Articoli

Richiesta di accesso ai dati manifestamente infondata o eccessiva: quando il Titolare può dire “no”

“Da grandi poteri derivano grandi responsabilità”, usava dire lo zio Ben a Peter Parker / Spiderman.

Ed è evidente, se si tiene a mente tutto ciò, che un Titolare del trattamento è spesso chiamato a porsi, e poi attuare, una lunga lista di obblighi e responsabilità.

Tra di esse hanno una posizione di assoluto rilievo le misure necessarie a fornire all’interessato le informazioni relative ai trattamenti gestiti, prendersi carico dei diritti (accesso, rettifica, cancellazione e limitazione del trattamento) tra cui la portabilità dei dati e l’opposizione al trattamento.

In questo quadro, si rimane particolarmente colpiti quando ci si imbatte in uno di quei casi in cui il Titolare ha potuto legittimamente negare l’accesso ai dati di un interessato.

A fronte delle tutele previste per l’accesso ai dati personali dell’interessato, e in particolare, dagli artt. 15-22 GDPR, la Corte di Norimberga ha infatti ritenuto prevalente, ai sensi dell’art. 12(5) GDPR, il diritto del Titolare a non dare seguito a richieste manifestamente infondate o eccessive.

I fatti

Il Titolare del trattamento è una società di assicurazione privata, con cui l’interessato ha stipulato un contratto di copertura assicurativa.

Le parti hanno dato avvio a una controversia legata alla supposta invalidità – invocata dall’assicurato – di diversi aumenti del premio che si erano succeduti nel periodo di vigenza del contratto.

L’interessato ha così adito la Corte Regionale di Ansbach per il rimborso dei premi pagati in eccesso, e ha contestualmente inviato una richiesta di accesso ai dati personali al Titolare del trattamento, avente ad oggetto tutte le informazioni sugli aggiustamenti occorsi ai premi effettuati, con gli aggiornamenti alle polizze assicurative, i supplementi alle stesse e tutte le lettere di notifica inviate, nel tempo, al soggetto interessato.

Il Titolare, a tale richiesta, ha opposto il proprio diniego.

La decisione

La Corte Regionale di Norimberga ha considerato che lo scopo della richiesta dell’assicurato non fosse quella di verificare la legittimità del trattamento dei dati che lo riguardavano, ma piuttosto quella di controllare se gli aggiustamenti fatti ai premi assicurativi fossero adeguati alla legge tedesca.

Pertanto, la Corte ha ritenuto che l’istanza presentata fosse manifestamente eccessiva, e ha stabilito che un Titolare può legittimamente rifiutarsi di ottemperare a una tale richiesta di accesso ai dati, ai sensi dell’art. 12(5)(b) del GDPR.

La decisione può dare spunto per una riflessione su cosa costituisca una richiesta “manifestamente eccessiva” e, più in generale, un “abuso” del diritto di accesso ai dati personali.

Sul punto, la Corte ha fatto riferimento allo scopo dell’art. 15 GDPR, che va letto congiuntamente e in armonia con il Considerando 63.

Dalla lettura delle due disposizioni, infatti, si può constatare che l’accesso ai dati personali concesso all’interessato ha, in generale, come obiettivo quello di permettere che il soggetto sia consapevole del trattamento dei dati, e possa verificarne la legittimità – obiettivi, entrambi, non presenti nell’intenzione dell’interessato nel caso proposto.

_________________________________________

Immagine di Kyle Glenn on Unsplash

Dark Pattern: tutto quello che (non) vedi

Inutile negare che gran parte della nostra vita si svolge ormai su internet: lavoriamo e programmiamo le nostre vacanze, impariamo a cucinare e, addirittura, troviamo l’amore.

Tutto on line.

Il denominatore comune di tutte queste attività?  La comunicazione ad altri dei nostri dati personali, tema sensibilissimo e spesso ancora sottovalutato dai “non addetti ai lavori”: in molti casi ad essere importante – e particolarmente delicata – non è tanto la comunicazione in sé dei propri dati, quanto l’esigenza di assicurare che essa avvenga in maniera consapevole e responsabile.

La questione passa inevitabilmente anche attraverso l’interfaccia grafica che ogni sito web o piattaforma decide di offrire, in quanto strumento capace di indirizzare fortemente l’utente nella definizione delle proprie scelte – e, talvolta, nell’esecuzione di azioni inconsapevoli – in materia di dati personali.

L’attenzione è quindi rivolta ai dark pattern.

Definizione e compatibilità con il GDPR

Per dark pattern, letteralmente – e a buona ragione – “percorso oscuro”, si intendono tutte quelle interfacce grafiche implementate dai siti web allo scopo di spingere l’utente a compiere azioni non desiderate (e potenzialmente dannose), o a seguire delle procedure così complesse da scoraggiarlo a prestare la giusta attenzione al controllo e alla protezione effettiva dei suoi dati personali.

Una “x” poco visibile, un percorso informativo lungo e tortuoso, frasi fuorvianti: ecco che – 9 volte su 10 – finiamo per cliccare su “accetta tutto” pur di proseguire nella nostra navigazione, accedere alle informazioni che ci interessano o vedere lo status o le stories di un amico o una persona di interesse.

Il paradosso, fondato su bias cognitivi ben studiati, è che l’utente si sente perfettamente “padrone” delle proprie scelte, nonostante in realtà sia stato a tutti gli effetti vittima di una manipolazione volta a fargli prendere esattamente quella specifica, “autonoma” decisione.

Ma può essere questo un consenso validamente prestato?

La valutazione sulla compatibilità di tali pratiche col GDPR passa necessariamente attraverso un’attenta analisi dei principi dettati in materia dalla normativa.

L’art. 4, paragrafo 11 GDPR ci fornisce una definizione di consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Perché un consenso possa dirsi libero, specifico, informato e inequivocabile è chiaramente necessario che il titolare del trattamento si sia lasciato innanzitutto ispirare dai principi generali sanciti dall’art. 5 GDPR, primo fra tutti il principio di liceità, correttezza e trasparenza.

Solamente mediante una comunicazione chiara e trasparente, infatti, le informazioni relative al trattamento risulteranno accessibili e facilmente comprensibili per l’utente, così da consentirgli di prendere decisioni consapevoli in ordine alla protezione dei suoi dati personali.

Particolarmente rilevante è anche il concetto di privacy by design, consacrato nell’art. 25 GDPR, secondo il quale l’attenzione alla protezione dei dati da parte del Titolare del trattamento deve essere integrata in ogni fase del ciclo di vita della tecnologia, partendo già dalla fase di progettazione del prodotto attraverso la predisposizione di misure tecniche ed organizzative adeguate – quali ad esempio la minimizzazione dei dati – e l’integrazione nel trattamento di tutte le garanzie necessarie al fine di soddisfare i requisiti del GDPR.

Le Linee Guida EDPB

Le recenti Linee Guida emanate dallo European Data Protection Board (“EDPB”) – al momento solo in lingua inglese, e rese disponibili per consultazione pubblica sino al 2 maggio prossimo – ci forniscono una elencazione dettagliata di tutti i diversi tipi di dark pattern, raggruppati in sei macrocategorie:

  1. Overloading: gli utenti vengono sommersi da una grande quantità di informazioni, opzioni e richieste al fine di spingerli a fornire più dati personali di quelli effettivamente necessari;
  2. Skipping: l’interfaccia grafico del sito è strutturato in modo tale che l’utente non presti la giusta attenzione alla protezione dei propri dati personali;
  3. Stirring: viene fatta leva sull’emotività dell’utente per condizionarne le scelte, oppure si ricorre ai cd. visual nudges, strumenti cioè in grado di alterare i comportamenti delle persone senza proibire però la loro scelta di altre opzioni (è questo il caso della “x”: c’è, ma è difficilissima da trovare);
  4. Hindering: viene posto un ostacolo nel processo di informazione o gestione dei dati personali, attraverso azioni e procedure complicate o impossibili da portare a termine;
  5. Fickle: il design dell’interfaccia risulta poco chiaro, diventando così arduo per l’utente navigare tra i differenti strumenti di controllo dei dati;
  6. Left in the dark: l’interfaccia è strutturato in modo tale da nascondere le informazioni utili e gli strumenti di controllo o da lasciare l’utente incerto sulle concrete modalità di esercizio dei propri diritti.

Il caso Google

È proprio degli ultimi giorni la notizia per cui l’Associazione per la protezione dei consumatori (Consumer Advice Center) della Renania Settentrionale-Vestfalia ha annunciato di aver avviato una causa contro Google.

Le motivazioni riguardano l’uso da parte del colosso informatico di cookie banner strutturati in maniera tale da rendere oltremodo gravoso il rifiuto dei cookies da parte degli utenti nel corso della loro navigazione, in aperto contrasto dunque tanto con la normativa tedesca quanto con quella europea, non solo relativa al GDPR ma anche alla c.d. Direttiva ePrivacy di cui è in discussione, allo stato, un aggiornamento tramite lo strumento (come per il GDPR) del “Regolamento”.

Mentre per l’accettazione dei cookies basta un semplice click, insomma, per il rifiuto l’utente si trova costretto a dover deselezionare manualmente tre categorie di cookies, prima che Google gli consenta di procedere alle sue ricerche.

In proposito, anche l’Autorità Garante di Amburgo (Germania) ha recentemente assunto la medesima posizione, sia in riferimento al banner del motore di ricerca che a quello della piattaforma di video streaming YouTube, ponendosi nel solco di altre precedenti decisioni – e sanzioni salatissime – in materia, tra cui vanno ricordate soprattutto quelle erogate dal CNIL (Autorità francese) a inizio anno proprio contro Google oltre che verso Facebook.

Best practices: come disegnare un’interfaccia utente rispettosa della normativa

Di seguito riportiamo alcune delle raccomandazioni contenute nelle Linee Guida EDPB 3/2022 per strutturare le interfacce web (di siti e piattaforme) in maniera conforme a quanto previsto dalla normativa europea.

Per quanto riguarda la privacy policy:

  • aggiungere link ipertestuali diretti che reindirizzino gli utenti alle parti più importanti della privacy policy (la quale dovrebbe essere il più possibile chiara e sintetica);
  • consentire ad esempio mediante menù a tendina una overview della policy, in modo che gli utenti siano in grado di trovare facilmente la sezione di loro interesse;
  • fornire sempre, in caso di uso di termini tecnici o di linguaggio non comune, definizioni comprensibili;
  • in aggiunta alle informazioni obbligatorie, fare degli esempi per rendere i concetti più “tangibili” per gli utenti;
  • indicare espressamente e chiaramente l’Autorità Garante competente, aggiungendo al sito un link alla pagina ufficiale per eventuali lamentele;
  • se la privacy policy viene modificata, rendere accessibile di volta in volta la/le precedente/i versione/i.

Con riferimento invece alle meccaniche di relazione con gli utenti:

  • prevedere un sistema di iscrizione chiaro e semplice;
  • fornire un pannello utente che permetta una selezione immediata delle preferenze in materia privacy;
  • prevedere meccanismi di cancellazione dell’utente diretti e immediati, che comunichino le opzioni disponibili (sospensione, cancellazione, ecc.) e spieghino cosa avverrà dei dati in seguito.

In ultimo, come già anticipato, la parte finale delle Linee Guida EDPB (sez. IV) scende nei dettagli delle pratiche da non seguire, a pena di violare i principi di accountability, trasparenza e data protection by design che possono poi comportare, a carico del Titolare del trattamento (quindi del sito web o della piattaforma) sanzioni economiche (anche pesanti) e il blocco dei dati ottenuti in violazione della normativa applicabile.

____________________________________________________

Photo by Dan Asaki on Unsplash

Comunicazioni commerciali: la “spazzatura” che incombe sugli utenti

Nel migliore dei casi, ciascuno di noi perde quotidianamente un po’ di tempo a eliminare le e-mail di troppo, mentre la casella si appesantisce di qualche Megabyte in più. Più spesso, si rischia addirittura di perdere messaggi importanti in mezzo a centinaia di comunicazioni commerciali, o – nei casi peggiori – si ricevono malware o messaggi dannosi, che possono provocare seri danni.

Come difendersi da queste situazioni? Come riconoscerle? Cosa fare? Di seguito trovate alcune domande “classiche” sul tema dello spam, corredate da brevi risposte operative pensate per agevolare la propria tutela e – se siete un’azienda – evitare di incorrere in spinose questioni privacy.

Da dove viene la parola “spam”?

La parola “Spam” nasce come l’abbreviazione di “Spiced ham” e proviene da un marchio di carne in scatola che veniva prodotto dall’azienda americana Hormel Foods Corp nella prima metà del Novecento. Quella carne costituì una delle uniche fonti di cibo nutriente in Inghilterra durante la Seconda guerra mondiale; così, facendo leva sulla diffusione enorme del prodotto, nel dicembre del 1970, la BBC trasmise un episodio di una nota serie televisiva ambientato in un ristorante in cui il menù si componeva interamente di pietanze a base di “spam”, la famosa carne in scatola.

Cos’è lo spam oggi?

L’invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari è usualmente definito “Spam”, ed avviene tramite l’invio di materiale pubblicitario o di vendita diretta o il compimento di ricerche di mercato o, ancora, tramite attività di generica comunicazione commerciale. Non è necessario, solitamente, un invio massiccio né simultaneo di comunicazioni a una pluralità di indirizzi o numeri di telefono per configurare un caso di “Spam”: queste modalità rilevano, eventualmente, per qualificare la condotta come sistematica e determinare di conseguenza le eventuali sanzioni nel caso in cui le norme di legge non siano rispettate.

Con che mezzi possono essere raggiunti gli utenti?

Le modalità più frequenti di Spam sono l’invio di fax, sms, e-mail e telefonate. È possibile che i dati personali siano tratti da registri pubblici, elenchi, siti web, per cui si configura un comportamento tendenzialmente illecito come ha più volte ribadito il Garante italiano, ad esempio con questo provvedimento). Non è lecito nemmeno utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale istituito per favore la presentazione di istanze e lo scambio di informazioni con la Pubblica Amministrazione, perché tutti questi trattamenti avvengono senza il consenso degli interessati, come chiarito espressamente dalle Linee Guida (ormai risalenti) del 2013.

È stato di recente ribadito che non è neppure possibile contattare l’utente telefonicamente, chiedendo subito il consenso a ricevere comunicazioni promozionali: le modalità di cui all’art. 130 commi 1 e 2 del Codice Privacy, richiedono infatti il consenso anche per i numeri presenti in elenchi telefonici, sempre a condizione che ciò avvenga nel rispetto dei limiti e con le modalità che le leggi, i regolamenti o la normativa europea stabiliscono per la conoscibilità e pubblicità dei dati, ed in particolare secondo i requisiti fissati dalle disposizioni del Registro delle Opposizioni, di recente aggiornate e che diverranno operative a breve.

Quanto Spam possono ricevere gli utenti?

Fino a qualche tempo fa, l’invio massiccio di comunicazioni pubblicitarie veniva in buona parte bloccato dai software presenti nelle caselle di posta; progressivamente i livelli di spam hanno assunto proporzioni impressionanti e, ad oggi, si rileva che vengano distribuite decine di miliardi di e-mail indesiderate, corrispondenti a una percentuale fra il 60% e il 90% del volume complessivo delle e-mail totali scambiate. Questo ha comportato anche una significativa evoluzione nei software e nelle tecniche impiegate per diffondere le comunicazioni massive e, di conseguenza, anche le attività di Spam, a tutto danno dei poveri utenti del web.

Qual è la normativa applicabile in tema di Spam?

In generale, con l’entrata in vigore del Regolamento UE n. 2016/679 (“GDPR”), inviare messaggi promozionali senza il consenso dell’interessato costituisce un trattamento privo di una base giuridica valida e dunque illecito: in proposito, è stata nel tempo ridotta la portata “programmatica” del Considerando n. 47 al GDPR, che stabilisce “può essere considerato legittimo interesse trattare dati personali per finalità di marketing”, anche se l’idea in principio resta, pur nel bilanciamento di interessi precisato più volte dal Garante (ad esempio, nel provvedimento 2020 contro TIM). Se poi nella condotta dovessero ricorrere gli elementi costitutivi richiesti dall’art. 167 del Codice Privacy, e cioè l’acquisizione con mezzi fraudolenti di un archivio automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, il trattamento illecito di dati personali effettuato mediante Spam potrebbe essere altresì qualificabile come illecito penale.

Lo spam può essere legittimo?

La pratica definita “Soft Spam” è considerata ammessa, seppure con precisi limiti, e consiste nell’invio di comunicazioni commerciali, in cui il mittente dei messaggi (“Titolare del trattamento”) può disporre di un proprio legittimo interesse: esso sussiste, ad esempio, quando i messaggi commerciali vengono inviati ad interessati già clienti del titolare perché hanno acquistato prodotti analoghi a quelli oggetto della promozione o che, in qualche modo, hanno manifestato interesse alla sua azienda. In tal caso, il mittente è (almeno inizialmente) esonerato dall’obbligo di richiedere il consenso espresso dell’interessato, ma dovrà in ogni caso informarlo espressamente del fatto che potrà ricevere messaggi di natura commerciale, concedergli la possibilità, in modo semplice, di negare il proprio consenso ad un successivo uso del suo indirizzo e-mail o del suo numero di cellulare, e dimostrare che con il trattamento dei dati, diritti e libertà dell’interessato non verranno lesi, confrontando gli stessi con il proprio legittimo interesse, secondo una procedura di autovalutazione da compiersi prima dell’inizio del trattamento.

Come possono tutelarsi gli utenti?

Si segnalano in primo luogo alcune tutele preventive, che sono state diffuse anche dal Garante Privacy come buone pratiche, tra cui ad esempio:

  • non diffondere, specialmente on-line, il proprio indirizzo e-mail o il numero di telefono;
  • leggere con attenzione le informazioni sull’impiego ed eventuale diffusione dei propri dati personali qualora sia necessario iscriversi a un sito web;
  • dedicare un apposito indirizzo e-mail per fare acquisti online o iscriversi a newsletter.

In ciascuna e-mail commerciale, per buona prassi più volte ribadita dall’Autorità italiana e dal EDPB a livello europeo, dovrà poi esserci un tool automatizzato di “cancellazione”, che è sempre possibile cliccare per rimuoversi da successivi invii, e – almeno in teoria – dovrebbe essere tanto semplice quanto lo è stata l’iscrizione alla newsletter stessa.

Una terza via è quella di esercitare i propri diritti fissati dagli artt. 15-22 del GDPR scrivendo al mittente delle comunicazioni di Spam, tramite indirizzi come “privacy@nomeazienda” o anche al Data Protection Officer che – ove nominato – deve essere indicato insieme ai suoi contatti in ciascuna informativa privacy: una semplice e-mail del tipo “Voglio essere rimosso da questa lista, con la mail da cui scrivo” potrà ben essere sufficiente, senza ulteriori formalismi.

C’è infine sempre la possibilità di inviare segnalazioni all’Autorità Garante, ove non si riceva riscontro nei tempi di legge (30 giorni dall’invio della richiesta), ricordando in particolare la possibilità di revocare in qualsiasi momento il consenso al trattamento dei propri dati e di conseguenza di pretendere la cancellazione definitiva di essi.

Quale extrema ratio, è sempre possibile agire in sede civilistica con un’azione per il risarcimento dei danni, ove patiti (con lo scoglio, tuttavia, di doverne dimostrare la consistenza).

E se sono un’azienda, cosa faccio?

Prima di tutto, le indicazioni fornite in questo articolo sono valide anche per impostare una corretta strategia di marketing tramite newsletter.

Per tutto quanto riguarda il “direct marketing” visto dietro le quinte del team aziendale vi rimandiamo, invece, ad un prossimo articolo.

___________________________________________

Photo by Amy Shamblen on Unsplash

Regolamento operativo per i dipendenti: una buona pratica aziendale

La gran parte degli standard di compliance – e, in particolare, le ISO – prevedono tra i propri requisiti quello di una regolamentazione – scritta e formale – dei processi che ciascun operatore aziendale è tenuto a seguire e rispettare. Anche in assenza di conformità ISO, tuttavia, è buona norma – ed anzi, come vedremo, assolutamente necessario – prevedere un regolamento operativo interno per tutti coloro che accedono ai servizi e strumenti aziendali.

L’uso (e abuso) di tali strumenti, infatti, può comportare importanti conseguenze per il patrimonio aziendale, la stessa immagine e il “brand” del’impresa, per non tralasciare la (in)utilizzabilità di elementi di prova a propria tutela in sede giudiziale.

Una recente decisione dell’Autorità Garante italiana ci offre allora lo spunto per approfondire il contenuto e l’utilità di questo documento operativo, che deve essere necessariamente pratico, efficace e ben scritto, oltre che rispettoso della normativa vigente in ambito lavoristico e privacy.

La vicenda

Con un provvedimento datato 10 febbraio 2022 il Garante si è pronunciato in merito al reclamo proposto da un ex dipendente di una società (di cui era Amministratore Delegato, e da cui è stato licenziato), per violazione della disciplina privacy posta in essere dal datore di lavoro dopo la cessazione del loro rapporto.

Il tema, particolarmente delicato, è quello dei limiti entro i quali una società può lecitamente trattare i dati dei suoi dipendenti, in questo caso ex-dipendenti, senza ledere la loro legittima aspettativa alla riservatezza.

Oggetto di contestazione, tra gli altri, è stata la mancata cancellazione da parte del datore di lavoro dell’account di posta elettronica aziendale in uso (e intestato) al dipendente, e ciò senza che alcuna comunicazione informativa sia stata fornita dalla società in merito alla possibilità che la stessa potesse, in determinati casi e a certe condizioni, accedere all’account di posta elettronica aziendale del lavoratore, anche dopo l’interruzione del rapporto.

Va ricordato in proposito che, per costante giurisprudenza sia del Garante che di Cassazione, la casella di posta elettronica assegnata da una azienda ad un proprio dipendente è, a tutti gli effetti, uno strumento di lavoro ed in quanto tale è astrattamente accessibile da parte del datore di lavoro, a condizione però che il dipendente sia debitamente e preventivamente informato in maniera espressa di tale possibilità mediante l’adozione di un adeguato regolamento aziendale, oltre che di idonea informativa ai sensi del GDPR.

Il Jobs Act, attraverso la riscrittura dell’art. 4, L. n. 300/1970 – cd. Statuto dei lavoratori– prevede tale possibilità, quella cioè di operare controlli su tutti quegli strumenti di lavoro utilizzati dal dipendente per rendere la propria prestazione lavorativa anche senza previo accordo con le rappresentanze sindacali, anche laddove essi siano tecnicamente suscettibili di configurare un “controllo a distanza” (come nel caso di posta elettronica, appunto). Resta tuttavia fermo l’obbligo per il datore di lavoro di fornire adeguata informazione circa le modalità e l’uso degli strumenti di controllo, nonché l’obbligo di rispettare la normativa privacy.

Proprio entro gli stretti confini del meccanismo “informativa-controllo” anche la Suprema Corte di Cassazione e la Corte Europea dei Diritti dell’Uomo, di recente rispettivamente con le pronunce n. 26682/2017 e n. 61496/2018, ammettono che il datore di lavoro possa legittimamente controllare la posta elettronica del dipendente e, se del caso, dell’ex lavoratore.

L’obiettivo è quello di provare a contemperare due diverse ma importantissime esigenze, quella del datore di lavoro di accedere ad informazioni necessarie per la gestione della propria attività e di effettuare controlli (cd. difensivi), e quella del lavoratore a veder tutelata la riservatezza della propria corrispondenza.

La decisione del Garante

Nel caso esaminato dal Garante non è stato tuttavia riscontrato un equilibrio nel binomio “informativa-controllo”: addirittura, dagli atti emerge come non fosse disponibile a livello aziendale alcun documento definitivo da poter sottoporre ai dipendenti in termini di informativa, ma solo una bozza (probabilmente dimenticata in qualche cassetto o cartella del server aziendale).

A nulla in proposito sono allora valsi i chiarimenti della società secondo i quali spettava proprio all’ex dipendente – in qualità di amministratore – l’adozione del regolamento aziendale, concernente, tra l’altro, anche la regolamentazione dell’uso dell’account di posta elettronica e la nomina di un amministratore di sistema competente a visionare i messaggi in entrata negli account aziendali per conto della società.

E’ solo quest’ultima, in qualità di Titolare del trattamento, che aveva l’onere di procedere conformemente alla normativa, non potendo addossare alcunchè alla persona fisica ricoprente il ruolo di AD: ferma restando infatti una eventuale responsabilità civile del dipendente nei confronti dell’azienda, il Garante chiarisce che la responsabilità derivante dall’inadempimento dell’obbligo di informativa ex artt. 5, par.1 lett a) 12 e 13 GDPR – ricade pur sempre sulla società.

Pertanto, acclarata e dichiarata l’illiceità del trattamento, alla luce dei poteri di controllo previsti dall’art. 58, par.2 GDPR, il Garante ha disposto nei confronti della società una sanzione amministrativa pecuniaria di ben 10.000 euro.

Come costruire un regolamento operativo valido ed efficace?

È in casi come quello evidenziato dal provvedimento del Garante che risulta evidente l’importanza, in ambito aziendale, di dotarsi di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici, di una policy interna i cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati.

Come farlo, in pratica? Sicuramente tramite una revisione degli strumenti utilizzati in concreto, e non in astratto, seguita dalla costruzione di un testo semplice, chiaro e possibilmente “a schede” o comunque organizzato per tematiche omogenee.

I fiumi di testo, come più volte hanno precisato sia il Garante italiano che gli altri omologhi europei e l’EDPB, a poco servono e poco trasmettono ai dipendenti, quanto a precetti semplici e chiari da porre in pratica nel comportamento tenuto ogni giorno al lavoro.

Non va dimenticato che questo “regolamento” si deve coordinare con altri testi aziendali, quali il Codice etico, il Codice disciplinare, le procedure interne predisposte a vario titolo (es. D. Lgs. 231/2001) e, non ultimo, l’eventuale “Regolamento Smart Working“.

Una breve e certamente incompleta “checklist” di contenuti del Regolamento interno potrebbe essere allora la seguente:

  • una sintetica descrizione della struttura aziendale (referenti diretti, funzioni rilevanti)
  • una scheda relativa alle definizioni utilizzate (es. “Titolare del trattamento” è l’azienda stessa)
  • chiarimento sui livelli di riservatezza delle informazioni aziendali
  • uso delle credenziali di accesso ai servizi (riservatezza e non diffusione)
  • come utilizzare i dispositivi aziendali in generale, tra cui computer, smartphone, chiavette usb ed altro
  • uso lecito della rete internet
  • focus particolare sulla casella e-mail (sia personale che, eventualmente, di gruppo)
  • una “social media policy” che contemperi la libertà di espressione del singolo con la tutela dell’immagine aziendale
  • una “clean desk policy” riguardo all’uso di supporti materiali e cartacei
  • istruzioni specifiche sulla gestione delle informazioni presenti su stampe e fotocopie

Non va poi dimenticato che, accanto alle istruzioni “positive” nei confronti dei dipendenti e collaboratori dell’impresa, è opportuno anche chiarire con precisione il quadro dei sistemi di controllo – ove presenti – e delle sanzioni disciplinari conseguenti alla violazione delle indicazioni fornite.

In ultimo, ma non meno importante – come ha evidenziato lo stesso provvedimento del Garante – tale regolamento va efficacemente portato all’attenzione di tutti, sia inviandolo a mezzo e-mail e/o rendendolo disponibile mediante affissione, che attraverso incontri di formazione e spiegazione dei suoi contenuti.

_________________________________________________

Photo by Nick Loggie on Unsplash

Novità in materia di Green Pass e gestione dell’emergenza Covid-19

Con la pubblicazione del Decreto Legge 24 marzo 2022, n. 24 il Governo italiano ha nuovamente modificato – questa volta in senso permissivo – la regolamentazione dell’uso e controllo del c.d. “Green Pass”, ossia la certificazione verde Covid-19 di cui abbiamo già riportato nei nostri precedenti articoli, all’introduzione qui ed in seguito qui.

Cosa cambia

Anche se la curva dei contagi non accenna a scendere, è stata decretata la fine dello “Stato di Emergenza” deliberato nel 2020 all’inizio della epidemia pandemica.

Con questa impostazione, vanno necessariamente a decadere una serie di restrizioni alla libertà di circolazione, interazione e comportamento poste a carico della collettività, tra cui appunto l’impiego del Green Pass in ambito – per quel che qui conta – lavorativo e aziendale.

Il Decreto fissa una sorta di percorso di “normalizzazione”, tant’è che i titoli degli artt. 6 e 7 sull’utilizzo del Green Pass base e rafforzato recano appunto la dicitura “Graduale eliminazione (…)”.

Un primo tema, riguardo l’accesso ai luoghi di lavoro, è regolato proprio dai menzionati articoli, laddove – pur estendendo di fatto lo Stato di Emergenza al 30 aprile, anche se non espressamente – si passerà dal 1 aprile all’utilizzo della versione base, per poi dal 1 maggio eliminare completamente la necessità di controllo ed esibizione della certificazione verde.

In proposito, resta comunque l’obbligo vaccinale per gli over 50, anche se non sarà più un pre-requisito per l’accesso in azienda, rimanendo unicamente sanzionabile in caso di controllo delle forze dell’ordine.

Un altro punto focale è l’uso delle mascherine sul luogo di lavoro, che parrebbe – a quanto si legge dal dettato normativo – prolungato solo sino al 30 aprile 2022.

E dopo? Molti si interrogano già da tempo sul bilanciamento tra garanzia di sicurezza e salute del personale in azienda, tra i compiti posti a carico del Datore di Lavoro ai sensi del D. Lgs. 81/2008, e libertà personale.

Una risposta certa, ad oggi – ma lo abbiamo ormai imparato – non c’è, e pare non arriverà prima degli ultimi giorni del mese di aprile, quando dobbiamo aspettarci una circolare o altro testo integrativo della situazione attualmente disegnata da questo Decreto Legge.

Tuttavia, una nota di Confindustria recentemente circolata propende, come diverse voci autorevoli nel settore, per una certa prudenza nell’abbandono delle mascherine in ambito lavorativo, anche alla luce dei contagi che non accennano a calare.

Piccola nota conclusiva in materia di trattamento di dati personali, con l’art. 13 che prevede il prolungamento dell’uso delle informazioni raccolte durante il periodo pandemico da parte del Ministero della salute di concerto con l’Istituto Superiore di Sanità, ai fini di monitoraggio della situazione, fissando altresì per legge l’esatta base giuridica da applicarsi (art. 9(2) lett. i) e j) del GDPR) e le modalità di condivisione dei dati con soggetti terzi per fini di elaborazione, ai sensi dell’art. 28 GDPR (nomina a responsabile).

Cosa fare in azienda

Di fondamentale importanza è passare, dal 1 aprile, alla verifica “base” del Green Pass per tutti.

In tal senso, ci si augura che sia l’app VerificaC19 che il portale INPS GreenPass50+ vengano prontamente aggiornati, eliminando rispettivamente la modalità di verifica chiamata “LAVORO” e le specifiche relative agli over-50 ove non vaccinati o guariti.

In ogni caso, sia le app locali che gli eventuali totem o verificatori all’accesso dovranno essere aggiornati e impostati correttamente: permane ancora la necessità di esporre e tenere a disposizione di tutti le informative privacy predisposte, nonché l’ulteriore documentazione – tra cui il protocollo di sicurezza – al fine di mantenere ancora ben ordinate le verifiche, almeno sino a tutto il 30 aprile 2022.

In seguito, si vedrà, come siamo ormai ben abituati a fare. Speriamo, solo, che tutto vada per il meglio e le restrizioni finalmente vengano eliminate in ragione di un effettivo calo dei contagi.

_________________________________________

Photo by Jason Hogan on Unsplash

Statistiche d’uso del sito web: possibile acquisirle legalmente?

Il tema dei “cookie” (e altri identificatori online non meno problematici, come i pixel e i tags) è ormai alla ribalta della vita quotidiana di chiunque si occupi, anche saltuariamente, di data protection per conto di aziende “proprietarie” di siti web (i “titolari” del trattamento) o fornitori di servizi digital marketing (i “responsabili”).

Titolari e responsabili affrontano, giorno dopo giorno, sempre lo stesso dilemma: come acquisire informazioni valide, dirette e affidabili sull’utilizzo e le performance del sito web in conformità con la normativa privacy – ovvero, GDPR e Direttiva ePrivacy, in primo luogo?

Le sanzioni in materia sono già diverse, e tutte puntano contro il medesimo “colpevole”: Google Analytics (o anche “Universal Analytics”), come si è già avuto modo di approfondire in questo articolo di un paio di settimane fa.

Qui di seguito proviamo invece a guardare il tema dal punto di vista tecnico e operativo, cercando una soluzione – per quanto provvisoria – che salvi il salvabile. Il lettore perdonerà se alcuni temi giuridici non sono approfonditi o sono esposti in modo generale: la sintesi non è sempre amica della precisione, ma serve.

Dove sta il problema?

In un settore complesso come quello della data protection anche il nostro tema non poteva avere un problema unico: ne ha infatti due.

Un primo riguarda il “trasferimento internazionale” di dati personali: ogniqualvolta impiego un servizio offerto da un soggetto che direttamente o indirettamente ha sede legale o operativa in un territorio al di fuori dello Spazio Economico Europeo (quindi l’Unione Europea e gli stati di Norvegia, Lichtenstein e Islanda) sto tecnicamente “esportando” il dato e sarò sottoposto ai vincoli previsti dagli artt. 44 e seguenti GDPR (Capo V).

In particolare, sarò tenuto a rispettare dei vincoli per far sì che i dati, anche nel momento in cui si troveranno all’esterno del SEE, godano di un livello di tutela adeguato e conforme ai principi e dettami fissati dalla normativa europea. Senza entrare eccessivamente nel merito, questo concetto è andato in crisi grazie all’operato dell’austriaco Max Schrems (o a causa sua, secondo un altro punto di vista), avendo lui ingaggiato ormai molti anni or sono una battaglia contro Facebook, e avendola – a più riprese – vinta.

Il secondo problema riguarda la tracciabilità dell’utente dopo che sul suo device di navigazione sono stati installati i cookie rilasciati da Google Analytics.

Google dichiara che, troncando l’IP dell’utente (vedi tra poco per i dettagli) sia possibile rendere “anonimo” quel cookie-dato (non più personale quindi) e per questa ragione il cookie stesso sia installabile senza necessità di consenso. Tuttavia, e lo vedremo tra poco, non è così e il tema diviene quello del consenso.

Come se non bastasse, ciascun problema impatta sull’altro, e non è facile uscirne.

Perchè Google Analytics è un problema serio

Come abbiamo visto, per spostare oggi i dati all’estero è necessario svolgere un processo interno di valutazione e avere apposite salvaguardie, tra cui – non solo, ma anche – le Clausole Contrattuali Tipo pubblicate dalla Commissione UE.

Usando Google, in particolare, i dati sono salvati su uno qualunque dei server che il gigante di Mountain View ha nel mondo, tra cui quelli situati in U.S.A. e altri paesi “non adeguati”.

Di qui la prima complicazione, risolta (solo formalmente) da Google tramite stipula delle Clausole Contrattuali Tipo aggiornate: esse non sono però considerate ancora sufficienti da numerose Autorità garanti europee per salvaguardare l’utente dal monitoraggio di NSA e altre entità federali americane.

Fino a ieri, si sosteneva poi che il troncamento dell’IP del device dell’utente – funzionalità offerta da Google e attivabile da qualunque cliente – fosse sufficiente a rendere “anonimo” l’utente che naviga sul sito, e pertanto si potesse inserire il cookie “_ga” tra quelli “tecnici” con finalità statistiche.

Oggi non è più così: diverse analisi svolte sia da soggetti privati (NOYB in primis) che dalle Autorità garanti (in particolare, quelle belga e austriaca) hanno reso evidente come Google, anche a seguito del troncamento dell’IP utente, sia comunque in grado di effettuare una re-identificazione di chi sta navigando, attraverso altri dati e strumenti, così potendo poi riproporre advertising e altri meccanismi di marketing all’interno di altri siti o piattaforme.

Il dato (l’IP troncato), quindi, da anonimo diventa “pseudonimo” e per questo gli si applica, di nuovo, il GDPR: la conseguenza è che per qualunque sito web è necessario, se si impiega Google Analytics, richiedere il consenso libero, espresso e consapevole. In mancanza, il cookie non potrà essere installato e si perderà, così, tutto il flusso di dati statistici generati da quell’utente.

Riassumendo: Analytics manda dati in giro per il mondo – e soprattutto negli USA – e permette al suo fornitore (è gratis..) di reidentificare gli utenti e conoscerne gusti e abitudini di consumo, per targettizzare poi al meglio la pubblicità online.

Tutto questo ricade direttamente sull’utilizzatore dello strumento: il “titolare” del sito e del trattamento diviene, a questo punto, il soggetto esposto da una pratica svolta dal proprio fornitore diretto o indiretto – Google – che l’Autorità italiana, tra le altre, ha dichiarato più volte che non tollererà oltre (vedi Linee Guida in vigore dal 10 gennaio 2022).

E l’agenzia che per anni ha sviluppato Google Analytics e tutti i tool che ad esso si appoggiano potrebbe trovarsi da un lato come “fuori legge”, e dall’altro vedersi spegnere d’improvviso il flusso di dati, tutte le volte che l’utente clicca “Rifiuta tutti i cookie” nei banner aggiornati alle ultime linee guida.

Quindi se uso Google Analytics?

Se proprio non puoi fare a meno di Google Analytics (e vedremo tra poco che.. si può uscirne!) riguardo al tema del trasferimento di dati sarai costretto a fare (o far fare, al tuo cliente) un “TIA” ovvero Transfer Impact Assessment, in cui dare atto delle contromisure assunte per rendere meno semplice il tracciamento degli utenti quando i dati sono all’esterno del SEE.

Quanto invece al secondo aspetto, sarai forzato a mettere i tracciatori di Analytics nei cookie non tecnici, anche laddove tu proceda con l’IP troncato.

Questo causerà la necessità di acquisire il consenso dell’utente che accede al sito, nel rispetto delle linee guida – per l’Italia – fissate con il provvedimento di giugno 2021, valido ed applicabile dal 10 gennaio 2022. Quindi perderai tutti i dati di navigazione di chi clicca su “rifiuta tutti”, se hai ben configurato il banner.

Attenzione: i banner che provano a nascondere il “rifiuta tutti”, tramite dark patterns o semplicemente non esponendolo, non sono compliant alla normativa e passibili di sanzione anche più grave di quella di aver male classificato i cookie di analytics.

Allora, cosa faccio?

Semplice: usa un altro tool!

Nessuno ha prescritto di utilizzare Google Analytics, che è piattaforma certamente ben sviluppata e leader di mercato nell’ambito del digital advertising. Ma se non devi fare marketing con quei dati, rischi di perdere le statistiche del sito senza motivo, per la sola pigrizia di passare ad un altro tool.

Ce ne sono diversi, configurabili come “GDPR compliant“, tra cui:

  • Matomo (meglio se on premise, come suggerisce il garante francese CNIL);
  • Piwik PRO (già utilizzato da numerose grandi aziende);
  • Plausbile (progetto open source e giovane, ma molto interessante);

Sappi tra l’altro che potrai importare i dati storici di Google Analytics e continuare a fare statistica e orientare le tue scelte di marketing (o quelle del tuo cliente) adeguatamente e con attenzione, senza però violare frontalmente il GDPR.

Attenzione che questo, naturalmente, non basta: anche il cookie banner deve essere di qualità e ben impostato.

Senza citare l’ovvia necessità di compliance aziendale a monte (quindi, interna) che deve essere valida e concreta: registro dei trattamenti adeguato, nomine interne ed esterne ben costruite e complete, istruzioni agli operatori che trattano i dati, procedure in caso di richieste o data breach, ecc.

Ma dove finiremo? Un’idea la dà il nostro Alessandro, qui, parlando di FLoC ovvero del nuovo sistema ideato da Google, sostanzialmente già aggiornato e ripreso – dopo le compiute critiche di molti esperti del settore – con un nuovo nome: “Topics API“. Con questi, o con qualunque altro strumento dell’era post-cookie, speriamo che la situazione si chiarisce e renda a tutti – operatori del diritto e tecnici – la vita un po’ meno complicata.

____________________________________________

Photo by path digital on Unsplash

La profilazione (parte 1)

Vediamo cos’è, come (e se) è legale, l’attività meglio nota come “profilazione”.

In questo articolo e nei successivi proveremo ad addentrarci nella definizione che il GDPR dà del tema, confrontandola poi con l’attività pratica e reale, soprattutto online.

Il contesto

Ne abbiamo tutti sentito parlare: molto spesso, in senso negativo e generale, come un’attività equiparabile alla “sorveglianza di massa” emersa dal caso Snowden.

Il termine usato (profiling nella versione inglese del GDPR) richiama alla mente, immediatamente, l’idea di un “dossieraggio” svolto da oscure organizzazioni che sfuggono al controllo della forza pubblica e, naturalmente, alle leggi vigenti in ambito privacy.

In realtà, la profilazione ha diversi risvolti positivi, se attuata correttamente: basti pensare all’enorme mole di comunicazioni marketing che riceviamo, ogni giorno e/o in ogni sito web che visitiamo, e che non hanno nessun tipo di rilevanza per i nostri gusti e abitudini di consumo. Quelle comunicazioni sono un “disturbo”, sono a tutti gli effetti “spam” per noi, poichè anche solo il tempo speso – perso! – a cancellare la e-mail dalla posta in arrivo, o a togliere il consenso all’invio di newsletter periodiche, costituisce comunque un momento e un’attività evitabile.

Evitabile, se solo chi ci ha inviato il messaggio si fosse domandato (e avesse capito) cosa ci interessa e cosa no, in base a chi siamo, dove siamo, cosa facciamo, eccetera.

La definizione

Per comprendere il concetto di “profilazione” in senso tecnico-normativo, allora, dobbiamo muoverci:

  • da un lato, rimuovendo l’accezione necessariamente negativa, e
  • dall’altro, tenendo ben presente i rischi che un “profiling” spinto della nostra persona e delle nostre abitudini comporta (qualcuno ha detto Cambridge Analytica?).

Soprattutto, per evitare di fare confusione, è assolutamente necessario tenere ben distinti due concetti sicuramente collegati, ma diversi:

  • una cosa è la “profilazione”
  • un’altra è la “decisione automatizzata”, nel senso tecnico previsto dal GDPR.

Partiamo allora dalla definizione di “profilazione” fornita dall’art. 4 GDPR:

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Proprio in riferimento alla c.d. “decisione automatizzata”, giova riportare qui una chiara indicazione fornita dal GDPR:

L’interessato (quindi, qualunque persona fisica) ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“.

Tutto ciò, salvo alcuni casi specifici, fissati nel prosieguo del GDPR (azione necessaria per la conclusione di un contratto, autorizzazione di legge, consenso).

Un primo punto fermo: i diritti della persona

Dalla combinazione delle informazioni riportate sopra, si possono trarre alcuni iniziali assunti.

In primo luogo, la modalità principe – legale – per fare profilazione e/o avviare decisioni automatizzate è il “consenso“, ovvero una manifestazione di assenso esplicita, chiara, informata e (va aggiunto) facilmente revocabile e consultabile dalla persona.

In mancanza del consenso, l’azienda che si propone di fare profilazione e/o prendere decisioni automatizzate deve valutare attentamente come si sta comportando, e porre particolare cautela nell’elaborare i dati relativi a ciascuno di noi per creare un profilo di comportamento (spesso, commercialmente appetibile).

A questo punto, la domanda sorge spontanea: ma quando avrei dato il consenso a piattaforme come Facebook o Google per profilarmi e, quindi, inviarmi pubblicità basata sui miei interessi?

La risposta, ad oggi senza che sia stato ancora aperto un contraddittorio serio, è: quando hai creato il tuo account e/o, addirittura, usato le loro piattaforme anche se non eri registrato.

Fate una prova: attivate la navigazione anonima su un qualunque browser web, e poi accedete a www.google.it. Quello che leggerete all’apertura della pagina è il punto di partenza della seconda parte di questo approfondimento.

__________________________________________

Photo by Matthew Henry on Unsplash