Il Quotidiano del Lavoro pubblica un articolo a firma di Vittorio De Luca, Antonella Iacobellis e Martina De Angeli a proposito di un recente provvedimento dell’Autorità Garante per la protezione dei dati personali, che sanziona un ateneo italiano per non aver adeguatamente tutelato, affidandosi alle procedure di sicurezza scelte dal proprio fornitore software, i dati personali di due whistleblowers.
Clicca qui per leggere il DLP insights relativo alla vicenda e le considerazioni dello Studio.
L’Autorità Garante per la protezione dei dati personali con il Provvedimento n. 17 del 23 gennaio 2020, nel sanzionare un Ateneo italiano per non aver adeguatamente tutelato la riservatezza dei dati identificativi di due soggetti – i whistleblowers – che avevano segnalato possibili comportamenti illeciti, ha ribadito la sussistenza dell’obbligo in capo al datore di lavoro “Titolare del trattamento” (ai sensi dell’articolo 4, del Regolamento UE 2016/679, il “GDPR”) di porre in essere misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali trattati (cfr. Newsletter del Garante n. 462 del 18 febbraio 2020).
Nello specifico, all’epoca dei fatti, l’Ateneo nell’adeguarsi agli obblighi di adeguata tutela del dipendente che segnala condotte illecite dall’interno dell’ambiente di lavoro (il c.d. “whistleblowing” introdotto nell’ordinamento italiano con il decreto legislativo n. 165 del 30 marzo 2001), aveva scelto di utilizzare una soluzione tecnologica. In questo caso, per garantire la protezione dell’acquisizione e della gestione delle segnalazioni degli illeciti, l’Ateneo era ricorso all’utilizzo di una piattaforma software fornitagli da un soggetto terzo esterno rispetto all’organizzazione dell’Ateneo stesso.
Durante una modifica con contestuale aggiornamento della piattaforma software, si verificava una c.d. sovrascrittura dei permessi di accesso che aveva comportato l’esposizione dei dati personali dei due whistleblowers, su alcuni motori di ricerca accessibili e visualizzabili da chiunque effettuasse una ricerca tramite Internet.
A fronte di quanto sopra, l’Ateneo notificava all’Autorità Garante per la protezione dei dati personali una violazione – c.d. data breach – con la quale si denunciava la dispersione dei dati personali comuni dei due whistleblowers sulla rete pubblica, resi in tal modo potenzialmente consultabili da chiunque.
L’attività istruttoria, posta in essere dall’Autorità Garante per la protezione dei dati personali, ha rilevato che l’Ateneo non aveva adottato adeguati accorgimenti tecnici ed organizzativi finalizzati a garantire “le esigenze di sicurezza e riservatezza proprie della gestione dei dati nell’ambito delle procedure di whistleblowing”, non impostando, peraltro, una corretta procedura per il controllo degli accessi che avrebbe dovuto limitare il trattamento dei dati al personale autorizzato.
L’Ateneo, infatti, si era limitato a fare proprie le misure di sicurezza scelte dal fornitore del software. Tuttavia, predette misure di sicurezza non erano adeguate e idonee, non prevedendo accorgimenti quali la cifratura o l’adozione di un protocollo di comunicazione sicura delle informazioni e consentendo in tal modo la violazione della riservatezza e dell’integrità dei dati personali trattati e la non corretta conservazione e accessibilità degli stessi.
In particolare, l’Autorità Garante per la protezione dei dati personali sosteneva che “Con riguardo all’applicativo in questione, tenuto conto della natura, dell’oggetto e della finalità del trattamento nonché dell’elevato rischio per i diritti e le libertà dei segnalanti, la soluzione adottata dall’Ateneo non può essere considerata una misura tecnica adeguata a garantire la riservatezza e l’integrità dei dati trattati nonché l’autenticità del sito web visualizzato da parte dei soggetti che lo utilizzano sia come canale di invio delle segnalazioni (dipendenti, studenti, ecc.) che come strumento di gestione delle stesse (RPCT ed eventuali suoi collaboratori”.
Clicca qui per continuare a leggere l’articolo.
Il 6 settembre 2019, l’European Data Protection Board (“EDPB”) ha terminato i lavori di consultazione pubblica ai quali è stato sottoposto il documento contenente il draft delle prossime Linee Guida n. 3/2019 riguardanti la videosorveglianza (“Guidelines 3/2019 on processing of personal data through video devices”).
Le immagini e le tracce audio che vengono trattate attraverso l’utilizzo dei sistemi di videosorveglianza, rientrano nella definizione di “dati personali” in quanto permettono l’identificazione, diretta o indiretta, di una persona fisica. I trattamenti effettuati riguardo a tali informazioni, pertanto, devono essere pienamente conformi al Regolamento EU 2016/679 – GDPR – in materia di protezione dei dati personali e (nel rispetto della normativa italiana) e al D.lgs. 196/2003 così come modificato dal D.lgs. 101/2018 recante norme di adeguamento dell’ordinamento nazionale al Regolamento stesso.
Lo scopo che il Comitato Europeo vuole raggiungere con l’emanazione di queste nuove Linee Guida, è quello di garantire un’applicazione uniforme della normativa in materia di videosorveglianza all’interno di tutti gli Stati Membri dell’Unione Europea.
Ciò premesso, occorre innanzitutto precisare come siano di fondamentale importanza le precisazioni riportate nel draft riguardanti la base giuridica sulla quale si fonda l’installazione dell’impianto.
In linea teorica, è possibile che ricorrano tutte le condizioni di liceità previste dall’articolo 6, par. 1), del GDPR anche se, quelle più applicate nella prassi, sono il legittimo interesse che il Titolare del trattamento necessita di perseguire (art. 6, par. 1), lett. f), GDPR) ovvero l’esecuzione di un compito di interesse pubblico (art. 6, par. 1), lett. e), GDPR).
Il Comitato Europeo chiarisce come il Titolare del trattamento, dovrà specificare dettagliatamente sia la base giuridica sulla quale si fondano i trattamenti posti in essere, sia il dettaglio delle finalità perseguite. Un sistema basato sulla “sicurezza” nella sua nozione più semplice e generica, infatti, non rappresenta più una finalità sufficientemente dettagliata.
Un’altra importante precisazione riguarda le riprese basate sul legittimo interesse. Il trattamento è considerato lecito solamente se tale base giuridica rimane sempre reale, attuale e dimostrabile.
L’Autorità Garante italiana, in diverse occasioni, ha raccomandato ai Titolari del trattamento di utilizzare lo strumento della videosorveglianza in maniera proporzionata e non eccedente e tale approccio è possibile ritrovarlo nel draft delle prossime Linee Guida. Prima di procedere con l’installazione di tali impianti, infatti, il Titolare del trattamento dovrà utilizzare altri strumenti (quali, ad esempio, il supporto da parte di apposito personale addetto alla sicurezza, la dotazione di cancelli telecomandati o di adeguata illuminazione) e dimostrare l’effettiva necessità dell’adozione di un sistema di videosorveglianza. Ciò, prestando particolare attenzione a limitare e definire, sia temporalmente sia geograficamente, le riprese in modo da rispettare costantemente il principio di minimizzazione dei dati personali di cui all’art. 5, punto 1, lettera c) del GDPR.
Ad ogni Titolare del trattamento, viene richiesto di effettuare un bilanciamento tra gli interessi coinvolti analizzando, caso per caso, il legittimo interesse del Titolare da un lato e i diritti e le libertà fondamentali degli interessati dall’altro.
In considerazione di quando sopra, si attende la pubblicazione del testo definitivo delle Linee Guida da parte dell’EDPB le quali rappresentano non solo il primo documento che applica i principi del GDPR ai trattamenti effettuati tramite video riprese ma anche, per l’ordinamento nazionale, il primo nuovo documento in materia dopo il “Provvedimento in materia di videosorveglianza” emanato dal Garante l’08 aprile 2010.
La Data Protection Board (Edpb) ha reso noto sul proprio sito istituzionale che l’autorità polacca per la protezione dei dati personali (UODO), nel mese di marzo 2019, ha inflitto ad una società svedese la prima sanzione ai sensi del Regolamento UE 2016/679 in materia di protezione dei dati personali (il “GDPR”). Nello specifico, la società è stata condannata al pagamento di una sanzione pari ad Euro 220.000, poiché ha elaborato i dati personali di taluni soggetti senza che quest’ultimi ne fossero consapevoli. È stato, infatti, accertato che la stessa non aveva rilasciato ad essi, in aperta violazione dell’art. 14 del GDPR, idonea informativa sul trattamento dei loro dati.
Normativa di riferimento
Nel caso in cui i dati raccolti non siano stati forniti direttamente dall’interessato, l’art. 14 del GDPR prevede che il titolare del trattamento gli fornisca le seguenti informazioni:
Il Titolare deve fornire all’interessato dette informazioni entro un termine ragionevole e, comunque, entro un mese dalla raccolta oppure al momento della comunicazione dei dati ad esso o a terzi.
Il caso
Nel caso in esame la società sanzionata – che offre supporto decisionale sotto forma di business digitale, marketing e informazioni creditizie – ha elaborato i dati molte persone fisiche (imprenditori), a loro insaputa.
Gli interessati non sono stati informati del trattamento dei loro dati e, quindi, sono stati privati della possibilità di esercitare i propri diritti ai sensi del GDPR. Gli stessi non hanno avuto la possibilità di opporsi all’ulteriore elaborazione dei loro dati, per chiederne la cancellazione o la rettifica.
In particolare, la società ha fornito le informazioni di cui all’art. 14 del GDPR solo alle persone di cui aveva un indirizzo e-mail. Nei confronti delle altre, invece, non ha rispettato l’obbligo informativo, a causa (per sua stessa ammissione) degli “elevati costi operativi” che avrebbe dovuto sopportare nell’inviare loro l’informativa per raccomandata, limitandosi a pubblicare l’informativa privacy sul suo sito web.
Secondo il presidente dell’UODO la società, disponendo sia degli indirizzi postali che dei numeri di telefono di dette persone, ben avrebbe dovuto adempiere in tal modo all’obbligo informativo nei loro confronti. Le disposizioni del GDPR, infatti, non impongono al titolare del trattamento di inviare l’informativa “per raccomandata”.
Il presidente dell’UODO, dunque, ha ritenuto la violazione della società intenzionale, proprio perché la stessa era consapevole dell’obbligo di fornire informazioni pertinenti nonché della necessità di informare direttamente le persone.
Nell’infliggere la sanzione, l’UODO ha anche tenuto conto del fatto che la società non avesse intrapreso alcuna azione (correttiva) per porre fine all’infrazione, né avesse dichiarato la propria intenzione di farlo.
In conclusione, l’UODO ha considerato tale violazione molto grave poiché “riguarda i diritti e le libertà fondamentali delle persone, i cui dati sono trattati dalla società e si riferiscono alla questione di base: le informazioni da fornire all’interessato riguardanti il trattamento dei suoi dati personali. Imporre la multa è necessario, perché il controllore non è conforme alla legge”.
Considerazioni
Si tratta di una importante pronuncia atteso che (i) la sanzione deriva dalla violazione di una normativa Europea (applicabile come noto anche nel nostro ordinamento) in materia di protezione dei dati personali e non nazionale e (ii) evidenzia un errore in termini di compliance aziendale. Ciò in quanto la società non aveva adempiuto all’onere sulla stessa gravante, omettendo di informare gli interessati in merito al trattamento dei loro dati.
Notizie correlate:
Linee Guida del Comitato Europeo per la Protezione dei Dati sull’applicazione territoriale del GDPR
Lo scorso 16 novembre, il Comitato Europeo per la Protezione dei Dati Personali (European Data Protection Board, “EDPB”) – l’organismo UE che ha sostituito il precedente c.d. WP29, incaricato della coerente applicazione del Regolamento UE 679/16 (“GDPR” o “Regolamento”) e composto dal responsabile di ciascuna autorità per la protezione dei dati e dal Garante Europeo della Protezione dei Dati – ha adottato un nuovo progetto (n. 3/2018) di linee guida (il “Progetto”), in merito all’ambito di applicazione territoriale del GDPR.
Si tratta di un documento, molto dettagliato – esemplificativo – e corposo, ad oggi disponibile solo in lingua inglese.
I riferimenti normativi
L’EDPB fornisce, innanzitutto, importanti chiarimenti in merito alle previsioni di cui agli articoli 3, 27 e 28, nonché al Considerando 80 del GDPR.
Secondo l’art. 3 rientra nel campo di applicazione del Regolamento il trattamento di dati personali – effettuato nell’ambito delle attività di uno stabilimento – da un titolare o di un responsabile del trattamento nella Unione, indipendentemente dal fatto che detto trattamento sia effettuato o meno all’interno della stessa.
L’applicabilità del Regolamento è prevista anche in presenza di trattamento di dati personali di interessati che si trovino nella UE, effettuato da un titolare o da un responsabile del trattamento non stabiliti sul territorio europeo. Ciò nel caso in cui le attività di trattamento riguardino (i) l’offerta di beni o la prestazione di servizi ai suddetti interessati in UE, indipendentemente dall’obbligatorietà di un pagamento dell’interessato, oppure (ii) il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno della UE.
Infine, ai sensi del suddetto art. 3, il GDPR si applica allorquando il trattamento dei dati personali venga effettuato da un titolare non stabilito nella UE ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Gli artt. 27 e 28 nonché il Considerando 80 del Regolamento definiscono il rapporto tra il titolare, il responsabile del trattamento e, specificamente, il rappresentante di tali due soggetti, nei casi in cui essi non siano “stabiliti” nella UE.
Criteri applicabili e relative esemplificazioni
I tre principali criteri che vengono dettagliati all’interno del documento in analisi, sono quelli riportati in ciascuno dei tre commi del succitato articolo 3 del GDPR, e dunque il (i) criterio dello stabilimento, il (ii) criterio della focalizzazione ed individuazione degli obiettivi (“targeting criterion”) nonché quello (iii) del diritto internazionale pubblico. Per ciascuno di tali criteri, si ritenie interessante riportare brevemente alcuni degli esempi chiarificatori così come proposti dall’EDPB.
Una società di produzione automotive con sede negli USA rientrerebbe nell’ambito applicativo del GDPR, qualora possedesse una branch in uno Stato UE a supervisione di talune operazioni (quali ad esempio il marketing) per tutta l’Europa. Ciò, se tali operazioni – alla luce della natura dell’attività economica esercitata dalla “società madre” USA – fossero considerabili quali reali ed effettive attività, qualificando la branch come effettivo stabilimento.
Ugualmente, rientrerebbe nell’ambito applicativo l’attività di trattamento esercitata (esclusivamente in Cina) da una società cinese, che vende beni o servizi worldwide tramite sito di e-commerce, qualora avesse una sede in UE incaricata di attuare “campagne di prospezione commerciale” e di marketing nei confronti dei mercati europei. In tal caso, aldilà dell’effettivo luogo ove avvenga il trattamento dei dati, la sede europea della società eserciterebbe attività inestricabilmente collegate al trattamento dei dati effettuato in Cina.
Non sarebbe applicabile il GDPR ad una catena alberghiera che offre pacchetti, in varie lingue europee, tramite sito web, qualora la stessa operi senza alcuna stabile rappresentanza nella UE e senza che l’offerta sia rivolta espressamente ai cittadini dell’Unione.
Rientrerebbe, invece, nell’ambito di applicazione del Regolamento, il trattamento dei dati di una società di noleggio auto europea che, pur offrendo i servizi di noleggio solo a clienti presenti in Paesi extra UE, tratti i dati nella propria (unica) sede europea.
Interessante infine, sul punto, l’esempio relativo ad un responsabile del trattamento (europeo) che abbia stipulato un contratto, ai sensi dell’art. 28 del GDPR, con un titolare del trattamento stabilito in un Paese extra UE, al fine di trattare per conto di quest’ultimo i dati di tutti i suoi clienti residenti fuori dalla UE. In tal caso, il GDPR non si applicherebbe al titolare, ma rientrando invece nell’ambito di applicazione il trattamento esercitato dal responsabile stabilito in UE.
Con riferimento a tale secondo criterio, particolarmente chiarificatori sembrano essere i seguenti esempi.
Se un cittadino USA viaggia per vacanza in Europa e qui scarica ed utilizza una App offerta da una società USA, il GDPR non troverebbe alcuna applicazione, venendo impattato (ed essendo l’effettivo target, a livello commerciale) il solo mercato statunitense.
Va notato che il trattamento dei dati di cittadini UE in un paese terzo, non determina l’applicazione del GDPR, qualora detto trattamento non sia collegato ad una specifica offerta rivolta a individui residenti in UE, o al monitoraggio del loro comportamento in ambito europeo.
Ugualmente non sarebbe applicabile il Regolamento:
– nel caso di una banca taiwanese che avesse clienti residenti a Taiwan, pur in possesso – tutti – della cittadinanza di un Paese UE, sempre nell’ottica di un servizio offerto ad un mercato non europeo; e
– al trattamento dei dati di cittadini europei da parte, ad esempio, dell’autorità canadese per l’immigrazione, qualora il trattamento sia limitato alle finalità di rilascio dei visti.
Infine, si pensi ad un sito web, basato e gestito in Turchia, che offre servizi per la creazione, edizione, stampa e spedizione di album fotografici di famiglia personalizzati. Il sito web è disponibile in inglese, francese, olandese e tedesco ed i pagamenti possono essere effettuati in euro o sterline nonché gli album fotografici possono essere consegnati solo per posta nel Regno Unito, in Francia, nei paesi del Benelux e in Germania. In tal caso, è chiaro che il trattamento effettuato dal sito web turco, come titolare, riguarda l’offerta di un servizio prestato a favore degli “interessati” stabiliti in UE. Pertanto esso è soggetto agli obblighi e alle disposizioni del GDPR. Il titolare turco è tenuto a nominare, ai sensi dell’art. 27 del Regolamento, un “rappresentante europeo”.
Infine, si ritiene opportuno riportare due situazioni – particolarmente esemplificative – immaginate dall’EDPB in cui il GDPR troverebbe applicazione, pur avvenendo il trattamento in un paese geograficamente non europeo, ma sottoposto alla legge UE ai sensi del diritto internazionale.
È questo il caso del Consolato olandese in Jamaica, che apre un processo di selezione e recruitment allo staff locale. In tal caso, in forza del diritto internazionale, si applicherà il GDPR.
Ugualmente si applicherebbe il Regolamento ad una nave tedesca sulla quale vengono trattati dati personali degli ospiti naviganti, al fine di offrire un servizio di intrattenimento profilato e ben attagliato alle singole esigenze degli utenti.
Conclusioni
Questo provvedimento potrebbe avere un rilevante impatto sull’attività di imprese e istituzioni che operano sempre più a livello globale e transazionale nonché servendosi di strumenti tecnologici quali siti web e e-commerce, o applicazioni e software per smartphone.
E proprio in ragione di ciò, esso è oggetto di consultazione pubblica, prima della sua approvazione definitiva. Entro il prossimo 18 gennaio sarà possibile far pervenire qualsivoglia commento, direttamente all’indirizzo mail dedicato (EDPB@edpb.europa.eu). Non resta a questo punto che attendere l’esito della consultazione.
Link correlati:
