L’Autorità Garante della protezione dei dati, con la newsletter 472 del 25 gennaio 2021 ha comunicato che il precedente 14 gennaio, l’EDPB (l’“European Data Protection Board”) ha adottato delle nuove Linee Guida (“Guidelines 01/2021 on Examples regarding Data Breach Notification”, le “Linee Guida”) volte a supportare imprese e pubblica amministrazione nell’affrontare correttamente le violazioni dei dati e nel definire i processi di gestione del rischio.
Il documento si aggiunge alle precedenti linee guida del Gruppo di Lavoro 29 (“Guidelines on Personal data breach notification under Regulation 2016/679”) che, invece, comprendono una analisi tecnico-teorica di quanto prescritto dal Regolamento (UE) 2016/697 (il “Regolamento”) in tema di violazioni dei dati personali (o “Data Breach”).
Alla luce dei principi di sicurezza delle informazioni, richiamando l’”Opinion 3/2014” e le “Guidelines WP 250”, L’EDPB fornisce una classificazione della tipologia di violazioni attuabili, ossia:
Le Linee Guida, avendo l’obiettivo di fornire indicazioni utili ai Titolari e ai Responsabili del trattamento per gestire correttamente una violazione di dati personali, illustrano i comportamenti da evitare (ad es. l’omessa cifratura dei dati) e contengono numerose casistiche pratiche che hanno visto coinvolti, in diversi paesi europei, ospedali, banche, imprese e società di servizi online di vario genere.
Tali casistiche descrivono le misure preventive adottabili e suggeriscono le modalità di svolgimento del risk assessment in riferimento alla violazione subita, le potenziali misure adottabili per ridurre i rischi e gli obblighi ex lege che devono essere rispettati.
L’EDPB ha avviato una consultazione pubblica europea sul documento che terminerà il 2 marzo 2021.
Altri insights correlati:
Il 6 settembre 2019, l’European Data Protection Board (“EDPB”) ha terminato i lavori di consultazione pubblica ai quali è stato sottoposto il documento contenente il draft delle prossime Linee Guida n. 3/2019 riguardanti la videosorveglianza (“Guidelines 3/2019 on processing of personal data through video devices”).
Le immagini e le tracce audio che vengono trattate attraverso l’utilizzo dei sistemi di videosorveglianza, rientrano nella definizione di “dati personali” in quanto permettono l’identificazione, diretta o indiretta, di una persona fisica. I trattamenti effettuati riguardo a tali informazioni, pertanto, devono essere pienamente conformi al Regolamento EU 2016/679 – GDPR – in materia di protezione dei dati personali e (nel rispetto della normativa italiana) e al D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018 recante norme di adeguamento dell’ordinamento nazionale al Regolamento stesso.
Lo scopo che il Comitato Europeo vuole raggiungere con l’emanazione di queste nuove Linee Guida, è quello di garantire un’applicazione uniforme della normativa in materia di videosorveglianza all’interno di tutti gli Stati Membri dell’Unione Europea.
Ciò premesso, occorre innanzitutto precisare come siano di fondamentale importanza le precisazioni riportate nel draft riguardanti la base giuridica sulla quale si fonda l’installazione dell’impianto.
In linea teorica, è possibile che ricorrano tutte le condizioni di liceità previste dall’articolo 6, par. 1), del GDPR anche se, quelle più applicate nella prassi, sono il legittimo interesse che il Titolare del trattamento necessita di perseguire (art. 6, par. 1), lett. f), GDPR) ovvero l’esecuzione di un compito di interesse pubblico (art. 6, par. 1), lett. e), GDPR).
Il Comitato Europeo chiarisce come il Titolare del trattamento, dovrà specificare dettagliatamente sia la base giuridica sulla quale si fondano i trattamenti posti in essere, sia il dettaglio delle finalità perseguite. Un sistema basato sulla “sicurezza” nella sua nozione più semplice e generica, infatti, non rappresenta più una finalità sufficientemente dettagliata.
Un’altra importante precisazione riguarda le riprese basate sul legittimo interesse. Il trattamento è considerato lecito solamente se tale base giuridica rimane sempre reale, attuale e dimostrabile.
L’Autorità Garante italiana, in diverse occasioni, ha raccomandato ai Titolari del trattamento di utilizzare lo strumento della videosorveglianza in maniera proporzionata e non eccedente e tale approccio è possibile ritrovarlo nel draft delle prossime Linee Guida. Prima di procedere con l’installazione di tali impianti, infatti, il Titolare del trattamento dovrà utilizzare altri strumenti (quali, ad esempio, il supporto da parte di apposito personale addetto alla sicurezza, la dotazione di cancelli telecomandati o di adeguata illuminazione) e dimostrare l’effettiva necessità dell’adozione di un sistema di videosorveglianza. Ciò, prestando particolare attenzione a limitare e definire, sia temporalmente sia geograficamente, le riprese in modo da rispettare costantemente il principio di minimizzazione dei dati personali di cui all’art. 5, punto 1, lettera c) del GDPR.
Ad ogni Titolare del trattamento, viene richiesto di effettuare un bilanciamento tra gli interessi coinvolti analizzando, caso per caso, il legittimo interesse del Titolare da un lato e i diritti e le libertà fondamentali degli interessati dall’altro.
In considerazione di quando sopra, si attende la pubblicazione del testo definitivo delle Linee Guida da parte dell’EDPB le quali rappresentano non solo il primo documento che applica i principi del GDPR ai trattamenti effettuati tramite video riprese ma anche, per l’ordinamento nazionale, il primo nuovo documento in materia dopo il “Provvedimento in materia di videosorveglianza” emanato dal Garante l’08 aprile 2010.
Lo scorso 16 novembre, il Comitato Europeo per la Protezione dei Dati Personali (European Data Protection Board, “EDPB”) – l’organismo UE che ha sostituito il precedente c.d. WP29, incaricato della coerente applicazione del Regolamento UE 679/16 (“GDPR” o “Regolamento”) e composto dal responsabile di ciascuna autorità per la protezione dei dati e dal Garante Europeo della Protezione dei Dati – ha adottato un nuovo progetto (n. 3/2018) di linee guida (il “Progetto”), in merito all’ambito di applicazione territoriale del GDPR.
Si tratta di un documento, molto dettagliato – esemplificativo – e corposo, ad oggi disponibile solo in lingua inglese.
I riferimenti normativi
L’EDPB fornisce, innanzitutto, importanti chiarimenti in merito alle previsioni di cui agli articoli 3, 27 e 28, nonché al Considerando 80 del GDPR.
Secondo l’art. 3 rientra nel campo di applicazione del Regolamento il trattamento di dati personali – effettuato nell’ambito delle attività di uno stabilimento – da un titolare o di un responsabile del trattamento nella Unione, indipendentemente dal fatto che detto trattamento sia effettuato o meno all’interno della stessa.
L’applicabilità del Regolamento è prevista anche in presenza di trattamento di dati personali di interessati che si trovino nella UE, effettuato da un titolare o da un responsabile del trattamento non stabiliti sul territorio europeo. Ciò nel caso in cui le attività di trattamento riguardino (i) l’offerta di beni o la prestazione di servizi ai suddetti interessati in UE, indipendentemente dall’obbligatorietà di un pagamento dell’interessato, oppure (ii) il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno della UE.
Infine, ai sensi del suddetto art. 3, il GDPR si applica allorquando il trattamento dei dati personali venga effettuato da un titolare non stabilito nella UE ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Gli artt. 27 e 28 nonché il Considerando 80 del Regolamento definiscono il rapporto tra il titolare, il responsabile del trattamento e, specificamente, il rappresentante di tali due soggetti, nei casi in cui essi non siano “stabiliti” nella UE.
Criteri applicabili e relative esemplificazioni
I tre principali criteri che vengono dettagliati all’interno del documento in analisi, sono quelli riportati in ciascuno dei tre commi del succitato articolo 3 del GDPR, e dunque il (i) criterio dello stabilimento, il (ii) criterio della focalizzazione ed individuazione degli obiettivi (“targeting criterion”) nonché quello (iii) del diritto internazionale pubblico. Per ciascuno di tali criteri, si ritenie interessante riportare brevemente alcuni degli esempi chiarificatori così come proposti dall’EDPB.
Una società di produzione automotive con sede negli USA rientrerebbe nell’ambito applicativo del GDPR, qualora possedesse una branch in uno Stato UE a supervisione di talune operazioni (quali ad esempio il marketing) per tutta l’Europa. Ciò, se tali operazioni – alla luce della natura dell’attività economica esercitata dalla “società madre” USA – fossero considerabili quali reali ed effettive attività, qualificando la branch come effettivo stabilimento.
Ugualmente, rientrerebbe nell’ambito applicativo l’attività di trattamento esercitata (esclusivamente in Cina) da una società cinese, che vende beni o servizi worldwide tramite sito di e-commerce, qualora avesse una sede in UE incaricata di attuare “campagne di prospezione commerciale” e di marketing nei confronti dei mercati europei. In tal caso, aldilà dell’effettivo luogo ove avvenga il trattamento dei dati, la sede europea della società eserciterebbe attività inestricabilmente collegate al trattamento dei dati effettuato in Cina.
Non sarebbe applicabile il GDPR ad una catena alberghiera che offre pacchetti, in varie lingue europee, tramite sito web, qualora la stessa operi senza alcuna stabile rappresentanza nella UE e senza che l’offerta sia rivolta espressamente ai cittadini dell’Unione.
Rientrerebbe, invece, nell’ambito di applicazione del Regolamento, il trattamento dei dati di una società di noleggio auto europea che, pur offrendo i servizi di noleggio solo a clienti presenti in Paesi extra UE, tratti i dati nella propria (unica) sede europea.
Interessante infine, sul punto, l’esempio relativo ad un responsabile del trattamento (europeo) che abbia stipulato un contratto, ai sensi dell’art. 28 del GDPR, con un titolare del trattamento stabilito in un Paese extra UE, al fine di trattare per conto di quest’ultimo i dati di tutti i suoi clienti residenti fuori dalla UE. In tal caso, il GDPR non si applicherebbe al titolare, ma rientrando invece nell’ambito di applicazione il trattamento esercitato dal responsabile stabilito in UE.
Con riferimento a tale secondo criterio, particolarmente chiarificatori sembrano essere i seguenti esempi.
Se un cittadino USA viaggia per vacanza in Europa e qui scarica ed utilizza una App offerta da una società USA, il GDPR non troverebbe alcuna applicazione, venendo impattato (ed essendo l’effettivo target, a livello commerciale) il solo mercato statunitense.
Va notato che il trattamento dei dati di cittadini UE in un paese terzo, non determina l’applicazione del GDPR, qualora detto trattamento non sia collegato ad una specifica offerta rivolta a individui residenti in UE, o al monitoraggio del loro comportamento in ambito europeo.
Ugualmente non sarebbe applicabile il Regolamento:
– nel caso di una banca taiwanese che avesse clienti residenti a Taiwan, pur in possesso – tutti – della cittadinanza di un Paese UE, sempre nell’ottica di un servizio offerto ad un mercato non europeo; e
– al trattamento dei dati di cittadini europei da parte, ad esempio, dell’autorità canadese per l’immigrazione, qualora il trattamento sia limitato alle finalità di rilascio dei visti.
Infine, si pensi ad un sito web, basato e gestito in Turchia, che offre servizi per la creazione, edizione, stampa e spedizione di album fotografici di famiglia personalizzati. Il sito web è disponibile in inglese, francese, olandese e tedesco ed i pagamenti possono essere effettuati in euro o sterline nonché gli album fotografici possono essere consegnati solo per posta nel Regno Unito, in Francia, nei paesi del Benelux e in Germania. In tal caso, è chiaro che il trattamento effettuato dal sito web turco, come titolare, riguarda l’offerta di un servizio prestato a favore degli “interessati” stabiliti in UE. Pertanto esso è soggetto agli obblighi e alle disposizioni del GDPR. Il titolare turco è tenuto a nominare, ai sensi dell’art. 27 del Regolamento, un “rappresentante europeo”.
Infine, si ritiene opportuno riportare due situazioni – particolarmente esemplificative – immaginate dall’EDPB in cui il GDPR troverebbe applicazione, pur avvenendo il trattamento in un paese geograficamente non europeo, ma sottoposto alla legge UE ai sensi del diritto internazionale.
È questo il caso del Consolato olandese in Jamaica, che apre un processo di selezione e recruitment allo staff locale. In tal caso, in forza del diritto internazionale, si applicherà il GDPR.
Ugualmente si applicherebbe il Regolamento ad una nave tedesca sulla quale vengono trattati dati personali degli ospiti naviganti, al fine di offrire un servizio di intrattenimento profilato e ben attagliato alle singole esigenze degli utenti.
Conclusioni
Questo provvedimento potrebbe avere un rilevante impatto sull’attività di imprese e istituzioni che operano sempre più a livello globale e transazionale nonché servendosi di strumenti tecnologici quali siti web e e-commerce, o applicazioni e software per smartphone.
E proprio in ragione di ciò, esso è oggetto di consultazione pubblica, prima della sua approvazione definitiva. Entro il prossimo 18 gennaio sarà possibile far pervenire qualsivoglia commento, direttamente all’indirizzo mail dedicato (EDPB@edpb.europa.eu). Non resta a questo punto che attendere l’esito della consultazione.
Link correlati: