trattamento, e dovrebbe adottare tutte le misure tecniche ed organizzative atte a garantire un livello di sicurezza adeguato al rischio, così come risulta dall’Art. 32 del GDPR. Questo implicherebbe adeguati corsi di formazione al personale [peraltro opportuni anche nel caso di utilizzo di dispositivi aziendali, ndr], installazione di antivirus [e di sistemi operativi adeguati e sempre aggiornati, ndr], separazione delle sezioni di dati prettamente personali dell’utente da quelle utilizzate per il lavoro, esecuzione della valutazione di impatto per siffatta situazione [nonché acquisizione dei dovuti consensi da parte del lavoratore, ndr].

Inoltre, dal punto di vista dei diritti del personale – vedi Statuto dei lavoratori -, il controllo della attività attraverso i dispositivi dei dipendenti stessi, accrescerebbe senza dubbio la problematica del controllo a distanza.

 

A torto o ragione, pesanti sanzioni contro Google e Amazon

L’articolo Francia, multe per 135 milioni di euro a Google ed Amazon per utilizzo dei cookies senza esplicito consenso cita detta enorme sanzione comminata ai due colossi del cloud e dell’e-commerce dalla “Commission nationale de l’informatique et des libertés” – Cnil”, che costituisce l’autorità francese per la protezione dei dati personali. La motivazione è di aver installato, sui computer di decine di milioni di utenti, cookie senza la necessaria esplicita autorizzazione, violando l’articolo 82 della legge dell’ordinamento francese sull’informatica e la libertà.

Entrambe le società, in disaccordo con la sentenza, l’hanno comunque commentata ribadendo la priorità, che attribuiscono alla privacy ed alla trasparenza, e l’impegno agli adeguamenti richiesti dall’evoluzione di leggi ed aspettative.

L’articolo cita anche che Google ha collezionato in Europa oltre 8,2 miliardi di euro di multe per diverse questioni, tra cui anche quelle relative all’abuso della sua posizione dominante di vantaggio commerciale.

[Che sia un modo per recuperare quanto perso dall’imposizione fiscale per aver, certe società, la sede legale presso paesi con più basse aliquote di tassazione? Certamente no, però di fatto questo è un risultato, anche a paragone del valore complessivo di soli 60 milioni di euro per sanzioni comminate in Italia dal Garante della privacy nel 2020 – vedasi articolo Un corso di formazione su ispezioni, sanzioni e risarcimenti con il Gdpr  -. Ndr]

 

Regolamenti per l’impiego dei cookie: è richiesto il parere degli interessati

L’articolo Cookie, il Garante Privacy avvia una consultazione pubblica sulle regole per il loro uso informa che il Garante italiano per la privacy pubblicherà in Gazzetta Ufficiale un avviso di consultazione pubblica, rivolta ad imprenditori, operatori e consumatori, per acquisire osservazioni e suggerimenti sulle nuove linee guida relative all’impiego dei cookie da parte dei gestori dei siti. Queste sono state redatte in considerazione delle indicazioni fornite dal Comitato che riunisce i Garanti europei (EDPB), con attenzione al consenso per il trattamento dei dati personali e all’attuazione dei principi di protezione dati già dalla progettazione e per impostazione predefinita (privacy by design e by default).

 

Il controllo remoto dei lavoratori deve rispettare l’articolo 4 dello Statuto dei lavoratori

[L’articolo Software di controllo degli smart worker all’esame di privacy si riferisce, pur senza nominarlo allo strumento software che, di fatto, consente di monitorare i dipendenti in smart working, messo a punto da Microsoft (vedi articolo “Microsoft presenta un nuovo strumento che controlla a distanza i lavoratori: è bufera sulla privacy” di cui alla nostra rassegna stampa online sulla protezione dei dati personali – Novembre 2020). Pertanto, senza stare qua a ripetere caratteristiche e osservazioni, anche critiche, relative a tale applicazione, si riportano, invece, i riferimenti alla normativa in vigore che riguarda il controllo a distanza dei lavoratori. Ndr]

Con la riforma dell’articolo 4 dello Statuto dei Lavoratori (i precedenti contenuti erano del 1970), sussiste [testo integrale di Federprivacy, tratto da Il Sole 24 Ore del 21 dicembre 2020:] <<la possibilità, previo accordo sindacale o autorizzazione dell’Ispettorato del Lavoro, di installare impianti audiovisivi e altri strumenti di controllo remoto indiretto dell’attività dei lavoratori per esigenze organizzative, di sicurezza del lavoro e di tutela del patrimonio aziendale. È inoltre esclusa la necessità del preventivo accordo sindacale o dell’autorizzazione per gli strumenti in dotazione al lavoratore per svolgere la propria attività che pure permetterebbero un controllo a distanza (ad esempio pc, cellulari, tablet, Gps collegati alla rete aziendale) e per i badge.>>

Le informazioni raccolte con questi strumenti possono essere utilizzate dai datori di lavoro per controllare i livelli di produttività durante le attività in smart working, attualmente accresciute dalle misure anti-contagio, ed anche, eventualmente,ai fini disciplinari, purché sia data preventiva ed esauriente informazione in merito (esecuzione dei controlli e loro modalità).

Dato il forte impatto sulla riservatezza e persino sulla dignità del lavoratore, deve essere rivolta una particolare attenzione al rispetto di tutti i requisiti del GDPR [a partire dalla responsabilizzazione e dal bilanciamento delle finalità rispetto ai diritti e le libertà dell’individuo, ndr].

Un altro articolo (Smart working: il ritorno dei controlli difensivi e l’informativa al dipendente) riprende l’argomento, ripetendo in linea generale le stesse informazioni e considerazioni. In particolare, però, riferisce su due sentenze in merito a reati per cui l’impianto probatorio deriva da accesso all’account aziendale del lavoratore: nel caso della sentenza della Corte di cassazione la prova è accettata con riferimento all’accordo sindacale in essere per il controllo remoto, mentre nel caso di quella della Corte di appello di Milano non si entra nel merito di tale necessità. In tutti i casi, risulta indispensabile l’informativa al lavoratore sulla potenziale conservazione dei dati e sulla loro duplicazione, nel rispetto dei principi generali in materia di protezione dei dati personali.

 

Il Gdpr non è un ostacolo ma una spinta verso la digitalizzazione

Come riferisce l’articolo Il Gdpr rappresenta una ulteriore opportunità per la digitalizzazione dei trattamenti, Il Considerando 7 di cui all’Art. 1 del GDPR, relativo ad oggetto e finalità del Regolamento, evidenzia la necessità di un solido quadro normativo e di misure attuative efficaci per la protezione dei dati, in riferimento all sviluppo dell’economia digitale nel mercato economico europeo. In diversi punti del GDPR l’attenzione è posta in modo specifico sui dati digitali, ad esempio nell’Art. 32, relativo alle misure tecniche e organizzative per garantire un livello di sicurezza del trattamento adeguato al rischio.

I requisiti posti dal GDPR possono essere visti come un ostacolo alla digitalizzazione, quanto mai invece necessaria per poter competere con le economie americana e cinese. Tuttavia, è proprio lo stesso GDPR a costituire una spinta verso la realizzazione della digitalizzazione. L’articolo riporta due esempi.

A fronte della conservazione dei dati, intesa come limitazione temporale alla possibilità di mantenerli con obbligo di eliminazione degli stessi alla scadenza del periodo prefissato, nel caso di archivi cartacei non strutturati può essere veramente improbo riuscire a rintracciare i dati da cancellare, separandoli da quelli non interessati alla eliminazione, e costoso procedere alla distruzione dei supporti. Potrebbe, inoltre, risultare arduo verificare le scadenze della conservazione per i singoli dati e trattamenti. Viceversa è senz’altro più agevole e proficuo l’utilizzo di processi di data discovery nell’ambito di una conservazione digitale.

L’aspetto della equivalenza probatoria fra documentazione cartacea e documentazione digitale può essere gestito e risolto. Intanto, per quanto riguarda le copie cartacee di documenti originali, questo possono essere pienamente sostituita da documenti digitali scansionati. Anche in merito ai documenti originali, spesso la copia fotografica è ritenuta elemento valido di giudizio, secondo l’orientamento giurisprudenziale. Nei limitati casi in cui sia necessaria una copia autentica, si può ricorrere alla certificazione del processo di digitalizzazione. La firma autografa sui documenti cartacei può essere sostituita dalla firma digitale.

Anche le attività informatiche dei dipendenti possono essere rese sicure mediante accessi alla postazione di lavoro [o allo spazio su cloud, ndr], tramite processi di autenticazione, più o meno forti a seconda delle necessità.

 

Una sintesi per l’impiego dei cookie

In attesa dell’approvazione definitiva delle nuove Linee guida attualmente sottoposte a consultazione pubblica (vedasi articolo Cookie, il Garante Privacy avvia una consultazione pubblica sulle regole per il loro uso, del 10 dicembre scorso), l’articolo Ecco come privacy by design e privacy by default tracciano la cookie law attuale costituisce comunque un comodo promemoria su come i siti web possano e debbano essere in regola con i cookie.

Il principio base, in mancanza di specifiche disposizioni da parte del GDPR, scaturisce però dal principio della privacy by design e by default dello stesso GDPR.

Si distinguono innanzitutto due categorie principali di cookie ed eventuali altri strumenti di tracciamento:

 – cookie tecnici, quali stringhe di testo necessarie per “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (Art. 122 del D.Lgs. 30 giugno 2003, n. 196), finalizzati a migliorare la cosiddetta esperienza di navigazione per l’utente;

 – cookie commerciali, utilizzati per acquisire feedback e indirizzare la pubblicità mirata sulla base dei comportamenti dei soggetti identificati o identificabili (cookie di profilazione).

In base alle GuideLines 4/2019 (versione definitiva del 20/10/2020), è assegnata al Titolare del trattamento dei dati personali la responsabilità sulla definizione delle finalità del trattamento e della delimitazione dei suoi confini, sin dalla progettazione. Questi concetti si applicano anche ai cookie, per cui, per impostazione predefinita, si dovranno trattare solo i dati necessari alle finalità e si dovranno conservare solo per il periodo necessario. Le finalità devono tener conto del bilanciamento tra gli interessi del Titolare e i diritti e le libertà degli interessati [Art. 6 del GDPR, ndr].

In relazione ai dati e ai cookie per i quali sono necessari i consensi dell’interessato, al primo accesso a un sito potranno essere utilizzati esclusivamente i cookie tecnici, essendo quelli commerciali subordinati alle autorizzazione dell’utente. Questi ultimi cookie, per default, non dovranno risultare smarcati e l’uscita dal banner (per click su pulsante o sull’icona della “X” di chiusura) dovrà consentire la navigazione in assenza dei cookie non opzionati. L’eventuale possibilità di scelta del tracciamento e della profilazione per finalità commerciali deve poter avvenire solo tramite un’azione diretta degli interessati, i quali dovranno disporre di un’informativa sintetica, dei link all’informativa privacy e all’informativa completa sui cookie, della possibilità di selezionare i cookie suddivisi per categorie (ai fini di autorizzazioni granulari), di selezionare le terze parti e le funzionalità eventualmente attive nel sito

Un’altra categoria di cookie, eventualmente compresa in una delle due precedenti a seconda dei casi, è costituita dai

 – cookie analitici, stringhe di testo utilizzate per effettuare statistiche sul numero degli utenti e su come navigano nel sito, al fine di fornire al gestore informazioni generali sul servizio e sul suo utilizzo.

I requisiti per cui i cookie analitici possono essere considerati limitati alla categoria di quelli tecnici sono che i rischi vengano minimizzati riducendo l’identificazione degli utenti, finanche alla anonimizzazione appena l’identificazione non è più indispensabile, specialmente se i cookie sono utilizzati da terze parti. Inoltre è necessario che i cookie siano utilizzati all’interno di un unico sito o applicazione web, senza essere combinati con altre elaborazioni, e che non siano ceduti a terzi.

 

Data breach: cosa fare in merito alle comunicazioni che devono essere inviate

Secondo l’Art. 33 del GDPR, “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e,ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.”

L’articolo Data Breach: il Garante della Privacy lancia un nuovo servizio online per semplificare gli adempimenti informa che il Garante per la Protezione dei Dati Personali, già con il Provvedimento del 30/07/2019 ha indicato quali informazioni debba contenere la notifica, ha reso disponibile la pagina web Violazioni di dati personali ed ha predisposto un modello che è possibile utilizzare. Adesso ha attivato anche un servizio online costituito da un modulo interattivo di Autovalutazione per individuare le azioni da intraprendere a seguito di una violazione dei dati personali, per supportare i Titolari del trattamento negli adempimenti di notifica (all’Autorità Garante ed eventualmente agli interessati) previsti in caso di data breach.

[Ndr: uno sguardo al modulo ci ricorda come la violazione non sia costituita solo da una perdita di riservatezza, per accesso non autorizzato ai dati personali, ma anche da una loro perdita di integrità o di disponibilità; tuttavia solo qualificandosi come Titolare del trattamento si accede alla parte che prende in considerazione la probabilità o meno che la violazione comporti rischi per i diritti e le libertà degli interessati. In ogni caso, tutte le violazioni dei dati personali che si verificano devono essere documentate.]

 

ing. Michele Lopardo

Responsabile Qualità @ Wondersys