L’Autorità Garante per la protezione dei dati personali (il “Garante”), con ordinanza di ingiunzione
del 28 aprile 2022, ha comminato ad una società incaricata di gestire il servizio di raccolta dei rifiuti
urbani per il Comune di Taranto (il “Comune”), una sanzione di 200.000 euro, per aver affidato ad un
proprio sub-responsabile alcuni trattamenti di dati personali senza aver richiesto ed ottenuto
preventivamente una autorizzazione scritta, specifica o generale, dal Comune, titolare del
trattamento.
Nello specifico, il Comune a seguito di un diffuso abbandono dei rifiuti all’interno del territorio di
propria competenza aveva conferito ad una società – totalmente partecipata dallo stesso – funzioni
di accertamento e contestazione immediata di eventuali illeciti derivanti dalla violazione delle
norme comunali in materia di smaltimento dei rifiuti. Sia il Comune che la società concordavano
sull’opportunità di installare sistemi di videosorveglianza in corrispondenza di siti considerati
particolarmente sensibili in quanto luoghi in cui l’abbandono illecito dei rifiuti si ripeteva con
maggior frequenza.
Da una segnalazione pervenuta al Garante emergeva che la società aveva diffuso tramite la
pubblicazione sul proprio profilo Facebook, alcuni video e immagini, raccolti attraverso i predetti
sistemi di videosorveglianza, da cui risultavano identificati, o comunque identificabili, i cittadini
trasgressori.
A seguito della segnalazione ricevuta, il Garante avviava un’istruttoria da cui risultava che la società
incaricata aveva iniziato le attività di trattamento nel mese di marzo 2012 ai sensi di una ordinanza
comunale senza che, alla luce della normativa previgente, il rapporto con il Comune fosse
regolamentato, dal mese di novembre 2020, si era avvalsa per la raccolta delle immagini di videosorveglianza di un fornitore (regolarmente designato come responsabile del trattamento) senza la ” previa autorizzazione scritta, specifica o generale, del titolare del trattamento (ndr il Comune)” così come
previsto dall’articolo 28 del GDPR e solo nel gennaio 2022 tra essa e il Comune era stato sottoscritto, ai sensi dell’art. 28 del GDPR, un “accordo per la protezione dei dati personali e nomina a responsabile esterno del trattamento”. E solo in tale accordo il Comune aveva esplicitato che “la società, previa autorizzazione scritta del Comune, potrebbe dover comunicare o rendere disponibili i dati personali di titolarità di quest’ultimo ad uno o più soggetti terzi (quali sub responsabili), al fine di affidare a tali soggetti parte delle attività di trattamento”.
Continua a leggere la versione integrale pubblicata su Norme & Tributi Plus Diritto de Il Sole 24 Ore.
Su segnalazione di un gruppo di soci lavoratori di una società cooperativa, l’Autorità Garante per la protezione dei dati personali (il “Garante”) accertava l’illiceità di alcuni trattamenti effettuati mediante la pubblicazione, nella bacheca aziendale, di informazioni relative alle valutazioni sul loro operato.
In particolare, nell’ambito di un “concorso a premi per i soci lavoratori, dal titolo «Guardiamoci in faccia…soci!» con l’intento di incentivare i soci più meritevoli e […] disincentivare i disservizi” la società cooperativa era solita condividere settimanalmente le valutazioni dei destinatari utilizzando faccine (c.d. “emoticon”) accompagnate da giudizi di sintesi (quali a titolo esemplificativo, “assenteismo”, “simulazione malattia”) posti accanto all’immagine e al nominativo di ciascuno. Tali informazioni erano visibili non solo dal lavoratore interessato ma da chiunque accedesse ai locali all’interno dei quali era posta la bacheca aziendale, ivi inclusi i soggetti esterni occasionalmente presenti in sede, ed erano finalizzate a premiare, in denaro, i primi tre classificati.
Gli accertamenti effettuati dal Garante appuravano l’illiceità dei trattamenti per violazione dei principi fondamentali di liceità, correttezza e trasparenza nonché di minimizzazione dei dati. L’Autorità, infatti, se da un lato confermava che il datore di lavoro può trattare lecitamente le informazioni necessarie e pertinenti per la gestione del rapporto di lavoro – ivi compresi i dati necessari ad effettuare una valutazione sul corretto adempimento della prestazione lavorativa e/o ad esercitare il potere disciplinare (nei modi e con i limiti previsti dalla disciplina di settore) – dall’altro rilevava che la sistematica messa a disposizione di tali informazioni mediante affissione sulla bacheca permetteva un trattamento di dati a soggetti (quali altri colleghi o terzi) non legittimati a conoscere informazioni inerenti a valutazioni e rilievi disciplinari.
Inoltre, il Garante confermava che la raccolta del consenso, in circostanze come quelle oggetto di verifiche, non può essere considerata una base giuridica idonea a legittimare il trattamento di dati personali. Ciò in quanto l’asimmetria tra le rispettive parti del rapporto di lavoro non può presupporre un consenso prestato in maniera espressa, libera e specifica e riferito ad un trattamento specificatamente individuato. Il consenso prestato al momento dell’approvazione del deliberato assembleare, come invece sostenuto dalla società, è “funzionalmente diverso” dal consenso ai trattamenti effettuati dalla società in relazione alle valutazioni sull’operato dei soci.
Per tutti questi motivi, il Garante confermava che “[…] sottoporre costantemente all’osservazione dei colleghi le valutazioni sulla qualità del lavoro effettuato o sulla correttezza della prestazione, anche nell’ambito di una pubblica competizione premiale” lede aspetti quali quelli della dignità personale, della libertà e della riservatezza dei lavoratori.
◊◊◊◊
Avverso il provvedimento del Garante, la società ha proposto ricorso prima innanzi al competente Tribunale e poi innanzi alla Corte di Cassazione. Quest’ultima, con sentenza 17911/2022, pubblicata lo scorso 1° giugno, ha rigettato il ricorso – confermando quanto sostenuto dal Garante – e riaffermato il principio secondo cui “la legittimità del trattamento presuppone un consenso validamente prestato in modo espresso, libero e specifico, in riferimento a un trattamento chiaramente individuato; tale principio di portata generale rileva e prevale in ogni rapporto”.
Altri insights correlati:
Tra le conseguenze legate al conflitto in Ucraina c’è anche l’aumento del rischio di crimini informatici, specie per le moltissime aziende che lavorano con la Russia. Ma quello della cybersecurity è un tema che riguarda tutti coloro che ogni giorno si trovano a scambiare dati e informazioni con qualunque device elettronico. Non è un caso se già da prima della crisi Ucraina con la pandemia da Covid-19 – e l’aumento del telelavoro – si è reso necessario pensare alla creazione di una struttura ad hoc per la difesa informatica del nostro Paese, con la fondazione dell’Agenzia Nazionale per la cybersicurezza, indispensabile per sviluppare una strategia di cyber-resilienza nazionale. Non solo, più di recente, il presidente del Consiglio Mario Draghi ha firmato la “Strategia Nazionale di cybersicurezza 2022-2026”, dove si legge che l’1,2% degli investimenti nazionali lordi va destinato ogni anno alla cybersecurity.
Se proprio negli ultimi mesi molti servizi online e siti italiani, tra cui i siti web del Senato e del Ministero della Difesa e dell’ABI (Associazione Bancaria Italiana), sono stati oggetto di attacchi informatici (anche da parte dei russi), il tema riguarda il settore pubblico tanto quanto quello privato. L’edizione 2022 del Data Breach Investigations Report di Verizon fa notare un notevole aumento degli attacchi ransomware con un incremento pari al 13% in un solo anno. Si tratta della crescita “maggiore rispetto agli ultimi 5 anni messi insieme”. Proofpoint, invece, nel suo report annuale fa notare che il 2021 è stato un anno di grande creatività per i criminali informatici: gli attori delle minacce si sono orientati su metodi non convenzionali e focalizzati sulle persone con 100mila attacchi giornalieri da smartphone mentre lo smishing è raddoppiato rispetto all’anno precedente.
“Secondo i dati condivisi dalla polizia postale, anche nel primo trimestre del 2022 si è registrato un incremento di attacchi informatici di circa il + 40% rispetto lo stesso periodo nello scorso anno”, spiega a Dealflower Guido Moscarella, Coo di Innovery, multinazionale italiana specializzata in cybersicurezza. “La colpa di questo incremento – continua – non si può imputare completamente alla guerra, il numero di attacchi informatici e la loro complessità aumentano di anno in anno, specialmente nel post pandemia. La diffusione del remote working ha fatto emergere nuove vulnerabilità in breve tempo, perché ha ampliato il perimetro di attacco dei cybercriminali, un perimetro che le aziende non erano ancora in grado di sorvegliare”.
Ma l’intervento del governo è sufficiente? “Dire se gli investimenti ipotizzati sono sufficienti non è semplice. Il costo indotto da reati di origine informatica è di circa 7 miliardi di euro l’anno. L’investimento previsto per l’agenzia è di 623 milioni, a cui si ipotizza ti aggiungere ulteriori leve finanziare, come sgravi fiscali e altro. In un Paese in cui il 95% del tessuto produttivo è costituito da piccole e medie imprese, di cui la grande maggioranza non dispongono di un sistema di sicurezza informatica all’altezza, spesso proprio per problemi di budget, avremmo auspicato un investimento più corposo”, fa notare Moscarella.
Tuttavia, dalle Pmi alle multinazionali, le aziende di qualsiasi dimensione sono soggette ad attacchi hacker. “Una situazione che è peggiorata con la pandemia poiché il patrimonio aziendale è più esposto con lo smart working”, spiega a Dealflower l’avvocato Elena Cannone, Managing Associate e Compliance e Focus Team Leader dello studio De Luca & Partners. Ma la soluzione potrebbe già essere a portata di mano se si guarda al Gdpr. “Questo regolamento e la cybersecuirity sono facce della stessa medaglia”, spiega l’avvocato. Perché? “Nel regolamento si parla di misure tecniche e misure organizzative in merito alla cybersecurity. Il tutto viene fatto nel principio di accountability: quindi l’azienda deve fare un assessment, capire i rischi, censirli e, di conseguenza, adottare delle misure adeguate al livello di rischio”.
Se il Gdpr potrebbe essere un primo passo, ricorda Cannonne, “occorre avere un’infrastruttura It che permetta di arginare e ridurre il rischio più possibile. Le aziende devono essere sensibilizzate sull’aspetto della sicurezza informatica, anche perché questo va a tutela del patrimonio, ma anche dell’immagine e la reputazione dell’azienda”. Infatti, oltre i numeri che sono pubblici, non va dimenticato che molte aziende non denunciano gli attacchi hacker. L’ideale, quindi, è prevenire quello che potrebbe succedere in modo da tutelare il patrimonio, “ma c’è ancora strada da fare. Ci si sta pian piano arrivando: dal 2018 ad oggi sono comunque stati fatti passi in avanti”. Tuttavia, a mancare è la consapevolezza di formare i dipendenti. “Questi vanno formati e disciplinati con formazioni specifiche e periodiche”, sottolinea l’avvocato.
Ma la formazione è un tema cruciale anche oltre l’azienda. “L’Italia sta affrontando un grave gap di profili con competenze nei settori It, soprattutto nel settore della cybersecurity. La mancanza di questi profili rende difficile un presidio continuativo delle strutture critiche e garantire interventi immediati in caso di necessità”, aggiunge Moscarella. Innovery possiede due SOC – Security Operation Center, sul territorio italiano, strutture che garantiscono un monitoraggio continuo, attivo 24/7 per 365 giorni all’anno, in grado di rispondere a ogni emergenza. “Ma per aumentare l’efficacia di questi centri è necessario implementarli con sempre nuove risorse, in grado di affrontare i rischi informatici a tutti i livelli, per questo è fondamentale investire in formazione”
Anche secondo un recente rapporto di Fortinet, multinazionale americana che si occupa di sviluppo e commercializzazione di software, dispositivi e servizi di sicurezza informatica, in Italia mancano 100mila esperti di cyber security. Secondo i dati dell’analisi 2022 Cybersecurity Skills Gap, che ha coinvolto1.223 manager di altrettante società in 29 Paesi del mondo, le carenze dei sistemi di protezione sono evidenti. Massimo Palermo, Country manager per Italia e Malta di Fortinet, ha fatto notare che in Italia servono almeno 100mila figure specializzate consideranto che siamo “il terzo Paese al mondo più colpito da attacchi ransomware”.
Per una corretta gestione di un sistema di whistleblowing è indispensabile prestare la dovuta attenzione alla protezione dei dati personali trattati.
Nel realizzare il necessario bilanciamento tra l’esigenza di riservatezza del segnalante e della segnalazione, la necessità di accertamento dell’illecito e il diritto del segnalato alla difesa e al contraddittorio, l’adozione di misure adeguate a garantire la tutela e la sicurezza delle informazioni personali rappresentano un fattore determinante per il raggiungimento di tale equilibrio.
Vittorio De Luca, Managing Partner dello Studio De Luca & Partners commenta: “Il recente provvedimento adottato dall’Autorità Garante per la privacy è solo l’ultimo dei provvedimenti adottati sul tema che, come ricorda la stessa Autorità, si inserisce in un più ampio piano ispettivo dedicato a verificare il massimo rispetto della tutela della protezione dei dati personali nell’ambito della gestione delle segnalazioni di condotte illecite. Fermo ciò, è opportuno evidenziare come una corretta gestione del «sistema whistleblowing» si inserisce anche all’interno di una efficace strategia di compliance aziendale. Implementare modelli di organizzazione, gestione e controllo costruiti a partire dai risultati di quanto emerge da una preliminare analisi dei rischi permette di ridurre sia il pericolo di commissione di reato sia il rischio di incorrere nelle pesanti sanzioni previste dalla normativa oggi applicabile. In tale contesto, occorre, quindi, adottare specifiche procedure aziendali e adeguate misure tecniche ed organizzative a tutela della protezione e della sicurezza delle informazioni di tutti i soggetti coinvolti; senza trascurare l’importanza della sensibilizzazione e della formazione tanto degli utilizzatori di tali sistemi tanto di coloro che sono incaricati di gestire e verificare le segnalazioni effettuate. Raggiungere un alto livello di consapevolezza e cultura tra la popolazione aziendale deve rappresentare uno dei primi obiettivi da raggiungere”.
Il 7 aprile 2022, con una ordinanza di ingiunzione emessa nei confronti di una Azienda ospedaliera, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha rilevato l’illiceità del trattamento di dati effettuato nell’ambito della gestione di un sistema di whistleblowing dalla stessa adottato.
Con il medesimo provvedimento, il Garante ha sanzionato la società informatica incaricata di gestire il servizio per denunciare le presunte attività corruttive o comportamenti illeciti all’interno dell’ente, la quale agiva in qualità di responsabile del trattamento dei dati personali.
Il Garante ha, innanzitutto, rilevato che l’Azienda ospedaliera, nella sua qualità di Titolare del trattamento, non aveva provveduto a rendere, ai sensi degli artt. 13 e 14 del Regolamento (UE) 2016/679 (il “GDPR”), una specifica e preventiva informativa circa i trattamenti di dati personali effettuati a seguito di una segnalazione. Ciò, in violazione del principio di “liceità, correttezza e trasparenza” che impone al titolare del trattamento l’obbligo di fornire preventivamente ai soggetti interessati specifiche informazioni sul trattamento dei dati adottando “misure appropriate” per raggiungere tutti i destinatari.
È emerso, altresì, che l’Azienda sanitaria non aveva provveduto (i) a tracciare i trattamenti effettuati all’interno del Registro delle attività di trattamento in conformità con quanto disposto dall’articolo 30 del GDPR nonché ad effettuare una preliminare valutazione di impatto privacy.
Il Garante, con l’occasione, ha ricordato che il trattamento dei dati personali mediante i sistemi di acquisizione e gestione delle segnalazioni presenta dei rischi specifici per i diritti e le libertà degli interessati in virtù “della particolare delicatezza delle informazioni potenzialmente trattate, della “vulnerabilità” degli interessati nel contesto lavorativo, nonché dello specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore”.
La decisione del Garante
Tutto ciò rilevato, il Garante ha comminato, all’Azienda sanitaria e alla società informatica, una sanzione di euro 40.000 concedendo all’ente ulteriori 30 giorni di tempo per adeguare il rapporto con il proprio fornitore alla normativa in materia.
◊◊◊◊
Come specificato nel comunicato condiviso dal Garante, l’attività istruttoria effettuata nel caso di specie si inserisce “nell’ambito di un ciclo di attività ispettive sulle modalità di trattamento dei dati acquisiti tramite i sistemi di whistleblowing, in particolare quelli più utilizzati in Italia dai datori di lavoro”.
Altri insights correlati:
