La tutela dei consumatori nella pubblicità, tra privacy e concorrenza

I mondi della privacy e della concorrenza, se osservati nell’ottica del fare e ricevere pubblicità, sono spesso legati da un denominatore comune: la tutela dei consumatori.

I diritti elencati nel Codice del Consumo – tra i quali figurano la salute e la sicurezza, gli interessi economici, il diritto all’informazione e ad adeguate istruzioni, il diritto al risarcimento, alla rappresentanza e alla partecipazione – rappresentano dei veri e propri diritti soggettivi, garantiti nella tutela individuale e collettiva.

Privacy e concorrenza

Tra i rimedi di natura amministrativa posti a presidio dei consumatori esistono, in particolare, due principali strumenti a fronte di violazioni della privacy che trascendono in pratiche di concorrenza sleale: rivolgersi al Garante privacy, oppure adire l’Autorità Antitrust.

Le due vie si trovano spesso ad intrecciarsi e a far collidere il mondo dei diritti individuali, in particolare quelli relativi alla protezione dei dati personali, con quello della tutela del singolo nel settore della concorrenza e dei mercati.

In questo senso, l’Avvocato generale dell’Unione europea – che formulerà prossimamente le sue conclusioni nel corso del procedimento C-252/21 – in armonia tra l’altro con le decisioni sia del Consiglio di Stato (Sent. 2630 e 2631 del 2021) che del Tar Lazio (Sent. 260 e 261 del 2020), ha proposto alla Corte di Giustizia dell’Unione europea di affermare che per valutare una violazione della concorrenza, l’Autorità antitrust possa incidentalmente indagare se una prassi imprenditoriale sia conforme o meno al GDPR.

Se così decidesse anche la Corte, dal punto di vista delle imprese si porrebbe il necessario tema di (ri)verificare la modulistica contrattuale a disposizione, secondo un doppio parametro di giudizio: la condotta di prevedere all’interno di contratti commerciali delle condizioni di utilizzo di servizi in violazione del GDPR diverrebbe, infatti, censurabile sia dalpunto di vista delle tutele del consumatore sia da quello delle tutele dell’interessato come soggetto passivo in ambito privacy.

Pubblicità

Il caso citato riguarda in effetti Facebook Ireland Ltd. (e la propria controllata locale tedesca), ed in particolare le attività pubblicitarie effettuate a mezzo di Instagram con il supporto dei c.d. “Strumenti di Facebook Business”, in relazione ad un caso in cui è in corso la valutazione dell’abuso di posizione dominante a carico del social network in blu anche in relazione ai dati personali raccolti dagli utenti privati (consumatori), per poi proporre loro pubblicità targettizzate.

In questo senso, si rileva una scelta in senso opposto da parte di Google Italy, che ha di recente annunciato il proprio ingresso nell’italianissimo Istituto dell’Autodisciplina Pubblicitaria (“IAP”) come socio ordinario (qui la notizia).

Google si è così impegnato, accettando il Codice di autodisciplina elaborato dall’Iap, a promuovere una pubblicità più responsabile e sostenibile.

Con questa scelta il principale gestore dei sistemi di advertising online si sottopone ad un quadro di tutela spontanea, anche preventiva, di cui i consumatori fruiranno rispetto alle comunicazioni al pubblico che vengono quotidianamente veicolate dalla piattaforma.

L’ampia eco dell’azione di Google, secondo diversi esperti, non tarderà ad essere avvertita: è una tappa fondamentale nella diffusione nel mondo del web dell’Autodisciplina e dell’enforcement della tutela degli utenti e dei consumatori.

Una riflessione a margine

Oggi più che mai è impensabile fare pubblicità senza dati: diventa allora sempre più importante che ciò avvenga con il rispetto sia delle norme stabilite nel GDPR (e per noi nel Codice privacy) che nella normativa sulla concorrenza e, verso i singoli, nel Codice del Consumo.

La sfida diventa allora, in altri termini, quella di saper conciliare le numerose possibilità offerte dalla tecnologia per la realizzazione e la diffusione di pubblicità mirate con il rispetto delle regole, e delle conoscenze, giuridiche e tecniche.

Soprattutto sarà sempre più rilevante – ed evidente – l’intenzione (o meno) di rinunciare, da parte di ciascuna azienda, a soluzioni apparentemente “semplici” e di grande effetto, come lo sfruttamento di informazioni sui consumatori acquisite con metodi non corretti, che però urtano contro i principi posti a tutela dei dati personali e possono diventare fonte di sanzione anche in ambito di pubblicità e concorrenza.

__________________________________________

Immagine di copertina powered by Dall-E 2 (artist AI + @mpedruzzi)

News #38: Google Analytics bocciato anche in Danimarca; focus su 231 e infortuni sul lavoro; concorrenza e GDPR si intrecciano in UE

Immagine di copertina di David Köhler grazie a Unsplash.

PRIVACY

DANIMARCA –  Datatilsynet, autorità danese in materia di protezione dei dati personali, si è allineata con una recentissima pronuncia alle posizioni di altre autorità europee (tra le altre quelle di Austria, Francia e Italia) propendendo per la #illegalità di Google Analytics alla luce dei trattamenti effettuati che comportano, costantemente, un trasferimento di dati personali verso paesi non adeguati. Anche le società danesi si trovano dunque al fatidico bivio: implementare misure aggiuntive, allo scopo di rendere “legale” lo strumento (come, ad esempio, la psedunimizzazione), o smettere definitivamente di utilizzarlo. In aggiunta, l’autorità si è soffermata anche sulle misure tecniche previste per GA4, sostenendo che a prima analisi esse siano comunque #inadeguate a garantire trattamenti corretti.

ELEZIONI – Il Garante per la protezione dei dati personali ha inviato una richiesta urgente di chiarimenti a Facebook in merito alle attività da questa intraprese in occasione delle elezioni politiche dello scorso 25 settembre. La piattaforma aveva infatti iniziato una campagna – nei confronti dei soli utenti maggiorenni – volta a disincentivare l’astensionismo ed invogliare i suoi utenti al voto. Tuttavia, memore della sanzione comminata per lo scandalo “Cambridge Analytica” e del progetto “Candidati” avviato per le scorse elezioni politiche del 2018, il Garante preferisce vederci chiaro: le informazioni relative agli  orientamenti politici, infatti, rientrano nel novero dei dati personali “particolari”di cui all’art. 9 GDPR.

PLENARIA EDPB – Durante l’ultima riunione plenaria, il Comitato Europeo per la Protezione dei Dati (EDPB) ha discusso e pubblicato tre interessanti documenti: (1) la lettera aperta sul rifiuto di approvazione del proprio budget 2023 da parte della Commissione (di cui abbiamo già dato conto nella newsletter #37); (2) uno statement sul “EU Police Cooperation Code” (molto critico e che richiede interventi); (3) un parere molto interessante sul “European Privacy Seal”, schema di certificazione inoltrato da un ente tedesco (tra l’altro, uno dei primissimi): l’EDPB non sembra particolarmente positivo sul sistema proposto, sollevando diversi punti critici e individuando numerosi aspetti da migliorare. Al garante locale – tedesco – l’ultima parola.

RIFORMA PROCESSO PENALE – Il Garante per la protezione dei dati personali ha recentemente dato il proprio via libera alla riforma del processo penale (cd. #riformaCartabia), fornendo al contempo importanti suggerimenti in materia di protezione dei dati personali. In ragione della natura dei dati coinvolti – trattasi infatti di dati giudiziari, dunque particolari ex art. 9 GDPR – si è resa evidente la necessità di maggiori tutele. Tra i suggerimenti, la sottrazione delle notificazioni avvenute tramite annunci su internet alla indicizzazione sui motori di ricerca (con relativa fissazione del termine massimo di presenza del contenuto online) e due nuove forme di diritto all’oblio: la prima, che agisce in maniera preventiva, finalizzata a garantire la deindicizzazione dei provvedimenti giudiziari in modo tale da impedire – a monte – che nomi di imputati e indagati siano  oggetto di ricerca, e la seconda, che agisce invece ex post, consentirebbe ai soggetti coinvolti di richiedere la deindicizzazione dei propri dati personali dai provvedimenti.  

DATA RETENTION – Lo scorso 20 settembre la Corte di Giustizie dell’Unione Europea (CGUE) ha emesso la propria decisione nelle cause riunite C-793/19 e C-794/19 (rispettivamente SpaceNet e Telekom Deutschland). Con la sentenza la Corte ha ribadito che non è consentita, alla luce della legge dell’Unione, una conservazione generalizzata e indiscriminata dei dei dati relativi al traffico e all’ubicazione delle telecomunicazioni dei clienti, salvo che in caso di grave minaccia alla sicurezza nazionale. La decisione pare dunque mettere il bastone tra le ruote alla #TKG, la legge tedesca in materia di telecomunicazioni, che prescrive proprio tale obbligo agli operatori del settore della comunicazione elettronica.

  • 231

INFORTUNISTICA – Con la sentenza n. 33976 (consultabile gratuitamente per gli iscritti all’associazione AODV231) la Corte di Cassazione è tornata a pronunciarsi in materia di morte e lesioni del lavoratore. Nel caso sottoposto all’attenzione della Corte, un lavoratore aveva riportato gravi lesioni in seguito ad una scivolata causata dal pavimento bagnato (cadendo aveva infatti inserito la mano all’interno di una vasca di raccolta dell’uva, priva della prescritta griglia di protezione). Respingendo il ricorso presentato dalla società e dal suo presidente e confermando le condanna nei loro confronti, i giudici di piazza Cavour hanno stabilito che ai fini dell’esclusione del vantaggio non rileva che il risparmio di spesa sia esiguo rispetto alla capacità patrimoniale della società. Infatti, sebbene un esiguo risparmio di spesa può in via generale escludere la responsabilità dell’ente, si richiede che tale risparmio di spesa non  insista su un’area di rischio di rilievo.

INFORTUNISTICA/2 – Con la sentenza n. 34943 dello scorso 21 settembre la Corte di Cassazione ha stabilito che una società non risponde del reato di lesioni colpose commesso dal soggetto responsabile del servizio di prevenzione e protezione aziendale.  La scriminante opera nei confronti dell’ente alla duplice condizione che (i) il fatto sia imputabile ad una figura sottoposta alla direzione dei vertici, e che (ii) l’ente abbia in precedenza adottato un modello di organizzazione, gestione e controllo (cd. MOGC). Infatti, quando una fattispecie criminosa sia ascrivibile ad un soggetto sottoposto, l’adozione di un modello libera la società da ogni responsabilità 231 anche nel caso in cui il reato si sia reso possibile dalla violazione degli obblighi di direzione che gravano sui vertici.

AUTORICICLAGGIO – Affinché possa configurarsi il reato di autoriciclaggio è necessario che la condotta, nell’esatto momento della sua esecuzione, sia concretamente idonea a ostacolare la provenienza illecita dei beni. In tal senso si è pronunciata la Corte di Cassazione con sentenza n. 32571 (consultabile gratuitamente per gli iscritti all’associazione AODV231). Il criterio da seguire, dunque, per una corretta individuazione della condotta dissimulatoria è quella della idoneità ex ante.

  • MERCATI DIGITALI

CONCORRENZA E GDPR – Lo scorso 20 settembre l’avvocato generale della Corte di Giustizia dell’Unione, Athanasios Rantos, ha emesso un importantissimo parere circa la possibilità che una Autorità garante della concorrenza possa legittimamente pronunciarsi in merito al rispetto o alla violazione del GDPR. Il parere, che si inserisce in un contesto più ampio – la causa intentata da Meta Platforms Inc. nei confronti della Bundeskartellamt, autorità per la concorrenza tedesca – stabilisce che sebbene non sia compito di un’autorità garante della concorrenza pronunciarsi sul rispetto del GDPR, è sua facoltà (seppur in via meramente incidentale) valutare se le pratiche commerciali poste in essere dagli operatori del settore siano compatibili col Regolamento. Secondo l’avvocato generale, infatti, il fatto che una pratica sia conforme o meno al GDPR è un importante indizio per stabilire se la pratica in questione costituisca una violazione delle regole della concorrenza.

CYBERSECURITY – Per contrastare il numero sempre in crescita di attacchi hacker – soprattutto nei confronti di istituzioni statali – il D.L. n.115/22 (cd. Decreto Aiuti) ha introdotto  la possibilità di compiere operazioni cibernetiche offensive. La possibilità di ricorrere a tale strumento, previsto come extrema ratio, è attribuita esclusivamente al corpo dei servizi segreti e a due condizioni: che ci si trovi in una situazione di crisi o emergenza (con potenziali risvolti sulla sicurezza nazionale) e che, appunto, non sia possibile fronteggiare diversamente la situazione, ad esempio attraverso azioni di mera resilienza.

  • NEWS DAL MONDO

STATE OF PRIVACY ’22 – Ha avuto risonanza mondiale l’evento organizzato dal Garante italiano a Napoli, in cui si sono riuniti i principali stakeholder in materia di protezione dei dati, organizzati in tavoli tematici dedicati alle più importanti sfide del presente e del futuro di questo settore. Si attende ora, dopo gli annunci di comunicazione, la pubblicazione dei lavori e dei risultati di questi incontri, al di là delle immagini dei partecipanti.

FATCA e GDPR – Fabien Lehagre, presidente della Association des Américans Accidentels il cui scopo è difendere i cittadini (americani non) dagli effetti dannosi derivanti dalla extraterritorialità della legge americana, ha recentemente inoltrato una lettera al presidente dell’EDPB con lo scopo sollecitare i Garanti europei ad effettuare una valutazione di compatibilità tra gli accordi sottoscritti dagli stati membri con gli Stati Uniti – c.d. FATCA (Foreign Account Tax Compliance Act) – e il GDPR. Tali accordi, finalizzati a identificare tutte le persone soggette all’imposizione fiscale statunitense che detengono conti in Europa, inevitabilmente comportano un trasferimento di dati. Indispensabile, dunque, valutare caso per caso la compatibilità del FATCA, soprattutto a fronte delle ormai note complicazioni in materia di trasferimenti di dati verso gli USA. Al momento,tuttavia, solamente il garante slovacco ha effettuato una seria valutazione, finendo per dichiarare l’accordo non adeguato alle garanzie richieste dall’art. 46 GDPR. 

GERMANIA – L’ufficio federale tedesco per la sicurezza delle informazioni (“BSI”) ha pubblicato una guida per la gestione della cybersecurity da parte delle piccole e medie imprese, destinato a supportare con un approccio “easy-to-use” il miglioramento delle infrastrutture e l’organizzazione a tutela verso attacchi dall’esterno.

ROMANIA – Il Garante rumeno (ANSPDCP) ha irrogato una sanzione di circa 40mila lei (equivalenti a 8 mila euro) un responsabile del trattamento gestore di una piattaforma immobiliare per divulgazione non autorizzata di dati personali riconducibili a quasi 200mila interessati. Alla base della sanzione, dunque, la mancata implementazione da parte del responsabile delle misure tecniche ed organizzative necessarie per garantire un adeguato livello di sicurezza dei dati personali.

HONG KONG – Il Garante per la protezione dei dati personali di Hong Kong (PCPD) ha recentemente annunciato di aver effettuato un arresto nei confronti di un sospettato del reato di doxxing. Secondo le informazioni attualmente a disposizione, l’imputato – per lungo tempo dipendente e collaboratore del denunciante – avrebbe diffuso illecitamente informazioni personali dell’ex socio, anche a mezzo di manifesti affissi sui muri dell’edificio degli uffici. L’imputato, attualmente in custodia, rischia una multa di 1 milione di HKD (parti a poco più di 120 mila euro) e la reclusione per cinque anni: il reato di doxxing – ossia la diffusione pubblica di dati personali e privati al fine di arrecare un danno all’interessato – è infatti considerato (a buona ragione) particolarmente grave. 

BERLINO – Il Commissario di Berlino, autorità locale in materia privacy, ha inflitto una sanzione di oltre 500 mila euro ad una società per violazione del GDPR, riferisce DataGuidance. La sanzione si ricollega al conflitto di interessi emerso in seguito alla nomina del responsabile della protezione dei dati personali: dalle indagini è infatti emerso che il responsabile della protezione dei dati già ricopriva il ruolo di amministratore di due società del medesimo gruppo – società che, in concreto, aveva il compito di trattare dati personali proprio per conto della società sanzionata, nella quale l’amministratore era chiamato a svolgere le funzioni di DPO. 

Decreto “Trasparenza” / 2: gli aspetti di diritto del lavoro

Integriamo la scheda pubblicata in precedenza con quella, redatta in collaborazione con RG Avvocati, riguardante gli aspetti prettamente lavoristici – non pochi e per nulla banali – di novità del Decreto appena approvato, in vigore dal prossimo 13 agosto.

Buona lettura!

Il prossimo “Privacy Shield”: avvenimenti, criticità e possibilità aperte

Alla luce della novità di ieri, con il Garante italiano che ha – allineandosi ad altri “colleghi” europei – sanzionato l’uso di Google Analytics per il trasferimento di dati verso gli USA, ritenuto non conforme a GDPR, riteniamo molto interessante tornare sul tema degli accordi transatlantici USA-UE per (provare a) rendere lecita l’attività che coinvolge fornitori americani.

Gli avvenimenti principali: Max Schrems e la Corte di Giustizia UE

Il “Privacy Shield”, che permetteva il trasferimento di dati personali fra Unione europea e gli Stati Uniti, era un meccanismo approvato dall’Unione europea in seguito all’abolizione – sempre per mano della Corte di Giustizia UE – del suo predecessore, il “EU-USA Safe Harbour”.

Entrambi gli accordi definivano gli Stati Uniti come un Paese verso cui è possibile effettuare, secondo certe condizioni, un trasferimento dei dati di cittadini europei e/o persone comunque soggette alla normativa UE: ciò fino all’incontro-scontro con Max Schrems, giovane avvocato e attivista austriaco, che da anni sfida le politiche di trasferimento di dati verso gli USA attuate, in particolare, nell’ambito del social network “Facebook”.

Nel 2011, Max Schrems, dopo aver assistito a una lezione, in un’università della California, tenuta dal privacy lawyer di Facebook, si è reso conto che le politiche del social network non tutelavano la privacy degli utenti, e ha scaricato una copia da Facebook dei dati che lo riguardavano, in possesso della piattaforma. L’allora studente di legge ha trovato oltre 1.200 pagine di informazioni sul suo conto, contenenti anche tutti i messaggi scambiati sulla piattaforma, compresi quelli cancellati.

È iniziata così la battaglia legale, alla quale si sono aggiunte, in modo decisivo, nel 2013, le rilevazioni di Edward Snowden, ex tecnico della CIA, secondo cui anche il governo degli Stati Uniti poteva avere accesso ai dati di Facebook, e non solo i gestori del social.

La prima vittoria di Schrems è del 2015, quando la Commissione europea ha smantellato la struttura del Safe Harbour. Ma l’attivista ha proseguito ancora, e nel luglio 2020 la Corte di Giustizia dell’Unione europea ha emesso una nuova sentenza che ha abbattuto anche il Privacy Shield.

Max Schrems, nel frattempo, ha anche fondato una organizzazione no profit (“NOYB”, “None Of Your business”).

Cos’è rimasto in piedi dell’impianto legislativo per il trasferimento dei dati personali europei negli Stati Uniti?

La Corte di Giustizia, in relazione agli artt. 7 8 e 47 della carta di Nizza, in materia di protezione dei dati, su è espressa in merito alla normativa che imponeva a Facebook di mettere a disposizione delle agenzie di Intelligence americane i dati personali trasferiti, o quelli che Facebook raccoglieva dagli utenti.

In particolare, l’art 702 del FISA (“Foreign Intelligence Surveillance Act”) consente al Procuratore e al Direttore dell’Intelligence americana di autorizzare congiuntamente, previa approvazione della Corte ad hoc FISA, la sorveglianza di specifici utenti e dati mediante programmi di sorveglianza come PRISM e UPSTREAM. La Corte di Giustizia UE ha valutato anche la portata dell’Executive Order n. 12333, che consente alla NSA (“National Security Agency”) di accedere ai cavi sottomarini posti sotto l’atlantico (“dorsali di internet”) e di raggiungere i dati personali prima che essi arrivino negli Stati Uniti.

Il diritto degli Stati Uniti, secondo la sentenza della Corte di Giustizia, non prevede garanzie e limitazioni sui dati personali rispetto alle ingerenze autorizzate dalla sua normativa nazionale, e non assicura una tutela giurisdizionale effettiva degli interessati contro queste ingerenze. Restano tecnicamente validi, comunque, dopo la sentenza della Corte, tutti gli strumenti alternativi alla decisione della commissione europea, in particolare le Clausole Contrattuali Standard (in versione 2021) e le norme vincolanti di impresa (“Binding Corporate Rules”), seppure queste ultime siano utili solo a grandi (e poche) multinazionali.

Sono strumenti che non possono essere adottati solo formalmente: è necessario infatti che il Titolare del trattamento svolga sempre una valutazione caso per caso, in modo da assicurare mediante misure di sicurezza e misure supplementari che la normativa statunitense non interferisca con la protezione dei dati personali garantita dal GDPR. Se, alla fine di questa valutazione, il Titolare ritiene che non vi siano ancora adeguate garanzie, deve sospendere o porre fine al trattamento di dati personali verso gli USA.

È possibile allora ipotizzare un nuovo Privacy Shield?

Prendendo le mosse da ragionamenti di carattere storico, dato che già il primo Safe Harbour che esisteva fra Unione europea e Stati Uniti venne dichiarato invalido dalla CGUE e successivamente si arrivò a un altro compromesso, potenzialmente si potrebbe giungere a un altro accordo.

Il rischio concreto è che, per conflitto di normative interne, ora non si riescano mai a raggiungere gli standard di sicurezza previsti dall’unione europea: ciò seppure, rispetto al passato, si stanno comunque compiendo dei notevoli passi avanti, grazie ai meccanismi di cooperazione fra le Autorità Garanti europee e con l’interlocuzione tra Commissione UE e governo USA.

Ad esempio, è stato pubblicata una nuova versione delle Clausole Contrattuali Standard, che rivedono un meccanismo di trasferimento dei dati rimasto un po’ “abbandonato” negli anni, in quanto ancora riferito alla Direttiva del 1995 anche dopo l’avvento del GDPR; anche la pubblicazione da parte dell’EDPB delle Linee guida sul Trasferimento internazionale dei dati personali ha rappresentato, a parere degli esperti, una preziosa fonte di indicazioni e istruzioni, anche tecniche, per limitare i rischi e adeguare i trattamenti che comportano trasferimenti.

Rimane certa, per ora, la necessità di adottare un approccio concreto e non teorico nel trasferimento dei dati personali, valutando caso per caso con adempimenti come un attento data mapping e una valutazione relativa al trasferimento dei dati (c.d. “TIA”) quali potrebbero essere i rischi derivanti dal trasferimento di dati personali extra UE, valutando anche le misure alternative o le misure tecniche per rendere il trattamento il più possibile rispettoso dei diritti e delle libertà degli interessati.

_______________________________________________________

Immagine di copertina grazie a NASA on Unsplash

Non adottare il modello 231 è sinonimo di responsabilità per l’ente? La Cassazione risponde

Il modello di organizzazione e gestione (cd. MOG) previsto dal D. Lgs. 231/2001 è un importantissimo strumento di compliance aziendale, costituito da un insieme di protocolli che, se adottati dall’azienda e correttamente applicati, consentono di ridurre sensibilmente il rischio che i soggetti aziendali – apicali e/o sottoposti – commettano, nell’interesse o a beneficio dell’azienda stessa, illeciti penali.

Se, tuttavia, a fronte di una corretta predisposizione e attuazione del modello, un soggetto operante in ambito aziendale dovesse finire per commettere comunque uno degli illeciti (cd. reati-presupposto) indicati dal Decreto 231, il modello finirebbe allora per assolvere ad un’altra sua importantissima funzione tipica: quella cioè di esimere l’azienda dalla responsabilità amministrativa conseguente alla realizzazione del reato.

Appare allora chiaro che il modello risulta effettivamente efficace soltanto laddove scrupolosamente costruito – in seguito ad una precisa individuazione delle possibili aree di rischio relative alle attività aziendali – e applicato con coerenza e diligenza, non producendo alcun effetto benefico (né in termini di prevenzione di reati né in termini di esimente per la stessa azienda) nel caso in cui lo stesso dovesse rimanere relegato allo stadio di mero adempimento formale.

Se dunque la “nuda e cruda” adozione del modello non è di per sé sufficiente a fondare una legittima causa di esclusione di responsabilità per l’ente, è invece possibile affermare che la mancata adozione dello stesso possa fondare, sic et simpliciter, la responsabilità dello stesso?

Con una recentissima sentenza, la Cassazione scioglie il nostro dubbio.

Il fatto e le decisioni di merito

Il 14 aprile 2011 una donna rimaneva ferita ad una mano durante lo svolgimento della sua attività lavorativa, a causa di un incidente avvenuto durante l’interazione con un macchinario aziendale.

Con sentenza dell’11 gennaio 2021, la Corte di Appello di Venezia confermava la decisione del Tribunale di Vicenza, ascrivendo in capo all’ente una responsabilità amministrativa di cui al Decreto 231 in relazione all’art. 25-septies comma 3, in seguito alla riconosciuta responsabilità dei soggetti apicali in ordine alla commissione del reato-presupposto di lesioni personali colpose (art. 590, comma 3 c.p.), aggravato dalla violazione di norme prevenzionistiche.

I motivi della Corte veneziana erano sostanzialmente i seguenti:

  • l’azienda non si era opportunamente dotata di un modello corredato da apposite previsioni in materia di sicurezza sul lavoro;
  • il vantaggio conseguito dall’azienda si sostanziava nel risparmio si spesa in termini di tempo lavorativo da dedicare alla sua predisposizione ed attuazione;
  • l’azienda, non essendosi dotata di un modello, non aveva di conseguenza previsto un organismo di vigilanza che potesse monitorare lo stato dei macchinari.

La decisione della Cassazione

Con la sentenza n. 18413 dello scorso 10 maggio (consultabile per gli iscritti all’associazione Aodv), la Suprema Corte accoglie il ricorso dell’azienda, cassando con rinvio la decisione della Corte d’Appello.

Di seguito le perplessità della Corte e i motivi del rigetto.

1.Non appare chiaro il profilo di responsabilità dell’ente

La Corte d’Appello aveva fondato l’affermazione di responsabilità dell’ente sul presupposto della mancata adozione di un modello di organizzazione e gestione e, di conseguenza, sull’assenza di un organo di vigilanza deputato alla verifica dei sistemi di sicurezza dei macchinari.

Tali presupposti sono stati reputati insufficienti dalla Suprema Corte, posto che “la mancanza [del modello], di per sé, non può implicare un automatico addebito di responsabilità”.

2.È necessaria sussistenza di una colpa di organizzazione, con conseguente onere probatorio dell’accusa

Ribadendo alcuni concetti cardine della responsabilità amministrativa delineata dal Decreto 231, la Corte ha ripreso un concetto squisitamente giurisprudenziale (espresso nella sentenza n. 32899/2021 della stessa corte) di cd. colpa di organizzazione, concetto sostanzialmente assimilabile alla colpa della persona fisica autrice di un reato.

Tale colpa di organizzazione, che si concretizza nel dato di fatto di “non aver predisposto un insieme di accorgimenti preventivi idonei ad evitare la commissione di reati del tipo di quello realizzatosi” deve essere provata dall’accusa.

Più nello specifico, è necessario che (i) venga accertata la responsabilità penale della persona fisica che agisce nell’ambito di una organizzazione aziendale e (ii) che vengano individuati dei collegamenti tra il reato stesso e il concreto interesse dell’azienda.

In altri termini, è possibile affermare la responsabilità dell’ente soltanto a condizione che l’elemento finalistico della condotta dell’agente rispecchi unpreciso assetto organizzativo negligente dell’impresa.

La Corte veneziana, tuttavia, non è stata in grado di soffermarsi adeguatamente, nella propria decisione, sulla sostanza di tale colpa di organizzazione.

3.Contraddizioni insite alla sentenza di merito

La Corte, infine, ha ravvisato contraddizioni e discordanze sia di ordine fattuale che, più specificamente, giuridico.

Riguardo alle omissioni e violazioni delle norme prevenzionistiche e di sicurezza negli ambienti di lavoro, la Corte sottolinea che “gli aspetti che riguardano le dotazioni di sicurezza e i controlli riguardanti il macchinario specifico sul quale si è verificato l’infortunio, attengono essenzialmente a profili di responsabilità del soggetto datore di lavoro.

Tali profili, continua la Corte, nulla hanno a che vedere con l’elemento “colpa di organizzazione” : più correttamente, la responsabilità ricade allora esclusivamente sui soggetti apicali autori del reato-presupposto.

In merito alla doglianza inerente alla mancata previsione di un organismo di vigilanza, il giudice di merito ha poi dimostrato di non aver correttamente compreso la previsione di cui all’art. 6 del Decreto 231; questo, infatti, attribuisce all’Organismo di vigilanza il compito di sorvegliare e verificare la funzionalità e l’osservanza dei modelli richiamati dallo stesso articolo, e non di certo lo stato di manutenzione dei macchinari.

***

Restiamo allora in attesa di una nuova pronuncia della Corte territoriale, in cui i principi enunciati dalla giurisprudenza di legittimità dovranno essere calati nel caso concreto.

Vi terremo aggiornati.

___________________________________________

Photo by Tingey Injury Law Firm on Unsplash

Green Pass e gestione della pandemia Covid-19 in azienda: ultima fermata?

(articolo aggiornato al 29 aprile 2022, ore 18:30)

Come probabilmente chiunque avrà letto, siamo arrivati a ieri (28 aprile) – non esattamente “dopo Pasqua” come promesso – per una indicazione definitiva sulla situazione a partire dal 1 maggio prossimo.

Di fatto, nel weekend le aziende dovranno adattare le loro procedure di accesso e controllo della forza lavoro alla luce delle nuove disposizioni, in ottica Green Pass, ma non avranno molto tempo per interrogarsi sulla questione mascherine.

Come indica la foto di copertina, in ogni caso, credo che alcune misure di sicurezza (il lavarsi le mani prima di tutto!) resteranno ancora per un po’: vediamo però gli aspetti più concreti e qualche indicazione operativa della prima – e quasi ultima – ora.

Addio Green Pass

Non è stato prorogato il requisito relativo alla necessità di Green Pass per l’accesso ai luoghi di lavoro privati: pertanto, dal 1 maggio (domenica) – e quindi soprattutto da lunedì prossimo, 2 maggio, per chi non ha “turni” o aziende aperte la domenica – non sarà più necessario (nè consentito, a rigore) limitare l’accesso ai soli dipendenti che ne sono in possesso.

Attenzione: non imporre la necessità significa di fatto vietare il controllo della “Certificazione verde” ai lavoratori.

Si possono quindi archiviare e/o accantonare:

  • la procedura operativa relativa a tali aspetti (conservandone una copia per ogni futura eventuale necessità)
  • le informative privacy redatte come esposte in precedenza
  • i totem, le postazioni di verifica e la cartellonistica che riguardava l’accesso vincolato al luogo di lavoro.

Andranno quindi rimosse e/o disattivate le misure di controllo predisposte, con cancellazione degli eventuali dati conservati.

E le mascherine al chiuso?

Quanto alle mascherine, l’ordinanza firmata dal Ministero della Salute (disponibile qui) unicamente raccomanda l’utilizzo continuo (almeno sino al 15 giugno prossimo) ma non lo rende obbligatorio.

L’interpretazione maggiormente conservativa – come pubblicata da molti degli organi di stampa che ho avuto modo di consultare in questo frenetico venerdì – ritiene che restino in vigore gli accordi tra le parti sociali che consigliano l’uso continuato negli spazi al chiuso, anche in considerazione della normativa di salute e sicurezza sul lavoro di cui al D. Lgs. 81/08.

In proposito, una nota di Confindustria già menzionata nel precedente articolo (qui) lo riteneva un atto quasi dovuto, per evitare focolai incontrollati da questo momento e sino all’estate, quando speriamo anche i numeri di contagi e decessi inizieranno a calare, insieme ai bollettini giornalieri.

Cosa fare?

Al di là di archiviare il lavoro che negli ultimi due anni è stato fatto (di corsa, faticosamente, navigando tra norme scritte in fretta e all’ultimo, in modo contorto – ma per carità, sull’onda di un’emergenza mai vista prima) resta importante informare tutto il personale.

Si suggerisce prima di tutto, per entrambi i temi (Green pass e mascherine) di fare una breve comunicazione a tutto il personale, e in particolare a coloro che sono autorizzati al controllo, al fine di tenerli informati delle nuove disposizioni.

In un secondo momento, ma neanche troppo in là, bisognerà capire se ci sono dati personali conservati negli archivi aziendali, e prepararsi a cancellarli in ossequio al principio di conservazione limitata (data retention).

In proposito, sarebbe auspicabile ricevere indicazioni dall’Autorità Garante per confermare quanto la legge, ad oggi, lascia ipotizzare.

____________________________________________

Photo by Kelly Sikkema on Unsplash

Dark Pattern: tutto quello che (non) vedi

Inutile negare che gran parte della nostra vita si svolge ormai su internet: lavoriamo e programmiamo le nostre vacanze, impariamo a cucinare e, addirittura, troviamo l’amore.

Tutto on line.

Il denominatore comune di tutte queste attività?  La comunicazione ad altri dei nostri dati personali, tema sensibilissimo e spesso ancora sottovalutato dai “non addetti ai lavori”: in molti casi ad essere importante – e particolarmente delicata – non è tanto la comunicazione in sé dei propri dati, quanto l’esigenza di assicurare che essa avvenga in maniera consapevole e responsabile.

La questione passa inevitabilmente anche attraverso l’interfaccia grafica che ogni sito web o piattaforma decide di offrire, in quanto strumento capace di indirizzare fortemente l’utente nella definizione delle proprie scelte – e, talvolta, nell’esecuzione di azioni inconsapevoli – in materia di dati personali.

L’attenzione è quindi rivolta ai dark pattern.

Definizione e compatibilità con il GDPR

Per dark pattern, letteralmente – e a buona ragione – “percorso oscuro”, si intendono tutte quelle interfacce grafiche implementate dai siti web allo scopo di spingere l’utente a compiere azioni non desiderate (e potenzialmente dannose), o a seguire delle procedure così complesse da scoraggiarlo a prestare la giusta attenzione al controllo e alla protezione effettiva dei suoi dati personali.

Una “x” poco visibile, un percorso informativo lungo e tortuoso, frasi fuorvianti: ecco che – 9 volte su 10 – finiamo per cliccare su “accetta tutto” pur di proseguire nella nostra navigazione, accedere alle informazioni che ci interessano o vedere lo status o le stories di un amico o una persona di interesse.

Il paradosso, fondato su bias cognitivi ben studiati, è che l’utente si sente perfettamente “padrone” delle proprie scelte, nonostante in realtà sia stato a tutti gli effetti vittima di una manipolazione volta a fargli prendere esattamente quella specifica, “autonoma” decisione.

Ma può essere questo un consenso validamente prestato?

La valutazione sulla compatibilità di tali pratiche col GDPR passa necessariamente attraverso un’attenta analisi dei principi dettati in materia dalla normativa.

L’art. 4, paragrafo 11 GDPR ci fornisce una definizione di consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Perché un consenso possa dirsi libero, specifico, informato e inequivocabile è chiaramente necessario che il titolare del trattamento si sia lasciato innanzitutto ispirare dai principi generali sanciti dall’art. 5 GDPR, primo fra tutti il principio di liceità, correttezza e trasparenza.

Solamente mediante una comunicazione chiara e trasparente, infatti, le informazioni relative al trattamento risulteranno accessibili e facilmente comprensibili per l’utente, così da consentirgli di prendere decisioni consapevoli in ordine alla protezione dei suoi dati personali.

Particolarmente rilevante è anche il concetto di privacy by design, consacrato nell’art. 25 GDPR, secondo il quale l’attenzione alla protezione dei dati da parte del Titolare del trattamento deve essere integrata in ogni fase del ciclo di vita della tecnologia, partendo già dalla fase di progettazione del prodotto attraverso la predisposizione di misure tecniche ed organizzative adeguate – quali ad esempio la minimizzazione dei dati – e l’integrazione nel trattamento di tutte le garanzie necessarie al fine di soddisfare i requisiti del GDPR.

Le Linee Guida EDPB

Le recenti Linee Guida emanate dallo European Data Protection Board (“EDPB”) – al momento solo in lingua inglese, e rese disponibili per consultazione pubblica sino al 2 maggio prossimo – ci forniscono una elencazione dettagliata di tutti i diversi tipi di dark pattern, raggruppati in sei macrocategorie:

  1. Overloading: gli utenti vengono sommersi da una grande quantità di informazioni, opzioni e richieste al fine di spingerli a fornire più dati personali di quelli effettivamente necessari;
  2. Skipping: l’interfaccia grafico del sito è strutturato in modo tale che l’utente non presti la giusta attenzione alla protezione dei propri dati personali;
  3. Stirring: viene fatta leva sull’emotività dell’utente per condizionarne le scelte, oppure si ricorre ai cd. visual nudges, strumenti cioè in grado di alterare i comportamenti delle persone senza proibire però la loro scelta di altre opzioni (è questo il caso della “x”: c’è, ma è difficilissima da trovare);
  4. Hindering: viene posto un ostacolo nel processo di informazione o gestione dei dati personali, attraverso azioni e procedure complicate o impossibili da portare a termine;
  5. Fickle: il design dell’interfaccia risulta poco chiaro, diventando così arduo per l’utente navigare tra i differenti strumenti di controllo dei dati;
  6. Left in the dark: l’interfaccia è strutturato in modo tale da nascondere le informazioni utili e gli strumenti di controllo o da lasciare l’utente incerto sulle concrete modalità di esercizio dei propri diritti.

Il caso Google

È proprio degli ultimi giorni la notizia per cui l’Associazione per la protezione dei consumatori (Consumer Advice Center) della Renania Settentrionale-Vestfalia ha annunciato di aver avviato una causa contro Google.

Le motivazioni riguardano l’uso da parte del colosso informatico di cookie banner strutturati in maniera tale da rendere oltremodo gravoso il rifiuto dei cookies da parte degli utenti nel corso della loro navigazione, in aperto contrasto dunque tanto con la normativa tedesca quanto con quella europea, non solo relativa al GDPR ma anche alla c.d. Direttiva ePrivacy di cui è in discussione, allo stato, un aggiornamento tramite lo strumento (come per il GDPR) del “Regolamento”.

Mentre per l’accettazione dei cookies basta un semplice click, insomma, per il rifiuto l’utente si trova costretto a dover deselezionare manualmente tre categorie di cookies, prima che Google gli consenta di procedere alle sue ricerche.

In proposito, anche l’Autorità Garante di Amburgo (Germania) ha recentemente assunto la medesima posizione, sia in riferimento al banner del motore di ricerca che a quello della piattaforma di video streaming YouTube, ponendosi nel solco di altre precedenti decisioni – e sanzioni salatissime – in materia, tra cui vanno ricordate soprattutto quelle erogate dal CNIL (Autorità francese) a inizio anno proprio contro Google oltre che verso Facebook.

Best practices: come disegnare un’interfaccia utente rispettosa della normativa

Di seguito riportiamo alcune delle raccomandazioni contenute nelle Linee Guida EDPB 3/2022 per strutturare le interfacce web (di siti e piattaforme) in maniera conforme a quanto previsto dalla normativa europea.

Per quanto riguarda la privacy policy:

  • aggiungere link ipertestuali diretti che reindirizzino gli utenti alle parti più importanti della privacy policy (la quale dovrebbe essere il più possibile chiara e sintetica);
  • consentire ad esempio mediante menù a tendina una overview della policy, in modo che gli utenti siano in grado di trovare facilmente la sezione di loro interesse;
  • fornire sempre, in caso di uso di termini tecnici o di linguaggio non comune, definizioni comprensibili;
  • in aggiunta alle informazioni obbligatorie, fare degli esempi per rendere i concetti più “tangibili” per gli utenti;
  • indicare espressamente e chiaramente l’Autorità Garante competente, aggiungendo al sito un link alla pagina ufficiale per eventuali lamentele;
  • se la privacy policy viene modificata, rendere accessibile di volta in volta la/le precedente/i versione/i.

Con riferimento invece alle meccaniche di relazione con gli utenti:

  • prevedere un sistema di iscrizione chiaro e semplice;
  • fornire un pannello utente che permetta una selezione immediata delle preferenze in materia privacy;
  • prevedere meccanismi di cancellazione dell’utente diretti e immediati, che comunichino le opzioni disponibili (sospensione, cancellazione, ecc.) e spieghino cosa avverrà dei dati in seguito.

In ultimo, come già anticipato, la parte finale delle Linee Guida EDPB (sez. IV) scende nei dettagli delle pratiche da non seguire, a pena di violare i principi di accountability, trasparenza e data protection by design che possono poi comportare, a carico del Titolare del trattamento (quindi del sito web o della piattaforma) sanzioni economiche (anche pesanti) e il blocco dei dati ottenuti in violazione della normativa applicabile.

____________________________________________________

Photo by Dan Asaki on Unsplash

Novità in materia di Green Pass e gestione dell’emergenza Covid-19

Con la pubblicazione del Decreto Legge 24 marzo 2022, n. 24 il Governo italiano ha nuovamente modificato – questa volta in senso permissivo – la regolamentazione dell’uso e controllo del c.d. “Green Pass”, ossia la certificazione verde Covid-19 di cui abbiamo già riportato nei nostri precedenti articoli, all’introduzione qui ed in seguito qui.

Cosa cambia

Anche se la curva dei contagi non accenna a scendere, è stata decretata la fine dello “Stato di Emergenza” deliberato nel 2020 all’inizio della epidemia pandemica.

Con questa impostazione, vanno necessariamente a decadere una serie di restrizioni alla libertà di circolazione, interazione e comportamento poste a carico della collettività, tra cui appunto l’impiego del Green Pass in ambito – per quel che qui conta – lavorativo e aziendale.

Il Decreto fissa una sorta di percorso di “normalizzazione”, tant’è che i titoli degli artt. 6 e 7 sull’utilizzo del Green Pass base e rafforzato recano appunto la dicitura “Graduale eliminazione (…)”.

Un primo tema, riguardo l’accesso ai luoghi di lavoro, è regolato proprio dai menzionati articoli, laddove – pur estendendo di fatto lo Stato di Emergenza al 30 aprile, anche se non espressamente – si passerà dal 1 aprile all’utilizzo della versione base, per poi dal 1 maggio eliminare completamente la necessità di controllo ed esibizione della certificazione verde.

In proposito, resta comunque l’obbligo vaccinale per gli over 50, anche se non sarà più un pre-requisito per l’accesso in azienda, rimanendo unicamente sanzionabile in caso di controllo delle forze dell’ordine.

Un altro punto focale è l’uso delle mascherine sul luogo di lavoro, che parrebbe – a quanto si legge dal dettato normativo – prolungato solo sino al 30 aprile 2022.

E dopo? Molti si interrogano già da tempo sul bilanciamento tra garanzia di sicurezza e salute del personale in azienda, tra i compiti posti a carico del Datore di Lavoro ai sensi del D. Lgs. 81/2008, e libertà personale.

Una risposta certa, ad oggi – ma lo abbiamo ormai imparato – non c’è, e pare non arriverà prima degli ultimi giorni del mese di aprile, quando dobbiamo aspettarci una circolare o altro testo integrativo della situazione attualmente disegnata da questo Decreto Legge.

Tuttavia, una nota di Confindustria recentemente circolata propende, come diverse voci autorevoli nel settore, per una certa prudenza nell’abbandono delle mascherine in ambito lavorativo, anche alla luce dei contagi che non accennano a calare.

Piccola nota conclusiva in materia di trattamento di dati personali, con l’art. 13 che prevede il prolungamento dell’uso delle informazioni raccolte durante il periodo pandemico da parte del Ministero della salute di concerto con l’Istituto Superiore di Sanità, ai fini di monitoraggio della situazione, fissando altresì per legge l’esatta base giuridica da applicarsi (art. 9(2) lett. i) e j) del GDPR) e le modalità di condivisione dei dati con soggetti terzi per fini di elaborazione, ai sensi dell’art. 28 GDPR (nomina a responsabile).

Cosa fare in azienda

Di fondamentale importanza è passare, dal 1 aprile, alla verifica “base” del Green Pass per tutti.

In tal senso, ci si augura che sia l’app VerificaC19 che il portale INPS GreenPass50+ vengano prontamente aggiornati, eliminando rispettivamente la modalità di verifica chiamata “LAVORO” e le specifiche relative agli over-50 ove non vaccinati o guariti.

In ogni caso, sia le app locali che gli eventuali totem o verificatori all’accesso dovranno essere aggiornati e impostati correttamente: permane ancora la necessità di esporre e tenere a disposizione di tutti le informative privacy predisposte, nonché l’ulteriore documentazione – tra cui il protocollo di sicurezza – al fine di mantenere ancora ben ordinate le verifiche, almeno sino a tutto il 30 aprile 2022.

In seguito, si vedrà, come siamo ormai ben abituati a fare. Speriamo, solo, che tutto vada per il meglio e le restrizioni finalmente vengano eliminate in ragione di un effettivo calo dei contagi.

_________________________________________

Photo by Jason Hogan on Unsplash

Cookie: a che punto siamo?

Nelle ultime settimane, al di là della fatidica data del 10 gennaio in cui le Linee Guida in materia cookie del Garante italiano sono divenute “applicabili”, si sono succeduti diversi eventi che hanno modificato il quadro della gestione, da parte delle aziende, di questo aspetto tanto importante quanto spinoso.

Vediamo allora gli elementi che si possono derivare dalle più recenti decisioni e novità.

La decisione dell’Autorità austriaca

L’uso di Google Analytics (“GA”) comporta il trasferimento di dati verso gli U.S.A. (oltre che verso altri paesi considerati non adeguati, stante il posizionamento dei server di Google in diverse parti del mondo).

L’uso di tale tool di statistiche, retargeting e adv implica inoltre la possibilità per il gigante di Mountain View di re-identificare gli utenti anche laddove si utilizzino cookie con IP “troncato”.

Per queste ragioni, l’Autorità di Vienna ha deciso di porsi nel solco della decisione “Schrems II” e di dichiarare illegittimo l’uso di tale tool, anche laddove il titolare del sito web lo utilizzo esclusivamente per attività di statistica dell’utilizzo del proprio portale.

La posizione del Garante belga

Con il provvedimento del 22 gennaio 2022, l’Autorità in oggetto ha chiarito alcuni punti ulteriori e fondamentali di come interpretare e maneggiare i cookie:

  • i cookie “tecnici” sono esclusivamente quelli che permettono all’utente di compiere attività e utilizzare funzioni “base” del sito web, e sono forniti dalla prima parte (cioè il proprietario del sito);
  • per tutti gli altri cookie e identificatori, anche e soprattutto quelli che “chiamano” funzionalità e servizi esterni al sito web visitato, è necessario il consenso;
  • detto consenso può essere raccolto per categorie;
  • la pratica di utilizzare un link su “come gestire i cookie nel browser” è comprensibile e corretta verso l’utente.

In Francia, il CNIL sanziona Google e Facebook

All’inizio di gennaio, l’Autorità francese ha emanato due sanzioni pesantissime nei confronti dei principali player del mercato adv, proprio per l’utilizzo non conforme alla normativa GDPR dei cookie e tracciatori online.

In particolare, il Garante transalpino ha ritenuto che i due soggetti sanzionati abbiano volontariamente reso complesso e arduo per l’utente rifiutare l’uso dei cookie, rispetto invece alla fornitura di un “comodo” pulsate di accettazione dell’intero pacchetto di identificatori.

Tale pratica, come le più note tecniche di c.d. “dark patterns” che disegnano flussi di accettazione che favoriscono (illecitamente) l’assenso e non il rifiuto dei cookie, sono ritenute illegali e pericolose, in quanto minano alla base la natura libera da vincoli del consenso richiesto.

Questa specifica decisione ha anche costituito un interessante precedente in merito alla competenza dell’autorità, in quanto Google e Facebook asserivano fosse la DPC (irlandese, quindi) il Garante che – in forza del meccanismo one-stop-shop – avrebbe dovuto decidere il caso.

E in tale sede, come per altre vicende, sappiamo che le cose vanno tendenzialmente molto più per le lunghe.

Quindi?

Restiamo alla finestra, sapendo anche che NOYB (con Max Schrems alla guida) ha inviato numerose contestazioni anche al Garante italiano.

Forse, prima dell’estate, avremo anche noi il primo “leading case” nostrano in materia, e il quadro diverrà un po’ più chiaro tra GDPR, Direttiva ePrivacy tutt’ora in vigore (del Regolamento ePrivacy non si hanno notizie da parecchio) e interpretazione “locale” del mondo cookie.

Intanto, prossimamente proveremo ad approfondire il tema delle “alternative plausibili” a Google Analytics.

_____________________________________________

Photo by Sara Sperry on Unsplash

Privacy e tutela del consumatore – Considerazioni a margine dei “Digital Service” e “Digital Markets” Acts

La protezione dei dati personali e la tutela del consumatore sono, oggi più che mai, tematiche connesse tra di loro: animate entrambe da una comune intenzione difensiva rispetto alle asimmetrie e alle distorsioni, si confrontano con un contesto sociale ed economico profondamente mutato dalle nuove tecnologie.

La disciplina della privacy, in particolare, si è fatta carico di rispondere alle esigenze di tutela del contraente debole che la digitalizzazione delle nostre vite ha lasciato emergere e che la pandemia ha esacerbato: in questo senso, è riconosciuta oggi come uno strumento particolarmente adeguato a questa funzione, come elemento trasversale alla data economy in quanto i dati personali sono, sostanzialmente, ovunque.

La situazione e gli interventi delle Autorità

Le Autorità Garanti di numerosi Paesi si confrontano di frequente con fenomeni invasivi, quali ad esempio telemarketing e furto di identità.

Il primo è spesso stato inquadrato in un più ampio sistema aziendale di violazione sistematica della privacy dei consumatori, fatto anche di assenza di informative adeguate, la cessione senza controllo dei dati personali e il contatto reiterato e invasivo al privato.

Il secondo fenomeno, che ha avuto come sfondo la progressiva liberalizzazione del mercato dell’energia e del gas, riguarda più o meno sofisticate forme di falsificazione di contratti di somministrazione, mediante l’utilizzo di dati personali dei clienti (in particolare, copia di documenti di identità) a loro insaputa.

Nonostante in diverse pronunce le autorità hanno preso posizione su questi temi in modo risoluto, la sensazione diffusa è quella del permanere di numerosi interrogativi e “vuoti” di tutela, i quali richiedono interventi più organici e trasversali all’esito di un ripensamento profondo delle normative applicabili.

L’azione della Commissione Europea

In quest’ottica le proposte della Commissione europea sul “Digital Service Act” e sul “Digital Markets Act” si muovono nella direzione dell’adeguamento delle tutele del consumatore a una realtà molto particolare come quella digitale: ciò, in primo luogo, attraverso il riconoscimento all’utente una gamma di strumenti di intervento volti a promuoverne, anche in forma proattiva, la tutela ad ampio spettro; in secondo luogo, attraverso il rafforzamento degli obblighi e, di conseguenza, la responsabilizzazione delle piattaforme digitali.

Sul piano della prevenzione, emerge inevitabilmente la necessità di una garanzia della libertà cognitiva del consumatore, intesa come il diritto di non subire il potere pervasivo di condizionamento derivante dal c.d. “microtargeting“.

Con tale espressione si intende il meccanismo volto a potenziare la capacità persuasiva della pubblicità, adattando il messaggio ai dati desunti dalla profilazione mediante algoritmo; esso è quindi teso a influenzare e orientare le scelte di consumo degli utenti, proponendo loro i prodotti o i servizi ritenuti suscettibili di gradimento secondo le stime predittive degli algoritmi digitali.

I meccanismi di tutela previsti dalle proposte di legge

La massima tutela è considerata risiedere, oggi come in passato, nel presidio dell’autodeterminazione di ciascuna persona fisica: quindi nel consenso specifico, inequivoco e informato. In una parola, nel “consenso consapevole“.

Anche per questo le Autorità insistono da tempo sull’educazione digitale quale necessario presupposto di scelte libere e consapevoli, tanto difficili quanto indispensabili al tempo della c.d. “zero-price economy“, in cui servizi – apparentemente gratuiti – sono pagati al caro prezzo dei dati personali e, di conseguenza, della libertà degli utenti ristretta da algoritmi presuntivi basati sulle scelte di consumo desiderate dagli OTT e/o dalle aziende.

Sul piano dei rimedi, un impulso importante al rafforzamento delle garanzie dei consumatori può venire dalle tutele collettive, ammesse anche nel settore privacy dal GDPR e dall’ammissibilità di azioni rappresentative avanzate da associazioni per la tutela degli interessi dei consumatori.

Le forme di tutela previste dalle nuove normative mirano, in definitiva, a supportare l’avvio della protezione collettiva del singolo, come persona e come consumatore, sulla scia di quanto fatto con il GDPR, volendo così rappresentare un efficace deterrente contro violazioni massive di dati personali.

____________________________________________

Photo by Ryoji Iwata on Unsplash