Categoria: Privacy

Dal 15 luglio scorso (2023) sono in vigore le disposizioni del cosiddetto decreto whistleblowing, il D. L.vo 24/2023. Il decreto richiede a diverse tipologie di organizzazioni di definire procedure idonee a consentire alle persone che, nell’ambito della propria attività lavorativa o professionale, rilevano violazioni del diritto dell’Unione e delle disposizioni normative nazionali, di segnalarle, risultando protette e tutelate da ogni forma di ritorsione. In questo adeguamento organizzativo è però necessario tenere conto degli effetti sulla gestione della privacy aziendale.

Organizzazioni interessate dal decreto whistleblowing

Il decreto si applica a tutti i soggetti del settore pubblico e a quelli del settore privato che ricadono in una di queste categorie:

1. organizzazioni che hanno impiegato nell’ultimo anno la media di almeno 50 lavoratori subordinati con contratti di lavoro a tempo determinato o indeterminato;
2. organizzazioni che rientrano nell’ambito di applicazione di specifici atti dell’Unione europea elencati nell’allegato al decreto (parte 1B e 2), a prescindere dalla media di lavoratori subordinati;
3. organizzazioni che adottano modelli di organizzazione e gestione ai sensi del D. L.vo 231/01 e ss.mm.ii., a prescindere dalla media di lavoratori subordinati.

Rispetto agli atti dell’Unione europea richiamati al punto 2, la molteplicità di ambiti è ampia e variegata:

• servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo;
• sicurezza e conformità dei prodotti;
• commercializzazione e utilizzo di prodotti sensibili e pericolosi;
• sicurezza dei trasporti (settore stradale e marittimo);
• tutela dell’ambiente (norme su ambiente e clima, sullo sviluppo sostenibile, la gestione dei rifiuti, l’inquinamento marino, atmosferico e acustico, la protezione e gestione delle acque e del suolo, la protezione della natura e della biodiversità);
• sostanze chimiche;
• prodotti biologici;
• radioprotezione e sicurezza nucleare;
• salute, protezione e benessere degli animali;
• salute pubblica, diritti dei pazienti;
• lavorazione, presentazione e vendita dei prodotti del tabacco e dei prodotti correlati;
• protezione dei consumatori;
• tutela della vita privata e dei dati personali e sicurezza delle reti e dei sistemi informativi.

Gli aspetti di rilievo sul fronte della protezione dei dati

Il decreto whistleblowing introduce nuovi trattamenti di dati personali nell’ambito dell’organizzazione, quindi tali trattamenti devono essere correttamente individuati e gestiti.

Un primo passo per la corretta gestione lato privacy è proprio l’aggiornamento del registro dei trattamenti o della DPIA, il che significa anche mettere a fuoco le corrette misure di sicurezza tecniche e organizzative finalizzate a garantire la protezione dei dati personali coinvolti. Per esempio il titolare dovrà preoccuparsi di:

• scegliere modalità di gestione delle segnalazioni ed eventuali piattaforme online che rispettino non solo i requisiti previsti dal decreto whistleblowing ma anche quelli della normativa privacy;
• individuare e formare gli incaricati al trattamento anche in relazione ai nuovi trattamenti previsti dal decreto whistleblowing.

L’adeguamento della gestione privacy richiede inoltre lo sviluppo di idonee informative per l’interessato, prevedendo, ove necessario, l’espressione di un consenso esplicito.

Un recente approfondimento proposto dall’associazione Federprivacy ha sottolineato come i trattamenti dei dati introdotti dal decreto whistleblowing siano fondati in generale sulla base giuridica dell’adempimento di un obbligo legale, con due eccezioni:

• la rivelazione dell’identità del segnalante a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, come nel caso in cui la segnalazione fosse l’elemento fondante del procedimento disciplinare che l’impresa mette in atto nei confronti del soggetto che ha commesso la violazione oggetto della segnalazione;
• la conservazione e documentazione della segnalazione, nel caso in cui venga effettuata attraverso una linea telefonica registrata o un altro sistema di messaggistica vocale registrato, oppure quando, su richiesta della persona segnalante, la segnalazione è effettuata oralmente nel corso di un incontro con il personale addetto.

In questi due casi, è la stessa norma di riferimento (il decreto whistleblowing) a richiedere il consenso espresso dell’interessato (il segnalante) quale condizione di liceità del trattamento.

In un mondo del lavoro sempre più digitalizzato anche i dati, i loro trattamenti e la relativa conservazione vivono e si realizzano su pc o in internet piuttosto che su carta. Questo passaggio interessa anche i dati personali che devono essere adeguatamente protetti attraverso misure di sicurezza informatica, o cybersecurity. Non è più possibile pensare di adeguarsi alla normativa privacy senza preoccuparsi delle scelte di sicurezza informatica: DPO o consulente privacy devono interfacciarsi con il fornitore aziendale dei servizi IT.

Esempi di sicurezza informatica

La gestione delle password è una misura di cybersecurity: le password sono la chiave di accesso ai dispositivi su cui vengono salvati i dati oppure ad applicazioni (app) e aree riservate in cui sono salvati dati personali. La definizione di una procedura aziendale di generazione, conservazione e aggiornamento delle password è uno dei primi elementi di sicurezza informatica che è opportuno verificare nell’ottica di garantire la protezione dei dati personali, oltre che di ogni altro dato salvato e utilizzato dall’azienda.

La protezione antivirus del PC è un’altra comune misura di sicurezza informatica. Si dovrebbe parlare in termini più generale di protezione anti-malware, cioè contro qualunque software nocivo sviluppato per prende di mira computer o reti. Ne esistono di diversi tipi (virus, ransomware, adware, spyware, worm e trojan), che si differenziano per la modalità di funzionamento, ma la logica è sempre la stessa: rendere inutilizzabili i dati o il dispositivo. Per questo motivo tra le misure di sicurezza in ottica privacy si deve comprendere anche la scelta e l’aggiornamento della protezione anti-malware della rete informatica.

L’evoluzione tecnologica digitale porta con sé anche forme sempre nuove di minacce ai sistemi e ai dati: phising, smishing, vishing e juice jacking sono i nomi di alcune di queste “trappole“. Conoscerne il nome, il significato e, quindi, la dinamica significa ridurre il rischio di farsi prendere all’amo. Anche la formazione rispetto ai comportamenti corretti per evitare di cadere vittima di attacchi informatici è una misura di sicurezza informatica, e può (dovrebbe) essere integrata in quella in materia di trattamento dei dati personali per ogni addetto al trattamento.

Quali misure di cybersecurity adottare?

Non esiste una lista esaustiva di misure che il tecnico informatico, per conto del titolare del trattamento, deve mettere in atto per garantire la conformità dell’assetto di cybersecurity rispetto al GPDR: il Regolamento richiede che le misure di sicurezza siano determinate dal titolare del trattamento in funzione della specificità dei trattamenti che esegue, avendo come obiettivo quello di garantire un livello di sicurezza adeguato rispetto all’entità del rischio connesso ai trattamenti stessi. Per questo è essenziale un confronto tra DPO o consulente privacy e fornitore aziendale dei servizi IT.

Individuare i soggetti coinvolti nel trattamento dei dati e il loro ruolo è il primo passo per la corretta gestione della privacy. Per questo motivo, dopo aver chiarito la distinzione tra responsabile esterno del trattamento e terze parti, oggi faccio un passo indietro e mi concentro sulla distinzione tra titolare del trattamento, cotitolare e responsabile esterno.

Chi è il titolare del trattamento

Il titolare è il soggetto che ha potere decisionale in merito alle finalità e ai mezzi del trattamento e li determina. La sua individuazione è operativa, cioè si tratta di verificare chi in termini pratici definisce finalità e mezzi (tecnici e organizzativi) del trattamento dei dati personali, a prescindere da designazioni o altri incarichi formali.

Non è necessario che il titolare del trattamento abbia effettivamente accesso ai dati personali che vengono trattati per essere qualificato come tale, l’elemento determinante è la sua influenza sul trattamento. Per esempio l’affidamento di operazioni di trattamento specifiche (ex. gestione delle buste paga) o della gestione della sicurezza (ex. incarico a un società di consulenza informatica) ad altri soggetti è un elemento che conferma il ruolo apicale del soggetto e contribuisce alla sua individuazione quale titolare del trattamento.

Chi è il cotitolare del trattamento

La definizione di titolare del trattamento contenuta nell’art. 4.7 del GDPR prevede la possibilità che finalità e mezzi del trattamento dei dati personali siano determinati da più soggetti contemporaneamente. I soggetti (due o più) che risultano coinvolti in una o più attività di trattamento degli stessi dati personali e ne determinano congiuntamente le finalità e i mezzi assumono la qualifica di contitolari. Se manca la condivisione della finalità e dei mezzi (essenziali) non vi è contitolarità ma vi saranno rapporti tra titolari autonomi o tra titolare e responsabile esterno.

Alcuni dettagli per riuscire a mettere a fuoco la cotitolarità:

• la mera esistenza di un beneficio economico o commerciale comune tra le parti non è sufficiente per determinare la cotitolarità del trattamento;
• la partecipazione congiunta può assumere la forma di una decisione comune o derivare dalla convergenza delle decisioni assunte (le decisioni si completano a vicenda e sono
  necessarie ai fini della realizzazione del trattamento e della definizione di finalità e mezzi);
• il trattamento non sarebbe possibile senza la partecipazione di entrambe le parti,
  nel senso che il trattamento di un soggetto è inscindibile da quello dell’altro cotitolare;
• la compartecipazione rispetto alle finalità del trattamento può manifestarsi sia come condivisione di un stesso obiettivo sia nella complementarietà di obiettivi distinti;
• per quanto riguarda i mezzi, la determinazione comune può riguardare alcuni e non tutti i mezzi, anche in fasi distinte dell’attività di trattamento nel suo complesso. I mezzi che determinano la cotitolarità sono quelli essenziali al trattamento (distinguendoli rispetto a mezzi non essenziali o accessori).

Chi è il responsabile esterno del trattamento

Il responsabile esterno è “la persona fisica o giuridica, l’autorità pubblica, il servizio o
altro organismo che tratta dati personali per conto del titolare del trattamento“. Si tratta cioè di un soggetto a cui il titolare si rivolge perché svolga attività specialistiche che non è in grado o non desidera svolgere direttamente. Nel momento in cui il titolare sceglie di esternalizzare determinati servizi o processi, il titolare consente a un soggetto terzo (cioè diverso dall’interessato, dal titolare e dalla sua struttura organizzativa) di accedere ai dati personali necessari per svolgere le attività che gli vuole affidare.

Perché il responsabile esterno sia tale:

• il soggetto esterno deve trattare i dati personali del titolare operando sotto la sua
  autorità, quindi vincolato a standard di prestazione e di comportamento ben definiti nelle istruzioni (data processing agreement) che il titolare è tenuto a fornire al responsabile;
• il soggetto esterno può conservare una parziale autonomia nella concreta configurazione del servizio e su alcune scelte tecnico-operative, ma non in merito alle finalità e alle modalità di utilizzo dei dati, che spettano esclusivamente al titolare del trattamento.

Il responsabile esterno ha quindi un ruolo strumentale rispetto alle decisioni del titolare, in caso contrario si tratta di una figura assimilata a quella del titolare.

Nello svolgimento delle attività di trattamento dei dati personali, il titolare comunica i dati degli interessati a diverse categorie di soggetti. Parlando di destinatari dei dati personali non ci si riferisce genericamente a tutti i soggetti a cui il titolare comunica/trasmette dati ai fini dell’esecuzione di un servizio. Bisogna infatti distinguere i responsabili esterni del trattamento dai destinatari o terze parti per poter gestire in modo adeguato il tema privacy nell’ambito dell’organizzazione del titolare.

Perché è importante la distinzione

I soggetti a cui il titolare del trattamento comunica/ trasferisce i dati personali eseguono il relativo trattamento sulla base di presupposti contrattuali differenti: il ruolo e il rapporto contrattuale di ogni destinatario dei dati influiscono sulla legittimità del trattamento e sulle responsabilità connesse al trattamento, determinando anche la scelta delle misure tecniche e organizzative (documenti e procedure) da adottare per garantire la sicurezza dei dati.

Come individuare i destinatari dei dati o terze parti

All’interno dell’ampia platea di soggetti con i quali il titolare può relazionarsi nell’esecuzione delle proprie attività, rientrano soggetti che operano in qualità di titolari autonomi rispetto allo stesso soggetto interessato. In pratica il titolare (datore di lavoro/legale rappresentante dell’impresa) comunica i dati di un interessato a un soggetto terzo che persegue interessi e obiettivi propri e che, per tale motivo, non ha un rapporto di dipendenza rispetto al trattamento dei dati, ma di autonomia, qualificandosi a sua volta come un “titolare del trattamento”.

Alcuni esempi di terze parti

Immaginiamo un’azienda produttiva o di servizi. Il titolare del trattamento (identificabile con il datore di lavoro/legale rappresentante) trasmette i dati ad alcuni soggetti che li trattano per finalità proprie. Tre esempi tipici sono:

1. il medico competente;
2. le banche, per quanto riguarda i pagamenti dei salari;
3. le società assicuratrici.

Alcuni casi complessi

I consulenti del lavoro

Rispondendo ai quesiti del Consiglio Nazionale dei consulenti del lavoro e di
numerosi professionisti, il Garante ha precisato che i consulenti del lavoro sono titolari, quindi terze parti, quando trattano i dati dei propri dipendenti oppure quelli dei propri clienti che siano persone fisiche (ex. liberi professionisti), mentre si qualificano come responsabili quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto (ex. consulenti che curano per conto dei datori di lavoro la predisposizione delle buste paga, le pratiche di gestione dei rapporti di lavoro o quelle previdenziali e assistenziali).

L’organismo di vigilanza 231

Il Garante per la protezione dei dati personali ha fornito un parere in merito al ruolo dell’organismo di vigilanza 231 (OdV231) nel 2021, su richiesta dell’associazione AODV231. Tale parere risulta però parziale nella misura in cui identifica l’OdV231 quale “parte dell’ente“, quindi ritenendo che i membri dell’organismo debbano essere qualificati come incaricati del trattamento, escludendo però dalla propria valutazione “il nuovo e diverso ruolo che l’organismo potrebbe acquisire in relazione alle segnalazioni effettuate nell’ambito della normativa di whistleblowing“.

Cosa fare in pratica?

L’individuazione delle terze parti (o destinatari dei dati) deve essere parte integrane della messa a fuoco del sistema “privacy” aziendale. Oltre a titolari, co-titolari, responsabili esterni, incaricati al trattamento e DPO, le terze parti devono essere messe a fuoco in relazione all’organizzazione aziendale specifica. E questa messa a fuoco non deve basarsi su classificazioni teoriche, ma prendere in considerazione la specificità operativa di ogni soggetto.

Ci si preoccupa del trattamento dei dati personali quando li si raccoglie, li si utilizza e li si deve conservare, ma la corretta gestione della privacy deve considerare anche la possibilità per gli interessati di esercitare i diritti loro riconosciuti dal GDPR.

Diritti degli interessati secondo il GDPR

Il Regolamento (UE) 2016/679 definisce precisi diritti dell’interessato relativamente al trattamento dei suoi dati negli articoli tra il 15 e il 22. Ne riporto di seguito un sintesi.

Diritto di accesso

Secondo l’art. 15 del GDPR l’interessato ha il diritto di avere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in caso affermativo, di ottenere l’accesso ai dati personali e a specifiche informazioni (ex. categorie dei dati, finalità del trattamento, tempi di conservazione),

Diritto di rettifica

Secondo l’art. 16 del GDPR l’interessato ha il diritto di richiedere la correzione dei dati inesatti o di integrare quelli mancanti.

Diritto alla cancellazione

L’art. 17 del GDPR individua casi specifici previsti (ex. è terminato il trattamento, l’interessato abbia revocato il consenso espresso in precedenza, i dati siano stati trattati illecitamente) in cui l’interessato ha diritto di richiedere la cancellazione dei propri dati al titolare.

Diritto di limitazione del trattamento

L’art. 18 del GDPR individui casi specifici (ex. se si contesta l’esattezza dei dati e il titolare ha necessità di tempo per fare verifiche) in cui l’interessato può richiedere al titolare di limitare il trattamento dei suoi dati.

Diritto alla portabilità dei dati

Secondo l’art. 20 del GDPR, in caso di trattamenti basati sul consenso o automatizzati, l’interessato ha la possibilità di ricevere in un formato adeguato tutti i dati affidati a un titolare per trasferirli a un altro e anche di richiedere il trasferimento diretto da un titolare all’altro.

Diritto di opposizione

Secondo l’art. 21 del GDPR “l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano“.

Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato

Questa è la disposizione dell’art. 22 del GDPR. Più precisamente “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“.

La procedura dal lato dell’interessato

Il Garante privacy ha messo a disposizione un modello attraverso il quale l’interessato può esercitare i propri diritti: l’interessato compila il modello e lo trasmette al titolare (anche per il tramite del Responsabile della Protezione dei Dati , nei casi in cui sia stato designato dal titolare).

Il titolare del trattamento è tenuto a rispondere alla richiesta nel termine di 1 mese, dandole un riscontro oppure segnalando un ritardo nel riscontro in caso di richieste numerose e/o complesse. In ogni caso il titolare deve dare riscontro alla richiesta nel termine massimo di 2 mesi.

Se la risposta non perviene nei tempi indicati o l’interessato non la ritiene soddisfacente, può rivolgersi al Garante per la protezione dei dati personali, presentando un reclamo o una segnalazione, oppure all’autorità giudiziaria.

La procedura dal lato del titolare

Gli articoli del GDPR relativi ai diritti degli interessati contengono dettagli che devono essere presi in considerazione dal titolare durante la fase di definizione delle modalità di trattamento. In altre parole: i titolari devono garantire la tutela dei diritti da parte degli interessati e non solo la possibilità che loro li esercitino.

L’attenzione ai diritti degli interessati è necessaria a partire dalla definizione dell’informativa al trattamento dei dati che è il primo strumento attraverso il quale fornire all’interessato le indicazioni in merito alla tutela dei suoi diritti e alle modalità con cui li può esercitare.

Il 13 agosto 2022 è entrato in vigore il decreto legislativo n. 104 del 27/06/2022, chiamato anche “decreto trasparenza“. Si tratta del recepimento della direttiva UE n. 2019/1152 in materia di condizioni di lavoro trasparenti e prevedibili nell’Unione Europea. La norma ha però effetti anche sulla gestione della privacy in azienda ed è di questo che mi voglio occupare.

Un’introduzione al decreto trasparenza

Il decreto ha apportato modifiche al testo del D.Lgs. n. 152/1997 (“Attuazione della direttiva 91/533/CEE concernente l’obbligo del datore di lavoro di informare il lavoratore delle condizioni applicabili al contratto o al rapporto di lavoro”) introducendo obblighi informativi più specifici a carico del datore di lavoro (o del committente) al momento dell’assunzione e nuove “prescrizioni minime” a tutela dei lavoratori.

Il decreto in questione riguarda tutte le tipologie di rapporto di lavoro, sia nel settore pubblico che nel settore privato, con poche esclusioni, quali:

• rapporti di lavoro autonomo;
• rapporti di lavoro caratterizzati da un tempo di lavoro predeterminato ed effettivo di durata pari o inferiore a una media di tre ore a settimana in un periodo di riferimento di quattro settimane consecutive;
• i rapporti di agenzia e rappresentanza commerciale;
• i rapporti di collaborazione prestati nell’impresa del datore di lavoro dal coniuge, dai parenti e dagli affini non oltre il terzo grado, che siano con lui conviventi.

Diverse le novità introdotte dal decreto, come la durata del periodo di prova, le condizioni di ammissibilità della clausola di esclusiva e i dettagli informativi da comunicare al lavoratore in fase di assunzione.

Decreto trasparenza e privacy

La norma influisce sugli adempimenti in materia di protezione dei dati personali a seguito dell’aggiunta al decreto legislativo 152/997 dell’art. 1-bis: “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati“.

Più precisamente gli obblighi si applicano in caso di utilizzo di “sistemi decisionali o di monitoraggio automatizzati deputati a fornire indicazioni rilevanti ai fini della assunzione o del conferimento dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori“.

In caso di utilizzo di questi sistemi sono previsti i seguenti obblighi:

1. informativa al lavoratore con i contenuti previsti dal decreto;
2. verifica di conformità al GDPR mediante esecuzione di un’analisi dei rischi e una valutazione d’impatto degli stessi trattamenti;
3. consultazione preventiva del Garante per la protezione dei dati personali nel caso in cui il trattamento presenti un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.

I chiarimenti del Ministero del lavoro e delle politiche sociali

La maggiore complessità nell’adempimento riguarda la corretta individuazione dei sistemi automatizzati il cui utilizzo fa ricadere nell’ambito di applicazione della nuova normativa.

Dopo qualche attesa (l’Ispettorato Nazionale del Lavoro li annunciava a pagina 7 della Circolare n. 4/2022), si è pronunciato il Ministero del lavoro e delle politiche sociali con propria Circolare n. 19 del 20 settembre 2022.

Il Ministero ha chiarito che gli obblighi si applicano quando la disciplina della vita lavorativa del dipendente, o suoi particolari aspetti rilevanti, sono interamente rimessi all’attività decisionale di sistemi automatizzati.

In relazione ai sistemi connessi ai processi di assunzione o conferimento dell’incarico, gestione o cessazione del rapporto di lavoro, assegnazione di compiti o mansioni, il Ministero individua alcuni casi specifici di applicabilità:

• assunzione o conferimento dell’incarico tramite l’utilizzo di chatbots durante il colloquio, la profilazione automatizzata dei candidati, lo screening dei curricula, l’utilizzo di software per il riconoscimento emotivo e test psicoattitudinali, ecc.;
• gestione o cessazione del rapporto di lavoro con assegnazione o revoca automatizzata di compiti, mansioni o turni, definizione dell’orario di lavoro, analisi di produttività, determinazione della retribuzione, promozioni, etc., attraverso analisi statistiche, strumenti di data analytics o machine learning, rete neurali, deep-learning, ecc.

Di conseguenza, gli obblighi non si applicano, per esempio, nel caso “di sistemi automatizzati deputati alla rilevazione delle presenze in ingresso e in uscita, cui non consegua un’attività interamente automatizzata finalizzata ad una decisione datoriale“.

Per quanto riguarda “le indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle obbligazioni contrattuali dei lavoratori“, gli obblighi si applicano per sistemi automatizzati, quali tablet, dispositivi digitali e wearables, gps e geolocalizzatori, sistemi per il riconoscimento facciale, sistemi di rating e ranking, etc.

Come procedere

Il titolare del trattamento deve affrontare la questione, coinvolgendo il DPO se presente (e il DPO dovrebbe essersi attivato per valutare l’impatto complessivo della normativa), oppure chiedendo un supporto a un consulente, per farsi carico in modo attivo di ogni aspetto che risulti immediatamente individuabile, gestibile e attuabile.

L’espressione data breach appartiene al mondo della gestione dei dati personali; viene utilizzata per identificare le violazioni dei sistemi di sicurezza messi a punto dal titolare del trattamento dei dati personali, che comportano, accidentalmente o con finalità illecita,

• la distruzione
• la perdita
• la modifica
• la divulgazione non autorizzata
• l’accesso

ai dati personali trasmessi, conservati o comunque trattati dal titolare. 

Il concetto può apparire complesso, ma ecco alcuni esempi che lo rendono immediato e mostrano quanto l’eventualità di data breach sia tutt’altro che remota:

• l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
• il furto o la perdita di dispositivi informatici contenenti dati personali;
• la deliberata alterazione di dati personali;
• l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware; 
• la perdita o la distruzione di dati personali a causa di incidenti, eventi avversi, incendi o altre calamità;
• la divulgazione non autorizzata dei dati personali.

La notifica del data breach al Garante

Nei casi in cui la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, causando danni fisici, materiali  o immateriali, il titolare del trattamento deve notificare la violazione al Garante per la protezione dei dati personali.

La notifica deve essere trasmessa entro 72 ore dal momento in cui il titolare viene a conoscenza del data breach e, in caso di trasmissione oltre il termine delle 72 ore, motivando il ritardo.

A partire dal 1° luglio 2021 la notifica deve essere inviata al Garante tramite apposita procedura online raggiungibile CLICCANDO QUI. Rispetto a quanto accadeva in precedenza (invio a mezzo PEC di modulo sottoscritto digitalmente), questa modalità consente a ogni titolare di valutare attraverso la procedura di autovalutazione se sia necessario o meno procedere alla notifica al garante.

Altri adempimenti

Se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali che ritiene più idonei, a meno che non abbia già preso misure tali da ridurne l’impatto. 

In ogni caso e anche a prescindere dalla notifica al Garante, il titolare del trattamento deve documentare tutte le violazioni dei dati personali.

In genere si predispone un apposito registro che consenta di tracciare tutte le informazioni sufficienti a ricostruire l’accaduto, individuare eventuali responsabili, dare evidenza delle azioni intraprese per gestire la violazione e contenere il suo impatto, registrare la valutazione del rischio per i diritti delle persone in funzione del quale si è fatta seguire o meno la notifica al garante, dimostrare il rispetto del termine delle 72 ore e dettagliare le ragioni dell’eventuale ritardo della notifica. Per altro il registro, tenendo traccia delle violazioni nel tempo, può rappresentare un’utile fonte di informazioni sull’efficacia delle misure di sicurezza messe in atto, indirizzando il titolare nel miglioramento della gestione della privacy della sua organizzazione.

Da oggi, 15 ottobre 2021, il Green Pass diventa obbligatorio in Italia per svolgere attività lavorative nel settore pubblico e privato. In molti stanno ripassando le FAQ sul sito del Governo per essere certi di sapere che cosa si può fare e che cosa no, ma soprattutto come fare quel che si deve. In pochi, invece, si pongono il problema della definizione di procedure operative che rispettino anche i requisiti del GDPR, convinti che il divieto di qualunque tipo di registrazione dei controlli effettuati escluda automaticamente dall’applicazione della normativa privacy. Ma non è così!

Si trattano dati personali verificando il Green Pass?

Il Green Pass contiene un codice a barre bidimensionale (QR code) che consente di effettuare la verifica delle condizioni che hanno portato all’emissione del certificato (vaccinazione, guarigione dalla Covid-19 o tampone), e i seguenti dati:

1. nome e cognome;
2. data di nascita;
3. identificativo univoco del certificato.

Per quanto comuni possano essere questi dati, restano dati personali. Inoltre, il fatto che il certificato attesti una delle tre condizioni previste per l’emissione, lo avvicina a un dato relativo allo stato di salute della persona e, come tale, è da gestire almeno in via prudenziale.

Gli adempimenti in materia di privacy per il Green Pass

In termini operativi la procedura è ormai abbastanza chiara: si tratta di formalizzare la modalità con cui l’organizzazione eseguirà le verifiche, incaricare i soggetti che effettueranno la verifica del possesso e della validità del Green Pass, si dovranno gestire i casi di controllo che hanno avuto esito negativo e, in caso si rilevino violazioni del divieto di accesso al luogo di lavoro senza Green Pass, applicare le sanzioni disciplinari previste dal contratto collettivo nazionale di riferimento.

Sul fronte privacy, questa operatività richiede tre adempimenti:

1. la nomina degli incaricati al controllo della verifica del Green Pass anche in ottica di protezione dei dati personali. In sostanza questa nomina equivale alla nomina di un incaricato al trattamento e, quindi, deve fornire le istruzioni necessarie alla corretta esecuzione del trattamento, assicurando il rispetto dei principi di riservatezza e minimizzazione;
2. la predisposizione di informative relative al trattamento dei dati connesso alla verifica del Green Pass, da consegnare a tutti gli interessati e/o da esporre in azienda;
3. la revisione del registro dei trattamenti con l’aggiunta di questo ulteriore trattamento.

Gli accorgimenti da seguire in fase operativa

Il certificato cartaceo è da piegare, rispettando le istruzioni riportate sul certificato stesso. Non solo la parte del documento che contiene informazioni ulteriori a identità, data di nascita e identificativo del certificato non devono risultare visibili, ma nell’ambito dei controlli sul lavoro si deve anche vietare la verifica di ogni dato ulteriore a quello riportato sul frontespizio.

Il fatto che la verifica del possesso del Green Pass sia effettuata attraverso l’app VerificaC19 e senza alcuna raccolta dei dati, significa che:

• non si possono fotografare i Green Pass, cartacei o digitali che siano;
• non si può richiedere copia del certificato digitale;
• non è possibile registrare la scadenza dei certificati.

I datori di lavoro che lamentano difficoltà organizzative possono considerare la possibilità, ammessa dal 9 ottobre scorso, di richiedere ai lavoratori di comunicare con anticipo rispetto alla scadenza del proprio certificato tale condizione, al fine di ridurre le conseguenze sulla programmazione del lavoro in azienda. L’indicazione più diffusa è quella di richiedere la comunicazione con 48 ore di anticipo.

Infine, nel caso dei soggetti esclusi dall’obbligo del Green Pass per ragioni di salute, in attesa che vengano emessi i QR code dedicati, chi effettua il controllo dovrà fare attenzione a non trattare o raccogliere dati che non sia quelli essenziali alla verifica dell’esenzione, escludendo quindi ogni informazioni in merito alla condizione che l’ha determinata. Per i dipendenti della pubblica amministrazione, il DPCM del 12 ottobre 2021, ha stabilito che, in attesa dell’emissione dei QR code dedicati, gli esentati non potranno essere soggetti ad alcun controllo nel momento in cui avranno trasmesso la relativa documentazione sanitaria al medico competente dell’amministrazione di appartenenza.

Si può registrare l’esito negativo del controllo?

La risposta è sì, in quanto, se il lavoratore dichiara di essere sprovvisto o risulta sprovvisto del certificato verde, seguono delle conseguenze che risulterebbero contestabili in assenza di una prova dell’esito negativo della verifica. In questo caso il dato non risulta rilevante o sensibile perché i motivi per cui un soggetto sia privo di Green Pass possono essere molto diversi e comunque non vi è ragione di identificarli.

Il caso degli enti giuridici

Il titolare del trattamento in caso di ente giuridico è l’ente medesimo. In questo caso è necessario predisporre l’incarico quale autorizzato al trattamento e le relative istruzioni anche al datore di lavoro dell’ente.

Continuo l’approfondimento sulle Linee guida cookie e altri strumenti di tracciamento pubblicate lo scorso 10 giugno dal Garante per la protezione dei dati personali. Dopo un’analisi delle pratiche da evitare e della proposta del garante per la gestione dei cookie, oggi parliamo di cookie analytics e di alcuni aspetti da valutare in relazione alle informative privacy.

Cookie analytics: che cosa sono e che cosa richiede il Garante

I cookie che vengono utilizzati per ricavare dati in merito all’efficacia di un sito web o alle visite al sito da parte degli utenti, con la possibilità di ottenere dati in relazione all’area geografica, alla durata della permanenza sul sito o al percorso compiuto all’interno di un sito, vengono chiamati cookie analytics.

A dimostrazione che la gestione della privacy non è un’attività di cui ci si può occupare una volta e mai più, il Garante rivede con le linee guida del 2021 la sua posizione in materia di cookie analytics e obbligo di consenso. Nel 2014 si era espresso considerando questi cookie quale una sottocategoria di quelli tecnici, ossia necessari al funzionamento del sito e come tali esclusi dall’obbligo di acquisizione del consenso dell’interessato. Oggi il Garante ritiene che questa equivalenza tra cookie ananlytics e cookie tecnici sia possibile solo nel caso in cui i primi siano gestiti in modo da non consentire l’identificazione del singolo interessato.

In altre parole, il Garante ritiene che i cookie analytics possano essere esclusi dall’obbligo di acquisizione del consenso se:

• uno stesso cookie è riferibile a più dispositivi, in modo da creare una ragionevole incertezza sull’identità informatica del soggetto che riceve il cookie sul proprio dispositivo;
• il cookie consente solo la produzione di statistiche aggregate;
• un cookie è utilizzato in relazione a un singolo sito o una sola applicazione mobile, in modo da non consentire il tracciamento della navigazione della persona tra applicazioni e siti diversi.

L’ultimo passaggio delle linee guida in materia di cookie analytics riguarda la possibilità di effettuare analisi statistiche relative a più canali, attività che è soggetta a vincoli diversi a seconda che chi svolge l’analisi sia un soggetto terzo o il titolare dei canali.

I cosiddetti soggetti terzi, come Google Analytics, che forniscono al proprietario o al gestore del sito il servizio di rilevazione dei dati non possono combinare i dati, anche minimizzati come previsto all’elenco precedente, con altre elaborazioni (ex. statistiche di visite ad altri siti) né trasmetterli a ulteriori terzi. L’unica è eccezione è quella in cui le statistiche facciano riferimento a più domini, siti web o app riconducibili al medesimo proprietario o gruppo imprenditoriale.

Resta invece possibile a un titolare, proprietario di più domini, siti web o app, effettuare analisi statistiche relative a tutti i canali, anche in assenza delle misure di minimizzazione, purché proceda in proprio all’elaborazione statistica e non utilizzi i risultati dell’elaborazione a fini commerciali.

Gli aspetti da migliorare nelle informative privacy

L’informativa, ricorda il Garante, deve essere sviluppata in un’ottica di trasparenza verso l’utente e deve contenere l’indicazione degli eventuali soggetti destinatari dei dati personali e dei tempi di conservazione delle informazioni acquisite. Inoltre, l’utente deve individuare nell’informativa le indicazioni su come può esercitare tutti i diritti previsti dal Regolamento, incluso quello di avanzare una richiesta di accesso ai dati e di proporre un reclamo a un’autorità di controllo.

Vi sono però due dettagli specifici che devono essere messi a fuoco da parte del titolare del trattamento dati.

Il primo riguarda il fatto che, in assenza di un sistema universalmente accettato di codifica dei cookie e degli altri strumenti di tracciamento che consenta di distinguerli in modo oggettivo, è in carico al titolare mettere a fuoco i sistemi adottati integrando dell’informativa privacy almeno con i criteri di codifica dei sistemi in questione.

Il secondo dettaglio riguarda invece il fatto che è onere del titolare adottare ogni accorgimento necessario a garantire che le informazioni contenute nel banner siano fruibili, senza discriminazioni, anche da parte di chi, a causa di disabilità, necessita di tecnologie assistive o configurazioni particolari.

Gli obblighi sono stemperati dalla messa a fuoco di due opportunità in termini di realizzazione dell’informativa, che il titolare deve però valutare in termini di adeguatezza ai requisiti del Regolamento:

1. l’informativa può essere multilayer, quindi suddivisa in sezione o livelli, con gradi di approfondimento crescenti e dettagli specifici per alcune pagine di un sito;

2. l’informativa può essere multichannel, cioè resa attraverso più canali e modalità (ex. video, pop-up informativi, assistenti virtuali, chatbot).

Con la pubblicazione delle “Linee guida cookie e altri strumenti di tracciamento“, il Garante per la protezione dei dati personali ha individuato alcune pratiche che proprio non vanno nell’attuale gestione dei cookie e ha proposto una soluzione operativa dettagliata da adottare nei siti web di cui si è titolari. Ecco una sintesi della proposta del Garante, punto per punto.

0. Impostazioni di default

Per impostazione predefinita nessun cookie o altro strumento diverso da quelli tecnici deve essere posizionato all’interno del dispositivo dell’utente al momento del primo accesso a un sito web, né deve essere utilizzata alcuna altra tecnica attiva o passiva di tracciamento.

1. Il banner per la gestione dei cookie

Il proprietario del sito può definire un meccanismo in base al quale l’utente, accedendo per la prima volta a una qualunque pagina del sito web, visualizzi immediatamente un’area o banner di dimensioni sufficienti a essere individuato e riconoscibile, ma tale da impedire che l’utente possa compiere scelte indesiderate o inconsapevoli.

Il banner può consentire il mantenimento di impostazioni di default e, attraverso un’azione specifica dell’utente, l’espressione del suo consenso. In particolare, se l’utente scegliesse di mantenere le impostazioni di default e di non prestare il consenso al posizionamento dei cookie o all’impiego di altre tecniche di tracciamento, dovrebbe limitarsi a chiudere il banner mediante selezione di una X posizionata in alto a destra e all’interno del banner, senza essere costretto ad accedere ad altre aree o pagine. La X deve avere la stessa evidenza grafica dei comandi a disposizione dell’utente per esprimere le proprie scelte.

Il banner deve contenere anche le seguenti indicazioni e opzioni come contenuto minimo:

• l’avvertenza che la chiusura del banner mediante selezione della X comporta l’accettazione delle impostazioni di default (navigazione senza cookie o altri strumenti di tracciamento diversi da quelli tecnici);
• un’informativa minima relativa al fatto che il sito utilizza cookie o altri strumenti tecnici e potrà utilizzare, esclusivamente previa acquisizione del consenso dell’utente, anche cookie di profilazione o altri strumenti di tracciamento per inviare messaggi pubblicitari, personalizzare il servizio e/o per effettuare analisi e monitoraggio dei comportamenti dei visitatori del sito;
• il link alla privacy policy (che deve essere presente anche nel footer di ogni pagina del sito), accessibile con un solo click, che fornisca in maniera chiara e completa almeno tutte le indicazioni di cui agli artt. 12 e 13 del Regolamento, anche con riguardo ai cookie o ad altri strumenti tecnici utilizzati dal sito;

• un comando attraverso il quale sia possibile esprimere il proprio consenso accettando il posizionamento di tutti i cookie o l’impiego di eventuali altri strumenti di tracciamento;
• il link a un’ulteriore area dedicata nella quale l’utente possa selezionare in modo analitico soltanto le funzionalità, i soggetti (cd. terze parti) e i cookie, eventualmente raggruppati per categorie omogenee, a cui sceglie di acconsentire. L’elenco delle terze parti deve essere tenuto costantemente aggiornato e consentire di raggiungere il sito del soggetto specifico o di un soggetto intermediario che lo rappresenta. E le impostazioni di default di ogni singolo elemento devono prevedere il diniego all’installazione dei cookie, con possibilità per l’utente di accettarne il posizionamento caso per caso.

1.1 Solo cookie tecnici o strumenti analoghi

Nell’eventualità in cui sia prevista la sola presenza di cookie tecnici o altri strumenti analoghi, il titolare del sito potrà darne informazione nella homepage o nell’informativa generale senza l’esigenza di apporre specifici banner da rimuovere a cura dell’utente.

2. La gestione delle scelte in merito ai cookie

L’utente deve poter modificare in ogni momento le scelte compiute. Pertanto deve essere introdotto un link nel footer delle pagine del sito con una dicitura del tipo “rivedi le tue scelte sui cookie” che dia accesso alla sezione relative ai consensi. Ogni modifica delle scelte dovrà sovrascrivere e superare le precedenti e le scelte di design di quest’area non devono influenzare o penalizzare un’opzione rispetto a un’altra, quindi devono essere utilizzati comandi e caratteri di uguali dimensioni, enfasi e colori, tutti ugualmente facili da visionare e utilizzare.

In particolare il Garante suggerisce di posizionare in ciascuna pagina del sito, eventualmente accanto al link all’area dedicata alle scelte, una soluzione grafica che indichi, anche in modo essenziale, lo stato dei consensi resi dall’utente, favorendone in ogni momento l’eventuale modifica o aggiornamento.

3. Poter dimostrare di aver raccolto il consenso

Il titolare del sito web deve essere in grado di dimostrare di avere raccolto il consenso, quando necessario, e di disporre della documentazione aggiornata che attesti le scelte compiute dall’interessato. Per fare questo il gestore del sito web potrebbe avvalersi o di appositi cookie tecnici o di ulteriori modalità che la tecnologia dovesse rendere disponibili, e la cui individuazione è in carico al titolare del sito.

I dettagli delle Linee guida del Garante non finisco qui, settimana prossima approfondiremo quelli che riguardano i cookie analytics e alcuni miglioramenti da apportare alle informative…