Category Archives: Privacy

Il Presidente dell’Autorità nazionale anticorruzione (ANAC), l’avv. Giuseppe Busia, è intervenuto con un comunicato del 3 luglio 2024, al fine garantire la tutela dei dati personali in occasione delle informazioni trasmesse alla Banca dati nazionale dei contratti pubblici (BDNCP).

 

L’Autorità – avendo riscontrato frequenti violazioni in materia – desidera porre l’attenzione di tutte le Amministrazioni e dei soggetti coinvolti sull’importanza “di evitare l’inserimento di dati personali tra le informazioni relative alle procedure di affidamento pubblicate mediante le Piattaforme di Approvvigionamento Digitali (PAD), oltre che sui siti istituzionali”.

In sintesi, l’Autorità ha posto l’attenzione sulla necessità di essere attenti nella selezione dei dati personali che devono essere effettivamente impiegati, alla luce anche del coinvolgimento di dati particolari (ex sensibili) nelle procedure aventi ad oggetto affidamenti relativi a servizi sociosanitari. Sul punto l’ANAC ha inteso palesare un completo allineamento alle posizioni espresse in materia dall’Autorità Garante per la protezione dei dati personali, richiamando il “Parere del Garante su uno schema di decreto legislativo concernente il riordino della disciplina riguardante gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle Pa” pubblicato il 7 febbraio 2013 (indicizzato sul sito www.garanteprivacy.it come doc-web n. 2243168)

Inoltre, il Presidente sottolinea la necessità di distinguere tra i dati personali, sì necessari ma che dovranno essere messi a disposizione dei soli uffici incaricati, da quelle informazioni che potranno essere pubblicate online in forma anonima, avendo cura di non scendere nel dettaglio di particolari e personali situazioni di disagio. È interessante notare che il Presidente Busia, nell’ambito di un comunicato a portata generale, abbia voluto puntualizzare l’assoluta inidoneità della sostituzione del nome e cognome degli interessati con le sole iniziali. Come noto agli studiosi e consulenti della materia, la pseudonimizzazione richiede soluzioni differenti e da valutarsi caso per caso (vale la pena ricordare il provvedimento WP216 del Gruppo di Lavoro art. 29 per la protezione dei dati o il documento “Tecniche di pseudonimizzazione e buone pratiche” dell’Agenzia dell’Unione Europea per la cybersecurity”).

 

Fin da subito, tutti i soggetti coinvolti dovranno verificare i contenuti dei documenti già pubblicati in relazione alle procedure di affidamento, assicurandosi di non aver pubblicato dati personali; in caso contrario dovranno essere coinvolti i propri DPO per intervenire prontamente, anche comunicando all’ANAC la necessità di rimuovere tempestivamente i dati personali. A tal fine è stato pubblicato dall’Autorità un modello ad hoc che dovrà essere impiegato per la richiesta di rimozione dei dati, specificando il CIG identificativo della procedura di riferimento.

Il Garante per la protezione dei dati personali – con provvedimento n. 364 del 6 giugno 2024, doc web 10026277 – è tornato sulla gestione della posta elettronica in ambito lavorativo e sulla gestione dei relativi log, c.d. metadati.

Rammentiamo che tali aspetti erano oggetto di un provvedimento del 21 dicembre 2023, la cui applicazione fu repentinamente sospesa e differita da parte della medesima Autorità, anche a seguito di numerose perplessità applicative manifestate a vari livelli.

L’attuale provvedimento considera i contributi richiesti dall’Autorità nel processo di revisione del provvedimento.

L’Autorità non impone nuovi adempimenti in capo ai datori di lavoro ma si propone di offrire ad enti ed aziende una sintesi della disciplina applicabile, che considera anche i numerosi provvedimenti di soft law stratificatisi nel tempo.

Il provvedimento ribadisce i principi fondamentali prescritti dalle norme europee, nazionali e regolamentari, in materia di protezione dei dati personali e di tutela dei lavoratori, per le parti più attigue alla data protection.

A guidare il datore di lavoro dovranno essere sempre i seguenti principi: i) liceità del trattamento; ii) correttezza e trasparenza; iii) conservazione limitata nel tempo; iv) accountability; v) by design e by default.

Oltre a ripercorrere in modo sistematico gli aspetti salienti delle norme che devono essere rispettate per non incorrere in sanzioni amministrative ed eventuali responsabilità penali, il Garante offre alcune delucidazioni.

L’Autorità definisce cosa debba intendersi per metadati, identificandoli come “informazioni registrate nei log generati dai sistemi server di gestione e smistamento della posta elettronica (MTA = Mail Transport Agent) e dalle postazioni nell’interazione che avviene tra i diversi server interagenti e, se del caso, tra questi e i client”.

Inoltre, il Garante quantifica il periodo di conservazione dei suddetti metadati in massimo 21 giorni, salvo eccezioni.

Le delucidazioni offerte ci permettono di comprendere che i suddetti limiti di conservazione non riguardano il testo dei messaggi di posta elettronica e neppure le informazioni tecniche che ne fanno parte integrante ed inscindibile.

Dal testo sembra trasparire l’intenzione del Garante di disinnescare le preoccupazioni registrate con la diffusione del precedente provvedimento, poi sospeso.

Rimangono alcuni dubbi, in particolare per quanto concerne le modalità nel concreto perseguibili per conformare i sistemi server di gestione della posta elettronica, con particolare riferimento alle soluzioni “off the shelf” in uso non soltanto alle micro imprese. Analogamente, occorre domandarsi come coordinare le prescrizioni sulla disciplina dei tempi di conservazione di parametri tecnici con il disposto dell’art. 32, GDPR, che condiziona la scelta delle misure di sicurezza – e delle relative impostazioni a criteri scelti considerando “… i costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche…”.

Le soluzioni operativamente percorribili sono proposte, tra le righe, dalla stessa Autorità, in parte in questo provvedimento, in parte nei provvedimenti stratificatisi negli anni.

La Cassazione con ordinanza n. 15391 del 3 giugno 2024 è tornata a pronunciarsi sul tema dei controlli a distanza dei lavoratori, disciplinati dall’art. 4 della legge n. 300/1970 (lo “Statuto dei lavoratori”), norma giuslavoristica a confine con le norme che regolano il trattamento dei dati personali.

Ancora una volta il datore di lavoro soccombe a causa del mancato rispetto della normativa privacy espressamente richiamata dall’articolo citato.

I fatti di causa hanno visto coinvolto un dipendente trasfertista le cui mancanze sarebbero emerse esclusivamente grazie al controllo effettuato dal datore di lavoro degli spostamenti avvenuti con l’auto munita di telepass aziendale.

La Cassazione ha confermato quanto affermato nei due gradi di giudizio precedenti, poiché le ragioni alla base del licenziamento sono state dimostrate mediante uno strumento – il telepass – idoneo a porre in essere un controllo a distanza all’insaputa del prestatore di lavoro. A nulla è valsa la difesa della società, fondata sulla consapevolezza del dipendente della presenza dello strumento nell’automobile e la facoltà di questo di rimuoverlo, usufruendo del tradizionale casello autostradale.

L’esito di questo giudizio, ancora una volta, porta all’attenzione generale l’importanza di non sottovalutare gli stretti legami tra l’articolo 4, come riformato nel 2015 e la normativa in materia di trattamento dei dati personali.

L’esito della causa avrebbe potuto essere probabilmente completamente diverso se il datore di lavoro avesse dato proba di aver fornito “al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto [dalla normativa che disciplina il trattamento dei dati personali, N.d.R.]” (art. 4, c. 3 della L. 300/1970). In concreto, l’azienda avrebbe dovuto mappare tutti gli strumenti che permettono un indiretto controllo a distanza dei lavoratori, ricondurre gli stessi alle differenti tipologie descritte dai commi 1 e 2 dell’articolo citato ed eseguire gli adempimenti – anche per quanto richiesto dalla normativa privacy e dall’autorità Garante – nei confronti dei lavoratori. Non per tutti gli strumenti occorre l’accordo con le rappresentanze dei lavoratori o l’autorizzazione dell’Ispettorato del Lavoro.

In conclusione, contrariamente a quanto può superficialmente apparire, dalla riforma del 2015 dispone di poteri e prerogative ben più ampi e potenzialmente efficaci rispetto al passato; per il loro impiego occorre tuttavia rispettare le disposizioni normative. In difetto, il datore di lavoro rischierà di incorrere nel reato di condotta antisindacale, in sanzioni amministrative pecuniarie fino al 4% del fatturato globale dell’esercizio precedente, nell’inutilizzabilità dei dati raccolti ai fini disciplinari e giudiziari.

Il datore di lavoro che si avvale di lavoratori irregolari per trattare dati personali viola (anche) la normativa privacy. Questo è quanto è possibile desumere da un recente provvedimento dell’Autorità Garante per la protezione dei dati personali.

Il caso prende avvio da un’ispezione effettuata dall’Ispettorato territoriale del lavoro (ITL) presso un patronato I.N.P.A.S. per accertare l’attività svolta e la posizione previdenziale ed assicurativa dei dipendenti.

Nel corso degli accertamenti è emersa l’inesistenza di un regolare rapporto di lavoro tra il patronato ed un lavoratore, ex dipendente, presente negli uffici. Ad avviso dell’ITL, il trattamento dei dati personali degli utenti svolto da quel lavoratore “in nero” era illecito, in quanto mancante del requisito fondamentale del rapporto lavorativo. In assenza di un regolare rapporto di lavoro, costui era da ritenersi soggetto terzo, esterno all’organizzazione aziendale del patronato I.N.P.A.S..

L’ex dipendente, di conseguenza, non poteva più essere considerato soggetto autorizzato al trattamento dei dati personali utili ad erogare le prestazioni offerte dal patronato, presso il quale di fatto era impiegato.

L’ITL ha segnalato la situazione di fatto rilevata all’Autorità Garante per la protezione dei dati personali. Il Garante ha confermato l’interpretazione dell’ITL ritenendo che la trasmissione dei dati dal patronato al lavoratore configurasse una “comunicazione” ad un soggetto terzo, in assenza di un corretto presupposto di liceità.

In conclusione, il lavoro in nero espone il datore di lavoro, non solo ad onerose sanzioni amministrative e responsabilità penali ma anche a sanzioni da parte dell’Autorità Garante. In quest’occasione, infatti, il Garante privacy con ordinanza ingiunzione del 24 aprile 2024 ha sanzionato il patronato, seppur tenendo in debita considerazione la cooperazione con l’Autorità nel corso dell’istruttoria e l’assenza di precedenti violazioni (doc. web. N. 10019389).

L’Autorità Garante per la protezione dei dati personali, con newsletter del febbraio scorso ha reso noto di aver adottato un “Documento di indirizzo” volto a fornire nuove indicazioni alla generalità di datori di lavoro sia pubblici che privati, circa l’utilizzo dei metadati (es. giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail) generati dalla corrispondenza e-mail dei propri prestatori di lavoro (doc-web n. 9978728).

Con l’occasione, il Garante è tornato ad occuparsi del corretto utilizzo delle caselle di posta elettronica dei lavoratori, nell’ottica di una più efficace tutela della dignità e libertà degli stessi.

In particolare, il Garante ha ribadito l’obbligo di conformarsi alle garanzie previste dell’art. 4 della L. 300/1970 oltre che agli artt. 5, 6 e 88 del GDPR, al fine di garantire la sussistenza di un idoneo presupposto per la raccolta e conservazione dei metadati, nel rispetto dei principi di privacy by design e by default, sempre offrendo una adeguata informazione/informativa ai prestatori di lavoro, che devono essere consapevoli del tipo di trattamento che coinvolge i propri dati personali.

Alcune perplessità emergono in particolare relativamente a quanto affermato in merito ai tempi di conservazione dei suddetti metadati, che non potranno essere di norma superiori a sette giorni, estensibili di ulteriori 48 ore in presenza di comprovate e documentate esigenze. Nel caso in cui le tempistiche di conservazione dovessero essere maggiori, dovranno allora essere espletate le procedure di garanzia previste dall’art. 4, c. 1 della l. n. 300/1970 quali l’accordo sindacale o l’autorizzazione pubblica. Si evidenzia che detto limite non si applica però ai messaggi di posta elettronica stessi che potrebbero essere massivamente conservati per un periodo più lungo ma comunque non pluriennale, salvo eccezioni.

Inoltre, non è chiaro se il Garante voglia far riferimento a tutti i metadati come generati dagli applicativi utilizzati per la gestione della stessa, oppure alla parte di metadati raccolti e trattati da sistemi Security Information and Event Management (SIEM) o Security Operations Center (SOC), con il rischio di compromettere l’efficienza del lavoro quotidiano che comporta ricerche nei messaggi e-mail che normalmente si scambiano con clienti, fornitori e colleghi etc.

Infine, non viene offerta nessuna distinzione rispetto ai titolari del trattamento che si sono dotati di policy ad hoc finalizzate a limitare l’uso della posta elettronica professionale, che così facendo hanno ridotto ai minimi termini l’impatto sul trattamento dei dati personali dei propri dipendenti.

In ragione dei molteplici dubbi che il citato documento ha generato nei lettori, il Garante il 27 febbraio ha differito l’efficacia del “Documento di indirizzo” ed ha avviato una consultazione pubblica della durata di 30 giorni sulle forme e modalità di utilizzo che renderebbero necessaria una conservazione dei metadati superiore a quella suddetta.

Come è noto, Unicredit S.p.A. in qualità di Titolare del trattamento, è stato recentemente sanzionato dal Garante per la protezione dei dati personali, a seguito di un data breach subito nel 2018; si trattò di un attacco dall’esterno, con conseguenze sui dati personali (tra questi nome, cognome, codice fiscale etc.) di clienti ed ex-clienti.

L’Autorità Garante per la protezione dei dati personali ha svolto una complessa attività istruttoria, durata diversi anni e – riferisce nel provvedimento – ha soppesato accuratamente le responsabilità dei diversi soggetti coinvolti con il Titolare del trattamento. La valutazione dell’Autorità ha dato luogo a due distinti provvedimenti, uno in capo al Titolare (reperibile sul sito dell’Autorità come doc. web n. 9991020) ed un altro in capo al Responsabile del trattamento (doc. web n. 9991064), la società NTT Data (di seguito anche “la Società), nominata ex art. 28 del GDPR.

A NTT Data è stata comminata una sanzione amministrativa pecuniaria pari ad euro 800.000,00 per non essersi conformata alla normativa in materia in qualità di Responsabile del trattamento e non aver rispettato gli obblighi contrattuali che le vietavano di sub affidare a soggetti terzi attività a lei riservate, quali i vulnerability assessment e penetration testing. Inoltre, NTT Data è stata riconosciuta responsabile di aver trasmesso tardivamente al Titolare del trattamento le vulnerabilità rilevate; un ritardo che, ad avviso del Garante, se non vi fosse stato avrebbe permesso alla banca di adottare quanto necessario ad evitare il brach.

Come sempre, il Garante privacy nell’irrogare una sanzione che sia oltre che effettiva anche proporzionata, ha tenuto conto anche degli elementi positivi riscontrati in capo al Responsabile. Questo costante rilievo effettuato dall’Autorità rende evidente che se NTT Data avesse posto in essere con la dovuta attenzione tutte le disposizioni previste dalla normativa inerente la protezione dei dati avrebbe potutoti ridurre ulteriormente la sanzione che l’ha colpita, se non addirittura riuescire ad evitarla.

Preme sottolineare come sia importante adottare modelli organizzativi e processi operativi interni volti ad assicurare l’ottemperanza alle clausole contrattuali e/o alle nomine di responsabile del trattamento; ancora oggi frequentemente trascurate o relegate ad una veloce lettura, possono essere essenziali non solo per la definizione di responsabilità di tipo contrattuale ed extra contrattuale, ma anche nell’individuazione e quantificazione di violazione delle disposizioni della normativa a protezione dei dati personali con conseguenze molto rilevanti in termini di sanzioni amministrative pecuniarie.