Lo scorso 10 luglio 2023 la Commissione Europea ha adottato una decisione di adeguatezza per il “EU-US Data Privacy Framework” che determina che gli Stati Uniti d’America garantiscono un livello di protezione dei dati personali adeguato e paragonabile a quello dell’Unione Europea.

La decisione di adeguatezza è uno degli strumenti previsti dal Regolamento (UE) 2016/679 (il “Regolamento”) per trasferire dati personali dall’Unione Europea a Paesi Terzi che, a fronte di una preventiva valutazione della Commissione Europea, offrono “un adeguato livello di protezione”, ossia un livello di protezione dei dati personali equivalente a quello garantito all’interno dell’UE.

La conseguenza è che i dati personali possono essere trasferiti in modo sicuro e possono essere gestiti allo stesso modo delle trasmissioni di dati che avvengono all’interno del territorio europeo.

Cosa prevede il nuovo EU-US Data Privacy Framework?

L’EU-US Data Privacy Framework si struttura su un meccanismo di autocertificazione in base al quale le aziende statunitensi si impegnano a rispettare una serie di obblighi in materia di protezione dei dati personali, tra cui, a titolo esemplificativo e non esaustivo, il rispetto dei principi di limitazione delle finalità, di minimizzazione e conservazione dei dati, nonché obblighi specifici in materia di sicurezza dei dati e condivisione dei dati con soggetti terzi.

L’impegno da parte delle organizzazioni sarà rinnovato su base annuale e soggetto al controllo e al monitoraggio del Dipartimento del Commercio degli Stati Uniti, il quale elaborerà le domande di certificazione e verificherà periodicamente il rispetto dei requisiti da parte delle aziende partecipanti.

I cittadini europei beneficeranno di diverse vie di ricorso indipendenti ed imparziali nel caso in cui i loro dati siano trattati in modo non conforme, e tra esse rientra il neo istituito Tribunale di Revisione sulla Protezione dei Dati (DPRC).

L’ordinamento statunitense prevederà una serie di garanzie, tra cui la limitazione dell’accesso ai dati personali da parte delle autorità pubbliche a quanto necessario e proporzionato al fine di proteggere la sicurezza nazionale o allo scopo di applicare la legge penale.

In ogni caso, il Data Privacy Framework sarà soggetto a revisioni periodicheda parte della Commissione Europea unitamente ai rappresentanti delle autorità europee per la protezione dei dati e alle competenti autorità statunitensi. Il primo riesame avrà luogo entro un anno dall’entrata in vigore della decisione di adeguatezza.

Gli altri strumenti previsti dal Regolamento

Con l’occasione, vale la pena ricordare che oltre alla decisione di adeguatezza, il Regolamento prevede anche altri strumenti utilizzabili per realizzare un corretto trasferimento di dati al di fuori dell’Unione Europea, tra cui:

• l’adozione di Clausole Contrattuali Standard;
• l’adozione di Norme Vincolanti d’Impresa (“BCR Binding Corporate Rules”) da parte dei grandi gruppi internazionali a seguito della negoziazione con le Autorità di controllo dei paesi coinvolti;
• l’adesione a specifici Codici di condotta o, comunque, a meccanismi di certificazione i quali devono essere contestualmente applicati dal soggetto al quale i dati vengono trasferiti;
• il consenso dell’interessato che deve essere adeguatamente informato così come previsto dal Regolamento stesso.

◊◊◊◊

Come da ultimo sottolineato nella nota informativa del Comitato Europeo per la Protezione dei Dati (EDPB) lo scorso 18 luglio 2023, tutte le tutele previste dal governo statunitense nell’ambito della sicurezza nazionale si applicano a tutti i trasferimenti di dati personali effettuati verso aziende negli Stati Uniti, indipendentemente dai meccanismi di trasferimento utilizzati. Pertanto, tali garanzie servono a facilitare anche il ricorso agli altri strumenti previsti dal Regolamento.

Altri insights correlati:

• LO SAI CHE… La Commissione europea e gli USA hanno raggiunto un accordo quadro sul trasferimento dei dati personali? – De Luca & Partners (delucapartners.it)
• Privacy Shield: la Corte di Giustizia Europea invalida l’Accordo UE – USA – De Luca & Partners (delucapartners.it)

Con un provvedimento dello scorso 10 novembre 2022, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha comminato ad una società italiana una sanzione di 20.000 euro per aver rilevato le presenze dei propri dipendenti tramite la lettura delle impronte digitali. Il Garante ha ribadito che “il trattamento di dati biometrici sul posto di lavoro è consentito solo se necessario per adempiere gli obblighi ed esercitare i diritti del datore di lavoro previsti da una disposizione normativa e con adeguate garanzie”.

Il caso nasceva a seguito di una segnalazione effettuata al Garante da una organizzazione sindacale che lamentava l’introduzione da parte della società, datrice di lavoro, di un sistema di timbratura che si serviva di un terminale biometrico finalizzato a rilevare gli accessi e le presenze di dipendenti e collaboratori all’interno delle strutture della stessa. L’introduzione di tale sistema, lamentava inoltre il sindacato, era stata disposta nonostante alla società fosse stato richiesto di adottare “mezzi meno invasivi” che non prevedessero un trattamento di dati biometrici dei soggetti interessati.

La società si difendeva dichiarando che il sistema adottato aveva lo scopo di facilitare agli interessati la registrazione degli orari di entrata e di uscita e rappresentava uno strumento “più snello e veloce” rispetto a quello precedentemente utilizzato che rilevava le presenze tramite un cartellino identificativo personale (c.d. badge).

Compiuta l’attività istruttoria, il Garante ha rilevato, tra le altre, l’illiceità del trattamento di dati personali biometrici effettuato dalla società per (i) aver posto in essere un trattamento in assenza di una idonea base giuridica: il Garante, infatti, ribadisce che il trattamento di dati biometrici in ambito lavorativo è consentito esclusivamente nell’ipotesi in cui sia previsto da una norma, sia essa nazionale o europea; (ii) non aver fornito agli interessati un’adeguata informativa violando, in tal modo, i principi fondamentali in materia quali quelli di liceità, correttezza e trasparenza; (iii) non aver aggiornato il Registro delle attività di trattamento che, nella versione esibita al Garante, non riportava alcun trattamento di dati biometrici dei dipendenti, violando in tal modo anche il principio di accountability; (iv) aver trattato una categoria di dati particolari per una sola finalità di semplificazione delle attività di gestione del rapporto di lavoro.

Per tutte queste ragioni, pertanto, il Garante ha adottato il provvedimento sanzionatorio nei confronti della società ordinando alla stessa non solo di pagare la summenzionata sanzione pecuniaria amministrativa per le indicate violazioni ma disponendo, altresì, la pubblicazione del provvedimento sul proprio sito istituzionale.

In conclusione, sebbene nel contesto lavorativo rilevare le presenze dei dipendenti anche al fine di verificarne il rispetto dell’orario di lavoro rappresenti una attività necessaria per assolvere gli obblighi ed esercitare diritti specifici del datore di lavoro, affinché un trattamento di dati biometrici dei lavoratori sia lecito dovrà trovare il proprio fondamento in una disposizione normativa e tale trattamento non potrà fondarsi sulla raccolta del consenso degli interessati “ciò alla luce della asimmetria tra le rispettive parti del rapporto di lavoro e la conseguente, eventuale, necessità di accertare di volta in volta e in concreto l’effettiva libertà della manifestazione di volontà del dipendente”.

Altri insights correlati:

• Emanate le prescrizioni relative al trattamento di categorie particolari di dati
• Registro dei Trattamenti e Valutazione d’Impatto: le precisazioni del nostro Garante

Poiché sono stati considerati solo i dati di geolocalizzazione riferiti ai chilometri percorsi, l’ingerenza nella vita privata del ricorrente è stata limitata e proporzionale rispetto allo scopo perseguito.

Il licenziamento intimato dal datore di lavoro basato sulle risultanze del sistema di
geolocalizzazione dell’auto aziendale del dipendente è legittimo e la raccolta e il trattamento dei
relativi dati non comportano una violazione dei diritti del lavoratore come sanciti dalla Convenzione
dei Diritti dell’Uomo.
A stabilirlo, segnando un importante precedente su questa dibattuta tematica, è stata la sentenza
della Corte Europea dei Diritti dell’Uomo n. 26968/1616 emessa a conclusione del procedimento
Gramaxo contro Portogallo. È la prima volta che la Corte Europea si pronuncia su un caso di
sorveglianza sul lavoro attraverso il sistema di geolocalizzazione e fissa i criteri per il giusto
bilanciamento tra il diritto del lavoratore al rispetto della sua vita privata e le prerogative datoriali in
termini di controllo sul corretto impiego dei beni strumentali.
Il caso sul quale è stata chiamata a pronunciarsi la Corte è relativo al licenziamento di un dipendente
informatore scientifico del farmaco di un’azienda farmaceutica portoghese al quale, in ragione della
mobilità associata al lavoro svolto, l’azienda aveva assegnato un’auto ad uso promiscuo, lavorativo e
privato.
A distanza di tempo, la società aveva installato un sistema di posizionamento globale via satellite
(GPS) su tutti i veicoli aziendali.
A seguito di un controllo dei dati raccolti attraverso i sistemi installati era emerso che il dipendente
in questione aveva manomesso il funzionamento del sistema di controllo per far risultare un
impiego del mezzo per motivi di lavoro superiore a quello effettivo e così un impiego del mezzo per
motivi privati inferiore anche al fine di ridurrei i costi a proprio carico.

Continua a leggere la versione integrale pubblicata su Norme e Tributi Plus Diritto de Il Sole 24 Ore.

È illecito il monitoraggio dei metadati della posta elettronica aziendale assegnata ai dipendenti che non garantisce adeguate tutele per la riservatezza ed è effettuato in violazione delle norme che limitano il controllo a distanza dei lavoratori. Lo ha stabilito l’Autorità Garante per la protezione dei dati personali (il “Garante”) che, con una Ordinanza di ingiunzione del 1° dicembre 2022, ha comminato alla Regione Lazio una sanzione di euro 100.000.

L’attività istruttoria

Il caso nasceva da una segnalazione effettuata al Garante da una organizzazione sindacale autonoma che lamentava il monitoraggio da parte dell’amministrazione, titolare del trattamento, della posta elettronica del personale in servizio presso gli uffici dell’avvocatura regionale.

Oggetto del monitoraggio, avviato nell’ambito di una indagine interna finalizzata a verificare una sospetta divulgazione di notizie protette dal segreto d’ufficio, risultavano essere le informazionirelative ad orari, destinatari, oggetto delle comunicazioni e dimensione degli allegati, i cosiddetti “metadati”, di alcuni dipendenti che erano soliti inviare messaggi ad una specifica sigla sindacale. Stando a quanto emerso nel corso dell’istruttoria, era stato possibile monitorare tali informazioni poiché, “per prassi”, i dati relativi al traffico delle e-mail venivano conservati “per generiche finalità di sicurezza informatica per 180 giorni” prima di essere definitivamente cancellati.

Il provvedimento del Garante

Sulla base di quanto emerso nel corso dell’istruttoria, il Garante ha chiarito, tra le altre, che:

• in violazione dei principi di “liceità, correttezza e trasparenza” non era stata fornita ai dipendenti un’informativa sul trattamento dei dati personali conforme a quanto disposto dagli articoli 12 e 13 del GDPR. E, come ricorda il Garante, l’adempimento degli obblighi informativi “costituisce una specifica precondizione per il lecito utilizzo dei dati raccolti attraverso strumenti tecnologici, da parte del datore di lavoro, anche a tutti i fini connessi al rapporto di lavoro (art. 4, co. 3, della l. n. 300/1970)”;
• premesso che “la generalizzata raccolta e l’estesa conservazione dei metadati della posta elettronica […] non sono strumentali allo “svolgimento della prestazione” del dipendente”, tali trattamenti di dati possono comportare un – seppur indiretto – controllo a distanza dell’attività dei lavoratori. Pertanto, il datore di lavoro ha violato non solo la vigente normativa in materia di protezione dei dati ma anche la disciplina in materia di controlli a distanza dei lavoratori;
• il trattamento ed il monitoraggio effettuati hanno permesso al datore di lavoro di acquisire informazioni sulla vita privata dei dipendenti o su fatti comunque non rilevanti ai fini della valutazione dell’attitudine professionale degli stessi;
• i trattamenti dei metadati sono stati effettuati in violazione di principi propri della normativa in materia di protezione dei dati personali ossia i principi di limitazione della conservazione, di protezione dei dati fin dalla progettazione (by design) e per impostazione predefinita (by default) nonché del principio di accountability (c.d. principio “di responsabilizzazione”);
• il trattamento dei metadati è stato effettuato in assenza di una preventiva valutazione d’impatto sulla protezione dei dati.

Sulla base di tutto ciò, il Garante, oltre al pagamento della predetta sanzione amministrativa, ha vietato al datore di lavoro, titolare del trattamento, qualsiasi ulteriore operazione di trattamento applicata ai (meta)dati relativi all’utilizzo della posta elettronica dei dipendenti conservati per un periodo eccedente i sette giorni dalla data della loro raccolta, ha disposto la cancellazione dei dati già raccolti e conservati oltre quest’ultimo termine ed ha altresì disposto la pubblicazione dell’ordinanza sul proprio sito istituzionale.

Altri insights correlati:

• Il datore di lavoro può controllare la mail aziendale del dipendente
• Licenziamento per giusta causa: illegittimo il controllo della chat aziendale in assenza di adeguata informazione

I siti web che utilizzano il servizio Google Analytics (GA), senza le garanzie previste dal Regolamento (UE) 2016/679 (il “Regolamento“), violano la normativa sulla protezione dei dati perché trasferiscono negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti. Lo ha stabilito il Garante per la protezione dei dati personali (il “Garante”) con il provvedimento del 9 giugno 2022, adottato all’esito di una istruttoria avviata sulla base di una serie di reclami e in coordinamento con altre Autorità Privacy Europee e pubblicato il successivo 23 giugno.

GA è uno strumento web fornito da Google ai gestori di siti internet che permette di analizzare dettagliate statistiche sugli utenti al fine di ottimizzare i servizi offerti e monitorare le campagne di marketing.

Per quanto concerne il trattamento effettuato tramite questo strumento, dalle verifiche effettuate dall’Autorità è emerso che i gestori dei siti web (quale la società sanzionata) raccolgono, mediante cookies trasmessi al browser dell’utente, informazioni in ordine alle modalità di interazione di questi ultimi con il sito web, nonché con le singole pagine e con i servizi proposti. Nello specifico, i dati raccolti consistono in: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.

Tali informazioni vengono trasferite negli Stati Uniti d’America, Paese che ad oggi, come già ribadito più volte dal Garante stesso, non garantisce un sistema di protezione dei dati personali equivalente a quello previsto all’interno dell’Unione Europea. In questo contesto, il Garante ha evidenziato che il sistema normativo vigente negli USA consente alle Autorità governative e di intelligence statunitensi di accedere alle informazioni personali per fini di sicurezza nazionale senza le garanzie previste dalla normativa europea.

Il Garante ha anche ribadito che l’indirizzo IP è un dato personale a tutti gli effetti nella misura in cui consente di identificare un dispositivo di comunicazione elettronica, rendendo pertanto indirettamente identificabile l’interessato in qualità di utente. E questo dato, quand’anche venisse troncato, non diverrebbe un dato anonimo, vista la capacità di Google di associarlo ad altri dati in suo possesso, rendendo quindi possibile una re-identificazione dell’utente.

Per tutti questi motivi, il Garante ha adottato il primo di una serie di provvedimenti con cui ha ammonito la società che gestiva il sito oggetto dell’istruttoria ingiungendole di conformarsi al Regolamento entro novanta giorni. Il tempo indicato è stato ritenuto dal Garante congruo per consentirle di adottare misure adeguate al trasferimento, pena la sospensione dei flussi di dati effettuati, per il tramite di GA, verso gli Stati Uniti.

Allo scadere dei novanti giorni, si legge nel provvedimento in esame, il Garante procederà, anche sulla base di specifiche attività ispettive, a verificare la conformità al Regolamento dei trasferimenti effettuati dai titolari.

◊◊◊◊

In attesa che l’Unione Europea e gli Stati Uniti d’America raggiungano un accordo giuridicamente vincolate che garantisca un trasferimento internazionale con protezioni equivalente a quanto richiesto in Europa, i gestori dei siti web sono chiamati a conformarsi ai requisiti richiesti dalla normativa in vigore. Ciò anche valutando di affidarsi eventualmente a provider europei che trattino i dati personali degli utenti all’interno del territorio UE.

Altri insights correlati:

• Cookie e altri strumenti di tracciamento: le nuove Linee Guida del Garante Privacy
• Cookies e altri strumenti di tracciamento: il Garante avvia una consultazione pubblica