L’obiettivo del presente documento è quello di passare in rassegna le novità maggiormente rilevanti in materia di data protection relative agli ultimi due anni, ossia a partire dal momento in cui il GDPR è divenuto pienamente applicabile negli Stati membri, anniversario ricorso esattamente pochi giorni fa.
Partendo dalle novità più recenti concernenti lo stato di emergenza attuale, troviamo che, forse per la prima volta in maniera così eclatante, la protezione dei dati personali ha assunto un ruolo e un’importanza di rilevanza pubblica e pertanto esce dalla sola dimensione individuale del singolo per assurgere a valore pubblicistico, alla base della nuova società digitale.
Il Garante si è più volte pronunciato ed è stato più volte chiamato in causa sotto vari aspetti, tanto che ha deciso di pubblicare una serie di FAQ per offrire chiarimenti e indicazioni a pubbliche amministrazioni e imprese private.
Il Garante è intervenuto più volte anche sul tema dell’utilizzo dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al Covid-19, argomento a cui ha dedicato un’intera pagina informativa.
L’emergenza sanitaria da Covid-19, inoltre, ha portato molte più persone ad essere connesse online e a utilizzare dispositivi digitali, nonché il ricorso massivo allo smartworking; tali contesti alimentano le attività di malintenzionati che diffondono software “malevoli” per varie finalità illecite. Una delle attività più diffuse e dannose è attualmente il cosiddetto ransomware, al quale il Garante ha di recente dedicato un approfondimento.
Senza tralasciare poi il noto caso di data breach verificatosi proprio in tale contesto emergenziale a danno dell’INPS e in riferimento al quale il Garante ha avviato un’istruttoria allo scopo di effettuare opportune verifiche e valutare l’adeguatezza delle contromisure adottate dall’Ente e gli interventi necessari a tutelare i diritti e le libertà degli interessati, aggiungendo che “quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.
Gli eventi di data breach nell’epoca digitale sono sempre più numerosi e rappresentano un rischio sia per i diritti e le libertà degli interessati che per l’interesse collettivo nazionale, soprattutto quando sono diretti a pubbliche amministrazioni o infrastrutture critiche. Da qui la scelta del Garante di siglare altresì un protocollo d’intesa con il DIS, che rappresenta un forte segnale di come il tema della data protection sia sempre più connesso e quello della cybersecurity e della sicurezza cibernetica nazionale, argomento centrale della giornata europea per la protezione dei dati dell’anno 2020. Si segnalano a riguardo la pagina informativa del Garante sul data breach e gli atti del convegno della giornata europea.
Oltre ai temi strettamente connessi all’emergenza in atto, novità principale del 2020 sono state senza dubbio le Linee Guida sul consenso dell’EDPB (Comitato Europeo per la Protezione dei Dati), che hanno chiarito, tra le altre cose, in tema di cookie, che il consenso deve essere libero e “inequivocabile” e che pertanto lo scrolling o qualsiasi altra interazione col sito, successiva all’evidenza del banner cookie, non è da intendersi quale manifestazione di volontà inequivocabile e libera; questo perché tale azione non è un atto interpretabile univocamente e l’utente, molte volte, per accedere ai contenuti del sito non ha alternative che proseguire, anche inconsciamente. La soluzione potrebbe essere solo un’azione specifica dell’utente o una dashboard dei consensi che permetta all’utente di rilasciare consensi consapevoli e granulari.
Rimanendo in tema di linee guida dell’EPDB, si segnalano le Linee Guida sui trattamenti di videosorveglianza adottate il 29 gennaio 2020 che chiariscono in quali termini il GDPR si applichi al trattamento dei dati personali quando si utilizzano dispositivi video. Le linee-guida riguardano sia i dispositivi video tradizionali sia i dispositivi video intelligenti. Per quanto concerne questi ultimi, le linee-guida si concentrano sulle norme relative al trattamento di categorie particolari di dati e dati biometrici.
Ancora più recente il parere del Garante reso all’AODV sulla configurazione dell’ODV a fini privacy che ha ridimensionato l’annoso dibattito sul tema. Il Garante ha ritenuto che l’ODV debba essere considerato “parte dell’ente”; tuttavia, non può prescindersi dalla necessità di definire anche il ruolo che, in base alla disciplina in materia di protezione dei dati personali, deve essere previsto per i singoli membri che lo compongono che pertanto saranno designati quali soggetti autorizzati e dovranno nel loro operato attenersi alle istruzioni impartite dal titolare.
Andando più indietro nel tempo troviamo un noto provvedimento in tema di whistleblowing con cui il Garante ha sanzionato un’università per aver reso accessibili online i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti. Con l’occasione il Garante ha ribadito che il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti, deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce. Sarà opportuno pertanto porre particolare attenzione ai temi data protection nella fase di contrattualizzazione dei fornitori di piattaforme digitali che offrono il servizio di gestione delle segnalazioni.
L’attenzione all’operato dei fornitori e di tutti i soggetti terzi che operano in qualità di responsabili del trattamento è anche uno dei punti fondamentali dei provvedimenti nei confronti di Eni e Tim.
Il Garante, infatti, ha irrogato a Tim S.p.A. una sanzione di 27.802.946 euro per numerosi trattamenti illeciti di dati legati all’attività di marketing ed ha sanzionato Eni Gas e Luce per 11,5 milioni per telemarketing indesiderato e attivazione di contratti non richiesti. Tutte queste attività erano condotte per il tramite di reti di agenzie nominate responsabili del trattamento.
Di particolare interesse è stata altresì l’indagine congiunta sui big data ad opera di AGCOM, AGCM E GARANTE PRIVACY. Da tre prospettive diverse e complementari, l’indagine ha approfondito, anche attraverso audizioni e richieste di informazioni a imprese, associazioni di categoria ed esperti della materia, i cambiamenti derivanti dai Big Data sugli utenti che forniscono i dati, sulle aziende che li utilizzano e, dunque, sui mercati. Ciò anche al fine di cogliere pienamente le possibili sinergie tra le tre Autorità e identificare gli strumenti più appropriati per eventuali interventi.
Interventi numerosi e rilevanti sono stati anche quelli che hanno portato ad emanare provvedimenti o fornire indicazioni all’Agenzia delle entrate e quindi in tema di fiscalità, laddove per combattere l’evasione si tenta molte volte di setacciare miriade di informazioni, attraverso canali di trasmissione non sicuri, per nulla in conformità al principio di minimizzazione e di esattezza e accuratezza del dato, col rischio tra l’altro di non assolvere affatto alla finalità di lotta all’evasione. il Garante ha individuato i presupposti e le condizioni perché l’Agenzia delle entrate potesse avviare il nuovo obbligo della fatturazione elettronica e ha chiesto e ottenuto tutele per evitare trattamenti sproporzionati dei dati personali dei contribuenti.
Nel campo, invece, dei servizi assicurativi il Garante ha precisato che non bisogna inserire nei bandi di gara per i servizi assicurativi, l’obbligo per le compagnie aggiudicatarie di assumere l’incarico di responsabile del trattamento dei dati. L’assicurazione, infatti, ai sensi del Regolamento europeo sulla protezione dei dati e della normativa di settore, mantiene la sua autonomia decisionale, in qualità di titolare autonomo del trattamento.
Il 2018, poi, è stato caratterizzato da fatti clamorosi che hanno messo a rischio la sicurezza informatica di milioni di persone in tutto il mondo; per quanto concerne il profilo degli utilizzi illeciti dei dati personali sulle piattaforme social, va ricordato il caso Cambridge Analytica, che ha visto l’intervento dell’Autorità, volto ad accertare le responsabilità e a mettere in guardia sui rischi per la libertà delle persone da forme distorte di influenza politica.
Il Garante ha inoltre dato una serie di puntuali prescrizioni per la messa in sicurezza di una piattaforma di partecipazione politica.
È proseguito il lavoro svolto per assicurare la protezione online dei minori, in particolare riguardo ai possibili rischi insiti negli smart toys. Per combattere il fenomeno del cyberbullismo il Garante ha predisposto procedure per la rimozione dei contenuti offensivi e ha siglato un protocollo di intesa con la Polizia postale e con alcuni Co.Re.Com. con l’obiettivo di rafforzare il sistema di tutele e attivare una rete di intervento tempestiva e coordinata a protezione delle giovani vittime.
Conclusioni
L’obiettivo dell’Autorità è stato in questi anni soprattutto quello di rispondere alle sfide poste dai nuovi modelli economici fondati sullo sfruttamento dei dati. Il Garante si è riferito più volte a ciò con il termine App economy, ossia un sistema commerciale in cui le condizioni generali di contratto sono unilateralmente stabilite dalle aziende del digitale; ciò eleva all’ennesima potenza l’esigenza di protezione dei dati delle persone fisiche. Gli ultimi anni sono stati caratterizzati da una vera e propria esplosione del digitale e il passaggio verso questa nuova dimensione è stato ancora più accelerato ed enfatizzato in questi ultimi mesi. Le questioni maggiormente oggetto di attenzione sono state pertanto quelle legate alla tutela dei diritti fondamentali delle persone nel mondo digitale: le implicazioni etiche dell’utilizzo delle tecnologie, le grandi piattaforme e i servizi offerti, l’utilizzo di big data e il funzionamento degli algoritmi nei sistemi di intelligenza artificiale, la pervasività delle diverse forme di controllo, la profilazione online, anche a fini di condizionamento dell’opinione pubblica, le fake news, la cybersecurity, l’Internet delle cose.
Non meno rilevante l’impegno del Garante nell’azione di supporto a imprese e pubbliche amministrazioni, anche attraverso un’intensa attività di formazione in vista della definitiva applicazione del GDPR.
Tuttavia, alcune difficoltà relativa alla comprensione e applicazione del GDPR sembrano tuttora permanere. Il GDPR presenta sicuramente un’impostazione del tutto differente rispetto al vecchio Codice della Privacy, che aveva natura precettiva e indicava nello specifico al titolare del trattamento gli adempimenti da compiere. Il nuovo impianto normativo, invece, pone obiettivi e principi generali e ciò in forza di un ulteriore principio cardine che è quello di accountability: il titolare deve rispettare tutti i principi generali in materia di data protection e deve essere sempre in grado di “comprovare” il suo sforzo e impegno verso la compliance al Avvocato esperto privacy GDPR. Ciò presuppone una serie di valutazioni autonome e ragionate che il titolare deve compiere prima di implementare le proprie scelte strategiche e operative: una prima valutazione in ordine al contesto in cui si svolgerà l’attività di trattamento, una seconda valutazione circa i rischi insiti nel trattamento, una terza valutazione in ordine alla adeguatezza di misure tecniche e organizzative. Trattasi, poi, di valutazioni da monitorare costantemente, rivedere ed aggiornarne nel corso del tempo, laddove necessario. Tutto ciò presuppone una progettazione e un’impostazione mentale che considerino il trattamento dei dati e le sue implicazioni “a priori” (Privacy by Design), rispetto all’avvio delle attività di trattamento. I principi generali che permeano tutto il GDPR aiutano e guidano il titolare del trattamento nelle complesse valutazioni giuridiche e tecniche, attribuendogli un margine di discrezionalità nelle sue scelte e nella sua attività in un’ottica, appunto, di accountability. L’approccio dettato dalla nuova disciplina data protection è sicuramente più impegnativo e meditato, ma allo stesso tempo è segno di maturità e di consapevolezza nel recepire la protezione dei dati personali come connaturata ai processi aziendali e non come mero adempimento burocratico.
Rosanna Celella