Checklist: l’informativa privacy secondo il GDPR

Tutte le volte che vedo una informativa privacy (di un sito, di una società, di chiunque) e trovo pochi paragrafi, zero titoletti, o qualcosa che a colpo d’occhio proprio manca, mi chiedo.

Ma non basterebbe farsi una checklist?

E allora: eccola, grazie al lavoro del team di Project:IN Avvocati!

Naturalmente ogni segnalazione di integrazione o miglioramento è ben accetta, tenendo presente che non abbiamo incluso le indicazioni provenienti dalla normativa italiana (D. Lgs. 196/2003) ma solo dal GDPR.

_________________________________

Photo by Glenn Carstens-Peters on Unsplash

***

Controlli a distanza: il punto tra privacy e diritto del lavoro

Lo Statuto dei lavoratori prevede il generale divieto di controlli a distanza dei dipendenti, ma, allo stesso tempo, all’art. 4, consente l’utilizzo, tra gli altri strumenti, di impianti audiovisivi a fini di controllo per esigenze organizzative e produttive, per la sicurezza del lavoro e per ragioni di tutela del patrimonio aziendale.

La materia è stata riformata – come noto – dal Jobs Act, che ha integrato le norme previgenti ed in particolare proprio l’art. 4 (al secondo comma) con l’introduzione di un riferimento ai controlli sugli strumenti impiegati per rendere la prestazione lavorativa e di registrazione degli accessi e delle presenze, a cui non si applicano i vincoli generali di cui al comma primo.

Di conseguenza, gli “strumenti” (tecnologici, per lo più) impiegati dal lavoratore per rendere la propria prestazione lavorativa – quali computer, tablet, cellulari, telepass – possono divenire fonte di controllo a distanza, da parte del datore di lavoro, anche senza il previo accordo con i sindacati o l’autorizzazione dell’Ispettorato del lavoro.

In proposito non è da trascurare anche la questione della liceità della geolocalizzazione sull’auto aziendale in uso ai dipendenti, che è stata affrontata, di recente, dalla giurisprudenza italiana (si veda da ultimo Corte d’Appello di Roma nella Sentenza n. 641/2021).

L’utilizzo degli strumenti di controllo a distanza è – in sostanza – tendenzialmente legittimo solo a determinate condizioni e nel rispetto di ben specifici vincoli e impostazioni, che andiamo di seguito a esaminare.

Videosorveglianza

Dal punto di vista giuslavoristico, il datore di lavoro e le rappresentanze sindacali unitarie (“RSU”) o aziendali (“RSA”) devono sottoscrivere un accordo collettivo contenente la regolamentazione del funzionamento dell’utilizzo dell’impianto di videosorveglianza.

Se l’accordo non è raggiunto, o nel caso in cui in azienda non siano presenti RSU o RSA, il datore di lavoro deve rivolgersi all’Ispettorato del Lavoro territoriale per chiedere un’autorizzazione all’installazione dell’impianto, depositando un’istanza motivata. L’autorizzazione dell’ispettorato oppure l’accordo sindacale sono necessari anche se l’impianto entra in vigore nelle fasce orarie in cui l’azienda è vuota, ed è irrilevante che l’impianto installato non sia funzionante.

Dal punto di vista della privacy, sul tema, è previsto che il titolare del trattamento, in conformità con il principio di responsabilizzazione di cui all´art. 24 GDPR, debba valutare la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del GDPR oppure attivare la consultazione preventiva ai sensi dell´art. 36 del GDPR.

I dipendenti devono essere certamente portati a conoscenza dell’installazione dell’impianto grazie a un comunicato o a un cartello informativo (“informativa minima”) e anche grazie ad un’informativa estesa contenente l’indicazione e dati di contatto del titolare del trattamento e del Data Protection Officer (“DPO”), se presente, nonché le finalità del trattamento.

Nello stesso senso, anche l’impostazione e il direzionamento delle telecamere che formano l’impianto non può trascurare i principi di minimizzazione e limitazione del trattamento, pertanto ponendo grande attenzione a cosa, e soprattutto chi, viene ripreso (ad esempio, escludendo la pubblica via per quanto possibile e riducendo il campo di copertura alle sole parti dell’azienda utili alla finalità prevista).

Buona regola, infine, è quella di istruire per iscritto tutti i soggetti (interni o esterni, come la società che svolge la vigilanza diurna o notturna) dei vincoli e delle necessarie attenzioni alla riservatezza che essi devono porre nel visionare, dal vivo come in remoto, le immagini raccolte dall’impianto di videosorveglianza.

Gps sui veicoli in uso ai dipendenti

Nelle ipotesi in cui la possibilità di individuare in un dato momento la posizione dei veicoli, e, di conseguenza, dei lavoratori, mediante sistemi di localizzazione, possa rivelarsi utile per soddisfare esigenze organizzative, produttive, nonché per esigenze di sicurezza sul lavoro, devono essere rispettate sia la disciplina sulla protezione dei dati personali, sia la normativa a tutela dei lavoratori, tenuto conto anche che la localizzazione dei veicoli potrebbe comportare una forma di controllo a distanza della loro attività.

L’esplicito richiamo effettuato dall’art. 4 co. 3 dello Statuto dei lavoratori alle disposizioni di cui al Codice Privacy (ora da intendersi, naturalmente, anche al GDPR), in particolare a quello relativo all’obbligo di rilascio dell’informativa, classifica, di fatto, l’attività di geolocalizzazione come trattamento dei dati personali, qualora la rilevazione dei dati dal dispositivo consenta di raccogliere informazioni sui singoli dipendenti – identificati o identificabili – e lo sottopone a tutte le relative disposizioni.

Il GDPR introduce, a seguire, una serie di principi generali, che costituiscono la base di riferimento per la realizzazione di ogni tipologia di trattamento di dati personali realizzata dal titolare del trattamento, compresa la rilevazione della posizione del dipendente in orario di lavoro mediante l’utilizzo di dispositivi GPS che possano integrare gli estremi del controllo a distanza e che muovono dai principi di “privacy by design” e “privacy by default”.

Per il conseguimento di ciascuna delle finalità legittimamente perseguite dal datore di lavoro, che riveste la qualità di titolare del trattamento, possono formare oggetto di trattamento, mediante sistemi opportunamente configurati, solo i dati pertinenti e non eccedenti: tali possono essere, oltre all’ubicazione del veicolo, la distanza percorsa, i tempi di percorrenza, il carburante consumato, la velocità media del veicolo.

Nel rispetto del principio di necessità, inoltre, la posizione del veicolo non deve essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite.

Geolocalizzazione di smartphone, tablet e dispositivi mobili

Il principio di necessità, ai sensi del quale la posizione del veicolo può essere monitorata solo quando ciò si renda indispensabile per il perseguimento delle finalità previste, si applica allo stesso modo alla localizzazione dei dispositivi mobili in possesso dei dipendenti.

Bisogna considerare, in questo caso, anche che, ad esempio, lo smartphone è, per le sue caratteristiche, inevitabilmente destinato a “seguire” la persona che lo possiede, indipendentemente dalla distinzione fra tempo di lavoro e tempo di non-lavoro.

Il Garante ha però chiesto, in successivi provvedimenti sul tema, a maggiore tutela dei lavoratori, di posizionare sul dispositivo un’icona che indichi che la localizzazione è attiva e di configurare il sistema in modo tale da oscurare la posizione geografica dei dipendenti decorso un dato periodo di inattività dell’operatore sul monitor della centrale operativa.

I dati raccolti dal sistema possono essere consultati dagli addetti alla centrale operativa e dalla direzione informatica della società muniti di apposite credenziali e profili autorizzativi, in particolare per l’estrazione dei dati.

A ulteriore tutela dei dipendenti deve essere escluso l’utilizzo dei dati per finalità di controllo dei lavoratori o per scopi disciplinari. La società deve fornire, in ogni caso, ai dipendenti, un’idonea informativa che consenta l’esercizio dei diritti.

______________________________________________

Photo by Tobias Tullius on Unsplash

Brexit e privacy: cosa è cambiato, cosa può ancora cambiare

Dopo un lungo e dibattuto iter, il 31 gennaio 2020 il Regno Unito ha definitivamente lasciato l’Unione Europea.

Da tale momento ha preso il via un periodo di transizione, cd. bridging mechanism, finalizzato a consentire (da un lato) il graduale adeguamento dell’ordinamento britannico alla nuova situazione e (dall’altro) una transizione ordinata dei rapporti economici, amministrativi e giuridici tra Unione Europea e United Kingdom.

Tra i vari hot topics che hanno caratterizzato il caso ed il processo di realizzazione della Brexit, importantissimo è indubbiamente quello relativo alla protezione dei dati personali dei cittadini europei e alla possibilità che questi vengano trasferiti verso Paesi terzi.

La questione, già di per sé rilevante essendosi concluso definitivamente il processo di uscita dall’Unione (il Regno Unito è oggi ufficialmente e a tutti gli effetti un Paese terzo), diventa ancora più delicata alla luce delle future riforme che il Governo di Londra ha dichiarato di voler attuare.

Evoluzione della normativa privacy tra UE e UK

Per meglio comprendere i termini della faccenda è necessario passare in rassegna l’evoluzione normativa che ha caratterizzato negli ultimi anni – dall’inizio del processo fino al completamento della Brexit – l’ordinamento giuridico britannico dal punto di vista della data protection.

Prima della rottura definitiva con l’UE, le fonti normative vigenti in Gran Bretagna in materia di protezione dei dati erano due: una di matrice europea, Regolamento 2016/679 (“GDPR”), e una interna, il Data Protection Act del 2018 (“DPA”).

Nel 2018 poi, con l’intento di gettare solide basi per il cambiamento, il Parlamento inglese ha emanato l’European Union (Withdrawal) Act con un duplice scopo: abrogare l’European Communities Act del 1972 (con cui il Regno Unito aderiva alle tre comunità europee della CEE, CECA ed Euratom), e fornire una base giuridica affinché il diritto nazionale derivato dall’UE e la legislazione europea direttamente applicabile-incorporati nel diritto interno britannico in virtù del medesimo atto- potessero essere modificati.

Risultato di tale operazione “sartoriale” è stata la nascita del cd. retained EU law: un diritto comunitario modellato “su misura” alle esigenze e prospettive di uno Stato che, pur rivendicando indipendenza rispetto alle istituzioni europee, continua entro certi limiti a rispettarle (è stato infatti previsto che il retained law venga pur sempre interpretato dai giudici interni alla luce della giurisprudenza della Corte di Giustizia Europea e dei principi fondamentali dell’Unione, in vigore prima dell’uscita definitiva dell’UK dall’Unione).

Un esempio di legislazione secondaria, emanata in virtù dell’European Union (Withdrawal) Act e capace di modificare il retained law, è rappresentato dal “Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations, 2019 (DPPEC Regulations). Tale documento, a far data dal 1° gennaio 2021, ha modificato sia il DPA nazionale che il recepimento della normativa GDPR europea, creando così quello che oggi è conosciuto come ”UK GDPR”.

Brexit: cosa cambia in materia di trasferimento dei dati extra-UE

Il trasferimento dei dati verso Paesi terzi è oggetto apposita regolamentazione da parte del GDPR, regolamentazione – a questo punto –  applicabile a tutti gli effetti anche al Regno Unito.

I meccanismi previsti dal capo V (art. 44 e ss.) rispondono all’esigenza di assicurare alle persone fisiche coinvolte il medesimo livello di protezione offerto del Regolamento, e sono (in alternativa tra loro):

  • decisione di adeguatezza ex art. 45 GDPR: il trasferimento è ammissibile sulla base di una decisione di adeguatezza della Commissione Europea che stabilisca che il paese terzo garantisce una protezione adeguata (equivalente cioè a quella offerta dal GDPR stesso). I criteri utilizzati dalla Commissione per l’adozione della decisione sono vari, tra cui figurano lo stato di diritto del paese terzo e il suo rispetto nei confronti dei diritti fondamentali e delle libertà degli individui;
  • garanzie adeguate ex art. 46 GDPR: in mancanza di una decisione di adeguatezza, il titolare del trattamento può trasferire i dati verso un paese terzo soltanto nel caso in cui siano state fornite garanzie adeguate, a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Esempio di tali garanzie sono le Standard Contractual Clauses (SCC) approvate dalla Commissione Europea secondo la procedura d’esame di cui all’art. 93 (e contenute nella loro versione più aggiornata nella Direttiva 2021/914);
  • norme vincolanti d’impresa, ex art. 47 GDPR, per i gruppi che le hanno stipulate con l’Autorità di controllo;
  • deroghe, ex art. 49 GDPR: nel caso in cui non dovessero risultare utilizzabili gli strumenti previsti dagli articoli precedenti, in via residuale il trasferimento può comunque essere lecito perché, a titolo esemplificativo, il soggetto interessato ha prestato espressamente il consenso o perché il trasferimento è necessario per l’esecuzione di un contratto.

Come extrema ratio – laddove non fossero applicabili le deroghe specificamente elencate – l’art. 49 stabilisce che il trasferimento è pur sempre lecito se fondato sulla deroga di carattere generale del trasferimento non ripetitivo per il perseguimento di interessi legittimi cogenti dell’esportazione dei dati su cui non prevalgano gli interessi e le libertà degli interessati. Non si tratta di semplici interessi legittimi del titolare ma di interessi essenziali, come ad esempio l’esigenza di proteggere la propria organizzazione o i propri sistemi da un danno grave ed immediato.

Per gestire la questione del trasferimento dei dati verso il Regno Unito, la Commissione Europea ha emanato due decisioni di adeguatezza, una relativa al GDPR e una relativa al LED (Law Enforcement Directive, 2016/680), entrambe facenti parte del più ampio TCA (Trade and Cooperation Agreement), l’accordo volto a regolare gli scambi commerciali UE-UK.

La peculiarità di tali decisioni è la previsione di una “sunset clause”, (un unicum nella storia delle decisioni ex art. 45 GDPR) che limita l’adeguatezza della decisione a quattro anni (la scadenza è prevista al 27 giugno 2025), riservando alla Commissione stessa il potere di monitorare e verificare attivamente l’assetto in materia di privacy garantito dal diritto britannico.

In altri termini l’Unione, pur non rinunciando aprioristicamente alla possibilità di “avere a che fare” con il Regno Unito, si riserva la possibilità di cambiare idea nel caso il cui dovessero cominciare ad essere attuate riforme in grado di minare quel grado di protezione adeguato che il GDPR intende tutelare e che richiede per legittimare il trasferimento dei dati.

La decisione della Commissione appare quanto mai saggia soprattutto alla luce del fatto che la Gran Bretagna sta vivendo un periodo di potenziale (e audace) cambiamento.

Possibili scenari

Tra le molte proposte di riforma in grado di allontanare Londra dalle posizioni europeiste – a titolo esemplificativo, estendere l’utilizzo del legittimo interesse come base giuridica e facilitare il trattamento dei dati da parte di enti pubblici e privati per finalità di interesse pubblico (tra cui anche la lotta al covid-19)- , la più preoccupante riguarda l’ampliamento della lista dei paesi ai quali il Regno Unito intende concedere l’adeguatezza per il trasferimento dei dati, dal momento che tra i nuovi stati figurerebbero anche gli Stati Uniti.

Una riforma in tal senso potrebbe seriamente minare la stabilità della decisione di adeguatezza emessa, con ricadute su due diversi ed egualmente importanti ambiti.

In primo luogo, un allontanamento della legislazione UK dai principi fondanti del GDPR porterebbe forzatamente a rendere più difficoltosi i trasferimenti “diretti” di dati tra Europa e Gran Bretagna, in quanto le tutele accordate dal Regolamento ai cittadini europei potrebbero venire meno al mutare dell’assetto dell’ordinamento inglese.

Non è solo la normativa specialistica in materia di data protection ad avere un impatto diretto sulla decisione di adeguatezza emessa dalla Commissione UE: le stesse tutele generali accordate ai cittadini dallo stato, e lo stesso Stato di diritto, potrebbero comportare una violazione frontale della privacy del singolo.

Si pensi, ad esempio, al tema degli ordini esecutivi diretti con cui le forze di polizia accedono ai dati, in potenziale violazione dei diritti costituzionalmente tutelati – almeno, nell’Unione Europea – di riservatezza e libertà.

Proprio in quest’ottica, ed alla luce della caduta del EU-US Privacy Shield (il sistema di autocertificazione “fatto fuori” dalla sentenza Schrems II), al fine del trasferimento dei dati verso gli Stati Uniti, ad oggi – per qualsiasi business operante in UE – non è più sufficiente il solo riferimento alle Clausole Contrattuali Tipo della Direttiva 2021/914, la cui struttura è stata ricalcata dall’International Data Transfert Agreement approvato dal Garante inglese (ICO).

Se davvero il Regno Unito dovesse aprire le porte ai liberi trasferimenti di dati verso gli Stati Uniti ad esempio mediante l’emissione di una autonoma decisione di adeguatezza, allora si presenterebbe un grosso problema, dal momento che potrebbe di fatto venire elusa la fase dei controlli – particolarmente rilevanti – oggi imposti dal GDPR e dalla sua interpretazione fissata dalla Corte di Giustizia dell’Unione Europea.

L’eventuale revoca della decisione di adeguatezza comprometterebbe insomma, con tutta probabilità, il funzionamento dell’accordo sugli scambi commerciali (TCA) e aprirebbe una nuova frontiera nel settore dei trasferimenti internazionali per le aziende operanti in UE.

Gli occhi dell’Unione – e in particolare della Commissione – rimangono così puntati oltremanica in attesa degli sviluppi prospettati dal governo di Londra. E noi con loro.

_________________________________________________

Photo by Rocco Dipoppa on Unsplash

Green Pass e gestione della pandemia Covid-19 in azienda: ultima fermata?

(articolo aggiornato al 29 aprile 2022, ore 18:30)

Come probabilmente chiunque avrà letto, siamo arrivati a ieri (28 aprile) – non esattamente “dopo Pasqua” come promesso – per una indicazione definitiva sulla situazione a partire dal 1 maggio prossimo.

Di fatto, nel weekend le aziende dovranno adattare le loro procedure di accesso e controllo della forza lavoro alla luce delle nuove disposizioni, in ottica Green Pass, ma non avranno molto tempo per interrogarsi sulla questione mascherine.

Come indica la foto di copertina, in ogni caso, credo che alcune misure di sicurezza (il lavarsi le mani prima di tutto!) resteranno ancora per un po’: vediamo però gli aspetti più concreti e qualche indicazione operativa della prima – e quasi ultima – ora.

Addio Green Pass

Non è stato prorogato il requisito relativo alla necessità di Green Pass per l’accesso ai luoghi di lavoro privati: pertanto, dal 1 maggio (domenica) – e quindi soprattutto da lunedì prossimo, 2 maggio, per chi non ha “turni” o aziende aperte la domenica – non sarà più necessario (nè consentito, a rigore) limitare l’accesso ai soli dipendenti che ne sono in possesso.

Attenzione: non imporre la necessità significa di fatto vietare il controllo della “Certificazione verde” ai lavoratori.

Si possono quindi archiviare e/o accantonare:

  • la procedura operativa relativa a tali aspetti (conservandone una copia per ogni futura eventuale necessità)
  • le informative privacy redatte come esposte in precedenza
  • i totem, le postazioni di verifica e la cartellonistica che riguardava l’accesso vincolato al luogo di lavoro.

Andranno quindi rimosse e/o disattivate le misure di controllo predisposte, con cancellazione degli eventuali dati conservati.

E le mascherine al chiuso?

Quanto alle mascherine, l’ordinanza firmata dal Ministero della Salute (disponibile qui) unicamente raccomanda l’utilizzo continuo (almeno sino al 15 giugno prossimo) ma non lo rende obbligatorio.

L’interpretazione maggiormente conservativa – come pubblicata da molti degli organi di stampa che ho avuto modo di consultare in questo frenetico venerdì – ritiene che restino in vigore gli accordi tra le parti sociali che consigliano l’uso continuato negli spazi al chiuso, anche in considerazione della normativa di salute e sicurezza sul lavoro di cui al D. Lgs. 81/08.

In proposito, una nota di Confindustria già menzionata nel precedente articolo (qui) lo riteneva un atto quasi dovuto, per evitare focolai incontrollati da questo momento e sino all’estate, quando speriamo anche i numeri di contagi e decessi inizieranno a calare, insieme ai bollettini giornalieri.

Cosa fare?

Al di là di archiviare il lavoro che negli ultimi due anni è stato fatto (di corsa, faticosamente, navigando tra norme scritte in fretta e all’ultimo, in modo contorto – ma per carità, sull’onda di un’emergenza mai vista prima) resta importante informare tutto il personale.

Si suggerisce prima di tutto, per entrambi i temi (Green pass e mascherine) di fare una breve comunicazione a tutto il personale, e in particolare a coloro che sono autorizzati al controllo, al fine di tenerli informati delle nuove disposizioni.

In un secondo momento, ma neanche troppo in là, bisognerà capire se ci sono dati personali conservati negli archivi aziendali, e prepararsi a cancellarli in ossequio al principio di conservazione limitata (data retention).

In proposito, sarebbe auspicabile ricevere indicazioni dall’Autorità Garante per confermare quanto la legge, ad oggi, lascia ipotizzare.

____________________________________________

Photo by Kelly Sikkema on Unsplash

Dark Pattern: tutto quello che (non) vedi

Inutile negare che gran parte della nostra vita si svolge ormai su internet: lavoriamo e programmiamo le nostre vacanze, impariamo a cucinare e, addirittura, troviamo l’amore.

Tutto on line.

Il denominatore comune di tutte queste attività?  La comunicazione ad altri dei nostri dati personali, tema sensibilissimo e spesso ancora sottovalutato dai “non addetti ai lavori”: in molti casi ad essere importante – e particolarmente delicata – non è tanto la comunicazione in sé dei propri dati, quanto l’esigenza di assicurare che essa avvenga in maniera consapevole e responsabile.

La questione passa inevitabilmente anche attraverso l’interfaccia grafica che ogni sito web o piattaforma decide di offrire, in quanto strumento capace di indirizzare fortemente l’utente nella definizione delle proprie scelte – e, talvolta, nell’esecuzione di azioni inconsapevoli – in materia di dati personali.

L’attenzione è quindi rivolta ai dark pattern.

Definizione e compatibilità con il GDPR

Per dark pattern, letteralmente – e a buona ragione – “percorso oscuro”, si intendono tutte quelle interfacce grafiche implementate dai siti web allo scopo di spingere l’utente a compiere azioni non desiderate (e potenzialmente dannose), o a seguire delle procedure così complesse da scoraggiarlo a prestare la giusta attenzione al controllo e alla protezione effettiva dei suoi dati personali.

Una “x” poco visibile, un percorso informativo lungo e tortuoso, frasi fuorvianti: ecco che – 9 volte su 10 – finiamo per cliccare su “accetta tutto” pur di proseguire nella nostra navigazione, accedere alle informazioni che ci interessano o vedere lo status o le stories di un amico o una persona di interesse.

Il paradosso, fondato su bias cognitivi ben studiati, è che l’utente si sente perfettamente “padrone” delle proprie scelte, nonostante in realtà sia stato a tutti gli effetti vittima di una manipolazione volta a fargli prendere esattamente quella specifica, “autonoma” decisione.

Ma può essere questo un consenso validamente prestato?

La valutazione sulla compatibilità di tali pratiche col GDPR passa necessariamente attraverso un’attenta analisi dei principi dettati in materia dalla normativa.

L’art. 4, paragrafo 11 GDPR ci fornisce una definizione di consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Perché un consenso possa dirsi libero, specifico, informato e inequivocabile è chiaramente necessario che il titolare del trattamento si sia lasciato innanzitutto ispirare dai principi generali sanciti dall’art. 5 GDPR, primo fra tutti il principio di liceità, correttezza e trasparenza.

Solamente mediante una comunicazione chiara e trasparente, infatti, le informazioni relative al trattamento risulteranno accessibili e facilmente comprensibili per l’utente, così da consentirgli di prendere decisioni consapevoli in ordine alla protezione dei suoi dati personali.

Particolarmente rilevante è anche il concetto di privacy by design, consacrato nell’art. 25 GDPR, secondo il quale l’attenzione alla protezione dei dati da parte del Titolare del trattamento deve essere integrata in ogni fase del ciclo di vita della tecnologia, partendo già dalla fase di progettazione del prodotto attraverso la predisposizione di misure tecniche ed organizzative adeguate – quali ad esempio la minimizzazione dei dati – e l’integrazione nel trattamento di tutte le garanzie necessarie al fine di soddisfare i requisiti del GDPR.

Le Linee Guida EDPB

Le recenti Linee Guida emanate dallo European Data Protection Board (“EDPB”) – al momento solo in lingua inglese, e rese disponibili per consultazione pubblica sino al 2 maggio prossimo – ci forniscono una elencazione dettagliata di tutti i diversi tipi di dark pattern, raggruppati in sei macrocategorie:

  1. Overloading: gli utenti vengono sommersi da una grande quantità di informazioni, opzioni e richieste al fine di spingerli a fornire più dati personali di quelli effettivamente necessari;
  2. Skipping: l’interfaccia grafico del sito è strutturato in modo tale che l’utente non presti la giusta attenzione alla protezione dei propri dati personali;
  3. Stirring: viene fatta leva sull’emotività dell’utente per condizionarne le scelte, oppure si ricorre ai cd. visual nudges, strumenti cioè in grado di alterare i comportamenti delle persone senza proibire però la loro scelta di altre opzioni (è questo il caso della “x”: c’è, ma è difficilissima da trovare);
  4. Hindering: viene posto un ostacolo nel processo di informazione o gestione dei dati personali, attraverso azioni e procedure complicate o impossibili da portare a termine;
  5. Fickle: il design dell’interfaccia risulta poco chiaro, diventando così arduo per l’utente navigare tra i differenti strumenti di controllo dei dati;
  6. Left in the dark: l’interfaccia è strutturato in modo tale da nascondere le informazioni utili e gli strumenti di controllo o da lasciare l’utente incerto sulle concrete modalità di esercizio dei propri diritti.

Il caso Google

È proprio degli ultimi giorni la notizia per cui l’Associazione per la protezione dei consumatori (Consumer Advice Center) della Renania Settentrionale-Vestfalia ha annunciato di aver avviato una causa contro Google.

Le motivazioni riguardano l’uso da parte del colosso informatico di cookie banner strutturati in maniera tale da rendere oltremodo gravoso il rifiuto dei cookies da parte degli utenti nel corso della loro navigazione, in aperto contrasto dunque tanto con la normativa tedesca quanto con quella europea, non solo relativa al GDPR ma anche alla c.d. Direttiva ePrivacy di cui è in discussione, allo stato, un aggiornamento tramite lo strumento (come per il GDPR) del “Regolamento”.

Mentre per l’accettazione dei cookies basta un semplice click, insomma, per il rifiuto l’utente si trova costretto a dover deselezionare manualmente tre categorie di cookies, prima che Google gli consenta di procedere alle sue ricerche.

In proposito, anche l’Autorità Garante di Amburgo (Germania) ha recentemente assunto la medesima posizione, sia in riferimento al banner del motore di ricerca che a quello della piattaforma di video streaming YouTube, ponendosi nel solco di altre precedenti decisioni – e sanzioni salatissime – in materia, tra cui vanno ricordate soprattutto quelle erogate dal CNIL (Autorità francese) a inizio anno proprio contro Google oltre che verso Facebook.

Best practices: come disegnare un’interfaccia utente rispettosa della normativa

Di seguito riportiamo alcune delle raccomandazioni contenute nelle Linee Guida EDPB 3/2022 per strutturare le interfacce web (di siti e piattaforme) in maniera conforme a quanto previsto dalla normativa europea.

Per quanto riguarda la privacy policy:

  • aggiungere link ipertestuali diretti che reindirizzino gli utenti alle parti più importanti della privacy policy (la quale dovrebbe essere il più possibile chiara e sintetica);
  • consentire ad esempio mediante menù a tendina una overview della policy, in modo che gli utenti siano in grado di trovare facilmente la sezione di loro interesse;
  • fornire sempre, in caso di uso di termini tecnici o di linguaggio non comune, definizioni comprensibili;
  • in aggiunta alle informazioni obbligatorie, fare degli esempi per rendere i concetti più “tangibili” per gli utenti;
  • indicare espressamente e chiaramente l’Autorità Garante competente, aggiungendo al sito un link alla pagina ufficiale per eventuali lamentele;
  • se la privacy policy viene modificata, rendere accessibile di volta in volta la/le precedente/i versione/i.

Con riferimento invece alle meccaniche di relazione con gli utenti:

  • prevedere un sistema di iscrizione chiaro e semplice;
  • fornire un pannello utente che permetta una selezione immediata delle preferenze in materia privacy;
  • prevedere meccanismi di cancellazione dell’utente diretti e immediati, che comunichino le opzioni disponibili (sospensione, cancellazione, ecc.) e spieghino cosa avverrà dei dati in seguito.

In ultimo, come già anticipato, la parte finale delle Linee Guida EDPB (sez. IV) scende nei dettagli delle pratiche da non seguire, a pena di violare i principi di accountability, trasparenza e data protection by design che possono poi comportare, a carico del Titolare del trattamento (quindi del sito web o della piattaforma) sanzioni economiche (anche pesanti) e il blocco dei dati ottenuti in violazione della normativa applicabile.

____________________________________________________

Photo by Dan Asaki on Unsplash

Recenti sentenze della Corte di Giustizia UE (anno 2021)

Potremmo immaginare il diritto dell’Unione europea come la tela (assai ampia) di un ragno: diventa molto più debole laddove ci sono vuoti o rotture del suo intreccio. Fuor di metafora, i vuoti e le rotture sono le violazioni realizzate con la mancata applicazione del diritto europeo da parte (o all’interno) dei singoli Stati membri: violazioni delle norme sulla concorrenza, del Regolamento Generale per la Protezione dei Dati Personali (“GDPR”), del ne bis in idem e altro ancora.

Diverse sentenze pronunciate dalla Corte di Giustizia UE nel 2021 hanno avuto conseguenze profonde ed evidenti nella vita quotidiana dei cittadini europei: la Corte ha – come sempre accade – rivestito in tutti i casi un ruolo importante nell’assicurare un’interpretazione e un’applicazione uniformi del diritto dell’Unione.

Proprio in questa prospettiva abbiamo fatto una analisi di alcune di tali sentenze, selezionate fra le molte emanate in materia di IP e tecnologia nel 2021, che di seguito vi proponiamo.

La protezione del design comunitario non registrato – 28 ottobre 2021, sent. C-123/2020

Link diretto alla decisione

Nel primo caso, il contenzioso di base ha preso avvio da un Tribunale tedesco presso cui la casa automobilistica Ferrari aveva chiesto un’ingiunzione contro una società di design per violazione di norme sul Design Comunitario non Registrato (“UCD”) in relazione alla nuova serie di supercar da pista.

Il lancio della serie in produzione limitata della nuova macchina da corsa era stato reso pubblico nel 2014, in una conferenza stampa che mostrava immagini frontali e laterali della macchina.

Nel 2016 la società di design, specializzata nella modifica di auto di lusso, ha iniziato ad offrire set di accessori personalizzati, conosciuti come “tuning kits”, pensati per modificare l’aspetto della Ferrari 488 GTB per farla somigliare al modello in serie limitata.

In primo grado e in appello le istanze di Ferrari sono state respinte dalle Corti tedesche; perciò, la decisione è stata impugnata davanti alla Corte di Giustizia dell’Unione europea.

La Corte ha esaminato l’istanza della Corte tedesca e ha affermato che, una volta soddisfatte le condizioni essenziali per la protezione, vale a dire quando il design soddisfa il requisito di novità e ha un carattere individuale, costituisce unica condizione formale per la creazione di un disegno o modello comunitario non registrato l’obbligo di metterlo a disposizione del pubblico.

La Corte di Giustizia ha così chiarito che la scoperta dell’immagine completa di un prodotto è sufficiente per ottenere una protezione del design non registrato per gli elementi separati e specifici del prodotto.

La Corte ha spiegato che dopo aver reso disponibile un progetto al pubblico, gli elementi separati “chiaramente identificabili” e “chiaramente visibili” possono godere di protezione come disegni parziali.

Decompilazione di software – 6 ottobre 2021, sent. C-13/2020

Link diretto alla decisione

Questa vertenza ha visto contrapposti lo Stato del Belgio e uno sviluppatore di software. La disputa è iniziata a causa di problemi operativi sorti mentre l’Ufficio Selezione dell’autorità federale belga (“SELOR”) utilizzava in licenza un programma di Top System.

A causa di problemi operativi, SELOR ha decompilato il programma per correggere gli errori e Top System ha contestato che la decompilazione di SELOR violava il proprio diritto di esclusiva sul software, avanzando una richiesta di risarcimento del danno.

La Corte di Giustizia ha stabilito che chi acquista un programma è autorizzato a decompilare il software al fine correggere gli errori che si verificano nelle operazioni, inclusi i casi in cui la correzione consista nel disabilitare una funzione che comprometta il funzionamento di quel programma.

Le motivazioni applicate in diritto sono state l’art. 5 e l’art. 6 della Direttiva 91/250 relativa alla tutela giuridica dei programmi per elaboratore.

La particolarità osservata dalla Corte in questo caso è che il diritto a decompilare è soggetto a “specifiche previsioni contrattuali”, vale a dire che le parti possono accordarsi sul limitare i diritti a decompilare il software di chi possiede la licenza, mantenendo l’onere di correggere gli errori ed effettuare manutenzioni in capo a chi concede la licenza.

Su questo tema, la Corte ha comunque precisato che non può essere mai completamente esclusa la possibilità per chi possiede la licenza di correggere errori.

La pubblicità di dati particolari – 22 giugno 2021, sent. C-439/2019

Link diretto alla decisione

Il caso in esame riguarda una disposizione nella legge della Lettonia che dà accesso all’informazione sui punti di penalità per violazioni del Codice stradale lituano a chiunque sia interessato, senza necessità di provare uno specifico interesse, al fine di migliorare la sicurezza sulle strade della Lettonia.

Un cittadino, i cui dati sono stati oggetto di ripetuto e sgradito utilizzo, ha proposto un ricorso davanti alla Corte costituzionale lettone per esaminare la compatibilità della disposizione di cui all’art. 141(2) del codice della strada con il diritto fondamentale al rispetto della vita privata sancito dall’art. 96 della Costituzione lituana.

La Corte di Giustizia UE, adita proprio dalla Corte lettone, ha stabilito che i dati su violazioni registrate sono dati particolarmente delicati e ha segnalato che la legislazione lituana si pone in violazione del GDPR. La decisione ha sottolineato anche che l’obiettivo di diminuire gli incidenti e le violazioni sulle strade lettoni non è perseguibile attraverso la pubblicazione di quei dati, che non trovano una base giuridica nel legittimo interesse.

Conclusioni

Nei tre casi presi ad esempio, la Corte di Giustizia ha sempre formulato l’obbligo, per le amministrazioni e i giudici nazionali, di applicare pienamente il diritto dell’Unione nell’ambito della loro sfera di competenza e di tutelare i diritti conferiti ai cittadini, disapplicando qualsiasi contraria disposizione del diritto nazionale, nel rispetto del generalizzato principio di supremazia del primo sul secondo.

Queste sentenze, in particolare, saranno da tenere a mente:

  • per la redazione di contratti di fornitura di software (sent. C-13/2020),
  • per le amministrazioni locali (sent. C-439/2019),
  • e per le grandi società che intendano disporre dei propri marchi (sent. C-123/2020).

_________________________________________

Photo by Berta Ferrer on Unsplash

Comunicazioni commerciali: la “spazzatura” che incombe sugli utenti

Nel migliore dei casi, ciascuno di noi perde quotidianamente un po’ di tempo a eliminare le e-mail di troppo, mentre la casella si appesantisce di qualche Megabyte in più. Più spesso, si rischia addirittura di perdere messaggi importanti in mezzo a centinaia di comunicazioni commerciali, o – nei casi peggiori – si ricevono malware o messaggi dannosi, che possono provocare seri danni.

Come difendersi da queste situazioni? Come riconoscerle? Cosa fare? Di seguito trovate alcune domande “classiche” sul tema dello spam, corredate da brevi risposte operative pensate per agevolare la propria tutela e – se siete un’azienda – evitare di incorrere in spinose questioni privacy.

Da dove viene la parola “spam”?

La parola “Spam” nasce come l’abbreviazione di “Spiced ham” e proviene da un marchio di carne in scatola che veniva prodotto dall’azienda americana Hormel Foods Corp nella prima metà del Novecento. Quella carne costituì una delle uniche fonti di cibo nutriente in Inghilterra durante la Seconda guerra mondiale; così, facendo leva sulla diffusione enorme del prodotto, nel dicembre del 1970, la BBC trasmise un episodio di una nota serie televisiva ambientato in un ristorante in cui il menù si componeva interamente di pietanze a base di “spam”, la famosa carne in scatola.

Cos’è lo spam oggi?

L’invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari è usualmente definito “Spam”, ed avviene tramite l’invio di materiale pubblicitario o di vendita diretta o il compimento di ricerche di mercato o, ancora, tramite attività di generica comunicazione commerciale. Non è necessario, solitamente, un invio massiccio né simultaneo di comunicazioni a una pluralità di indirizzi o numeri di telefono per configurare un caso di “Spam”: queste modalità rilevano, eventualmente, per qualificare la condotta come sistematica e determinare di conseguenza le eventuali sanzioni nel caso in cui le norme di legge non siano rispettate.

Con che mezzi possono essere raggiunti gli utenti?

Le modalità più frequenti di Spam sono l’invio di fax, sms, e-mail e telefonate. È possibile che i dati personali siano tratti da registri pubblici, elenchi, siti web, per cui si configura un comportamento tendenzialmente illecito come ha più volte ribadito il Garante italiano, ad esempio con questo provvedimento). Non è lecito nemmeno utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale istituito per favore la presentazione di istanze e lo scambio di informazioni con la Pubblica Amministrazione, perché tutti questi trattamenti avvengono senza il consenso degli interessati, come chiarito espressamente dalle Linee Guida (ormai risalenti) del 2013.

È stato di recente ribadito che non è neppure possibile contattare l’utente telefonicamente, chiedendo subito il consenso a ricevere comunicazioni promozionali: le modalità di cui all’art. 130 commi 1 e 2 del Codice Privacy, richiedono infatti il consenso anche per i numeri presenti in elenchi telefonici, sempre a condizione che ciò avvenga nel rispetto dei limiti e con le modalità che le leggi, i regolamenti o la normativa europea stabiliscono per la conoscibilità e pubblicità dei dati, ed in particolare secondo i requisiti fissati dalle disposizioni del Registro delle Opposizioni, di recente aggiornate e che diverranno operative a breve.

Quanto Spam possono ricevere gli utenti?

Fino a qualche tempo fa, l’invio massiccio di comunicazioni pubblicitarie veniva in buona parte bloccato dai software presenti nelle caselle di posta; progressivamente i livelli di spam hanno assunto proporzioni impressionanti e, ad oggi, si rileva che vengano distribuite decine di miliardi di e-mail indesiderate, corrispondenti a una percentuale fra il 60% e il 90% del volume complessivo delle e-mail totali scambiate. Questo ha comportato anche una significativa evoluzione nei software e nelle tecniche impiegate per diffondere le comunicazioni massive e, di conseguenza, anche le attività di Spam, a tutto danno dei poveri utenti del web.

Qual è la normativa applicabile in tema di Spam?

In generale, con l’entrata in vigore del Regolamento UE n. 2016/679 (“GDPR”), inviare messaggi promozionali senza il consenso dell’interessato costituisce un trattamento privo di una base giuridica valida e dunque illecito: in proposito, è stata nel tempo ridotta la portata “programmatica” del Considerando n. 47 al GDPR, che stabilisce “può essere considerato legittimo interesse trattare dati personali per finalità di marketing”, anche se l’idea in principio resta, pur nel bilanciamento di interessi precisato più volte dal Garante (ad esempio, nel provvedimento 2020 contro TIM). Se poi nella condotta dovessero ricorrere gli elementi costitutivi richiesti dall’art. 167 del Codice Privacy, e cioè l’acquisizione con mezzi fraudolenti di un archivio automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, il trattamento illecito di dati personali effettuato mediante Spam potrebbe essere altresì qualificabile come illecito penale.

Lo spam può essere legittimo?

La pratica definita “Soft Spam” è considerata ammessa, seppure con precisi limiti, e consiste nell’invio di comunicazioni commerciali, in cui il mittente dei messaggi (“Titolare del trattamento”) può disporre di un proprio legittimo interesse: esso sussiste, ad esempio, quando i messaggi commerciali vengono inviati ad interessati già clienti del titolare perché hanno acquistato prodotti analoghi a quelli oggetto della promozione o che, in qualche modo, hanno manifestato interesse alla sua azienda. In tal caso, il mittente è (almeno inizialmente) esonerato dall’obbligo di richiedere il consenso espresso dell’interessato, ma dovrà in ogni caso informarlo espressamente del fatto che potrà ricevere messaggi di natura commerciale, concedergli la possibilità, in modo semplice, di negare il proprio consenso ad un successivo uso del suo indirizzo e-mail o del suo numero di cellulare, e dimostrare che con il trattamento dei dati, diritti e libertà dell’interessato non verranno lesi, confrontando gli stessi con il proprio legittimo interesse, secondo una procedura di autovalutazione da compiersi prima dell’inizio del trattamento.

Come possono tutelarsi gli utenti?

Si segnalano in primo luogo alcune tutele preventive, che sono state diffuse anche dal Garante Privacy come buone pratiche, tra cui ad esempio:

  • non diffondere, specialmente on-line, il proprio indirizzo e-mail o il numero di telefono;
  • leggere con attenzione le informazioni sull’impiego ed eventuale diffusione dei propri dati personali qualora sia necessario iscriversi a un sito web;
  • dedicare un apposito indirizzo e-mail per fare acquisti online o iscriversi a newsletter.

In ciascuna e-mail commerciale, per buona prassi più volte ribadita dall’Autorità italiana e dal EDPB a livello europeo, dovrà poi esserci un tool automatizzato di “cancellazione”, che è sempre possibile cliccare per rimuoversi da successivi invii, e – almeno in teoria – dovrebbe essere tanto semplice quanto lo è stata l’iscrizione alla newsletter stessa.

Una terza via è quella di esercitare i propri diritti fissati dagli artt. 15-22 del GDPR scrivendo al mittente delle comunicazioni di Spam, tramite indirizzi come “privacy@nomeazienda” o anche al Data Protection Officer che – ove nominato – deve essere indicato insieme ai suoi contatti in ciascuna informativa privacy: una semplice e-mail del tipo “Voglio essere rimosso da questa lista, con la mail da cui scrivo” potrà ben essere sufficiente, senza ulteriori formalismi.

C’è infine sempre la possibilità di inviare segnalazioni all’Autorità Garante, ove non si riceva riscontro nei tempi di legge (30 giorni dall’invio della richiesta), ricordando in particolare la possibilità di revocare in qualsiasi momento il consenso al trattamento dei propri dati e di conseguenza di pretendere la cancellazione definitiva di essi.

Quale extrema ratio, è sempre possibile agire in sede civilistica con un’azione per il risarcimento dei danni, ove patiti (con lo scoglio, tuttavia, di doverne dimostrare la consistenza).

E se sono un’azienda, cosa faccio?

Prima di tutto, le indicazioni fornite in questo articolo sono valide anche per impostare una corretta strategia di marketing tramite newsletter.

Per tutto quanto riguarda il “direct marketing” visto dietro le quinte del team aziendale vi rimandiamo, invece, ad un prossimo articolo.

___________________________________________

Photo by Amy Shamblen on Unsplash

Regolamento operativo per i dipendenti: una buona pratica aziendale

La gran parte degli standard di compliance – e, in particolare, le ISO – prevedono tra i propri requisiti quello di una regolamentazione – scritta e formale – dei processi che ciascun operatore aziendale è tenuto a seguire e rispettare. Anche in assenza di conformità ISO, tuttavia, è buona norma – ed anzi, come vedremo, assolutamente necessario – prevedere un regolamento operativo interno per tutti coloro che accedono ai servizi e strumenti aziendali.

L’uso (e abuso) di tali strumenti, infatti, può comportare importanti conseguenze per il patrimonio aziendale, la stessa immagine e il “brand” del’impresa, per non tralasciare la (in)utilizzabilità di elementi di prova a propria tutela in sede giudiziale.

Una recente decisione dell’Autorità Garante italiana ci offre allora lo spunto per approfondire il contenuto e l’utilità di questo documento operativo, che deve essere necessariamente pratico, efficace e ben scritto, oltre che rispettoso della normativa vigente in ambito lavoristico e privacy.

La vicenda

Con un provvedimento datato 10 febbraio 2022 il Garante si è pronunciato in merito al reclamo proposto da un ex dipendente di una società (di cui era Amministratore Delegato, e da cui è stato licenziato), per violazione della disciplina privacy posta in essere dal datore di lavoro dopo la cessazione del loro rapporto.

Il tema, particolarmente delicato, è quello dei limiti entro i quali una società può lecitamente trattare i dati dei suoi dipendenti, in questo caso ex-dipendenti, senza ledere la loro legittima aspettativa alla riservatezza.

Oggetto di contestazione, tra gli altri, è stata la mancata cancellazione da parte del datore di lavoro dell’account di posta elettronica aziendale in uso (e intestato) al dipendente, e ciò senza che alcuna comunicazione informativa sia stata fornita dalla società in merito alla possibilità che la stessa potesse, in determinati casi e a certe condizioni, accedere all’account di posta elettronica aziendale del lavoratore, anche dopo l’interruzione del rapporto.

Va ricordato in proposito che, per costante giurisprudenza sia del Garante che di Cassazione, la casella di posta elettronica assegnata da una azienda ad un proprio dipendente è, a tutti gli effetti, uno strumento di lavoro ed in quanto tale è astrattamente accessibile da parte del datore di lavoro, a condizione però che il dipendente sia debitamente e preventivamente informato in maniera espressa di tale possibilità mediante l’adozione di un adeguato regolamento aziendale, oltre che di idonea informativa ai sensi del GDPR.

Il Jobs Act, attraverso la riscrittura dell’art. 4, L. n. 300/1970 – cd. Statuto dei lavoratori– prevede tale possibilità, quella cioè di operare controlli su tutti quegli strumenti di lavoro utilizzati dal dipendente per rendere la propria prestazione lavorativa anche senza previo accordo con le rappresentanze sindacali, anche laddove essi siano tecnicamente suscettibili di configurare un “controllo a distanza” (come nel caso di posta elettronica, appunto). Resta tuttavia fermo l’obbligo per il datore di lavoro di fornire adeguata informazione circa le modalità e l’uso degli strumenti di controllo, nonché l’obbligo di rispettare la normativa privacy.

Proprio entro gli stretti confini del meccanismo “informativa-controllo” anche la Suprema Corte di Cassazione e la Corte Europea dei Diritti dell’Uomo, di recente rispettivamente con le pronunce n. 26682/2017 e n. 61496/2018, ammettono che il datore di lavoro possa legittimamente controllare la posta elettronica del dipendente e, se del caso, dell’ex lavoratore.

L’obiettivo è quello di provare a contemperare due diverse ma importantissime esigenze, quella del datore di lavoro di accedere ad informazioni necessarie per la gestione della propria attività e di effettuare controlli (cd. difensivi), e quella del lavoratore a veder tutelata la riservatezza della propria corrispondenza.

La decisione del Garante

Nel caso esaminato dal Garante non è stato tuttavia riscontrato un equilibrio nel binomio “informativa-controllo”: addirittura, dagli atti emerge come non fosse disponibile a livello aziendale alcun documento definitivo da poter sottoporre ai dipendenti in termini di informativa, ma solo una bozza (probabilmente dimenticata in qualche cassetto o cartella del server aziendale).

A nulla in proposito sono allora valsi i chiarimenti della società secondo i quali spettava proprio all’ex dipendente – in qualità di amministratore – l’adozione del regolamento aziendale, concernente, tra l’altro, anche la regolamentazione dell’uso dell’account di posta elettronica e la nomina di un amministratore di sistema competente a visionare i messaggi in entrata negli account aziendali per conto della società.

E’ solo quest’ultima, in qualità di Titolare del trattamento, che aveva l’onere di procedere conformemente alla normativa, non potendo addossare alcunchè alla persona fisica ricoprente il ruolo di AD: ferma restando infatti una eventuale responsabilità civile del dipendente nei confronti dell’azienda, il Garante chiarisce che la responsabilità derivante dall’inadempimento dell’obbligo di informativa ex artt. 5, par.1 lett a) 12 e 13 GDPR – ricade pur sempre sulla società.

Pertanto, acclarata e dichiarata l’illiceità del trattamento, alla luce dei poteri di controllo previsti dall’art. 58, par.2 GDPR, il Garante ha disposto nei confronti della società una sanzione amministrativa pecuniaria di ben 10.000 euro.

Come costruire un regolamento operativo valido ed efficace?

È in casi come quello evidenziato dal provvedimento del Garante che risulta evidente l’importanza, in ambito aziendale, di dotarsi di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici, di una policy interna i cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati.

Come farlo, in pratica? Sicuramente tramite una revisione degli strumenti utilizzati in concreto, e non in astratto, seguita dalla costruzione di un testo semplice, chiaro e possibilmente “a schede” o comunque organizzato per tematiche omogenee.

I fiumi di testo, come più volte hanno precisato sia il Garante italiano che gli altri omologhi europei e l’EDPB, a poco servono e poco trasmettono ai dipendenti, quanto a precetti semplici e chiari da porre in pratica nel comportamento tenuto ogni giorno al lavoro.

Non va dimenticato che questo “regolamento” si deve coordinare con altri testi aziendali, quali il Codice etico, il Codice disciplinare, le procedure interne predisposte a vario titolo (es. D. Lgs. 231/2001) e, non ultimo, l’eventuale “Regolamento Smart Working“.

Una breve e certamente incompleta “checklist” di contenuti del Regolamento interno potrebbe essere allora la seguente:

  • una sintetica descrizione della struttura aziendale (referenti diretti, funzioni rilevanti)
  • una scheda relativa alle definizioni utilizzate (es. “Titolare del trattamento” è l’azienda stessa)
  • chiarimento sui livelli di riservatezza delle informazioni aziendali
  • uso delle credenziali di accesso ai servizi (riservatezza e non diffusione)
  • come utilizzare i dispositivi aziendali in generale, tra cui computer, smartphone, chiavette usb ed altro
  • uso lecito della rete internet
  • focus particolare sulla casella e-mail (sia personale che, eventualmente, di gruppo)
  • una “social media policy” che contemperi la libertà di espressione del singolo con la tutela dell’immagine aziendale
  • una “clean desk policy” riguardo all’uso di supporti materiali e cartacei
  • istruzioni specifiche sulla gestione delle informazioni presenti su stampe e fotocopie

Non va poi dimenticato che, accanto alle istruzioni “positive” nei confronti dei dipendenti e collaboratori dell’impresa, è opportuno anche chiarire con precisione il quadro dei sistemi di controllo – ove presenti – e delle sanzioni disciplinari conseguenti alla violazione delle indicazioni fornite.

In ultimo, ma non meno importante – come ha evidenziato lo stesso provvedimento del Garante – tale regolamento va efficacemente portato all’attenzione di tutti, sia inviandolo a mezzo e-mail e/o rendendolo disponibile mediante affissione, che attraverso incontri di formazione e spiegazione dei suoi contenuti.

_________________________________________________

Photo by Nick Loggie on Unsplash

Novità in materia di Green Pass e gestione dell’emergenza Covid-19

Con la pubblicazione del Decreto Legge 24 marzo 2022, n. 24 il Governo italiano ha nuovamente modificato – questa volta in senso permissivo – la regolamentazione dell’uso e controllo del c.d. “Green Pass”, ossia la certificazione verde Covid-19 di cui abbiamo già riportato nei nostri precedenti articoli, all’introduzione qui ed in seguito qui.

Cosa cambia

Anche se la curva dei contagi non accenna a scendere, è stata decretata la fine dello “Stato di Emergenza” deliberato nel 2020 all’inizio della epidemia pandemica.

Con questa impostazione, vanno necessariamente a decadere una serie di restrizioni alla libertà di circolazione, interazione e comportamento poste a carico della collettività, tra cui appunto l’impiego del Green Pass in ambito – per quel che qui conta – lavorativo e aziendale.

Il Decreto fissa una sorta di percorso di “normalizzazione”, tant’è che i titoli degli artt. 6 e 7 sull’utilizzo del Green Pass base e rafforzato recano appunto la dicitura “Graduale eliminazione (…)”.

Un primo tema, riguardo l’accesso ai luoghi di lavoro, è regolato proprio dai menzionati articoli, laddove – pur estendendo di fatto lo Stato di Emergenza al 30 aprile, anche se non espressamente – si passerà dal 1 aprile all’utilizzo della versione base, per poi dal 1 maggio eliminare completamente la necessità di controllo ed esibizione della certificazione verde.

In proposito, resta comunque l’obbligo vaccinale per gli over 50, anche se non sarà più un pre-requisito per l’accesso in azienda, rimanendo unicamente sanzionabile in caso di controllo delle forze dell’ordine.

Un altro punto focale è l’uso delle mascherine sul luogo di lavoro, che parrebbe – a quanto si legge dal dettato normativo – prolungato solo sino al 30 aprile 2022.

E dopo? Molti si interrogano già da tempo sul bilanciamento tra garanzia di sicurezza e salute del personale in azienda, tra i compiti posti a carico del Datore di Lavoro ai sensi del D. Lgs. 81/2008, e libertà personale.

Una risposta certa, ad oggi – ma lo abbiamo ormai imparato – non c’è, e pare non arriverà prima degli ultimi giorni del mese di aprile, quando dobbiamo aspettarci una circolare o altro testo integrativo della situazione attualmente disegnata da questo Decreto Legge.

Tuttavia, una nota di Confindustria recentemente circolata propende, come diverse voci autorevoli nel settore, per una certa prudenza nell’abbandono delle mascherine in ambito lavorativo, anche alla luce dei contagi che non accennano a calare.

Piccola nota conclusiva in materia di trattamento di dati personali, con l’art. 13 che prevede il prolungamento dell’uso delle informazioni raccolte durante il periodo pandemico da parte del Ministero della salute di concerto con l’Istituto Superiore di Sanità, ai fini di monitoraggio della situazione, fissando altresì per legge l’esatta base giuridica da applicarsi (art. 9(2) lett. i) e j) del GDPR) e le modalità di condivisione dei dati con soggetti terzi per fini di elaborazione, ai sensi dell’art. 28 GDPR (nomina a responsabile).

Cosa fare in azienda

Di fondamentale importanza è passare, dal 1 aprile, alla verifica “base” del Green Pass per tutti.

In tal senso, ci si augura che sia l’app VerificaC19 che il portale INPS GreenPass50+ vengano prontamente aggiornati, eliminando rispettivamente la modalità di verifica chiamata “LAVORO” e le specifiche relative agli over-50 ove non vaccinati o guariti.

In ogni caso, sia le app locali che gli eventuali totem o verificatori all’accesso dovranno essere aggiornati e impostati correttamente: permane ancora la necessità di esporre e tenere a disposizione di tutti le informative privacy predisposte, nonché l’ulteriore documentazione – tra cui il protocollo di sicurezza – al fine di mantenere ancora ben ordinate le verifiche, almeno sino a tutto il 30 aprile 2022.

In seguito, si vedrà, come siamo ormai ben abituati a fare. Speriamo, solo, che tutto vada per il meglio e le restrizioni finalmente vengano eliminate in ragione di un effettivo calo dei contagi.

_________________________________________

Photo by Jason Hogan on Unsplash

Statistiche d’uso del sito web: possibile acquisirle legalmente?

Il tema dei “cookie” (e altri identificatori online non meno problematici, come i pixel e i tags) è ormai alla ribalta della vita quotidiana di chiunque si occupi, anche saltuariamente, di data protection per conto di aziende “proprietarie” di siti web (i “titolari” del trattamento) o fornitori di servizi digital marketing (i “responsabili”).

Titolari e responsabili affrontano, giorno dopo giorno, sempre lo stesso dilemma: come acquisire informazioni valide, dirette e affidabili sull’utilizzo e le performance del sito web in conformità con la normativa privacy – ovvero, GDPR e Direttiva ePrivacy, in primo luogo?

Le sanzioni in materia sono già diverse, e tutte puntano contro il medesimo “colpevole”: Google Analytics (o anche “Universal Analytics”), come si è già avuto modo di approfondire in questo articolo di un paio di settimane fa.

Qui di seguito proviamo invece a guardare il tema dal punto di vista tecnico e operativo, cercando una soluzione – per quanto provvisoria – che salvi il salvabile. Il lettore perdonerà se alcuni temi giuridici non sono approfonditi o sono esposti in modo generale: la sintesi non è sempre amica della precisione, ma serve.

Dove sta il problema?

In un settore complesso come quello della data protection anche il nostro tema non poteva avere un problema unico: ne ha infatti due.

Un primo riguarda il “trasferimento internazionale” di dati personali: ogniqualvolta impiego un servizio offerto da un soggetto che direttamente o indirettamente ha sede legale o operativa in un territorio al di fuori dello Spazio Economico Europeo (quindi l’Unione Europea e gli stati di Norvegia, Lichtenstein e Islanda) sto tecnicamente “esportando” il dato e sarò sottoposto ai vincoli previsti dagli artt. 44 e seguenti GDPR (Capo V).

In particolare, sarò tenuto a rispettare dei vincoli per far sì che i dati, anche nel momento in cui si troveranno all’esterno del SEE, godano di un livello di tutela adeguato e conforme ai principi e dettami fissati dalla normativa europea. Senza entrare eccessivamente nel merito, questo concetto è andato in crisi grazie all’operato dell’austriaco Max Schrems (o a causa sua, secondo un altro punto di vista), avendo lui ingaggiato ormai molti anni or sono una battaglia contro Facebook, e avendola – a più riprese – vinta.

Il secondo problema riguarda la tracciabilità dell’utente dopo che sul suo device di navigazione sono stati installati i cookie rilasciati da Google Analytics.

Google dichiara che, troncando l’IP dell’utente (vedi tra poco per i dettagli) sia possibile rendere “anonimo” quel cookie-dato (non più personale quindi) e per questa ragione il cookie stesso sia installabile senza necessità di consenso. Tuttavia, e lo vedremo tra poco, non è così e il tema diviene quello del consenso.

Come se non bastasse, ciascun problema impatta sull’altro, e non è facile uscirne.

Perchè Google Analytics è un problema serio

Come abbiamo visto, per spostare oggi i dati all’estero è necessario svolgere un processo interno di valutazione e avere apposite salvaguardie, tra cui – non solo, ma anche – le Clausole Contrattuali Tipo pubblicate dalla Commissione UE.

Usando Google, in particolare, i dati sono salvati su uno qualunque dei server che il gigante di Mountain View ha nel mondo, tra cui quelli situati in U.S.A. e altri paesi “non adeguati”.

Di qui la prima complicazione, risolta (solo formalmente) da Google tramite stipula delle Clausole Contrattuali Tipo aggiornate: esse non sono però considerate ancora sufficienti da numerose Autorità garanti europee per salvaguardare l’utente dal monitoraggio di NSA e altre entità federali americane.

Fino a ieri, si sosteneva poi che il troncamento dell’IP del device dell’utente – funzionalità offerta da Google e attivabile da qualunque cliente – fosse sufficiente a rendere “anonimo” l’utente che naviga sul sito, e pertanto si potesse inserire il cookie “_ga” tra quelli “tecnici” con finalità statistiche.

Oggi non è più così: diverse analisi svolte sia da soggetti privati (NOYB in primis) che dalle Autorità garanti (in particolare, quelle belga e austriaca) hanno reso evidente come Google, anche a seguito del troncamento dell’IP utente, sia comunque in grado di effettuare una re-identificazione di chi sta navigando, attraverso altri dati e strumenti, così potendo poi riproporre advertising e altri meccanismi di marketing all’interno di altri siti o piattaforme.

Il dato (l’IP troncato), quindi, da anonimo diventa “pseudonimo” e per questo gli si applica, di nuovo, il GDPR: la conseguenza è che per qualunque sito web è necessario, se si impiega Google Analytics, richiedere il consenso libero, espresso e consapevole. In mancanza, il cookie non potrà essere installato e si perderà, così, tutto il flusso di dati statistici generati da quell’utente.

Riassumendo: Analytics manda dati in giro per il mondo – e soprattutto negli USA – e permette al suo fornitore (è gratis..) di reidentificare gli utenti e conoscerne gusti e abitudini di consumo, per targettizzare poi al meglio la pubblicità online.

Tutto questo ricade direttamente sull’utilizzatore dello strumento: il “titolare” del sito e del trattamento diviene, a questo punto, il soggetto esposto da una pratica svolta dal proprio fornitore diretto o indiretto – Google – che l’Autorità italiana, tra le altre, ha dichiarato più volte che non tollererà oltre (vedi Linee Guida in vigore dal 10 gennaio 2022).

E l’agenzia che per anni ha sviluppato Google Analytics e tutti i tool che ad esso si appoggiano potrebbe trovarsi da un lato come “fuori legge”, e dall’altro vedersi spegnere d’improvviso il flusso di dati, tutte le volte che l’utente clicca “Rifiuta tutti i cookie” nei banner aggiornati alle ultime linee guida.

Quindi se uso Google Analytics?

Se proprio non puoi fare a meno di Google Analytics (e vedremo tra poco che.. si può uscirne!) riguardo al tema del trasferimento di dati sarai costretto a fare (o far fare, al tuo cliente) un “TIA” ovvero Transfer Impact Assessment, in cui dare atto delle contromisure assunte per rendere meno semplice il tracciamento degli utenti quando i dati sono all’esterno del SEE.

Quanto invece al secondo aspetto, sarai forzato a mettere i tracciatori di Analytics nei cookie non tecnici, anche laddove tu proceda con l’IP troncato.

Questo causerà la necessità di acquisire il consenso dell’utente che accede al sito, nel rispetto delle linee guida – per l’Italia – fissate con il provvedimento di giugno 2021, valido ed applicabile dal 10 gennaio 2022. Quindi perderai tutti i dati di navigazione di chi clicca su “rifiuta tutti”, se hai ben configurato il banner.

Attenzione: i banner che provano a nascondere il “rifiuta tutti”, tramite dark patterns o semplicemente non esponendolo, non sono compliant alla normativa e passibili di sanzione anche più grave di quella di aver male classificato i cookie di analytics.

Allora, cosa faccio?

Semplice: usa un altro tool!

Nessuno ha prescritto di utilizzare Google Analytics, che è piattaforma certamente ben sviluppata e leader di mercato nell’ambito del digital advertising. Ma se non devi fare marketing con quei dati, rischi di perdere le statistiche del sito senza motivo, per la sola pigrizia di passare ad un altro tool.

Ce ne sono diversi, configurabili come “GDPR compliant“, tra cui:

  • Matomo (meglio se on premise, come suggerisce il garante francese CNIL);
  • Piwik PRO (già utilizzato da numerose grandi aziende);
  • Plausbile (progetto open source e giovane, ma molto interessante);

Sappi tra l’altro che potrai importare i dati storici di Google Analytics e continuare a fare statistica e orientare le tue scelte di marketing (o quelle del tuo cliente) adeguatamente e con attenzione, senza però violare frontalmente il GDPR.

Attenzione che questo, naturalmente, non basta: anche il cookie banner deve essere di qualità e ben impostato.

Senza citare l’ovvia necessità di compliance aziendale a monte (quindi, interna) che deve essere valida e concreta: registro dei trattamenti adeguato, nomine interne ed esterne ben costruite e complete, istruzioni agli operatori che trattano i dati, procedure in caso di richieste o data breach, ecc.

Ma dove finiremo? Un’idea la dà il nostro Alessandro, qui, parlando di FLoC ovvero del nuovo sistema ideato da Google, sostanzialmente già aggiornato e ripreso – dopo le compiute critiche di molti esperti del settore – con un nuovo nome: “Topics API“. Con questi, o con qualunque altro strumento dell’era post-cookie, speriamo che la situazione si chiarisce e renda a tutti – operatori del diritto e tecnici – la vita un po’ meno complicata.

____________________________________________

Photo by path digital on Unsplash