Relazione annuale del Garante: quali sfide ci attendono

Relazione annuale del Garante: quali sfide ci attendono

di Mario Montano, avvocato – contributor Studio Legale Lisi


Con il discorso del 7 maggio 2019 si chiude il ciclo di sette anni di presidenza di Antonello Soro. Nel suo discorso, il Presidente ha ripercorso l’attività del Garante nell’ultimo anno, evidenziando come “la centralità della persona è stata la cifra caratterizzante il mandato”.

In queste righe ripercorreremo le fasi salienti dell’ultimo anno di attività del Garante, sulla scorta della relazione annuale recentemente pubblicata, senza avere la pretesa di dare un quadro esaustivo dell’opera compiuta dal Collegio, in attesa di confrontarci direttamente in occasione della XII edizione del DIG.Eat sulle ultime novità, con la presenza del Commissario straordinario per l'attuazione dell'agenda digitale, Luca Attias e il Garante UE per la Privacy, Giovanni Buttarelli.

L’intento è di comprendere quali sfide attendono il prossimo Garante che dovrà affrontare con determinazione il problema della cybersecurity, visti i gravi ed imbarazzanti attacchi hacker che stanno interessando diversi Ordini degli Avvocati in tutta Italia, anche attraverso attività ispettive capillari, cessando dal 20 maggio 2019 il periodo di grazia concesso dal Garante in ossequio a quanto disposto dall’art. 22, d.lgs. 101/2018. Ecco una selezione dei temi più urgenti:

Il Garante e le amministrazioni pubbliche

In virtù dei commi 7 e 8 dell’art. 5, d.lgs. 33/2013, il Garante ha adottato numerosi pareri in merito all’accesso civico che, com’è ovvio, presenta dei punti di frizione con la protezione dei dati personali. La maggior parte delle richieste ha interessato accessi civici relativi a lavoratori e dipendenti della PA, dati personali contenuti in titoli abitativi edilizi, a sentenze, atti e dati giudiziari, a tasse e contributi, a verbali della polizia municipale.

Di sicuro interesse è l’intervento del Garante in materia di fatturazione elettronica, resosi necessario per scongiurare un trattamento dei dati personali su larga scala da parte dell’Agenzia delle Entrate, con riguardo a tutti quegli aspetti contenuti in fattura riguardanti la vita quotidiana (informazioni di dettaglio ulteriori sui beni e servizi acquistati, quali le abitudini e le tipologie di consumo, legate alla fornitura di servizi energetici e di telecomunicazioni, come ad es. regolarità nei pagamenti, appartenenza a particolari categorie di utenti), o addirittura la descrizione delle prestazioni sanitarie o legali. Un tale trattamento è stato ritenuto sproporzionato rispetto all’obiettivo perseguito, seppur legittimo.

È stato costituito un tavolo tecnico per esaminare le criticità che il Garante ha rilevato, i cui lavori hanno permesso di conformare al GDPR le attività di trattamento dei dati da parte dell’Agenzia, in qualità di responsabile del trattamento. Il servizio di consultazione delle fatture per gli operatori economici e i consumatori è stato ritenuto conforme al GDPR solo se espressamente richiesto ed effettuato in nome e per conto degli operatori economici e dei consumatori.

Quanto ai controlli fiscali automatizzati, il Garante ha ritenuto sproporzionato, sulla scorta del principio di minimizzazione, far ricadere, tra i dati utilizzabili per i controlli automatizzati, il campo della fattura contenente la descrizione dell’operazione che, oltre a contenere dati di dettaglio sopra esemplificati, relativi alla natura, qualità e quantità dei beni e dei servizi fatturati, e presentare quindi rischi elevati per gli interessati, non si presta ad elaborazioni massive, poiché richiede un esame puntuale, caso per caso, del contenuto.

Infine, il Garante ha evidenziato che gli operatori economici devono prestare particolari cautele quando delegano la gestione della fatturazione elettronica ad intermediari, in considerazione dei rischi connessi al trattamento dei dati personali di terzi coinvolti nel processo di fatturazione.

Sanità e dati genetici

Diversi sono stati i provvedimenti adottati dal Garante in ambito sanitario.

Vale la pena ricordare la posizione adottata dal Collegio rispetto alla prassi, assai diffusa negli studi medici, di lasciare le ricette dei pazienti, dietro loro richiesta, in apposite bacheche con l’indicazione del nome del paziente stesso. Ebbene, un tale comportamento non è in linea con le indicazioni evidenziate dal Garante sul punto: i medici possono lasciare ai pazienti ricette e certificati presso le sale d’attesa dei propri studi o presso le farmacie, purché in busta chiusa.

Con riguardo allo scambio dei dati relativi alla situazione vaccinale (obbligatoria) degli iscritti tra le istituzioni scolastiche/educative e formative e l’Azienda sanitaria locale competente, il Garante ha suggerito, con riferimento alla modalità di invio dei dati tramite funzionalità web, di effettuare un sistema “single sign on-SSOtra i sistemi regionali e il sistema informativo dell’istruzione (Sidi) del Miur, al fine di semplificare le procedure di autenticazione ai portali regionali da parte dei dirigenti scolastici, evitando al contempo la proliferazione delle credenziali di autenticazione.

Il Garante è, inoltre, più volte intervenuto a tutela della dignità della persona del paziente, tutte le volte in cui il personale sanitario ha divulgato informazioni sullo stato di salute o i trattamenti da effettuare a terzi. In sede di applicazione del GDPR il Collegio ha fornito una serie di informazioni circa la valutazione di impatto sulla protezione dei dati in ambito sanitario. Cosi, il Garante ha invitato un’associazione che intendeva procedere a dotare i propri automezzi, adibiti al trasporto di utenti diversamente abili, di sistemi di monitoraggio e videosorveglianza, ad effettuare una valutazione di impatto e consultare lo stesso Garante qualora tale valutazione avesse evidenziato un rischio elevato di trattamento.

Trattamenti da parte delle forze di polizia

Di sicuro interesse l’intervento del Garante sulla corretta qualificazione del sistema automatico di ricerca di un volto presente nell’archivio dei soggetti foto-segnalati, denominato “SARI Enterprise”. Il progettato sistema “SARI Enterprise” non effettua elaborazioni aggiuntive rispetto al passato, limitandosi ad automatizzare alcune operazioni in vista dell’effettuazione della ricerca nel database dei soggetti foto-segnalati attraverso l’inserimento di una immagine fotografica elaborata automaticamente al fine di fornire l’elenco di foto segnaletiche somiglianti, ottenute attraverso un algoritmo decisionale che ne individua la priorità, dalla più alla meno somigliante.

Per tali ragioni, secondo il Garante l’utilizzo del sistema “SARI Enterprise” non costituisce un nuovo trattamento di dati personali, ma una nuova modalità di trattamento di dati biometrici, che dovrà comunque essere effettuata nel rispetto delle regole previste dalla normativa rilevante in materia di tutela dei dati personali.

Attività giornalistica

Nell’affrontare le questioni inerenti al trattamento di dati personali riferibile ad attività giornalistica, il Garante ha dovuto necessariamente bilanciare la libertà di informazione e il diritto di essere informati, da un lato, e la protezione dei dati personali dall’altro. Si tratta, perlopiù, di richieste di delisting, volte cioè ad ottenere l’aggiornamento o la rimozione di dati, inizialmente trattati in modo lecito, a seguito di una modifica delle situazioni originarie o del trascorrere del tempo (il c.d. diritto all’oblio, ora previsto dall’art. 17, GDPR) e richieste di tutela delle vittime di reati gravi, fermo restando il limite dell’essenzialità dell’informazione rispetto a fatti di interesse pubblico.

Marketing, profilazione e trattamento dei dati personali

Tralasciando il tema delle telefonate (indesiderate) a contenuto promozionale, già oggetto delle passate Relazioni, si segnala l’intervento del Garante a tutela dei professionisti, oggetto di comunicazioni a contenuto promozionale ai propri indirizzi Pec. Una società ed un’associazione ad essa collegata avevano reperito dai registri ed elenchi pubblici (“Indice nazionale dei domicili digitali”, il sito www.registroimprese.it e gli elenchi pubblicati da alcuni ordini professionali provinciali) gli indirizzi Pec, attraverso un rastrellamento massivo (c.d. web scraping) delle fonti citate.

Tale condotta è stata ritenuta in contrasto con la normativa di settore, e in particolare con l’art. 6-bis, comma 1, d.lgs. n. 82/2005 (Codice dell’amministrazione digitale – Cad) secondo il quale la finalità di tali indirizzi consiste nel “favorire la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica”. L’aver introdotto un link per la cancellazione della mailing list non ha fatto venir meno l’illiceità del trattamento, poiché il consenso richiesto deve essere legittimamente acquisito anteriormente all’invio delle comunicazioni promozionali.

Internet e servizi di comunicazione elettronica

Nella nota vicenda dello scambio di dati fra Facebook e WhatsApp, il Collegio ha accertato che quest’ultima ha di fatto indotto i propri utenti ad accettare integralmente i nuovi “Termini di utilizzo”, in particolare la condivisione dei propri dati con Facebook, acquisendo il consenso alla loro comunicazione per prodotti e inserzioni pubblicitarie in modo non conforme agli artt. 13 e 23, d.lgs. 196/2003, in quanto l’informativa è risultata essere stata resa in forma parziale ed inidonea ad illustrare compiutamente le finalità della condivisione dei dati fra le due società. Il consenso prestato è risultato così non consapevolmente e liberamente espresso, oltre che non validamente manifestato (atteso che la manifestato sulla casella di spunta era già “flaggata”).

Pertanto, il Garante ha vietato a WhatsApp di comunicare a Facebook i dati dei propri utenti, il cui consenso fosse stato ottenuto con le modalità sopra indicate e a Facebook di effettuarne comunque ogni ulteriore trattamento.

Trattamento dei dati personali da parte di movimenti politici e associazioni

La vicenda certamente più rappresentativa è quella che ha riguardato l’Associazione Movimento 5 Stelle. Com’è noto, a seguito di un data breach che ha coinvolto numerosi iscritti alla piattaforma informatica Rousseau, collegata alla predetta Associazione, il Garante ha avviato un’attività volta a verificare l’adempimento delle misure da esso impartite al fine di garantire che i trattamenti dei dati personali degli utenti dei diversi siti web riferiti al Movimento 5 Stelle fossero conformi ai princìpi in materia di protezione dei dati personali.

Con provvedimento 4 aprile 2019, n. 83 il Garante, alla luce del verificato non completo adempimento delle prescrizioni comunicate all’Associazione Movimento 5 Stelle nel corso del 2018, ha assegnato ulteriori termini per dare attuazione allo stesso e per assicurare un quadro più adeguato di misure di sicurezza, specie con riferimento alle funzionalità di e-voting. Al contempo, con il medesimo provvedimento, il Garante ha sanzionato l’Associazione Rousseau relativamente ai profili di illiceità accertati. Un’acuta analisi della vicenda è stata condotta dall’Avv. Andrea Lisi, che ha sottolineato l’importanza del provvedimento del Garante, non tanto sotto l’aspetto sanzionatorio, ma perché esemplare lezione di e-democracy.

La protezione dei dati personali nel rapporto di lavoro

I casi più rilevanti hanno riguardato le segnalazioni di trattamenti dei dati relativi ai dipendenti mediante sistemi che consentono il controllo a distanza. Emblematico l’intervento dell’Autorità che ha disposto il divieto di ulteriore trattamento di dati riferiti ai dipendenti mediante l’utilizzo di un sistema di localizzazione dei veicoli ritenuto in violazione dei principi di necessità e proporzionalità rispetto alle finalità perseguite. A fronte delle dichiarate esigenze organizzative e di sicurezza (efficiente gestione del parco veicoli; necessità di individuare rapidamente il veicolo più vicino in caso di richiesta di intervento; sicurezza dei dipendenti e dei beni aziendali; conseguimento di benefici in occasione della stipula di contratti di assicurazione) le caratteristiche del servizio consentivano al titolare del trattamento di effettuare un monitoraggio continuo dell’attività dei propri dipendenti e ciò in violazione dell’art. 4, L. 300/70. Il Garante ha ritenuto tale condotta contraria ai principi di necessità, pertinenza e non eccedenza, in quanto i suddetti scopi potevano essere legittimamente perseguiti dalla società con una raccolta più limitata di informazioni.

Ulteriori interventi del Garante hanno interessato il controllo massivo su mail e smartphone dei dipendenti, ritenuti lesivi della dignità dei lavoratori e non conformi al dettato normativo.

Violazione di dati personali (data breach)

È soprattutto sul versante della cybersecurity che c’è ancora molto da fare, sia nella sensibilizzazione e formazione degli utenti, che nella scelta dei fornitori di servizi strategici e vitali quale è la Pec.

Gli attacchi hacker di questi giorni ad opera del collettivo LulzSecITA e di Anonymous che hanno “bucato” le Pec di centinaia di avvocati in tutta Italia non è che l’ultimo in ordine di tempo e altri ne seguiranno, vista la fragilità delle infrastrutture e la mancanza di consapevolezza da parte degli utenti.

Gli avvertimenti e i buoni propositi all’indomani degli attacchi hacker alle Pec dei Tribunali italiani del novembre 2018 sono già stati dimenticati. Una vicenda emblematica del degrado del Paese, come ha avuto modo di definirla l’avv. Andrea Lisi, sia perché un Ordine Professionale dovrebbe selezionare i suoi fornitori verificando l’adeguatezza delle misure di sicurezza adottate, sia in quanto gli stessi provider sembrano ignorare le regole più ovvie della protezione dei dati. Il Garante ha annunciato l’avvio di un’istruttoria denominata “PEC insicure”. Certo è che con la scadenza del periodo di tolleranza il prossimo 20 maggio, i controlli che l’Autorità avvierà fotograferanno un quadro cupo delle nostre aziende, troppo spesso preoccupate più di assecondare la norma mirando al risparmio che di affidarsi a servizi e professionisti a garanzia delle loro stesse attività.

Lo sviluppo delle reti 5G (quasi tutto nelle mani di Huawei) e la presenza sempre più massiccia di dispositivi intelligenti nelle nostre case e sui nostri corpi (c.d. IOT), esporrà i dati di milioni di utenti a continui attacchi.

C’è da augurarsi che gli eventi di questi giorni spingano istituzioni, operatori economici e utenti a ripensare al loro ruolo nella società dell’informazione, diventando, finalmente, attori consapevoli.