CONTO ALLA ROVESCIA PER IL NUOVO REGOLAMENTO PRIVACY EUROPEO: COME PREPARARSI by Giampietro Malusa

La piena applicazione del Regolamento Europeo sulla protezione dei dati personali è ormai imminente: i 7 mesi che mancano, soprattutto nelle realtà di media o grande dimensione, all’appuntamento del 25 maggio 2018, potrebbero essere ormai appena sufficienti per adeguare l’impostazione privacy aziendale.

Quali sono le basi dalle quali partire, i primi passi da compiere?

Ecco alcuni suggerimenti e principi dei quali è opportuno tener conto, basati in parte sui più recenti interventi del Garante e in parte sull’esperienza maturata nelle società più strutturate che già da diversi mesi lavorano sul tema:

1)     individuare chiaramente un responsabile di progetto e un team di collaboratori con competenze diverse. La privacy NON è questione di (soli) legali. Le novità del GDPR impatteranno su diverse aree aziendali, ed in particolare IT, marketing, risorse umane;

2)     la protezione dei dati NON si riassume in una serie di adempimenti burocratici, ma deve investire l’organizzazione aziendale: concetti quali la valutazione d’impatto privacy, la privacy by design e by default, la sicurezza dei dati personali devono essere applicati prima in concreto, e solo successivamente nella documentazione richiesta dal Regolamento;

3)     procedere ad una mappatura completa dei vari trattamenti di dati personali presenti in azienda: ciò costituirà l’ossatura del registro dei trattamenti, vera e propria spina dorsale dell’impostazione di data protection per qualsiasi titolare del trattamento;

4)     come, da chi e perché vengono raccolti e trattati dati personali? Analizzare compiutamente i flussi dei dati, e individuare puntualmente i soggetti, interni ed esterni al titolare, che hanno un qualsiasi ruolo nel trattamento: direzioni e aree aziendali, incaricati, responsabili interni ed esterni;

5)     i dati personali sono come i prodotti alimentari, hanno una “data di scadenza”. Una volta cessata l’esigenza concreta per la quale sono stati raccolti e trattati, e salvo che le norme non prevedano tempi di conservazione più brevi, non possono più essere né utilizzati né conservati. Occorre quindi elaborare una chiara policy di data retention per ciascun trattamento;

6)     predisporre le varie procedure e i regolamenti interni necessari: dalla rilevazione e notificazione al Garante dei data breach (violazione dei dati), al backup e restore, alle misure di sicurezza e ai controlli, alle regole sull’utilizzo delle risorse e degli strumenti informatici aziendali da parte dei dipendenti, agli accessi e all’utilizzo dei dati personali, al riscontro agli interessati;

7)     pianificare per tempo la revisione e il controllo delle informative agli interessati in uso, delle formule di consenso che vengono attualmente utilizzate, delle lettere di incarico ai soggetti che materialmente trattano i dati personali, e soprattutto delle nomine a responsabile del trattamento, in particolare dei soggetti esterni (solitamente fornitori di servizi vari) e dei contratti con essi stipulati.

COMUNICAZIONI DEI DIPENDENTI IN AMBITO LAVORATIVO: NO A CONTROLLI NON PREANNUNCIATI E INVASIVI by Giampietro Malusa

In un’altra notizia di questo blog si è affrontato il tema del trattamento dei dati in ambito lavorativo e della difficile ricerca di un equo contemperamento tra gli interessi legittimi del datore di lavoro e la privacy dei propri dipendenti.

Proprio recentemente la Grande Camera della Corte Europea dei Diritti dell’Uomo (di seguito “CEDU”) si è pronunciata su un caso che riguarda le comunicazioni dei dipendenti nei luoghi di lavoro e i controlli dei datori di lavoro. La sentenza è interessante perché i giudici hanno dato ragione a un dipendente in un caso in cui il datore di lavoro si era spinto un po’ troppo oltre nel controllo dei propri dipendenti, ritenendo di essere a ciò legittimato per aver espressamente vietato di usare risorse aziendali a fini personali.

In particolare, il dipendente era stato licenziato perché il proprio datore di lavoro, a seguito di controlli, gli aveva contestato l’utilizzo del proprio account Yahoo Messenger aziendale per comunicazioni personali. Nello specifico, si trattava di comunicazioni con il fratello e la fidanzata del dipendente e i controlli si erano estesi fino ad accedere all’intero contenuto dei messaggi in questione, che in alcuni casi avevano addirittura natura intima.

Per meglio chiarire i fatti oggetto del contenzioso, va specificato che il dipendente, un ingegnere rumeno addetto alle vendite impiegato in una società rumena, su richiesta del proprio datore di lavoro, aveva creato un apposito account Yahoo Messenger per rispondere alle domande dei clienti (pur avendo anche un account Yahoo Messenger personale). I regolamenti interni della società vietavano severamente l’uso di PC, strumenti di comunicazioni e altre risorse aziendali per fini personali. Tuttavia, i suddetti regolamenti non facevano alcun riferimento alla possibilità che il datore di lavoro effettuasse controlli sulle comunicazioni dei dipendenti. Peraltro, la società aveva fatto circolare una nota fra i lavoratori in cui li avvertiva che eventuali violazioni dei regolamenti interni sarebbero stati monitorati e puniti. Tuttavia, non era chiaro se la firma per presa visione della nota da parte del dipendente fosse stata apposta prima o dopo l’inizio del monitoraggio delle sue comunicazioni.

Ebbene, il dipendente aveva lamentato una lesione dei suoi diritti quali sanciti dall’art. 8 della Convenzione Europea per la salvaguardia dei Diritti dell’Uomo e delle Libertà fondamentali, perché il licenziamento si era basato su una violazione del suo diritto al rispetto della vita privata e della corrispondenza.

Infatti, il primo comma dell’art. 8 della Convenzione Europea per la salvaguardia dei Diritti dell’Uomo e delle Libertà fondamentali così recita: “Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza”.

L’ingegnere rumeno, dopo essersi visto dar torto sia dai giudici nazionali, sia dalla IV Sezione della CEDU, aveva chiesto che la questione fosse rimessa alla Grande Camera della CEDU e quest’ultima gli ha dato ragione.

Infatti, essa ha ritenuto che anche le comunicazioni che avvengono nei luoghi di lavoro – pur se effettuate tramite il computer aziendale – rientrano nei concetti di “vita privata” e “corrispondenza” che godono della tutela dell’art. 8 della Convenzione sopra citata.

Nel caso in questione, i giudici hanno rilevato in particolare che non risultava chiaro se il dipendente fosse stato avvertito del possibile monitoraggio delle comunicazioni prima che questo cominciasse, né tantomeno che fosse stato informato della natura e dell’estensione dell’attività di monitoraggio e del fatto che il datore di lavoro avrebbe potuto spingersi fino a prendere conoscenza del contenuto delle comunicazioni.

Fonte: Corte Europea dei Diritti dell’Uomo - http://hudoc.echr.coe.int/eng?i=001-177082

CRITTOGRAFIA OBBLIGATORIA PER TUTTE LE COMUNICAZIONI ELETTRONICHE? DATI PSEUDONIMI E DATI ANONIMI by Giampietro Malusa

Una proposta del Parlamento Europeo dello scorso giugno prevede che i fornitori di servizi di comunicazione elettronica debbano garantire sufficiente protezione contro accessi non autorizzati o alterazioni dei dati contenuti nelle comunicazioni elettroniche e che la riservatezza e la sicurezza della trasmissione sia garantita anche dalla natura dei mezzi di trasmissione usati o da una crittografia end-to-end allo stato dell’arte. Inoltre, la proposta prevedrebbe che, in caso di cifratura, siano vietate decrittazione, reverse engineering o monitoraggio delle comunicazioni.

Da notare che la proposta invita a considerare i dati delle comunicazioni elettroniche in modo ampio, così da ricomprendervi qualsiasi informazione relativa al contenuto trasmesso o scambiato, includendo, ad esempio, metadati quali i dati per tracciare e identificare l’origine e la destinazione della comunicazione, il luogo, la data, l’ora, la durata e il tipo della comunicazione.

Come infatti sottolineato dal LIBE (Commissione Libertà civili, Giustizia e Affari Interni del Parlamento Europeo, soggetto proponente), i metadati possono anche rivelare informazioni molto sensibili e personali; metadati quali i numeri chiamati, i siti visitati, il luogo, l’ora, la data e la durata di una telefonata etc. consentono di tracciare precise conclusioni riguardo alla vita privata delle persone coinvolte nella comunicazione elettronica, quali le loro relazioni sociali, le loro abitudini e le attività quotidiane, i loro interessi, gusti etc.

Se quello sopra delineato è uno scenario possibile dell’evoluzione della privacy, non sempre è chiara a tutti, anche ai fini dell’applicazione imminente del nuovo Regolamento Europeo sulla protezione dei dati personali (GDPR), la differenza tra pseudonimizzazione dei dati personali (ad es. mediante crittografia o cifratura) e loro anonimizzazione.

La pseudonimizzazione (che si può ottenere con varie tecniche, tra le quali quelle sopra citate) è il il “trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile” (art. 4 GDPR). In quanto meccanismo reversibile (i dati pseudonimizzati possono, mediante informazioni aggiuntive, essere decifrati, e tornare ad identificare una persona fisica), la pseudonimizzazione è una misura di sicurezza, la cui adozione è suggerita e caldeggiata apertamente dal legislatore europeo tutte le volte che ciò sia ragionevolmente possibile. Ma i dati personali pseudonimizzati continuano a essere dati personali, soggetti a tutte le regole poste dal GDPR.

L’anonimizzazione, anch’essa ottenibile mediante diverse tecniche, più o meno sicure, è invece un meccanismo irreversibile, per il quale si ottengono informazioni che non possono più tornare a identificare una persona fisica, e i dati anonimi che ne risultano non sono più dati personali, e quindi non sono più soggetti alla disciplina posta dal GDPR.

Fonte: Parlamento Europeo        http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2F%2FEP%2F%2FNONSGML%2BCOMPARL%2BPE-606.011%2B01%2BDOC%2BPDF%2BV0%2F%2FEN

TRATTAMENTO DEI DATI PERSONALI DEI DIPENDENTI: NON SEMPRE E' LEGITTIMATO DAL CONSENSO by Giampietro Malusa

Le nuove tecnologie offrono utili strumenti a chi le utilizza, anche in ambito lavorativo (si pensi alla rete Internet, alla posta elettronica, ai sistemi di geolocalizzazione, al telelavoro, tanto per fare alcuni esempi), ma consentono un trattamento ancora più sistematico dei dati dei dipendenti e di conseguenza rappresentano anche un rischio per la loro privacy. Ne nasce il difficile compito di ricercare un giusto equilibrio fra i legittimi interessi del datore di lavoro di proteggere la propria attività e la ragionevole aspettativa di tutela della propria privacy dei lavoratori.

I Garanti Europei (“Gruppo di lavoro ex art. 29” o “WP29”) avevano già emanato un parere su questo tema nel 2001 e un successivo documento nel 2002 dedicato specificatamente al controllo sulle comunicazioni elettroniche sui luoghi di lavoro.

Considerato che le nuove tecnologie hanno compiuto passi da giganti negli ultimi anni e anche che nel frattempo il panorama normativo si è arricchito col l’approvazione del nuovo Regolamento privacy (che entrerà pienamente in vigore il 25 maggio 2018), il WP29 ha ritenuto opportuno emanare un nuovo parere sul trattamento dei dati in ambito lavorativo (opinione 2/2017 dello scorso 8 giugno, WP249). Il Gruppo ha infatti evidenziato la necessità di valutare un nuovo punto di equilibrio tra le predette istanze contrapposte, rivedendo la propria precedente opinione e le relative conclusioni.

In estrema sintesi ciò che emerge dal nuovo parere è che:

  • "i datori di lavoro dovrebbero sempre tener presente i principi fondamentali in materia di protezione dei dati, a prescindere dalla tecnologia usata;
  • i contenuti delle comunicazioni elettroniche fatte dalla sede aziendale godono della stessa protezione, quali diritti fondamentali, di analoghe comunicazioni;
  • è altamente improbabile che il consenso possa costituire una base giuridica per il trattamento dei dati in ambito lavorativo, a meno che i dipendenti possano rifiutarlo senza conseguenze pregiudizievoli;
  • l’esecuzione di un contratto e i legittimi interessi possono essere talvolta invocati, a condizione che il trattamento sia strettamente necessario per un legittimo scopo e sia conforme ai principi di proporzionalità e sussidiarietà;
  • i dipendenti dovrebbero ricevere informazioni adeguate sul monitoraggio che ha luogo; e
  • qualsiasi trasferimento internazionale di dati dei dipendenti dovrebbe aver luogo solo laddove sia assicurato un adeguato livello di protezione.”

E’ quindi chiaro che il datore di lavoro dovrà considerare tutti questi elementi nel trattamento dei dati dei propri dipendenti, rivedere alla loro luce le informative fornite e i consensi richiesti e, eventualmente, valutare l’inserimento di apposite previsioni al riguardo nei propri regolamenti interni aziendali.

Fonte: Article 29 Working Party - http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

 

IL GDPR “RITOCCA” L’INFORMATIVA PRIVACY: LE INFORMAZIONI DA FORNIRE ALL’INTERESSATO by Giampietro Malusa

Il nuovo Regolamento Europeo “ritocca” anche l’informativa privacy. Il GDPR ha infatti in parte modificato il novero delle informazioni da fornire all’interessato, mantenendo invece la distinzione – già presente anche nel Codice – fra l’ipotesi di raccolta dei dati presso l’interessato (art. 13 del Reg.) e l’ipotesi in cui i dati sono ottenuti da terzi (art. 14 del Reg.).

Ovviamente, dato che molti dei principi-base in materia sono i medesimi, le informazioni dovute in base al GDPR sono in larga parte le stesse richieste dal Codice. Ci si limita qui a un esame molto sintetico delle principali differenze, in relazione al contenuto delle informazioni da fornire.

Da segnalare innanzitutto che la nuova informativa non ha solo aumentato il numero di informazioni in questione. Al contrario, alcune informazioni non devono più essere fornite: per esempio, non sarà più necessario indicare il responsabile per il riscontro all'interessato in caso di esercizio dei suoi diritti, qualora tale responsabile sia stato designato.

Tuttavia, pare più opportuno evidenziare quelle che appaiono le modifiche più rilevanti in termini di informazioni aggiuntive da fornire all’interessato. Fra queste, in primo luogo, i dati di contatto (si noti bene: non il nome) del responsabile della protezione dei dati, se nominato. Oltre alle finalità del trattamento, bisognerà indicare la base giuridica dello stesso.

Se il trattamento è necessario per il perseguimento di un interesse legittimo del titolare o di un terzo, dovrà essere indicato tale legittimo interesse. Come già nel vigore del Codice, detto interesse legittimo dovrà ovviamente essere prevalente rispetto agli interessi o ai diritti e alle libertà fondamentali dell’interessato. A questo proposito, tuttavia, il Garante ha sottolineato che il bilanciamento tra il legittimo interesse degli uni e i diritti e le libertà dell'altro spetta al titolare (non all’Autorità di controllo) e questo compito rappresenta una delle principali estrinsecazioni del principio di “responsabilizzazione” che pervade l’intera nuova disciplina privacy.

Si dovrà specificare se si intende trasferire i dati verso un Paese terzo o a un’organizzazione internazionale (oltre a una serie di informazioni aggiuntive in merito).

Un’altra importante novità è la necessità di indicare il periodo di conservazione dei dati o, in alternativa, i criteri adottati per stabilire il periodo in questione. Si dovranno inoltre comunicare il diritto alla portabilità dei dati, il diritto di revocare il consenso in qualsiasi momento, il diritto di proporre un reclamo all’Autorità di controllo, nonché l'eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione e, in tale ipotesi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Si dovrà specificare inoltre se la fornitura di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata fornitura di tali dati.

Nel caso di cui all’art. 14 del Reg. (dati non ottenuti presso l’interessato), si dovrà comunicare la fonte dei dati e, eventualmente, se si tratta di fonte accessibile al pubblico. Inoltre, in tale ipotesi il termine per fornire l’informativa all’interessato deve essere un termine ragionevole e, comunque, non superiore a un mese decorrente dalla raccolta. Se i dati sono destinati alla comunicazione con l’interessato o alla comunicazione a terzi, l’informativa deve essere resa al momento della comunicazione e non più, come invece prevede il Codice, della registrazione dei dati.

Fonte:  Regolamento Europeo Privacy (GDPR)

NUOVO REGOLAMENTO EUROPEO E OBBLIGHI DI FORMAZIONE IN MATERIA DI PRIVACY by Giampietro Malusa

C’è anche la formazione tra gli obblighi posti dal GDPR.

In particolare, ai sensi dell’art. 39, comma 1, lett. b) del nuovo Regolamento Privacy Europeo, fra i compiti del DPO (Data Protection Officer), laddove nominato, vi è quello di “sorvegliare l'osservanza del … regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Ciò significa che gli obblighi di formazione sono comunque posti in capo al titolare e al responsabile del trattamento dei dati, vi sia stata o meno la nomina di un DPO (o di un DPO team).

Laddove nominato, il DPO sorveglierà il rispetto delle indicazioni impartite in materia dai soggetti sopra menzionati, anche se fra i suoi compiti vi è pure quello di “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati”. Quindi uno dei task fondamentali del DPO è di orientare correttamente le politiche del titolare e del responsabile del trattamento.

D’altra parte, il titolare e il responsabile del trattamento devono garantire che anche il DPO curi costantemente la propria formazione. Infatti, se è vero che il DPO è scelto alla luce delle proprie qualità professionali, in quanto deve possedere una “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati” (cfr. art. 37, comma 5 del Reg.), è anche vero che il titolare e il responsabile del trattamento devono fare in modo che il DPO mantenga la propria conoscenza specialistica per espressa previsione del GDPR (cfr. art. 38, comma 2 del Reg.), permettendogli di coltivare questa competenza, attraverso la partecipazione ad attività formative. A questo proposito, le guidelines sul DPO (riviste e) adottate a inizio aprile 2017 dal Gruppo di lavoro ex art. 29 indicano addirittura come scopo quello di aumentare costantemente il livello di preparazione del DPO (“The aim should be to constantly increase the level of expertise of DPOs and they should be encouraged to participate in training courses on data protection and other forms of professional development, such as participation in privacy fora, workshops, etc.”).

E’ infine da considerare che personale addetto al trattamento di dati personali (o, a maggior ragione, il Data Protection Officer) che non sia adeguatamente formato e aggiornato mette a rischio la correttezza del trattamento stesso e la sicurezza dei dati trattati.

Diventa quindi non solo opportuno ma indispensabile (anche per evitare le pesanti sanzioni previste dal GDPR) programmare una formazione periodica dei vari soggetti che partecipano al trattamento dei dati e alle connesse attività di controllo e, in ogni caso, con cadenza almeno annuale. Ovviamente, se nuovi soggetti iniziano a collaborare in queste attività, essi dovranno, indipendentemente dal loro inquadramento, essere formati in materia di privacy, prima di iniziare la collaborazione stessa.

Fonte:  Regolamento Europeo Privacy (GDPR)

I CONSENSI AL TRATTAMENTO GIA’ FORNITI SONO IN LINEA CON QUANTO RICHIESTO DAL GDPR? by Giampietro Malusa

Se con il nuovo Regolamento Privacy Europeo – che avrà piena applicazione entro il 25 maggio 2018 – molti dei principi-base in materia di protezione dei dati personali restano i medesimi, ci sono tuttavia anche significative novità che impongono alle imprese di adeguarsi.

Per quanto riguarda le informative privacy e le richieste di consenso, il GDPR esplicita alcuni requisiti volti a garantire che il consenso sia effettivamente un libero e informato. A ben vedere, però, non si tratta, o non si tratta sempre, di vere e proprie novità, in quanto la prassi applicativa in materia di privacy, anche a seguito di successivi interventi del Garante, era già orientata nello stesso senso.

In particolare, anche per la vigente disciplina (Codice Privacy) il consenso deve essere espresso, inequivocabile e specifico, ossia riferito alla/e specifica/che finalità del trattamento in questione. E quindi, per quanto riguarda l’inequivocabilità, per esempio, il silenzio o l’inattività dell’interessato non possono essere interpretati come consenso e nei modelli non si può preflaggare la casella relativa alla prestazione del consenso.

Il titolare deve inoltre essere in grado di dimostrare di aver ottenuto il consenso. A tal fine, il GDPR specifica, all’art. 7, comma 2, che “se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante”.

Quanto alla revoca del consenso, possibile in qualsiasi momento, essa non solo deve poter essere manifestata con la stessa facilità con cui il consenso è stato espresso, ma l’interessato deve anche esser stato informato di tale facoltà prima di manifestare il proprio consenso.

Ciò, tuttavia, non stravolge, come sopra accennato, la prassi applicativa in materia.

Forse l’unica vera novità è la norma del GDPR relativa al consenso espresso da minori (lecito ove manifestato da soggetto che abbia compiuto almeno 16 anni) o per conto degli stessi, mentre il Codice in sostanza si occupa solo di alcune ipotesi di dati concernenti i minori. A questo proposito, l’art. 8, comma 2 del GDPR prevede infatti che “Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili”. Pare quindi necessario pensare all’adozione di uno strumento che permetta la verifica in questione.

A parte questo ultimo aspetto, in generale, si tratterà quindi di verificare se, a livello pratico, le informative privacy e le richieste di consenso già predisposte siano in linea con questi requisiti di “chiarezza e trasparenza” e, in caso contrario, provvedere alla loro revisione e a raccogliere nuovamente il consenso degli interessati per proseguire il trattamento dei dati che li riguardano (“considerando” 171 del GDPR).

Va infatti tenuto presente che la violazione delle norme in questione è sanzionata severamente: a seconda dei casi, con sanzioni fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente oppure fino a 20 milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente (articolo 83 del GDPR).

Fonte:  Italia Oggi 25 febbraio 2017; Federprivacy

VIDEOSORVEGLIANZA SUL LAVORO: AGGIORNATI I MODELLI PER LE ISTANZE DI AUTORIZZAZIONE by Giampietro Malusa

L’art. 4, comma 1 della legge 300/1970 (c.d. “Statuto dei lavoratori”) stabilisce che “Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In alternativa, nel caso di imprese con unità produttive ubicate in diverse province della stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle associazioni sindacali comparativamente più rappresentative sul piano nazionale. In mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell'Ispettorato nazionale del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli ambiti di competenza di più sedi territoriali, della sede centrale dell'Ispettorato nazionale del lavoro”.

Recentemente l’Ispettorato del lavoro ha aggiornato e pubblicato i modelli (tre distinti modelli) per le istanze di autorizzazione all’installazione degli impianti audiovisivi o degli altri strumenti di controllo sopra menzionati. Si tratta in particolare dei seguenti modelli:

1.     modulo istanza di autorizzazione all’installazione di impianti audiovisivi;

2.     modulo istanza di autorizzazione all’installazione e utilizzo di impianti e apparecchiature di localizzazione satellitare;

3.     modulo istanza di autorizzazione all’installazione di altri strumenti di controllo.

Si segnalano tuttavia delle incongruenze nei moduli in questione. In particolare, in primo luogo, non si capisce perché il primo di essi (per impianti audiovisivi) richieda che l’istante dichiari che l’accesso alle registrazioni potrà avvenire con una doppia chiave” fisica o logica, detenute una dal rappresentante legale dell’istante (o da un suo delegato) e l’altra da un rappresentante dei lavoratori, da questi ultimi espressamente designato. Requisito, questo, di cui non vi è traccia nel provvedimento generale del Garante dell’8 aprile 2010 in tema di videosorveglianza.

Né, per analoghe ragioni, si comprende perché nello stesso primo modulo e in quello relativo agli altri strumenti di controllo si richieda all’istante di dichiarare che le immagini/informazioni raccolte non saranno in alcun modo diffuse all’esterno, tranne che per la citata necessità di tempestiva consegna all’Autorità giudiziaria competente qualora si verifichi una fattispecie delittuosa”.

A parte il fatto che si sarebbe dovuto semmai far riferimento alla “comunicazione dei dati” a terzi (e non alla loro “diffusione”, sicuramente illecita), le dichiarazioni che in tal modo si intendono far rendere non sembrano coerenti con quanto disposto, a seguito delle modifiche del settembre 2016, dal comma 3 dell’articolo 4 dello Statuto dei lavoratori. Questa norma stabilisce infatti che “le informazioni raccolte… sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196”. Senza quindi stabilire ulteriori condizioni, quali quella della doppia chiave, oppure limitare l’utilizzo dei dati alla sola ipotesi di necessità di consegna all’Autorità giudiziaria perché si è realizzata una fattispecie delittuosa.

Fonti:   http://www.ispettorato.gov.it; Federprivacy.

TEMPI DI CONSERVAZIONE DEI DATI PER FINALITA’ DI PROFILAZIONE E DI MARKETING: POSSIBILITA’ DI ALLUNGAMENTO by Giampietro Malusa

Il Codice stabilisce il principio per cui i dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali sono stati trattati devono essere cancellati o trasformati in forma anonima (art. 11, comma 1, lett. e).

Nel provvedimento generale del 24 febbraio 2015, il Garante ha ulteriormente stabilito che “in ogni caso, i dati relativi al dettaglio degli acquisti con riferimento a clienti individuabili possono essere conservati per finalità di profilazione o di marketing per un periodo non superiore, rispettivamente, a dodici e a ventiquattro mesi dalla loro registrazione, salva la reale trasformazione in forma anonima che non permetta, anche indirettamente o collegando altre banche di dati, di identificare gli interessati. Eventuali intenzioni di trattare i dati oltre tali termini potranno essere attuate solo previa valutazione di questa Autorità ai sensi dell'art. 17 del Codice.”.

Come già altre note griffe hanno fatto in passato, nel luglio 2016 Furla S.p.A. ha depositato una richiesta di verifica preliminare ai sensi del sopra citato art. 17 Codice, chiedendo di poter essere autorizzata a conservare dati personali dei propri clienti per finalità di profilazione e di marketing per periodi di tempo superiori ai 12/24 mesi previsti (in particolare, l’istanza chiedeva l’autorizzazione a poter conservare i dati per un periodo di dieci anni o, almeno, di sette anni).

La motivazione avanzata da Furla nella propria istanza, e accolta dal Garante, consisteva nel fatto che per alcune tipologie di beni (in particolare i beni di lusso) la frequenza media di acquisto da parte della clientela è più bassa rispetto a quella di altre categorie di prodotti, ed è pari, ad esempio, a uno o al massimo due articoli pro capite all’anno.

Di conseguenza, i suddetti tempi di conservazione di 12/24 mesi possono “significativamente ridurre l’utilità dell’attività di profilazione e della successiva attività di marketing”.

In passato, in casi analoghi, periodi di conservazione più lunghi sono stati peraltro ritenuti “proporzionati” per tali finalità

Alla luce di ciò, il Garante ha stabilito che i dati utilizzati per le attività di profilazione e di marketing potranno essere conservati da Furla per un periodo massimo di 7 anni.

Il Garante ha anche stabilito che alla scadenza del suddetto periodo i dati dovranno essere cancellati automaticamente ovvero trasformati in forma anonima in modo permanente e non reversibile e ha prescritto di adeguare l’informativa da rendere agli interessati in modo appropriato.

Naturalmente, il Garante ha anche ribadito la necessità di rispettare le misure minime di sicurezza previste all’Allegato B del Codice.

 

Fonte:  Garante Privacy   (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/5890648)

COOKIES, COMUNICAZIONI ELETTRONICHE INDESIDERATE, METADATI: NOVITA’ IN VISTA by Giampietro Malusa

Il 10 gennaio scorso la Commissione Europea ha presentato una proposta di Regolamento in tema di protezione dei dati personali nelle comunicazioni elettroniche.

Il provvedimento andrebbe a integrare il recente nuovo Regolamento Privacy Europeo e a riformare la cosiddetta “Direttiva ePrivacy”.

Scopo dichiarato del Regolamento, come evidenziato da Andrus Ansip, Vicepresidente responsabile per il Mercato Unico Digitale, è di garantire il giusto bilanciamento fra un alto livello di protezione dei consumatori, in termini di riservatezza delle comunicazioni elettroniche, e la possibilità di innovare per le imprese fornitrici dei servizi in questione.

La vigente “Direttiva ePrivacy”, si applica oggi solo agli operatori “tradizionali” di telecomunicazioni, e anche per questo necessita di una revisione e un ammodernamento. Così il nuovo Regolamento si applicherà anche a fornitori di nuovi servizi di comunicazioni elettroniche (fra gli altri: WhatsApp, Skype, Gmail, Facebook Messenger, Viber).

Il Regolamento si applicherà poi sia ai contenuti sia ai metadati delle comunicazioni elettroniche (ad esempio, ora e luogo di una chiamata), che dovrebbero essere anonimizzati o cancellati se l’utente non ha fornito il proprio consenso, salvo che i dati non siano necessari per finalità ulteriori (ad esempio, per rilevare o bloccare un uso fraudolento o abusivo dei servizi di comunicazioni elettroniche, oppure ai fini della fatturazione e più in genere dell’adempimento di altre norme).

Uno dei punti interessati dalla riforma riguarda i cookies. Sempre nelle dichiarate intenzioni della Commissione, infatti, il Regolamento dovrebbe semplificare le regole in materia, in quanto la vigente normativa ha generato “un sovraccarico di richieste di consenso per gli utenti di Internet”.

In sostanza, in base alle nuove regole, gli utenti dovrebbero poter facilmente accettare o rifiutare il monitoraggio dei cookie e di altri identificatori in caso di rischi per la privacy e avere un maggior controllo delle impostazioni. Il consenso non sarebbe più necessario per i cookie non intrusivi, quali quelli che migliorano la navigazione in Internet, permettendo, ad esempio, di memorizzare la cronologia del carrello durante gli acquisti on-line, o le informazioni di accesso per la stessa sessione, o quelli che agevolano la compilazione dei moduli on-line su più pagine, o che contano il numero dei visitatori di un determinato sito Internet.

Il nuovo meccanismo base sui cookies non sarà più basato sull’ormai onnipresente banner, ma sulle impostazioni privacy, da parte dell’utente, del proprio browser di navigazione.

Il Regolamento prevede anche un generale divieto di comunicazioni elettroniche indesiderate, in mancanza di consenso dell’utente e ciò a prescindere dal mezzo usato per le stesse (sms, e-mail e telefono). Gli Stati membri potranno decidere se stabilire la possibilità, per gli utenti, di opporsi alle telefonate a scopo commerciale (ad esempio, istituendo un registro di nominativi che negano il consenso alle chiamate stesse, sul modello del nostro attuale Registro delle opposizioni per le chiamate ai numeri fissi di privati cittadini). Per questo tipo di telefonate dovrà inoltre essere sempre visibile il numero telefonico del soggetto chiamante o essere utilizzato uno speciale prefisso che renda riconoscibile il tipo di chiamata.

 

Fonte: Commissione Europea   http://europa.eu/rapid/press-release_IP-17-16_it.htm

DATA PROTECTION OFFICER: ATTENZIONE AL CONFLITTO DI INTERESSI by Giampietro Malusa

Il nuovo Regolamento Privacy Europeo impone, in taluni casi, la nomina di un Data Protection Officer.

Fra i requisiti da valutare nella scelta, oltre alle qualità personali e alla preparazione in materia del soggetto, sarà necessario verificare l’assenza di conflitti di interesse.

Nei mesi scorsi è apparsa la notizia di una multa emessa dal Garante per la privacy tedesco nei confronti di una società che aveva designato come DPO il proprio manager IT. Sebbene la stessa sia stata inflitta sulla base del Federal Data Protection Act, è da notare che il principio su cui la sanzione poggia è quello espresso in materia dal nuovo Regolamento Privacy Europeo, che sarà applicabile dal 25 maggio 2018.

Ai sensi dell’art. 38, comma 6 del Regolamento Privacy Europeo, infatti, “il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi”.

Fra l’altro, il precedente art. 37, comma 6 prevede che il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.

Il WP29 (Gruppo di lavoro dei Garanti europei), nelle linee guida adottate lo scorso 13 dicembre sul DPO, ha chiarito che il medesimo non può rivestire una posizione all’interno dell’organizzazione tale da consentirgli di stabilire i fini e le modalità di trattamento dei dati personali.

Il Gruppo di lavoro ha sottolineato come si debba procedere a una valutazione caso per caso, dipendendo essa dalle attività, dalla dimensione e dalla struttura dell’organizzazione.

Ad ogni modo, vengono suggeriti, come esempi di “good practice”, i seguenti comportamenti:

-       “identificare le funzioni che sarebbero incompatibili con la funzione di DPO;

-       definire regole interne per evitare conflitti di interesse;

-       includere una più generale spiegazione riguardo ai conflitti di interesse;

-       dichiarare che il proprio DPO non ha alcun conflitto di interesse in relazione alle sue funzioni di DPO, in modo da aumentare la consapevolezza di questo requisito”.

Come opportunamente evidenziato nelle linee guida sopra menzionate, l’assenza di conflitti di interessi è strettamente collegata all’indispensabile requisito di indipendenza del DPO nello svolgimento dei propri compiti.

Proprio in relazione a quest’ultimo requisito, analizzando i doveri del titolare e del responsabile del trattamento in rapporto al DPO, il WP29 ha anche sottolineato che il loro principale dovere è di garantire l’indipendenza di quest’ultimo, ad esempio fornendogli diretto contatto col top management. Ma non solo. Ovviamente, si deve dare supporto al DPO, garantire il suo necessario coinvolgimento in tutte le attività rilevanti in materia di privacy e la sua costante formazione in materia. Del resto, è stato sottolineato, il ruolo del DPO non è quello di un ufficiale di polizia: egli dovrà riferire al top management in modo che questo possa decidere le azioni più appropriate.

 

Fonti:   Commissione Europea   http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf

            Corriere Comunicazioni   http://www.corrierecomunicazioni.it/digital/45003_privacy-data-protection-officer-incompatibile-con-il-manager-it.htm

CASI DI NOMINA DEL DATA PROTECTION OFFICER (DPO) by Giampietro Malusa

Lo scorso 13 dicembre il c.d. WP29 (Article 29 Data Protection Working Party, cioè Gruppo di lavoro ex Articolo 29, un organismo europeo dei Garanti privacy) ha adottato delle best practices e linee guide sulla nomina del “Data protection officer” (DPO) o “responsabile della protezione dei dati”, figura prevista dal nuovo Regolamento Privacy Europeo (artt. 37-39).

In particolare, il Gruppo di lavoro ha cercato di fornire alcune indicazioni per l’interpretazione dei concetti di “attività principali” e “larga scala” di cui all’art. 37, comma 1, lettere b) e c) del Regolamento, utili ai fini dell’individuazione di alcune delle ipotesi in cui è necessaria la nomina del DPO.

Recita infatti il primo comma dell’articolo 37: “Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a.   il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b.   le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c.   le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.” (nota nostra: si tratta in sostanza di dati sensibili e giudiziari).

In base a quanto chiarito dal WP29, il concetto di attività principali” deve essere interpretato come riferito alle operazioni–chiave necessarie per perseguire gli obiettivi del titolare o del responsabile del trattamento. Secondo il Gruppo di lavoro, tutte le organizzazioni svolgono, ad esempio, attività standard IT, ma queste tuttavia di solito sono considerate funzioni accessorie. Al contrario, per un ospedale, o per una società di sicurezza privata che si occupa della sorveglianza di un certo numero di centri commerciali privati e di spazi pubblici, per esempio, anche se le loro attività principali sono, rispettivamente, fornire assistenza sanitaria e la sorveglianza, dette attività sono inscindibilmente legate al trattamento dei dati personali (nel caso dell’ospedale, non si potrebbe fornire un servizio sicuro ed efficace senza il trattamento dei dati relativi alla salute, e gli spazi pubblici o i centri commerciali non potrebbero essere adeguatamente sorvegliati senza il trattamento delle immagini della videosorveglianza). In questi casi è quindi necessaria, secondo il Gruppo di lavoro, la nomina di un DPO.

Inutile dire che queste indicazioni non fugano ogni dubbio. Viene infatti da chiedersi, per esempio, se l’attività di profilazione della clientela operata da tutte le catene della grande distribuzione possa essere considerata una mera funzione accessoria – e quindi non sia necessaria la nomina del DPO – o se, al contrario, in considerazione del fatto che ormai la grande distribuzione moderna non può in realtà fare a meno di conoscere gusti, abitudini e attitudini al consumo dei propri clienti, per essa la profilazione risulti essere un’attività inscindibilmente connessa con l’attività principale, e sia conseguentemente necessaria la nomina del DPO.

Quanto al concetto di “larga scala”, il WP29 ha escluso la possibilità di stabilire, per la sussistenza di questa ipotesi, un numero preciso, sia per quanto riguarda la quantità di dati trattati, sia per quanto riguarda il numero di persone interessate (anche se il Gruppo di Lavoro non esclude che in futuro, per alcuni tipi di attività comuni, possa svilupparsi una pratica standard). Il WP29 si è quindi limitato a indicare dei parametri da tenere presenti: il numero di persone interessate (sia come numero specifico, sia come percentuale della popolazione rilevante); il volume di dati e/o la gamma di differenti elementi di dati trattati; la durata, o la permanenza, dell’attività di elaborazione dei dati; l’estensione geografica dell’attività del trattamento.

Come esempi di trattamenti su larga scala, il Gruppo ha citato:

-       l’elaborazione dei dati in tempo reale di geo-localizzazione di clienti di una catena di fast food internazionale a fini statistici da parte di un responsabile specializzato nella fornitura di questi servizi;

-       il trattamento dei dati personali (profilazione) per la pubblicità di un motore di ricerca;

-       il trattamento dei dati (i contenuti, il traffico, la posizione) da parte dei fornitori di servizi telefonici o Internet;

-       il trattamento dei dati dei clienti nel normale corso di attività da una compagnia di assicurazioni o da una banca.

 

Fonte:  WP29 (http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf)

TRASFERIMENTO DATI PERSONALI VERSO GLI USA: FINALMENTE ADOTTATO IL PRIVACY SHIELD by Giampietro Malusa

Il 12 luglio scorso la Commissione Europea ha adottato il Privacy Shield (di seguito “PS”), colmando così una lacuna che impediva il legittimo trasferimento verso gli Stati Uniti di dati relativi a soggetti europei in mancanza del previo consenso dell’interessato. Al contrario, a seguito dell’adozione del PS, detto trasferimento è possibile e legittimo anche senza il consenso dell’interessato. In pratica, le società statunitensi che autocertificano la rispondenza delle loro privacy policies alla cornice del PS si impegnano a garantire gli elevati standard di tutela dei dati personali validi nell’Unione Europea. Cercando di sintetizzare cosa comporti l’adesione al Privacy Shield, forniamo qui di seguito alcune informazioni essenziali.

Il PS si basa, come sopra accennato, su un sistema di autocertificazione. L’adesione al PS – che va rinnovata annualmente – è volontaria. Tuttavia, a seguito dell’adesione, i relativi obblighi sono vincolanti in base alla legge statunitense.

Il PS riconosce all’interessato una serie di diritti, fra i quali il diritto di informazione (sul tipo di dati trattati, sugli scopi del trattamento, sul diritto di accesso etc.) e il soggetto statunitense destinatario dei dati personali deve, fra l’altro, fornire all’interessato un link alla sua privacy policy e un link all’elenco delle organizzazioni aderenti al PS presente sul sito del Dipartimento del Commercio.

Sono previste limitazioni dell’uso dei dati in caso di scopi differenti da quelli per i quali i dati erano stati forniti o da quelli successivamente autorizzati.

Vale il principio della minimizzazione dei dati e l’obbligo di conservarli solo per il tempo necessario (i dati devono essere accurati, completi, aggiornati, ecc., ed è sempre necessario il rispetto dei Principi del PS).

Sono previsti obblighi di sicurezza dei dati (principio di sicurezza) e, in caso di sub-trattamento, l’organizzazione deve concludere un contratto col sub-incaricato che garantisca lo stesso livello di protezione previsto dai Principi e adoperarsi per assicurarne l’applicazione.

Vi è l’obbligo di proteggere i dati, se questi sono trasferiti a un terzo.

L’interessato ha, naturalmente, il diritto di accedere ai propri dati e di ottenerne la correzione, se del caso.

Varie sono poi le possibilità, per l’interessato per presentare un reclamo e ottenere un rimedio (senza costi), fra le quali, oltre al reclamo all’organizzazione aderente al PS stessa (che deve fornire una risposta entro 45 giorni), anche meccanismi di ricorso indipendente e il ricorso, solo a determinate condizioni, al Privacy Shield Panel. Secondo quanto reso noto dalla Commissione Europea, che ha accolto con favore tale scelta, un dato significativo è che un terzo delle società certificate ha optato per la scelta delle Autorità per la protezione dei dati personali dell’Unione Europea come proprio mezzo di risoluzione delle controversie.

La Commissione Europea ha inoltre stabilito limiti e garanzie in relazione all’accesso e al trattamento dei dati personali (trasferiti in base al PS) da parte di pubbliche autorità statunitensi per scopi di sicurezza nazionale, di applicazione della legge o altri scopi di pubblico interesse. Per la prima volta, è stato anche creato un meccanismo di vigilanza per l’interferenza con la sicurezza nazionale, il c.d. Privacy Shield Ombudsperson.

Come sopra accennato, sul sito del Dipartimento per il Commercio statunitense è pubblicata una lista delle società certificate (v. https://www.privacyshield.gov/list), per cui chiunque voglia verificare se una certa società statunitense ha aderito al PS, può farlo facilmente. Ad oggi sono già oltre 270 le società aderenti. Tra queste figurano Microsoft Corporation, Google Inc., Dropbox, Inc. e Dun & Bradstreet.

Fonti: Commissione Europea - Dipartimento per il Commercio statunitense

IL GARANTE: NO A CONTROLLI INDISCRIMINATI DEL DATORE DI LAVORO SUI DIPENDENTI by Giampietro Malusa

Il datore di lavoro non può effettuare controlli indiscriminati sulla posta elettronica e sulla navigazione in Internet dei propri dipendenti. Tali controlli si pongono, infatti, in contrasto sia con il Codice della Privacy sia con lo Statuto dei lavoratori. Questo è quanto affermato in un recente provvedimento adottato dal Garante a seguito di varie segnalazioni da parte di personale di un Ateneo.

Dall’istruttoria svolta è emerso che l’Ateneo aveva raccolto dati chiaramente riconducibili agli utenti, anche grazie al tracciamento puntuale degli indirizzi Ip (indirizzo Internet) e dei Mac Address (identificativo hardware) dei pc assegnati al personale dipendente. Oltretutto, tali dati erano conservati per ben 5 anni, una durata decisamente eccessiva. Questo aspetto sembra spesso sfuggire alle aziende, ma è essenziale che la conservazione dei dati personali non si protragga oltre il raggiungimento delle finalità per cui i dati stessi sono stati raccolti e trattati (art. 11, comma 1, lettera e del Codice: i dati personali sono conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati”).

La decisione è senz’altro interessante perché ormai quasi per qualsiasi attività lavorativa si utilizzano i computer e solitamente è il datore di lavoro che fornisce i pc ai propri dipendenti. Oppure fornisce loro i telefoni cellulari (quasi sempre smartphone ormai), che – consentendo anch’essi la navigazione in Internet e l’accesso alla posta elettronica – creano, mutatis mutandis, la stessa problematica in relazione alla privacy del caso trattato nel provvedimento in commento. E il discorso potrebbe valere, naturalmente, anche per altri apparecchi forniti ai lavoratori dal datore di lavoro (notebook, tablet, ecc.).

In primo luogo, la decisione conferma che il MAC address (Media Access Control Address) deve essere considerato “dato personale” ai sensi della normativa comunitaria e nazionale in materia di privacy, dal momento che consente, in taluni casi, di risalire univocamente all’acquirente o all’utilizzatore dell’apparato (in pratica, all’utilizzatore di una determinata postazione).

L’Ateneo, partendo invece dall’erroneo presupposto che il MAC Address non costituisse “dato personale”, innanzitutto aveva omesso di fornire l’informativa agli utilizzatori della rete. Né, d’altra parte, avrebbe potuto il “Regolamento di utilizzo della rete Internet e della posta elettronica” dell’Ateneo sostituire l’adempimento dell’informativa ex art. 13 del Codice, dal momento che il Regolamento in questione non conteneva gli elementi essenziali richiesti dalla norma sopra citata.

Inoltre, l’istruttoria aveva rilevato che l’Ateneo, contrariamente a quanto da esso sostenuto, di fatto effettuava, tramite apparati e software, un trattamento dei dati che permetteva – fra l’altro, in background, ossia con modalità non percepibili dagli utenti, e senza alcun impatto o interferenza sul lavoro del dipendente – operazioni di monitoraggio, filtraggio, controllo e tracciatura “costanti ed indiscriminati” degli accessi al web e alla posta elettronica.

Con riferimento ai sopra menzionati software, il Garante ha espressamente affermato che essi non possono essere considerati “strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa” ai sensi e per gli effetti dell’art. 4, comma 2 della legge n. 300/1970 (c.d. “Statuto dei lavoratori”), come recentemente modificato. Di conseguenza, con il suo comportamento l’Ateneo ha anche violato lo Statuto dei lavoratori, che prevede, in caso di controllo a distanza dei lavoratori, l’adozione di specifiche garanzie a tutela degli stessi.

Infine, il Garante ha escluso che il suddetto trattamento potesse essere legittimato per generiche finalità di protezione e sicurezza informatica o per astratte finalità derivanti da possibili indagini giudiziarie.

A questo proposito, anzi, il Garante ha ribadito che “i principi di necessità e proporzionalità impongono di privilegiare misure preventive ed, in ogni caso, gradualità nell’ampiezza del monitoraggio”: quindi, in prima battuta, si devono adottare misure meno limitative dei diritti dei lavoratori e solo in seconda battuta misure più invasive, che sono legittime solo a seguito della rilevazione di specifiche anomalie, quali, ad esempio, la riscontrata presenza di virus.

Nel caso di specie il Garante ha pure disposto la trasmissione degli atti e di copia del provvedimento in questione all’autorità giudiziaria per le valutazioni di competenza in ordine ai reati che la stessa dovesse eventualmente ravvisare nei fatti de quo.

Fonti: Autorità Garante per la protezione dei dati personali - La Repubblica

COMUNICAZIONI PROMOZIONALI TRAMITE E-MAIL: QUANDO IL CONSENSO NON E’ NECESSARIO? by Giampietro Malusa

Il titolo “Newsletter promozionali: no senza consenso” di una notizia contenuta nella newsletter del Garante n. 417 del 14 luglio scorso colpiva senz’altro, ma, in realtà, il tema merita ulteriori riflessioni.

A dispetto del titolo della notizia, in effetti, lo stesso Garante ne “Le Linee guida del Garante privacy contro le offerte commerciali indesiderate” del 23 luglio 2013 ha dato il via libera all’invio di e-mail promozionali ai propri clienti nel caso di messaggi promozionali relativi a beni o servizi analoghi a quelli già acquistati (c.d. “soft spam”)).

Come noto, infatti, la regola per il trattamento dei dati personali è che è necessario il previo consenso dell’interessato e a questa regola non fa eccezione il trattamento dei dati personali per finalità promozionali realizzato tramite invio di e-mail, appunto, promozionali (cfr. art. 130, comma 2 del Codice). Fa, al contrario, eccezione il caso della soft spam.

In particolare, la norma che legittima la soft spam è l’art. 130, comma 4 del Codice, ai sensi del quale “(Fatto salvo quanto previsto nel comma 1), se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente”.

Ciò premesso, se si dedicano dieci minuti alla lettura del provvedimento a cui l’articolo si riferisce, si può agevolmente constatare che quanto sopra è stato confermato.

La vicenda che ha portato all’adozione del provvedimento dell’Autorità in commento, infatti, riguarda un’azienda che vende prodotti medicali on-line e che, a seguito di un acquisto da parte del segnalante, gli aveva successivamente inviato una newsletter promozionale.

Dall’istruttoria condotta dal Garante è emerso, non solo che la società forniva un’informativa non adeguata, molto generica – perché “non immediatamente riferibile alla finalità di marketing” –, ma addirittura che essa, contrariamente a quanto dalla stessa affermato, in concreto condizionava la vendita dei prodotti alla prestazione del consenso. Il consenso quindi, oltre a risultare obbligatorio per poter procedere all’acquisto, non poteva in alcun modo ritenersi liberamente prestato. Inoltre, l’informativa avrebbe dovuto specificare le modalità utilizzate per il contatto promozionale.

Ciò posto, si legge in un passo del provvedimento: “, ancorché si tratti di profilo non sollevato dalla società, può ritenersi ricorrere nel caso in esame un trattamento legittimamente effettuato per finalità promozionali, pur in assenza del consenso dell'interessato, ai sensi dell'art. 130, comma 4, del Codice: in alcun modo risulta invero provato che il segnalante sia stato adeguatamente informato circa il fatto che le proprie coordinate di posta elettronica, fornite nel contesto della vendita, sarebbero state successivamente utilizzate per finalità di marketing (rispetto a beni o servizi analoghi) e messo in condizione di rifiutare tale uso, inizialmente o in occasione di successive comunicazioni. Al contrario, la società ha predisposto il sopra descritto meccanismo di consenso "obbligato" rispetto all'utilizzo dei dati per finalità di marketing.”.

Con ciò ribadendo l’eventualità che la soft spam possa, a certe condizioni, essere legittima anche in mancanza di consenso.

Riassumendo, le condizioni sono: (1) che l’interessato sia stato adeguatamente informato dell’invio di comunicazioni promozionali via e-mail; (2) la mancanza di un rifiuto a ricevere le stesse, espresso inizialmente o in occasione di successive comunicazioni; (3) la possibilità di opporsi in ogni momento al trattamento in modo facile e gratuito.

Fonte: Autorità Garante per la protezione dei dati personali

REGOLAMENTO PRIVACY UE: I REGISTRI DELLE ATTIVITA’ DI TRATTAMENTO by Giampietro Malusa

Torniamo, per un approfondimento, su un tema già trattato nelle scorse settimane: i registri delle attività di trattamento di dati personali.

Il nuovo Regolamento Privacy UE del 27 aprile scorso – che, come noto, si applicherà a decorrere dal 25 maggio 2018 (art. 99 Reg.) – prevede all’art. 30 l’obbligo della tenuta di registri delle attività di trattamento per il titolare del trattamento e il responsabile del trattamento (registri che, in base alle informazioni che devono contenere, possono ricordare alla lontana il Documento Programmatico sulla Sicurezza).

E’ chiaro infatti che, seppur il considerando 82 si esprima in termini ipotetici (“Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità”), in realtà quanto stabilito dall’art. 30 Reg. è fonte di veri e propri obblighi per il titolare del trattamento e per il responsabile del trattamento e, se del caso, per i loro rappresentanti.

Sia con riferimento al titolare del trattamento sia con riferimento al responsabile del trattamento e, ove applicabile, ai loro rappresentanti, infatti, l’art. 30 Reg. utilizza il verbo “tengono” (“tengono un registro…”) e tale uso non può che significare che la tenuta dei registri in questione si concreta in un obbligo. Comunque, ogni eventuale dubbio è fugato dal successivo comma 5 dell’art. 30 Reg. che parla espressamente di “obblighi”.

I due registri in questione devono essere tenuti in forma scritta, anche in formato elettronico, e contenere tutta una serie di informazioni, solo in parte coincidenti (in particolare, ad esempio e semplificando un po’, i nomi e i dati di contatto dei soggetti responsabili in senso lato del trattamento; oppure, ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale; ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 Reg.).

Per quanto riguarda il registro tenuto dal titolare (e, eventualmente, dal suo rappresentante), esso dovrà inoltre contenere informazioni relative alla finalità del trattamento, una descrizione delle categorie di interessati e delle categorie di dati personali, le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali e, ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati.

Il registro tenuto dal responsabile del trattamento (e, ove applicabile, dal suo rappresentante), invece, dovrà indicare le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento.

Non tutte le imprese e le organizzazioni devono tenere i registri in questione: sono, in particolare esentate dai relativi obblighi di tenuta (art. 30, comma 5 Reg.) le imprese o le organizzazioni con meno di 250 dipendenti, salvo, tuttavia, che il trattamento da esse effettuato possa costituire un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o comprenda il trattamento di alcuni tipi di dati. In questa ultima ipotesi rientrano, per espressa previsione della norma, “categorie particolari di dati di cui all'articolo 9, paragrafo 1 o i dati personali relativi a condanne penali e a reati di cui all'articolo 10. Nonostante l’ambigua formulazione relativa a “categorie particolari di dati di cui all'articolo 9, paragrafo 1”, sembra logico pensare che la norma intenda riferirsi a tutti i cd. dati sensibili, elencati, appunto, all’articolo 9, comma 1 Reg..

Per finire, resta da segnalare che il titolare o il responsabile del trattamento (e, ove applicabile, i loro rappresentanti) devono, se richiesti, mettere i registri in questione a disposizione dell'autorità di controllo (art. 30, comma 4 Reg.).

E’ importante tenere a mente quale sia la pena stabilita per la violazione degli obblighi di tenuta dei registri stessi, tutt’altro che tenue: ossia la sanzione amministrativa pecuniaria fino a 10.000.000 Euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore (art. 83, comma 4, lettera a Reg.).

 

Fonte: Regolamento Privacy UE

MARKETING DIRETTO E NUOVO REGOLAMENTO EUROPEO: NIENTE PIÙ CONSENSO DELL’INTERESSATO? by Giampietro Malusa

Fra le novità introdotte dal nuovo Regolamento “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” (GDPR – General Data Protection Regulation) vi è quella di considerare “legittimo interesse” il trattare dati personali per finalità di marketing diretto.

Come noto, anche nel vigente Codice della privacy, la liceità del trattamento dei dati personali sussiste, oltre che in virtù del consenso espresso dell’interessato, in una serie di altre ipotesi, ora elencate dall’art. 6 del Regolamento. Fra queste, alla lettera f), è previsto il caso in cui “il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato …”.

Il Regolamento non contiene un elenco tassativo dei casi di “legittimo interesse”. Tuttavia, un’importante indicazione giunge dal considerando n. 47, secondo il quale “i legittimi interessi di un titolare del trattamento, compresi quelli di un titolare del trattamento a cui i dati personali possono essere comunicati, o di terzi possono costituire una base giuridica del trattamento, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato, tenuto conto delle ragionevoli aspettative nutrite dall'interessato in base alla sua relazione con il titolare del trattamento”.

Il considerando n. 47 esemplifica poi in quali circostanze potrebbero sussistere tali legittimi interessi, ossia “quando esista una relazione pertinente e appropriata tra l'interessato e il titolare del trattamento, ad esempio quando l'interessato è un cliente o è alle dipendenze del titolare del trattamento”.

Orbene, il sopra citato considerando, nella sua parte finale, afferma espressamente che il trattamento di dati personali per finalità di marketing diretto “può essere considerato legittimo interesse.

Occorrerà in ogni caso fare attenzione: non si tratta di un’autorizzazione generalizzata al trattamento dei dati. Viene infatti precisato che è necessaria un’attenta valutazione volta anche a prendere in considerazione l'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un ulteriore trattamento.

Al contrario, qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali, gli interessi e i diritti fondamentali dell'interessato potrebbero prevalere sugli interessi del titolare del trattamento. Resta comunque salva, ovviamente, la possibilità per l’interessato di opporsi al trattamento dei dati.

LA COMPLIANCE NEL NUOVO REGOLAMENTO EUROPEO PRIVACY: IL REGISTRO DEI TRATTAMENTI E LA VALUTAZIONE DEI RISCHI by Giampietro Malusa

La compliance aziendale in materia di dati personali prevista dal nuovo Regolamento (n. 2016/679, il testo ufficiale pubblicato nella GUCE è consultabile qui) trova uno dei suoi principali strumenti nel Registro delle attività di trattamento di dati personali (art. 30).

Tale Registro, tenuto a cura del Titolare del trattamento, dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, e dovrà contenere:

  • il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • le finalità del trattamento;
  • una descrizione delle categorie di interessati e delle categorie di dati personali;
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi;
  • ove applicabile, i trasferimenti di dati personali verso paesi terzi e la loro identificazione; in taluni casi deve essere allegata la documentazione delle garanzie adeguate;
  • i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative.

Un Registro sostanzialmente analogo dovrà essere tenuto da ogni Responsabile del trattamento.

Tali Registri, che possono essere tenuti anche in formato elettronico, non sono obbligatori per i Titolari con meno di 250 dipendenti, salvo che il trattamento non comprenda dati sensibili, o non sia presente un rischio per i diritti e le libertà dell’interessato.

Una seconda, fondamentale, misura di compliance è costituita dalla valutazione dei rischi del trattamento di dati personali (art. 35), effettuata su più livelli.

Una prima valutazione dovrà stabilire se vi sono rischi, e la gravità di tali rischi, per i diritti e le libertà degli interessati.

Se poi un trattamento, in considerazione delle tecnologie utilizzate, della natura, dell'oggetto, del contesto e delle finalità, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento (consultandosi con il DPO, Data Protection Officer, laddove esistente) dovrà effettuare, prima di procedere, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali (DPIA, Data Protection Impact Assessment).

La valutazione d'impatto sulla protezione dei dati è richiesta in particolare nel caso di:

  • valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente sugli interessati;
  • trattamento, su larga scala, di categorie particolari di dati personali (sensibili o giudiziari)
  • la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

La valutazione dovrà contenere almeno:

  • una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;
  • una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  • una valutazione dei rischi per i diritti e le libertà degli interessati;
  • le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al Regolamento.

In taluni casi, gli esiti della valutazione d’impatto dovranno condurre a una interlocuzione con l’Autorità Garante.

Un elenco più specifico delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati dovrà essere stilato dalla medesima Autorità.

RIMANE PROBLEMATICO IL TRASFERIMENTO DI DATI PERSONALI VERSO GLI STATI UNITI: IL GARANTE EUROPEO BOCCIA IL PRIVACY SHIELD by Giampietro Malusa

Come noto, il trasferimento di dati personali dall’Italia verso gli Stati Uniti è lecito in presenza di almeno una delle seguenti condizioni:

a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;

b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;

c) tra società appartenenti al medesimo gruppo, in presenza di BCC (Binding Corporate Rules, stringenti accordi contrattuali in materia di privacy), adottate in accordo con il Garante della privacy;

d) tra il Titolare del trattamento e il destinatario dei dati personali sono state stipulate SCC (Standard Contractual Clauses, redatte secondo un rigido schema prestabilito dall’Unione Europea);

e) alcune ulteriori condizioni particolari (salvaguardia di un interesse pubblico, salvaguardia della vita o dell’incolumità fisica di un terzo, investigazioni difensive, ecc.).

In assenza di almeno una di tali condizioni, il soggetto destinatario dei dati poteva essere aderente all’accordo c.d. “Safe Harbor”, un accordo tra UE e USA contenente le regole delle modalità attraverso cui le società statunitensi possono gestire dati personali di cittadini europei.

Nell’ottobre 2015, tuttavia, la Corte di Giustizia dell’Unione Europea ha dichiarato non valido il Safe Harbor, togliendo alle società (americane, ma anche europee) il principale strumento per il trasferimento dei dati personali verso gli Stati Uniti in assenza del consenso dell’interessato, in quanto non garantiva un sufficiente livello di protezione dei dati degli interessati.

Il Safe Harbor è stato sostituito, nel febbraio 2016, dal Privacy Shield, un nuovo accordo che dovrebbe risolvere la spinosa questione, e fornire una nuova “copertura” giuridica a tali trasferimenti di dati.

Ma sembra ora che neppure il Privacy Shield possa dare soluzione al problema: il Garante Europeo Giovanni Buttarelli ha dichiarato che al “Privacy Shield” servono “miglioramenti significativi” per rispettare i principi chiave della protezione dei dati personali, con particolare riguardo ai criteri di necessità e proporzionalità, nonché ai meccanismi di ricorso. 

Il Garante Europeo, con la sua opinione, esprime parere negativo in merito alla possibilità che il “Privacy Shield”, così come delineato, possa superare un futuro vaglio della Corte dell’Unione Europea.

In particolare, per garantire una tutela efficace, il “Privacy Shield” deve fornire un’adeguata tutela dei dati contro la sorveglianza indiscriminata, come pure obblighi su supervisione, trasparenza, ricorso e diritti degli interessati.

Quanto al nuovo Regolamento europeo in materia di trattamento dei dati, che sarà effettivo negli Stati membri a partire dal maggio 2018, il Garante Europeo sottolinea che esso sarà applicabile a qualsiasi forma di trattamento dei dati, incluso il trasferimento. E’ quindi chiaro perché il Garante Europeo prema affinché “il legislatore prenda il suo tempo per trovare una soluzione adeguata e a lungo termine”, tenuto anche conto delle osservazioni e preoccupazioni condivise dal Garante con europarlamentari, aziende, società civile, Università e altri interlocutori.

In particolare, Giovanni Buttarelli dichiara che le società internazionali che forniscono beni e servizi nell’Unione Europea dovrebbero essere assolutamente chiare in merito a tutte le regole che esse devono rispettare.

Quello che invece non è a questo punto per niente chiaro è come possano le società europee (oggi e nel prossimo futuro, in attesa della soluzione auspicata) trasferire legittimamente dati personali negli Stati Uniti in assenza del consenso dell’interessato, senza dover necessariamente mettere in atto strumenti giuridici particolarmente complessi come le Binding Corporate Rules o le Standard Contractual Clauses.

Fonte: Garante Europeo per la Protezione dei Dati

RECORD DI SANZIONI DEL GARANTE DELLA PRIVACY: +190%. LE ISPEZIONI PROGRAMMATE NEL 2016 by Giampietro Malusa

Nel 2015 le sanzioni contestate dal Garante a seguito della propria attività ispettiva, svolta anche per mezzo della Guardia di Finanza, hanno segnato un aumento di oltre il 190 per cento rispetto all’anno precedente, mentre le sanzioni già riscosse dall’erariosono state pari a 3 milioni e 500 mila euro. 33 sono state le segnalazioni all’autorità giudiziaria.

Gli accertamentihanno riguardatonumerosi e delicati settori, sia nell’ambito pubblico che privato. Perquanto riguarda il settore privato le ispezioni si sono rivolte principalmente al controllo a distanza e alla geolocalizzazione dei dipendenti; al marketing telefonico svolto dai call center, anche operanti all’estero; al trasferimento di dati verso Paesi extra Ue; ai trattamenti di dati effettuati da software house che forniscono servizi di supporto all’attività della polizia giudiziaria e alla magistratura; agli istituti bancari; alla conservazione dei dati tlc e Internet; alle strutture alberghiere; ai centri fitness; alle centrali rischi.

Tra le violazioni contestate più frequentemente vi sono: una insufficiente informazione agli interessati sull’uso dei dati personali; la mancata adozione delle misure di sicurezza; tempi eccessivi di conservazione dei dati di traffico telefonico e telematico. Diversi anche i procedimenti sanzionatori per omessa notificazione al Garante.

Per quanto riguarda le ispezioni programmate nel 2016 (senza escludere quindi quelle che potranno derivare dall’analisi di reclami, ricorsi e segnalazione degli interessati), l’attività del Garante si concentrerà in particolare:

-       sui trattamenti effettuati da società multinazionali che trasferiscono i dati, nell'ambito di flussi intra-gruppo, nei paesi non appartenenti all'Unione europea;

-       sulla verifica della corretta adozione delle misure minime di sicurezza da parte di soggetti che effettuano trattamenti di dati sensibili;

-       sui trattamenti effettuati da organismi sanitari in relazione all'istituzione del dossier sanitario;

-       sui trattamenti effettuati dai centri di assistenza fiscale (CAF), per la verifica del rispetto delle misure organizzative e di sicurezza adottate nell'ambito della trasmissione della dichiarazione dei redditi precompilata;

-       sulla tracciabilità delle operazioni bancarie;

-   più in generale, sull'obbligo di informativa, sulla pertinenza e non eccedenza nel trattamento, sulla libertà e validità del consenso, sulla durata della conservazione dei dati.

Fonte: Garante Privacy