Articoli

News #46: Twitter ha un nuovo DPO (provvisorio..); il Garante blocca il riconoscimento facciale per il 2023; le App della World Cup tracciano troppi dati..

Immagine di copertina di Rhett Lewis grazie a Unsplash.

MERCATI DIGITALI

TWITTER – Ha fatto notizia la nomina di un Data Protection Officer temporaneo dopo che tre dei più alti dirigenti del social network – tra cui il CISO, il Chief Compliance Officer e proprio il CPO/DPO – hanno dato le dimissioni: come tutto a Twitter, anche la funzione privacy al momento è “provvisoria”. E dopo aver visto i (catastrofici) risultati della fase beta del progetto di attribuzione – a pagamento, ma pur sempre indiscriminata – della famosa #spuntablu – strumento utilizzato nel mondo dei social network per garantire che l’utente sia “verificato”, cioè che corrisponde esattamente alla persona cui si riferisce -, #ElonMusk decide di rinviare al prossimo 29 novembre il lancio ufficiale dell’iniziativa “premium”. La questione si aggiunge ad una lista già abbastanza lunga di criticità che hanno caratterizzato la nuova era di Twitter, che infatti perde consensi (la rivale #Mastodon conta già 1,6 milioni di utenti attivi). Va segnalata, tuttavia, anche una “buona notizia”: il governo USA ha fatto sapere che – almeno per il momento – l’amministrazione Biden non ha intenzione di indagare sull’operazione di acquisto, nonostante dei 44 miliardi offerti da Musk, almeno 7,1 sarebbero stati finanziati da investitori provenienti dall’Arabia Saudita e dal Qatar: la questione potrebbe avere, infatti, implicazioni dal punto di vista della #sicurezzanazionale.

AMAZON – Secondo le indiscrezioni, anche #Amazon si starebbe preparando ad affrontare un’ondata di licenziamenti – proprio mentre il suo CEO, #JeffBezos, si impegna pubblicamente in grandiose campagne di beneficenza. Sebbene in termini percentuali il licenziamento coinvolgerebbe solo il 3% dei dipendenti – il New York Times parla di circa 10 mila posti di lavoro a rischio – il dato preoccupante riguarda, più in generale, il trend negativo che sta investendo l’occupazione nella Silicon Valley. Nel frattempo, Amazon deve affrontare in USA anche l’annuncio di una #classaction che l’Electronic Privacy Information Center (“EPIC”) ha intenzione di avviare nel distretto di Washington, in relazione a pratiche sleali e ingannevoli che sfrutterebbero l’impiego di Dark Pattern al fine di confondere e fuorviare i consumatori, inducendoli a rinnovare i loro abbonamenti Amazon Prime fuorviando gli utenti che desiderano terminarli.

GOOGLE – Mathew J. Platkin, procuratore generale del New Jersey, ha recentemente reso noto che, insieme ai procuratori generali di altri 40 stati americani, ha stipulato un accordo con #Google del valore di 391,5 milioni di dollari (il più grande accordo multi-stato in materia di privacy della storia americana). L’accordo si colloca all’esito di una indagine aperta qualche anno fa in seguito ad un articolo pubblicato dall’Associated Post, nel quale si accusava Google di registrare i movimenti (e dunque, raccogliere dati di localizzazione) dei consumatori anche quando gli stessi consumatori avevano, in realtà, negato il relativo consenso. Oltre al pagamento della cifra pattuita, Google si è anche impegnato tra le altre cose a (i) divulgare in modo più chiaro e trasparente le informazioni relative al tracciamento della posizione dei consumatori e (ii) creare una pagina ad hoc in cui gli utenti possono ottenere informazioni dettagliate sui dati di posizione raccolti.

Non è stato fornito nessun testo alternativo per questa immagine

PRIVACY

RICONOSCIMENTO FACCIALE E COMUNI ITALIANI – Il Garante per la protezione dei dati personali ha recentemente aperto un’istruttoria nei confronti di due comuni italiani per valutare e prevenire possibili violazioni connesse all’utilizzo di strumenti di #videosorveglianza. Nel mirino dell’Autorità sono finite iniziative (non attuate ma solo annunciate) dei comuni di Lecce e Arezzo relative, rispettivamente, all’utilizzo (i) di sistemi di #riconoscimentofacciale ( dunque,trattamento di dati biometrici – particolari ai sensi del GDPR) e (ii) di #superocchiali dotati di tecnologia ad #infrarossi, capaci di rilevare infrazioni stradali e validità dei documenti del guidatore dalla sola lettura di una targa. Spetta ora ai comuni presentare all’Autorità tutta la documentazione a supporto della liceità delle loro iniziative: nella giornata di domani pubblicheremo un #approfondimento su questa news, corredato dai dettagli delle due istruttorie.

PARERE EDPS SUL “EU MEDIA FREEDOM ACT” – Il 14 novembre 2022 l’European Data Protection Supervisor (“EDPS”) ha annunciato la pubblicazione del parere n. 24/2022 sulla proposta di regolamento che istituisce un quadro comune per i servizi di media nel mercato interno (“European Media Freedom Act”). L’EDPS ha accolto con favore gli obiettivi perseguiti nel progetto per proteggere la libertà, l’indipendenza e il pluralismo dei media in tutta l’Unione europea. L’EDPS ha raccomandato che il progetto di legge includa basi giuridiche esplicite e chiare, e preveda la cooperazione tra le pertinenti autorità di controllo dell’Unione europea, comprese le autorità garanti degli Stati membri, secondo le rispettive competenze.

PARERE EDPS CYBERSICUREZZA – Col parere n. 23/2022 l’EDPS, Garante Europeo, si è pronunciato su una proposta di regolamento in materia di requisiti di #cybersicurezza per i prodotti con elementi digitali. Pur esprimendosi favorevolmente nei confronti delle intenzioni e delle misure suggerite dal regolamento, l’EDPS non manca di sottolineare, tuttavia, l’importanza – in un’ottica di maggior tutela – deii principi di  #PrivacybyDesign e #PrivacybyDefault (auspicando, dunque, per un loro inserimento).

SEGNALAZIONI TELEMARKETING AL GARANTE – E’ operativo il nuovo servizio #telematico per segnalare al Garante la ricezione di telefonate indesiderate, disponibile a questo link: esso sostituisce la modalità di segnalazione precedente, che avveniva tramite un – piuttosto desueto e scarsamente utilizzato – modulo #cartaceo.

VALUTAZIONE DEL RISCHIO INFORMATICO – La BCE (Banca Centrale Europea) ha di recente diffuso online una pubblicazione in materia di valutazione del #rischioinformatico dal titolo “Towards a framework for assessing systemic cyber risk” (“Verso un quadro per la valutazione del rischio informatico sistemico”). Il documento si sofferma, in particolare, sui possibili “effetti collaterali” che i rischi informatici – il cui numero è sempre crescente- possono generare in termini di stabilità dei sistemi finanziari.

F.A.Q. DATA SERVICES ACT – Si segnala che dallo scorso 14 novembre è disponibile online sul sito dell Commissione Europea la versione aggiornata delle domande e risposte più frequenti in materia di #DSA.

Non è stato fornito nessun testo alternativo per questa immagine

D. LGS. 231

COMPROMISSIONE  DI UN SITO GIÀ INQUINATO – La Suprema Corte di Cassazione ha di recente affermato (nella sentenza n. 39759, consultabile gratuitamente per gli iscritti all’associazione AODV231) che non vale ad escludere il reato di #inquinamentoambientale (di cui all’452-bis c.p.) il fatto che un sito sia già compromesso a livello ambientale. Rigettando il corso, i giudici di piazza Cavour hanno fornito la loro interpretazione del concetto di “misurabilità” della compromissione inserito nella norma, chiarendo che (i) con tale termine il legislatore non si riferisce ad una procedura di “calcolo numerico degli effetti prodotti”, ma richiama l’astratta possibilità di valutare in termini quantitativa l’entità della compromissione e (ii) il fatto che un sito sia già inquinato non esclude che sia possibile causare un ulteriore aggravamento.

Non è stato fornito nessun testo alternativo per questa immagine

NEWS DAL MONDO

NORVEGIA – L’autorità garante norvegese per la protezione dei dati (“Datatilsynet”) ha rilasciato, il 14 novembre 2022, una dichiarazione mettendo in guardia chi si reca in Qatar per la #CoppadelMondo FIFA sull’installazione delle applicazioni “Hayya” ed “Ehteraz”. L’autorità garante si è preoccupata, in particolare, dell’ampio accesso ai dati personali richiesto dalle applicazioni, spiegando che non è chiaro cosa facciano effettivamente o per cosa potrebbero essere utilizzati i dati personali degli utenti.

REGNO UNITO – L’ICO, Autorità garante del Regno Unito, ha annunciato di aver reso disponibile online un aggiornamento della sua guida ai trasferimenti internazionali di dati al fine di includere una nuova sezione dedicata valutazioni sul rischio del trasferimento, nonché per aggiungere un nuovo strumento di valutazione, il #TRA (scaricabile gratuitamente in formato word sul sito dell’Autorità). Lo strumento – che vuole porsi come alternativa in materia all’approccio dell’EDPB – ai compone di sei domande (poche ma ben strutturate) e di tabelle e linee guida che aiutano le società a interpretare i risultati della valutazione.

FRANCIA (SANZIONE CNIL A DISCORD) – L’autorità garante francese (“CNIL”) ha sanzionato per 800.000 euro. DISCORD Inc. – piattaforma che fornisce un servizio per chattare tramite microfono e/o webcam su Internet e messaggistica istantanea, in cui gli utenti possono creare server, canali di testo, voce e video – ritenendo commesse le seguenti violazioni: (i) aver conservato i dati personali per un periodo eccessivo (ii) violazione del diritto di informazione sui tempi di conservazione (iii) violazione degli obblighi di privacy by default e (iv) mancanza di misure di sicurezza adeguate. Il comunicato della CNIL sulla decisione è disponibile a questo link.

ARGENTINA – L’Autorità argentina per la protezione dei dati (“AAIP”) ha pubblicato (i) un progetto di legge per l’aggiornamento della normativa sulla protezione dei dati personali, a seguito di una consultazione pubblica e (ii) un report sullo sviluppo del progetto, in cui si sottolinea che l’aggiornamento della legge è un passo decisivo per aumentare le garanzie necessarie per la protezione dei dati personali nella società dell’informazione, e per stabilire regole chiare per promuovere l’innovazione e lo sviluppo dell’economia in Argentina.

SPAGNA – L’autorità spagnola per la protezione dei dati personali (“AEPD”) ha inflitto una sanzione di 70.000 euro a una banca, successivamente ridotta a 48.000 euro, a seguito di un reclamo di un privato. Il ricorrente aveva richiesto un certificato di proprietà per proprio conto alla banca, ricevendo una copia di un contratto di terzi per un errore operativo. Il ricorrente ha prontamente informato la banca, ma continuava ad avere accesso al documento attraverso la chat di contatto. Nella sua decisione, l’AEPD ha tenuto conto che la banca ha, in seguito, eliminato l’accesso del cliente al fascicolo del contratto e che, sebbene la conversazione tra la banca e il ricorrente sia stata salvata, il collegamento al fascicolo è stato rimosso. La decisione dell’AEPD, in spagnolo, è disponibile a questo link.

TANZANIA – Il Parlamento della Tanzania ha recentemente approvato il disegno di legge in materia di protezione dei dati personali. Il documento mira a stabilire un livello minimo di protezione dei dati nelle fasi di raccolta e trattamento degli stessi, nonché alla creazione di una Commissione ad hoc per la loro protezione. Vengono in tal modo fissati i criteri in base ai quali le informazioni personali possono formare oggetto di divulgazione e/o trasferimento internazionale – recependo, peraltro, anche il concetto di #adeguatezza di matrice comunitaria. Tra le altre novità, anche la proposta della emanazione del Personal Information Protection Act 2022. In tema di sanzioni, il tetto massimo viene fissato 100 milioni (corrispondenti a poco più di 41 mila euro).

CALIFORNIA – Il tribunale distrettuale della California, a seguito di una class action, ha approvato un accordo da 90 milioni di dollari con Meta, e ha imposto un ordine di sequestro e cancellazione di tutti i dati raccolti impropriamente entro il 10 febbraio 2023. I ricorrenti hanno denunciato che Meta aveva consapevolmente intercettato e tracciato l’attività Internet degli utenti su pagine che mostravano un pulsante “Mi piace”, utilizzando i cookie. L’accordo è disponibile a questo link.

L’effetto Bruxelles come chiave di lettura dei Regolamenti europei sui dati

Quando si parla di “effetto Bruxelles”, ci si riferisce alla capacità dell’Unione europea di influenzare e regolamentare i mercati globali in modo unilaterale.

In questo senso, si può parlare di “extraterritorialità” delle norme europee, che plasmano il contesto normativo internazionale senza la necessità di ricorrere a imposizioni o a strumenti di cooperazione ulteriori.

Questa dinamica consente all’Unione europea di esercitare indirettamente un’influenza profonda sul comportamento delle aziende, e di trasformare, in questo modo, i mercati globali.

Quali sono i modi e gli strumenti con cui l’Unione europea realizza l’effetto Bruxelles?

Capacità regolativa locale

La capacità dell’Unione europea di trasferire nel mondo le sue preferenze normative non dipende esclusivamente dalla dimensione del proprio mercato, che giustificherebbe, in astratto, la capacità dell’Unione europea di “calare dall’alto” normative dirette agli Stati membri.

La dimensione del mercato non dà conto, di per sé, della capacità dell’Unione europea di trasferire ad altri le sue preferenze normative, proprio come non tutti gli Stati con un mercato grande diventano fonti di standard univoci.

Invece, bisogna considerare che nuove normative vedono la luce raramente su impulso centrale dell’Unione europea, e in genere hanno origine in iniziative regolatorie intraprese dai singoli Stati membri.

Gli Stati europei sono importanti centri di sviluppo locale di norme che potrebbero dar forma a regolamenti Europei, e in seguito avere ricadute applicative in tutto il mondo attraverso l’effetto Bruxelles.

Si colloca, piuttosto, in una seconda fase, la capacità della giurisdizione europea di promulgare e far rispettare le regole, che contribuisce a garantire la loro extraterritorialità.

Poteri sanzionatori

La capacità regolativa dell’Unione europea è spesso connessa a un’altra condizione: la propensione a promulgare norme stringenti, alle quali siano associate sanzioni certe.

L’Unione europea, in questa ottica, ha delegato l’applicazione di molte normative europee, tra le quali il GDPR, agli Stati membri, mantenendo comunque in capo alla Commissione il potere di perseguire le violazioni dei singoli Stati che non implementano o non applicano integralmente le leggi dell’Unione europea.

In questo modo, anche la Commissione può garantire che gli Stati membri siano motivati ad adempiere al loro mandato, e quindi contribuire fattivamente alla capacità regolativa dell’Unione europea.

Adeguamento spontaneo delle aziende

Le aziende e, in particolare, le multinazionali, tendono a preferire l’uniformità normativa, e finiscono spesso per estendere volontariamente le regole europee a tutte le proprie attività nel mondo, evitando il costo di doversi adeguare a molteplici sistemi di regolazione diversi.

L’effetto Bruxelles ha influito su molte attività regolatorie, tra le quali quella del mercato digitale: le normative europee determinano, ad esempio in che modo le Big Tech raccolgono, gestiscono, conservano e monetizzano i dati personali.

Facebook, Google e Microsoft hanno scelto di adottare un’unica privacy policy globale – che rispecchia molto da vicino la normativa di matrice europea.

Allo stesso modo, il Codice di condotta europeo contro l’illecito incitamento all’odio online influenza il tipo di linguaggio che le aziende del web permettono sulle rispettive piattaforme: invece di far riferimento al Primo Emendamento statunitense in materia di libertà di espressione, aziende come Facebook, Twitter o YouTube si ispirano alla definizione europea di “linguaggio dell’odio” per decidere quale contenuto rimuovere dalle proprie piattaforme.

Una chiave di lettura per i nuovi regolamenti europei in materia di dati personali

Con la pubblicazione del Digital Services Act nella Gazzetta Ufficiale dell’Unione europea, insieme a quella del recente Digital Markets Act, viene arricchito ulteriormente il quadro normativo per creare uno spazio digitale in cui siano tutelati i diritti fondamentali di tutti gli utenti dei servizi, oltre ad essere garantite condizioni di parità per promuovere l’innovazione, la crescita e la competitività, nel mercato unico europeo e a livello mondiale.

Si vuole ambire, con lo spirito e il metodo descritto, sia a regolamentare soggetti extra europei sulla base del criterio dell’offerta di servizi a destinatari e utenti ubicati nel territorio dell’Unione, sia a innalzare uno standard per analoghe iniziative estere.

Si tratta di ambizioni elevate, che coinvolgono la costruzione di un regime composito, che andrà a intersecarsi con altrettanto complesse discipline e che terrà probabilmente molto impegnate le Corti, nazionali e non, per chiarire la sua applicazione.

________________________________________________

Immagine di copertina di Paolo Margari grazie a Unsplash

I dati (personali) dei defunti: quale privacy?

Cosa accade ai nostri dati quando non ci siamo più?

Quali sono i diritti legati ai contenuti di persone decedute?

Il Regolamento europeo sulla Protezione dei Dati Personali (“GDPR” o “Regolamento”) si applica anche alle persone decedute?

Normativa applicabile

Il Considerando n. 27 del GDPR esclude l’applicazione del Regolamento ai dati delle persone decedute; ma è presente una clausola di salvaguardia, subito dopo, che prevede la facoltà, per gli Stati membri dell’Unione europea, di emanare norme per regolare il trattamento di questi dati personali.

In Italia è l’art. 2-terdecies del D. Lgs. 196/2003, aggiornato dal D. Lgs 101/2018 (“Nuovo Codice Privacy”) a prevedere che i diritti spettanti agli interessati ai sensi degli artt. 15-22 GDPR (cioè l’accesso, la cancellazione, le limitazioni al trattamento, la portabilità dei dati – da qui in avanti “i diritti dell’interessato”) che si riferiscono ai dati personali riguardanti le persone decedute, possono essere esercitati (i) da chi ha un interesse proprio, o (ii)  agisce a tutela dell’interessato, (iii) in qualità di suo mandatario, o (iv) per ragioni familiari meritevoli di protezione.

L’esercizio di questi diritti non è ammesso, oltre che nei casi previsti dalla legge, quando l’interessato ne ha espressamente fatto divieto con dichiarazione scritta presentata o comunicata al Titolare del trattamento.

La volontà di vietare l’esercizio dei diritti dell’interessato deve risultare in modo non equivoco e deve essere specifica, libera e informata, e può riguardare anche solo l’esercizio di alcuni dei diritti dell’interessato.

In ogni caso, il divieto non può produrre effetti pregiudizievoli per l’esercizio, da parte dei terzi, dei diritti patrimoniali che derivano dalla morte dell’interessato, e non può impedire loro di difendere in giudizio i propri interessi.

Giurisprudenza

Fino a qui si è risposto ad alcune delle domande iniziali.

Ma sembra ora interessante, per vedere effettivamente cosa accade ai dati personali dopo il decesso di una persona, raccontare anche una recente sentenza sul tema.

Il 10 febbraio 2021, il Tribunale di Milano, in via cautelare, ha ordinato ad Apple Italia S.r.l. di fornire al figlio – ricorrente – i dati di una persona deceduta – il padre. Il Tribunale di Milano ha ritenuto illegittima la pretesa di Apple, fondata su norme americane in materia di sicurezza, che negava tale accesso.

Infatti, l’art. 2-terdecies del Nuovo Codice Privacy demanda alla persona la scelta, in vita, di lasciare o meno agli eredi la facoltà di accedere ai propri dati, e, in assenza di un espresso divieto, attribuisce agli eredi, o a chi agisce per “ragioni familiari meritevoli di protezione” l’esercizio dei diritti del defunto.

Il giudice di Milano ha ritenuto esistente anche un legittimo interesse da parte dei genitori, che prevale sulla sicurezza dei clienti opposta da Apple.

Qui il link diretto alla Sentenza.

Massime del Garante Privacy

Sembra infine utile concludere con qualche pillola sul tema, che è trasversale a diverse materie, dell’Autorità Garante per la Protezione dei Dati Personali italiana:

  • In tema di contratti bancari estinti dopo la morte di una persona, il relativo erede ha il diritto di accedere a tutti i dati personali concernenti il “de cuius”, ivi comprese le informazioni attinenti a pregressi rapporti obbligatori di cui egli sia stato contitolare- Garante 3 aprile 2002, in Bollettino n. 27, pag. 20 [doc. web n. 1065256]; e ancora l´erede ha diritto di conoscere tutti i dati personali riferiti al suo dante causa e detenuti da un istituto di credito. – Garante 10 dicembre 2003 [doc. web n. 1053648].
  • In tema di assicurazioni, il Titolare del trattamento è tenuto ad estrarre dagli atti e dai documenti detenuti – ivi comprese le polizze eventualmente sottoscritte – tutte le informazioni personali relative al defunto, mettendole a disposizione, in modo intelligibile, dell’erede, con esclusione dei dati relativi ai terzi beneficiari della polizza assicurativa Garante 31 marzo 2003 [doc. web n. 1053796].
  • In tema di atti giudiziari, il discendente del defunto ha pieno titolo ad accedere ai dati personali del “de cuius” a prescindere dalla concreta posizione attualmente rivestita in ambito successorio, senza che l’esercizio di tale diritto possa essere condizionato alla prova della qualità di chiamato all´eredità o all´esibizione di particolari documenti, quale la procura notarile rilasciata dagli eventuali altri eredi – Garante 19 novembre 2003 [doc. web n. 1152385].

____________________________________________

Immagine di copertina di David Menidrey grazie a Unsplash

Il diritto all’immagine: tutela e protezione su più fronti

L’immagine personale è senza dubbio considerata da ognuno di noi un diritto intimo, primario ed essenziale.

Forse, più di ogni altro diritto dell’essere umano.

La nostra immagine riflette al mondo esterno chi siamo, da dove proveniamo, se siamo tristi oppure felici. Ha la capacità di trasmettere così tanto di noi stessi agli altri che, inevitabilmente, ci fa sentire la necessità di preservare la sua riservatezza e controllarne la sua condivisione: vogliamo cioè essere noi a decidere se e quando diffondere la nostra immagine a terzi.

Negli ultimi anni, grazie all’evoluzione tecnologica e – soprattutto – all’avvento dei social network, abbiamo assistito ad una condivisione estremamente rapida di immagini personali veicolate a mezzo di video e fotografie.

Scattiamo foto e pubblichiamo contenuti: la vacanza con gli amici, la cena coi colleghi, il pranzo della domenica in famiglia.

La rapidità di approvvigionamento e di condivisione di immagini (personali) ci ha, tuttavia, allontanati da un concetto quanto mai essenziale: la legittimazione all’uso dell’immagine altrui.

La normativa di riferimento: dalla legge sul diritto d’autore al GDPR

Il diritto e la relativa tutela dell’immagine personale sono ben radicati nel nostro ordinamento, trovando le loro fonti tanto nel Codice civile quanto nella legge sul diritto d’autore, sfociando addirittura nella stessa Costituzione per via del rimando operato dall’art. 2 ai diritti inviolabili.

Con l’avvento della normativa privacy nazionale e, in ultimo, della regolamentazione europea del GDPR, la tutela dell’immagine è andata sempre più consolidandosi, tanto che pare importantissimo chiedersi: entro che limiti è possibile pubblicare e diffondere l’immagine altrui?

A livello cronologico, la prima fonte normativa ad occuparsi del tema è stata la legge 22 aprile 1941, n. 633 – cd. Legge sul diritto d’autore – che all’art. 96 stabilisce che “il ritratto di una persona non può essere esposto, riprodotto o messo in commercio senza il consenso di questa, salve le disposizioni dell’articolo seguente”.

Con l’art. 97 il legislatore ha infatti voluto fissare una deroga alla regola generale dell’art. 96, stabilendo i casi in cui si può lecitamente diffondere l’immagine altrui prescindendo dal consenso dell’interessato.

Per il legislatore, dunque, non occorre il consenso della persona ritratta quando “la riproduzione dell’immagine è giustificata (i) dalla notorietà o dall’ufficio pubblico coperto, (ii) da necessità di giustizia o di polizia, da scopi scientifici, didattici o culturali, o (iii) quando la riproduzione è collegata a fatti, avvenimenti, cerimonie di interesse pubblico o svoltisi in pubblico”.

Più di recente, con il Regolamento Europeo 2016/679 (GDPR) viene introdotta in Italia una nuova normativa in materia di protezione dei dati personali, normativa che indubbiamente si riflette anche sulla protezione dell’immagine personale in quanto dato personale.

Secondo la definizione offerta dall’art. 4, n.1 GDPR, dato personale è “qualsiasi informazione riguardante una persona fisica identificata o identificabile”, considerandosi identificabile la persona fisica che “può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

L’immagine di ognuno di noi è un contenitore composito di dati personali, anche particolari (cioè sensibili). L’immagine personale trasmette infatti al mondo il genere, l’età, l’etnia di ognuno di noi. Addirittura, la presenza di qualche malattia. 

A mente dell’art. 9 GDPR, non è possibile – in via generale – trattare dati personali particolari salvo che, tra gli altri, in caso di consenso esplicito dell’interessato.

Entrambe le normative prevedono dunque, entro certi limiti, degli strumenti “abilitanti”, che consentono di diffondere in maniera legale l’immagine personale di un terzo: strumenti che si risolvono nella liberatoria e nella informativa privacy.

Informativa o liberatoria?

A fonte delle due normative maggiormente incisive in materia – legge sul diritto d’autore da un lato e GDPR dall’altro – è utile capire quale strumento sia, in concreto, più efficace.

L’informativa privacy è un documento all’interno del quale un soggetto, in qualità di titolare del trattamento, comunica all’interessato una serie informazioni riguardanti il trattamento dei propri dati personali.

Gli articoli 13 e 14 GDPR illustrano il contenuto tipico di una informativa, per cui il soggetto che intenda utilizzare l’immagine altrui dovrà comunicare – tra le altre cose– le finalità e le basi giuridiche del trattamento, il tempo di conservazione dei dati trattati, l’esistenza di una serie di diritti, tra cui è ricompreso anche il diritto di revocare il consenso.

In accordo con quanto stabilito dall’art. 7 GDPR, infatti, “l’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento”.

Sebbene la revoca del consenso non pregiudichi la liceità dei trattamenti basati sul consenso già effettuati – avendo pertanto una efficacia ex nunc – impedirebbe di fatto l’uso futuro dell’immagine.

La liberatoria è, al contrario, un accordo bilaterale – un contratto! – in virtù del quale il soggetto ritratto in un documento video-fotografico presta il suo consenso affinché la propria immagine venga divulgata.

A differenza dell’informativa, la liberatoria non ha un vero e proprio contenuto tipico; tuttavia – per essere efficace anche dal punto di vista della tutela del predisponente – deve inevitabilmente informare il soggetto ritratto sullo scopo per il quale l’immagine viene utilizzata.

Una volta ottenuto un assenso con la firma della liberatoria, il predisponente sarà tutelato da eventuali future opposizioni all’uso.

Nell’ottica di una maggior tutela del soggetto che intenda usare e divulgare l’altrui immagine – fermo in ogni caso l’obbligo di fornire una adeguata informativa privacy – è sempre preferibile predisporre una liberatoria in modo tale da assicurarsi l’uso indisturbato dell’immagine in oggetto.

La tutela dell’immagine del lavoratore

Fatte queste premesse generali, proviamo in questa sede a rispondere ad una (importantissima) domanda: come utilizzare l’immagine di un dipendente dell’azienda?

La questione è particolarmente complicata: quanto può davvero definirsi libero il consenso – o meglio, l’ipotetico dissenso – di un lavoratore dipendente?

Il potere contrattuale delle parti, indiscutibilmente sbilanciato a favore del datore di lavoro, potrebbe comportare la spiacevole situazione per cui un soggetto possa sentirsi, nei fatti, “obbligato” a prestare il proprio consenso perché vincolato dal contratto di lavoro (per non parlare del caso limite in cui sia proprio il datore di lavoro a estorcere il consenso).

La liberatoria, risolvendosi in una vera e propria scrittura privata tra le parti, ha lo scopo di mettere nero su bianco le condizioni dell’accordo che, una volta sottoscritto, ha tra le parti valore di contratto.

È dunque la liberatoria il contratto al quale fare più correttamente riferimento nella informativa privacy, contratto che – prescindendo dal consenso (che nello specifico caso non sarebbe mai davvero “liberamente prestato”, come richiede la normativa vigente in materia di trattamento dei dati personali) consente un uso della immagine del lavoratore priva dei rischi connessi ad una eventuale revoca del consenso stesso.

______________________________________________

Immagine di copertina di Steve Gale grazie a Unsplash

Decreto “Trasparenza”/ 1: implicazioni privacy delle novità

Il prossimo 13 agosto entrerà a tutti gli effetti in vigore, senza la previsione di alcun periodo di transizione, il nuovo D.Lgs. 104/2022 (cd. Decreto Trasparenza).

Il Decreto, emanato per recepire all’interno dell’ordinamento italiano la Direttiva Europea 2019/1152 (cd. Direttiva trasparenza) reca importanti novità in materia di obblighi – soprattutto infornativi ed integrativi – del datore di lavoro. Tali obblighi dovranno essere assolti, con riferimento ai nuovi assunti, al momento dell’instaurazione del rapporto di lavoro e comunque prima dell’inizio dell’attività lavorativa, mediante la consegna del contratto di lavoro redatto per iscritto o, in alternativa, della copia della comunicazione di instaurazione del rapporto di lavoro.

La finalità perseguita – prima a livello comunitario e poi interno – è quella di migrare verso forme di lavoro più trasparenti e prevedibili: in quest’ottica, la previsione di nuovi oneri in capo al datore di lavoro si configura come lo strumento operativo necessario al raggiungimento delle finalità sancite dalla normativa.

Le nuove disposizioni si applicano ad una vasta gamma di tipologie contrattuali (a titolo esemplificativo e non esaustivo, contratti di lavoro subordinato, somministrato, contratti di lavoro intermittente e co.co.co.) e, come già accennato, prevedono un aumento degli oneri posti in capo al soggetto qualificato, nell’ambito del rapporto, come datore di lavoro. Tali oneri possono sostanzialmente suddividersi in due categorie.

Da un lato vengono innanzitutto stabiliti obblighi di comunicazione inerenti al rapporto di lavoro, che impongo al datore di lavoro di comunicare – modo chiaro e trasparente e con modalità cartacea o digitale – informazioni quali, tra le altre, l’identità delle parti e il luogo di lavoro, la durata delle ferie e i modi per esercitare il diritto di recesso

Dall’altro lato, vengono introdotte novità anche in materia di tutela delle informazioni e dei dati personali relativi ai lavoratori.

 Da questo punto di vista, il datore di lavoro sarà tenuto a:

  • informare il lavoratore circa l’utilizzo di sistemi decisionali o di monitoraggio automatizzati in grado di incidere sul rapporto di lavoro;
  • integrare l’informativa, qualora già resa in precedenza, con tutte le istruzioni di sicurezza relative all’utilizzo di tali sistemi atomizzati.

Di notevole importanza anche la previsione di specifiche misure di tutela. In particolare:

  1. la possibilità di ricorrere a strumenti più agevoli e rapidi per la risoluzione di controversie insorte tra le parti;
  2. la previsione di una sanzione per comportamenti ritorsivi che il datore di lavoro ponga eventualmente in essere, come conseguenza dell’avvio di un procedimento, anche non giudiziario, da parte del lavoratore;
  3. la previsione di una tutela contro il licenziamento o altro comportamento ritorsivo posto eventualmente in essere dal datore di lavoro in conseguenza dell’esercizio, da parte del lavoratore, dei diritti stabiliti nel decreto trasparenza e nel D.Lgs. 152/1997.

Di seguito la nostra scheda riassuntiva dettagliata, relativa all’ambito privacy, a cui seguirà una ulteriore scheda in ambito lavoristico redatta in collaborazione con lo studio RG Avvocati.

___________________________________________

Immagine di copertina di Cytonn Photography grazie a Unsplash

Richiesta di accesso ai dati manifestamente infondata o eccessiva: quando il Titolare può dire “no”

“Da grandi poteri derivano grandi responsabilità”, usava dire lo zio Ben a Peter Parker / Spiderman.

Ed è evidente, se si tiene a mente tutto ciò, che un Titolare del trattamento è spesso chiamato a porsi, e poi attuare, una lunga lista di obblighi e responsabilità.

Tra di esse hanno una posizione di assoluto rilievo le misure necessarie a fornire all’interessato le informazioni relative ai trattamenti gestiti, prendersi carico dei diritti (accesso, rettifica, cancellazione e limitazione del trattamento) tra cui la portabilità dei dati e l’opposizione al trattamento.

In questo quadro, si rimane particolarmente colpiti quando ci si imbatte in uno di quei casi in cui il Titolare ha potuto legittimamente negare l’accesso ai dati di un interessato.

A fronte delle tutele previste per l’accesso ai dati personali dell’interessato, e in particolare, dagli artt. 15-22 GDPR, la Corte di Norimberga ha infatti ritenuto prevalente, ai sensi dell’art. 12(5) GDPR, il diritto del Titolare a non dare seguito a richieste manifestamente infondate o eccessive.

I fatti

Il Titolare del trattamento è una società di assicurazione privata, con cui l’interessato ha stipulato un contratto di copertura assicurativa.

Le parti hanno dato avvio a una controversia legata alla supposta invalidità – invocata dall’assicurato – di diversi aumenti del premio che si erano succeduti nel periodo di vigenza del contratto.

L’interessato ha così adito la Corte Regionale di Ansbach per il rimborso dei premi pagati in eccesso, e ha contestualmente inviato una richiesta di accesso ai dati personali al Titolare del trattamento, avente ad oggetto tutte le informazioni sugli aggiustamenti occorsi ai premi effettuati, con gli aggiornamenti alle polizze assicurative, i supplementi alle stesse e tutte le lettere di notifica inviate, nel tempo, al soggetto interessato.

Il Titolare, a tale richiesta, ha opposto il proprio diniego.

La decisione

La Corte Regionale di Norimberga ha considerato che lo scopo della richiesta dell’assicurato non fosse quella di verificare la legittimità del trattamento dei dati che lo riguardavano, ma piuttosto quella di controllare se gli aggiustamenti fatti ai premi assicurativi fossero adeguati alla legge tedesca.

Pertanto, la Corte ha ritenuto che l’istanza presentata fosse manifestamente eccessiva, e ha stabilito che un Titolare può legittimamente rifiutarsi di ottemperare a una tale richiesta di accesso ai dati, ai sensi dell’art. 12(5)(b) del GDPR.

La decisione può dare spunto per una riflessione su cosa costituisca una richiesta “manifestamente eccessiva” e, più in generale, un “abuso” del diritto di accesso ai dati personali.

Sul punto, la Corte ha fatto riferimento allo scopo dell’art. 15 GDPR, che va letto congiuntamente e in armonia con il Considerando 63.

Dalla lettura delle due disposizioni, infatti, si può constatare che l’accesso ai dati personali concesso all’interessato ha, in generale, come obiettivo quello di permettere che il soggetto sia consapevole del trattamento dei dati, e possa verificarne la legittimità – obiettivi, entrambi, non presenti nell’intenzione dell’interessato nel caso proposto.

_________________________________________

Immagine di Kyle Glenn on Unsplash

Dark Pattern: tutto quello che (non) vedi

Inutile negare che gran parte della nostra vita si svolge ormai su internet: lavoriamo e programmiamo le nostre vacanze, impariamo a cucinare e, addirittura, troviamo l’amore.

Tutto on line.

Il denominatore comune di tutte queste attività?  La comunicazione ad altri dei nostri dati personali, tema sensibilissimo e spesso ancora sottovalutato dai “non addetti ai lavori”: in molti casi ad essere importante – e particolarmente delicata – non è tanto la comunicazione in sé dei propri dati, quanto l’esigenza di assicurare che essa avvenga in maniera consapevole e responsabile.

La questione passa inevitabilmente anche attraverso l’interfaccia grafica che ogni sito web o piattaforma decide di offrire, in quanto strumento capace di indirizzare fortemente l’utente nella definizione delle proprie scelte – e, talvolta, nell’esecuzione di azioni inconsapevoli – in materia di dati personali.

L’attenzione è quindi rivolta ai dark pattern.

Definizione e compatibilità con il GDPR

Per dark pattern, letteralmente – e a buona ragione – “percorso oscuro”, si intendono tutte quelle interfacce grafiche implementate dai siti web allo scopo di spingere l’utente a compiere azioni non desiderate (e potenzialmente dannose), o a seguire delle procedure così complesse da scoraggiarlo a prestare la giusta attenzione al controllo e alla protezione effettiva dei suoi dati personali.

Una “x” poco visibile, un percorso informativo lungo e tortuoso, frasi fuorvianti: ecco che – 9 volte su 10 – finiamo per cliccare su “accetta tutto” pur di proseguire nella nostra navigazione, accedere alle informazioni che ci interessano o vedere lo status o le stories di un amico o una persona di interesse.

Il paradosso, fondato su bias cognitivi ben studiati, è che l’utente si sente perfettamente “padrone” delle proprie scelte, nonostante in realtà sia stato a tutti gli effetti vittima di una manipolazione volta a fargli prendere esattamente quella specifica, “autonoma” decisione.

Ma può essere questo un consenso validamente prestato?

La valutazione sulla compatibilità di tali pratiche col GDPR passa necessariamente attraverso un’attenta analisi dei principi dettati in materia dalla normativa.

L’art. 4, paragrafo 11 GDPR ci fornisce una definizione di consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Perché un consenso possa dirsi libero, specifico, informato e inequivocabile è chiaramente necessario che il titolare del trattamento si sia lasciato innanzitutto ispirare dai principi generali sanciti dall’art. 5 GDPR, primo fra tutti il principio di liceità, correttezza e trasparenza.

Solamente mediante una comunicazione chiara e trasparente, infatti, le informazioni relative al trattamento risulteranno accessibili e facilmente comprensibili per l’utente, così da consentirgli di prendere decisioni consapevoli in ordine alla protezione dei suoi dati personali.

Particolarmente rilevante è anche il concetto di privacy by design, consacrato nell’art. 25 GDPR, secondo il quale l’attenzione alla protezione dei dati da parte del Titolare del trattamento deve essere integrata in ogni fase del ciclo di vita della tecnologia, partendo già dalla fase di progettazione del prodotto attraverso la predisposizione di misure tecniche ed organizzative adeguate – quali ad esempio la minimizzazione dei dati – e l’integrazione nel trattamento di tutte le garanzie necessarie al fine di soddisfare i requisiti del GDPR.

Le Linee Guida EDPB

Le recenti Linee Guida emanate dallo European Data Protection Board (“EDPB”) – al momento solo in lingua inglese, e rese disponibili per consultazione pubblica sino al 2 maggio prossimo – ci forniscono una elencazione dettagliata di tutti i diversi tipi di dark pattern, raggruppati in sei macrocategorie:

  1. Overloading: gli utenti vengono sommersi da una grande quantità di informazioni, opzioni e richieste al fine di spingerli a fornire più dati personali di quelli effettivamente necessari;
  2. Skipping: l’interfaccia grafico del sito è strutturato in modo tale che l’utente non presti la giusta attenzione alla protezione dei propri dati personali;
  3. Stirring: viene fatta leva sull’emotività dell’utente per condizionarne le scelte, oppure si ricorre ai cd. visual nudges, strumenti cioè in grado di alterare i comportamenti delle persone senza proibire però la loro scelta di altre opzioni (è questo il caso della “x”: c’è, ma è difficilissima da trovare);
  4. Hindering: viene posto un ostacolo nel processo di informazione o gestione dei dati personali, attraverso azioni e procedure complicate o impossibili da portare a termine;
  5. Fickle: il design dell’interfaccia risulta poco chiaro, diventando così arduo per l’utente navigare tra i differenti strumenti di controllo dei dati;
  6. Left in the dark: l’interfaccia è strutturato in modo tale da nascondere le informazioni utili e gli strumenti di controllo o da lasciare l’utente incerto sulle concrete modalità di esercizio dei propri diritti.

Il caso Google

È proprio degli ultimi giorni la notizia per cui l’Associazione per la protezione dei consumatori (Consumer Advice Center) della Renania Settentrionale-Vestfalia ha annunciato di aver avviato una causa contro Google.

Le motivazioni riguardano l’uso da parte del colosso informatico di cookie banner strutturati in maniera tale da rendere oltremodo gravoso il rifiuto dei cookies da parte degli utenti nel corso della loro navigazione, in aperto contrasto dunque tanto con la normativa tedesca quanto con quella europea, non solo relativa al GDPR ma anche alla c.d. Direttiva ePrivacy di cui è in discussione, allo stato, un aggiornamento tramite lo strumento (come per il GDPR) del “Regolamento”.

Mentre per l’accettazione dei cookies basta un semplice click, insomma, per il rifiuto l’utente si trova costretto a dover deselezionare manualmente tre categorie di cookies, prima che Google gli consenta di procedere alle sue ricerche.

In proposito, anche l’Autorità Garante di Amburgo (Germania) ha recentemente assunto la medesima posizione, sia in riferimento al banner del motore di ricerca che a quello della piattaforma di video streaming YouTube, ponendosi nel solco di altre precedenti decisioni – e sanzioni salatissime – in materia, tra cui vanno ricordate soprattutto quelle erogate dal CNIL (Autorità francese) a inizio anno proprio contro Google oltre che verso Facebook.

Best practices: come disegnare un’interfaccia utente rispettosa della normativa

Di seguito riportiamo alcune delle raccomandazioni contenute nelle Linee Guida EDPB 3/2022 per strutturare le interfacce web (di siti e piattaforme) in maniera conforme a quanto previsto dalla normativa europea.

Per quanto riguarda la privacy policy:

  • aggiungere link ipertestuali diretti che reindirizzino gli utenti alle parti più importanti della privacy policy (la quale dovrebbe essere il più possibile chiara e sintetica);
  • consentire ad esempio mediante menù a tendina una overview della policy, in modo che gli utenti siano in grado di trovare facilmente la sezione di loro interesse;
  • fornire sempre, in caso di uso di termini tecnici o di linguaggio non comune, definizioni comprensibili;
  • in aggiunta alle informazioni obbligatorie, fare degli esempi per rendere i concetti più “tangibili” per gli utenti;
  • indicare espressamente e chiaramente l’Autorità Garante competente, aggiungendo al sito un link alla pagina ufficiale per eventuali lamentele;
  • se la privacy policy viene modificata, rendere accessibile di volta in volta la/le precedente/i versione/i.

Con riferimento invece alle meccaniche di relazione con gli utenti:

  • prevedere un sistema di iscrizione chiaro e semplice;
  • fornire un pannello utente che permetta una selezione immediata delle preferenze in materia privacy;
  • prevedere meccanismi di cancellazione dell’utente diretti e immediati, che comunichino le opzioni disponibili (sospensione, cancellazione, ecc.) e spieghino cosa avverrà dei dati in seguito.

In ultimo, come già anticipato, la parte finale delle Linee Guida EDPB (sez. IV) scende nei dettagli delle pratiche da non seguire, a pena di violare i principi di accountability, trasparenza e data protection by design che possono poi comportare, a carico del Titolare del trattamento (quindi del sito web o della piattaforma) sanzioni economiche (anche pesanti) e il blocco dei dati ottenuti in violazione della normativa applicabile.

____________________________________________________

Photo by Dan Asaki on Unsplash

Comunicazioni commerciali: la “spazzatura” che incombe sugli utenti

Nel migliore dei casi, ciascuno di noi perde quotidianamente un po’ di tempo a eliminare le e-mail di troppo, mentre la casella si appesantisce di qualche Megabyte in più. Più spesso, si rischia addirittura di perdere messaggi importanti in mezzo a centinaia di comunicazioni commerciali, o – nei casi peggiori – si ricevono malware o messaggi dannosi, che possono provocare seri danni.

Come difendersi da queste situazioni? Come riconoscerle? Cosa fare? Di seguito trovate alcune domande “classiche” sul tema dello spam, corredate da brevi risposte operative pensate per agevolare la propria tutela e – se siete un’azienda – evitare di incorrere in spinose questioni privacy.

Da dove viene la parola “spam”?

La parola “Spam” nasce come l’abbreviazione di “Spiced ham” e proviene da un marchio di carne in scatola che veniva prodotto dall’azienda americana Hormel Foods Corp nella prima metà del Novecento. Quella carne costituì una delle uniche fonti di cibo nutriente in Inghilterra durante la Seconda guerra mondiale; così, facendo leva sulla diffusione enorme del prodotto, nel dicembre del 1970, la BBC trasmise un episodio di una nota serie televisiva ambientato in un ristorante in cui il menù si componeva interamente di pietanze a base di “spam”, la famosa carne in scatola.

Cos’è lo spam oggi?

L’invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari è usualmente definito “Spam”, ed avviene tramite l’invio di materiale pubblicitario o di vendita diretta o il compimento di ricerche di mercato o, ancora, tramite attività di generica comunicazione commerciale. Non è necessario, solitamente, un invio massiccio né simultaneo di comunicazioni a una pluralità di indirizzi o numeri di telefono per configurare un caso di “Spam”: queste modalità rilevano, eventualmente, per qualificare la condotta come sistematica e determinare di conseguenza le eventuali sanzioni nel caso in cui le norme di legge non siano rispettate.

Con che mezzi possono essere raggiunti gli utenti?

Le modalità più frequenti di Spam sono l’invio di fax, sms, e-mail e telefonate. È possibile che i dati personali siano tratti da registri pubblici, elenchi, siti web, per cui si configura un comportamento tendenzialmente illecito come ha più volte ribadito il Garante italiano, ad esempio con questo provvedimento). Non è lecito nemmeno utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale istituito per favore la presentazione di istanze e lo scambio di informazioni con la Pubblica Amministrazione, perché tutti questi trattamenti avvengono senza il consenso degli interessati, come chiarito espressamente dalle Linee Guida (ormai risalenti) del 2013.

È stato di recente ribadito che non è neppure possibile contattare l’utente telefonicamente, chiedendo subito il consenso a ricevere comunicazioni promozionali: le modalità di cui all’art. 130 commi 1 e 2 del Codice Privacy, richiedono infatti il consenso anche per i numeri presenti in elenchi telefonici, sempre a condizione che ciò avvenga nel rispetto dei limiti e con le modalità che le leggi, i regolamenti o la normativa europea stabiliscono per la conoscibilità e pubblicità dei dati, ed in particolare secondo i requisiti fissati dalle disposizioni del Registro delle Opposizioni, di recente aggiornate e che diverranno operative a breve.

Quanto Spam possono ricevere gli utenti?

Fino a qualche tempo fa, l’invio massiccio di comunicazioni pubblicitarie veniva in buona parte bloccato dai software presenti nelle caselle di posta; progressivamente i livelli di spam hanno assunto proporzioni impressionanti e, ad oggi, si rileva che vengano distribuite decine di miliardi di e-mail indesiderate, corrispondenti a una percentuale fra il 60% e il 90% del volume complessivo delle e-mail totali scambiate. Questo ha comportato anche una significativa evoluzione nei software e nelle tecniche impiegate per diffondere le comunicazioni massive e, di conseguenza, anche le attività di Spam, a tutto danno dei poveri utenti del web.

Qual è la normativa applicabile in tema di Spam?

In generale, con l’entrata in vigore del Regolamento UE n. 2016/679 (“GDPR”), inviare messaggi promozionali senza il consenso dell’interessato costituisce un trattamento privo di una base giuridica valida e dunque illecito: in proposito, è stata nel tempo ridotta la portata “programmatica” del Considerando n. 47 al GDPR, che stabilisce “può essere considerato legittimo interesse trattare dati personali per finalità di marketing”, anche se l’idea in principio resta, pur nel bilanciamento di interessi precisato più volte dal Garante (ad esempio, nel provvedimento 2020 contro TIM). Se poi nella condotta dovessero ricorrere gli elementi costitutivi richiesti dall’art. 167 del Codice Privacy, e cioè l’acquisizione con mezzi fraudolenti di un archivio automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, il trattamento illecito di dati personali effettuato mediante Spam potrebbe essere altresì qualificabile come illecito penale.

Lo spam può essere legittimo?

La pratica definita “Soft Spam” è considerata ammessa, seppure con precisi limiti, e consiste nell’invio di comunicazioni commerciali, in cui il mittente dei messaggi (“Titolare del trattamento”) può disporre di un proprio legittimo interesse: esso sussiste, ad esempio, quando i messaggi commerciali vengono inviati ad interessati già clienti del titolare perché hanno acquistato prodotti analoghi a quelli oggetto della promozione o che, in qualche modo, hanno manifestato interesse alla sua azienda. In tal caso, il mittente è (almeno inizialmente) esonerato dall’obbligo di richiedere il consenso espresso dell’interessato, ma dovrà in ogni caso informarlo espressamente del fatto che potrà ricevere messaggi di natura commerciale, concedergli la possibilità, in modo semplice, di negare il proprio consenso ad un successivo uso del suo indirizzo e-mail o del suo numero di cellulare, e dimostrare che con il trattamento dei dati, diritti e libertà dell’interessato non verranno lesi, confrontando gli stessi con il proprio legittimo interesse, secondo una procedura di autovalutazione da compiersi prima dell’inizio del trattamento.

Come possono tutelarsi gli utenti?

Si segnalano in primo luogo alcune tutele preventive, che sono state diffuse anche dal Garante Privacy come buone pratiche, tra cui ad esempio:

  • non diffondere, specialmente on-line, il proprio indirizzo e-mail o il numero di telefono;
  • leggere con attenzione le informazioni sull’impiego ed eventuale diffusione dei propri dati personali qualora sia necessario iscriversi a un sito web;
  • dedicare un apposito indirizzo e-mail per fare acquisti online o iscriversi a newsletter.

In ciascuna e-mail commerciale, per buona prassi più volte ribadita dall’Autorità italiana e dal EDPB a livello europeo, dovrà poi esserci un tool automatizzato di “cancellazione”, che è sempre possibile cliccare per rimuoversi da successivi invii, e – almeno in teoria – dovrebbe essere tanto semplice quanto lo è stata l’iscrizione alla newsletter stessa.

Una terza via è quella di esercitare i propri diritti fissati dagli artt. 15-22 del GDPR scrivendo al mittente delle comunicazioni di Spam, tramite indirizzi come “privacy@nomeazienda” o anche al Data Protection Officer che – ove nominato – deve essere indicato insieme ai suoi contatti in ciascuna informativa privacy: una semplice e-mail del tipo “Voglio essere rimosso da questa lista, con la mail da cui scrivo” potrà ben essere sufficiente, senza ulteriori formalismi.

C’è infine sempre la possibilità di inviare segnalazioni all’Autorità Garante, ove non si riceva riscontro nei tempi di legge (30 giorni dall’invio della richiesta), ricordando in particolare la possibilità di revocare in qualsiasi momento il consenso al trattamento dei propri dati e di conseguenza di pretendere la cancellazione definitiva di essi.

Quale extrema ratio, è sempre possibile agire in sede civilistica con un’azione per il risarcimento dei danni, ove patiti (con lo scoglio, tuttavia, di doverne dimostrare la consistenza).

E se sono un’azienda, cosa faccio?

Prima di tutto, le indicazioni fornite in questo articolo sono valide anche per impostare una corretta strategia di marketing tramite newsletter.

Per tutto quanto riguarda il “direct marketing” visto dietro le quinte del team aziendale vi rimandiamo, invece, ad un prossimo articolo.

___________________________________________

Photo by Amy Shamblen on Unsplash

Regolamento operativo per i dipendenti: una buona pratica aziendale

La gran parte degli standard di compliance – e, in particolare, le ISO – prevedono tra i propri requisiti quello di una regolamentazione – scritta e formale – dei processi che ciascun operatore aziendale è tenuto a seguire e rispettare. Anche in assenza di conformità ISO, tuttavia, è buona norma – ed anzi, come vedremo, assolutamente necessario – prevedere un regolamento operativo interno per tutti coloro che accedono ai servizi e strumenti aziendali.

L’uso (e abuso) di tali strumenti, infatti, può comportare importanti conseguenze per il patrimonio aziendale, la stessa immagine e il “brand” del’impresa, per non tralasciare la (in)utilizzabilità di elementi di prova a propria tutela in sede giudiziale.

Una recente decisione dell’Autorità Garante italiana ci offre allora lo spunto per approfondire il contenuto e l’utilità di questo documento operativo, che deve essere necessariamente pratico, efficace e ben scritto, oltre che rispettoso della normativa vigente in ambito lavoristico e privacy.

La vicenda

Con un provvedimento datato 10 febbraio 2022 il Garante si è pronunciato in merito al reclamo proposto da un ex dipendente di una società (di cui era Amministratore Delegato, e da cui è stato licenziato), per violazione della disciplina privacy posta in essere dal datore di lavoro dopo la cessazione del loro rapporto.

Il tema, particolarmente delicato, è quello dei limiti entro i quali una società può lecitamente trattare i dati dei suoi dipendenti, in questo caso ex-dipendenti, senza ledere la loro legittima aspettativa alla riservatezza.

Oggetto di contestazione, tra gli altri, è stata la mancata cancellazione da parte del datore di lavoro dell’account di posta elettronica aziendale in uso (e intestato) al dipendente, e ciò senza che alcuna comunicazione informativa sia stata fornita dalla società in merito alla possibilità che la stessa potesse, in determinati casi e a certe condizioni, accedere all’account di posta elettronica aziendale del lavoratore, anche dopo l’interruzione del rapporto.

Va ricordato in proposito che, per costante giurisprudenza sia del Garante che di Cassazione, la casella di posta elettronica assegnata da una azienda ad un proprio dipendente è, a tutti gli effetti, uno strumento di lavoro ed in quanto tale è astrattamente accessibile da parte del datore di lavoro, a condizione però che il dipendente sia debitamente e preventivamente informato in maniera espressa di tale possibilità mediante l’adozione di un adeguato regolamento aziendale, oltre che di idonea informativa ai sensi del GDPR.

Il Jobs Act, attraverso la riscrittura dell’art. 4, L. n. 300/1970 – cd. Statuto dei lavoratori– prevede tale possibilità, quella cioè di operare controlli su tutti quegli strumenti di lavoro utilizzati dal dipendente per rendere la propria prestazione lavorativa anche senza previo accordo con le rappresentanze sindacali, anche laddove essi siano tecnicamente suscettibili di configurare un “controllo a distanza” (come nel caso di posta elettronica, appunto). Resta tuttavia fermo l’obbligo per il datore di lavoro di fornire adeguata informazione circa le modalità e l’uso degli strumenti di controllo, nonché l’obbligo di rispettare la normativa privacy.

Proprio entro gli stretti confini del meccanismo “informativa-controllo” anche la Suprema Corte di Cassazione e la Corte Europea dei Diritti dell’Uomo, di recente rispettivamente con le pronunce n. 26682/2017 e n. 61496/2018, ammettono che il datore di lavoro possa legittimamente controllare la posta elettronica del dipendente e, se del caso, dell’ex lavoratore.

L’obiettivo è quello di provare a contemperare due diverse ma importantissime esigenze, quella del datore di lavoro di accedere ad informazioni necessarie per la gestione della propria attività e di effettuare controlli (cd. difensivi), e quella del lavoratore a veder tutelata la riservatezza della propria corrispondenza.

La decisione del Garante

Nel caso esaminato dal Garante non è stato tuttavia riscontrato un equilibrio nel binomio “informativa-controllo”: addirittura, dagli atti emerge come non fosse disponibile a livello aziendale alcun documento definitivo da poter sottoporre ai dipendenti in termini di informativa, ma solo una bozza (probabilmente dimenticata in qualche cassetto o cartella del server aziendale).

A nulla in proposito sono allora valsi i chiarimenti della società secondo i quali spettava proprio all’ex dipendente – in qualità di amministratore – l’adozione del regolamento aziendale, concernente, tra l’altro, anche la regolamentazione dell’uso dell’account di posta elettronica e la nomina di un amministratore di sistema competente a visionare i messaggi in entrata negli account aziendali per conto della società.

E’ solo quest’ultima, in qualità di Titolare del trattamento, che aveva l’onere di procedere conformemente alla normativa, non potendo addossare alcunchè alla persona fisica ricoprente il ruolo di AD: ferma restando infatti una eventuale responsabilità civile del dipendente nei confronti dell’azienda, il Garante chiarisce che la responsabilità derivante dall’inadempimento dell’obbligo di informativa ex artt. 5, par.1 lett a) 12 e 13 GDPR – ricade pur sempre sulla società.

Pertanto, acclarata e dichiarata l’illiceità del trattamento, alla luce dei poteri di controllo previsti dall’art. 58, par.2 GDPR, il Garante ha disposto nei confronti della società una sanzione amministrativa pecuniaria di ben 10.000 euro.

Come costruire un regolamento operativo valido ed efficace?

È in casi come quello evidenziato dal provvedimento del Garante che risulta evidente l’importanza, in ambito aziendale, di dotarsi di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici, di una policy interna i cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati.

Come farlo, in pratica? Sicuramente tramite una revisione degli strumenti utilizzati in concreto, e non in astratto, seguita dalla costruzione di un testo semplice, chiaro e possibilmente “a schede” o comunque organizzato per tematiche omogenee.

I fiumi di testo, come più volte hanno precisato sia il Garante italiano che gli altri omologhi europei e l’EDPB, a poco servono e poco trasmettono ai dipendenti, quanto a precetti semplici e chiari da porre in pratica nel comportamento tenuto ogni giorno al lavoro.

Non va dimenticato che questo “regolamento” si deve coordinare con altri testi aziendali, quali il Codice etico, il Codice disciplinare, le procedure interne predisposte a vario titolo (es. D. Lgs. 231/2001) e, non ultimo, l’eventuale “Regolamento Smart Working“.

Una breve e certamente incompleta “checklist” di contenuti del Regolamento interno potrebbe essere allora la seguente:

  • una sintetica descrizione della struttura aziendale (referenti diretti, funzioni rilevanti)
  • una scheda relativa alle definizioni utilizzate (es. “Titolare del trattamento” è l’azienda stessa)
  • chiarimento sui livelli di riservatezza delle informazioni aziendali
  • uso delle credenziali di accesso ai servizi (riservatezza e non diffusione)
  • come utilizzare i dispositivi aziendali in generale, tra cui computer, smartphone, chiavette usb ed altro
  • uso lecito della rete internet
  • focus particolare sulla casella e-mail (sia personale che, eventualmente, di gruppo)
  • una “social media policy” che contemperi la libertà di espressione del singolo con la tutela dell’immagine aziendale
  • una “clean desk policy” riguardo all’uso di supporti materiali e cartacei
  • istruzioni specifiche sulla gestione delle informazioni presenti su stampe e fotocopie

Non va poi dimenticato che, accanto alle istruzioni “positive” nei confronti dei dipendenti e collaboratori dell’impresa, è opportuno anche chiarire con precisione il quadro dei sistemi di controllo – ove presenti – e delle sanzioni disciplinari conseguenti alla violazione delle indicazioni fornite.

In ultimo, ma non meno importante – come ha evidenziato lo stesso provvedimento del Garante – tale regolamento va efficacemente portato all’attenzione di tutti, sia inviandolo a mezzo e-mail e/o rendendolo disponibile mediante affissione, che attraverso incontri di formazione e spiegazione dei suoi contenuti.

_________________________________________________

Photo by Nick Loggie on Unsplash

Novità in materia di Green Pass e gestione dell’emergenza Covid-19

Con la pubblicazione del Decreto Legge 24 marzo 2022, n. 24 il Governo italiano ha nuovamente modificato – questa volta in senso permissivo – la regolamentazione dell’uso e controllo del c.d. “Green Pass”, ossia la certificazione verde Covid-19 di cui abbiamo già riportato nei nostri precedenti articoli, all’introduzione qui ed in seguito qui.

Cosa cambia

Anche se la curva dei contagi non accenna a scendere, è stata decretata la fine dello “Stato di Emergenza” deliberato nel 2020 all’inizio della epidemia pandemica.

Con questa impostazione, vanno necessariamente a decadere una serie di restrizioni alla libertà di circolazione, interazione e comportamento poste a carico della collettività, tra cui appunto l’impiego del Green Pass in ambito – per quel che qui conta – lavorativo e aziendale.

Il Decreto fissa una sorta di percorso di “normalizzazione”, tant’è che i titoli degli artt. 6 e 7 sull’utilizzo del Green Pass base e rafforzato recano appunto la dicitura “Graduale eliminazione (…)”.

Un primo tema, riguardo l’accesso ai luoghi di lavoro, è regolato proprio dai menzionati articoli, laddove – pur estendendo di fatto lo Stato di Emergenza al 30 aprile, anche se non espressamente – si passerà dal 1 aprile all’utilizzo della versione base, per poi dal 1 maggio eliminare completamente la necessità di controllo ed esibizione della certificazione verde.

In proposito, resta comunque l’obbligo vaccinale per gli over 50, anche se non sarà più un pre-requisito per l’accesso in azienda, rimanendo unicamente sanzionabile in caso di controllo delle forze dell’ordine.

Un altro punto focale è l’uso delle mascherine sul luogo di lavoro, che parrebbe – a quanto si legge dal dettato normativo – prolungato solo sino al 30 aprile 2022.

E dopo? Molti si interrogano già da tempo sul bilanciamento tra garanzia di sicurezza e salute del personale in azienda, tra i compiti posti a carico del Datore di Lavoro ai sensi del D. Lgs. 81/2008, e libertà personale.

Una risposta certa, ad oggi – ma lo abbiamo ormai imparato – non c’è, e pare non arriverà prima degli ultimi giorni del mese di aprile, quando dobbiamo aspettarci una circolare o altro testo integrativo della situazione attualmente disegnata da questo Decreto Legge.

Tuttavia, una nota di Confindustria recentemente circolata propende, come diverse voci autorevoli nel settore, per una certa prudenza nell’abbandono delle mascherine in ambito lavorativo, anche alla luce dei contagi che non accennano a calare.

Piccola nota conclusiva in materia di trattamento di dati personali, con l’art. 13 che prevede il prolungamento dell’uso delle informazioni raccolte durante il periodo pandemico da parte del Ministero della salute di concerto con l’Istituto Superiore di Sanità, ai fini di monitoraggio della situazione, fissando altresì per legge l’esatta base giuridica da applicarsi (art. 9(2) lett. i) e j) del GDPR) e le modalità di condivisione dei dati con soggetti terzi per fini di elaborazione, ai sensi dell’art. 28 GDPR (nomina a responsabile).

Cosa fare in azienda

Di fondamentale importanza è passare, dal 1 aprile, alla verifica “base” del Green Pass per tutti.

In tal senso, ci si augura che sia l’app VerificaC19 che il portale INPS GreenPass50+ vengano prontamente aggiornati, eliminando rispettivamente la modalità di verifica chiamata “LAVORO” e le specifiche relative agli over-50 ove non vaccinati o guariti.

In ogni caso, sia le app locali che gli eventuali totem o verificatori all’accesso dovranno essere aggiornati e impostati correttamente: permane ancora la necessità di esporre e tenere a disposizione di tutti le informative privacy predisposte, nonché l’ulteriore documentazione – tra cui il protocollo di sicurezza – al fine di mantenere ancora ben ordinate le verifiche, almeno sino a tutto il 30 aprile 2022.

In seguito, si vedrà, come siamo ormai ben abituati a fare. Speriamo, solo, che tutto vada per il meglio e le restrizioni finalmente vengano eliminate in ragione di un effettivo calo dei contagi.

_________________________________________

Photo by Jason Hogan on Unsplash