1. Presentata al Parlamento la relazione del Garante per la protezione dei dati personali sull’attività svolta nel 2017
L’annuale relazione del Garante, presentata al Parlamento lo scorso 10 luglio, ha tracciato il consueto bilancio sull’attività svolta dall’Autorità nel corso dell’anno precedente, oltre ad aver indicato le prospettive di azione futura, soprattutto alla luce dell’entrata in vigore piena ed effettiva del Regolamento dell’Unione Europea 679/2016 (“GDPR”).
La relazione tocca alcuni tra i temi più attuali nell’ambito della protezione dei dati personali, tra cui: il trattamento dei dati personali in ambito giudiziario, le banche dati DNA, il telemarketing aggressivo, la tutela della riservatezza in ambito fiscale, nonché alcune tematiche particolarmente attuali, come la tutela dei dati personali nell’ambito dell’uso dei social network, le fake news e il rapporto tra privacy e diritto di cronaca.
Particolarmente rilevanti sono poi i numeri dell’attività svolta nel 2017 dal Garante: l’Autorità segnala infatti di aver adottato 573 provvedimenti collegiali, di aver dato riscontro a 6000 reclami e segnalazioni e di aver deciso 276 ricorsi, oltre ad aver comunicato 41 notizie di reato all’Autorità Giudiziaria. Sono state poi condotte 275 ispezioni, constatate 589 violazioni amministrative ed emesse sanzioni per un totale di 3 milioni 800 mila euro (ben il 16% in più rispetto al 2016).
2. La Corte di Cassazione interviene sul consenso privacy, anche in chiave GDPR
La Corte di Cassazione, sez. I civile, con sentenza del 2 luglio 2018, n. 17278, ribaltando una pronuncia di merito del Tribunale di Arezzo, ha deciso a favore del Garante per la protezione dei dati personali nel contraddittorio contro un’azienda che offriva per il tramite del proprio sito web un servizio di newsletter. Si trattava di un servizio offerto a condizione che gli utenti accettassero di far trattare i propri dati per finalità di marketing, anche da parte di terzi, senza che però gli effetti del flag (con il quale veniva raccolto il consenso) venissero chiaramente rappresentati (l’azienda infatti richiedeva un generico segno di spunta al trattamento di dati personali e rinviava a una diversa pagina informativa per il reperimento delle necessarie informazioni sul trattamento).
Dopo aver chiarito che il consenso privacy è diverso da quello civilistico, nel senso che va inteso come consenso “rafforzato”, alla stessa stregua del “consenso informato” in ambito sanitario (cioè un consenso che non “ammette pressioni di alcun genere” e “non sopporta di essere perturbato”), la Suprema Corte ha evidenziato, con ciò fornendo anche indicazioni operative alle aziende, che il consenso privacy non può dirsi specificamente e, dunque, anche liberamente prestato, in un’ipotesi in cui gli effetti del consenso non siano indicati con completezza accanto a una specifica «spunta» apposta sulla relativa casella di una pagina web, ma siano invece descritti in altra pagina web linkata alla prima, laddove quindi non vi sia contezza che l’interessato abbia consultato detta altra pagina, apponendo nuovamente una diversa «spunta» finalizzata a manifestare il suo consenso.
In un altro passaggio particolarmente interessante, la Cassazione sostiene che, trattandosi di un servizio “fungibile” e “rinunciabile”, cioè facilmente reperibile altrove dall’utente, l’azienda può condizionare l’erogazione della newsletter al consenso dell’utente al successivo invio di messaggi pubblicitari (anche di terzi). Ciò che non è ammesso, spiega la Corte, è invece nascondere all’utente i reali effetti della sua manifestazione di volontà al fine di sviarlo e, quindi, trattarne i dati personali per l’invio di messaggi pubblicitari che in realtà l’utente non aveva mai liberamente scelto di voler ricevere.
Da un punto di vista pratico, dalla pronuncia in esame si possono trarre le seguenti conclusioni:
(i) quando l’interessato abbia richiesto servizi di newsletter, non è necessario chiedere un ulteriore consenso, in quanto tale trattamento avviene sulla base di un contratto con l’interessato o per eseguire una sua richiesta (come previsto prima dall’articolo 24.1.b del Codice Privacy e adesso dall’articolo 6.1.b del GDPR);
(ii) quando invece il consenso è richiesto (ad esempio per utilizzare i dati dell’interessato per diverse finalità di marketing proprio o di terzi) il consenso deve essere specifico e informato e, a tal fine, è consigliabile inserire delle informative “brevi” accanto ai segni di spunta online che spieghino agli utenti a cosa stanno acconsentendo;
(iii) non sono ammessi, in quanto poco trasparenti, meccanismi informativi costruiti mediante rinvii e “scatole cinesi” solo per rendere più difficile agli interessati il reperimento delle necessarie informazioni sul trattamento.
3. Possibile il trattamento dei dati derivanti da dispositivi GPS e body cam senza il consenso dei dipendenti – con le opportune garanzie
Il Garante per la protezione dei dati personali ha avuto di recente occasione di intervenire su due temi di grande interesse e attualità, quali il trattamento, da parte del datore di lavoro, dei dati personali dei dipendenti provenienti da dispositivi di tracciamento (GPS) e dall’uso di body cam.
In particolare, in occasione della relazione annuale presentata al Parlamento per l’attività svolta nel 2017, il Garante ha posto l’accento sui casi in cui il trattamento dei dati di geo-localizzazione dei dipendenti possa avvenire senza il diretto consenso del soggetto interessato, ma sulla base del legittimo interesse del titolare del trattamento (ai sensi dell’art. 6, comma 1, lett. f e del Considerando n. 47 del GDPR), ossia del datore di lavoro.
È importante evidenziare che il Garante ha evidenziato, in relazione ai singoli casi trattati, le specifiche garanzie che le aziende o gli enti interessati hanno dovuto adottare ai fini del riconoscimento della liceità di tale trattamento, tra cui:
– la configurazione del sistema in modo da rilevare la posizione geografica con una cadenza temporale strettamente proporzionata alle finalità perseguite;
– l’accesso ai dati trattati consentito esclusivamente al personale incaricato e dotato di specifica autorizzazione;
– l’adozione di misure preordinate alla cancellazione automatica dei dati decorso il termine di conservazione;
– l’identificazione dei soggetti interessati solo in caso di necessità, ecc.
Molto simile la posizione assunta dal Garante in relazione al trattamento dei dati personali dei dipendenti provenienti da dispositivi indossabili destinati alla ripresa di immagini (c.d. body cam). In particolare l’Autorità, nel provvedimento adottato lo scorso 22 maggio 2018, dopo aver evidenziato le peculiarità di un simile trattamento (che prevede un collegamento in tempo reale e il potere, in capo all’operatore che indossa il dispositivo, di determinare l’inizio e la fine delle riprese), ha valutato, a seguito di richiesta di verifica preliminare e di approfondita analisi del sistema utilizzato, che la società in questione effettuasse il trattamento in conformità ai principi di pertinenza e non eccedenza, individuando, conseguentemente, un legittimo interesse del titolare al trattamento medesimo.
Anche in tal caso, tuttavia, il Garante non ha omesso di prescrivere alcune misure a tutela dei diritti personali dei soggetti interessati, nello specifico i dipendenti della società stessa. Quest’ultima è stata quindi chiamata ad adottare un disciplinare interno mediante il quale:
– individuare i presupposti e le modalità di utilizzo delle body cam (con particolare riferimento alla necessità di adottare particolari cautele nel caso in cui le riprese video possano riprendere vittime di reati, testimoni, minori o possano riprendere luoghi assistiti da particolari aspettative di riservatezza);
– fornire specifiche ipotesi di intervento e utilizzo delle immagini raccolte;
– individuare specifici procedimenti, riservati a soggetti autorizzati e dotati di apposite credenziali, per l’accesso e la verifica delle immagini raccolte;
– fissare un tempo limitato di conservazione (in particolare, il Garante ha evidenziato che una conservazione di tali immagini per un periodo superiore ai 7 giorni possa essere disposta solo previa verifica da parte di soggetti autorizzati della rilevanza delle immagini raccolte rispetto alle finalità perseguite); ecc.
Le posizioni assunte dal Garante in relazione alle tematiche menzionate costituiscono un ottimo spunto per quanti intendessero basare alcuni trattamenti sul legittimo interesse; esse infatti contengono indicazioni sugli elementi da tenere in considerazione nell’effettuazione, da parte dei titolari del trattamento, del cd. Bilanciamento degli interessi, che il GDPR rimette all’autonomia dei titolari.