In occasione del nostro Team Meeting di questa settimana, tra i vari argomenti, abbiamo approfondito il tema del diritto di un lavoratore ad accedere a tutti i propri dati personali trattati dal datore di lavoro, dovendosi intendere anche quelli contenuti nelle relazioni prodotte dall’agenzia investigativa incaricata dal datore di lavoro di raccogliere informazioni sul suo conto ed utilizzate per finalità disciplinari.

Con sentenza del 26 aprile 2023 (causa T-557/20), la Corte di Giustizia dell’Unione Europea (“CGUE”) ha stabilito che un dato pseudonimizzato trasmesso ad un destinatario che non ha i mezzi per poter identificare l’interessato non è un dato personale. Ciò comporta che siffatte informazioni non rientrano nell’ambito di applicazione della normativa in materia di protezione dei dati personali.

Prima di entrare nel merito della pronuncia in commento, appare opportuno definire cosa si debba intendere per “pseudonimizzazione”. Ai sensi dell’articolo 4 del Regolamento (UE) 2016/679 (meglio noto secondo l’acronimo inglese “GDPR”) con pseudonimizzazione si intende “il trattamento dei dati personali [effettuato] in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

Il caso affrontato

Fatta tale premessa, si approfondisce, di seguito, il caso esaminato dalla CGUE.

La vicenda trae origine da diversi reclami pervenuti al Garante europeo della protezione dei dati (l’”GEPD”) attraverso i quali venivano segnalate alcune condotte tenute dal Single Resolution Board (il Comitato di Risoluzione Unico, “CRU”).

Nello specifico il CRU, dopo aver raccolto attraverso un modulo elettronico alcune opinioni di azionisti e creditori (i “soggetti interessati”), aveva trasferito le risposte ottenute ad una società di consulenza. Prima dell’inoltro alla società di consulenza, tuttavia, il CRU aveva provveduto a pseudonimizzare tali dati sostituendo i nominativi dei soggetti interessati con dei codici alfanumerici. Questi ultimi, tuttavia, adivano il GEPD lamentando che nelle informative sul trattamento dei dati personali fornite dal CRU non venisse precisato che i loro dati personali sarebbero stati condivisi con soggetti terzi.

Il GEPD affermava che, nonostante i dati così trasmessi non consentissero alla società di identificare gli autori del sondaggio, i dati, seppur pseudonimizzati, dovessero comunque essere considerati dati personali, anche in considerazione del fatto che l’outsourcer riceveva il codice alfanumerico che consentiva di collegare le risposte ricevute.

Per tali ragioni, il GEPD riteneva la società di consulenza destinataria di dati personali e il CRU responsabile della violazione di cui all’articolo 15 del GDPR – disciplinante il diritto di accesso dell’interessato – per non aver, tra le altre, fornito informazioni circa i destinatari o le categorie di destinatari a cui i dati personali sarebbero stati comunicati.

La decisione della Corte di Giustizia (UE)

Di contrario avviso sono stati i Giudici Europei che hanno capovolto la decisione del GEPD. La Corte di Giustizia, infatti, ha affermato che la decisione assunta dal GEPD circa la natura del dato pseudonimizzato non è corretta, in quanto il GEPD non aveva verificato se la società alla quale erano stati trasmessi i dati fosse stata, o meno, in grado di (re)identificare i soggetti interessati. Tale verifica sarebbe dovuta avvenire sulla base degli strumenti che la stessa deteneva, o meno, per poter identificare le persone fisiche.

Per definire se le informazioni pseudonimizzate trasmesse ad un destinatario costituiscano o meno dati personali è necessario “considerare la prospettiva del destinatario”: se il destinatario non dispone di informazioni aggiuntive che gli consentano di identificare gli interessati ovvero non ha a disposizione strumenti legali per accedervi, i dati trasmessi sono considerabili come dati anonimi e quindi non rappresentano dati personali, restando, pertanto, esclusi dall’ambito di applicazione dei principi vigenti in materia di data protection. Il fatto che chi trasmette i dati abbia, al contrario, gli strumenti per identificare gli interessati non rileva.

Per questi motivi, la Corte di Giustizia ha annullato la decisione del GEPD condannandolo alle spese processuali.

Altri insights correlati:

Controlli datoriali: illecito il monitoraggio dei metadati delle e-mail di dipendenti

GDPR: le misure di sicurezza a tutela della protezione dei dati

Lo scorso 10 giugno, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha approvato le nuove “Linee guida sui cookie”.

Con il termine cookie si intende un piccolo file di testo che un sito web (cd. publisher o “prima parte”) può autonomamente inviare al dispositivo dell’utente (ad esempio, Smartphone, Pc o Tablet) quando visualizza una pagina web ovvero siti o web server diversi (cd. “terze parti”). Solitamente i cookie consentono di memorizzare le preferenze espresse dall’utente per non dover essere reinserite successivamente. Il browser utilizzato salva l’informazione e la ritrasmette al Server del sito nel momento in cui l’utente visita nuovamente quel sito web.

Le Linee Guida, adottate dal Garante tenendo conto di quanto emerso durante la consultazione pubblica promossa alla fine dello scorso anno, hanno l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.

Di seguito le principali novità.

Informativa

Nel rispetto di quanto previsto dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (meglio noto come il “GDPR”), l’informativa da rilasciare agli utenti/interessati dovrà indicare (i) tutti gli eventuali soggetti destinatari, (ii) i tempi di conservazione dei dati personali trattati nonché (iii) una descrizione di tutte le conseguenze di ogni azione compiuta dall’utente/interessato.

Il Garante raccomanda che i cookie Analytics, di cui il Titolare del trattamento si avvale per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Viene confermatoil modello di informativa multi-layer con un banner (c.d. informativa breve) all’accesso al sito contenente specifiche indicazioni su posizionamento, dimensioni, caratteri e contenuto nonché il link all’informativa estesa.

All’utente/interessato deve essere data la possibilità di scegliere tra il consenso o l’opzione di modulare le proprie preferenze rispetto al tracciamento e deve essergli fornito il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.

Consenso tramite scrolling

Il semplice “scroll down” del cursore di pagina è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento.

Con riferimento al potere di autonomia del titolare nell’identificazione delle soluzioni più appropriate per conseguire la conformità alle regole dei trattamenti di dati personali effettuati, il Garante invita i titolari a valutare con estremo rigore ogni possibile soluzione. Secondo il Garante, qualora all’azione dell’utente non corrisponda alcun evento informatico inequivoco, documentabile e dotato delle menzionate caratteristiche, anche sotto il profilo della consapevolezza per lo stesso utente, non sarà possibile attribuire a tale azione la validità del consenso ai sensi della normativa vigente.

Rinnovo della richiesta di consenso

La raccolta del consenso ai cookie non può essere riproposta, a meno che (i) non cambino le condizioni del trattamento in modo significativo, (ii) non sia possibile per il gestore del sito registrare la precedente scelta dell’utente a causa di una decisione di quest’ultimo e (iii) non siano decorsi almeno 6 mesi dalla precedente richiesta.

Revisione dei consensi

Agli utenti/interessati dovrà essere fornita, in ogni momento e in maniera semplice, immediata e intuitiva, la possibilità di revisionare le scelte effettuate attraverso un’apposita area da rendere accessibile per il tramite di un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o analoga

I titolari dei siti web avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.

Altri insights correlati:

• Cookies e altri strumenti di tracciamento: il Garante avvia una consultazione pubblica
• Data Breach: Le Linee Guida dei Garanti Europei per la gestione delle violazioni dei dati

La Corte d’Appello di Venezia, con la sentenza n. 476 del 28 giugno 2021, si è pronunciata sul tema dei controlli a distanza, ritenendo pienamente utilizzabili le videoregistrazioni delle telecamere presenti all’interno dei locali aziendali.

I fatti di causa

Una società (una casa da gioco) aveva utilizzato le immagini raccolte attraverso un sistema di videosorveglianza installato nei locali aziendali, per avviare nei confronti di una dipendente due distinti procedimenti disciplinari.

In particolare, alla lavoratrice, addetta alle casse, veniva contestata una appropriazione di denaro dalla cassa aziendale attraverso vari artifizi, per colmare degli ammanchi, comunque a lei imputabili, nelle attività di pagamento delle vincite della clientela e per realizzare delle plusvalenze a proprio vantaggio.

Il Giudice della fase sommaria aveva ritenuto le videoregistrazioni pienamente utilizzabili in quanto coperte dall’accordo sindacale ai sensi della normativa in materia di controlli a distanza, individuando unicamente un vizio di mera forma nella parte in cui il datore di lavoro aveva mancato di esibire i filmati raccolti nel corso del procedimento disciplinare.

A fronte dell’opposizione proposta dalla lavoratrice, il Giudice adito riformava l’ordinanza della fase sommaria, ritenendo non utilizzabili le videoregistrazioni e quindi non provati gli illeciti, con conseguente condanna della società alla reintegra della lavoratrice nel proprio posto di lavoro (ex art. 18, comma 4 dello Statuto dei Lavoratori).

La società soccombente ricorreva così in appello.

La decisione della Corte d’Appello

La Corte d’Appello adita, accogliendo il ricorso della società, ha osservato che:

• la lavoratrice era stata correttamente informata dell’installazione delle telecamere nei locali aziendali anche in quanto rappresentante sindacale;
• la stessa spesso aveva assunto un comportamento irregolare ed eclatante attraverso “posture tipiche di chi ha furtivamente sottratto qualcosa e cerca di dissimulare la sottrazione” (comportamento, tra le altre, confermato dai colleghi);
• i fatti addotti in entrambi i procedimenti disciplinari avviati nei suoi confronti erano stati provati in giudizio sia dai filmati che dalle relazioni scritte e dalle relative allegazioni.

Inoltre, interpretando l’accordo sindacale sottoscritto, la Corte d’Appello ha osservato che le immagini raccolte attraverso il sistema di videosorveglianza installato potevano essere utilizzabili anche a fini disciplinari qualora fossero stati tenuti comportamenti “di particolare rilevanza o gravità”.

Per questi motivi, la Corte di Appello ritenendo il comportamento della lavoratrice “senz’altro grave e idoneo a ledere irrimediabilmente la fiducia del datore di lavoro sulla correttezza dei futuri adempimenti”, ha riconosciuto la sussistenza di tutti i presupposti per l’intimazione di un licenziamento per giusta causa.

Altri insights correlati:

• Videosorveglianza: le nuove FAQ del Garante
• Garante: il datore di lavoro deve informare correttamente i lavoratori sui sistemi aziendali utilizzati

È stato pubblicato sulla Gazzetta Ufficiale dello scorso 14 giugno il Decreto-Legge n. 82/2021 (il “Decreto”) recante “disposizioni urgenti in materia di cyber-sicurezza, definizione dell’architettura nazionale di cyber-sicurezza e istituzione dell’Agenzia per la cyber-sicurezza nazionale”.

Con il termine “Cyber-sicurezza” si intende “l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone altresì la resilienza” (art. 1, comma 1, lett. a).

Il Comitato interministeriale per la cyber-sicurezza

Il Decreto, che si compone di 19 articoli, istituzionalizza, tra le altre, il “Comitato interministeriale per la cyber-sicurezza” (il “CIC”). Il CICsvolge funzioni di consulenza, proposta e vigilanza in materia di politiche di cyber-sicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico. Inoltre, il CIC ha i seguenti compiti:

• proporre al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cyber-sicurezza nazionale;
• esercitare l’alta sorveglianza sull’attuazione della strategia nazionale di cyber-sicurezza;
• promuovere l’adozione delle iniziative necessarie per (i) favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cyber-sicurezza, nonché la condivisione delle informazioni e (ii) l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cyber-sicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cyber-sicurezza;
• esprimere il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cyber-sicurezza nazionale.

L’Agenzia per la cyber-sicurezza nazionale

Tra le novità principali del Decreto vi è, altresì, l’istituzione dell’”Agenzia per la cyber-sicurezza nazionale” (l’”ANC” o l’”Agenzia”). Il Decreto specifica le sue funzioni chiarendone la composizione e l’organizzazione. Con apposito regolamento, da approvarsi entro 120 giorni dall’entrata in vigore del Decreto, infatti, dovrà essere definito il funzionamento dell’Agenzia composta da otto uffici di livello dirigenziale generale e da trenta articolazioni di livello dirigenziale non generale nell’ambito delle risorse disponibili (art. 12, comma 1).

L’Agenzia rappresenta il principale Ente in materia di cyber-sicurezza che esercita funzioni di autorità nazionale in materia e accentra le numerose competenze sin d’ora attribuite ad altri organi tra cui quelle del Ministero dello Sviluppo Economico. Tra i suoi compiti vi rientrano:

• la tutela degli interessi nazionali e delle funzioni essenziali dello Stato da minacce informatiche;
• lo sviluppo di capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici;
• l’innalzamento della sicurezza dei sistemi di “Information and Communications Technology” (“ICT”) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali e dei fornitori di servizi digitali;
• il supporto allo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo, mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
• l’assunzione delle funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi, e della sicurezza delle reti di comunicazione elettronica.

Il Nucleo per la cyber-sicurezza

L’Agenzia è affiancata dal “Nucleo per la cyber-sicurezza” che ha il compito di supportare il Presidente del Consiglio dei Ministri, per gli aspetti relativi alla prevenzione e alla preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Tra i principali compiti affidati a tale organo rientrano:

• la formulazione di proposte di iniziative in materia di cyber-sicurezza del Paese;
• la promozione, la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati;
• lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese ed essere coinvolto nelle crisi che interessano la cyber-sicurezza.

◊◊◊◊

Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei Ministri ha il compito di trasmettere al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente e la stessa, in qualità di Centro nazionale di coordinamento italiano, nello svolgimento delle proprie attività si interfaccerà con il “Centro europeo di competenza per la cyber-sicurezza nell’ambito industriale, tecnologico e della ricerca“, concorrendo ad aumentare l’autonomia strategica europea nel settore.

Altri insights correlati:

• Lavoro agile e protezione dei dati personali (Top Legal Focus Privacy & Data Protection, febbraio 2021 – Vittorio De Luca, Elena Cannone)
• Data Breach: Le Linee Guida dei Garanti Europei per la gestione delle violazioni dei dati