Articoli

Il prossimo “Privacy Shield”: avvenimenti, criticità e possibilità aperte

Alla luce della novità di ieri, con il Garante italiano che ha – allineandosi ad altri “colleghi” europei – sanzionato l’uso di Google Analytics per il trasferimento di dati verso gli USA, ritenuto non conforme a GDPR, riteniamo molto interessante tornare sul tema degli accordi transatlantici USA-UE per (provare a) rendere lecita l’attività che coinvolge fornitori americani.

Gli avvenimenti principali: Max Schrems e la Corte di Giustizia UE

Il “Privacy Shield”, che permetteva il trasferimento di dati personali fra Unione europea e gli Stati Uniti, era un meccanismo approvato dall’Unione europea in seguito all’abolizione – sempre per mano della Corte di Giustizia UE – del suo predecessore, il “EU-USA Safe Harbour”.

Entrambi gli accordi definivano gli Stati Uniti come un Paese verso cui è possibile effettuare, secondo certe condizioni, un trasferimento dei dati di cittadini europei e/o persone comunque soggette alla normativa UE: ciò fino all’incontro-scontro con Max Schrems, giovane avvocato e attivista austriaco, che da anni sfida le politiche di trasferimento di dati verso gli USA attuate, in particolare, nell’ambito del social network “Facebook”.

Nel 2011, Max Schrems, dopo aver assistito a una lezione, in un’università della California, tenuta dal privacy lawyer di Facebook, si è reso conto che le politiche del social network non tutelavano la privacy degli utenti, e ha scaricato una copia da Facebook dei dati che lo riguardavano, in possesso della piattaforma. L’allora studente di legge ha trovato oltre 1.200 pagine di informazioni sul suo conto, contenenti anche tutti i messaggi scambiati sulla piattaforma, compresi quelli cancellati.

È iniziata così la battaglia legale, alla quale si sono aggiunte, in modo decisivo, nel 2013, le rilevazioni di Edward Snowden, ex tecnico della CIA, secondo cui anche il governo degli Stati Uniti poteva avere accesso ai dati di Facebook, e non solo i gestori del social.

La prima vittoria di Schrems è del 2015, quando la Commissione europea ha smantellato la struttura del Safe Harbour. Ma l’attivista ha proseguito ancora, e nel luglio 2020 la Corte di Giustizia dell’Unione europea ha emesso una nuova sentenza che ha abbattuto anche il Privacy Shield.

Max Schrems, nel frattempo, ha anche fondato una organizzazione no profit (“NOYB”, “None Of Your business”).

Cos’è rimasto in piedi dell’impianto legislativo per il trasferimento dei dati personali europei negli Stati Uniti?

La Corte di Giustizia, in relazione agli artt. 7 8 e 47 della carta di Nizza, in materia di protezione dei dati, su è espressa in merito alla normativa che imponeva a Facebook di mettere a disposizione delle agenzie di Intelligence americane i dati personali trasferiti, o quelli che Facebook raccoglieva dagli utenti.

In particolare, l’art 702 del FISA (“Foreign Intelligence Surveillance Act”) consente al Procuratore e al Direttore dell’Intelligence americana di autorizzare congiuntamente, previa approvazione della Corte ad hoc FISA, la sorveglianza di specifici utenti e dati mediante programmi di sorveglianza come PRISM e UPSTREAM. La Corte di Giustizia UE ha valutato anche la portata dell’Executive Order n. 12333, che consente alla NSA (“National Security Agency”) di accedere ai cavi sottomarini posti sotto l’atlantico (“dorsali di internet”) e di raggiungere i dati personali prima che essi arrivino negli Stati Uniti.

Il diritto degli Stati Uniti, secondo la sentenza della Corte di Giustizia, non prevede garanzie e limitazioni sui dati personali rispetto alle ingerenze autorizzate dalla sua normativa nazionale, e non assicura una tutela giurisdizionale effettiva degli interessati contro queste ingerenze. Restano tecnicamente validi, comunque, dopo la sentenza della Corte, tutti gli strumenti alternativi alla decisione della commissione europea, in particolare le Clausole Contrattuali Standard (in versione 2021) e le norme vincolanti di impresa (“Binding Corporate Rules”), seppure queste ultime siano utili solo a grandi (e poche) multinazionali.

Sono strumenti che non possono essere adottati solo formalmente: è necessario infatti che il Titolare del trattamento svolga sempre una valutazione caso per caso, in modo da assicurare mediante misure di sicurezza e misure supplementari che la normativa statunitense non interferisca con la protezione dei dati personali garantita dal GDPR. Se, alla fine di questa valutazione, il Titolare ritiene che non vi siano ancora adeguate garanzie, deve sospendere o porre fine al trattamento di dati personali verso gli USA.

È possibile allora ipotizzare un nuovo Privacy Shield?

Prendendo le mosse da ragionamenti di carattere storico, dato che già il primo Safe Harbour che esisteva fra Unione europea e Stati Uniti venne dichiarato invalido dalla CGUE e successivamente si arrivò a un altro compromesso, potenzialmente si potrebbe giungere a un altro accordo.

Il rischio concreto è che, per conflitto di normative interne, ora non si riescano mai a raggiungere gli standard di sicurezza previsti dall’unione europea: ciò seppure, rispetto al passato, si stanno comunque compiendo dei notevoli passi avanti, grazie ai meccanismi di cooperazione fra le Autorità Garanti europee e con l’interlocuzione tra Commissione UE e governo USA.

Ad esempio, è stato pubblicata una nuova versione delle Clausole Contrattuali Standard, che rivedono un meccanismo di trasferimento dei dati rimasto un po’ “abbandonato” negli anni, in quanto ancora riferito alla Direttiva del 1995 anche dopo l’avvento del GDPR; anche la pubblicazione da parte dell’EDPB delle Linee guida sul Trasferimento internazionale dei dati personali ha rappresentato, a parere degli esperti, una preziosa fonte di indicazioni e istruzioni, anche tecniche, per limitare i rischi e adeguare i trattamenti che comportano trasferimenti.

Rimane certa, per ora, la necessità di adottare un approccio concreto e non teorico nel trasferimento dei dati personali, valutando caso per caso con adempimenti come un attento data mapping e una valutazione relativa al trasferimento dei dati (c.d. “TIA”) quali potrebbero essere i rischi derivanti dal trasferimento di dati personali extra UE, valutando anche le misure alternative o le misure tecniche per rendere il trattamento il più possibile rispettoso dei diritti e delle libertà degli interessati.

_______________________________________________________

Immagine di copertina grazie a NASA on Unsplash

Richiesta di accesso ai dati manifestamente infondata o eccessiva: quando il Titolare può dire “no”

“Da grandi poteri derivano grandi responsabilità”, usava dire lo zio Ben a Peter Parker / Spiderman.

Ed è evidente, se si tiene a mente tutto ciò, che un Titolare del trattamento è spesso chiamato a porsi, e poi attuare, una lunga lista di obblighi e responsabilità.

Tra di esse hanno una posizione di assoluto rilievo le misure necessarie a fornire all’interessato le informazioni relative ai trattamenti gestiti, prendersi carico dei diritti (accesso, rettifica, cancellazione e limitazione del trattamento) tra cui la portabilità dei dati e l’opposizione al trattamento.

In questo quadro, si rimane particolarmente colpiti quando ci si imbatte in uno di quei casi in cui il Titolare ha potuto legittimamente negare l’accesso ai dati di un interessato.

A fronte delle tutele previste per l’accesso ai dati personali dell’interessato, e in particolare, dagli artt. 15-22 GDPR, la Corte di Norimberga ha infatti ritenuto prevalente, ai sensi dell’art. 12(5) GDPR, il diritto del Titolare a non dare seguito a richieste manifestamente infondate o eccessive.

I fatti

Il Titolare del trattamento è una società di assicurazione privata, con cui l’interessato ha stipulato un contratto di copertura assicurativa.

Le parti hanno dato avvio a una controversia legata alla supposta invalidità – invocata dall’assicurato – di diversi aumenti del premio che si erano succeduti nel periodo di vigenza del contratto.

L’interessato ha così adito la Corte Regionale di Ansbach per il rimborso dei premi pagati in eccesso, e ha contestualmente inviato una richiesta di accesso ai dati personali al Titolare del trattamento, avente ad oggetto tutte le informazioni sugli aggiustamenti occorsi ai premi effettuati, con gli aggiornamenti alle polizze assicurative, i supplementi alle stesse e tutte le lettere di notifica inviate, nel tempo, al soggetto interessato.

Il Titolare, a tale richiesta, ha opposto il proprio diniego.

La decisione

La Corte Regionale di Norimberga ha considerato che lo scopo della richiesta dell’assicurato non fosse quella di verificare la legittimità del trattamento dei dati che lo riguardavano, ma piuttosto quella di controllare se gli aggiustamenti fatti ai premi assicurativi fossero adeguati alla legge tedesca.

Pertanto, la Corte ha ritenuto che l’istanza presentata fosse manifestamente eccessiva, e ha stabilito che un Titolare può legittimamente rifiutarsi di ottemperare a una tale richiesta di accesso ai dati, ai sensi dell’art. 12(5)(b) del GDPR.

La decisione può dare spunto per una riflessione su cosa costituisca una richiesta “manifestamente eccessiva” e, più in generale, un “abuso” del diritto di accesso ai dati personali.

Sul punto, la Corte ha fatto riferimento allo scopo dell’art. 15 GDPR, che va letto congiuntamente e in armonia con il Considerando 63.

Dalla lettura delle due disposizioni, infatti, si può constatare che l’accesso ai dati personali concesso all’interessato ha, in generale, come obiettivo quello di permettere che il soggetto sia consapevole del trattamento dei dati, e possa verificarne la legittimità – obiettivi, entrambi, non presenti nell’intenzione dell’interessato nel caso proposto.

_________________________________________

Immagine di Kyle Glenn on Unsplash

Checklist: l’informativa privacy secondo il GDPR

Tutte le volte che vedo una informativa privacy (di un sito, di una società, di chiunque) e trovo pochi paragrafi, zero titoletti, o qualcosa che a colpo d’occhio proprio manca, mi chiedo.

Ma non basterebbe farsi una checklist?

E allora: eccola, grazie al lavoro del team di Project:IN Avvocati!

Naturalmente ogni segnalazione di integrazione o miglioramento è ben accetta, tenendo presente che non abbiamo incluso le indicazioni provenienti dalla normativa italiana (D. Lgs. 196/2003) ma solo dal GDPR.

_________________________________

Photo by Glenn Carstens-Peters on Unsplash

***

Controlli a distanza: il punto tra privacy e diritto del lavoro

Lo Statuto dei lavoratori prevede il generale divieto di controlli a distanza dei dipendenti, ma, allo stesso tempo, all’art. 4, consente l’utilizzo, tra gli altri strumenti, di impianti audiovisivi a fini di controllo per esigenze organizzative e produttive, per la sicurezza del lavoro e per ragioni di tutela del patrimonio aziendale.

La materia è stata riformata – come noto – dal Jobs Act, che ha integrato le norme previgenti ed in particolare proprio l’art. 4 (al secondo comma) con l’introduzione di un riferimento ai controlli sugli strumenti impiegati per rendere la prestazione lavorativa e di registrazione degli accessi e delle presenze, a cui non si applicano i vincoli generali di cui al comma primo.

Di conseguenza, gli “strumenti” (tecnologici, per lo più) impiegati dal lavoratore per rendere la propria prestazione lavorativa – quali computer, tablet, cellulari, telepass – possono divenire fonte di controllo a distanza, da parte del datore di lavoro, anche senza il previo accordo con i sindacati o l’autorizzazione dell’Ispettorato del lavoro.

In proposito non è da trascurare anche la questione della liceità della geolocalizzazione sull’auto aziendale in uso ai dipendenti, che è stata affrontata, di recente, dalla giurisprudenza italiana (si veda da ultimo Corte d’Appello di Roma nella Sentenza n. 641/2021).

L’utilizzo degli strumenti di controllo a distanza è – in sostanza – tendenzialmente legittimo solo a determinate condizioni e nel rispetto di ben specifici vincoli e impostazioni, che andiamo di seguito a esaminare.

Videosorveglianza

Dal punto di vista giuslavoristico, il datore di lavoro e le rappresentanze sindacali unitarie (“RSU”) o aziendali (“RSA”) devono sottoscrivere un accordo collettivo contenente la regolamentazione del funzionamento dell’utilizzo dell’impianto di videosorveglianza.

Se l’accordo non è raggiunto, o nel caso in cui in azienda non siano presenti RSU o RSA, il datore di lavoro deve rivolgersi all’Ispettorato del Lavoro territoriale per chiedere un’autorizzazione all’installazione dell’impianto, depositando un’istanza motivata. L’autorizzazione dell’ispettorato oppure l’accordo sindacale sono necessari anche se l’impianto entra in vigore nelle fasce orarie in cui l’azienda è vuota, ed è irrilevante che l’impianto installato non sia funzionante.

Dal punto di vista della privacy, sul tema, è previsto che il titolare del trattamento, in conformità con il principio di responsabilizzazione di cui all´art. 24 GDPR, debba valutare la conformità del trattamento che intende effettuare alla disciplina vigente, verificando il rispetto di tutti i principi in materia nonché la necessità di effettuare, in particolare, una valutazione di impatto ex art. 35 del GDPR oppure attivare la consultazione preventiva ai sensi dell´art. 36 del GDPR.

I dipendenti devono essere certamente portati a conoscenza dell’installazione dell’impianto grazie a un comunicato o a un cartello informativo (“informativa minima”) e anche grazie ad un’informativa estesa contenente l’indicazione e dati di contatto del titolare del trattamento e del Data Protection Officer (“DPO”), se presente, nonché le finalità del trattamento.

Nello stesso senso, anche l’impostazione e il direzionamento delle telecamere che formano l’impianto non può trascurare i principi di minimizzazione e limitazione del trattamento, pertanto ponendo grande attenzione a cosa, e soprattutto chi, viene ripreso (ad esempio, escludendo la pubblica via per quanto possibile e riducendo il campo di copertura alle sole parti dell’azienda utili alla finalità prevista).

Buona regola, infine, è quella di istruire per iscritto tutti i soggetti (interni o esterni, come la società che svolge la vigilanza diurna o notturna) dei vincoli e delle necessarie attenzioni alla riservatezza che essi devono porre nel visionare, dal vivo come in remoto, le immagini raccolte dall’impianto di videosorveglianza.

Gps sui veicoli in uso ai dipendenti

Nelle ipotesi in cui la possibilità di individuare in un dato momento la posizione dei veicoli, e, di conseguenza, dei lavoratori, mediante sistemi di localizzazione, possa rivelarsi utile per soddisfare esigenze organizzative, produttive, nonché per esigenze di sicurezza sul lavoro, devono essere rispettate sia la disciplina sulla protezione dei dati personali, sia la normativa a tutela dei lavoratori, tenuto conto anche che la localizzazione dei veicoli potrebbe comportare una forma di controllo a distanza della loro attività.

L’esplicito richiamo effettuato dall’art. 4 co. 3 dello Statuto dei lavoratori alle disposizioni di cui al Codice Privacy (ora da intendersi, naturalmente, anche al GDPR), in particolare a quello relativo all’obbligo di rilascio dell’informativa, classifica, di fatto, l’attività di geolocalizzazione come trattamento dei dati personali, qualora la rilevazione dei dati dal dispositivo consenta di raccogliere informazioni sui singoli dipendenti – identificati o identificabili – e lo sottopone a tutte le relative disposizioni.

Il GDPR introduce, a seguire, una serie di principi generali, che costituiscono la base di riferimento per la realizzazione di ogni tipologia di trattamento di dati personali realizzata dal titolare del trattamento, compresa la rilevazione della posizione del dipendente in orario di lavoro mediante l’utilizzo di dispositivi GPS che possano integrare gli estremi del controllo a distanza e che muovono dai principi di “privacy by design” e “privacy by default”.

Per il conseguimento di ciascuna delle finalità legittimamente perseguite dal datore di lavoro, che riveste la qualità di titolare del trattamento, possono formare oggetto di trattamento, mediante sistemi opportunamente configurati, solo i dati pertinenti e non eccedenti: tali possono essere, oltre all’ubicazione del veicolo, la distanza percorsa, i tempi di percorrenza, il carburante consumato, la velocità media del veicolo.

Nel rispetto del principio di necessità, inoltre, la posizione del veicolo non deve essere monitorata continuativamente dal titolare del trattamento, ma solo quando ciò si renda necessario per il conseguimento delle finalità legittimamente perseguite.

Geolocalizzazione di smartphone, tablet e dispositivi mobili

Il principio di necessità, ai sensi del quale la posizione del veicolo può essere monitorata solo quando ciò si renda indispensabile per il perseguimento delle finalità previste, si applica allo stesso modo alla localizzazione dei dispositivi mobili in possesso dei dipendenti.

Bisogna considerare, in questo caso, anche che, ad esempio, lo smartphone è, per le sue caratteristiche, inevitabilmente destinato a “seguire” la persona che lo possiede, indipendentemente dalla distinzione fra tempo di lavoro e tempo di non-lavoro.

Il Garante ha però chiesto, in successivi provvedimenti sul tema, a maggiore tutela dei lavoratori, di posizionare sul dispositivo un’icona che indichi che la localizzazione è attiva e di configurare il sistema in modo tale da oscurare la posizione geografica dei dipendenti decorso un dato periodo di inattività dell’operatore sul monitor della centrale operativa.

I dati raccolti dal sistema possono essere consultati dagli addetti alla centrale operativa e dalla direzione informatica della società muniti di apposite credenziali e profili autorizzativi, in particolare per l’estrazione dei dati.

A ulteriore tutela dei dipendenti deve essere escluso l’utilizzo dei dati per finalità di controllo dei lavoratori o per scopi disciplinari. La società deve fornire, in ogni caso, ai dipendenti, un’idonea informativa che consenta l’esercizio dei diritti.

______________________________________________

Photo by Tobias Tullius on Unsplash

Brexit e privacy: cosa è cambiato, cosa può ancora cambiare

Dopo un lungo e dibattuto iter, il 31 gennaio 2020 il Regno Unito ha definitivamente lasciato l’Unione Europea.

Da tale momento ha preso il via un periodo di transizione, cd. bridging mechanism, finalizzato a consentire (da un lato) il graduale adeguamento dell’ordinamento britannico alla nuova situazione e (dall’altro) una transizione ordinata dei rapporti economici, amministrativi e giuridici tra Unione Europea e United Kingdom.

Tra i vari hot topics che hanno caratterizzato il caso ed il processo di realizzazione della Brexit, importantissimo è indubbiamente quello relativo alla protezione dei dati personali dei cittadini europei e alla possibilità che questi vengano trasferiti verso Paesi terzi.

La questione, già di per sé rilevante essendosi concluso definitivamente il processo di uscita dall’Unione (il Regno Unito è oggi ufficialmente e a tutti gli effetti un Paese terzo), diventa ancora più delicata alla luce delle future riforme che il Governo di Londra ha dichiarato di voler attuare.

Evoluzione della normativa privacy tra UE e UK

Per meglio comprendere i termini della faccenda è necessario passare in rassegna l’evoluzione normativa che ha caratterizzato negli ultimi anni – dall’inizio del processo fino al completamento della Brexit – l’ordinamento giuridico britannico dal punto di vista della data protection.

Prima della rottura definitiva con l’UE, le fonti normative vigenti in Gran Bretagna in materia di protezione dei dati erano due: una di matrice europea, Regolamento 2016/679 (“GDPR”), e una interna, il Data Protection Act del 2018 (“DPA”).

Nel 2018 poi, con l’intento di gettare solide basi per il cambiamento, il Parlamento inglese ha emanato l’European Union (Withdrawal) Act con un duplice scopo: abrogare l’European Communities Act del 1972 (con cui il Regno Unito aderiva alle tre comunità europee della CEE, CECA ed Euratom), e fornire una base giuridica affinché il diritto nazionale derivato dall’UE e la legislazione europea direttamente applicabile-incorporati nel diritto interno britannico in virtù del medesimo atto- potessero essere modificati.

Risultato di tale operazione “sartoriale” è stata la nascita del cd. retained EU law: un diritto comunitario modellato “su misura” alle esigenze e prospettive di uno Stato che, pur rivendicando indipendenza rispetto alle istituzioni europee, continua entro certi limiti a rispettarle (è stato infatti previsto che il retained law venga pur sempre interpretato dai giudici interni alla luce della giurisprudenza della Corte di Giustizia Europea e dei principi fondamentali dell’Unione, in vigore prima dell’uscita definitiva dell’UK dall’Unione).

Un esempio di legislazione secondaria, emanata in virtù dell’European Union (Withdrawal) Act e capace di modificare il retained law, è rappresentato dal “Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations, 2019 (DPPEC Regulations). Tale documento, a far data dal 1° gennaio 2021, ha modificato sia il DPA nazionale che il recepimento della normativa GDPR europea, creando così quello che oggi è conosciuto come ”UK GDPR”.

Brexit: cosa cambia in materia di trasferimento dei dati extra-UE

Il trasferimento dei dati verso Paesi terzi è oggetto apposita regolamentazione da parte del GDPR, regolamentazione – a questo punto –  applicabile a tutti gli effetti anche al Regno Unito.

I meccanismi previsti dal capo V (art. 44 e ss.) rispondono all’esigenza di assicurare alle persone fisiche coinvolte il medesimo livello di protezione offerto del Regolamento, e sono (in alternativa tra loro):

  • decisione di adeguatezza ex art. 45 GDPR: il trasferimento è ammissibile sulla base di una decisione di adeguatezza della Commissione Europea che stabilisca che il paese terzo garantisce una protezione adeguata (equivalente cioè a quella offerta dal GDPR stesso). I criteri utilizzati dalla Commissione per l’adozione della decisione sono vari, tra cui figurano lo stato di diritto del paese terzo e il suo rispetto nei confronti dei diritti fondamentali e delle libertà degli individui;
  • garanzie adeguate ex art. 46 GDPR: in mancanza di una decisione di adeguatezza, il titolare del trattamento può trasferire i dati verso un paese terzo soltanto nel caso in cui siano state fornite garanzie adeguate, a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi. Esempio di tali garanzie sono le Standard Contractual Clauses (SCC) approvate dalla Commissione Europea secondo la procedura d’esame di cui all’art. 93 (e contenute nella loro versione più aggiornata nella Direttiva 2021/914);
  • norme vincolanti d’impresa, ex art. 47 GDPR, per i gruppi che le hanno stipulate con l’Autorità di controllo;
  • deroghe, ex art. 49 GDPR: nel caso in cui non dovessero risultare utilizzabili gli strumenti previsti dagli articoli precedenti, in via residuale il trasferimento può comunque essere lecito perché, a titolo esemplificativo, il soggetto interessato ha prestato espressamente il consenso o perché il trasferimento è necessario per l’esecuzione di un contratto.

Come extrema ratio – laddove non fossero applicabili le deroghe specificamente elencate – l’art. 49 stabilisce che il trasferimento è pur sempre lecito se fondato sulla deroga di carattere generale del trasferimento non ripetitivo per il perseguimento di interessi legittimi cogenti dell’esportazione dei dati su cui non prevalgano gli interessi e le libertà degli interessati. Non si tratta di semplici interessi legittimi del titolare ma di interessi essenziali, come ad esempio l’esigenza di proteggere la propria organizzazione o i propri sistemi da un danno grave ed immediato.

Per gestire la questione del trasferimento dei dati verso il Regno Unito, la Commissione Europea ha emanato due decisioni di adeguatezza, una relativa al GDPR e una relativa al LED (Law Enforcement Directive, 2016/680), entrambe facenti parte del più ampio TCA (Trade and Cooperation Agreement), l’accordo volto a regolare gli scambi commerciali UE-UK.

La peculiarità di tali decisioni è la previsione di una “sunset clause”, (un unicum nella storia delle decisioni ex art. 45 GDPR) che limita l’adeguatezza della decisione a quattro anni (la scadenza è prevista al 27 giugno 2025), riservando alla Commissione stessa il potere di monitorare e verificare attivamente l’assetto in materia di privacy garantito dal diritto britannico.

In altri termini l’Unione, pur non rinunciando aprioristicamente alla possibilità di “avere a che fare” con il Regno Unito, si riserva la possibilità di cambiare idea nel caso il cui dovessero cominciare ad essere attuate riforme in grado di minare quel grado di protezione adeguato che il GDPR intende tutelare e che richiede per legittimare il trasferimento dei dati.

La decisione della Commissione appare quanto mai saggia soprattutto alla luce del fatto che la Gran Bretagna sta vivendo un periodo di potenziale (e audace) cambiamento.

Possibili scenari

Tra le molte proposte di riforma in grado di allontanare Londra dalle posizioni europeiste – a titolo esemplificativo, estendere l’utilizzo del legittimo interesse come base giuridica e facilitare il trattamento dei dati da parte di enti pubblici e privati per finalità di interesse pubblico (tra cui anche la lotta al covid-19)- , la più preoccupante riguarda l’ampliamento della lista dei paesi ai quali il Regno Unito intende concedere l’adeguatezza per il trasferimento dei dati, dal momento che tra i nuovi stati figurerebbero anche gli Stati Uniti.

Una riforma in tal senso potrebbe seriamente minare la stabilità della decisione di adeguatezza emessa, con ricadute su due diversi ed egualmente importanti ambiti.

In primo luogo, un allontanamento della legislazione UK dai principi fondanti del GDPR porterebbe forzatamente a rendere più difficoltosi i trasferimenti “diretti” di dati tra Europa e Gran Bretagna, in quanto le tutele accordate dal Regolamento ai cittadini europei potrebbero venire meno al mutare dell’assetto dell’ordinamento inglese.

Non è solo la normativa specialistica in materia di data protection ad avere un impatto diretto sulla decisione di adeguatezza emessa dalla Commissione UE: le stesse tutele generali accordate ai cittadini dallo stato, e lo stesso Stato di diritto, potrebbero comportare una violazione frontale della privacy del singolo.

Si pensi, ad esempio, al tema degli ordini esecutivi diretti con cui le forze di polizia accedono ai dati, in potenziale violazione dei diritti costituzionalmente tutelati – almeno, nell’Unione Europea – di riservatezza e libertà.

Proprio in quest’ottica, ed alla luce della caduta del EU-US Privacy Shield (il sistema di autocertificazione “fatto fuori” dalla sentenza Schrems II), al fine del trasferimento dei dati verso gli Stati Uniti, ad oggi – per qualsiasi business operante in UE – non è più sufficiente il solo riferimento alle Clausole Contrattuali Tipo della Direttiva 2021/914, la cui struttura è stata ricalcata dall’International Data Transfert Agreement approvato dal Garante inglese (ICO).

Se davvero il Regno Unito dovesse aprire le porte ai liberi trasferimenti di dati verso gli Stati Uniti ad esempio mediante l’emissione di una autonoma decisione di adeguatezza, allora si presenterebbe un grosso problema, dal momento che potrebbe di fatto venire elusa la fase dei controlli – particolarmente rilevanti – oggi imposti dal GDPR e dalla sua interpretazione fissata dalla Corte di Giustizia dell’Unione Europea.

L’eventuale revoca della decisione di adeguatezza comprometterebbe insomma, con tutta probabilità, il funzionamento dell’accordo sugli scambi commerciali (TCA) e aprirebbe una nuova frontiera nel settore dei trasferimenti internazionali per le aziende operanti in UE.

Gli occhi dell’Unione – e in particolare della Commissione – rimangono così puntati oltremanica in attesa degli sviluppi prospettati dal governo di Londra. E noi con loro.

_________________________________________________

Photo by Rocco Dipoppa on Unsplash

Green Pass e gestione della pandemia Covid-19 in azienda: ultima fermata?

(articolo aggiornato al 29 aprile 2022, ore 18:30)

Come probabilmente chiunque avrà letto, siamo arrivati a ieri (28 aprile) – non esattamente “dopo Pasqua” come promesso – per una indicazione definitiva sulla situazione a partire dal 1 maggio prossimo.

Di fatto, nel weekend le aziende dovranno adattare le loro procedure di accesso e controllo della forza lavoro alla luce delle nuove disposizioni, in ottica Green Pass, ma non avranno molto tempo per interrogarsi sulla questione mascherine.

Come indica la foto di copertina, in ogni caso, credo che alcune misure di sicurezza (il lavarsi le mani prima di tutto!) resteranno ancora per un po’: vediamo però gli aspetti più concreti e qualche indicazione operativa della prima – e quasi ultima – ora.

Addio Green Pass

Non è stato prorogato il requisito relativo alla necessità di Green Pass per l’accesso ai luoghi di lavoro privati: pertanto, dal 1 maggio (domenica) – e quindi soprattutto da lunedì prossimo, 2 maggio, per chi non ha “turni” o aziende aperte la domenica – non sarà più necessario (nè consentito, a rigore) limitare l’accesso ai soli dipendenti che ne sono in possesso.

Attenzione: non imporre la necessità significa di fatto vietare il controllo della “Certificazione verde” ai lavoratori.

Si possono quindi archiviare e/o accantonare:

  • la procedura operativa relativa a tali aspetti (conservandone una copia per ogni futura eventuale necessità)
  • le informative privacy redatte come esposte in precedenza
  • i totem, le postazioni di verifica e la cartellonistica che riguardava l’accesso vincolato al luogo di lavoro.

Andranno quindi rimosse e/o disattivate le misure di controllo predisposte, con cancellazione degli eventuali dati conservati.

E le mascherine al chiuso?

Quanto alle mascherine, l’ordinanza firmata dal Ministero della Salute (disponibile qui) unicamente raccomanda l’utilizzo continuo (almeno sino al 15 giugno prossimo) ma non lo rende obbligatorio.

L’interpretazione maggiormente conservativa – come pubblicata da molti degli organi di stampa che ho avuto modo di consultare in questo frenetico venerdì – ritiene che restino in vigore gli accordi tra le parti sociali che consigliano l’uso continuato negli spazi al chiuso, anche in considerazione della normativa di salute e sicurezza sul lavoro di cui al D. Lgs. 81/08.

In proposito, una nota di Confindustria già menzionata nel precedente articolo (qui) lo riteneva un atto quasi dovuto, per evitare focolai incontrollati da questo momento e sino all’estate, quando speriamo anche i numeri di contagi e decessi inizieranno a calare, insieme ai bollettini giornalieri.

Cosa fare?

Al di là di archiviare il lavoro che negli ultimi due anni è stato fatto (di corsa, faticosamente, navigando tra norme scritte in fretta e all’ultimo, in modo contorto – ma per carità, sull’onda di un’emergenza mai vista prima) resta importante informare tutto il personale.

Si suggerisce prima di tutto, per entrambi i temi (Green pass e mascherine) di fare una breve comunicazione a tutto il personale, e in particolare a coloro che sono autorizzati al controllo, al fine di tenerli informati delle nuove disposizioni.

In un secondo momento, ma neanche troppo in là, bisognerà capire se ci sono dati personali conservati negli archivi aziendali, e prepararsi a cancellarli in ossequio al principio di conservazione limitata (data retention).

In proposito, sarebbe auspicabile ricevere indicazioni dall’Autorità Garante per confermare quanto la legge, ad oggi, lascia ipotizzare.

____________________________________________

Photo by Kelly Sikkema on Unsplash

Dark Pattern: tutto quello che (non) vedi

Inutile negare che gran parte della nostra vita si svolge ormai su internet: lavoriamo e programmiamo le nostre vacanze, impariamo a cucinare e, addirittura, troviamo l’amore.

Tutto on line.

Il denominatore comune di tutte queste attività?  La comunicazione ad altri dei nostri dati personali, tema sensibilissimo e spesso ancora sottovalutato dai “non addetti ai lavori”: in molti casi ad essere importante – e particolarmente delicata – non è tanto la comunicazione in sé dei propri dati, quanto l’esigenza di assicurare che essa avvenga in maniera consapevole e responsabile.

La questione passa inevitabilmente anche attraverso l’interfaccia grafica che ogni sito web o piattaforma decide di offrire, in quanto strumento capace di indirizzare fortemente l’utente nella definizione delle proprie scelte – e, talvolta, nell’esecuzione di azioni inconsapevoli – in materia di dati personali.

L’attenzione è quindi rivolta ai dark pattern.

Definizione e compatibilità con il GDPR

Per dark pattern, letteralmente – e a buona ragione – “percorso oscuro”, si intendono tutte quelle interfacce grafiche implementate dai siti web allo scopo di spingere l’utente a compiere azioni non desiderate (e potenzialmente dannose), o a seguire delle procedure così complesse da scoraggiarlo a prestare la giusta attenzione al controllo e alla protezione effettiva dei suoi dati personali.

Una “x” poco visibile, un percorso informativo lungo e tortuoso, frasi fuorvianti: ecco che – 9 volte su 10 – finiamo per cliccare su “accetta tutto” pur di proseguire nella nostra navigazione, accedere alle informazioni che ci interessano o vedere lo status o le stories di un amico o una persona di interesse.

Il paradosso, fondato su bias cognitivi ben studiati, è che l’utente si sente perfettamente “padrone” delle proprie scelte, nonostante in realtà sia stato a tutti gli effetti vittima di una manipolazione volta a fargli prendere esattamente quella specifica, “autonoma” decisione.

Ma può essere questo un consenso validamente prestato?

La valutazione sulla compatibilità di tali pratiche col GDPR passa necessariamente attraverso un’attenta analisi dei principi dettati in materia dalla normativa.

L’art. 4, paragrafo 11 GDPR ci fornisce una definizione di consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Perché un consenso possa dirsi libero, specifico, informato e inequivocabile è chiaramente necessario che il titolare del trattamento si sia lasciato innanzitutto ispirare dai principi generali sanciti dall’art. 5 GDPR, primo fra tutti il principio di liceità, correttezza e trasparenza.

Solamente mediante una comunicazione chiara e trasparente, infatti, le informazioni relative al trattamento risulteranno accessibili e facilmente comprensibili per l’utente, così da consentirgli di prendere decisioni consapevoli in ordine alla protezione dei suoi dati personali.

Particolarmente rilevante è anche il concetto di privacy by design, consacrato nell’art. 25 GDPR, secondo il quale l’attenzione alla protezione dei dati da parte del Titolare del trattamento deve essere integrata in ogni fase del ciclo di vita della tecnologia, partendo già dalla fase di progettazione del prodotto attraverso la predisposizione di misure tecniche ed organizzative adeguate – quali ad esempio la minimizzazione dei dati – e l’integrazione nel trattamento di tutte le garanzie necessarie al fine di soddisfare i requisiti del GDPR.

Le Linee Guida EDPB

Le recenti Linee Guida emanate dallo European Data Protection Board (“EDPB”) – al momento solo in lingua inglese, e rese disponibili per consultazione pubblica sino al 2 maggio prossimo – ci forniscono una elencazione dettagliata di tutti i diversi tipi di dark pattern, raggruppati in sei macrocategorie:

  1. Overloading: gli utenti vengono sommersi da una grande quantità di informazioni, opzioni e richieste al fine di spingerli a fornire più dati personali di quelli effettivamente necessari;
  2. Skipping: l’interfaccia grafico del sito è strutturato in modo tale che l’utente non presti la giusta attenzione alla protezione dei propri dati personali;
  3. Stirring: viene fatta leva sull’emotività dell’utente per condizionarne le scelte, oppure si ricorre ai cd. visual nudges, strumenti cioè in grado di alterare i comportamenti delle persone senza proibire però la loro scelta di altre opzioni (è questo il caso della “x”: c’è, ma è difficilissima da trovare);
  4. Hindering: viene posto un ostacolo nel processo di informazione o gestione dei dati personali, attraverso azioni e procedure complicate o impossibili da portare a termine;
  5. Fickle: il design dell’interfaccia risulta poco chiaro, diventando così arduo per l’utente navigare tra i differenti strumenti di controllo dei dati;
  6. Left in the dark: l’interfaccia è strutturato in modo tale da nascondere le informazioni utili e gli strumenti di controllo o da lasciare l’utente incerto sulle concrete modalità di esercizio dei propri diritti.

Il caso Google

È proprio degli ultimi giorni la notizia per cui l’Associazione per la protezione dei consumatori (Consumer Advice Center) della Renania Settentrionale-Vestfalia ha annunciato di aver avviato una causa contro Google.

Le motivazioni riguardano l’uso da parte del colosso informatico di cookie banner strutturati in maniera tale da rendere oltremodo gravoso il rifiuto dei cookies da parte degli utenti nel corso della loro navigazione, in aperto contrasto dunque tanto con la normativa tedesca quanto con quella europea, non solo relativa al GDPR ma anche alla c.d. Direttiva ePrivacy di cui è in discussione, allo stato, un aggiornamento tramite lo strumento (come per il GDPR) del “Regolamento”.

Mentre per l’accettazione dei cookies basta un semplice click, insomma, per il rifiuto l’utente si trova costretto a dover deselezionare manualmente tre categorie di cookies, prima che Google gli consenta di procedere alle sue ricerche.

In proposito, anche l’Autorità Garante di Amburgo (Germania) ha recentemente assunto la medesima posizione, sia in riferimento al banner del motore di ricerca che a quello della piattaforma di video streaming YouTube, ponendosi nel solco di altre precedenti decisioni – e sanzioni salatissime – in materia, tra cui vanno ricordate soprattutto quelle erogate dal CNIL (Autorità francese) a inizio anno proprio contro Google oltre che verso Facebook.

Best practices: come disegnare un’interfaccia utente rispettosa della normativa

Di seguito riportiamo alcune delle raccomandazioni contenute nelle Linee Guida EDPB 3/2022 per strutturare le interfacce web (di siti e piattaforme) in maniera conforme a quanto previsto dalla normativa europea.

Per quanto riguarda la privacy policy:

  • aggiungere link ipertestuali diretti che reindirizzino gli utenti alle parti più importanti della privacy policy (la quale dovrebbe essere il più possibile chiara e sintetica);
  • consentire ad esempio mediante menù a tendina una overview della policy, in modo che gli utenti siano in grado di trovare facilmente la sezione di loro interesse;
  • fornire sempre, in caso di uso di termini tecnici o di linguaggio non comune, definizioni comprensibili;
  • in aggiunta alle informazioni obbligatorie, fare degli esempi per rendere i concetti più “tangibili” per gli utenti;
  • indicare espressamente e chiaramente l’Autorità Garante competente, aggiungendo al sito un link alla pagina ufficiale per eventuali lamentele;
  • se la privacy policy viene modificata, rendere accessibile di volta in volta la/le precedente/i versione/i.

Con riferimento invece alle meccaniche di relazione con gli utenti:

  • prevedere un sistema di iscrizione chiaro e semplice;
  • fornire un pannello utente che permetta una selezione immediata delle preferenze in materia privacy;
  • prevedere meccanismi di cancellazione dell’utente diretti e immediati, che comunichino le opzioni disponibili (sospensione, cancellazione, ecc.) e spieghino cosa avverrà dei dati in seguito.

In ultimo, come già anticipato, la parte finale delle Linee Guida EDPB (sez. IV) scende nei dettagli delle pratiche da non seguire, a pena di violare i principi di accountability, trasparenza e data protection by design che possono poi comportare, a carico del Titolare del trattamento (quindi del sito web o della piattaforma) sanzioni economiche (anche pesanti) e il blocco dei dati ottenuti in violazione della normativa applicabile.

____________________________________________________

Photo by Dan Asaki on Unsplash

Recenti sentenze della Corte di Giustizia UE (anno 2021)

Potremmo immaginare il diritto dell’Unione europea come la tela (assai ampia) di un ragno: diventa molto più debole laddove ci sono vuoti o rotture del suo intreccio. Fuor di metafora, i vuoti e le rotture sono le violazioni realizzate con la mancata applicazione del diritto europeo da parte (o all’interno) dei singoli Stati membri: violazioni delle norme sulla concorrenza, del Regolamento Generale per la Protezione dei Dati Personali (“GDPR”), del ne bis in idem e altro ancora.

Diverse sentenze pronunciate dalla Corte di Giustizia UE nel 2021 hanno avuto conseguenze profonde ed evidenti nella vita quotidiana dei cittadini europei: la Corte ha – come sempre accade – rivestito in tutti i casi un ruolo importante nell’assicurare un’interpretazione e un’applicazione uniformi del diritto dell’Unione.

Proprio in questa prospettiva abbiamo fatto una analisi di alcune di tali sentenze, selezionate fra le molte emanate in materia di IP e tecnologia nel 2021, che di seguito vi proponiamo.

La protezione del design comunitario non registrato – 28 ottobre 2021, sent. C-123/2020

Link diretto alla decisione

Nel primo caso, il contenzioso di base ha preso avvio da un Tribunale tedesco presso cui la casa automobilistica Ferrari aveva chiesto un’ingiunzione contro una società di design per violazione di norme sul Design Comunitario non Registrato (“UCD”) in relazione alla nuova serie di supercar da pista.

Il lancio della serie in produzione limitata della nuova macchina da corsa era stato reso pubblico nel 2014, in una conferenza stampa che mostrava immagini frontali e laterali della macchina.

Nel 2016 la società di design, specializzata nella modifica di auto di lusso, ha iniziato ad offrire set di accessori personalizzati, conosciuti come “tuning kits”, pensati per modificare l’aspetto della Ferrari 488 GTB per farla somigliare al modello in serie limitata.

In primo grado e in appello le istanze di Ferrari sono state respinte dalle Corti tedesche; perciò, la decisione è stata impugnata davanti alla Corte di Giustizia dell’Unione europea.

La Corte ha esaminato l’istanza della Corte tedesca e ha affermato che, una volta soddisfatte le condizioni essenziali per la protezione, vale a dire quando il design soddisfa il requisito di novità e ha un carattere individuale, costituisce unica condizione formale per la creazione di un disegno o modello comunitario non registrato l’obbligo di metterlo a disposizione del pubblico.

La Corte di Giustizia ha così chiarito che la scoperta dell’immagine completa di un prodotto è sufficiente per ottenere una protezione del design non registrato per gli elementi separati e specifici del prodotto.

La Corte ha spiegato che dopo aver reso disponibile un progetto al pubblico, gli elementi separati “chiaramente identificabili” e “chiaramente visibili” possono godere di protezione come disegni parziali.

Decompilazione di software – 6 ottobre 2021, sent. C-13/2020

Link diretto alla decisione

Questa vertenza ha visto contrapposti lo Stato del Belgio e uno sviluppatore di software. La disputa è iniziata a causa di problemi operativi sorti mentre l’Ufficio Selezione dell’autorità federale belga (“SELOR”) utilizzava in licenza un programma di Top System.

A causa di problemi operativi, SELOR ha decompilato il programma per correggere gli errori e Top System ha contestato che la decompilazione di SELOR violava il proprio diritto di esclusiva sul software, avanzando una richiesta di risarcimento del danno.

La Corte di Giustizia ha stabilito che chi acquista un programma è autorizzato a decompilare il software al fine correggere gli errori che si verificano nelle operazioni, inclusi i casi in cui la correzione consista nel disabilitare una funzione che comprometta il funzionamento di quel programma.

Le motivazioni applicate in diritto sono state l’art. 5 e l’art. 6 della Direttiva 91/250 relativa alla tutela giuridica dei programmi per elaboratore.

La particolarità osservata dalla Corte in questo caso è che il diritto a decompilare è soggetto a “specifiche previsioni contrattuali”, vale a dire che le parti possono accordarsi sul limitare i diritti a decompilare il software di chi possiede la licenza, mantenendo l’onere di correggere gli errori ed effettuare manutenzioni in capo a chi concede la licenza.

Su questo tema, la Corte ha comunque precisato che non può essere mai completamente esclusa la possibilità per chi possiede la licenza di correggere errori.

La pubblicità di dati particolari – 22 giugno 2021, sent. C-439/2019

Link diretto alla decisione

Il caso in esame riguarda una disposizione nella legge della Lettonia che dà accesso all’informazione sui punti di penalità per violazioni del Codice stradale lituano a chiunque sia interessato, senza necessità di provare uno specifico interesse, al fine di migliorare la sicurezza sulle strade della Lettonia.

Un cittadino, i cui dati sono stati oggetto di ripetuto e sgradito utilizzo, ha proposto un ricorso davanti alla Corte costituzionale lettone per esaminare la compatibilità della disposizione di cui all’art. 141(2) del codice della strada con il diritto fondamentale al rispetto della vita privata sancito dall’art. 96 della Costituzione lituana.

La Corte di Giustizia UE, adita proprio dalla Corte lettone, ha stabilito che i dati su violazioni registrate sono dati particolarmente delicati e ha segnalato che la legislazione lituana si pone in violazione del GDPR. La decisione ha sottolineato anche che l’obiettivo di diminuire gli incidenti e le violazioni sulle strade lettoni non è perseguibile attraverso la pubblicazione di quei dati, che non trovano una base giuridica nel legittimo interesse.

Conclusioni

Nei tre casi presi ad esempio, la Corte di Giustizia ha sempre formulato l’obbligo, per le amministrazioni e i giudici nazionali, di applicare pienamente il diritto dell’Unione nell’ambito della loro sfera di competenza e di tutelare i diritti conferiti ai cittadini, disapplicando qualsiasi contraria disposizione del diritto nazionale, nel rispetto del generalizzato principio di supremazia del primo sul secondo.

Queste sentenze, in particolare, saranno da tenere a mente:

  • per la redazione di contratti di fornitura di software (sent. C-13/2020),
  • per le amministrazioni locali (sent. C-439/2019),
  • e per le grandi società che intendano disporre dei propri marchi (sent. C-123/2020).

_________________________________________

Photo by Berta Ferrer on Unsplash

Comunicazioni commerciali: la “spazzatura” che incombe sugli utenti

Nel migliore dei casi, ciascuno di noi perde quotidianamente un po’ di tempo a eliminare le e-mail di troppo, mentre la casella si appesantisce di qualche Megabyte in più. Più spesso, si rischia addirittura di perdere messaggi importanti in mezzo a centinaia di comunicazioni commerciali, o – nei casi peggiori – si ricevono malware o messaggi dannosi, che possono provocare seri danni.

Come difendersi da queste situazioni? Come riconoscerle? Cosa fare? Di seguito trovate alcune domande “classiche” sul tema dello spam, corredate da brevi risposte operative pensate per agevolare la propria tutela e – se siete un’azienda – evitare di incorrere in spinose questioni privacy.

Da dove viene la parola “spam”?

La parola “Spam” nasce come l’abbreviazione di “Spiced ham” e proviene da un marchio di carne in scatola che veniva prodotto dall’azienda americana Hormel Foods Corp nella prima metà del Novecento. Quella carne costituì una delle uniche fonti di cibo nutriente in Inghilterra durante la Seconda guerra mondiale; così, facendo leva sulla diffusione enorme del prodotto, nel dicembre del 1970, la BBC trasmise un episodio di una nota serie televisiva ambientato in un ristorante in cui il menù si componeva interamente di pietanze a base di “spam”, la famosa carne in scatola.

Cos’è lo spam oggi?

L’invio di comunicazioni promozionali e di materiale pubblicitario senza il consenso dei destinatari è usualmente definito “Spam”, ed avviene tramite l’invio di materiale pubblicitario o di vendita diretta o il compimento di ricerche di mercato o, ancora, tramite attività di generica comunicazione commerciale. Non è necessario, solitamente, un invio massiccio né simultaneo di comunicazioni a una pluralità di indirizzi o numeri di telefono per configurare un caso di “Spam”: queste modalità rilevano, eventualmente, per qualificare la condotta come sistematica e determinare di conseguenza le eventuali sanzioni nel caso in cui le norme di legge non siano rispettate.

Con che mezzi possono essere raggiunti gli utenti?

Le modalità più frequenti di Spam sono l’invio di fax, sms, e-mail e telefonate. È possibile che i dati personali siano tratti da registri pubblici, elenchi, siti web, per cui si configura un comportamento tendenzialmente illecito come ha più volte ribadito il Garante italiano, ad esempio con questo provvedimento). Non è lecito nemmeno utilizzare per inviare e-mail promozionali gli indirizzi PEC contenuti nell’indice nazionale istituito per favore la presentazione di istanze e lo scambio di informazioni con la Pubblica Amministrazione, perché tutti questi trattamenti avvengono senza il consenso degli interessati, come chiarito espressamente dalle Linee Guida (ormai risalenti) del 2013.

È stato di recente ribadito che non è neppure possibile contattare l’utente telefonicamente, chiedendo subito il consenso a ricevere comunicazioni promozionali: le modalità di cui all’art. 130 commi 1 e 2 del Codice Privacy, richiedono infatti il consenso anche per i numeri presenti in elenchi telefonici, sempre a condizione che ciò avvenga nel rispetto dei limiti e con le modalità che le leggi, i regolamenti o la normativa europea stabiliscono per la conoscibilità e pubblicità dei dati, ed in particolare secondo i requisiti fissati dalle disposizioni del Registro delle Opposizioni, di recente aggiornate e che diverranno operative a breve.

Quanto Spam possono ricevere gli utenti?

Fino a qualche tempo fa, l’invio massiccio di comunicazioni pubblicitarie veniva in buona parte bloccato dai software presenti nelle caselle di posta; progressivamente i livelli di spam hanno assunto proporzioni impressionanti e, ad oggi, si rileva che vengano distribuite decine di miliardi di e-mail indesiderate, corrispondenti a una percentuale fra il 60% e il 90% del volume complessivo delle e-mail totali scambiate. Questo ha comportato anche una significativa evoluzione nei software e nelle tecniche impiegate per diffondere le comunicazioni massive e, di conseguenza, anche le attività di Spam, a tutto danno dei poveri utenti del web.

Qual è la normativa applicabile in tema di Spam?

In generale, con l’entrata in vigore del Regolamento UE n. 2016/679 (“GDPR”), inviare messaggi promozionali senza il consenso dell’interessato costituisce un trattamento privo di una base giuridica valida e dunque illecito: in proposito, è stata nel tempo ridotta la portata “programmatica” del Considerando n. 47 al GDPR, che stabilisce “può essere considerato legittimo interesse trattare dati personali per finalità di marketing”, anche se l’idea in principio resta, pur nel bilanciamento di interessi precisato più volte dal Garante (ad esempio, nel provvedimento 2020 contro TIM). Se poi nella condotta dovessero ricorrere gli elementi costitutivi richiesti dall’art. 167 del Codice Privacy, e cioè l’acquisizione con mezzi fraudolenti di un archivio automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, il trattamento illecito di dati personali effettuato mediante Spam potrebbe essere altresì qualificabile come illecito penale.

Lo spam può essere legittimo?

La pratica definita “Soft Spam” è considerata ammessa, seppure con precisi limiti, e consiste nell’invio di comunicazioni commerciali, in cui il mittente dei messaggi (“Titolare del trattamento”) può disporre di un proprio legittimo interesse: esso sussiste, ad esempio, quando i messaggi commerciali vengono inviati ad interessati già clienti del titolare perché hanno acquistato prodotti analoghi a quelli oggetto della promozione o che, in qualche modo, hanno manifestato interesse alla sua azienda. In tal caso, il mittente è (almeno inizialmente) esonerato dall’obbligo di richiedere il consenso espresso dell’interessato, ma dovrà in ogni caso informarlo espressamente del fatto che potrà ricevere messaggi di natura commerciale, concedergli la possibilità, in modo semplice, di negare il proprio consenso ad un successivo uso del suo indirizzo e-mail o del suo numero di cellulare, e dimostrare che con il trattamento dei dati, diritti e libertà dell’interessato non verranno lesi, confrontando gli stessi con il proprio legittimo interesse, secondo una procedura di autovalutazione da compiersi prima dell’inizio del trattamento.

Come possono tutelarsi gli utenti?

Si segnalano in primo luogo alcune tutele preventive, che sono state diffuse anche dal Garante Privacy come buone pratiche, tra cui ad esempio:

  • non diffondere, specialmente on-line, il proprio indirizzo e-mail o il numero di telefono;
  • leggere con attenzione le informazioni sull’impiego ed eventuale diffusione dei propri dati personali qualora sia necessario iscriversi a un sito web;
  • dedicare un apposito indirizzo e-mail per fare acquisti online o iscriversi a newsletter.

In ciascuna e-mail commerciale, per buona prassi più volte ribadita dall’Autorità italiana e dal EDPB a livello europeo, dovrà poi esserci un tool automatizzato di “cancellazione”, che è sempre possibile cliccare per rimuoversi da successivi invii, e – almeno in teoria – dovrebbe essere tanto semplice quanto lo è stata l’iscrizione alla newsletter stessa.

Una terza via è quella di esercitare i propri diritti fissati dagli artt. 15-22 del GDPR scrivendo al mittente delle comunicazioni di Spam, tramite indirizzi come “privacy@nomeazienda” o anche al Data Protection Officer che – ove nominato – deve essere indicato insieme ai suoi contatti in ciascuna informativa privacy: una semplice e-mail del tipo “Voglio essere rimosso da questa lista, con la mail da cui scrivo” potrà ben essere sufficiente, senza ulteriori formalismi.

C’è infine sempre la possibilità di inviare segnalazioni all’Autorità Garante, ove non si riceva riscontro nei tempi di legge (30 giorni dall’invio della richiesta), ricordando in particolare la possibilità di revocare in qualsiasi momento il consenso al trattamento dei propri dati e di conseguenza di pretendere la cancellazione definitiva di essi.

Quale extrema ratio, è sempre possibile agire in sede civilistica con un’azione per il risarcimento dei danni, ove patiti (con lo scoglio, tuttavia, di doverne dimostrare la consistenza).

E se sono un’azienda, cosa faccio?

Prima di tutto, le indicazioni fornite in questo articolo sono valide anche per impostare una corretta strategia di marketing tramite newsletter.

Per tutto quanto riguarda il “direct marketing” visto dietro le quinte del team aziendale vi rimandiamo, invece, ad un prossimo articolo.

___________________________________________

Photo by Amy Shamblen on Unsplash

Regolamento operativo per i dipendenti: una buona pratica aziendale

La gran parte degli standard di compliance – e, in particolare, le ISO – prevedono tra i propri requisiti quello di una regolamentazione – scritta e formale – dei processi che ciascun operatore aziendale è tenuto a seguire e rispettare. Anche in assenza di conformità ISO, tuttavia, è buona norma – ed anzi, come vedremo, assolutamente necessario – prevedere un regolamento operativo interno per tutti coloro che accedono ai servizi e strumenti aziendali.

L’uso (e abuso) di tali strumenti, infatti, può comportare importanti conseguenze per il patrimonio aziendale, la stessa immagine e il “brand” del’impresa, per non tralasciare la (in)utilizzabilità di elementi di prova a propria tutela in sede giudiziale.

Una recente decisione dell’Autorità Garante italiana ci offre allora lo spunto per approfondire il contenuto e l’utilità di questo documento operativo, che deve essere necessariamente pratico, efficace e ben scritto, oltre che rispettoso della normativa vigente in ambito lavoristico e privacy.

La vicenda

Con un provvedimento datato 10 febbraio 2022 il Garante si è pronunciato in merito al reclamo proposto da un ex dipendente di una società (di cui era Amministratore Delegato, e da cui è stato licenziato), per violazione della disciplina privacy posta in essere dal datore di lavoro dopo la cessazione del loro rapporto.

Il tema, particolarmente delicato, è quello dei limiti entro i quali una società può lecitamente trattare i dati dei suoi dipendenti, in questo caso ex-dipendenti, senza ledere la loro legittima aspettativa alla riservatezza.

Oggetto di contestazione, tra gli altri, è stata la mancata cancellazione da parte del datore di lavoro dell’account di posta elettronica aziendale in uso (e intestato) al dipendente, e ciò senza che alcuna comunicazione informativa sia stata fornita dalla società in merito alla possibilità che la stessa potesse, in determinati casi e a certe condizioni, accedere all’account di posta elettronica aziendale del lavoratore, anche dopo l’interruzione del rapporto.

Va ricordato in proposito che, per costante giurisprudenza sia del Garante che di Cassazione, la casella di posta elettronica assegnata da una azienda ad un proprio dipendente è, a tutti gli effetti, uno strumento di lavoro ed in quanto tale è astrattamente accessibile da parte del datore di lavoro, a condizione però che il dipendente sia debitamente e preventivamente informato in maniera espressa di tale possibilità mediante l’adozione di un adeguato regolamento aziendale, oltre che di idonea informativa ai sensi del GDPR.

Il Jobs Act, attraverso la riscrittura dell’art. 4, L. n. 300/1970 – cd. Statuto dei lavoratori– prevede tale possibilità, quella cioè di operare controlli su tutti quegli strumenti di lavoro utilizzati dal dipendente per rendere la propria prestazione lavorativa anche senza previo accordo con le rappresentanze sindacali, anche laddove essi siano tecnicamente suscettibili di configurare un “controllo a distanza” (come nel caso di posta elettronica, appunto). Resta tuttavia fermo l’obbligo per il datore di lavoro di fornire adeguata informazione circa le modalità e l’uso degli strumenti di controllo, nonché l’obbligo di rispettare la normativa privacy.

Proprio entro gli stretti confini del meccanismo “informativa-controllo” anche la Suprema Corte di Cassazione e la Corte Europea dei Diritti dell’Uomo, di recente rispettivamente con le pronunce n. 26682/2017 e n. 61496/2018, ammettono che il datore di lavoro possa legittimamente controllare la posta elettronica del dipendente e, se del caso, dell’ex lavoratore.

L’obiettivo è quello di provare a contemperare due diverse ma importantissime esigenze, quella del datore di lavoro di accedere ad informazioni necessarie per la gestione della propria attività e di effettuare controlli (cd. difensivi), e quella del lavoratore a veder tutelata la riservatezza della propria corrispondenza.

La decisione del Garante

Nel caso esaminato dal Garante non è stato tuttavia riscontrato un equilibrio nel binomio “informativa-controllo”: addirittura, dagli atti emerge come non fosse disponibile a livello aziendale alcun documento definitivo da poter sottoporre ai dipendenti in termini di informativa, ma solo una bozza (probabilmente dimenticata in qualche cassetto o cartella del server aziendale).

A nulla in proposito sono allora valsi i chiarimenti della società secondo i quali spettava proprio all’ex dipendente – in qualità di amministratore – l’adozione del regolamento aziendale, concernente, tra l’altro, anche la regolamentazione dell’uso dell’account di posta elettronica e la nomina di un amministratore di sistema competente a visionare i messaggi in entrata negli account aziendali per conto della società.

E’ solo quest’ultima, in qualità di Titolare del trattamento, che aveva l’onere di procedere conformemente alla normativa, non potendo addossare alcunchè alla persona fisica ricoprente il ruolo di AD: ferma restando infatti una eventuale responsabilità civile del dipendente nei confronti dell’azienda, il Garante chiarisce che la responsabilità derivante dall’inadempimento dell’obbligo di informativa ex artt. 5, par.1 lett a) 12 e 13 GDPR – ricade pur sempre sulla società.

Pertanto, acclarata e dichiarata l’illiceità del trattamento, alla luce dei poteri di controllo previsti dall’art. 58, par.2 GDPR, il Garante ha disposto nei confronti della società una sanzione amministrativa pecuniaria di ben 10.000 euro.

Come costruire un regolamento operativo valido ed efficace?

È in casi come quello evidenziato dal provvedimento del Garante che risulta evidente l’importanza, in ambito aziendale, di dotarsi di un disciplinare tecnico sull’utilizzo degli strumenti di lavoro elettronici, di una policy interna i cui vengono dettate le prescrizioni a cui i lavoratori devono attenersi nell’utilizzo degli strumenti elettronici aziendali loro assegnati.

Come farlo, in pratica? Sicuramente tramite una revisione degli strumenti utilizzati in concreto, e non in astratto, seguita dalla costruzione di un testo semplice, chiaro e possibilmente “a schede” o comunque organizzato per tematiche omogenee.

I fiumi di testo, come più volte hanno precisato sia il Garante italiano che gli altri omologhi europei e l’EDPB, a poco servono e poco trasmettono ai dipendenti, quanto a precetti semplici e chiari da porre in pratica nel comportamento tenuto ogni giorno al lavoro.

Non va dimenticato che questo “regolamento” si deve coordinare con altri testi aziendali, quali il Codice etico, il Codice disciplinare, le procedure interne predisposte a vario titolo (es. D. Lgs. 231/2001) e, non ultimo, l’eventuale “Regolamento Smart Working“.

Una breve e certamente incompleta “checklist” di contenuti del Regolamento interno potrebbe essere allora la seguente:

  • una sintetica descrizione della struttura aziendale (referenti diretti, funzioni rilevanti)
  • una scheda relativa alle definizioni utilizzate (es. “Titolare del trattamento” è l’azienda stessa)
  • chiarimento sui livelli di riservatezza delle informazioni aziendali
  • uso delle credenziali di accesso ai servizi (riservatezza e non diffusione)
  • come utilizzare i dispositivi aziendali in generale, tra cui computer, smartphone, chiavette usb ed altro
  • uso lecito della rete internet
  • focus particolare sulla casella e-mail (sia personale che, eventualmente, di gruppo)
  • una “social media policy” che contemperi la libertà di espressione del singolo con la tutela dell’immagine aziendale
  • una “clean desk policy” riguardo all’uso di supporti materiali e cartacei
  • istruzioni specifiche sulla gestione delle informazioni presenti su stampe e fotocopie

Non va poi dimenticato che, accanto alle istruzioni “positive” nei confronti dei dipendenti e collaboratori dell’impresa, è opportuno anche chiarire con precisione il quadro dei sistemi di controllo – ove presenti – e delle sanzioni disciplinari conseguenti alla violazione delle indicazioni fornite.

In ultimo, ma non meno importante – come ha evidenziato lo stesso provvedimento del Garante – tale regolamento va efficacemente portato all’attenzione di tutti, sia inviandolo a mezzo e-mail e/o rendendolo disponibile mediante affissione, che attraverso incontri di formazione e spiegazione dei suoi contenuti.

_________________________________________________

Photo by Nick Loggie on Unsplash