La Data Protection Board (Edpb) ha reso noto sul proprio sito istituzionale che l’autorità polacca per la protezione dei dati personali (UODO), nel mese di marzo 2019, ha inflitto ad una società svedese la prima sanzione ai sensi del Regolamento UE 2016/679 in materia di protezione dei dati personali (il “GDPR”). Nello specifico, la società è stata condannata al pagamento di una sanzione pari ad Euro 220.000, poiché ha elaborato i dati personali di taluni soggetti senza che quest’ultimi ne fossero consapevoli. È stato, infatti, accertato che la stessa non aveva rilasciato ad essi, in aperta violazione dell’art. 14 del GDPR, idonea informativa sul trattamento dei loro dati.
Normativa di riferimento
Nel caso in cui i dati raccolti non siano stati forniti direttamente dall’interessato, l’art. 14 del GDPR prevede che il titolare del trattamento gli fornisca le seguenti informazioni:
Il Titolare deve fornire all’interessato dette informazioni entro un termine ragionevole e, comunque, entro un mese dalla raccolta oppure al momento della comunicazione dei dati ad esso o a terzi.
Il caso
Nel caso in esame la società sanzionata – che offre supporto decisionale sotto forma di business digitale, marketing e informazioni creditizie – ha elaborato i dati molte persone fisiche (imprenditori), a loro insaputa.
Gli interessati non sono stati informati del trattamento dei loro dati e, quindi, sono stati privati della possibilità di esercitare i propri diritti ai sensi del GDPR. Gli stessi non hanno avuto la possibilità di opporsi all’ulteriore elaborazione dei loro dati, per chiederne la cancellazione o la rettifica.
In particolare, la società ha fornito le informazioni di cui all’art. 14 del GDPR solo alle persone di cui aveva un indirizzo e-mail. Nei confronti delle altre, invece, non ha rispettato l’obbligo informativo, a causa (per sua stessa ammissione) degli “elevati costi operativi” che avrebbe dovuto sopportare nell’inviare loro l’informativa per raccomandata, limitandosi a pubblicare l’informativa privacy sul suo sito web.
Secondo il presidente dell’UODO la società, disponendo sia degli indirizzi postali che dei numeri di telefono di dette persone, ben avrebbe dovuto adempiere in tal modo all’obbligo informativo nei loro confronti. Le disposizioni del GDPR, infatti, non impongono al titolare del trattamento di inviare l’informativa “per raccomandata”.
Il presidente dell’UODO, dunque, ha ritenuto la violazione della società intenzionale, proprio perché la stessa era consapevole dell’obbligo di fornire informazioni pertinenti nonché della necessità di informare direttamente le persone.
Nell’infliggere la sanzione, l’UODO ha anche tenuto conto del fatto che la società non avesse intrapreso alcuna azione (correttiva) per porre fine all’infrazione, né avesse dichiarato la propria intenzione di farlo.
In conclusione, l’UODO ha considerato tale violazione molto grave poiché “riguarda i diritti e le libertà fondamentali delle persone, i cui dati sono trattati dalla società e si riferiscono alla questione di base: le informazioni da fornire all’interessato riguardanti il trattamento dei suoi dati personali. Imporre la multa è necessario, perché il controllore non è conforme alla legge”.
Considerazioni
Si tratta di una importante pronuncia atteso che (i) la sanzione deriva dalla violazione di una normativa Europea (applicabile come noto anche nel nostro ordinamento) in materia di protezione dei dati personali e non nazionale e (ii) evidenzia un errore in termini di compliance aziendale. Ciò in quanto la società non aveva adempiuto all’onere sulla stessa gravante, omettendo di informare gli interessati in merito al trattamento dei loro dati.
Notizie correlate:
Linee Guida del Comitato Europeo per la Protezione dei Dati sull’applicazione territoriale del GDPR
Lo scorso 16 novembre, il Comitato Europeo per la Protezione dei Dati Personali (European Data Protection Board, “EDPB”) – l’organismo UE che ha sostituito il precedente c.d. WP29, incaricato della coerente applicazione del Regolamento UE 679/16 (“GDPR” o “Regolamento”) e composto dal responsabile di ciascuna autorità per la protezione dei dati e dal Garante Europeo della Protezione dei Dati – ha adottato un nuovo progetto (n. 3/2018) di linee guida (il “Progetto”), in merito all’ambito di applicazione territoriale del GDPR.
Si tratta di un documento, molto dettagliato – esemplificativo – e corposo, ad oggi disponibile solo in lingua inglese.
I riferimenti normativi
L’EDPB fornisce, innanzitutto, importanti chiarimenti in merito alle previsioni di cui agli articoli 3, 27 e 28, nonché al Considerando 80 del GDPR.
Secondo l’art. 3 rientra nel campo di applicazione del Regolamento il trattamento di dati personali – effettuato nell’ambito delle attività di uno stabilimento – da un titolare o di un responsabile del trattamento nella Unione, indipendentemente dal fatto che detto trattamento sia effettuato o meno all’interno della stessa.
L’applicabilità del Regolamento è prevista anche in presenza di trattamento di dati personali di interessati che si trovino nella UE, effettuato da un titolare o da un responsabile del trattamento non stabiliti sul territorio europeo. Ciò nel caso in cui le attività di trattamento riguardino (i) l’offerta di beni o la prestazione di servizi ai suddetti interessati in UE, indipendentemente dall’obbligatorietà di un pagamento dell’interessato, oppure (ii) il monitoraggio del loro comportamento, nella misura in cui tale comportamento abbia luogo all’interno della UE.
Infine, ai sensi del suddetto art. 3, il GDPR si applica allorquando il trattamento dei dati personali venga effettuato da un titolare non stabilito nella UE ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
Gli artt. 27 e 28 nonché il Considerando 80 del Regolamento definiscono il rapporto tra il titolare, il responsabile del trattamento e, specificamente, il rappresentante di tali due soggetti, nei casi in cui essi non siano “stabiliti” nella UE.
Criteri applicabili e relative esemplificazioni
I tre principali criteri che vengono dettagliati all’interno del documento in analisi, sono quelli riportati in ciascuno dei tre commi del succitato articolo 3 del GDPR, e dunque il (i) criterio dello stabilimento, il (ii) criterio della focalizzazione ed individuazione degli obiettivi (“targeting criterion”) nonché quello (iii) del diritto internazionale pubblico. Per ciascuno di tali criteri, si ritenie interessante riportare brevemente alcuni degli esempi chiarificatori così come proposti dall’EDPB.
Una società di produzione automotive con sede negli USA rientrerebbe nell’ambito applicativo del GDPR, qualora possedesse una branch in uno Stato UE a supervisione di talune operazioni (quali ad esempio il marketing) per tutta l’Europa. Ciò, se tali operazioni – alla luce della natura dell’attività economica esercitata dalla “società madre” USA – fossero considerabili quali reali ed effettive attività, qualificando la branch come effettivo stabilimento.
Ugualmente, rientrerebbe nell’ambito applicativo l’attività di trattamento esercitata (esclusivamente in Cina) da una società cinese, che vende beni o servizi worldwide tramite sito di e-commerce, qualora avesse una sede in UE incaricata di attuare “campagne di prospezione commerciale” e di marketing nei confronti dei mercati europei. In tal caso, aldilà dell’effettivo luogo ove avvenga il trattamento dei dati, la sede europea della società eserciterebbe attività inestricabilmente collegate al trattamento dei dati effettuato in Cina.
Non sarebbe applicabile il GDPR ad una catena alberghiera che offre pacchetti, in varie lingue europee, tramite sito web, qualora la stessa operi senza alcuna stabile rappresentanza nella UE e senza che l’offerta sia rivolta espressamente ai cittadini dell’Unione.
Rientrerebbe, invece, nell’ambito di applicazione del Regolamento, il trattamento dei dati di una società di noleggio auto europea che, pur offrendo i servizi di noleggio solo a clienti presenti in Paesi extra UE, tratti i dati nella propria (unica) sede europea.
Interessante infine, sul punto, l’esempio relativo ad un responsabile del trattamento (europeo) che abbia stipulato un contratto, ai sensi dell’art. 28 del GDPR, con un titolare del trattamento stabilito in un Paese extra UE, al fine di trattare per conto di quest’ultimo i dati di tutti i suoi clienti residenti fuori dalla UE. In tal caso, il GDPR non si applicherebbe al titolare, ma rientrando invece nell’ambito di applicazione il trattamento esercitato dal responsabile stabilito in UE.
Con riferimento a tale secondo criterio, particolarmente chiarificatori sembrano essere i seguenti esempi.
Se un cittadino USA viaggia per vacanza in Europa e qui scarica ed utilizza una App offerta da una società USA, il GDPR non troverebbe alcuna applicazione, venendo impattato (ed essendo l’effettivo target, a livello commerciale) il solo mercato statunitense.
Va notato che il trattamento dei dati di cittadini UE in un paese terzo, non determina l’applicazione del GDPR, qualora detto trattamento non sia collegato ad una specifica offerta rivolta a individui residenti in UE, o al monitoraggio del loro comportamento in ambito europeo.
Ugualmente non sarebbe applicabile il Regolamento:
– nel caso di una banca taiwanese che avesse clienti residenti a Taiwan, pur in possesso – tutti – della cittadinanza di un Paese UE, sempre nell’ottica di un servizio offerto ad un mercato non europeo; e
– al trattamento dei dati di cittadini europei da parte, ad esempio, dell’autorità canadese per l’immigrazione, qualora il trattamento sia limitato alle finalità di rilascio dei visti.
Infine, si pensi ad un sito web, basato e gestito in Turchia, che offre servizi per la creazione, edizione, stampa e spedizione di album fotografici di famiglia personalizzati. Il sito web è disponibile in inglese, francese, olandese e tedesco ed i pagamenti possono essere effettuati in euro o sterline nonché gli album fotografici possono essere consegnati solo per posta nel Regno Unito, in Francia, nei paesi del Benelux e in Germania. In tal caso, è chiaro che il trattamento effettuato dal sito web turco, come titolare, riguarda l’offerta di un servizio prestato a favore degli “interessati” stabiliti in UE. Pertanto esso è soggetto agli obblighi e alle disposizioni del GDPR. Il titolare turco è tenuto a nominare, ai sensi dell’art. 27 del Regolamento, un “rappresentante europeo”.
Infine, si ritiene opportuno riportare due situazioni – particolarmente esemplificative – immaginate dall’EDPB in cui il GDPR troverebbe applicazione, pur avvenendo il trattamento in un paese geograficamente non europeo, ma sottoposto alla legge UE ai sensi del diritto internazionale.
È questo il caso del Consolato olandese in Jamaica, che apre un processo di selezione e recruitment allo staff locale. In tal caso, in forza del diritto internazionale, si applicherà il GDPR.
Ugualmente si applicherebbe il Regolamento ad una nave tedesca sulla quale vengono trattati dati personali degli ospiti naviganti, al fine di offrire un servizio di intrattenimento profilato e ben attagliato alle singole esigenze degli utenti.
Conclusioni
Questo provvedimento potrebbe avere un rilevante impatto sull’attività di imprese e istituzioni che operano sempre più a livello globale e transazionale nonché servendosi di strumenti tecnologici quali siti web e e-commerce, o applicazioni e software per smartphone.
E proprio in ragione di ciò, esso è oggetto di consultazione pubblica, prima della sua approvazione definitiva. Entro il prossimo 18 gennaio sarà possibile far pervenire qualsivoglia commento, direttamente all’indirizzo mail dedicato (EDPB@edpb.europa.eu). Non resta a questo punto che attendere l’esito della consultazione.
Link correlati:
Background
È stato recentemente reso pubblico il parere 12/2018, adottato il 25 settembre scorso dal “Comitato europeo per la protezione dei dati” (European Data Protection Board”, “EDPB”), ossia l’Organismo preposto, principalmente, a garantire un’applicazione uniforme e coerente, in tutti gli Stati membri, del Regolamento Europeo 679/2016 in materia di protezione dei dati personali delle persone fisiche (“GDPR”). L’EDPB è di fatto succeduto al precedente c.d. “Gruppo di lavoro articolo 29” (Working Party 29, “WP29”), con più ampi poteri e nuovi compiti.
Nell’ambito dell’opera di allineamento delle varie prassi interne, negli scorsi mesi, le Autorità di controllo degli Stati membro hanno trasmesso all’EDPB un proprio elenco di “tipologie di trattamenti di dati” richiedenti la preventiva “valutazione d’impatto sulla protezione dei dati” (c.d. “DPIA”) quale condizione di liceità del trattamento.
Il caso italiano
L’Elenco presentato dal Garante Privacy italiano individua sei tipologie di trattamenti richiedenti il previo esperimento di una DPIA, e specificamente: (i) il trattamento di dati biometrici; (ii) il trattamento di dati genetici; (iii) il trattamento svolto utilizzando tecnologie innovative; (iv) il monitoring dei dipendenti; (v) il “trattamento ulteriore di dati personali” e il (vi) trattamento riferito ad una “specifica base giuridica”.
L’EDPB ha risposto al nostro Garante con proprie osservazioni, alcune di carattere generale, altre di natura più dettagliatamente “prescrittiva”.
Con specifico riferimento al trattamento di dati biometrici, genetici o svolto secondo l’utilizzo di nuove tecnologi, l’EDPB ritiene che non sia di per sé idoneo a creare un rischio certo per i diritti e le libertà degli interessati. A suo parere occorre, perché la DPIA sia necessaria, la presenza di almeno un’altra delle nove fattispecie elencate nelle “Linee Guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679”, adottate dal gruppo di Lavoro Articolo 29 e comunemente definite Linee WP248 (e.g.: trattamenti che permettono di giudicare un soggetto in base ad una profilazione; monitoraggio sistematico; matching di diversi insiemi di dati).
L’EDPB concorda, invece, col Garante italiano allorquando questi sostiene che un monitoraggio sistematico, su soggetti di per sé vulnerabili quali i dipendenti, sia un trattamento che richieda l’effettuazione della DPIA.
Prospettive
Per concludere, sarà interessante vedere come si muoverà il Garante italiano: qualora infatti decidesse di non ottemperare alle “prescrizioni” fornite dall’EDPB, il nostro Paese potrebbe essere il primo a venire coinvolto nel nuovo meccanismo di risoluzione delle controversie da parte del Comitato, col c.d. “meccanismo di coerenza” ex artt. 63, 64 e 65 GDPR.
Notizie correlate:
Approvato lo schema di decreto legislativo di adeguamento al GDPR
Lo scorso 8 agosto è stato approvato in versione definitiva lo schema di Decreto Legislativo c.d. “di armonizzazione” del Codice Privacy (D.lgs. 196/03) con il Regolamento europeo 679/2016 in materia di protezione dei dati personali (GDPR). Nello specifico, il Decreto dispone che i diritti dell’interessato possono essere limitati o esclusi allorquando entrano in contrasto con esigenze poste da leggi di Stato, come nel caso dell’antiriciclaggio o del whistleblowing. Il Decreto poi delinea alcune fattispecie di reato che non verrebbero assorbite dal principio del ne bis in idem e rimarrebbero dunque previste e penalmente sanzionate del nostro ordinamento. Si tratta, tra gli altri, del: (i) trattamento illecito di dati; (ii) la comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala; (iii) l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; (iv) la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori. La bozza prevede, altresì, che i procedimenti pendenti avanti il Garante non definiti al 25 maggio 2018, potranno concludersi con il pagamento di due quinti del minimo edittale, entro 60 giorni dalla data di entrata in vigore del Decreto. Per quanto riguarda, invece, le future contestazioni, il trasgressore e l’obbligato in solido potranno definire la controversia adeguandosi alle prescrizioni del Garante (se impartite) e pagando un importo pari alla metà della sanzione irrogata. Inoltre, la nuova bozza abbassa a 14 anni l’età a partire dalla quale il minore può fornire direttamente il proprio consenso, per attività su social network o simili (anche e proprio con riferimento a marketing e profilazione). Non da ultimo si segnala che nei primi otto mesi al Garante è richiesto, i fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile coni il GDPR, di tener conto delle difficoltà applicative dei primi mesi. Si attende nei prossimi giorni (settimane) la pubblicazione in G.U.: l’entrata in vigore del Decreto è prevista per il giorno stesso della pubblicazione.
