Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

I datori di lavoro non possono accedere in maniera indiscriminata alle email o ai dati contenuti negli smartphone in dotazione ai loro dipendenti. Lo ha ribadito il Garante privacy vietando a una multinazionale l’utilizzo dei dati personali trattati in violazione di legge.

L’Autorità ha affermato che il datore di lavoro, pur avendo la facoltà di verificare lo svolgimento delle attività professionali e le modalità di utilizzo degli strumenti aziendali, deve in ogni caso dare priorità alla salvaguardia della libertà e della dignità dei lavoratori. Quest’ultimi devono essere sempre informati in modo esauriente sulle modalità di utilizzo degli strumenti di lavoro ed eventuali verifiche da parte dei superiori. La disciplina di settore in materia di controlli a distanza, inoltre, vieta di effettuare attività di controllo massivo, anche indiretto, prolungato e indiscriminato dell’attività del lavoratore.

Il Garante è intervenuto sul tema in seguito al reclamo di un ex-dipendente di una multinazionale, che lamentava che l’azienda per cui lavorava avrebbe acquisito informazioni anche private contenute nella e-mail e nel telefono aziendale, sia durante il rapporto professionale sia dopo il suo licenziamento.

L’Autorità ha effettivamente constatato che la società non aveva adeguatamente informato i lavoratori sulle modalità e finalità di utilizzo degli strumenti elettronici in dotazione, né su quelle relative al trattamento dei dati. Inoltre, il sistema di posta elettronica aziendale era configurato in modo da conservare copia di tutta la corrispondenza per dieci anni, un tempo non proporzionato allo scopo della raccolta. Esisteva anche una procedura che consentiva ai datori di lavoro di accedere al contenuto dei messaggi che, in linea con la policy aziendale, potevano avere anche carattere privato. È inoltre emerso che la società continuava a mantenere attive le caselle email fino a sei mesi dopo la cessazione del contratto, senza però dare agli ex dipendenti la possibilità di consultarle o, comunque, senza informare i mittenti che le lettere non sarebbero state visionate dai legittimi destinatari ma da altri soggetti.

Nel corso dell’istruttoria è stato accertato inoltre, che il titolare poteva accedere da remoto – non solo per attività di manutenzione – alle informazioni contenute negli smartphone in dotazione ai dipendenti (anche privatissime e non attinenti allo svolgimento dell’attività lavorativa), di copiarle o cancellarle, di comunicarle a terzi violando i principi di liceità, necessità, pertinenza e non eccedenza del trattamento.

Il Garante ha disposto l’apertura di un autonomo procedimento per verificare l’applicazione di eventuali sanzioni amministrative.

ratingBlackMirror

Il rating reputazionale rappresentato nell'episodio "Nosedive" della serie Tv "Black Mirror"

Il progetto per la misurazione del “rating reputazionale” viola le norme del Codice sulla protezione dei dati personali e incide negativamente sulla dignità delle persone, lo ha stabilito il Garante per la protezione dei dati personali.

Elaborato da un’associazione e e da una società preposta alla gestione dell’iniziativa, il progetto consiste in una piattaforma web e un archivio informatico che raccoglie grande quantità informazioni personali su diversi tipi di individui (candidati, imprenditori, liberi professionisti ma anche privati cittadini) caricate dagli utenti o provenienti dal web. Attraverso un algoritmo, il sistema sarebbe poi in grado di misurare in modo oggettivo l’affidabilità delle persone in campo economico e professionale, attribuendo un punteggio (rating) alla loro reputazione online.

Il Garante ha rilevato che il sistema comporta rilevanti problematiche per la privacy a causa della delicatezza delle informazioni, del pervasivo impatto sugli interessati e delle modalità di trattamento. Infatti, il progetto presuppone una raccolta massiva, anche on line, di informazioni suscettibili di incidere significativamente sulla rappresentazione economica e sociale di migliaia di cittadini. Il “rating reputazionale” elaborato potrebbe ripercuotersi sulla vita delle persone censite, influenzando le scelte altrui e condizionando l’ammissione degli interessati a prestazioni, servizi o benefici.

L’Autorità ha espresso dubbi anche in merito all’asserita oggettività delle valutazioni, sottolineando che la società non è stata in grado di dimostrare l’efficacia dell’algoritmo che regolerebbe la determinazione dei “rating” al quale dovrebbe essere rimessa, senza possibilità di contestazione, la valutazione dei soggetti censiti. Vista la difficoltà di misurare situazioni e variabili non facilmente classificabili, la valutazione potrebbe basarsi su documenti e certificati incompleti o viziati, con il rischio di creare profili inesatti e non rispondenti alla identità sociale delle persone censite.

Da un punto di vista generale, il Garante ha inoltre manifestato perplessità sull’opportunità di rimettere ad un sistema automatizzato ogni decisione su aspetti così delicati e complessi come quelli connessi alla reputazione.

Anche le misure di sicurezza del sistema, basate, prevalentemente, su sistemi di autenticazione “debole” (user id e password) e su meccanismi di cifratura dei soli dati giudiziari, sono state definite “davvero inadeguate” dall’Autorità Ulteriori criticità, infine, sono state ravvisate nei tempi di conservazione dei dati e nell’informativa da rendere agli interessati.

Il Garante ha pertanto disposto il divieto di qualunque operazione di trattamento presente e futura per il progetto di rating reputazionale.

Il 10 gennaio 2017 la Commissione ha presentato una proposta di regolamento sulle comunicazioni elettroniche che completa il quadro dell’UE in materia di protezione dei dati.

Il regolamento sulla riservatezza e le comunicazioni elettroniche proposto dalla Commissione garantirà una maggiore tutela della vita privata delle persone e schiuderà nuove opportunità commerciali. Le misure presentate sono volte ad aggiornare le norme attuali, estendendone il campo di applicazione a tutti i fornitori di servizi di comunicazione. Le norme in materia di riservatezza si applicheranno d’ora in poi anche ai nuovi operatori che forniscono servizi di comunicazione elettronica – ad esempio WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, Viber. Sarà quindi aggiornata la vigente direttiva ePrivacy che si applica unicamente agli operatori di telecomunicazioni tradizionali.

L’obiettivo è quello di rafforzare la fiducia e la sicurezza nel mercato unico digitale creando un giusto equilibrio tra elevata protezione dei consumatori e possibilità di innovazione per le imprese. La proposta inoltre prevede che il trattamento dei dati personali ad opera delle istituzioni e degli organismi dell’UE garantisca lo stesso livello di tutela della riservatezza previsto negli Stati membri, così come disposto dal regolamento generale sulla protezione dei dati, e definisce un approccio strategico alle questioni concernenti i trasferimenti internazionali dei dati personali.

La riservatezza sarà garantita non solo per i contenuti delle comunicazioni ma anche per i cosiddetti metadati (ad esempio, l’ora della chiamata e il luogo) che, secondo le norme proposte, dovranno essere anonimizzati o eliminati in caso di mancato consenso degli utenti, a meno che non siano necessari, ad esempio per la fatturazione. Una volta ottenuto il consenso al trattamento dei dati relativi alle comunicazioni (contenuti e/o metadati), gli operatori di telecomunicazioni tradizionali avranno maggiori opportunità di utilizzare i dati e fornire servizi aggiuntivi.

È prevista la semplificazione della cosiddetta “legge sui cookie”, che ha causato una proliferazione di richieste di consenso per gli utenti. La proposta chiarisce che il consenso non è necessario per i cookie non intrusivi che migliorano l’esperienza degli utenti (ad esempio, quelli che permettono di ricordare la cronologia del carrello degli acquisti) e nemmeno per i cookie che contano il numero di utenti che visitano un sito web.

Per quanto riguarda lo spamming, la proposta odierna vieta le comunicazioni elettroniche indesiderate, indipendentemente dal mezzo utilizzato, quindi in linea di principio varrà anche per le chiamate telefoniche per le quali gli utenti non hanno dato il consenso al trattamento dei dati. Gli Stati membri possono optare per una soluzione che conferisca ai consumatori il diritto di opporsi alla ricezione delle telefonate a scopo commerciale, per esempio mediante la registrazione del loro numero in un elenco di nominativi da non chiamare. Gli autori delle telefonate a scopo commerciale dovranno mostrare il proprio numero telefonico o utilizzare un prefisso speciale che indichi la natura della chiamata.

In relazione all protezione dei dati personali da parte delle istituzioni e degli organismi europei il regolamento proposto punta ad allineare le disposizioni vigenti, che risalgono al 2001, alle nuove norme più stringenti fissate nel regolamento generale del 2016 sulla protezione dei dati.

La comunicazione proposta definisce un approccio strategico ai trasferimenti internazionali di dati personali che agevolerà gli scambi commerciali e promuoverà una migliore cooperazione fra le autorità di contrasto.  La Commissione intende avvalersi dei meccanismi alternativi previsti dalle norme del regolamento generale sulla protezione dei dati e dalla direttiva sulla protezione dei dati nell’ambito della cooperazione giudiziaria e di polizia al fine di agevolare lo scambio di dati personali con i paesi terzi con i quali non sia possibile giungere a decisioni di adeguatezza.

Con la presentazione delle proposte la Commissione invita il Parlamento europeo e il Consiglio a lavorare in tempi rapidi e a garantire un processo agevole per l’adozione entro il 25 maggio 2018, data di applicazione del regolamento generale sulla protezione dei dati. L’intento è quello di offrire entro tale data a cittadini e imprese un quadro giuridico pieno e completo in materia di tutela della vita privata e protezione dei dati in Europa.

Pubblicate le linee guida dei Garanti privacy europei relative all’attuazione del nuovo Regolamento privacy. Le linee guida riguardano, in particolare, il “responsabile per la protezione dei dati” (Data Protection Officer – DPO), il diritto alla portabilità dei dati, e la ”autorità capofila” che fungerà da “sportello unico” per i trattamenti transnazionali.

Il 13 dicembre 2016 il Gruppo dei Garanti Ue riuniti nell’Article 29 Working Party ha approvato tre documenti con indicazioni e raccomandazioni sulle novità del Regolamento 2016/679 sulla protezione dei dati, che dovrà essere applicato dagli Stati membri a partire dal maggio 2018.

Per quanto riguarda il Data Protection officer, la cui designazione sarà obbligatoria per tutti i soggetti pubblici e per alcuni soggetti privati sulla base di criteri chiariti nel documento, vengono specificati i requisiti soggettivi e oggettivi di questa figura, tra cui le competenze professionali e le garanzie di indipendenza e inamovibilità di cui il DPO deve godere nello svolgimento delle proprie attività di indirizzo e controllo all’interno dell’organizzazione del titolare.

Per quanto riguarda il diritto alla portabilità, si evidenzia il suo valore di strumento per l’effettiva libertà di scelta dell’utente, che potrà decidere di trasferire altrove i dati personali forniti direttamente al titolare del trattamento (social network, fornitore di posta elettronica etc.) oppure generati dall’utente stesso navigando in rete. Il documento esamina anche gli aspetti tecnici legati soprattutto ai requisiti di interoperabilità fra i sistemi informatici e alla necessità di sviluppare applicazioni che facilitino l’esercizio del diritto.

Infine, le linee guida hanno chiarito le caratteristiche di un elemento importante del nuovo quadro normativo, che aiuterà i titolari o responsabili del trattamento a individuare correttamente l’Autorità competente nei casi in cui il titolare o il responsabile trattino dati personali in più stabilimenti nell’Ue o offrano prodotti o servizi in più Paesi Ue anche a partire da un solo stabilimento. Per evitare controversie e garantire un’attuazione efficace del Regolamento i Garanti Ue hanno chiarito i criteri per la individuazione della “Autorità capofila” che deve fungere da “sportello unico” per i trattamenti transnazionali.

Su ciascuno di questi documenti, disponibili per ora solo in lingua inglese cliccando QUI, il Garante predisporrà delle apposite schede di approfondimento volte a far meglio comprendere e utilizzare i nuovi strumenti introdotti dal Regolamento.

posted by admin on dicembre 12, 2016

Diritto all'oblio

(No comments)

Nelle vicende giudiziarie di grave entità l’interesse pubblico a conoscere le notizie prevale sul diritto all’oblio delle persone coinvolte.

Con questa motivazione il Garante privacy ha dichiarato infondata la richiesta di deindicizzazione di alcuni articoli presentata da un ex consigliere comunale. L’uomo era stato coinvolto nel 2006 in un processo per corruzione e truffa, che nel 2012 si era concluso con sentenza di patteggiamento e pena interamente coperta da indulto.

Dopo essersi rivolto a Google invano, l’ex consigliere aveva presentato ricorso al Garante chiedendo la rimozione di alcuni url relativi all’indagine in cui era rimasto coinvolto, che apparivano nei risultati delle ricerche associate al suo nome. Secondo l’uomo, la permanenza in rete di tali notizie, risalenti a circa dieci anni prima e ormai prive di interesse, gli avrebbe causato un danno all’immagine, alla vita privata e all’attuale attività lavorativa, peraltro non più connessa ad incarichi pubblici.

In accordo con le Linee guida dei Garanti europei, l’Autorità ha sottolineato che sebbene il trascorrere del tempo sia la componente essenziale del diritto all’oblio, questo elemento incontra un limite quando le informazioni di cui si chiede la deindicizzazione siano riferite a reati gravi e che hanno destato un forte allarme sociale. Inoltre, nonostante fosse trascorso un certo lasso di tempo dai fatti riportati negli articoli, nel caso specifico meritava considerazione il fatto che la vicenda giudiziaria si fosse definita solo pochi anni prima. Oltre a ciò, alcuni url richiamavano la notizia in articoli relativi ad una maxi inchiesta sulla corruzione pubblicati fino al 2015 e la loro relativa attualità dimostra l’interesse ancora vivo e attuale dell’opinione pubblica.

European-unionIl parlamento europeo ha approvato l’accordo UE-USA per la protezione dei dati personali scambiati a fini di contrasto alla criminalità, volto a garantire standard alti e vincolanti per la protezione dei dati personali trasferiti per attivitè di cooperazione giudiziaria e di polizia.

L’accordo, chiamato “Umbrella Agreement”,  si applica al trasferimento di tutti i dati personali, quali nomi, indirizzi o precedenti penali, scambiati tra l’Unione europea e gli Stati Uniti a scopi di prevenzione, individuazione, indagine e perseguimento di reati, compreso il terrorismo. Dopo sei anni di negoziati, il Parlamento ha dato il suo consenso e spianato la strada al Consiglio per approvare la decisione finale che ne conclude l’iter.

“L’accordo non rappresenta una base giuridica per il trasferimento dei dati, ma protegge i dati che sono già scambiati legalmente. Le autorità per la protezione dei dati possono verificare il rispetto in qualsiasi momento”, ha dichiarato il relatore Jan Philipp Albrecht (Verdi, DE).

L’accordo prevede che i cittadini di entrambe le sponde dell’Atlantico abbiano diritto ad essere informati in caso di violazioni della sicurezza dei dati, a  poter correggere le informazioni inesatte e a chiedere il risarcimento dei danni. Stabilisce, inoltre, i limiti per trasferimenti di dati successivi e del periodo di conservazione degli stessi.

Le postille a fine articolo non sono sufficienti. I diritti delle persone che chiedono di aggiornare i dati devono essere garantiti con una maggiore visibilità.

L’aggiornamento di un articolo online deve essere immediatamente visibile al lettore, sia nel titolo sia nella cosiddetta preview, l’anteprima del contenuto. Lo ha affermato il Garante privacy accogliendo parzialmente il ricorso di un uomo che, coinvolto in una vicenda giudiziaria quando rivestiva un ruolo pubblico, era stato poi scagionato.

L’uomo si era rivolto al Garante lamentando che la presenza in rete di “vecchie” informazioni arrecava un danno alla sua reputazione, personale e professionale, non corrispondendo a quanto realmente avvenuto, come dimostrato dalla successiva archiviazione del procedimento penale a suo carico. In particolare l’uomo non era soddisfatto dalle modalità adottate da un quotidiano online, che si era limitato ad inserire una breve nota alla fine di due articoli dei quali aveva chiesto l’aggiornamento.

Seppur ritenendo lecito il trattamento dei dati contenuti negli articoli presenti nell’archivio online del quotidiano, l’Autorità ha rilevato che il diritto della persona di ottenere l’aggiornamento delle informazioni che lo riguardano deve essere rispettato e, per salvaguardare l’attuale identità sociale della persona, le modifiche all’articolo devono essere effettive e non limitate ad una postilla poco visibile.

Non giudicando quindi adeguate le modalità scelte dall’editore, il Garante ha chiesto di rendere visibile, sia nel titolo che nelle preview, l’esistenza di sviluppi della vicenda: mediante, ad esempio, una nota accanto o sotto il titolo dell’articolo.

Il Garante per la privacy ha autorizzato il trasferimento di dati personali dal territorio italiano verso le organizzazioni presenti negli Stati Uniti che figurano nell’elenco degli aderenti al “Privacy Shield”. Nel frattempo, la Corte di Giustizia Europea è chiamata a verificarne la validità.

La nuova autorizzazione (provvedimento del 27 ottobre 2016, pubblicato in Gazzetta Ufficiale il 22 novembre 2016)  sostituisce quella basata sull’accordo “Safe Harbor”, che regolava il trasferimento dei dati verso gli Stati Uniti, dichiarato invalido dalla Corte di Giustizia dell’Unione Europea il 6 ottobre 2015.

La Corte aveva bocciato il “Safe Harbor” accogliendo il ricorso di un cittadino austriaco, Max Schrems, che, muovendo dalle rivelazioni di Edward Snowden sulle violazioni al diritto alla riservatezza da parte della National Security Agency americana, riteneva il diritto e le prassi statunitensi non sufficienti alla protezione dei dati trasferiti dall’Europa.

Con il nuovo accordo, le società private possono accreditarsi per il Privacy Shield presso il Dipartimento del Commercio degli Stati Uniti che verificherà se le policy aziendali sono in linea con lo standard di protezione dei dati richiesta dall’Unione Europea.

Con il provvedimento del Garante, l’Italia si conforma alla decisione della Commissione europea del 12 luglio 2016 che ha riconosciuto al nuovo accordo denominato “EU-U.S. Privacy Shield” un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea ad organizzazioni residenti negli Stati Uniti “certificate” ai sensi dell’accordo.

Il Garante ha specificato che l’Autorità italiana si riserva di effettuare in qualsiasi momento controlli per verificare la liceità e la correttezza del trasferimento dei dati e di ogni operazione ad essi inerente, nonché di adottare, se necessario, i provvedimenti previsti dal Codice privacy. La Commissione, da parte sua, sottoporrà a monitoraggio il funzionamento dello “Scudo” per verificare se gli Stati Uniti continuino a garantire un livello di protezione adeguato. Le verifiche avverranno a cadenza annuale, mentre una, in particolare, è prevista a seguito dell’entrata in vigore del Regolamento sulla protezione dei dati.

Tuttavia, a distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è stata chiamata a pronunciarsi sull’adeguatezza della tutela assicurata dal Privacy Shield. Infatti, alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero sostengono che il Privacy Shield non offra un adeguato livello di protezione.

In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta inoltre che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea (per un approfondimento sul tema si rimanda a QUESTO post).

Come precedentemente evidenziato su questo blog, la decisione nel caso Schrems segna un ulteriore passo verso l’affermazione di un modello europeo contrapposto a quello statunitense e la primazia del controllo giudiziario sugli accordi UE/USA. Per offrire una ampia analisi dell’attuale contesto giuridico, è stato pubblicato il volume “La protezione transnazionale dei dati personali dai “safe harbour principles” al “privacy shield””, curato da Giorgio Resta e Vincenzo Zeno-Zencovich, in cui dodici studiosi analizzano la nuova decisione sotto molteplici aspetti giuridici, prospettando interpretazioni e prospettive anche alla luce del “Privacy Shield” che dovrebbe governare la circolazione trans-atlantica dei dati.

Nel capitolo “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” Giusella Finocchiaro approfondisce le tematiche alla base delle sentenze della Corte di Giustizia.

Il volume è pubblicato sotto licenza “creative commons” ed è dunque liberamente consultabile e disponibile per il download gratuito a QUESTA pagina.

Si discute nuovamente di Privacy Shield, l’accordo regolatore dei flussi transfrontalieri di dati tra Unione europea e Stati Uniti che di recente ha sostituito il previgente Safe Harbor.

A distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è chiamata a decidere sull’adeguatezza della tutela assicurata dal Privacy Shield.

Alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero (tra cui l’ormai nota Digital Rights Ireland Ltd.) sostengono infatti che il Privacy Shield non offra un adeguato livello di protezione, a differenza di quanto ritenuto dalla Commissione europea che il 12 luglio 2016 ha adottato la decisione di adeguatezza rendendo legittimi i trasferimenti di dati verso gli Stati Uniti e le organizzazioni americane aderenti al nuovo accordo.

In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta altresì che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea.

In ragione di tali motivi i ricorrenti hanno impugnato la decisione di adeguatezza della Commissione ai sensi dell’art. 263 TFUE che prevede la possibilità per i soggetti interessati di impugnare ed ottenere l’annullamento degli atti della Commissione entro due mesi dalla loro entrata in vigore o dalla loro pubblicazione.

Giova ricordare a questo punto che il Gruppo di lavoro Art. 29 aveva già espresso le proprie remore relativamente ad alcuni aspetti dell’accordo che non erano stati modificati nonostante le reiterate richieste di revisione. Nello statement del 26 luglio 2016, immediatamente successivo all’adozione del Privacy Shield, il Gruppo dei Garanti europei rilevava che non fossero state disposte concrete misure di sicurezza per evitare la raccolta generalizzata di dati e che non fosse stata assicurata l’indipendenza di ruolo e di poteri di importanti organismi di ricorso (come l’Ombudsperson).

Pare dunque che il nuovo regime non abbia portato all’instaurazione di un clima di certezza del quadro regolatore dei flussi transfrontalieri di dati verso gli Stati Uniti, Paese che evidentemente non riceve ancora fiducia da parte degli operatori europei. Si attende ora la decisione della Corte di Giustizia che potrebbe ritenere inammissibili i ricorsi per difetto di legittimazione o infondatezza di motivi oppure potrebbe decidere di accogliere l’impugnazione.