Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital4Executive il 10 ottobre 2017.

Le violazioni della sicurezza dei dati personali non riguardano solo la privacy. Gli adempimenti sono particolarmente rilevanti nel settore finance, chiamato a rispondere su più fronti: servizi fiduciari, tutela di network e sistemi informativi, sicurezza informatica. Con comunicazioni al Garante per la Privacy, all’organismo di vigilanza, al CSIRT e a Banca d’Italia o BCE. Oltre a eventuali notifiche ai soggetti direttamente interessati.

“Data breach” è termine ormai consueto nel linguaggio quotidiano di imprese e operatori: indica ogni violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali. Questa è la definizione offerta dal GDPR, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che dal 25 maggio 2018 abrogherà la direttiva 95/46/CE e detterà la nuova disciplina in materia di privacy.

Il termine però non è nuovo e gli adempimenti successivi al data breach (come, ad esempio, la notifica) nemmeno: già il nostro Codice in materia di protezione dei dati personali (il d.lgs. 30 giugno 2003, n. 196) menziona e disciplina l’eventualità di “incidenti” della sicurezza unitamente agli adempimenti ad essi conseguenti.

L’attenzione rivolta a questi ultimi è recentemente aumentata proprio per il nuovo Regolamento europeo, che ha dettato una disciplina comune a tutti i titolari del trattamento (quella del Codice è riservata ai soli fornitori di servizi di comunicazione elettronica), specificando le modalità di notifica del data breach all’autorità di controllo, e di comunicazione all’interessato a cui i dati oggetto di violazione si riferiscono.

Occorre però specificare che si tratta di adempimenti non sempre obbligatori, a cui è necessario procedere solo se la violazione costituisce un rischio elevato per i diritti e le libertà delle persone fisiche. A prescindere dal grado di rischio, invece, il Regolamento prevede che, a determinate condizioni, la banca-titolare del trattamento possa essere esonerata dalla comunicazione all’interessato, come nel caso in cui siano state adottate misure tecniche e organizzative idonee a rendere i dati personali incomprensibili, quali ad esempio la cifratura.

Tuttavia non si può considerare il data breach soltanto alla luce della regolamentazione in materia di privacy. L’occorsa violazione della sicurezza è infatti oggetto di diverse discipline di settore e, per la peculiarità e la sensibilità delle informazioni coinvolte, risulta particolarmente rilevante nell’ambito bancario. In caso di data breach, le banche sono quindi tenute ad agire su più fronti per garantire una piena osservanza delle normative a cui sono assoggettate. Di seguito l’elenco.

Continua su DIGITAL4EXECUTIVE

Giusella Finocchiaro

Laura Greco

FSEPubblicato in Gazzetta Ufficiale il comunicato dell’Agenzia per l’Italia digitale che riporta la pubblicazione della circolare n. 4 recante il «Documento di progetto dell’Infrastruttura nazionale per l’interoperabilita’ dei fascicoli sanitari elettronici (art. 12, comma 15-ter, decreto-legge n. 179/2012)».

Il documento definisce lo scenario di riferimento del FSE fornendo gli aspetti tecnici dell’evoluzione della Infrastruttura nazionale per l’interoperabilità  (INI) dei fascicoli sanitari elettronici regionali e descrivendo le funzionalità che l’Infrastruttura nazionale mette a disposizione alle regioni che decidono di avvalersene.

La circolare è disponibile a QUESTA pagina.

La Fondazione Forense Bolognese (Consiglio dell’Ordine degli Avvocati) con il patrocinio dell’Università di Bologna organizza un convegno dedicato al Regolamento Europeo sulla privacy e sulla protezione dei dati personali n. 679/2016.

L’evento si terrà il 9 ottobre 2017 dalle ore 15,00 alle 18,30 presso l’Aula Traslazione del Complesso S. Domenico– Piazza S. Domenico, 13 Bologna.

Nel corso del convegno sarà presentato il volume “Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali” a cura della Prof.ssa Giusella Finocchiaro, Ordinario di Diritto di internet e di Diritto privato nell’Università di Bologna, con la partecipazione della Curatrice e degli Autori.

La partecipazione è libera, vale 3 crediti formativi, ma è necessaria l’iscrizione sul sito www.fondazioneforensebolognese.it.

Il programma del convegno è disponibile QUI

emailRiceviamo un quesito da un lettore relativo ad un caso di possibile violazione della privacy a cui rispondiamo pubblicamente a beneficio di quanti si trovano in simili situazioni di incertezza.

Buonasera, ho scritto ad un avvocato tramite PEC, lo stesso ha risposto dicendo che non tutela più gli interessi delle persone menzionate nella email. Poi una di quelle persone mi scrive alla PEC, ma il mio indirizzo PEC lo conosceva solo l’avvocato che non li tutela più. Era autorizzato a comunicarglielo?

Di regola l’avvocato che inoltra al proprio ex-cliente una comunicazione destinata a quest’ultimo, ricevuta dopo l’estinzione del mandato, adempie al generale dovere di correttezza e buona fede, nel rispetto dei principi deontologici che sovrintendono la professione forense. Non si reputa quindi necessaria alcuna autorizzazione, essendo la comunicazione destinata ab origine all’ex-cliente.

Per le imprese che si stanno preparando all’entrata in vigore delle nuove norme per la protezione dei dati personali, prevista a maggio del 2018, una delle novità più significative è la valutazione d’impatto sulla protezione dei dati, una misura preventiva inerente il risk assessment che ciascun titolare del trattamento è tenuto ad effettuare.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital 4 Executive il 12 settembre 2017.

È ormai più di un anno che si parla del nuovo GDPR, il Regolamento europeo in materia di protezione dei dati personali, il Reg. (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che dal 25 maggio 2018 andrà a sostituire la direttiva 95/46/CE.

Dottrina ed esperti in materia di privacy, ma anche istituzioni e organismi europei hanno tentato di fornire indicazioni operative agli Stati e agli operatori per facilitare il loro adeguamento alla nuova disciplina. Il Gruppo di lavoro Art. 29, ad esempio, ha adottato una serie di linee guida volte a chiarire alcuni adempimenti del Regolamento che, per via del carattere innovativo ovvero per via della loro onerosità e complessità, hanno attirato sin da subito l’attenzione – e i timori – delle imprese.

Tra questi una delle novità maggiormente discusse è la valutazione d’impatto sulla protezione dei dati. Dal momento che tale adempimento è stato oggetto di innumerevoli commenti, può brevemente ricordarsi che si tratta di una misura preventiva inerente il risk assessment che ciascun titolare del trattamento è tenuto ad effettuare sulla base della natura, dell’oggetto, del contesto e delle finalità del trattamento. Attraverso un’analisi dei flussi informativi la valutazione d’impatto è volta all’individuazione dei rischi derivanti dal trattamento e, quindi, dei mezzi e degli strumenti da adottare per contrastarli.

Con il presente contribuito si intende offrire una guida pratica agli operatori che intendano o debbano procedere alla valutazione d’impatto, alla luce dell’art. 35 del Regolamento e delle Guidelines on Data Protection Impact Assessment (DPIA) adottate il 4 aprile 2017 dal Gruppo Art. 29.

L’articolo continua su Digital 4 Executive.

Il Garante privacy ha emanato un provvedimento urgente per semplificare gli adempimenti e consentire trattamenti di dati non previsti dalla legge sui vaccini.

In considerazione dell’imminente avvio dell’anno scolastico, il Garante ha adottato con procedura urgente un provvedimento a valenza generale che autorizza una comunicazione di dati personali non sensibili dalle scuole alle autorità sanitarie. Dal primo settembre 2017 le scuole, sia pubbliche che private, e i servizi educativi per l’infanzia possono trasmettere l’elenco degli iscritti alle Asl territoriali, per l’attività di verifica della regolarità vaccinale e per l’avvio delle procedure previste (ad esempio la convocazione dei genitori), nonché per la pianificazione delle attività necessarie a mettere a disposizione dei genitori la documentazione prevista dal decreto.

Tale decisione risponde alla richiesta dell’Ufficio Scolastico Regionale per la Toscana e di numerose altre amministrazioni su scala nazionale che hanno manifestato l’intenzione di effettuare uno scambio automatico di dati sulla regolarità vaccinale – anche in assenza di una specifica norma che lo consentisse – al fine di favorire il rispetto degli obblighi vaccinali nei termini previsti dalla legge.

Il Garante ricorda che, al fine di semplificare la procedura, le aziende sanitarie possono già inviare di propria iniziativa i certificati o altre attestazioni vaccinali alle famiglie, per consegnarli alle scuole, senza dover aspettare che siano i genitori stessi a richiederli, nonché inviare altre comunicazioni relative agli obblighi vaccinali, anche a seguito di accordi con gli istituti scolastici.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Agenda Digitale il primo settembre 2017.

Si è ormai ampiamente trattato delle novità introdotte nella disciplina della protezione dei dati personali ad opera del nuovo Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, direttamente applicabile a partire dal 25 maggio 2018.

Fin dalle prime letture si è evinto il carattere stringente e cautelativo della nuova disciplina, che si distingue per un approccio basato sul rischio del trattamento e sulla responsabilità o, per dirla con le parole del Regolamento, sulla accountability dei soggetti attivi del trattamento.

A conferma di ciò basti osservare l’ampio novero di obblighi che il Regolamento pone a carico del titolare e del responsabile del trattamento. Adempimenti intesi, in particolare, alla progettazione dell’intero trattamento alla luce dei principi di privacy by design e by default, con l’obiettivo di assicurare che le misure – tecnologiche e organizzative – di sicurezza siano adeguate rispetto al potenziale rischio a cui il trattamento espone i dati.

Nel quadro degli obblighi volti alla misurazione del rischio correlato alle attività di trattamento, spicca, per onerosità e rilevanza, la c.d. valutazione d’impatto (meglio conosciuta anche come DPIA – Data Protection Impact Assessment), una misura preventiva che impone al titolare di verificare se il trattamento esponga i dati ad un rischio elevato, tenendo conto delle specificità del trattamento stesso: la natura, l’oggetto, il contesto, le finalità, nonché l’uso di nuove tecnologie. Sebbene sia fortemente raccomandata per ogni tipologia di trattamento, la valutazione d’impatto non è obbligatoria se non nei casi specificatamente indicati dal Regolamento ovvero qualora sia previsto dal diritto degli Stati membri.

Un particolare ambito in cui appare non solo appropriato, ma doveroso procedere alla valutazione d’impatto è quello lavorativo. Pare, infatti, rientrare nell’ipotesi di un monitoraggio sistematico di dati relativi a soggetti vulnerabili il trattamento effettuato in un contesto lavorativo.

“Vulnerabili”: il termine non è impiegato a caso. È così che il Gruppo di lavoro Articolo 29 definisce i dipendenti nelle proprie “Linee guida in materia di valutazione d’impatto sulla protezione dei dati”, emanate il 4 aprile 2017, ove il contesto lavorativo è ritenuto rischioso per i diritti degli interessati considerato lo sbilanciamento di potere contrattuale a favore del datore di lavoro. Il Gruppo Articolo 29, che già in passato aveva fornito indicazioni in materia di diritti dei lavoratori nell’ambito della protezione dei dati personali (si rinvia all’opinion 8/2001, WP48, e al documento di lavoro WP55 del 2002), dedica la recente opinion 2/2017 al tema del trattamento dei dati in ambito lavorativo.

In questa sede il Gruppo dei Garanti europei ha aggiornato le proprie considerazioni in materia alla luce delle nuove disposizioni e, in particolare, dei nuovi obblighi introdotti dal Regolamento.

Confermando che il trattamento dei dati in ambito lavorativo deve necessariamente uniformarsi ai principi di trasparenza, necessità e minimizzazione, il Gruppo sottolinea come il consenso non sia un presupposto di legittimità sicuro e affidabile, giacché il lavoratore non può ritenersi completamente libero di acconsentire o di opporsi al trattamento in ragione della relazione contrattuale che lo lega al datore di lavoro. Pertanto, secondo il Gruppo, sarebbero da preferire altre basi di legittimità, come l’esecuzione del contratto di lavoro, l’obbligo legale in capo al titolare-datore di lavoro ovvero il legittimo interesse di quest’ultimo.

Tuttavia, l’individuazione delle condizioni di legittimità del trattamento non è sufficiente quando si parla di controllo dei lavoratori: occorre una policy chiara, comprensibile e completa – ribadisce il Gruppo – che informi i lavoratori circa lo svolgimento delle attività di monitoraggio e le relative finalità.

È proprio tra i pilastri della legittimità di trattamento e della trasparenza che si inserisce la valutazione d’impatto, la misura di tutela risk-based che incorpora un test di proporzionalità tra il legittimo interesse del datore di lavoro, le tecnologie adottate volte al suo perseguimento e i diritti di riservatezza e di segretezza delle comunicazioni dei lavoratori. Secondo il parere del Gruppo di lavoro, l’introduzione di qualsiasi tecnologia volta al monitoraggio e al controllo dei lavoratori dovrebbe essere preceduta da una valutazione d’impatto al fine di verificare se il trattamento dei dati (e le modalità con cui esso viene effettuato) siano proporzionati al rischio che il datore di lavoro deve fronteggiare.

A seguito di una esposizione teorica del framework, dei principi fondamentali e delle novità del Regolamento, il Gruppo dei Garanti dedica ampio spazio all’esame degli scenari di trattamento che possono presentarsi nella prassi di un’organizzazione, con particolare riferimento all’impiego delle nuove tecnologie. Il Gruppo si sofferma segnatamente sulle tecnologie che permettono di monitorare i lavoratori non solo sul luogo di lavoro, bensì anche nelle proprie case e, in generale, nella propria sfera privata. Ciò accade ad esempio ove si usino tecnologie BYOD (Bring Your Own Device) che permettono al lavoratore di impiegare i propri dispositivi personali per finalità lavorative. L’utilizzo promiscuo potrebbe generare il rischio di trattare informazioni che esulano dalla sfera lavorativa: al fine di scongiurare tale eventualità, il Gruppo raccomanda di adottare misure appropriate che permettano di distinguere l’uso del dispositivo a seconda della finalità.

Infine, nel declinare la protezione offerta ai lavoratori, i Garanti europei tengono conto non solo dell’evoluto contesto tecnologico, ma anche di quello imprenditoriale: il trattamento effettuato all’interno di un gruppo imprenditoriale avente sedi in diversi Stati potrebbe comportare il trasferimento dei dati dei lavoratori verso Stati terzi. In tal caso – così come nell’ipotesi dell’impiego di applicazioni e servizi cloud-based che comportano un flusso transfrontaliero di dati – il trasferimento sarà legittimo a condizione che il Paese terzo importatore dei dati assicuri un adeguato livello di protezione dei dati personali.

Per riassumere, dunque: legittimità, trasparenza, proporzionalità, bilanciamento di interessi, minimizzazione. Queste le parole chiavi (e i pilastri) del trattamento dei dati in ambito lavorativo.

A margine di quanto sinora esposto, occorre ricordare che l’art. 88, 1° comma del Regolamento prevede che gli Stati membri possano dettare “con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”. Ciò non può che indurre a riflettere sull’adeguatezza delle modifiche apportate alla legge 20 maggio 1970, n. 300 (“Statuto dei Lavoratori”) ad opera della recente riforma c.d. Jobs Act. Occorrerà dunque valutare se le nuove disposizioni siano effettivamente sufficienti alla luce delle raccomandazioni del Gruppo di lavoro europeo e a fronte degli scenari prospettati ovvero se si rivelerà necessario un nuovo intervento da parte del legislatore italiano.

Respinto il ricorso di un uomo che chiedeva alla ex moglie i danni per avere invaso illecitamente il suo diritto alla riservatezza dei dati chiedendo alla banca i dati del suo estratto conto.

Con sentenza n. 20649 del 31 agosto 2017, la VI sezione Civile della Corte di Cassazione ha dichiarato inammissibile il ricorso di un uomo che accusava la ex coniuge di aver chiesto illecitamente alla banca i dati del suo estratto conto, violando la sua privacy, allo scopo di utilizzarli come prova nella causa di separazione personale.

La sentenza della Cassazione ha confermato il rigetto dell’istanza di risarcimento danni già emessa dal Tribunale di Modena, e successivamente della Corte d’Appello di Bologna.

La Cassazione ha richiamato la motivazione del Tribunale, secondo la quale, nel richiedere informazioni o documenti alla banca, la donna non aveva violato alcuna norma di legge né aveva tenuto un comportamento fraudolento; la Corte ha anche ritenuto che il marito non avesse offerto alcuna indicazione circa il danno subito.

Resterebbe, chiaramente, da capire la liceità del comportamento dell’Istituto bancario, che tuttavia non è stato chiamato in causa.

posted by admin on agosto 25, 2017

Diritto all'oblio

(No comments)

Il tempo non è l’unico elemento da considerare quando si esaminano casi di Diritto all’oblio, il ruolo pubblico svolto dai soggetti coinvolti e l’attualità della notizia sono fattori importanti che vanno presi in esame.

Sebbene il tempo trascorso dai fatti riportati sui giornali sia l’elemento più importante per valutare l’accoglimento di una richiesta di “diritto all’oblio”, in una recente pronuncia il Garante privacy ha ricordato che è necessario valutare anche ulteriori circostanze.

La decisione riguarda il ricorso presentato da un alto funzionario pubblico che chiedeva a Google la rimozione di alcuni risultati di ricerca ottenuti digitando il proprio nome. Si trattava di link ad articoli nei quali erano riportate notizie relative ad una vicenda giudiziaria risalente a 16 anni fa, che si era conclusa con la condanna del funzionario, che poi negli anni a seguire era stato integralmente riabilitato. Uno degli articoli di cui si chiedeva la rimozione era stato pubblicato all’epoca dei fatti mentre altri, più recenti, avevano ripreso la notizia in occasione dell’assunzione di un nuovo importante incarico da parte dell’interessato.

Il Garante ha affermato che nel valutare un caso di diritto all’oblio occorre prendere in esame tutti i risultati di ricerca ottenuti digitando il nome e cognome dell’interessato, anche associato ad ulteriori parole di specificazione, quali il ruolo ricoperto o la circostanza dell’avvenuta condanna.

Un’interpretazione in linea con la nota sentenza della Corte di Giustizia del 13 maggio 2014 conosciuta come “Google Spain”, nella quale si afferma che il motore di ricerca è obbligato a eliminare, dall’elenco di risultati di una ricerca effettuata a partire dal nome di una persona, i link verso pagine web pubblicate da terzi e contenenti informazioni relative a questa persona, anche nel caso in cui tale nome o tali informazioni non vengano previamente o simultaneamente cancellati dalle pagine web, e anche quando la loro pubblicazione su tali pagine web sia di per sé lecita. Secondo la sentenza devono essere presi in considerazione tutti gli url raggiungibili effettuando una ricerca “a partire dal nome”, senza escludere quindi la possibilità che ad esso possano essere associati ulteriori termini volti ad ottenere risultati specifici.

Chiarito questo punto rilevante, l’Autorità ha dunque ordinato a Google di deindicizzare l’URL che rinviava all’unico articolo avente ad oggetto, in via diretta, la notizia della condanna penale inflitta al ricorrente. Il Garante ha ritenuto infatti che, considerato il tempo trascorso e l’intervenuta riabilitazione, la notizia non risultasse più rispondente alla situazione attuale.

Viceversa, per quanto riguarda gli altri articoli indicati dal ricorrente, il Garante ha riconosciuto che questi, pur richiamando la stessa vicenda giudiziaria, “inseriscono la notizia in un contesto informativo più ampio, all’interno del quale sono fornite anche ulteriori informazioni” legate al ruolo istituzionale attualmente ricoperto dall’interessato e che tali risultati erano di indubbio interesse pubblico “anche in ragione del ruolo nella vita pubblica rivestito dal ricorrente”. Pertanto, riguardo alla richiesta di una loro rimozione, ha dichiarato il ricorso infondato.

Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 18 luglio 2017 ha pubblicato un’analisi di Giusella Finocchiaro sulle implicazioni giuridiche correlate alla pubblicazione online non autorizzata di foto reperite da una casella email.

Non è possibile e non è corretto commentare sotto il profilo tecnico-giuridico una sentenza di cui non si conoscono le motivazioni, che saranno depositate entro 90 giorni.

Per questo dobbiamo attendere. Si legge che il Tribunale di Milano avrebbe assolto tre blogger accusati dalla Procura di avere abusivamente sottratto fotografie della festa di George Clooney ed Elisabetta Canalis dall’account di posta elettronica di una delle invitate all’evento. Ma non conosciamo in dettaglio i fatti. I reati contestati erano in particolare l’accesso abusivo al sistema informatico, l’intercettazione illecita di comunicazioni e la violazione di corrispondenza. Si è letto dalle prime indiscrezioni di stampa che il giudice avrebbe in parte disposto l’assoluzione perché il fatto non sussiste e in parte qualificato la condotta nel reato meno grave di rivelazione di corrispondenza altrui assolvendo gli imputati perché, in mancanza di querela delle parti offese, il reato non sarebbe procedibile. DUNQUE, in parte, essenzialmente motivazioni tecniche. Non conosciamo neppure le prove che sono state prodotte in giudizio e la produzione di prove telematiche nel processo costituisce un terreno ancora in piena esplorazione. Certo una considerazione di carattere generale deve essere fatta: Internet non è il Far West e le regole valgono tutte anche online. Comprese le regole processuali. Le stesse norme che si applicano fuori dalla Rete si applicano nella Rete, con le difficoltà che a volte questo comporta (basti ricordare il caso di Tiziana Cantone). Dunque se i giudici hanno assolto non possiamo che ritenere che ci siano argomentazioni tecnicogiuridiche adeguate. Ma certamente la diffusione non autorizzata di foto o la violazione di corrispondenza, adeguatamente provate in giudizio, sono illeciti dentro e fuori da Internet.