SpecialiSabato, 11 Settembre 2021 12:34 Contratto privacy coatto. Quando si esternalizzano servizi, se il committente, fornitore e subfornitore non firmano contratti che fissino le clausole privacy, tutta la filiera paga le sanzioni amministrative, previste dal regolamento Ue n. 2016/679 (Gdpr). Come è capitato a un importante comune, alla società di gestione dei parcheggi e alla società che ha fornito parcometri di ultima generazione. Tutti e tre sono stati sanzionati dal Garante della privacy (provvedimenti n. 292, 293 e 294 del 22/7/2021), in relazione a una vicenda che aveva al centro la memorizzazione di milioni di dati, in parte trasmessi su canali digitali non sicuri. Nel corso dell’accertamento è emerso che questi smart-parcometri sono utilizzabili per pagare sanzioni e tributi o per acquistare e rinnovare abbonamenti e biglietti del trasporto pubblico, oltre che a pagare la sosta, inserendo anche il numero di targa del veicolo. Una quantità di dati enorme, potenzialmente incrociabili e, quindi, possibile fonte di accessi abusivi. Un malintenzionato avrebbe potuto controllare in maniera massiva qualunque targa, e magari conoscere le abitudini di una persona e i luoghi di sosta, senza lasciare alcuna traccia nel sistema informativo. L’esposizione dei dati, trasmessi su canali non sicuri, è certamente una grave mancanza di precauzioni nell’uso delle tecnologie, ma i provvedimenti del Garante mettono anche in evidenza che la scure del Gdpr cala in relazione a violazioni documentali. Le sanzioni della privacy, dunque, colpiscono non solo per violazioni sostanziali, cioè quando la privacy è effettivamente danneggiata, ma anche perché non si sono scritti certi documenti. E può trattarsi anche di contratti, che la cui stipulazione non è più rimessa alla libera decisione delle parti (p.a. o imprese, è lo stesso), ma diventa vincolata, a pena di sanzione pecuniaria. In questo caso, il comune non ha stipulato un contratto con la società di gestione dei parcheggi (per l’affidamento dell’incarico di responsabile di trattamento, ai sensi dell’articolo 28 Gdpr) e quest’ultima non ha fatto altrettanto con la fornitrice dei parcometri (per l’affidamento dell’incarico di sub-responsabile di trattamento). Tanto è bastato per far scattare la sanzione. Peraltro, nel caso specifico il gestore dei parcheggi aveva invano sollecitato il comune a perfezionare il contratto: ciò non è stato sufficiente a scongiurare la sanzione. Per evitare la sanzione, in caso di inerzia del committente, ci sarebbe una sola via di uscita e cioè lo scioglimento del contratto di servizio (cosa comprensibilmente comunque critica). In ogni caso, se non c’è il contratto ex articolo 28 Gdpr, il trattamento è illegittimo. Altro documento, che bisogna scrivere, è il registro dei trattamenti (articolo 30 Gdpr): se non c’è, si passa alla cassa delle sanzioni (come stabilito dai provvedimenti in commento). Con altro provvedimento (296 del 22/7/2021) il Garante ha sancito che la trasparenza amministrativa cede il passo alla privacy, quando si tratta di dati sulla condizione di disagio economico e sociale delle persone (punita una regione, che ha diffuso sul sito web i dati di più di 100 mila studenti, richiedenti borse di studio o sussidi economici per l’acquisto di libri, dotazioni tecnologiche e strumenti per la didattica). Infine, con due pareri (290 e 291 del 22/7/2021) il Garante ha dato via libera al ministero dell’interno e all’Arma dei carabinieri all’uso delle body cam per documentare situazioni critiche di ordine pubblico in occasione di eventi o manifestazioni. Con due condizioni: niente riconoscimento facciale e cancellazione dei dati dopo 6 mesi. di Antonio Ciccia Messina  (Fonte: Italia Oggi dell’11 settembre 2021)

Privacy & SocietàLunedì, 27 Settembre 2021 13:11 Una ricerca svolta sui canali delle principali emittenti ha evidenziato violazioni, anche gravi, della privacy degli utenti, spesso profilati senza aver esplicitamente fornito il consenso. La maggior parte dei canali televisivi non rispetta la privacy degli utenti, in alcuni casi violando in maniera palese il Regolamento Generale per la Protezione dei Dati Personali (il GDPR) europeo, ha evidenziato una ricerca condotta dall’azienda di sicurezza informatica Sababa Security in collaborazione con l’Università di Twente e LP Avvocati. Tali violazioni coinvolgono la tecnologia Hybrid broadcast broadband TV (Hbb TV). I TV che la supportano possono proporre all’utente servizi interattivi. Per esempio, la possibilità di far ripartire dall’inizio una trasmissione o di accedere a ulteriori contenuti appartenenti ad altri canali della stessa emittente. I problemi riscontrati dalla ricerca (Ndr: già sollevati in passato da Federprivacy con l’articolo “Attenzione alla pubblicità su misura perché ora le smart tv conoscono i vostri gusti“) riguardano soprattutto la personalizzazione degli annunci pubblicitari anche senza il previo consenso esplicito dell’utente e la difficoltà di revocare tale consenso in qualunque momento. I canali studiati, inoltre, includono pixel di tracciamento trasparenti (invisibili all’occhio nudo) che controllano se l’utente sta ancora guardando il canale oppure no. Si tratta di pratiche poco trasparenti e che coinvolgono almeno il 70% dei canali studiati, secondo Alessio Aceti, amministratore delegato di Sababa Security. Come si è svolta la ricerca – La ricerca di Sababa Security si è svolta fra febbraio e maggio 2021. La società ha analizzato 16 canali italiani, tedeschi e francesi, di cui nove italiani: Rai 1, Canale 5, La7, Radio Kiss Kiss, RDS, Real Time, RTL, Spike e Sportitalia. È stato scelto un canale per ciascuna emittente: la politica sulla privacy applicata da Rai 1, per esempio, è equivalente a quella di tutti gli altri canali Rai e così via per ognuno dei principali broadcaster. L’analisi è stata effettuata in due modalità. Nel primo caso, i ricercatori si sono messi nei panni di un utente comune e quindi hanno valutato vari casi di uso reale. Per esempio, hanno provato a non accettare l’informativa e a registrare se l’emittente proponeva ugualmente pubblicità personalizzate; oppure hanno accettato l’informativa e poi hanno provato a revocare il consenso studiando le impostazioni disponibili direttamente sul TV e i siti ufficiali. Nel secondo caso, usando una TV basata su Android, i ricercatori sono andati più a fondo e, dopo aver acquisito i privilegi amministrativi del dispositivo, hanno intercettato il traffico che veniva trasmesso verso l’esterno per comprendere che tipo di dati venivano inviati e a quali indirizzi. In alcuni casi i dati erano cifrati e i ricercatori hanno svolto un’operazione di ingegneria inversa per comprendere che informazioni erano trasmesse. I risultati – I risultati della ricerca hanno dimostrato che la maggior parte dei canali mostra connessioni ad almeno un servizio di tracking prima ancora che l’utente abbia la possibilità di decidere se accettare o meno l’informativa sul trattamento dei dati. C’è di più. Oltre metà dei canali studiati sfrutta pixel di tracciamento, che permettono di tracciare il comportamento dell’utente caricando un’immagine piccolissima (un pixel per un pixel) quando l’utente visita una pagina web o apre un determinato contenuto. Nella maggior parte dei casi indagati è difficile, se non addirittura impossibile, revocare il consenso all’utilizzo di questa tecnologia. Alcuni canali si sono comportati meglio di altri, sebbene tutti abbiano mostrato lacune (in alcuni casi gravi) sul fronte della protezione dei dati personali. Sportitalia, Real Time e l’ecosistema Mediaset hanno mostrato un’attenzione maggiore, sebbene comunque incompleta, verso la privacy, ha riferito Aceti. “Alcuni sono disastrosi: manca l’informativa sulla privacy, non si può revocare il consenso o non sono onesti su quanti cookie raccolgono” commenta Aceti, che però non vuole puntare il dito contro una singola emittente perché ritiene che tali cattive pratiche siano intrinseche nell’industria, che solo da poco tempo ha dovuto fare i conti con i cookie e altre pratiche più vicine al mondo di Internet. “Non è fatto in maniera voluta” sostiene. “È la tecnologia che non è familiare per il broadcaster mentre, per esempio, Netflix nasce così, mandando i contenuti via Internet”. Una giustificazione – quella del recente approccio alla trasmissione via Internet – che però scricchiola, soprattutto perché 1) in molti casi si parla di grandi aziende e 2) alcune di queste propongono piattaforme on demand, che quindi prevedono la raccolta dei cookie e altre pratiche di gestione dei dati personali degli utenti. Grandi aziende che, però, lavorano per compartimenti stagni, fa notare Aceti: per cui, chi lavora sulla piattaforma on demand non viene messo in grado di condividere la sua esperienza con chi si occupa dell’integrazione della tecnologia Hbb TV. Al momento non è stata fatta una segnalazione al Garante per la protezione dei dati personali italiani. “Di questo aspetto se ne sta occupando l’Università di Twente” specifica Aceti. L’utente che può fare? – La situazione, insomma, è grave, soprattutto perché un TV, in qualità di dispositivo storicamente presente nelle case, fa riferimento anche agli utenti meno avvezzi ai cambiamenti del digitale e che, perciò, difficilmente conoscono i loro diritti in materia di privacy. Eppure, l’utente sembra non poter fare niente: revocare il consenso è molto difficile e tanti, probabilmente, finiscono per desistere; e non accettare può comunque portare alla profilazione. “L’unica cosa possibile oggi è non guardare la TV” ammette con amarezza Aceti.  Lo scopo della ricerca di Sababa Security non è puntare il dito contro le emittenti, che sono comunque colpevoli di un’integrazione lacunosa, ma di far crescere la sensibilità degli utenti verso i dispositivi sempre più eterogenei che raccolgono dati personali. “Vogliamo spiegare che qualunque cosa digitale contiene dati e traccia il comportamento delle persone” spiega Aceti. “Volevamo sensibilizzare gli utenti sul fatto che non è solo il PC o lo smartphone a tracciare i loro comportamenti, ma sono molti di più i dispositivi che lo fanno; quindi ne va fatto un uso consapevole”. Fonte: DDay.it – di Massimiliano Di Marco

FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e memorizzazione.; – La funzione di gestione del sistema, riferito a tutte quelle attività di collegamento con l’operatore e con altri sistemi, che comprendono, ad esempio, i comandi dell’operatore o le procedure di allarme generate dal sistema. – La funzione di sicurezza del sistema che sovrintende all’integrità dei dati e del sistema, segnala gli eventuali guasti e protegge il sistema di videosorveglianza dalle manomissioni volute e/o involontarie. Un sistema di videosorveglianza osservano i Garanti Europei prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy, e docente dei corsi promossi da Federprivacy in materia di videosorveglianza) Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”). In tema di misure organizzative, oltre alla eventuale necessità di una valutazione d’impatto sulla protezione dei dati (art.35 Reg. UE 679/2016), nell’elaborare le proprie politiche e procedure di videosorveglianza i titolari del trattamento dovranno definire: – A chi compete la responsabilità della gestione e del funzionamento del sistema di videosorveglianza; – La finalità e l’ambito di applicazione del progetto di videosorveglianza; – Gli utilizzi consentiti e quelli vietati (ad esempio, stabilire se la captazione audio è ammessa o meno); – Le informative brevi e complete da rendere agli interessati che si accingono ad entrare in un’area videosorvegliata; – La durata delle registrazioni video; – Le modalità di conservazione delle videoregistrazioni; – La formazione per gli operatori addetti all’utilizzo del sistema di videosorveglianza; – Le modalità di accesso alle registrazioni video, specificando in quali casi è ammessa; – Le procedure in caso di data breach; – Le procedure da seguire in caso di richieste di accesso alle immagini provenienti da terzi (definendo in quali casi accogliere le richieste e in quali rigettarle); – Le procedure per la manutenzione del sistema di videosorveglianza (aggiornamento telecamere, software, ecc.); Per quanto concerne la sicurezza tecnica, si fa riferimento alla sicurezza fisica di tutti i componenti del sistema, nonché all’integrità dello stesso, vale a dire alla protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi. Inoltre, devono essere garantite la riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), l’integrità (prevenzione dalla perdita o dalla manipolazione dei dati) e la disponibilità (i dati possono essere consultati ogniqualvolta sia necessario). Le misure da adottare sono sostanzialmente identiche alle misure utilizzate in altri sistemi IT e possono riguardare: – La protezione dell’intera infrastruttura del sistema TVCC (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti; – La protezione dei canali di trasmissione; – La cifratura dei dati; – L’implementazione di firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici; – Il rilevamento di guasti di componenti, software e interconnessioni; – L’impiego di strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici. Una corretta implementazione delle misure organizzative e tecniche richiede l’adozione di un regolamento interno sull’utilizzo del sistema di videosorveglianza; un documento che consentirà al titolare del trattamento di dimostrare di aver predisposto misure tecniche e organizzative adeguate in ossequio al principio di responsabilizzazione (accountability). Articolo di Marco Soffientini, docente del “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” e del corso “Corso Specialistico per Privacy Officer nel settore Videosorveglianza”

 Redazione PMI.It – scritto il 14 Giugno 2021 Privacy dipendenti, violazione con sanzione duplice di Redazione PMI.It scritto il 14 Giugno 2021 Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con sanzione penale ma anche una ulteriore sanzione amministrativa. Ancora una volta il Garante Privacy è intervenuto a sanzionare imprese che non hanno correttamente gestito ed utilizzato i dati dei propri dipendenti. La rilevanza dell’intervento non va tanto individuata nell’azione posta in essere dal Nucleo privacy della Guardia di Finanza, né tanto meno nella sanzione irrogata all’azienda, quanto piuttosto alla considerazione che, ancora oggi, non si tenga in debito conto l’essenziale connessione tra gli aspetti del controllo dei dipendenti da una parte, e l’adozione di un adeguato sistema di protezione dei dati dall’altra. Il sistema di gestione privacy con l’obiettivo della salvaguardia dei diritti fondamentali assume, non dimentichiamolo, una doppia valenza per le imprese: sicurezza informativa e sviluppo digitale; corretta gestione dei dati nelle dinamiche del diritto del lavoro. E’ proprio in questa ottica che l’adozione di un modello adeguato di protezione dei dati si inserisce perfettamente nell’ambito della responsabilità sociale di impresa. Questo perché etica, sostenibilità e responsabilità sono i pilastri non solo del GDPR ma anche di quelle imprese che guardano al futuro ed a un mondo del lavoro che sta cambiando (smart working, in primis). È proprio in questa ottica che va guardata la vicenda che ha visto intervenire il Garante. Il caso Ai fini di un procedimento disciplinare contro un lavoratore, in un caso dei mesi scorsi che ha fatto scalpore per l’entità della sanzione comminata (40mila euro), la società aveva utilizzato informazioni recuperate dal proprio sistema informatico violando i limiti di conservazione e registrazione stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Come ha ricordato il Garante: in base alla vigente disciplina di settore i trattamenti di dati personali possono essere effettuati mediante l’utilizzo di strumenti tecnologici qualora questi ultimi siano impiegati “esclusivamente” per il perseguimento in concreto di finalità predeterminate (per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale), così come individuate nell’autorizzazione rilasciata dall’autorità pubblica (in mancanza di accordo con le rappresentanze dei dipendenti; v. art. 4, l. 20.5.1970, n. 300). La norma di settore, richiamata espressamente dalla disciplina in materia di protezione dei dati personali, costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento. È evidente, quindi, che proprio nella prospettiva dell’integrazione delle due normative che occorre approcciarsi al sistema di protezione e gestione dati, in quanto ciò permetterà di evidenziare tutti gli eventuali limiti e debolezze delle procedure aziendali. L’imprenditore, prima di procedere alla formale contestazione, avrebbe ben dovuto tener conto che il proprio sistema informatico di monitoraggio, diversamente da quanto comunicato all’Ispettorato del lavoro e da quanto indicato nell’informativa, permetteva la raccolta illegittima di informazioni sull’attività lavorativa dei dipendenti. Non solo, dall’istruttoria è anche emerso che quei dati (che comunque non si sarebbero dovuti raccogliere) erano anche stati utilizzati per finalità ulteriori e non previste dalle medesime informative e autorizzazioni. Tra le finalità di trattamento non rientra né quella preordinata all’adempimento di obblighi stabiliti con il contratto di lavoro, né, tanto meno quella preordinata al perseguimento del “legittimo interesse del titolare”, che costituisce in termini generali una delle condizioni di liceità del trattamento a condizione, peraltro, che il titolare effettui preventivamente un test comparativo rispetto agli interessi o i diritti o le libertà fondamentali dell’interessato. A ciò deve pure aggiungersi che sono state riscontrate irregolarità anche nei tempi di conservazione. Dalla lettura del provvedimento, infatti, sembrerebbe che vi sia sta confusione tra dato anonimizzato, che ha tempi di conservazione pressoché illimitati, e dati pseudonimizzati (come quelli dell’azienda sanzionata) che proprio perché riconducibili a soggetti determinati in associazione ad altre informazioni (di cui il datore di lavoro era in possesso), impongono tempi di conservazione non superiori al conseguimento delle finalità di trattamento perseguite. Pertanto ancora una volta è imporrante sottolineare come l’adozione di un sistema di gestione GDPR, lungi da mettere freni allo sviluppo dell’attività imprenditoriale, deve essere utilizzato come adeguato strumento di sviluppo e tutela: la questione non è se compiere una scelta o meno, ma – nei limiti del rispetto dei diritti fondamentali – come metterla in atto. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e ha ingiunto il pagamento della sanzione. Si conclude riportando la rilevante precisazione che il Garante offre a conclusione del proprio provvedimento, laddove l’Autorità osserva, infine, che  il proprio accertamento non costituisce una duplicazione rispetto alla decisione del giudice penale, considerato che mentre la sanzione penale – alla luce della natura personale della relativa responsabilità – può essere applicata nei confronti della persona fisica ritenuta colpevole del reato, l’applicabilità della sanzione amministrativa prevista dalla disciplina in materia di protezione dei dati personali è, nel caso concreto, da valutare nei confronti di una persona giuridica. Rimane aperta la strada, quando il Legislatore riterrà di ritornare sui propri passi (a mio giudizio scelta auspicabilmente), dell’inserimento dei reati di illegittimo trattamento dei dati personali nell’ambito dei reati presupposto di cui alla legge 231/01. Avv. Emiliano Vitelli

odisseoprivacy.com 17/05/2021 Il “data breach” è una violazione nella salvaguardia e nell’incolumità dei dati personali trattati in azienda o presso uno studio professionale dal Titolare o da dipendenti, collaboratori incaricati, soggetti designati, responsabili interni o esterni (Commercialista, Consulente del lavoro, medico competente, Consulente della privacy, ecc.). Si può verificare accidentalmente o fraudolentemente e consiste nella distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati personali trattati.  In caso di “data breach” sono compromessi la riservatezza, l’integrità e la disponibilità dei dati personali.  Vediamo quali sono i casi più comuni: l’accesso o l’acquisizione dei dati da parte di estranei non autorizzati;il furto o la perdita o la distruzione di dispositivi informatici (PC, hard disk, pen drive, CD, DVD, in cui sono registrati dati personali);la intenzionale e premeditata manipolazione di dati personali;l’impossibilità di accedere ai dati personali per cause accidentali o malevole esterne (virus, malware, hacker, phishing, ransomware, spyware, ecc.);la perdita o la distruzione di dati personali causata da incidenti, avvenimenti atmosferici (fulmini, allagamenti), incendi, blackout elettrico, altro;la diffusione non permessa dei dati personali. Il titolare (soggetto pubblico, impresa, associazione, partito, professionista, ecc.) che subisce un data breach, deve senza indugio o indebiti ritardi e, ove possibile, entro 72 ore dalla scoperta, notificare la violazione al Garante per la protezione dei dati personali. Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati (clienti, fornitori, dipendenti, soci, iscritti, colleghi, contitolari, ecc.), utilizzando i canali più idonei, a meno che sia improbabile che la violazione comporti un rischio elevato per i diritti e le libertà delle persone fisiche o che abbia già preso misure tali da ridurne l’impatto. Gli incaricati, i soggetti designati al trattamento, i responsabili, i DPO (se esiste) che vengono a conoscenza di una violazione DEVONO informare con urgenza il titolare che DEVE attivarsi adottando le misure idonee e necessarie di cui innanzi. Le notifiche al Garante effettuate oltre il termine delle 72 ore devono essere giustificate indicando i motivi del ritardo. Il titolare del trattamento, oltre a tutte le azioni di cui innanzi e a prescindere dalla notifica al Garante, inserisce tutte le violazioni dei dati personali, in un apposito registro, che aggiorna costantemente. Tale documento permette all’Autorità di effettuare eventuali verifiche sul rispetto della legge e del Regolamento 2016/679 sulla privacy. Gli esperti consulenti di odisseoprivacy.com sono a Vostra disposizione per eventuali chiarimenti e consulenze gratuite. Lo staff.

Dal Garante per la PrivacyMercoledì, 31 Marzo 2021 14:59 Il Comandante Generale della Guardia di Finanza, Gen. C.A. Giuseppe Zafarana, e il Presidente dell’Autorità Garante per la Protezione dei Dati Personali, Prof. Avv. Pasquale Stanzione, hanno rinnovato oggi a Roma, presso la caserma “Piave”, sede del Comando Generale del Corpo, il Protocollo d’intesa relativo alla collaborazione tra le due istituzioni. L’accordo prevede l’implementazione delle sinergie in essere finalizzate al miglioramento dell’efficacia complessiva delle attività connesse alla vigilanza sul rispetto delle norme che disciplinano la tutela dei dati personali, in virtù delle nuove attribuzioni affidate al Garante dalla normativa nazionale e comunitaria. Gli ambiti del partenariato vedono il ruolo attivo del Gruppo Privacy del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, il quale assicura, con proiezione nazionale, gli adempimenti connessi all’attività collaborativa, anche avvalendosi dei Reparti del Corpo dislocati sul territorio e coinvolgendo le altre articolazioni del citato Nucleo per tutte quelle attività di accertamento che richiedono un’elevata specializzazione in ambito telematico. Il memorandum costituisce, dunque, uno strumento di deciso potenziamento delle linee di presidio della legalità nel mercato dei beni e dei servizi, a tutela di tutti i cittadini, in un segmento tanto importante quanto delicato, anche in ragione della potenziale vulnerabilità di dati personali e sensibili, ove non trattati secondo le vigenti disposizioni. Fonte: Garante Privacy

A cura di:  Francesco Maldera – Pubblicato il  30 Giugno 2021 L’importanza dei partner Quando si sceglie un partner bisogna stare attenti: il rapporto deve basarsi sulla fiducia. Di solito, nei nostri rapporti personali, scegliamo il partner dopo una lunga frequentazione e gli affidiamo una parte dei nostri segreti, dei nostri sogni, della nostra vita solo quando abbiamo la certezza che sia ridotto al minimo il rischio che ci maltratti. Queste scelte, di solito, hanno quattro caratteristiche: le facciamo in modo poco consapevole, diremmo quasi “naturale”, “istintivo”;non esiste un “regolamento” del rapporto; tra amici o tra fidanzati la relazione si evolve spontaneamente senza formalizzazioni (o formalismi) che specifichino gli obblighi reciproci;esistono momenti di “alti” e “bassi” ovvero situazioni in cui possiamo avere l’impressione che il partner non si comporti come dovrebbe;non si stabiliscono a priori le condizioni (di tempo, di spazio o di altro genere) al cui verificarsi il rapporto si interromperà. L’importanza della scelta del partner, invece, nella vita professionale risponde a criteri molto diversi. Occorre che la scelta sia consapevole e ragionata;il rapporto sia formalizzato e disciplinato nelle rispettive “obbligazioni”;il rapporto si mantenga su livelli “accettabili” lungo l’intera durata senza che ci siano “cadute” che possano danneggiare l’uno o l’altro dei soggetti coinvolti;siano sempre (o quasi) stabilite condizioni che portano alla “interruzione” del rapporto (durata del contratto, clausole risolutive, ecc.). Queste caratteristiche diventano essenziali quando il partner professionale è un soggetto al quale vengono affidate una o più operazioni di trattamento di dati personali (tutti i dati personali, non solo quelli sensibili…). Com’è noto, questo soggetto assume, secondo il Reg. UE 2016/679[i] (d’ora in poi GDPR), il ruolo di Responsabile del Trattamento ai sensi dell’art. 28 che, al suo primo paragrafo, prevede che Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato Già il primo paragrafo obbliga il titolare a scegliere oculatamente il responsabile del trattamento solo tra quelli che possono assicurargli che i dati personali non siano maltrattati cioè che non siano trattati in modo difforme da quanto previsto dal GDPR. L’attenzione del Garante per la Protezione dei Dati Personali Il richiamo, dunque, è forte ma, al contempo, molto sottovalutato. Lo dimostrano i frequenti provvedimenti sanzionatori diretti a soggetti pubblici che, nella loro qualità di titolari del trattamento, non scelgono adeguatamente il responsabile[ii][iii] o, addirittura, non sono nemmeno consapevoli che il proprio partner assumerà quel ruolo[iv] e, con questo, tutto ciò che il GDPR prevede. In proposito, dunque, occorre ricordare sempre che dato personale è definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” e che i dati personali vanno tutti protetti;trattamento è definito come “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali”. Quindi, proprio per evitare spiacevoli inconvenienti, queste definizioni, apparentemente scontate, devono accompagnare sempre i momenti precedenti l’approvvigionamento ovvero la scelta del partner da parte del titolare. Bisogna domandarsi: il mio partner avrà a che fare con dati personali di cui sono titolare?Il mio partner effettuerà operazioni di trattamento sui dati personali (ricordando che il GDPR cita come operazione di trattamento anche la sola “consultazione”)? Se la risposta è “si” ad entrambe le domande, il partner assumerà il ruolo di responsabile del trattamento ed è necessario avviare un percorso strutturato per poterlo scegliere. L’attenzione del Comitato Europeo per la Protezione dei Dati Personali Un primo percorso strutturato per la scelta del responsabile del trattamento è indicato nelle “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”[v] adottate dal Comitato Europeo per la Protezione dei Dati Personali (EDPB) il 2 settembre 2020. Gli assi principali indicati dall’EDPB sui quali è opportuno basare la scelta del responsabile sono: l’esperienza precedente nel trattamento dei dati che il titolare intende affidargli;l’affidabilità del soggetto correlata ai comportamenti assunti in precedenti trattamenti analoghi;la solidità del soggetto in termini di risorse di cui dispone per il trattamento. Questi elementi, ovviamente, vanno declinati in requisiti oggettivi e concretamente misurabili, soprattutto quando il titolare è un soggetto pubblico e, quindi, vincolato a specifiche disposizioni normative in materia di approvvigionamento[vi]. Il ciclo dell’approvvigionamento in ambito pubblico Infatti, i soggetti pubblici sono vincolati ad approvvigionarsi secondo le previsioni del D.Lgs. 50/2016 (Codice dei contratti pubblici) che, in termini schematici, prevede una rigida attuazione delle seguenti fasi: delibera a contrarre;scelta del contraente;formalizzazione del contratto;esecuzione del contratto. In realtà, la formalizzazione del contratto è, spesso, una semplice ricaduta dei contenuti e dei risultati delle prime due fasi. Per intenderci, tutto ciò che è scritto nei cosiddetti “atti di gara” (fase di scelta del contraente) verrà ripreso integralmente nel contratto finale. Questo vuol dire che, già nelle prime fasi dell’approvvigionamento, il titolare deve: fare scelte ragionate e consapevoli, con particolare riguardo ai rischi per i dati personali, e, quindi, definire i requisiti opportuni ed i criteri di valutazione adeguati rispetto ad esperienza precedente, affidabilità e solidità;disciplinare le obbligazioni reciproche rispetto al trattamento;specificare le conseguenze per livelli di servizio “non accettabili” rispetto al trattamento dei dati personali (p.e. penali specifiche per comportamenti difformi dal GDPR o da istruzioni sui dati personali e che si aggiungono alle penali ordinariamente previste per le violazioni delle prestazioni oggetto del contratto);individuare le condizioni che possono causare l’interruzione della partnership. Naturalmente, se questi sono gli elementi essenziali da considerare, sarà opportuno che il titolare tenga a mente, sin dalle fasi di avvio dell’approvvigionamento, l’intero art. 28 del GDPR e, in particolare, i contenuti dei paragrafi 3 e 4. Le clausole contrattuali tipo Considerata l’importanza della questione e l’impegno che viene richiesto al titolare, lo stesso art. 28, al paragrafo 7, prevede che la Commissione Europea stabilisca clausole contrattuali tipo (Standard Contractual Clauses – SCCs) che forniscano la traccia su cui basare gli accordi con il responsabile del trattamento. La Commissione ha assunto la conseguente decisione 2021/915[vii] lo scorso 4 giugno dopo aver acquisito il parere congiunto del Comitato Europeo per la Protezione dei Dati Personali e del Garante Europeo per la Protezione dei Dati Personali (EDPS)[viii]. La decisione assume vigenza a partire dal 27 giugno 2021 visto che è stata pubblicata nella Gazzetta Ufficiale Europea il 7 giugno. Le clausole contenute nella decisione 915 sono dieci cui si aggiungono quattro allegati (e non più sette come previsto nella prima bozza sottoposta al parere congiunto EDPB‑EDPS); coprendo tutti gli obblighi previsti dall’art. 28, il titolare dovrebbe trovare il modo di inserirle, insieme ai suoi allegati opportunamente personalizzati e completati, nel contratto che andrà a stipulare con il responsabile del trattamento. Come già detto, tuttavia, la rigidità delle procedure cui è obbligato il soggetto pubblico lo costringerà, anche in ossequio ai princìpi di correttezza e buona fede, a rendere noto ai candidati, sin dall’avvio della gara, l’intenzione di ricorrere alle SCCs al momento di stipulare il contratto. Inoltre, al fine di facilitare la definizione di requisiti misurabili per la scelta del contraente, sarà utile integrare, nella griglia di valutazione ordinariamente utilizzata nelle procedure basate sull’offerta economicamente più vantaggiosa, gli elementi riportati nell’Allegato 2 che presenta una sorta di check‑list rispetto alle possibili “misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati”. Infine, nella stesura dei documenti, una particolare attenzione va riservata: alla clausola n. 1 allorché prevede che la sottoscrizione delle clausole non sottrae il titolare agli obblighi previsti dal GDPR; questo significa che il titolare non può disinteressarsi del trattamento effettuato per suo conto dal responsabile per il solo fatto di aver sottoscritto le SCCs;alla clausola n. 2 allorché prevede che eventuali altre previsioni presenti nel contratto non devono contraddire quanto previsto dalle SCCs;alla clausola n. 3 allorché prevede che l’interpretazione delle clausole deve essere effettuata alla luce del GDPR e, quindi, anche dei documenti che, nel tempo, saranno prodotti dall’EDPB o dall’autorità di controllo nazionale (per l’Italia, il Garante per la Protezione dei Dati Personali);alla clausola n. 4 che prevede che le SCCs che titolare e responsabili stanno sottoscrivendo prevalgono, in caso di contrasto, su qualsiasi altro “patto contrattuale” eventualmente precedentemente stipulato. Conclusioni Le clausole tipo costituiscono, quindi, un notevole ausilio per i titolari ma occorre, comunque, molta consapevolezza nella stesura personalizzata delle SCCs nell’ambito degli accordi per evitare gli effetti negativi del copia&incolla che vanificherebbero tutti i princìpi stabiliti dal GDPR. Note [i] Regolamento Generale 2016/679 (arricchito con i considerando utilizzati – vedi sul sito del garanteprivacy.it) [ii] Ordinanza di ingiunzione nei confronti di Roma Capitale – 11 febbraio 2021… – vedi sul sito del garanteprivacy.it) [iii] Provvedimento del 17 settembre 2020 [9461168] – Garante Privacy – (diffusione di dati personali dei candidati a un concorso pubblico indetto dall’Azienda Ospedaliera di rilievo nazionale “A. Cardarelli” di Napoli  – vedi sul sito del garanteprivacy.it) [iv] Provvedimento del 14 gennaio 2021 [9542136] – Garante Privacy – trattamento di dati personali effettuato dalla Regione Lazio attraverso il portale “Salute Lazio” – vedi sul sito del garanteprivacy.it) [v] edpb_guidelines_202007_controllerprocessor_en.pdf (europa.eu) – (Linee guida 07/2020 sui concetti di titolare e responsabile nel GDPR predisposte dal Comitato europeo per la protezione dei dati – vedi sul sito del garanteprivacy.it) [vi] Le centrali di committenza e il GDPR – ICT Security Magazine – (vedi su https://www.ictsecuritymagazine.com/) [vii] EUR-Lex – 32021D0915 – EN – EUR-Lex (europa.eu) (vedi su https://eur-lex.europa.eu/) [viii] EDPB-EDPS Joint Opinion 1/2021 on standard contractual clauses between controllers and processors | European Data Protection Board (europa.eu) – (Parere congiunto EDPB-GEPD 1/2021 sulle clausole contrattuali tipo tra titolari e responsabili del trattamento – vedi su https://edpb.europa.eu/) Articolo a cura di Francesco Maldera

Domenica, 23 Maggio 2021 23:20 – Federprivacy A tutti capita sovente di inoltrare qualche messaggio di testo, audio o video ricevuto tramite WhatsApp o altri social. C’è forse da preoccuparsi temendo di compiere un illecito o, addirittura, un reato? Sino a pochi anni fa, si temeva che una cosa riferita da una persona venisse poi divulgata ad altri da parte del pettegolo o della pettegola di turno. Oggi forse non è più così, perché quello che temiamo maggiormente è che un giudizio, una battuta, un messaggio audio o video o chissà cos’altro che abbiamo postato online venga poi “inoltrata” ad altri, magari divenendo di dominio pubblico. È bene chiedersi, dunque, se un comportamento simile travalichi la soglia della rilevanza giuridica. Analizzando il tema, l’avv. Guido Scorza, componente del Garante per la protezione dei dati personali, ha rilasciato un commento pubblicato sul settimanale Gente e, poi ripreso dal sito istituzionale dell’Autorità. I messaggi di posta elettronica, così come i messaggi scambiati in contesti privati sui social, costituiscono corrispondenza, essa tutelata dalle norme del codice penale. Senza entrare nel merito della norma di cui all’articolo 616 c.p., è bene solo accennare che per la condotta punita in tale norma è costituita dal prendere cognizione, sottrarre, distrarre, distruggere o sopprimere corrispondenza non diretta all’agente della condotta. La pena è, poi, maggiore qualora il contenuto venga divulgato ad altri (se ciò non costituisca un più grave reato). Per la condotta delittuosa, quindi, è necessario che la corrispondenza non sia diretta all’agente; l’inoltro di un messaggio dapprima ricevuto non rientra in questo ambito. Ciò non significa che con i messaggi ricevuti si possa far quel che si vuole. L’avvocato Scorza, invero, ha rammentato che non rientri nell’ambito di applicazione del Regolamento UE 2016/679 il trattamento effettuato da una persona fisica per l’esercizio di attività personale e domestica. Inoltre i messaggi a persone determinate, nell’ambito della propria vita di relazione non fa venir meno il carattere domestico e personale. Farlo in contesti più ampi, ove non ci sia un rapporto personale con tutti i destinatari dell’inoltro, potrebbe invece essere ritenuto trattamento a cui è applicabile il GDPR, facendo sorgere – in caso di danno che superi il limite di tolleranza – il diritto al risarcimento del danno subito. Questo perché il titolare potrebbe trattare i dati personali di un interessato comunicando mediante trasmissione ovvero diffondendo o, ancora, mettendo comunque a disposizione, dati personali senza idonea base giuridica. E’ bene ribadire che le suesposte considerazioni valgono solo se il messaggio è stato a noi indirizzato. Viceversa, si rischia di ritrovarsi nell’ambito di applicazione del codice penale. Si badi bene, quindi, agli inoltri effettuati in chat di rilevanti dimensioni delle quali siamo membri. Si può rischiare di mandare avanti a noi – “inoltrare” – un bel po’ di guai. Forse solo giudicati sfavorevolmente o, peggio ancora, costretti a risarcire il danno.