Il 22 ottobre 2018, la UniCredit S.p.A. (in qualità di titolare del trattamento) ha notificato al Garante un databreach avvenuto nel periodo compreso tra l’11 ottobre e il 21 ottobre 2018. La violazione si è verificata a causa di un attacco informatico al portale di mobilebanking. Gli hacker hanno cercato di accedere ai conti correnti dei clienti attraverso l’inserimento di PIN generati automaticamente. Il portale presentava due gravi vulnerabilità che hanno facilitato la violazione.
In primo luogo, rendeva disponibili i dati personali dei clienti (nome, cognome, codice fiscale e codice identificativo interno della banca) nelle risposte HTML ai tentativi di autenticazione, anche quando i tentativi non andavano a buon fine. In secondo luogo, il titolare non aveva limitato l’uso di PIN deboli, rendendo così i conti correnti vulnerabili agli attacchi informatici volti a identificare tutte le informazioni di accesso dei clienti (c.d. brute force attacks). A causa della vulnerabilità del portale, ogni tentativo di accesso ha consentito agli hacker di accedere ai nomi, ai codici fiscali e ai codici di identificazione bancaria interna di 777.765 clienti. Nel caso di 6.959 di questi clienti, gli hacker sono riusciti anche a ottenere le password di accesso al portale.
Nella memoria difensiva, UniCredit ha sostenuto che la violazione si è verificata a causa della negligenza di NTT Data Italia S.p.A. Il responsabile del trattamento, infatti, non ha considerato la violazione come “ad alto rischio” ai sensi dell’articolo 34 del GDPR. Ha semplicemente pubblicato un avviso generale sul suo sito web e ne ha dato comunicazione diretta solo ai 6.959 interessati le cui password erano state compromesse. Il Garante, ovviamente, non è stato dello stesso avviso e, a seguito di un’indagine preliminare, ha ritenuto che la violazione presentasse un rischio elevato per i diritti degli interessati.
Il responsabile del trattamento, tra l’altro, aveva eseguito i test di sicurezza sulla pagina web e sul mobilebanking insieme a Truel IT S.r.l., un suo sub-responsabile del trattamento. Tuttavia, tale sub-responsabile era stato assunto senza previa autorizzazione da parte del titolare.
In ogni caso è stata proprio la Truel IT S.r.l. a scoprire l’attacco il 10 ottobre 2018 segnalandolo a NTT Data Italia S.p.A.. Ciononostante, la società responsabile non ha, a sua volta, segnalato le suddette violazioni al titolare fino al 22 ottobre 2018.
Il Garante Privacy ha respinto la difesa di UniCredit, ritenendo ad ogni modo censurabile anche la condotta di NTT Data Italia S.p.A., ed ha riscontrato, dunque, la violazione degli articoli 5, paragrafo 1, lettera f), 32, paragrafo 1 e 32, paragrafo 2, del GDPR.
In primo luogo, ha osservato che rendere i dati personali disponibili a chiunque tenti l’autenticazione, indipendentemente dal successo del tentativo, è intrinsecamente rischioso nel settore bancario, dove i clienti identificati possono essere presi di mira in tentativi di phishing o attacchi simili.
In secondo luogo, ha ritenuto che, nonostante la violazione sia stata scoperta dal sub-responsabile, l’obbligo di informare il titolare del trattamento ai sensi dell’articolo 33, paragrafo 2, del GDPR, rimane in capo al responsabile del trattamento iniziale. Secondo il Garante, il responsabile del trattamento avrebbe dovuto informare il titolare del trattamento non appena fosse venuto a conoscenza dell’attacco (11 o 12 ottobre). Dalle verifiche effettuate dal Garante, in particolare è emerso che NTT Data Italia aveva comunicato ad UniCredit l’avvenuta violazione dei dati personali dei propri clienti oltre il termine previsto dall’art. 33 del Regolamento e solo dopo che la banca ne era venuta a conoscenza tramite i propri sistemi di monitoraggio interno.
Inoltre, NTT Data Italia aveva affidato l’esecuzione delle attività di vulnerabilityassessment e penetrationtesting in subappalto ad un’altra società, senza l’autorizzazione preventiva alla banca, che invece aveva espressamente vietato l’affidamento a terze parti di tali attività. Per tali motivi, il Garante ha sanzionato UniCredit per 2,8 milioni di euro e comminato una ulteriore sanzione di 800mila euro anche alla società responsabile del trattamento incaricata di effettuare i test di sicurezza.
Il provvedimento del Garante ribadisce un concetto da ponderare con attenzione al fine di trarne le opportune conseguenze nelle clausole contrattuali, ricordandoci che non solo il titolare del trattamento è responsabile della violazione, ma lo è anche il responsabile del trattamento, che dunque potrà essere chiamato a risponderne e a pagare per i danni arrecati.
Il Garante per la protezione dei dati personali (il Garante) ha sanzionato tre Aziende sanitarie friulane per aver realizzato un trattamento automatizzato senza aver seguito le dovute procedure.
L’Azienda Universitaria Friuli Centrale, l’Azienda Universitaria Friuli Occidentale e l’Azienda Universitaria Giuliano Isontina avevano elaborato i dati presenti nelle banche dati aziendali con la finalità di classificare i pazienti riguardo alla possibilità che questi potessero avere complicanze in caso di infezione da Covid-19.
Nello specifico, le Asl volevano individuare i percorsi diagnostici e terapeutici maggiormente idonei per i propri pazienti senza tuttavia rispettare le linee del Regolamento (UE) 2016/679 (il GDPR). Infatti, l’art. 22 GDPR riconosce al soggetto interessato il diritto di non essere sottoposto ad una decisione basata meramente su un trattamento automatizzato a meno che vi sia il consenso esplicito del soggetto interessato o sia autorizzato da normative che tutelino i suoi diritti e libertà. Infatti secondo l’Autorità la profilazione, definita come «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti […] la salute»[1], può essere effettuata solamente «in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati»[2].
Oltre a ciò, il Garante mette in luce altre due carenze. La prima riguarda quanto disposto dall’art. 15 GDPR, cioè il non aver comunicato all’interessato l’esistenza di un processo decisionale automatizzato né le finalità e modalità dello stesso. La seconda riguarda il non aver realizzato la valutazione d’impatto ex art. 35 GDPR. Tale valutazione permette di dichiarare o meno lecito un trattamento automatizzato che prevede, quindi, l’uso di nuove tecnologie.
In conclusione, considerando che le Asl hanno realizzato, senza il consenso dei soggetti interessati, un trattamento di un numero elevato di pazienti attraverso l’uso di algoritmi, il Garante ha sanzionato ogni Azienda con il pagamento di euro 55.000,00 e ha ordinato la cancellazione dei dati elaborati.
La regione Lazio è stata sanzionata al pagamento di una somma pari a euro 100.000,00 per aver controllato i metadati della posta elettronica dei dipendenti senza aver utilizzato le dovute tutele.
La vicenda trae le sue origini da una segnalazione del sindacato autonomo Fedirets sul monitoraggio della posta elettronica del personale degli uffici dell’avvocatura regionale da parte della regione Lazio. Questa, avrebbe effettuato una «verifica sui flussi di mail in uscita dalle caselle di posta elettronica istituzionale»[1]analizzando dati personali quali il mittente, l’oggetto, il destinatario dell’e-mail, eventuali allegati etc.
Nel corso dell’istruttoria l’ente pubblico ha dichiarato di avere agito ex post, cioè dopo il compimento del presunto illecito, per accertare eventuali comportamenti dei lavoratori (comportamenti che riguardavano la presunta rivelazione, da parte dell’Avvocatura regionale, di notizie d’ufficio che avrebbero dovuto rimanere segrete).
Tuttavia, il controllo sarebbe stato effettuato senza che un’adeguata informativa fosse stata consegnata ai lavoratori. Tale necessità, è prevista sia dagli artt. 12 e 13 del Regolamento (UE) 2016/679 per la protezione dei dati personali (il GDPR), sia dall’art. 4, 3 co. della L. 300/1970. Il Garante ha rilevato che non solo non era stata consegnata l’informativa, ma che, prima di procedere al trattamento, non era stata effettuata la valutazione di impatto (la DPIA) secondo quanto previsto dall’art. 35 GDPR. Infatti, il titolare (nel caso di specie, la regione Lazio) deve realizzare la DPIA «quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche». Nel caso in esame, la raccolta dei metadati, la relativa conservazione per 180 giorni, l’estrazione e l’elaborazione degli stessi presentava rischi per i diritti e le libertà dei soggetti interessati a tal punto da rendere necessaria la DPIA. I dipendenti vengono considerati «vulnerabili» essendo in un contesto lavorativo nel quale vengono utilizzati sistemi di «monitoraggio sistemico» inteso come «trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti»[2].
In conclusione, per i motivi sopra enunciati e meglio specificati nell’ordinanza di ingiunzione (vedi nota 1), il Garante dichiara l’illiceità del trattamento[3] effettuato dalla regione Lazio.
[3] Per violazione degli artt. 5, par. 1, lett. a) ed e), e par. 2, 6, 12, 13, 25, 35, 88, par. 1, del Regolamento, nonché 113 e 114 del Codice (in relazione agli artt. 4 e 8 della l. n. 300/1970).
Il recente Decreto Aiuti-bis ha introdotto, tra l’altro, alcune novità in merito alla responsabilità dei cessionari dei crediti fiscali derivanti dal Superbonus 110%. Queste previsioni riguardano ovviamente da vicino le banche, essendo i principali enti interessati all’acquisto di tali crediti.
Nel Comunicato stampa del 27 dicembre 2021, il Garante per la protezione dei dati personali ha rilasciato un parere favorevole (qui) in merito allo schema di provvedimento del Direttore dell’Agenzia delle Entrate relativo alle nuove regole tecniche per la memorizzazione delle fatture elettroniche[1].
Vediamo la questione più nel dettaglio.
Dati personali oggetto delle fatture elettroniche
La bozza di provvedimento dell’Agenzia delle Entrate concerne nuove regole che saranno utilizzate dall’Agenzia stessa e dalla Guardia di finanza per l’analisi del rischio e controllo ai fini fiscali e per le funzioni di polizia economica e finanziaria. Nello specifico, vengono precisate le modalità con le quali l’Agenzia memorizza i file in formato XML delle fatture elettroniche e i relativi dati, tra i quali quelli inerenti alla quantità e alla tipologia di beni o servizi acquistati, alle abitudini di consumo, alle fidelizzazioni e ad altri dati obbligatori imposti da specifiche normative di settore quali i trasporti, le forniture di servizi energetici, telecomunicazioni etcetera.
È evidente che per poter trattare i seguenti dati in modo lecito, è necessario che vengano osservate tutte le normative di settore e che venga conferita adeguata tutela ai dati personali raccolti. Il Garante, in ordine alla valutazione della proporzionalità del trattamento, ha spiegato come è stato acquisito un campione rappresentativo delle fatture emesse nei confronti dei consumatori (B2C), pari quasi ad un miliardo, e relative a settori che rappresentano maggiori rischi per i diritti degli interessati in ragione della tipologia dei beni e dei servizi fatturati. Dall’analisi effettuata è emerso che la maggiore criticità è rappresentata dalle fatture emesse in ambito legale, nelle quali nell’oggetto di fatturazione sono riportati: il nominativo della persona che ha richiesto il servizio legale (che può essere anche un minore essendo la fattura emessa nei confronti del genitore), la tipologia di procedimento, l’autorità procedente e la tipologia di servizio prestato. Altri ambiti critici sono stati individuati in quello dei servizi di investigazione, di commercio al dettaglio per qualsiasi tipologia di prodotto, alberghiero e dei trasporti.
Misure di tutela
Il fatto che la memorizzazione integrale dei file XML sia tenuta fino al 31 dicembre dell’ottavo anno successivo a quello di presentazione della dichiarazione di riferimento ovvero fino alla definizione di eventuali giudizi, comporta che l’Agenzia delle Entrate abbia un numero elevatissimo di fatture contenenti dati personali relativi ad ogni aspetto della vita quotidiana, abitudini e scelte di consumo di persone fisiche. Da un lato, il legislatore, nel menzionato decreto sulla fatturazione elettronica, ha imposto all’Agenzia delle Entrate e alla Guardia di finanza di adottare misure adeguate ad assicurare che il trattamento del massiccio numero di dati personali avvenga in conformità dei principi di protezione dei dati quali la minimizzazione[2] e la limitazione della conservazione[3], trattando solo i dati necessari.
Dall’altro lato, alla luce dei gravi rischi a cui sono esposti i dati personali raccolti, il Garante ha chiesto all’Agenzia delle Entrate di adottare una serie di misure per tutelare i menzionati dati personali nel rispetto della normativa privacy. Ad esempio:
in riferimento al settore legale, tutte le informazioni relative al campo della descrizione dovranno essere rese inintellegibili;
i dati contenuti nel file XML non devono essere utilizzati nei confronti del consumatore finale se non esclusivamente in caso di un controllo avviato in conseguenza di puntuali verifiche fiscali, le quali lascino presupporre un rischio di evasione fiscale;
devono essere adottati sistemi di controllo e di monitoraggio per verificare la conformità delle attività ai sopramenzionati criteri.
Il Garante, infine, nel parere positivo che ha esposto all’Agenzia delle Entrate, sottolinea che gli operatori economici non devono emettere fatture elettroniche al posto di altri documenti commerciali, quali lo scontrino fiscale, se non nei casi espressamente previsti dalla legge o su richiesta esplicita del consumatore.
[1] La fatturazione elettronica è stata introdotta dall’art. 14 del Decreto-legge n. 124/2019.
[2] Art 5, 1, c) del Regolamento (UE) 2016/679 (il c.d. GDPR): “i dati personali sonoadeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
[3] Art. 5, 1, e) del GDPR: “I dati personali sono conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato”.
La C.S. Group S.p.a., società di noleggio veicoli ecologici, esponeva sul proprio sito web (sul sito www.equomobil.it) un tool di calcolo (lo “scontatore”) con cui l’utente, inserendo apposite informazioni che lo riguardavano, poteva calcolare la riduzione di prezzo a lui riservata rispetto alle tariffe ordinarie.
Il Tribunale di Livorno, con sentenza 1202/2018 del 22 novembre 2018, conformemente all’impugnata ordinanza di ingiunzione del Garante per la tutela dei dati personali (n. 18/2018, doc. web n. 8341304), confermava l’ingiunzione di pagamento per la somma di ben Euro 60.000!
Sia il Garante che i giudici, infatti, ravvisavano nel funzionamento dello scontatore una fattispecie riconducibile all’allora vigente art. 37, lett. d), del D.Lgs. 196/2003 (il Codice Privacy), poi abrogato dalla riforma del D.Lgs. 101/2018 che ha recepito le disposizioni del GDPR.
Il suddetto articolo prevedeva infatti un’obbligo di notificazione al Garante relativamente ai «dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo […]».
In altri termini, la C.S. Group avrebbe dovuto notificare il trattamento al Garante prima di procedere alla raccolta dati, e veniva per questo sanzionata per decine di migliaia di Euro.
Va detto che lo scontatore, come emerso nelle istruttorie:
non prevedeva la memorizzazione di alcun dato personale, né i dati inseriti momentaneamente nel modulo on line venivano messi in collegamento con le anagrafiche degli utenti;
l’attività della C.S. Group posta in essere con lo scontatore non era strumentale alla fornitura di pubblicità personalizzata, né all’analisi e monitoraggio dei comportamenti dei visitatori del sitoweb, né allo sfruttamento commerciale dei dati forniti dagli utenti;
lo sconto era determinato in modo automatico a partire dalle informazioni fornite dall’utente e, una volta calcolato, non consentiva di risalire a chi lo aveva chiesto e alle sue informazioni, con la conseguenza che non si poteva pervenire all’a sua identificazione inequivoca.
Ciò nonostante, l’ordinanza di Cassazione qui in commento ha confermato la sanzione amministrativa ritenendo che il Tribunale ha correttamente applicato l’art. 37 del Codice Privacy (vecchio testo).
Secondo il ragionamento dei giudici, poiché lo scontatore «incrociava e analizzava i dati dei clienti, in modo da prevedere l’utilizzo che ciascuno avrebbe fatto dei veicoli e calcolare di conseguenza lo sconto», esso doveva essere considerato uno strumento elettronico volto alla personalizzazione dell’offerta commerciale, il che non può che essere una manifestazione della profilazione del cliente, sebbene esso non risulti individualmente identificato.
I giudici, in sostanza, hanno escluso la rilevanza della memorizzazione dei dati e della loro associazione con il singolo cliente (single out), essendo già di per sé rilevante l’attività di elaborazione e screening dei dati personali attraverso un algoritmo, al fine di analizzare o prevedere le specifiche esigenze dell’utente fruitore in vista di un vantaggio economico.
Alcune considerazioni
A Corte ha adottato una interpretazione piuttosto letterale della norma, peraltro ora non più in vigore, ritenendo di nessun pregio il fatto che l’utente/cliente non possa essere identificato o in alcun modo collegato ai dati utilizzati dallo scontatore.
L’attività di profilazione, oggi, non è più soggetta a previa notifica al Garante ed è consentita, nel rispetto del principio di privacy by disign, alle condizioni di cui all’art. 22 GDPR, disposizione la cui portata è ben chiarita dalle «Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679» (WP 251 del 3 ottobre 2017, e successiva versione).
Sostanzialmente occorre il consenso esplicito dell’interessato, fermi restando gli altri generali obblighi di informativa e data retention, come peraltro già era previsto nel vigore del Codice Privacy prima del 2018, allorché lo stesso Garante aveva adottato delle proprie «Linee guida in materia di trattamento di dati personali per profilazione on line» del 19 marzo 2015.
Oggi, pertanto, il scontatore non sarebbe probabilmente oggetto di stigma, se preceduto da una esaustiva e pertinente analisi di impatto ex art. 35 GDPR.
Ma c’è di più. Davvero lo scontatore rientrava nella disciplina della privacy?
Dato personale o no?
Considerato l’effettivo funzionamento dello scontatore, c’è da chiedersi se davvero esso, relativamente all’attività di profilazione, importasse un trattamento di dati personali.
Infatti, come insegna il Working Party, si ha dato personale solo se si supera il test dell’ancora attualissimo parere n. 4 del 20 giugno 2007 (WP136) del Gruppo di Lavoro ex articolo 29, secondo il quale si può parlare di dato personale solo dopo aver svolto tre verifiche: contenuto, scopo e risultato (“WP136 Test”). Un’informazione è riferita ad una persona fisica qualora:
il trattamento abbia come contenuto dati direttamente riferibili ad un individuo, come la foto di una persona o la sua cartella clinica;
oppure, il trattamento abbia lo scopo di identificare una persona fisica, come i dati di un sistema di videosorveglianza che vengono conservati per un certo periodo proprio per risalire in caso di commissione di atti illeciti all’identificazione dell’autore del reato;
oppure, il trattamento abbia come risultato l’identificazione di una persona fisica, come la geolocalizzazione di un parco macchine di servizio taxi per ottimizzare le chiamate che si risolve in un monitoraggio degli spostamenti dei tassisti.
Alla luce di quanto sopra, non pare, a leggere gli atti, che lo scontatore abbia utilizzato dati personali[1].
Dispositivi non persistenti
Un ultimo appunto.
In base alla deliberazione n. 1 del Garante del 31 marzo 2004 sarebbero sottratti dall’obbligo di notificazione i trattamenti relativi all’utilizzo di marcatori elettronici o di dispositivi analoghi installati oppure memorizzati temporaneamente, e non persistenti, presso l’apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all’esclusivo fine di agevolare l’accesso ai contenuti di un sito internet.
Se davvero lo scontatore non prevedeva la memorizzazione dei dati, ma solo la formulazione in automatico di una proposta contrattuale, mi pare che anche per tale profilo si possa concludere che la raccolta dei dati personali dell’utente in sede di compilazione del modulo on line non fosse soggetta all’obbligo di notificazione al Garante.
[1] I dati personali sono stati senz’altro utilizzati dal titolare per l’erogazione del servizio di noleggio auto, ma tale trattamento non si è esteso alla fase di calcolo dello sconto.
Avete mai parcheggiato sulle “strisce blu”? Una volta era semplice e bastava far stampare dal parcometro la ricevuta che doveva essere esposta sul cruscotto dell’auto per non ricevere la multa.
Da qualche tempo, invece, per coloro che come me non hanno installato una apposita app, occorre fornire al parcometro anche il numero di targa della vettura, che non sempre conosciamo a memoria e che spesso, se andiamo di fretta, diventa motivo di nervosismo, anche perché non è detto che il tastierino funzioni bene e che noi si faccia la sequenza dei tasti nei tempi giusti e con i dati corretti.
Mi sono sempre chiesto perché si debba inserire la targa. L’unica spiegazione che sono riuscito a darmi è che il comune vuole evitare che qualcuno “ceda” la ricevuta nel caso in cui non sfrutti appieno il tempo di sosta per cui ha pagato. Un’ipotesi davvero difficile da immaginare.
Mi viene quindi da sospettare che il dato sia raccolto per fini non dichiarati e senza alcuna cautela di privacy.
Il sospetto diventa quasi una certezza dopo i recenti provvedimenti del Garante per la protezione dei dati personali che ha concluso recentemente una istruttoria conclusasi con tre ordinanze di ingiunzione che colpiscono tutta la filiera degli operatori in Roma. Nel caso di specie:
il Comune di Roma, titolare dei diritti tariffari per la sosta su strada pubblica;
l’azienda dei trasporti pubblici capitolini (ATAC), affidataria dal Comune della gestione delle aree di parcheggio;
la società Flowbird a cui sono stati commissionati i parcometri e che si è altresì occupata della loro installazione e della implementazione della piattaforma di gestione delle informazioni, ovvero: l’ora, la data di inizio e fine sosta, l’importo pagato e la targa del veicolo.
Ebbene, né l’ATAC, né la Flowbird, che pure trattano per conto del Comune di Roma una enorme mole di dati personali (quasi 9 Mln), anche delicati, lo hanno fatto senza che in alcun modo il loro ruolo in prospettiva GDPR sia mai stato definito, rispettivamente quali responsabile e subresponsabile del trattamento e senza che questi soggetti abbiano mai adottato i relativi registri dei trattamenti.
Non solo, all’esito dell’istruttoria sono emerse altre gravissime irregolarità anche in capo al Comune, tra cui: canali di scambio dati non sicuri, assenza di log informatici di sistema e addirittura password memorizzate in chiaro!
Tale macroscopica situazione restituisce una fotografia impietosa del livello di attenzione ai temi della tutela dell’individuo da parte delle massime istituzioni locali e delle aziende municipalizzate.
Una condotta illegittima che a Roma Capitale è costata 800.000 euro, all’ATAC 400.000 euro, alla Flowbird 30.000 euro.
Nota: l’istruttoria ha evidenziato che la Flowbird aveva sollecitato più volte l’ATAC per regolarizzare la sua nomina a sub-responsabile, senza tuttavia ottenere risposta. Tale condotta non è stata ritenuta scriminante per il Garante. L’inerzia della municipalizzata e del Comune – un misto di sorda burocrazia e incompetenza – ha avuto riflessi dirette su una società privata che certamente non poteva sospendere il servizio, ma forse, in sede civile, può chiedere il risarcimento al committente.
Questa settimana entra in vigore il green pass obbligatorio in tutti i luoghi di lavoro pubblici e privati. In questa puntata di IusPod mettiamo a fuoco quali sono le questioni più dibattute in materia di Privacy, insieme a Francesco Rampone, Of Counsel, che ci spiegherà come si è conciliata la tutela dei dati personali con l’obbligo di esibizione del certificato verde in un’ottica di accesso al luogo di lavoro.
Per ottenere il risarcimento del danno non patrimoniale per illecito trattamento di dati personali, non è sufficiente lamentare la violazione della normativa, ma occorre allegare la prova, anche per presunzioni, delle effettive conseguenze negative subite.
È questa, in estrema sintesi, la massima della sentenza in commento, breve e lineare, che davvero ogni avvocato dovrebbe leggere (anche chi non si occupa di privacy) per non far perdere tempo alle Corti e soldi ai clienti!
Il fatto
Nell’ambito di un procedimento penale, un istituto di investigazioni produceva in atti alcuni dati dell’imputato riguardanti la sua situazione retributiva senz’altro eccedenti e non pertinenti rispetto alle finalità del giudizio.
L’imputato, quindi, si rivolgeva al Tribunale ex art. 10 del D.Lgs. n. 150/2011 per chiedere il risarcimento dei danni non patrimoniali per illecito trattamento dei suoi dati personali, ma la domanda viene rigettata.
L’attore, quindi, impugnava la sentenza in Cassazione i cui giudici hanno così l’occasione di ribadire un principio cardine in tema di risarcimento dei danni non patrimoniali.
Le motivazioni della Corte di Cassazione
In tema di violazione dei dati personali, la Corte ha ribadito il principio di diritto – già enunciato in numerose occasioni – secondo cui il danno non patrimoniale risarcibile ai sensi dell’art. 82 GDPR (ovvero dell’art. 15 del Codice Privacy ante riforma), pur essendo determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli artt. 2 e 21 Cost e dall’art. 8 della CEDU, «non si sottrae alla verifica di “gravità della lesione” e della “serietà del danno”, in quanto anche per tale diritto opera il bilanciamento con il principio di solidarietà ex art. 2 Cost.» nonché quello di tolleranza della lesione minima che del primo è intrinseco precipitato[1].
Conseguentemente, determina una lesione ingiustificabile del diritto non la mera violazione delle prescrizioni poste dagli artt. 5 e 6 GDPR (ovvero dall’art. 11 del Codice Privacy ante riforma), ma solo quella che ne offende in modo sensibile la loro portata effettiva (Cass. 17382/2020), questione il cui accertamento è prerogativa esclusiva del giudice del merito.
In definitiva, il danno per illecito trattamento – non diversamente da qualsiasi altra ipotesi di danno non patrimoniale – non sussiste “in re ipsa” poiché il danno risarcibile non si identifica con la mera lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione, seppur queste possono essere provate anche attraverso presunzioni (Cass. 19434/19 e Cass. 292016/19).
[1] Il danno non patrimoniale per trattamento illecito dei dati personali va liquidato solo se sono accertate la gravità della lesione e serietà del danno (Cass. Sez. I, n. 29982/20 del 31 dicembre 2020, con commento in questa Rivista, Privacy e danno non patrimoniale. Anzi no, danno immateriale! – qui). Il tema della tolleranza minima incide anche sulla qualificazione penale della condotta. L’interpretazione dell’art. 167, comma 2, del Codice Privacy, oscilla tra una qualificazione del “nocumento”, citato dalla norma in questione, quale condizione di punibilità e, più recentemente, quale presupposto del reato. Rinvio in proposito al mio contributo su questa Rivista, Delitto da trattamento illecito di dati personali. La Cassazione fornisce utili chiarimenti, 26 agosto 2019 (qui).
È assai utile analizzare il lungo e articolato provvedimento sanzionatorio che ha adottato il Garante Privacy nei confronti di Fastweb per ricavare elementi di indirizzo e buona prassi di trattamento dati personali nelle attività di telemarketing.
Il fatto
Fastweb nel corso degli ultimi dieci anni è stata destinataria di diversi provvedimenti prescrittivi e inibitori, nonché di numerose sanzioni amministrative, la maggior parte delle quali definite in via breve[1].
Nonostante l’ampia attività provvedimentale, a partire dall’entrata in vigore del Regolamento il Garante ha aperto nei confronti di Fastweb, complessivamente, 283 fascicoli, in massima parte riguardanti segnalazioni e reclami in tema di telemarketing e di invio di messaggi promozionali[2].
Si tratta di contestazioni per lo più riguardanti:
il difetto di implementazione di sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente (violazione degli artt. 5, parr. 1 e 2, 6 par. 1, 7, 24 e 25, par. 1 del GDPR);
l’acquisto di liste anagrafiche da parte di soggetti terzi in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento (violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del GDPR)[3];
l’omessa notificazione al Garante e agli interessati di casi di violazione di dati personali nelle ipotesi che precedono (violazione dell’art. 33, par. 1, e 34 del GDPR);
gli errori di sistema e ritardi in relazione alle istanze di esercizio dei diritti proposte dagli interessati (violazione degli artt. 5, par. 1, lett. d), con riferimento al principio di “esattezza” dei dati trattati, in relazione agli artt. 15-22 del GDPR);
i trattamenti per finalità promozionali realizzati in assenza del prescritto consenso o idoneo legittimo interesse (violazione degli artt. 5, parr. 1 e 2, 6 e 7 del GDPR);
La difesa di Fastweb e le repliche del Garante
Fastweb si è difesa dalle prospettate violazioni con argomenti che non hanno convinto il Garante.
Eccone alcuni:
Le agenzie di promozione di cui Fastweb si è avvalsa avrebbero assunto “comportamenti autonomi” rispetto alle istruzioni impartite dal titolare, e da ciò deriverebbero contatti promozionali verso interessati che non hanno espresso il consenso al trattamento dei propri dati per finalità di marketing[4];
tali agenzie sarebbero per lo più titolari autonomi che comunicano i dati in loro possesso a Fastweb in base allo specifico consenso che gli interessati hanno fornito alle medesime;
in molti casi, Fastweb ha applicato penali e ha risolto i contratti con le agenzie non rispettose delle prescrizioni del GDPR;
molte chiamate promozionali (166 a fronte di 236 segnalazioni, pari a oltre il 70% delle chiamate) non sono state effettuate da numerazioni della propria rete di vendita[5];
Come accennato, il Garante non ha ritenuto la difesa di Fastweb sufficiente per legittimare la sua condotta. E in particolare:
l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Pertanto, la circostanza che le agenzie si siano comportate in modo non conforme a contratto, o comunque abbiano agito come titolari autonomi (alcune di esse, peraltro, non censite al ROC), non esclude il fatto che Fastweb abbia una culpa invigilando et in eligendo e, soprattutto, che abbia tratto un profitto dai trattamenti illeciti da esse compiuti per suo conto;
le penali applicate e le risoluzioni contrattuali operate da Fastweb non sono state misure sistematiche (non tutte le agenzie sono state trattate allo stesso modo) né particolarmente efficaci giacché gli importi di penali appaiono modesti rispetto al volume delle violazioni;
le agenzie hanno ceduto le liste dei lead a Fastweb senza specifico consenso al trasferimento dei dati a terzi[6];
la carenza di un sistema che consenta agevolmente all’utente di disattivare i servizi con la medesima semplicità con cui è possibile attivarli.
Considerazioni sulla sanzione comminata
Il Garante ha ritenuto di applicare una sanzione pari al 5% calcolato sul massimo edittale previsto per legge (art. 83.5 GDPR), ovvero calcolato sul 4% del fatturato mondiale annuo di Fastweb nell’ultimo esercizio (poco più di 90 Milioni).
Interessante è leggere i motivi che hanno indotto il Garante a determinare la misura percentuale del 5% per il calcolo della sanzione. Si tratta di una valutazione compiuta tenendo in considerazione gli elementi aggravanti e attenuanti indicati all’art. 85.2 GDPR. E in particolare:
la gravità delle violazioni in ragione della pervasività dei contatti illeciti nell’ambito delle attività di telemarketing (potenzialmente lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla tranquillità individuale e il diritto alla riservatezza);
la molteplicità delle condotte poste in essere da Fastweb in violazione di più disposizioni del GDPR;
l’elevatissimo numero dei soggetti coinvolti (oltre 7 milioni di interessati);
il grave ritardo nella notificazione di un importante “data breach”;
la reiterazione delle condotte di illecito trattamento.
Nelle considerazioni di Garante ha anche pesato il fatto che il GDPR è in vigore già dal 25 maggio 2016 e pienamente operativo dal 25 maggio 2018. Come dire: abbiamo dato tempo a tutti di adeguarsi ed ora si fa sul serio.
Garante per la Protezione dei Dati Personali, Ordinanza ingiunzione nei confronti di Fastweb S.p.A. – 25 marzo 2021[1] Si vedano i provvedimenti n. 300 del 18 ottobre 2012 (doc. web n. 2368171), n. 235 dell’18 aprile 2018 (doc. web n. 9358243) e n. 441 del 26 luglio 2018 (doc. web n. 9040267), che hanno imposto prescrizioni, divieti di trattamento e sanzioni amministrative in relazione a milioni di contatti tramite telefono e sms, che Fastweb e la propria rete di vendita hanno posto in essere senza acquisire un idoneo consenso da parte dei soggetti contattati.
[2] L’enorme carico di lavoro generato da tali fascicoli testimonia e conferma il giudizio dell’Autorità rispetto alle modalità di svolgimento di tali pratiche commerciali condotte dalla generalità delle compagnie telefoniche ed espresso più volte anche in recenti provvedimenti (Cfr., tra l’altro, i provvedimenti n. 232 dell’11 dicembre 2019 (doc. web n. 9244365); n. 7 del 15 gennaio 2020 (doc. web n. 9256486); n. 143 del 9 luglio 2020 (doc. web n. 9435753); e n. 224 del 12 novembre 2020 (doc. web n. 9485681)).
[3] Nel solo 2019, La violazione ha coinvolto almeno 7.542.000 interessati.
[4] A tale riguardo il Garante ha chiesto a Fastweb di fornire indicazioni sulle eventuali penali applicate alle agenzie di promozione e di descrivere, più in generale, il sistema di retribuzione adottato.
[5] A tale riguardo il Garante ha chiesto a Fastweb di specificare, per ciascuna società dalle quali acquisisce liste di anagrafiche destinate ai contatti promozionali, (i) se agiscano in qualità di responsabili o autonomi titolari del trattamento; (ii) se si fosse verificata la corretta acquisizione del consenso degli interessati per finalità commerciali e per la comunicazione a terzi.
[6] Come osservato in diversi recenti provvedimenti dell’Autorità (cfr., tra l’altro, i provvedimenti n. 232 dell’11 dicembre 2019, doc. web n. 9244365 e n. 224 del 12 novembre 2020, doc. web n. 9485681), tale modalità di comunicazione dei dati è inidonea a consentire all’interessato di esercitare il pieno controllo sugli stessi.
Anche questa volta si tratta di Facebook, azienda non nota per il rispetto della privacy dei suoi utenti. Il caso, di cui più sotto fornisco una rapida descrizione, riguarda la possibilità di intervento dei garanti privacy nazionali nelle azioni a carattere transfrontaliero, cioè proprio quelle rivolte per lo più contro i giganti del web.
I garanti, in tali casi, utilizzano il c.d. sportello unico, aliasone-stop shop mechanism (OSS) previsto agli artt. 55 e ss. del GDPR, ovvero una procedura che consente il coordinamento tra autorità di controllo europee (cioè il nostro Garante privacy e i suoi omologhi in UE) per la tutela dei dati personali compiuti da soggetti stranieri in territorio o verso cittadini dell’Unione. In particolare il meccanismo in questione consente, all’Autorità di Controllo Capofila (ACC, e in inglese, Lead Supervisory Authority – LSA) – ovvero l’autorità dello Stato ove ha sede lo stabilimento unico o principale del titolare o del responsabile del trattamento – di agire verso quest’ultimo anche su impulso di altra autorità di controllo avente sede nello Stato in cui il trattamento illegittimo si è consumato (o dove ha residenza il soggetto interessato).
Il fatto
L’11 settembre 2015 il presidente della commissione belga per la protezione della vita privata, divenuta in seguito la GBA, ha intentato un’azione nei confronti di Facebook (Facebook Inc., Facebook Ireland Ltd e Facebook Belgium BVBA) dinanzi al tribunale di primo grado di Bruxelles. Tale procedimento riguarda presunte violazioni della normativa sulla protezione dei dati commesse da Facebook e consistenti, in particolare, nella raccolta e nell’utilizzazione illecita di informazioni sul comportamento di navigazione privata degli utenti Internet in Belgio mediante tecnologie quali i «cookie», i «social plugin» e «pixel».
In sintesi, la GBA sostiene che Facebook ha utilizzato varie tecnologie per «osservare e seguire individui quando navigano da un sito Internet a un altro e utilizza, poi, le informazioni raccolte per tracciare un profilo di navigazione e, in base ad esso, mostra loro pubblicità mirate, senza informare adeguatamente gli interessati né ottenere un loro valido consenso». La GBA sostiene inoltre che Facebook si avvale di queste prassi a prescindere dal fatto che l’interessato si sia registrato o meno sulla sua piattaforma social.
Nel caso di specie, la ACC è senz’altro quella irlandese (l’Irish Data Protection Commission), poiché è lì che ha la sede principale Facebook in Europa. Il giudizio è tuttavia in corso in Belgio e, nel suo ambito, è stata formulata la domanda di pronuncia pregiudiziale dalla Corte di Appello di Bruxelles sull’interpretazione del meccanismo OSS (causa C-645/19).
La questione controversa e il parere dell’Avvocato Generale
Ci si chiede se il meccanismo OSS consenta solo all’ACC di agire innanzi alla giustizia ordinaria del suo paese per la violazione del GDPR contro Facebook o se, a tali fini, l’iniziativa possa essere rimessa anche all’Autorità di Controllo Interessata (ACI, e in inglese, Supervisory Authority Concerned – SAC), ovvero quella che ha per prima segnalato alla ACC il trattamento illegittimo.
Chiamato ad esprimersi su tale punto l’avvocato generale della Corte di giustizia dell’Unione europea Michal Bobek ha emesso un parere non vincolante (il 13 gennaio scorso, qui) sui casi che consentirebbero alle ACI di agire in relazione ad un’azione transfrontaliera.
Ebbene, l’AG ha ritenuto che la competenza della ACC vada considerata la regola, e la competenza delle altre autorità di controllo, l’eccezione[1]. Un’opinione che non ha soddisfatto l’ACI belga poiché, se da un lato rafforza il ruolo dello sportello unico, rischia di sottrarre la tutela all’impulso del paese o del cittadino dove il trattamento illegittimo si è consumato. Bobek ha tuttavia suggerito di considerare una futura riforma del meccanismo OSS ammettendo che «se i pericoli relativi alla sottoapplicazione del GDPR suggeriti dall’autorità belga dovessero concretizzarsi, l’intero sistema del meccanismo OSS sarebbe maturo per una revisione importante».
Le 6 eccezioni
L’AG non si è limitato ad una enunciazione di principio, ma ha opportunamente elencato i casi in cui le ACI possono rivolgersi al giudice nazionale del loro Stato, e cioè:
quando agiscono al di fuori dell’ambito di applicazione materiale del GDPR (ad esempio in ambito e-Privacy);
quando il trattamento è effettuato da autorità pubbliche o da privati nell’esercizio di pubblici poteri (art. 55 GDPR);
quando nessuna autorità di controllo può agire in qualità di ACC perché non esiste uno stabilimento del titolare o del responsabile nell’Unione europea;
quando devono essere adottate misure urgenti ex 66 GDPR;
quado un’ACI si trovi di fronte a una persistente inerzia dell’ACC competente;
infine, quando l’ACC decida di non trattare il caso ad essa rimesso conformemente all’articolo 56, paragrafo 5, del GDPR.
Una considerazione finale
I casi elencati dall’AG, consentono senz’altro di ridurre molto il ruolo dell’ACC consentendo un intervento autonomo e diffuso delle autorità di controllo nazionali sull’operato delle piattaforme web (e in generale su quello di operatori extracomunitari che trattano dati di cittadini europei).
È interessante notare al riguardo che la proposta di regolamento europeo «relativo a un mercato unico dei servizi digitali » recentemente pubblicato (qui), la quale contiene molti principi che sono ispirati dal GDPR, non introduce un meccanismo OSS, ma conferisce invece l’applicazione delle questioni transfrontaliere alla Commissione europea[2].
Tale fatto – da leggersi unitamente alle eccezioni dell’AG nel caso in rassegna e alle perplessità espresse dalla ricorrente GBA – suggerisce forse un riconoscimento implicito da parte della Commissione Europea che il meccanismo OSS previsto per il GDPR non funziona?
[1] L’articolo 66, paragrafo 1, GDPR, riguardante la procedura d’urgenza, dispone che, in circostanze eccezionali, qualora ritenga che urga intervenire per proteggere i diritti e le libertà degli interessati, un’autorità di controllo interessata può, in deroga al meccanismo di coerenza, «adottare immediatamente misure provvisorie intese a produrre effetti giuridici nel proprio territorio, con un periodo di validità determinato che non supera i tre mesi». Tale articolo rafforza la tesi dell’eccezionalità del ricorso al giudice locale da parte delle autorità non capofila.
[2] In generale, recita il considerando 103: «È opportuno attribuire alla Commissione competenze di esecuzione al fine di garantire condizioni uniformi di esecuzione del presente regolamento. È altresì opportuno che tali competenze siano esercitate conformemente al regolamento (UE) n. 182/2011 del Parlamento europeo e del Consiglio». Stessa formula è contenuta nella proposta di Regolamento europeo «relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche» (qui).
Di recente hanno fatto notizia alcune sanzioni del Garante Privacy rivolte a diverse aziende sanitarie. È solo un momento di attenzione dei media o davvero l’Authority ha cambiato marcia?
Proviamo a capirlo con Francesco Rampone, of counsel dello Studio e responsabile del team IP/IT, attraverso l’analisi delle ultime pronunce del Garante della Privacy.
Prende sempre più piede l’idea che la privacy, da inutile orpello burocratico che ostacola l’iniziativa d’impresa, stia diventando un elemento strategico di successo: la compliance sul trattamento dei dati personali è una prassi aziendale che, imponendo il rispetto dei diritti e libertà dei dipendenti, dei clienti e dei partner commerciali, offre l’opportunità di ridisegnare ruoli e processi in modo nuovo e più efficiente.
A differenza della precedente direttiva, oggi il GDPR non richiede più il piatto adeguamento a regole e l’adempimento di obblighi formali con adozione di moduli e formulare da sottoporre volta per volta al soggetto interessato. Con l’introduzione del principio di accountability, al contrario, si impone a tutti i livelli del management una presa di coscienza in ordine a flussi informativi e correlati ruoli e responsabilità di decisori e operatori. Siamo di fronte, insomma, ad una idea di governance dei dati che ha necessariamente riflessi positivi e significativi sul business.
Lo studio raccoglie le informazioni e le opinioni fornite da oltre 4.400 professionisti della privacy ed evidenza alcuni fenomeni:
una corretta gestione della privacy in azienda migliora l’efficienza operativa, la reattività di business e l’innovazione;
i temi privacy acquistano sempre più alti livelli di priorità sui tavoli dei vertici aziendali;
l’utente manifesta una crescente attenzione alle aziende che offrono tutele privacy adeguate che diventano quindi elemento strategico di marketing;
esiste una forte correlazione tra le scelte di consumo e di partenariato con i livelli di tutela privacy[1];
gli investimenti in privacy hanno mediamente un ROI di 2.0[2];
Difficile dire quanto ci sia di scientifico in questi risultati, ma una cosa è certa, soprattutto con la crisi pandemica dilagante da oltre un anno, lo sviluppo del business on line e la capacità di decentralizzare in modo efficace il lavoro stanno diventando elementi chiave di successo. Il mercato è sempre più virtuale, come anche (ahimè) le relazioni, sia interne tra colleghi che esterne con i clienti.
In tale quadro, rassicurare gli utenti sul trattamento dei loro dati personali e sulla riservatezza delle informazioni che li riguardano, ma soprattutto adottare misure di sicurezza chiare ed adeguate, diventano fattori di forte caratterizzazione della corporate identity e possono costituire moltiplicatori della capacità penetrativa del mercato.
Non stupisce quindi che le aziende in questo periodo abbiano raddoppiato gli investimenti sulla privacy, integrando e ampliando i servizi di security senza andare a discapito della tutela del trattamento dati.
In commento allo studio Cisco, Tim Roberts, amministratore delegato e co-responsabile della sicurezza e della privacy presso la società di consulenza AlixPartners, ha dichiarato a Euronews: «All’improvviso, tutti lavorano in remoto, i dati sono fuori sede e le persone hanno accesso a dati altamente riservati sui dispositivi mobili». Ciò non solo costituisce per le aziende un problema di security, ma soprattutto di data protection nella misura in cui un trattamento non supportato da un buon design, espone ad una responsabilità assai elevata in termini sanzionatori del GDPR e risarcitori civilistici.
Il Rapporto, concludono i suoi autori, «fornisce la prova empirica che l’investimento in privacy crea business value» e che le diffidenze dei primi anni dall’entrata in vigore del GDPR (mag. 2018) si stanno via via dissipando e le aziende iniziano ad apprezzare il contributo positivo di un corretto presidio privacy[3].
[1] Il 90% delle aziende dichiara che i propri clienti non acquisterebbero da loro se non fossero chiare sulle pratiche di protezione dei dati personali.
[3] Secondo il rapporto, il 79% delle aziende vede favorevolmente le leggi sulla privacy e solo il 5% afferma che la legislazione ha avuto un impatto negativo.
Il danno non patrimoniale per trattamento illecito dei dati personali va liquidato solo se sono accertate la gravità della lesione e serietà del danno (Cass. Sez. I, n. 29982/20 del 31 dicembre 2020).
Con la sentenza in commento si tirano le somme sulla rilevanza della lesione subita a seguito di un illecito trattamento dei dati personali.
È l’occasione giusta per distinguere tra lesione e danno, nonché tra l’uso spesso promiscuo che si fa delle locuzioni “danno morale”, danno non patrimoniale” e ora pure “danno immateriale”!
Il caso
Nel 2014 un collaboratore scolastico proponeva ricorso innanzi al Tribunale di Torino chiedendo – tra le altre cose – il ristoro per danno non patrimoniale per aver patito “umiliazione, imbarazzo e disagio” a seguito della condotta del direttore amministrativo della scuola il quale, nell’ambito di un’indagine di polizia giudiziaria, aveva rivelato a quest’ultima di alcune contestazioni disciplinari sollevate in passato nei confronti del ricorrente.
Il Tribunale rigettava il ricorso e il collaboratore proponeva nel 2015 impugnazione in Cassazione.
Il tema sollevato, per i profili qui di interesse, riguardava in particolare il mancato riconoscimento del danno non patrimoniale per trattamento illecito dei dati.
Il quadro normativo
Dopo l’entrata in vigore del GDPR, e le modifiche introdotte alla normativa nazionale dal D.Lgs. 101/2018, è stato abrogato l’art. 15 del Codice Privacy (D.Lgs. 196/2003) il quale prevedeva al secondo comma che «Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11» e cioè, in via generale, in ogni caso di trattamento illecito o non corretto di dati personali[1].
Quella disposizione è oggi sostituita dall’art. 82 GDPR il quale, con una formulazione originale, prevede che: «Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento». Pare così essere stata introdotta la nozione extragiuridica (almeno nel nostro ordinamento) del “danno immateriale” in luogo del ben noto “danno non patrimoniale”.
Va innanzi tutto chiarito che «materiale o immateriale» (nella versione in inglese: «material and non-material») non va inteso come danno “grave e non grave”, laddove, appunto, i material damages sono intesi letteralmente come danni gravi. Ciò poiché in common law (se è lì che deve cercarsi l’appiglio interpretativo) non esiste una categoria di non-material damages.
Peraltro, «materiale o immateriale» non deve nemmeno intendersi come danno per lesione di bene materiale contro danno per lesione di bene immateriale. Innanzi tutto perché tale distinzione non rileva in alcun modo in termini di diritto sostanziale, e poi perché non sono certamente possibili danni a “cose” che siano mera conseguenza di trattamenti illeciti di dati personali.
Pertanto, «materiale o immateriale» deve necessariamente intendersi come danno patrimoniale e non patrimoniale.
Questa interpretazione è sorretta dal considerando 146: «Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento […]. Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. […] Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito».
Va sottolineato che il danno immateriale non è neanche assimilabile al c.d. danno morale. Con quest’ultima espressione (spesso ahimè confusa con il danno non patrimoniale) s’intende null’altro che il danno da lesione di diritto morale (diritto d’autore) o danno per lesione del diritto alla reputazione, all’onore, alla vita di relazione e, se vogliamo, alla felicità in generale. Tutte ipotesi da cui possono derivare danni patrimoniali e non patrimoniali[2].
La decisione
In ordine alla domanda risarcitoria per danno non patrimoniale non accolta dal Tribunale e portata al suo cospetto, la Cassazione, facendo riferimento ratione temporis all’art. 15 del Codice Privacy, ha ricordato che il danno non patrimoniale per essere liquidato necessita che il fatto giuridico sia connotato da requisiti di gravità della lesione e serietà del danno per il superamento della soglia di tolleranza imposta dal dovere costituzionale di solidarietà[3].
Gravità e serietà non riscontrate nella fattispecie al suo esame in quanto le informazioni circolate, presuntivamente lesive, attenevano a «semplici contestazioni mosse al ricorrente (e non a veri e propri provvedimenti disciplinari), prive di riferimenti specifici».
Gli ermellini escludono quindi che dal solo trattamento illecito possa derivare un danno risarcibile come mero “danno evento”, dovendo questo essere non solo allegato, ma provato nella sua entità (gravità e serietà).
Concludendo
Il riferimento a danni materiale e immateriali di cui all’art. 82 GDPR, va inteso come danni patrimoniali e non patrimoniali.
È bene distinguere la lesione dal danno. La prima è l’evento, il secondo la conseguenza. Vi sono lesioni senza danno e danni senza lesione[4].
[1] L’art. 11 disponeva, più in dettaglio, che i dati devono essere raccolti e registrati per scopi determinati, espliciti e legittimi. Essi devono poi essere sempre (i) esatti e, se necessario, aggiornati; (ii) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; (iii) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Oggi, l’articolo in questione, è sostituito dall’art. 5 GDPR.
[2] Sui rilievi penali di cui all’art. 167 del Codice Privacy, si rinvia al mio precedente contributo su questa rivista, Delitto da trattamento illecito di dati personali. La Cassazione fornisce utili chiarimenti (qui).
[3] Fondamentale è il richiamo alle sentenze gemelle di Cass. SS.UU. dell’11 novembre 2008 nn. 26972 e 26975. Più recentemente si vedano Cass. 17383/20, Cass. 207/2019, Cass. 14242/18.
[4] Una ricostruzione esegetica dell’art. 15 del Codice Privacy, pur prospettata da autorevole dottrina, riteneva possibile il risarcimento del danno non patrimoniale a seguito del mero riscontro di un trattamento illecito ex art. 11 qualificandolo quindi come «danno evento», quantificabile sulla base di valutazioni equitative, pur in assenza di un «danno conseguenza» (Di Ciommo, La risarcibilità del danno non patrimoniale da illecito trattamento dei dati personali, in Danno e resp., 7, 2005, p. 801).
Occupandomi di privacy, e svolgendo le funzioni di DPO per diverse aziende, ho spesso ricevuto dai clienti la fatidica domanda «Avvocato, oggi che si parla tanto di questo diritto all’oblio e di data retention, quanto tempo possiamo tenere i dati?».
A parte il fatto che anche prima dell’entrata in vigore del GDPR il diritto all’oblio già esisteva e i dati personali non potevano essere trattati (conservati) per tempo indefinito, rispondere a questa domanda non è mai stato facile. Da un lato il cliente esige un termine chiaro e univoco, dall’altro le casistiche sono così varie che più che individuare un termine (il solito 10 anni, per riferimento alla prescrizione civile in tema di responsabilità aquiliana), procedo sempre con la scorsa del registro dei trattamenti attribuendo a ciascuno di essi un tempo ragionato (es.: marketing; contratti; whistleblowing, ecc.).
Si tratta insomma, di fare sempre ricorso al citatissimo “bilanciamento di interessi”. Formula quanto mai indefinita che, in linea con il principio di accountability del GDPR, spetta al titolare riempire di contenuto, essendo poi in grado di fornire valide ragioni della scelta compiuta.
Mi sia perdonata questa lunga premessa, ma utile per introdurre la sentenza della Cassazione qui in commento la quale indica un termine chiaro di trattamento, quanto meno in ordine agli obblighi di trasparenza della PA, e in particolare sugli obblighi di pubblicazione delle delibere degli egli enti territoriali.
Il caso è presto detto.
Il Comune di Santa Ninfa (TP), in ossequio dell’art. 124 del D.Lgs. 267/2000 (Testo unico delle leggi sull’ordinamento degli enti locali), pubblicava sul proprio albo pretorio on line una delibera contenente anche informazioni personali di una dipendente. Informazioni estranee alle funzioni di quest’ultima, e lì le manteneva ben oltre il termine di quindici giorni indicato dalla norma[1].
Interveniva il Garante per la protezione dei dati personali con ordinanza di ingiunzione che sanzionava il Comune per Euro 4.000. L’ordinanza veniva impugnata innanzi al Tribunale di Sciacca che rigettava l’opposizione. Veniva quindi riproposta impugnazione innanzi alla Cassazione ()[2], ma l’esito del giudizio non cambiava.
Ha sostenuto il Comune che il termine quindicinale dell’art. 124 del D.Lgs. 267/2000 può essere superato se letto in coordinamento con l’art. 11 del D.Lgs. 150/2009 (ottimizzazione della produttività del lavoro pubblico e di efficienza e trasparenza delle pubbliche amministrazioni)[3]
La Corte ha invece sottolineato che il bilanciamento di interessi è ben traguardato nel termine quindicinale e che l’art. 11 del D.Lgs. 150/2009 non vale a superare tale limite in quanto norma riguardante solo aspetti organizzativi dell’Amministrazione municipale, nonché «indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse» e i «risultati dell’attività di misurazione e valutazione svolta dagli organi competenti».
Ebbene, la delibera pubblicata accennava a circostanze di vita privata, non coperte quindi dall’esenzione di cui all’art. 19, comma 3 bis, D.Lgs. 196/2003: «Le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto a una funzione pubblica e la relativa valutazione sono rese accessibili dall’amministrazione di appartenenza. Non sono invece ostensibili, se non nei casi previsti dalla legge, le notizie concernenti la natura delle infermità e degli impedimenti personali o familiari che causino l’astensione dal lavoro, nonché le componenti della valutazione o le notizie concernenti il rapporto di lavoro tra il predetto dipendente e l’amministrazione, idonee a rivelare taluna delle informazioni di cui all’articolo 4, comma 1, lettera d)» (applicabile ragione temporis)
Concludendo, la sentenza in commento non si occupa propriamente di diritto all’oblio (il che implicherebbe la cancellazione definitiva dei dati e non la mera rimozione dal web e conservazione in archivio), ma di qualcosa di molto vicino (i principi di minimizzazione e limite di conservazione di cui all’art. 5 GDPR, comma 1, lett. c) ed e)). È un termine chiaro che indica un periodo bilanciato tra interessi contrapposti: trasparenza della PA da un lato e riservatezza dei cittadini dall’altro.
[1] Che al comma 1 prevede: «Tutte le deliberazioni del comune e della provincia sono pubblicate mediante pubblicazione all’albo pretorio, nella sede dell’ente, per quindici giorni consecutivi, salvo specifiche disposizioni di legge».
[2] AI sensi dell’art. 10, comma 10, del D.Lgs. 150/2011, richiamato dall’art. 152, comma 1-bis, del D.Lgs. 196/2003. Entrambe queste norme sono state modificate dall’art. 17 del D.Lgs. 101/2018 (legge di revisione del codice privacy dopo l’entrata in vigore del GDPR).
[3] «La trasparenza è intesa come accessibilità totale, anche attraverso lo strumento della pubblicazione sui siti istituzionali delle amministrazioni pubbliche, delle informazioni concernenti ogni aspetto dell’organizzazione, degli indicatori relativi agli andamenti gestionali e all’utilizzo delle risorse per il perseguimento delle funzioni istituzionali, dei risultati dell’attività di misurazione e valutazione svolta dagli organi competenti, allo scopo di favorire forme diffuse di controllo del rispetto dei principi di buon andamento e imparzialità. Essa costituisce livello essenziale delle prestazioni erogate dalle amministrazioni pubbliche ai sensi dell’articolo 117, secondo comma, lettera m), della Costituzione». Articolo abrogato con l’entrata in vigore del D.Lgs. 33/2013 (Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni), che ha specificato e ampliato gli obblighi di trasparenza della PA.
Di seguito è riportato in forma sintetica e sistematica il contenuto delle disposizioni in tema di trattamento dei dati personali sparse nei numerosi provvedimenti legislativi emanati in occasione dell’emergenza COVID-19. Lo scopo è fornire un elenco ragionato delle attività e delle misure che il titolare deve adottare in azienda nel corso della c.d. Fase 2 per il rispetto della normativa privacy in concomitanza con le norme straordinarie di contrasto al contagio[1].
[1] La presente check-list si affianca, integrandolo, al protocollo di sicurezza anti-contagio redatto dal titolare secondo le linee guida del Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, Pubblicato dal Ministero del Lavoro il 24 aprile 2020.
Quali sono i rischi delle udienze telematiche e quali sono le implicazioni privacy che ne conseguono?
Niccolò Pisaneschi e Francesco Rampone, of counsel dello Studio, provano a rispondere a queste domande, immaginando anche i possibili scenari che seguiranno questo periodo di emergenza.
Francesco Rampone, of counsel e responsabile del team IP/IT, analizza i dubbi sulla compatibilità tra le misure adottate dal governo per il contrasto dell’infezione da COVID-19
e le disposizioni sulla privacy.
In questa puntataFrancesco Rampone, Of Counsel e Responsabile del team Ip/It di La Scala, interviene sul tema delle informative privacy sulle aperture di conto corrente.
Con Paola Maccarrone, Senior Associate dello Studio, parleremo invece della validità degli accordi transattivi tra banca e cliente, avvenuti prima di una citazione in giudizio.
Per non perderti le principali notizie della settimana, ascoltaci su IusPod, tutto il diritto che conta sul nostro canale podcast.
Se la banca chiede il consenso al trattamento dei dati sensibili commette illecito. Queste potrebbero essere in estrema sintesi le conclusioni della Corte di Cassazione con l’ordinanza n. 26778/2019 qui in commento.
Il caso.
Un cliente di una filiale di banca sottoscriveva l’apertura di un conto corrente rifiutandosi di prestare il consenso al trattamento dei dati sensibili ancorché richiesto espressamente nel formulario quale condizione di esecuzione del contratto da parte della banca. Nonostante ciò, la banca adempiva le proprie obbligazioni e il cliente iniziava il regolare utilizzo del servizio di conto corrente. Trascorso qualche tempo, tuttavia, la banca bloccava l’operatività del conto e del correlato deposito titoli insistendo nella richiesta di consenso al trattamento dei dati sensibili senza cui non avrebbe potuto eseguire le proprie obbligazioni senza incorrere in violazione della legge sulla protezione dei dati personali. Da qui iniziava un contenzioso con pretesa del cliente al risarcimento del danno a carico della banca per responsabilità contrattuale ed extracontrattuale.
Tribunale prima e Corte di Appello poi, davano ragione alla banca sulla scorta del fatto che questa – indipendentemente dal fatto che il trattamento dei dati sensibili fosse effettivamente necessario alla gestione del conto corrente – aveva sempre prospettato al cliente – in modo chiaro e trasparente – il fatto che senza tale consenso si sarebbe potuta rifiutare di dare corso al contratto stesso.
I giudici della Suprema Corte sono stati di diverso avviso.
Minimizzazione.
La Corte di Cassazione ha affrontato il caso da una diversa prospettiva assumendo che “la clausola con cui la banca ha subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrasta indubitabilmente con i principi informatori della legge sulla privacy”, e segnatamente con il principio di minimizzazione di cui all’art. 5.1.c) del GDPR per il quale i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
In realtà, il principio in questione qui non c’entra nulla! La clausola non è affatto contraria a norme imperative (sono clausole abbastanza standard nei contratti bancari). Contrario a norme imperative sarebbe semmai il trattamento eccedente le finalità dichiarate.
A tale riguardo, la banca non ha mai inteso utilizzare i dati ricevuti dal cliente per fini ulteriori rispetto a quelli di mera esecuzione del contratto di conto corrente. Essa, invero, si è difesa sostenendo che il trattamento dei dati sensibili sarebbe connaturato al servizio e non possa essere escluso in una normale operatività di gestione conto (si pensi ad una causale di una disposizione di bonifico che tradisca l’orientamento politico, religioso o sessuale del correntista).
È questo il perno su cui dovrebbe fare leva la decisione, non sulla minimizzazione, ma sulla questione se l’incidentale raccolta di dati sensibili da parte della banca debba considerarsi trattamento e se, come tale, debba o meno essere supportato da una valida e specifica manifestazione di consenso del soggetto interessato.
Coerenza e diritto.
L’errore concettuale di fondo che porta i giudici a concentrarsi sulla minimizzazione, si rivela tanto sbagliato quando li induce ad una considerazione alquanto azzardata, oserei dire: “la Banca […] di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto corrente”.
Secondo tale periodo, parrebbe che la banca debba incorrere in responsabilità risarcitoria perché incoerente. Ebbene, la coerenza non è una categoria giuridica, ma una qualità umana del tutto irrilevante per il diritto. Semmai, la condotta della banca dimostra che il contratto concluso non è quello scritto sul documento, ma quello di fatto eseguito dalle parti, nel quale il consenso al trattamento dei dati sensibili non è condizione di esecuzione e di risoluzione/recesso.
Svolta questa premessa, torniamo all’ultimo periodo del paragrafo precedente e vediamo se davvero occorra il consenso al trattamento dei dati personali sensibili per l’apertura di un conto corrente.
Conservazione e cancellazione dei dati.
Rimosso il velo della minimizzazione, la sentenza in commento giunge comunque a conclusioni condivisibili. Secondo i giudici di legittimità la banca, al momento dell’apertura del conto, non avrebbe dovuto chiedere il consenso alla controparte sulla scorta del fatto che il trattamento di dati sensibili sarebbe stato solo eventuale e indiretto. La banca, continuano, avrebbe dovuto semmai chiedere il consenso solo per la loro cancellazione. Benché non sia argomentata sufficientemente nelle motivazioni, questa conclusione pare corretta. Non solo è supportata dalla decisione del Garante “Istituti di credito – Criteri generali in materia di informativa e richiesta del consenso dell’interessato” del 28 maggio 1997 [doc. web n. 40425] (“Appare in aperto contrasto con l’anzidetto principio di finalità l’ampia richiesta di consenso per tutti i dati sensibili il cui trattamento generalizzato non può certo ritenersi connaturato alle esigenze nascenti da un comune contratto bancario”), ma è logica sotto ogni aspetto. Il trattamento, come tale, deve essere volontario e non accidentale. Se fosse altrimenti, sarebbe sufficiente inviare una mail contenente dati sensibili ad un servizio clienti qualsiasi per mettere fuori legge il destinatario.
Non avrei neanche dubbi sulla facoltà del destinatario di cancellare i dati sensibili così ricevuti pur senza il consenso del mittente. Diverso è il caso se tali dati fossero ricevuti dal destinatario nell’ambito di prestazione di servizi cui egli è obbligato, In tale ipotesi, che ricorre nella fattispecie qui in commento, dovrebbe sì essere chiesto il consenso preventivo al cliente.
Conclusioni.
Il consenso al trattamento dei dati sensibili non è funzionale (necessario quindi) alla prestazione di un servizio di conto corrente, e quindi non va chiesto né il contratto va condizionato al suo rilascio; è bene comunque prospettarlo come mera eventualità accidentale. L’eventuale ricezione e conservazione di dati sensibili non costituisce trattamento disciplinato dal GDPR ovvero, se vogliamo intendere la definizione di trattamento in senso oggettivo e letterale, si tratta di un trattamento che non può essere fonte di alcuna responsabilità amministrativa, civile o penale difettando del requisito soggettivo della colpa o del dolo.
Non va, infine, trascurato il fatto che, in una prospettiva evolutiva della patrimonializzazione dei dati personali (su cui, va detto, in molti sollevano dubbi di costituzionalità), nulla vieta alla banca di raccogliere volutamente i dati sensibili del cliente – dietro suo consenso ovviamente – quale condizione per la prestazione del servizio di conto corrente.
Nel caso di specie, tuttavia, non può essere invocata tale circostanza poiché il consenso al trattamento dei dati sensibili fu chiesto dalla banca al correntista in modo generico e sul presupposto della sua necessità, non quale controprestazione di altri servizi o sconti su commissioni (sulla patrimonializzazione dei dati mi permetto di rinviare ad altri contributi su questa rivista: Il prezzo del consenso del 3 settembre 2018 e In California i dati personali sono fonte di reddito. L’oro del futuro del 17 giugno 2019).
Privacy e blockchain sono compatibili? Ne abbiamo parlato lo scorso 18 settembre insieme a Spindox. Il punto di vista di Francesco Rampone, Of Counsel del team IP/IT, e di Claudio De Rossi, Spindox, Head of Service Line Cybersecurity.
Il totem alla stazione sa che sei lì, sa cosa fai e sa di che umore sei. Ma nessuno te lo ha detto!
Andiamo con ordine.
La pubblicità è sempre stata un atto di comunicazione dal produttore al consumatore. Ora è invece diventata interattiva, bidirezionale: non solo atto di persuasione dall’alto verso il basso, ma al tempo stesso flusso di dati personali dal consumatore al produttore, che quest’ultimo raccoglie ad uso di future campagne promozionali o per statistica commerciale, demoscopica, e chissà cos’altro.
Siamo già abituati a cookies che monitorano la nostra attività in rete e selezionano, sulla base di questa, quali banner pubblicitari mostrarci. La normativa europea sulla privacy, e i Garanti nazionali al seguito (si veda il provvedimento del Garante italiano n. 229, dell’8 maggio 2014, doc. web n. 3118884 e i successivi chiarimenti del 5 giugno 2015, qui), hanno già affrontato le implicazioni di questa tecnologia prescrivendo a carico dei titolari (Google, o proprietari dei siti web visitati) condotte atte a raccogliere il consenso informato degli utenti. Ma la fantasia dei pubblicitari si è spinta oltre.
Il caso in esame.
Sono recentemente apparsi in alcune stazioni ferroviarie dei totem (detti anche digital signage, più semplicemente dei monoliti con grandi schermi verticali che proiettano pubblicità) dotati di piccole telecamere puntate su chiunque si soffermi di fronte a loro. Viene in mente l’occhio rosso e imperscrutabile di HAL 9000, che addirittura riusciva a leggere le labbra degli astronauti per tramare contro di loro piani di morte. Quello di cui parliamo è invece un sistema un po’ meno sofisticato e maligno, ma non meno inquietante in quanto riesce a leggere addirittura le emozioni decifrando le espressioni facciali dei passanti.
Più in particolare, il sistema, chiamato VidiReports, ogni volta che avverte la presenza di un volto umano innanzi allo schermo attraverso algoritmi di face detection (ovvero un software che riconosce la presenza di un volto umano, senza tuttavia procedere ad alcuna specifica identificazione di appartenenza), raccoglie e analizza una serie di dati personali dello spettatore tra cui: data e ora di arrivo, tempo di presenza, tempo di attenzione prestata, sesso, fascia d’età, distanza media dal punto di misura, espressione facciale (quantificata in 5 livelli da felice a triste).
Tali dati, che hanno indubbiamente varia natura, anche sensibile e di profilazione, e vengono utilizzati per ricavare un pool di informazioni aggregate impiegate per compiere un’analisi statistica volta ad individuare il livello di gradimento dei diversi messaggi pubblicitari. La trasformazione in forma aggregata dei dati, e quindi la loro anonimizzazione, è pressoché immediata, in quanto il volto viene “dimenticato” dal programma non appena lasciato il cono di visibilità del sensore.
Provvedimento del Garante.
Con proprio provvedimento n. 551 del 21 dicembre 2017, l’Autorità Garante, all’esito di una istruttoria condotta sostanzialmente sulle dichiarazioni di Grandi Stazioni Retail S.p.a. (GSR, titolare del trattamento dei dati raccolti dai totem – doc. web n. 7496252), ha ritenuto che l’utilizzo del sistema VidiReports nei termini sopra descritti non fosse del tutto legittimo, ma che comunque potesse proseguirsi in un’ottica di bilanciamento di interessi dell’art. 24, comma 1, lett. g) del Codice.
Ha rilevato il Garante, infatti, che sebbene il totem raccolga e tratti dati personali dei passanti solo per pochi istanti, non si possa parlare di trattamento di informazioni anonime, ma di vero e proprio trattamento di dati personali. Ha tuttavia concluso che considerate le circostanze concrete il trattamento al suo esame fosse conforme ai principi di necessità (minimizzazione), liceità e pertinenza (artt. 3 e 11 del Codice) e che pertanto potesse proseguirsi salvo rispettare i due adempimenti cardine dell’informativa e del consenso.
Quanto alla prima, il Garante ha disposto che GSR effettui un’informativa in forma semplificata, ai sensi dell’art. 13, comma 3, del Codice, «attraverso cartelli sintetici posizionati nelle vicinanze dei totem pubblicitari, messaggi che dovranno comunque essere integrati da più complete informative, rese agevolmente disponibili sul sito della Società titolare, nonché attraverso un QR code da posizionare sulla stessa vetrofania».
Quanto al consenso, invece, il Garante, come accennato, ha fatto ricorso al bilanciamento di interessi esonerando GSR da tale obbligo «a condizione che la rilevazione delle immagini effettuata avvenga alle condizioni e nei limiti precisati» nel proprio provvedimento. Tale soluzione fa leva sul fatto che alcuni trattamenti possono essere comunque legittimi anche se privi di consenso da parte degli interessati purché gli interessi in gioco (lo scopo del trattamento e i diritti della personalità coinvolti) convivano in equilibrio secondo un apprezzamento che si dovrebbe svolgere ex ante e non ex post il quale, prima dell’entrata in vigore del nuovo GDPR, spettava al Garante su istanza del titolare e oggi, invece, spetta direttamente al titolare (si vedano in proposito le due opinion su legitimate interest prima e dopo il GDPR – opinion 06/2014 del 9 aprile 2014 e opinion 2/2017 dell’8 giugno 2017). Ebbene, poiché pare che i totem fossero utilizzati ben prima di maggio 2016 (quando cioè era in vigore solo il Codice), credo si possa concludere che il trattamento dati sia stato compiuto da GSR in modo illegittimo, senza alcuna informativa e consenso degli interessati e senza alcuna preliminare valutazione dell’Autorità preposta. Né, in tempi più recenti, pare che GSR si sia posto il problema con una mappatura dei trattamenti e un’analisi dei rischi.
Doveva proprio intervenire il Garante per far capire al titolare che stava compiendo un trattamento dati (peraltro sensibili in alcuni casi)? E doveva intervenire il Garante per imporre al titolare di effettuare un monitoraggio periodico con frequenza almeno semestrale sul funzionamento del totem (ultimo punto del suo provvedimento in commento)? Possibile che la sensibilità in tema di privacy sia ancora così bassa (si parla di 500 totem in giro per l’Italia al tempo dell’istruttoria; e forse oggi sono già 750)?
Se, come insegna la filosofia digitale, tutto è informazione, e se tutta l’informazione può considerarsi in un modo o nell’altro dato personale, allora la c.d. legge sulla privacy è la legge del tutto!
Il caso Nowak.
Il Sig. Peter Nowak, dopo aver tentato invano per quattro volte di superare un esame di Finanza Strategica e Contabilità Gestionale presso l’ordine professionale di categoria in Irlanda, contestava il risultato e presentava nel 2010 richiesta di accesso ai dati personali ai sensi della normativa sui dati personali.
Il caso è ora pendente innanzi alla Corte Suprema che ha rivolto alla Corte di Giustizia Europea una domanda di pronuncia pregiudiziale chiedendo sostanzialmente se una prova d’esame possa considerarsi dato personale e in che limiti si possa far ricorso alla normativa sulla privacy per l’accesso ad atti e documenti.
Il parere dell’Avvocato Generale Kokott.
Come da procedura, l’Avvocato Generale ha presentato le sue conclusioni alla Corte lo scorso 20 luglio sostenendo, contrariamente da tutte le autorità che finora si sono espresse sul caso, che;
«Una prova d’esame scritta a mano, attribuibile ad un candidato, incluse le eventuali correzioni degli esaminatori, costituisce dato personale ai sensi dell’articolo 2, lettera a), della direttiva 95/46/CE relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati».
Il ragionamento dell’A.G. è lineare: una prova d’esame non solo contiene informazioni sulla soluzione di una determinata prova, ma associa detta soluzione alla persona del candidato che redige l’elaborato. Il documento attesta la partecipazione della persona ad una particolare prova d’esame e il risultato che ha conseguito, ovvero il suo grado di preparazione nonché il fatto che in un dato giorno si trovava in un dato luogo. Ne consegue che una prova d’esame incorpora una serie di informazioni riferibili ad uno specifico candidato e, pertanto, costituisce senza dubbio un complesso di dati personali.
Peraltro, le risposte scritte a mano costituiscono altrettanti dai personali (biometrici) che forniscono indicazioni sull’identità dell’autore e che sono prova utilizzabile quantomeno potenzialmente come indizio in un momento successivo per verificare se un altro testo sia stato scritto dalla medesima persona.
Critica.
A mio avviso, l’A.G. ponendo sul medesimo piano i dati personali con il documento (l’elaborato d’esame) in esso contenuti, è pervenuto ad una conclusione errata.
In diritto d’autore la distinzione tra corpus misthicum (l’opera dell’ingegno) e corpus mechanicum (il supporto materiale su essa è fissata o riprodotta) è nota e parimenti può essere trasposta in ambito privacy.
Il diritto di accesso ai dati personali, sancito a favore dell’interessato dalla direttiva 95/46/CE, non equivale al diritto di accesso ai documenti contenenti i dati personali. Tale ultimo diritto è semmai perseguibile attraverso la specifica normativa sull’accesso agli atti, che ha presupposti diversi ed è a presidio dell’interesse alla trasparenza della PA e non certo al diritto personale della riservatezza e del trattamento dei propri dati.
In tale prospettiva, il documento è l’originale supporto su cui l’informazione è fissata ovvero copia fedele di tale supporto, ma non è in sé un dato personale. Anche la copia digitale di un documento cartaceo, altro non è che un’informazione dettagliata del documento stesso, qualcosa di più ampio, quindi, rispetto ai dati personali in esso eventualmente contenuti.
In altri termini, se in forza dell’art. 12 della direttiva l’interessato ha diritto di avere dal titolare conferma dell’esistenza di trattamenti che lo riguardano e di avere comunicazione «in forma intellegibile» dei dati oggetto di trattamento, allora vien da sé che l’obbligo del titolare non è di fornire all’interessato il documento originale o la copia su cui i dati personali sono contenuti (anche se questo sarà il modo sempre più agevole per riscontrare la richiesta dell’interessato), ma è piuttosto quello di fornire indicazione puntuale di quali sono questi dati, dove sono conservati, con quali logiche sono trattati, ecc.; la locuzione in forma intellegibile non può avere infatti altrimenti altro senso se non quello di sottolineare che oggetto del diritto esercitato dall’interessato sono i dati personali e non il documento.
Tutto è dato personale.
Alla luce di quanto precede, il Sig. Nowak ad avviso di chi scrive non può legittimamente pretendere la consegna dell’elaborato in sé, ma solo la comunicazione dei dati personali in esso contenuti. Tuttavia, la distinzione tra dato personale e documento, che di per sé sarebbe importantissima, lascia il tempo che trova se la nozione di dato personale si allarga fino a ricomprendere qualsiasi informazione che anche solo potenzialmente può ricondurre all’identità di un individuo specifico. Ed è questa l’impostazione dell’Avvocato Kokott (ma direi in generale del legislatore europeo), sicché la legge sulla privacy rischia di diventare un grimaldello adatto per tutte le serrature.
Occorre infatti considerare che un dato personale è «qualsiasi informazione concernente una persona fisica identificata o identificabile» (art. 3 della Direttiva, ma non diverso dal nuovo Regolamento europeo).
Ebbene, l’avvento del Big Data rende tale definizione amplissima. Un’informazione che non costituisce dato personale al momento della sua raccolta, può ciò nondimeno diventarlo in un momento successivo per effetto della semplice evoluzione della tecnica. L’incrocio su scala globale di una enorme mole di dati, peraltro in aumento esponenziale e di qualità sempre maggiore, consente a chiunque dotato di risorse sufficienti di estrapolare dati personali da qualsiasi altro pezzo di informazione; un processo, inarrestabile pare, noto come re-identification, ovvero identificazione personale con utilizzo di dati non (direttamente) personali. Se poi si guarda alle promesse della computazione quantica e dell’internet delle cose, non è azzardato sostenere che la legge sulla privacy diventerà ben presto la legge del tutto.
Questo sito utilizza cookie e tecnologie similari per il suo funzionamento e per l’erogazione dei servizi in esso presenti e cookie analitici (propri e di terze parti) per comprendere e migliorare l’esperienza di navigazione dell’utente.
Cliccando su Accetta Tutti, l'utente acconsente all'utilizzo dei suddetti cookie. Per gestire o disattivare questi cookie cliccare su Impostazioni Cookie. Cliccando sul pulsante Chiudi si prosegue la navigazione con solo i cookie funzionali abilitati. Per maggiori informazioni leggere l'informativa completa Privacy e cookie Policy
Questo sito Web utilizza i cookie per migliorare la tua esperienza durante la navigazione nel sito Web. Di questi, i cookie classificati come necessari vengono memorizzati sul tuo browser in quanto sono essenziali per il funzionamento delle funzionalità di base del sito web. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e capire come utilizzi questo sito web. Questi cookie verranno memorizzati nel tuo browser solo con il tuo consenso. Hai anche la possibilità di disattivare questi cookie. Tuttavia, la disattivazione di alcuni di questi cookie potrebbe influire sulla tua esperienza di navigazione.
I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questi cookie garantiscono le funzionalità di base e le caratteristiche di sicurezza del sito web, in modo anonimo.
Cookie
Durata
Descrizione
cookielawinfo-checkbox-advertisement
1 year
Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional
11 months
The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance
11 months
This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent
1 year
Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy
11 months
The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
I cookie funzionali aiutano a svolgere determinate funzionalità come la condivisione del contenuto del sito Web su piattaforme di social media, la raccolta di feedback e altre funzionalità di terze parti.
I cookie per le prestazioni vengono utilizzati per comprendere e analizzare gli indici chiave delle prestazioni del sito Web che aiutano a fornire una migliore esperienza utente per i visitatori.
I cookie analitici vengono utilizzati per capire come i visitatori interagiscono con il sito web. Questi cookie aiutano a fornire informazioni sulle metriche del numero di visitatori, frequenza di rimbalzo, fonte di traffico, ecc.
Cookie
Durata
Descrizione
_ga
2 years
The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_22340695_1
1 minute
Set by Google to distinguish users.
_gid
1 day
Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
I cookie pubblicitari vengono utilizzati per fornire ai visitatori annunci e campagne di marketing pertinenti. Questi cookie tracciano i visitatori attraverso i siti Web e raccolgono informazioni per fornire annunci personalizzati.
Cookie
Durata
Descrizione
IMRID
1 year 24 days
The domain of this cookie is owned by Nielsen. The cookie is used for storing the start and end of the user session for nielsen statistics. It helps in consumer profiling for online advertising.