Protezione dei Dati Personali

L’ “eponimo” del diritto all’oblio e il meccanismo di deindicizzazione delle notizie: profili di competenza e applicabilità.

Commento alla sentenza della Cassazione civile n. 3952 dell’8 febbraio 2022

 

La prima sezione civile della Cassazione, con sentenza n. 3952 dell’8 febbraio 2022, si è pronunciata sul ricorso presentato avverso la sentenza n. 12623/2016 del Tribunale di Milano, con la quale era stato rigettato il ricorso con cui lo stesso ricorrente chiedeva l’annullamento di un provvedimento del Garante della Privacy del 25 febbraio 2016, con il quale era stata accolta l’istanza del richiedente alla rimozione dai risultati delle ricerche internet con l’utilizzazione dei servizi di ricerca di diversi URL, che collegavano il suo nome  ad una vicenda giudiziaria  che asseriva “non interessa più il diritto di cronaca”.

 

Il Giudice di primo grado aveva ritenuto legittima l’emissione di detto provvedimento da parte del Garante dal momento che l’operazione rivolta a rendere consultabili dati personali su una pagina internet andasse considerata come un “trattamento” ai sensi dell’art. 2, lett. b), dir. 95/46/CE.; infine, aveva rilevato che in base alla giurisprudenza della Corte di Giustizia, i diritti fondamentali della persona interessata dovessero prevalere non solo sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse del pubblico a trovare l’informazione in occasione di una ricerca concernente quello stesso soggetto.

 

La decisione del Tribunale diveniva oggetto di impugnazione dinanzi alla Corte di Cassazione in virtù di cinque motivi di doglianza, dei quali, i primi, aventi ad oggetto questioni di rito, sono stati dalla stessa Corte ritenuti infondati.

 

Anche il quarto motivo di impugnazione, pur avendo ad oggetto la censura di violazione e falsa applicazione del D.lgs. 196/2003, art. 154, ha avuto la medesima sorte. A tal proposito, la società ricorrente aveva dedotto che l’Autorità Garante avrebbe avuto competenza per le materie circoscritte alle sole questioni strettamente attinenti al trattamento dei dati personali e, nel caso in esame, non vi era stato alcun trattamento dei dati, i quali sarebbero comparsi negli URL, localizzando in modo automatico il contenuto attraverso la digitazione del nome dell’interessato; pertanto, concludeva, il fornitore di servizi di motore di ricerca offrirebbe un semplice strumento di localizzazione delle informazioni, senza esercitare alcun potere di controllo sulle notizie.

Il principio accolto dalla Cassazione al fine di giungere ad una statuizione sul merito è quello secondo il quale la deindicizzazione (anche, “delisting”) è un’attività consistente nell’escludere che il nome di un soggetto compaia tra i risultati di ricerca di un motore di ricerca in esito ad una interrogazione del medesimo, pertanto la deindicizzazione permetterebbe una particolare modalità di ricerca del dato, che rimane (pur sempre) presente in rete e che, dunque, continua ad essere raggiungibile dagli utenti del motore di ricerca con uno sforzo in più.

Con il quinto motivo la ricorrente denunciava violazione e falsa applicazione dell’art. 75 c.p.c., nonché del D.lgs. n.196/2003. Si doleva, in particolare, che l’ordine di rimozione fosse stato rivolto ad una società italiana, contestandone l’assenza di legittimazione passiva, posto che non avrebbe avuto alcun potere di esecuzione dell’ordine emanato.

Sulla base delle argomentazioni offerte dalla ricorrente, il Tribunale avrebbe avallato un’interpretazione del diritto all’oblio eccessivamente sbilanciata in favore dell’interessato “a detrimento di interessi diversi, come quello dei terzi di accedere alle pagine web per finalità diverse di quelle di una verifica giudiziaria delle vicissitudini giudiziarie” dell’interessato. Le stesse hanno evidenziato altresì come un tale orientamento avrebbe come effetto quello di far gravare in capo alle società un eccessivo onere di sorveglianza onde evitare che gli URL già eliminati vengano successivamente re-indicizzati o che non vengano nuovamente messi in circolazione sotto diversi URL.

La censura formulata dal ricorrente ha ad oggetto la dedotta esorbitanza dell’ordine di cancellazione delle copie cache delle pagine web accessibili attraverso gli URL riguardanti la vice che il Garante indirizzava alla società, ordine che era stato oggetti di conferma anche da parte il Tribunale di Milano.

L’esorbitanza, a detta della Cassazione, era da rintracciarsi nella rimozione delle copie cache in questione.

 

Le Sezioni Unite hanno ricondotto la deindicizzazione al diritto alla cancellazione dei dati, dunque come una declinazione del diritto all’oblio, insieme al diritto a non vedere nuovamente pubblicate notizie relative al passato legittimamente diffuse laddove sia trascorso un determinato arco temporale tra la prima e la seconda pubblicazione e all’attualità della notizia.

 

La deindicizzazione guarda all’identità digitale del soggetto, in quanto l’elenco dei risultati che compare in corrispondenza alla digitazione del nome della persona fisica fornisce una rappresentazione dell’identità che quella persona ha in internet; infatti, quando gli utenti svolgono ricerche attraverso la digitazione del nome sul motore di ricerca, ottengono attraverso i risultati una visione complessiva del profilo di una persona, profilo che può essere più o meno dettagliato, incidendo così sui diritti fondamentali alla vita privata e alla protezione dei dati personali.

 

Occorre, dunque, ricercare il giusto equilibrio tra tale interesse e i diritti fondamentali della persona che sembrerebbe raggiunto proprio attraverso il meccanismo della deindicizzazione, espressione del più generale diritto di oblio.

Infatti, attraverso tale soluzione, si realizzerebbe il diritto dell’interessato a essere dimenticato per il coinvolgimento in una vicenda che non gli permette di affermarsi quale persona nuova nelle relazioni sociali e professionali, nonché il diritto di informazione degli utenti, i quali potrebbero pur sempre rintracciare la notizia sul web, attraverso una ricerca più impegnativa, non venendo del tutto escluso la loro possibilità di conoscere gli eventi del passato. Del resto, come asserito dalle Sezioni Unite attraverso il rinvio al principio emanato dalla recente Cassazione del 2020 (sentenza n. 9147 del 19 maggio 2020), la tutela del diritto consistente nel non rimanere esposti senza limiti di tempo ad una rappresentazione non più attuale della propria persona con pregiudizio alla reputazione e alla riservatezza, possa trovare soddisfazione, “nel quadro dell’indicato bilanciamento del diritto stesso con l’interesse pubblico alla conoscenza del fatto, espressione del diritto di manifestazione del pensiero e quindi di cronaca e di conservazione della notizia per finalità storico-sociale e documentaristica – anche nella sola deindicizzazione dell’articolo dai motori di ricerca”.

 

Stante la piena legittimità della deindicizzazione, che non ha costituito oggetto di scrutinio da parte della Corte, la trattazione deve invece essere riferita all’ordine impartito dal Garante di procedere alla cancellazione delle copie cache delle pagine internet attraverso gli URL degli articoli di stampa relativi alla vicenda giudiziaria dell’interessato.

 

In merito a tale circostanza, il Tribunale osservava che la misura adottata dal Garante risultava essere conforme ai principi del Regolamento UE 2016/679 (cd. “GDPR”), il quale prevede il diritto a una cancellazione estesa dei dati personali oggetto di trattamento, postulandosi così una sorta di automatismo tra deindicizzazione della notizia e cancellazione del dato.

 

La Corte ha tuttavia riconosciuto l’inapplicabilità del Regolamento Europeo, il quale seppure all’art. 17 prevede un diritto alla cancellazione, richiama quello presente all’art. 12, lett. b) della Direttiva 95/46/CE., il quale contempla il diritto di ottenere dal responsabile del trattamento la rettifica, cancellazione o congelamento dei dati il cui trattamento non risulti conforme ai principi della direttiva stessa. Pertanto, il diritto dell’interessato di ottenere la cancellazione non opererebbe nella misura in cui questi siano necessari all’esercizio del diritto di libertà di espressione e di informazione.

Ne deriva che, pur nella vigenza del GDPR, è necessario ponderare la sussistenza delle circostanze che rendono concreta l’esigenza di bilanciamento tra gli interessi contrapposti, per cui la perpetuazione del reperimento della notizia, nonostante lo scorrere del tempo, non è stata ritenuta sufficiente a giustificare un provvedimento perentorio qual è quello della cancellazione dei dati cache.

Dunque, la Corte ha ritenuto che il giudizio del Tribunale avrebbe dovuto verificare la sussistenza dell’interesse a continuare ad essere informati sulla vicenda di cronaca nel suo complesso, anche attraverso parole chiave diversa dal nome dell’interessato.

 

Per tutte queste ragioni, la Corte ha cassato la sentenza del Tribunale in accoglimento della censura di cui al quinto motivo di impugnazione e ha rinviato al Tribunale di Milano che, in diversa composizione, dovrà fare applicazione del principio indicato in motivazione.

Condividi l'articolo:

Google Analytics e trasferimento dati personali USA: violato il GDPR secondo l’autorità di controllo austriaca.

Commento alla Decisione D155.027 GA emessa il 22 dicembre 2021 e pubblicata il 14 gennaio 2022

L’Autorità di controllo austriaca (“Datenschutzbehorde” o anche “DSB”) si è pronunciata su uno dei numerosi reclami presentati da Noyb – European Center for Digital Rights, la ONG non-profit fondata dall’avvocato Max Schrems, attivista in ambito privacy, in ordine alla questione inerente al trattamento dei dati personali da parte delle aziende statunitensi che, nonostante i recenti interventi giurisprudenziali, non hanno adottato misure di sicurezza tecniche e organizzative idonee a poter ritenere “attività legittima” il trasferimento dei dati dei cittadini europei, assicurando le garanzie previste per il trattamento dei dati personali all’interno dello Spazio Economico Europeo.

Nello specifico, la decisione è rivolta al titolare di un portale web dedicato alla divulgazione di tematiche di carattere sanitario, il quale si serviva del tool Google Analytics, di Google LCC, i cui server per il trattamento dei dati sono ubicati prevalentemente in Europa, ma anche negli USA.

Google Analytics è uno strumento che permette di misurare le proprietà del traffico sul web, onde capire il comportamento dei visitatori ed eseguire valutazioni statistiche generali del loro comportamento e del loro modo di interagire, senza individuare nello specifico il singolo utente, mantenuto anonimo.

Il provvedimento reso dall’Autorità austriaca è di estrema rilevanza alla luce di quanto affermato nella recente sentenza della Corte di Giustizia dell’Unione europea “Schrems II”, che invalidando l’accordo tra gli Stati Uniti e l’Unione Europea per il trasferimento dei dati personali dei cittadini UE negli USA (cd. Privacy Schield), sulla base della macroscopica assenza di tutele per la sicurezza dei dati trattati, ne costituisce il necessario antefatto.

Il quadro normativo americano da prendere in considerazione, costituito essenzialmente dalla sezione 702 del Foreign Intelligence Surveillance Act (di seguito, anche “FISA“) e dall’executive order n. 12.333, impone ai “fornitori di servizi di comunicazione elettronica” – qual è Google LLC – la comunicazione dei dati personali degli utenti ad autorità pubbliche e governative (es. servizi di intelligence), senza il consenso dell’interessato.

In tale contesto, il trasferimento di dati personali verso gli USA, oltre a fondarsi su una legittima base giuridica, può essere operato solo in casi in cui le aziende garantiscano particolari misure di protezione dei dati personali oggetto di tale operazione di trattamento.

Il provvedimento della DSB si rivolge a due convenuti, il titolare della piattaforma e Google LLC. L’approccio dell’Autorità di controllo si è risolto in maniera differente per questi, dal momento che ha ritenuto fondato il reclamo nei confronti del primo convenuto, in qualità di responsabile dell’implementazione della propria piattaforma del tool Google Analytics, mentre ha rigettato il reclamo nei confronti del secondo, anticipando l’intenzione di una futura indagine d’ufficio separata e autonoma rispetto alla decisione in esame.

Secondo quanto ritenuto dall’Autorità di controllo, le clausole contrattuali standard utilizzate dal proprietario della piattaforma e da Google non avrebbero garantito un adeguato livello di protezione, così come richiesto dal Regolamento UE 2016/679 (di seguito, anche “GDPR”), sotto molteplici punti di vista.

In primo luogo, il DSB sottolinea come Google sia soggetto “a monte” alla sorveglianza da parte delle agenzie di intelligence degli Stati Uniti ai sensi della sezione 702 del FISA e che, in ogni caso, le ulteriori clausole standard integrative adottate non sarebbero state efficaci ad eliminare la possibilità di controllo e di accesso ai dati personali degli utenti da parte delle agenzie e dei servizi segreti americani.

Peraltro, chiarisce che il proprietario della piattaforma non avrebbe dovuto basare la trasmissione dei dati personali degli utenti verso gli Stati Uniti unicamente su clausole contrattuali standard, essendo a conoscenza dell’impatto avuto dalla sentenza Schrems II sul trasferimento di dati personali verso tale paese.

Su questi presupposti l’Autorità di controllo conclude che la trasmissione dei dati personali extra UE viola gli artt. 44 e ss. del GDPR.

Sia i convenuti che il denunciante hanno offerto diversi pareri all’Autorità volti ad evidenziare vari elementi di carattere tecnico, giuridico e meramente fattuale.

Nello specifico, il denunciante esponeva (con Parere del gennaio 2021) che l’anonimizzazione dei dati personali degli utenti della piattaforma avveniva successivamente al trasferimento negli Stati Uniti oltre a sottolineare come i dati trasferiti non riguardassero solo l’indirizzo IP, ma anche altri dati personali, quali quelli relativi ai cookie.

Le contestazioni del ricorrente sono state avversate dai resistenti constatando che l’utilizzo, come nel caso di specie, della versione gratuita di Google Analitycs avrebbe, per impostazione predefinita raccolto i dati degli utenti in forma anonimizzata e che quindi non vi sarebbe stato trasferimento di dati personali.

Sotto un profilo più squisitamente giuridico, l’Autorità non ha meramente indagato il rispetto dei principi di cui agli 44 e ss. del GDPR, bensì ha qualificato la liceità del trattamento come un diritto soggettivo, in quanto avente ad oggetto la protezione della vita privata e delle libertà fondamentali dell’individuo.

La possibilità di tutelare una posizione giuridica individuale laddove vi sia una violazione capace di recare un danno all’interessato è certamente confermata per il solo fatto che gli indirizzi IP e gli identificatori online costituiscono veri e propri dati personali ai sensi dell’art. 4.1 del GDPR, in quanto permettono, con una ragionevole probabilità, di identificare l’interessato, a nulla rilevando che altri elementi possano essere in possesso di una terza parte.

Inoltre, l’identificabilità deve essere intesa in concreto, nel senso che sarà necessario considerare non solo tutti i dati posseduti, ma anche i mezzi di cui si dispone, le risorse economiche e di tempo che un determinato soggetto è in grado di affrontare, altresì tenendo conto delle tecnologie e degli sviluppi tecnologici al momento del trattamento. Il parametro deve pertanto essere rintracciato nello “sforzo giustificabile e ragionevole”.

Sulla base di queste considerazioni, secondo l’Autorità di controllo, Google avrebbe le capacità e l’organizzazione tale da rendere possibile l’identificazione precisa dell’utente (nel caso di specie, il ricorrente).

Il titolare della piattaforma per non incorrere nel richiamo dell’Autorità di controllo avrebbe dovuto fornire un adeguato livello di protezione o garanzie adeguate alla tutela dei dati personali degli utenti dimostrando l’implementazione di misure tecniche ed organizzative tali da prevenire l’accesso ai dati personali da parte delle agenzie di intelligence statunitensi. Infatti, le clausole contrattuali standard ex se non possono, in alcun modo, vincolare le autorità rispetto ai programmi di sorveglianza.

Le garanzie adeguate per la tutela degli interessati variano in relazione alle concrete operazioni di trattamento poste in essere e dunque anche del Paese terzo di riferimento richiedendo un particolare raccordo con gli elementi tecnici ed organizzativi. Tali misure dovrebbero in ogni caso risultare effettive, ossia capaci di colmare le lacune giuridiche del Paese terzo e, ove non effettive, il trattamento dei dati da parte in tali Paesi dovrebbe immediatamente cessare.

Tali adeguamenti non sarebbero stati efficacemente applicati dal titolare del trattamento. Infatti, secondo l’Autorità di controllo austriaca le misure che sono state adottate non hanno eliminato il pericolo di accesso ai dati personali degli utenti della piattaforma da parte dei servizi di intelligence statunitensi.

Il provvedimento del Garante austriaco non ha senz’altro rimosso il gap normativo, ma ha evidenziato la portata del disallineamento normativo tra Europa e USA.

Nell’era del “digitalismo”, sarebbe auspicabile la negoziazione di misure e strumenti – tra l’Europa e i Paesi terzi – idonei a tutelare le libertà fondamentali dell’individuo nello sviluppo tecnologico.

Condividi l’articolo:

Proctoring e GDPR. Perché il garante ha bocciato l’esame a distanza dell’Università Bocconi

Il Garante per la Protezione dei Dati Personali con provvedimento del 28 settembre 2021 ha ingiunto all’Università Commerciale Luigi Bocconi di Milano il pagamento di 200.000,00 euro a titolo di sanzione amministrativa per le ripetute violazioni delle disposizioni del Regolamento (UE) 2016/679.

La condotta illecita è stata portata all’attenzione dell’Autorità da uno studente inglese, il quale alla fine di aprile 2020 si è trovato a sostenere gli esami scritti con l’uso da parte dell’Università di un software di monitoraggio e controllo a distanza rilevandone dei profili di presunta illiceità sottoposti al vaglio dell’Autorità garante. 

Respondus e il sistema di “proctoring”  

Nel contesto dell’emergenza epidemiologica da SARS-CoV-2, è stata predisposta dall’Università Bocconi una modalità alternativa di svolgimento degli esami scritti, idonea a mantenere le medesime garanzie previste dagli esami in presenza, avvalendosi di un servizio software erogato dall’azienda statunitense Respondus Inc. il quale, attraverso un sistema di cd. proctoring, come accertato dall’Autorità, è in grado di acquisire e trattare dati biometrici.

L’accertamento della sussistenza di un illecito nella condotta dell’Università concretizzatasi nella conduzione degli esami ricorrendo all’ausilio del suddetto servizio software ha richiesto un’approfondita disamina delle caratteristiche tecnico-funzionali del servizio software, dell’informativa sul trattamento dei dati degli esaminati quale resa dall’Università Bocconi agli studenti, dei chiarimenti e delle precisazioni fornite nel corso dell’istruttoria dall’Università Bocconi.  

Oltre a inibire specifiche funzionalità dei dispositivi in uso agli studenti durante lo svolgimento della prova scritta, attraverso la funzione cd. “LockDown Browser”, il Garante ha accertato che Respondus attraverso la webcam acquisisce immagini ritraenti lo studente ed ha, altresì, visione del suo schermo indentificando e contrassegnando con un flag i comportamenti insoliti o sospetti dello stesso studente (quali: sguardo non rivolto verso il monitor, volto parzialmente assente, volto mancante) mediante registrazioni video e istantanee scattate a intervalli casuali.  

Al termine della prova d’esame, il sistema elabora una Review Priority, affinché il docente esaminatore possa rilevare condotte invalidanti o meno la prova d’esame nell’esercizio dei suoi poteri discrezionali. 

A seguito della segnalazione, compiuta l’attività istruttoria, il Garante ha notificato all’Ateneo l’avvio del procedimento per l’adozione dei provvedimenti aventi ad oggetto diverse presunte violazioni. 

Nel ravvisare in capo all’Università Bocconi – nella sua qualità di titolare del trattamento dei dati degli studenti esaminati – un trattamento dei dati non conforme ai principi di limitazione della conservazione e minimizzazione, nonché un’omessa valutazione sugli impatti derivanti dall’utilizzo del software, il Garante ha accertato nella propria Ordinanza diversi comportamenti illeciti dell’Università forieri di diverse violazioni del Regolamento. 

Il difetto di informativa 

In primis, la violazione degli artt. 5, par.1, lett. a) e 13 del Regolamento. 

È noto che il titolare del trattamento di dati personali debba fornire all’interessato l’informativa “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.”

Dall’attività istruttoria compiuta è emerso che l’informativa sul trattamento dei dati fornita agli studenti non riportasse tutte le informazioni richieste dal Regolamento per assicurare un trattamento corretto e trasparente.  

È stato rilevato che la stessa facesse riferimento “a titolo esemplificativo e non esaustivo” solo al trattamento di alcuni dati dello studente, omettendo di informarlo sul tracciamento del comportamento durante la prova e le successive profilazioni. Inoltre, non vi era menzione né della fotografia al documento di identità fornito all’inizio della prova né, tantomeno, alle riprese all’ambiente circostante che veniva chiesto allo studente prima dell’inizio della prova.

Nessuna informazione veniva fornita in ordine ai tempi di conservazione dei dati, limitandosi a prevedere “per un tempo strettamente necessario al perseguimento delle finalità indicate”, mancando di fissare i diversi periodi in ordine alle diverse finalità. 

Altresì, la correttezza e la trasparenza risultano lese nella misura in cui, sebbene il sistema Respondus non sia assimilabile ai sistemi di intelligenza artificiale, i quali si distinguono in relazione al processo decisionale totalmente automatizzato, pur non rilevando alcuna violazione legata alla comprensione all’algoritmo di funzionamento dell’IA, al pari non si conoscono (e non venivano esplicitati) i meccanismi del sistema di supervisione, i quali portavano alla profilazione dell’interessato. 

Il difetto di adeguata base giuridica del trattamento di dati biometrici 

Altresì, il Garante ha rilevato, a danno degli studenti, la violazione degli artt. 5, par. 1, lett. a), 6 e 9 del Regolamento. 

Il Regolamento prevede espressamente che “è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.” 

Bisogna precisare che, affinché il trattamento del dato di immagine possa essere qualificato come biometrico, è necessario che il confronto per il riconoscimento avvenga attraverso l’utilizzo di hardware o software, in ogni caso attraverso un trattamento tecnico specifico.  

Tale circostanza, pure se pacificamente ammessa e inserita nell’informativa, non è stata ritenuta sorretta da un’adeguata base giuridica, di cui all’art. 6 del Regolamento.

Il trattamento dei dati biometrici, finalizzato ad una profilazione dello studente, sarebbe avvenuto in assenza di un’idonea base giuridica e di una specifica esigenza giustificativa. Tali presupposti, come riportato dal Garante, sono presupposti indefettibili di liceità del trattamento di dati biometrici che, in virtù della loro stretta relazione con l’identità personale, richiedono tutele e presupposti maggiori rispetto ad altri.  

Nello specifico, la base giuridica era stata rintracciata dall’Università nel consenso preventivamente richiesto agli studenti.  

Tuttavia, laddove per consenso deve intendersi, ai sensi dell’art. 4 del Regolamento, una “manifestazione di volontà libera”, questo non potrebbe sussistere tutte le volte in cui si abbiano relazioni in disequilibrio, quali quelle intercorrenti tra Università e professore su un fronte e studente sull’altro, tale per cui possa ingenerarsi nello studente uno stato di pressione psicologica di poter essere destinatario di un trattamento sfavorevole in sede d’esame in caso di rifiuto a che lo stesso potesse svolgersi a distanza con l’ausilio del software Respondus.

Data l’impossibilità di far ricorso al consenso quale base giuridica del trattamento, il trattamento dei dati biometrici sarebbe stato concesso soltanto ove si fosse ritenuta sussistente una previsione normativa idonea a specificare oltre all’interesse pubblico rilevante, i tipi di dati, le operazioni eseguibili, nonché le misure appropriate per la tutela degli interessati.

Il trasferimento di dati all’estero 

Ulteriore elemento emerso durante l’istruttoria e che ha determinato l’ingiunzione all’Università Bocconi è stato quello relativo alla violazione degli artt. 44 e 46 del Regolamento, relativo al trasferimento internazionale dei dati personali. 

L’innovativo sistema, infatti, veniva fornito da Respondus Inc., società con sede negli Stati Uniti, responsabile del trattamento, in virtù dello specifico accordo tra le parti, ai sensi dell’art. 28 del Regolamento. 

I trasferimenti di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo sono consentiti a condizione che l’adeguatezza del Paese terzo sia riconosciuta da una decisione della Commissione; in assenza di detta decisione, è necessario che il titolare del trattamento fornisca garanzie adeguate ed effettive agli interessati. 

Il Garante ha cura di evidenziare che, per quanto riguarda i trasferimenti verso gli Stati Uniti d’America, la Corte di Giustizia dell’UE ha ritenuto che gli Stati Uniti non garantissero un livello di tutela equivalente a quello europeo e non riconosce agli interessati diritti azionabili nei confronti delle autorità statunitensi. 

Nonostante l’accordo intervenuto tra l’Ateneo e Respondus Inc. prevedesse espressamente tale tutela, le misure tecniche e operative non sono sembrate idonee a soddisfare il requisito di sicurezza dei trasferimenti, dal momento che non erano state puntualmente e accuratamente descritte e non potendo a queste sopperire la pseudominizzazione dei dati oggetto di trasferimento. 

Tale violazione è stata ritenuta ancor più rilevante per la natura dei dati (biometrici, come si è visto) oggetto trasferimento all’estero. 

In conclusione, sebbene il Garante abbia rilevato la prontezza dell’Ateneo nel fronteggiare le problematiche derivanti dal contesto emergenziale, avendo operato scelte e adottato misure tecniche e organizzative in tempi rapidi, nel rispetto della continuità didattica, lo stesso ha condannato l’ateneo applicando – altresì – la sanzione accessoria della pubblicità del provvedimento, pubblicità che rappresenta un contributo fondamentale in punto bilanciamento degli interessi di titolare e interessato nelle scelte di trattamento dei dati personali, anche in considerazione della peculiarità dei dati trattati e delle finalità perseguite dal titolare per alcuni versi innovative, che confermano il primato dell’adeguata informazione e del libero consenso dell’interessato sull’interesse imprenditoriale del titolare.

 
Condividi l'articolo:

Le nuove linee guida dell’EDPB tra puntuali chiarimenti ed efficaci esemplificazioni

Il Comitato Europeo per la protezione dei dati (European Data Protection Board, EDPB) –  organismo europeo indipendente che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità di controllo –  ha adottato le linee guida 7/2020 lo scorso 21 luglio 2021 all’esito di una consultazione pubblica, fornendo una definizione uniforme non solo di responsabile e titolare del trattamento ma anche del rapporto di contitolarità del trattamento.

Le nuove Linee Guida sostituiscono le precedenti linee guida del gruppo di lavoro 29 (cosiddetto Working Party 20) del febbraio 2010.

 

Le linee guida 7/2020 sono articolate in due sezioni principali di cui la prima, con riferimento al trattamento dei dati personali, identifica i ruoli di titolare, contitolare, responsabile e terzi/riceventi, e la seconda descrive le principali implicazioni connesse al trattamento.

 

Gli elementi essenziali per la definizione di titolare e di responsabile del trattamento non sono stati sostanzialmente innovati rispetto a quanto previsto nella direttiva 95/46, ma il lavoro dell’EDPB si pone in un’ottica di chiarezza fornendo in apertura due concetti fondamentali da tenere a mente nell’interpretazione dei ruoli: funzionalità e autonomia.

 

Funzionalità nell’intendere il ruolo in relazione alla specifica attività di trattamento svolta e non in modo assoluto e autonomia nel senso di indipendenza da concetti di titolarità formulati in altre aree del diritto evitando così trasposizioni automatiche che potrebbero risultare fuorvianti.

 

Il Titolare del trattamento

 

Il Comitato ha fornito specifici chiarimenti partendo dal ruolo di Titolare del trattamento e prendendo le mosse dal disposto dell’art. 4 n. 7 GDPR per cui Titolare è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.

 

Il criterio della funzionalità nell’interpretazione dei concetti viene ribadita al punto 12 delle linee guida dove si specifica che l’allocazione dei ruoli non è negoziabile tra le parti e l’individuazione del titolare deve avvenire o in base all’effettiva influenza esercitata dal soggetto sul trattamento, oppure desunto da una competenza legale quando il titolare o gli specifici criteri per la sua nomina siano stabiliti dalla legislazione dell’Unione Europea o di uno Stato membro.

 

Il Comitato ritiene che le decisioni sullo scopo del trattamento debbano essere sempre di esclusiva competenza del titolare, mentre per quanto riguarda la determinazione dei mezzi  si possa distinguere tra mezzi essenziali e non essenziali: per i primi si intendono i mezzi strettamente legati allo scopo e alla portata del trattamento, intrinsecamente riservati al titolare (es. tipologia di dati trattati, durata del trattamento, categorie di destinatari, categorie di interessati coinvolti), mentre per i secondi gli aspetti più pratici dell’attuazione, come la scelta di un particolare tipo di hardware o software o le misure di sicurezza dettagliate, sono suscettibili di essere definiti anche dal  responsabile del trattamento.

 

Con riferimento invece all’elemento soggettivo, è confermato che, anche nel caso in cui l’entità titolare del trattamento decida di designare una persona specifica al fine di garantire la compliance con la normativa privacy, questo soggetto non sarà il titolare del trattamento che agisce per conto dell’entità che rimarrà comunque unico titolare del trattamento.  

 

Analogamente non è titolare del trattamento un particolare dipartimento o unità organizzativa cui viene conferita dall’entità la responsabilità operativa di assicurare la conformità per certe attività di trattamento, rispondendo del trattamento concretamente eseguito dal dipartimento o dall’unità l’entità.

 

Così se un dipendente utilizzasse i dati personali acquisiti nell’esercizio della sua funzione aziendale per i scopi estranei a quelli prefissati dall’azienda/entità datrice di lavoro sarà quest’ultima, in quanto titolare del trattamento, a doversi assicurarsi che siano adottate adeguate misure tecniche e organizzative, tra cui ad esempio la formazione e l’informazione dei dipendenti, per garantire il rispetto del GDPR e a rispondere di eventuali trattamenti difformi se non illeciti da parte del dipendente incauto, non istruito, infedele.

 

Il Contitolare del trattamento

 

Il criterio “generale” per l’esistenza di una contitolarità del trattamento è la partecipazione congiunta di due o più soggetti alla determinazione delle finalità e delle modalità di un trattamento di dati personali: the why and how.

 

Ma non è così semplice risultando spesso complesso nella pratica individuare la sottile linea che corre tra titolarità autonoma e contitolarità.

 

La determinazione congiunta delle finalità e dei mezzi può avvenire o mediante una decisione comune oppure mediante decisioni convergenti ove le decisioni dei contitolari sono tra loro complementari e necessarie per l’esistenza del trattamento stesso, tale che senza l’uno il trattamento non sarebbe possibile e il trattamento di ciascun contitolare è inscindibile e inestricabilmente legato (inexitricably linked) a quello di altro/i contitolare/i.

 

Torna anche qui la distinzione tra mezzi essenziali e non essenziali dovendo il Contitolare del trattamento necessariamente decidere in ordine ai primi potendo lasciare margine di manovra sui secondi al Responsabile del trattamento.

 

Se manca la condivisione della finalità e dei mezzi essenziali non potrà esserci contitolarità ma vi saranno, se del caso, rapporti tra autonomi titolari o tra titolare e responsabile, non essendo sufficiente per qualificarsi come finalità del trattamento, e dunque per configurare contitolarità, la mera esistenza di un beneficio economico o commerciale comune tra le parti (punti 60 e 66 linee guida).

 

Questa ipotesi si verifica ad esempio nel caso di gestione congiunta di una piattaforma: l’utilizzo di un sistema o di un’infrastruttura comune di elaborazione dati non porta a qualificare le parti coinvolte come contitolari del trattamento, in particolare quando le operazioni di trattamento da queste effettuate sono separabili e possono essere eseguite anche da una sola parte senza l’intervento dell’altra, o ancora le parti presentino scopi propri.

 

Per comprendere se le decisioni possano essere considerate convergenti occorre chiedersi, afferma il Comitato, se il trattamento sarebbe possibile senza la partecipazione di entrambe le parti, oppure se il trattamento posto in essere sia inseparabile o inestricabilmente legato al trattamento dell’altra parte.

 

Ai sensi dell’art. 26 GDPR i contitolari del trattamento devono redigere un accordo interno (cd. accordo di contitolarità) e nonostante non venga esplicitamente indicata la forma che tale accordo dovrebbe avere (come invece ha prescritto espressamente per la nomina di responsabile del trattamento) l’EDPB raccomanda l’adozione di un atto scritto che vincoli le parti, anche in ossequio al principio di accountability.

 

Come specificato dall’EDPB, l’accordo deve contenere informazioni generali sul trattamento, in particolare sull’oggetto, lo scopo, il tipo di dati e le categorie di interessati (punto 173 linee guida) nonché le decisioni concordate, anche operative, affinché tutte le fasi del trattamento in contitolarità siano compliant rispetto al GDPR, individuando tra i contitolari, chi ha le competenze per garantire gli adempimenti privacy durante l’intero trattamento.

 

Il Responsabile del trattamento

Il Responsabile del trattamento, soggetto necessariamente distinto dal Titolare del trattamento, è definito all’art. 4 n. 8 del GDPR come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Anche il ruolo di Responsabile del trattamento, così come per il Titolare, si delinea in base alle attività concrete tenuto conto di uno specifico contesto: l’EDPB precisa quindi che qualora il servizio fornito non sia specificamente finalizzato al trattamento di dati personali o qualora il trattamento non costituisca un elemento chiave del servizio, il Responsabile potrebbe determinare autonomamente finalità e mezzi, e sarà quindi da considerare quale Titolare del trattamento in questione.

Per quanto riguarda il rapporto fra Titolare e Responsabile del trattamento l’EDPB ricorda come è necessario che il Responsabile presenti “garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”, suggerendo quindi ai Titolari del trattamento di tenere in considerazione l’affidabilità del fornitore del servizio, le conoscenze specifiche e la possibilità di esercitare un sufficiente grado di controllo sull’attività svolta dal Responsabile, equiparando tale verifica preliminare ad una valutazione del rischio.

L’accordo tra il Titolare e il Responsabile deve rispettare i requisiti essenziali di cui all’art. 28 del GDPR e, come suggeriscono le linee guida, adottare clausole standard (par. 7 e 8 art. 28 GDPR) in caso di squilibrio del potere contrattuale fra le due figure non potendo una condizione di questo tipo portare alla cieca accettazione di clausole non conformi alla normativa sulla protezione dei dati.

Condividi l'articolo:

By design e by default, senza dimenticarsi dell’accountability, il garante traccia le nuove linee guida per cookies compliant

Con la predisposizione delle nuove linee guida pubblicate in Gazzetta Ufficiale lo scorso 9 luglio, l’Autorità garante per la protezione dei dati personali si è posta l’obiettivo di rafforzare il potere di decisione degli utenti riguardo alla raccolta e all’uso dei loro dati personali durante la navigazione in rete.

Come annunciato lo scorso 10 luglio nel proprio comunicato dal Garante, nei prossimi sei mesi “i fornitori dei servizi della società dell’informazione di cui all’art. 1, paragrafo 1, punto (b) della Direttiva (EU) 2015/1535, nonché tutti i soggetti che comunque offrono ai propri utenti servizi online accessibili al pubblico attraverso reti di comunicazione elettronica o cui si riferiscano siti web che facciano impiego di cookie e/o altri strumenti di tracciamento” dovranno rendere le loro cookie policy conformi sì da non incorrere in trattamenti di dati personali illeciti passibili di sanzioni da parte dell’Autorità garante.

 

Il contesto normativo

La normativa di riferimento, ad oggi, è costituita dalla direttiva 2002/58/CE (c.d. Direttiva ePrivacy) e successive modifiche, recepita nel nostro ordinamento con il d.lgs. 30 giugno 2003, n. 196 (di seguito il Codice), dal Regolamento (UE) 2016/679 (il GDPR) e dal d.lgs 101/2018 che nel recepire la disciplina del GDPR ha modificato alcune parti del Codice.

L’entrata in vigore del Regolamento ha imposto un coordinamento fra le disposizioni delle varie fonti normative nazionali e comunitarie: per la parte della potenziale sovrapposizione fra norme della direttiva ePrivacy e del Regolamento prevarrà sempre la prima in virtù non solo del rapporto di genus a species sussistente fra le due fonti normative, ma anche alla luce di quanto disposto dall’art. 1, par. 2 della Direttiva stessa.

Viene quindi specificato nelle linee guida che “la disciplina di carattere speciale applicabile alla specie non contempla ulteriori basi giuridiche che rendano legittimo il trattamento se non in presenza del consenso dell’interessato ovvero al ricorrere di una delle ipotesi di deroga rispetto all’obbligo della sua raccolta previste proprio da tale disciplina speciale”.

 

La funzione dei cookie e gli altri strumenti di tracciamento

È bene ricordare che i cookie sono dei file testuali in grado di tracciare e memorizzare alcune informazioni sull’utente durante la sua navigazione in rete.

I dati raccolti, come ad esempio le attività su un sito, la cronologia di navigazione, gli acquisti e le preferenze, l’indirizzo IP e la posizione geografica dell’internauta vengono “catturati” dai cookie tecnici e dai cookie di profilazione e possono essere utilizzati non solo per finalità di marketing (il c.d. behavioural advertising) ma anche per finalità connesse all’operatività dei siti web.

I cookie sono uno strumento di tracciamento ricompreso nella categoria degli identificatori “attivi” e quanto a quelli di profilazione l’utente deve trovarsi nella piena facoltà di scegliere, prestando o meno il proprio consenso, se sottoporsi all’attività di profilazione prevedendo inoltre la possibilità di rimuovere autonomamente i cookie archiviati all’interno del proprio dispositivo.

L’altra categoria di strumenti di tracciamento, c.d. identificatori passivi, registra le informazioni senza però archiviarle sul dispositivo dell’utente che quindi non è messo nella condizione di poter intervenire autonomamente sulle informazioni raccolte.

Un esempio di tracciamento di questo tipo è il c.d. fingerprinting che permette l’identificazione del dispositivo utilizzato dall’utente tramite la raccolta di tutte o di parte delle informazioni relative alla configurazione specifica del dispositivo adottata dal titolare.

Come appena accennato e come precisato anche nelle nuove linee guida, i cookie vanno distinti per funzionalità, finalità e quindi prescrizioni normative applicative, in cookie tecnici e cookie di profilazione.

Mentre i primi vengono utilizzati solamente al fine di “ effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice), i secondi, tramite la raccolta di specifici dati relativi al tipo di attività svolta sul web, vengono utilizzati per la personalizzazione del servizio erogato dalla piattaforma su cui si trova l’utente.

La distinzione è di particolare rilevanza per l’individuazione degli obblighi gravanti sul titolare del trattamento che nel caso di cookie o altri identificatori puramente tecnici sarà tenuto solamente a fornire l’informativa essendo esentati dal dover raccogliere specifico consenso dell’interessato.

Nel caso invece di strumenti di tracciamento o cookie per finalità diverse da quelle tecniche, i dati dell’utente potranno essere raccolti ed utilizzati esclusivamente previa acquisizione del suo consenso.

Nelle Linee guida si precisa che la categoria di cookie e strumenti di tracciamento di natura “non tecnica” vada intesa nel senso ampio che pervade la normativa di generale proibizione del trattamento dei dati salvo eccezioni restrittivamente codificate.

 

Le novità in tema di “scrolling” e di cookie wall

Nel confermare quanto già previsto in tema di acquisizione del consenso online nelle precedenti linee guida del 2014, il Garante ha ritenuto però di precisarne la disciplina in osservanza del regime di accountability introdotto dall’art. 5, par. 2, del Regolamento.

Sul tema rileva il considerando 32 del Regolamento secondo cui il consenso “dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale”.

L’European Data Protection Board (EDPB) è già intervenuto in materia con il parere n. 5/2020 precisando che il semplice scrolling – condotta usuale di un utente che approdi su una pagina web e che voglia “scorrerla” in visione – non è mai idoneo di per sé ad esprimere la manifestazione di volontà dell’interessato all’accettazione di cookies non tecnici.

Nel fare suo tale rilievo, il Garante ha stabilito che il semplice “scroll down” del cursore al fine di navigare sull’intera pagina web non è adatto alla raccolta, da parte del titolare, di un consenso idoneo all’installazione di cookies di profilazione o di altri strumenti di tracciamento non potendo escludere però che tale azione se inserita come parte di una più ampia sequenza possa portare ad una manifestazione consapevole dell’accettazione all’uso di cookie.

Conclusione a cui il Garante arriva anche in ossequio al predetto principio di accountability per cui viene riconosciuto al titolare del trattamento autonomia nell’identificazione delle soluzioni più appropriate per adeguarsi al dettato normativo che prevede necessariamente che il consenso prestato dall’utente non corrisponda ad un evento informatico equivoco.

Il c.d. cookie wall – il meccanismo per cui l’utente viene obbligato ad esprimere il proprio consenso per poter accedere al sito – secondo le nuove Linee guida è da ritenersi tendenzialmente illecito poiché contrastante con quanto previsto all’art. 4, punto 11 del Regolamento cioè il requisito della “libertà del consenso” che però fa salva la possibilità di verificare caso per caso se il titolare del trattamento mette a diposizione all’interessato la possibilità di accedere ad un contenuto o a un servizio equivalente senza prestare il proprio consenso all’installazione e all’uso di cookie o altri strumenti di tracciamento.

 

La reiterazione della richiesta di consenso

Sempre partendo dalla constatazione delle prassi fin qui adottate dagli utilizzatori di cookie, il Garante ha concentrato le sue mire censorie anche contro la riproposizione eccessiva del banner per l’acquisizione del consenso all’uso dei cookie di profilazione, malgrado l’utente l’abbia in precedenza negato, laddove è suscettibile di lederne la libertà inducendolo a prestarlo pur di proseguire liberamente nella navigazione.

L’indicazione generale correttiva prescritta dal Garante prevede, quindi, che la scelta dell’utente (di diniego o di consenso alla profilazione tramite cookie) dovrà essere debitamente registrata e la prestazione del consenso non più reiteratamente richiesta all’utente ad ogni accesso o con cadenza ravvicinata se non in tre casi:

–        nell’eventualità di mutamento significativo delle condizioni di trattamento;

–        quando sia impossibile per il gestore del sito web avere memoria delle preferenze già espresse in occasione in una successiva visita da parte dell’utente (un esempio è il caso in cui l’utente decida di cancellare dal proprio dispositivo i cookie legittimamente installati);

–        nel caso in cui siano trascorsi almeno sei mesi dalla precedente presentazione del banner.

Modalità di acquisizione del consenso

Viene confermato il meccanismo di acquisizione del consenso così come descritto nelle precedenti Linee guida con qualche specificazione.

Per impostazione predefinita, al momento del primo accesso dell’utente, nessun cookie o altro strumento di tracciamento, ovviamente diverso da quelli tecnici, deve essere posizionato all’interno del dispositivo con il chiaro divieto di utilizzare tecniche di tracciamento passivo.

Ciascun titolare del trattamento potrà poi scegliere le modalità che ritiene più idonee a raccogliere il consenso, tuttavia, il Garante suggerisce l’adozione di un modello condiviso che prevede, al momento del primo accesso, la visualizzazione da parte dell’utente di un banner evidente ma non invasivo che permetta l’espressione di un’azione positiva nella quale si deve sostanziare la manifestazione del consenso dell’interessato.

Qualora l’utente scelga di mantenere le impostazioni di default sarà quindi sufficiente chiudere il banner cliccando su una X posizionata in alto a destra del banner medesimo che oltre detto segno grafico dovrà contenere un’informativa minima sull’utilizzo dei cookie, il link alla privacy policy, un comando per l’espressione del consenso al posizionamento dei cookie e il link ad un area dedicata nella quale selezionare solamente le funzionalità e i cookie al cui utilizzo si intende acconsentire.

Gli utenti dovranno inoltre esse messi nella condizione di poter modificare le scelte compiute in ogni momento e in maniera di immediata comprensione prevedendo inoltre la possibilità di inserire nel footer di qualsiasi pagina web un’apposita area per la funzione “rivedi le tue scelte”.

 

I cookie analytics

Per quanto riguarda l’utilizzo di cookie per la valutazione dell’efficacia di un servizio, il Garante aveva già precisato che possono essere ricompresi nella categoria di quelli tecnici e quindi essere utilizzati in assenza della previa acquisizione del consenso dell’interessato sempre che si ricorra a misure, come ad esempio l’utilizzo dei cookie analytics ad opera di “terze parti” che prevedano la possibilità che lo stesso cookie sia riferibile a più dispositivi tale da creare incertezza sull’identità informatica dell’utente.

In quest’ottica le nuove Linee Guida impongono ai soggetti terzi, che forniscono al publisher il servizio di web measurement, di non combinare i dati, anche così minimizzati, con altre elaborazioni né trasmetterli a loro volta ad ulteriori terzi, pena l’inaccettabile incremento dei rischi di identificazione dell’utente.

Inoltre, “È tuttavia possibile reputare lecito il ricorso ad analisi statistiche relative a più domini, siti web o app riconducibili al medesimo titolare purché questi proceda in proprio all’elaborazione statistica, senza in ogni caso che tali analisi si risolvano in una attività che, travalicando i confini di un mero conteggio statistico, assuma in realtà le caratteristiche di una elaborazione volta all’assunzione di decisioni di natura commerciale”.

 

Novità in materia di informativa

Nell’ottica di semplificare il reperimento di informazioni sul trattamento dei dati, il Garante propone la possibilità di sviluppare un modello di informativa dislocata su più livelli che quindi possa essere divulgata tramite più canali e modalità quali ad esempio interazioni vocali, chatbot e assistenti virtuali.

Infine, il Garante conclude sul rilievo della mancanza di un sistema universalmente accettato di codifica semantica dei cookie e degli altri strumenti di tracciamento auspicando al raggiungimento di tale obiettivo.

Al fine di fornire ai soggetti tenuti all’osservanza degli obblighi di legge quali meglio articolati nelle sue modalità pratico-operative il Garante ha approntato un efficace schema di sintesi dei punti salienti delle nuove Linee Guida.

Condividi l'articolo:

Di rating reputazionale e di algoritmi: il richiamo della Cassazione sulla necessità del consenso libero e ben informato.

Il ricorso sempre più sistematico ai sistemi di intelligenza artificiale per l’elaborazione ed il trattamento di dati personali impone l’osservanza delle prescrizioni in ambito privacy.

L’intelligenza artificiale, infatti, si esplica attraverso il ricorso ad algoritmi il cui funzionamento, essendo altamente complesso, rende altamente probabile che l’utente, interessato dal trattamento dei propri dati personali, possa non avere le competenze e le corrette ed esaustive informazioni per comprendere le implicazioni.

La non conoscibilità del tipo di trattamento dei dati personali, declinandosi nella lesione del principio della trasparenza da osservarsi per il trattamento dei dati, non può che determinare l’illiceità stessa del trattamento.

A tal proposito si è recentemente espressa la Suprema Corte di Cassazione, I sezione civile, con ordinanza n. 14381/2021 del 24 marzo 2021 e pubblicata lo scorso 25 maggio.

La questione posta al vaglio della prima sezione della Suprema Corte dall’Autorità Garante per la protezione dei dati personali (il Garante della Privacy) ha ad oggetto i requisiti di liceità del consenso prestato dall’utente in relazione a servizi di cd. rating reputazionale, ossia al ricorso ad un algoritmo che permette di acquisire e riunire sistematicamente informazioni dettagliate su onestà, abilità, competenze e meriti di una persona fisica o giuridica.

In sintesi, attraverso il rating reputazionale si misura il grado di fiducia meritato da una persona, sia essa fisica o giuridica.

Il Garante della Privacy ha proposto ricorso avverso la decisione del Tribunale di Roma che aveva parzialmente accolto il ricorso di una ONLUS per l’annullamento di un provvedimento con il quale lo stesso Garante aveva disposto il divieto di qualunque operazione di trattamento dei dati personali effettuata dalla Onlus per servizi aventi il fine di contrastare fenomeni basati sulla creazione di profili cd. “fake”, dunque artefatti e comunque inveritieri, calcolandone il cd. rating.

Il Tribunale accoglieva parzialmente il ricorso della Onlus, annullando il provvedimento del Garante della Privacy, non condividendo le ragioni di illiceità del trattamento della piattaforma ravvisate dal Garante stante l’assenza di una idonea cornice normativa, pur essendo tale sistema di rating potenzialmente idoneo ad incidere sulla rappresentazione economica e sociale di un’ampia categoria di soggetti.

Lo stesso Tribunale faceva tuttavia salva l’efficacia del divieto nella parte in cui l’attività di riferiva a dati personali di soggetti terzi, non associati alla Onlus.

I motivi per i quali il Garante ha impugnato la statuizione resa dal Tribunale di Roma riguardavano essenzialmente la non conoscibilità da parte dei soggetti titolari dei dati personali trattati dell’algoritmo utilizzato per l’assegnazione del punteggio di rating, con conseguente mancanza del necessario requisito di trasparenza funzionale a rendere consapevole il consenso prestato dall’interessato.

La Corte ha precisato che, ai fini della liceità del trattamento basato sul consenso, ai sensi dell’art. 23 D. Lgs. 196/2003 (il Codice Privacy), tale consenso non sia da intendersi sic et simpliciter quale espressione di autonomia del privato, bensì quale consenso validamente prestato.

Tale consenso può dirsi tale solo se espresso liberamente e specificamente rispetto ad un trattamento “chiaramente individuato”.

Nel caso di specie, la liceità del trattamento basato sulla serietà della manifestazione del consenso avrebbe dovuto coincidere con la conoscibilità del meccanismo di funzionamento dell’algoritmo di rating. La scarsa trasparenza di quest’ultimo, seppur individuata nelle argomentazioni del Tribunale, non era stata adeguatamente valorizzata, sulla base della considerazione che “spetterebbe al mercato stabilire l’efficacia e la bontà del risultato, ovvero del servizio prestato dalla piattaforma”, in virtù della bontà del risultato o del servizio prestato.

Deve rilevarsi il diritto dell’individuo a non essere oggetto di una decisione basata esclusivamente su un trattamento automatizzato che produce effetti giuridici che lo riguardano in modo significativo, come sancito dall’art. 22 del GDPR. Questa disposizione, pur riferendosi alla profilazione, definita a grandi linee all’art. 4 del GDPR quale forma di elaborazione dei dati volta a “valutare alcuni aspetti personali relativi a un individuo, in particolare per analizzare o prevedere questioni riguardanti le prestazioni lavorative, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, il luogo o i movimenti di quell’individuo” deve ritenersi espandibile anche al rating reputazionale, salvo opportuni adattamenti.

La sentenza del Tribunale di Roma è stata cassata con rinvio indicando il principio di diritto secondo il quale in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente con riferimento ad un trattamento chiaramente individuato.

Il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati.

L’intelligenza artificiale, quantomeno laddove tratti dati personali, deve quindi essere preventivamente intellegibile nelle sue implicazioni dall’intelligenza umana di chi è chiamato a prestare il consenso al trattamento dei suoi dati personali.

Condividi l'articolo:

Clausole contrattuali tipo e privacy: i nuovi strumenti adottati dalla Commissione Europea

In data 4 giugno 2021, con le Decisioni di esecuzione nn. 914 e 915 la Commissione Europea ha adottato due sets di clausole contrattuali tipo di protezione dei dati (note anche come model contractual clauses o standard contractual clauses) aventi ad oggetto rispettivamente la disciplina dei rapporti tra titolare e responsabile del trattamento e i trasferimenti di dati personali verso paesi terzi ed organizzazioni internazionali.

I sets di clausole adottati potranno essere utilizzati laddove il trattamento sia realizzato ai sensi del Regolamento UE 2016/679 (“GDPR”) o del Regolamento 2018/1725 (relativo a trattamenti da parte delle istituzioni, degli organi e degli organismi dell’Unione, di seguito “EUDPR”).

Il recente intervento rende opportuno soffermarsi sulla natura dello strumento in parola nonché sulla possibilità di utilizzo quale garanzia di trattamento dei dati personali in conformità alle disposizioni del GDPR e dell’EUDPR.

Quando si parla di clausole contrattuali tipo di protezione dei dati si fa riferimento ad un framework di disposizioni elaborate ed approvate da un soggetto terzo rispetto alle parti contraenti ed adottato da quest’ultime al fine di garantire tutele adeguate per il trattamento dei dati personali dell’interessato (colui i cui dati personali sono trattati).

Lo scopo delle clausole contrattuali tipo tra titolari e responsabili del trattamento di recente adozione è quello di dotare i medesimi di uno strumento unico nel panorama europeo per facilitare il rispetto delle disposizioni del GDPR e dell’EUDPR e per agevolare le negoziazioni tra le parti con riferimento ai contenuti degli atti di nomina a responsabile del trattamento.

Ciò non toglie che le parti, pur decidendo di adottare le clausole contrattuali tipo, possano aggiungere garanzie supplementari purché non contraddicano le clausole stesse e non pregiudichino i diritti degli interessati.

L’importanza di questo strumento è evidente se si considera che nella pratica commerciale non è infrequente il caso in cui un soggetto, per la fornitura/erogazione di un prodotto/servizio, si avvalga di collaboratori esterni che nell’esecuzione dell’incarico si trovano a trattare dati personali di titolarità del primo. Il titolare deve avere cura che i dati personali degli interessati siano trattati dal collaboratore esterno secondo i requisiti di cui all’art. 28 del GDPR (e 29 dell’EUDPR) nel rispetto dei diritti e delle libertà degli interessati.

Ecco allora che l’adozione delle clausole contrattuali tipo in commento consente sia al titolare che al responsabile del trattamento di garantire il rispetto delle prescrizioni del GDPR (e del Regolamento 2018/1725); fermo restando che le parti dovranno essere in grado di dimostrare la conformità delle operazioni di trattamento alle disposizioni contrattuali.

Si tratta del primo modello rilasciato in materia da un’istituzione comunitaria che seppur non di obbligatoria adozione da parte di titolari e responsabili renderà opportuno quanto meno un raffronto dei contratti attualmente in essere con l’archetipo elaborato dalla Commissione europea.

Quanto invece alle clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi – che sostituiscono quelle adottate sulla base della Direttiva 95/46/CE – sono volte ad assicurare l’adozione di adeguate garanzie in materia di protezione dei dati in conformità all’art. 46 del GDPR.

In altri termini, l’adozione delle predette clausole dovrebbe assicurare che i dati personali oggetto di trasferimento siano trattati con le garanzie applicabili all’interno dell’Unione europea.

Le clausole contrattuali tipo rappresentano uno degli strumenti utilizzabili da titolari e responsabili del trattamento per trasferire dati personali verso paesi terzi ed organizzazioni internazionali cui non sono applicabili le disposizioni del GDPR.

L’adozione di tale strumento, resosi quanto più necessario anche in seguito all’invalidazione della Decisione di Esecuzione n. 2016/1250 (c.d. scudo UE-USA per la privacy) che riconosceva l’adeguatezza dei trasferimenti di dati personali UE-USA, è volta a favorire la circolazione dei dati personali senza che ciò si traduca in una menomazione della tutela degli interessati e pertanto in una violazione dei principi del GDPR.

I principali elementi di novità delle clausole tipo in parola possono essere individuati come segue:

  • formulazione modulare da poter utilizzare per trasferimenti da titolare a titolare, da titolare a responsabile, da responsabile a responsabile e da responsabile a titolare;
  • possibilità di uniformarsi alle prescrizioni di cui all’art. 28 per la nomina di soggetti responsabili del trattamento senza dover negoziare un ulteriore specifico contratto;
  • obbligo dell’esportatore e dell’importatore di valutare se la legislazione del paese di destinazione rispetti le garanzie richieste dalle clausole tipo;
  • indicazione specifica delle misure di sicurezza tecniche ed organizzative adottate;
  • individuazione dell’Autorità di controllo competente: l’importatore accetta di sottoporsi alla giurisdizione di quest’ultima;
  • specifici obblighi dell’importatore in caso di accesso da parte di un’autorità pubblica.

I titolari e i responsabili del trattamento che attualmente stanno utilizzano il meccanismo delle clausole contrattuali tipo per il trasferimento internazionale di dati personali hanno a disposizione un periodo transitorio di 18 mesi dall’entrata in vigore della relativa Decisione di esecuzione della Commissione europea per adeguare i contratti alle nuove clausole tipo.

È opportuno sfruttare il periodo transitorio per verificare i rapporti contrattuali in essere che comportano il trasferimento di dati personali sulla base delle clausole contrattuali tipo sì da effettuare una transizione senza soluzione di continuità con i nuovi strumenti adottati dalla Commissione europea.

Come evidente le garanzie oggetto dei sets contrattuali di recente adozione dovranno essere parametrate e dettagliate con riferimento alle specificità dei singoli trattamenti e rapporti contrattuali tra titolare e responsabile e tra esportatore e importatore. Inoltre, le previsioni contrattuali dovranno essere concretamente implementate dal titolare e dal responsabile del trattamento sì da garantire l’adozione di misure tecniche ed organizzative idonee a tutelare la sicurezza dei dati personali degli interessati.

Condividi l'articolo:

Trattamento dei dati sanitari e Coronavirus. Le linee guida dell’European Data Protection Board.

Nel corso della 23esima assemblea plenaria tenutasi lo scorso 21 aprile, l’European Data Protection Board (EDPB) ha adottato due documenti contenenti rispettivamente le linee guida in materia di trattamento dei dati relativi alla salute per finalità di ricerca (Guidelines 03/2020) e le linee guida sull’uso dei dati di localizzazione e altri strumenti di tracciamento (Guidelines 04/2020, per la cui analisi si rinvia all’articolo consultabile a questo link) nel contesto dell’emergenza legata al COVID-19.

L’intervento dell’EDPB si è reso necessario al fine di valutare, regolare e contenere gli effetti che le misure adottate nella lotta contro il coronavirus hanno sui dati personali di tutti i cittadini dell’Unione Europea inevitabilmente coinvolti nell’emergenza sanitaria.

Le Guidelines 04/2020 si occupano segnatamente del trattamento dei dati sanitari e delle connesse tematiche giuridiche che assumono rilevanza nell’ambito della ricerca scientifica impegnata nello studio di soluzioni efficaci all’emergenza sanitaria in corso. Esse, in particolare, mirano a favorire l’attuazione di adeguate misure per la salvaguardia dei diritti degli interessati nonché il contemperamento di tali diritti con le rivendicate esigenze di sicurezza e salute pubblica anche nell’ottica di produrre risultati di ricerca il più rapidamente possibile.

L’EDPB parte dal presupposto che la disciplina del trattamento dei dati sanitari nel contesto dell’emergenza pandemica trova compiutamente fonte nel GDPR, che fornisce indicazioni con riguardo sia all’ambito di applicabilità delle norme, sia ai limiti del trattamento, sia – infine – alla derogabilità dei principi della protezione dei dati.

Preliminarmente, richiama la definizione di “dati relativi alla salute” prevista dall’art. 4, par. 15, del GDPR, secondo la quale essi consistono in “dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”. A tale definizione deve darsi ampia interpretazione, così come a quella di trattamento per finalità scientifica che deve ricomprendere, ai sensi del Considerando n. 159, lo sviluppo tecnologico e la dimostrazione, la ricerca fondamentale e quella applicata, la ricerca finanziata da privati e gli studi svolti nell’interesse pubblico nel settore della sanità pubblica.

Alla luce di quanto sopra, quando si fa riferimento al trattamento di dati relativi alla salute per finalità scientifica, devono tenersi in considerazione sia le ricerche svolte su dati personali raccolti direttamente e appositamente per scopi di studio scientifico (c.d. “uso primario”), sia quelle svolte su dati raccolti originariamente per scopi diversi dallo studio scientifico, ma successivamente destinati a quest’ultimo (c.d. “uso secondario”).

Tale distinzione assume particolare rilevanza con riferimento agli obblighi informativi del titolare del trattamento verso gli interessati. In particolare, egli è tenuto ai sensi dell’art. 13 del GDPR a informare l’interessato che i suoi dati sanitari vengono raccolti e trattati per finalità scientifiche; qualora, però, i dati sanitari vengano trattati per finalità scientifiche secondo l’uso secondario, il titolare è tenuto a fornire all’interessato l’informativa ai sensi dell’art. 14 del GDPR, specificando che sui suoi dati sanitari verrà effettuato un trattamento per finalità diverse da quelle per le quali erano stati raccolti. Tale informazione deve essere comunicata all’interessato entro un termine ragionevole, al più tardi entro un mese e possibilmente prima che il progetto di ricerca abbia avuto inizio.

In ogni caso è comunque sempre necessario che il trattamento dei dati sanitari sia svolto lecitamente in forza di una base giuridica. Tale può essere sicuramente il consenso, il quale tuttavia, ai sensi dell’art. 7, par. 3, del GDPR, può essere revocato in ogni momento dall’interessato, con la conseguenza che i ricercatori scientifici potrebbero dover essere costretti a interrompere immediatamente il trattamento e a perdere alcuni importanti dati di ricerca. Diversamente, non è necessario alcun consenso quando la liceità del trattamento per finalità scientifiche trova fondamento nelle basi giuridiche di cui all’art. 6, par. 1, lett. e) e lett. f) del GDPR, ovverosia quando i dati sensibili (quali sono quelli sanitari) sono trattati per l’esecuzione di un compito di interesse pubblico o per il legittimo interesse del titolare e quando, ai sensi dell’art. 9, par. 2, lett. i) e j), il loro trattamento sia dovuto a motivi di interesse pubblico per la protezione da gravi minacce alla salute pubblica a carattere transfrontaliero o a motivi di ricerca scientifica. In ogni caso il trattamento deve avvenire nel rispetto dei diritti e delle libertà degli interessati nonché della proporzionalità con la finalità perseguita.

Il GDPR prevede inoltre che i legislatori nazionali possano determinare con maggiore precisione ulteriori requisiti e misure di trattamento, sicché il titolare del trattamento deve tenere in considerazione anche gli ulteriori limiti eventualmente posti all’interno di ogni singolo Stato membro.

Ad ogni modo, le Linee Guida ribadiscono che il trattamento dei dati sanitari deve comunque rispettare i principi generali per la protezione dei dati personali, quali:

a) il principio di trasparenza e di informazione, in forza del quale il titolare del trattamento è tenuto a informare l’interessato dell’esistenza di un trattamento dei suoi dati sanitari per finalità scientifiche;

b) il principio della minimizzazione del trattamento dei dati personali, inclusa la pseudonimizzazione che, alla luce della sensibilità dei dati sanitari, deve essere sempre ricercata e adottata quando possibile;

c) il principio della limitazione della conservazione dei dati sanitari, tale per cui questi devono essere conservati per il periodo strettamente necessario al perseguimento delle finalità scientifiche e, con specifico riferimento alla situazione attuale, fino a quando sarà necessario per affrontare l’emergenza da coronavirus;

d) il principio di integrità e di confidenzialità dei dati personali sanitari, salvaguardato anche a mezzo di misure tecniche e organizzative che ne impediscano la dispersione.

Il titolare del trattamento deve pertanto agire nel massimo rispetto dei principi regolatori del trattamento dei dati personali e, qualora a fronte dell’emergenza sanitaria si renda necessario limitare i diritti degli interessati, deve curarsi che ciò avvenga nella misura strettamente indispensabile.

A tal fine, l’EDPB raccomanda fortemente che i titolari del trattamento di dati sanitari provvedano alla nomina di un responsabile della protezione dei dati personali e ad iscrivere accuratamente tutte le operazioni nel registro dei trattamenti. Evidenzia altresì l’opportunità per il titolare del trattamento di valutare il rischio connesso al trattamento dei dati relativi alla salute attraverso una DPIA.

Da ultimo, le Linee Guida analizzano il tema del trasferimento dei dati al di fuori dell’Area Economica Europea o ad organizzazioni internazionali. Tale eventualità è di stretta attualità nel contesto della pandemia da COVID-19, dove gli studi scientifici richiedono una circolazione dei dati a livello globale.

Il trasferimento dei dati a paesi terzi è sicuramente consentito in presenza della valutazione di adeguatezza da parte della Commissione Europea ex art. 45 del GDPR nonché quando il destinatario abbia fornito adeguate garanzie.

Senonché, può accadere che la circolazione dei dati coinvolga anche destinatari che non forniscano tali garanzie o paesi terzi per i quali non è stata effettuata la valutazione di adeguatezza. In tal caso occorre verificare se sussiste una delle eccezioni previste dall’art. 49 del GDPR. Secondo l’EDPB il trasferimento dei dati in funzione del contrasto all’emergenza sanitaria rientra tra una di queste e, in particolare, nel trasferimento necessario per importanti motivi di interesse pubblico. Tale eccezione, tuttavia, deve essere letta in modo restrittivo e non deve, pertanto, essere estesa oltre a quanto strettamente necessario per affrontare la pandemia.

In sintesi, le Guidelines 03/2020 dettano le indicazioni per il trattamento dei dati personali relativi alla salute per finalità di ricerca scientifica in conformità alle disposizioni del GDPR che risultano di per sé sufficienti a disciplinarlo anche nel contesto della pandemia da COVID-19. Il legislatore nazionale di ogni Stato membro è ad ogni modo autorizzato dal GDPR a predisporre misure più dettagliate per consentire il trattamento dei dati sanitari per fini di ricerca scientifica. Pertanto, le condizioni e la portata di tale trattamento variano a seconda delle leggi vigenti in ogni Stato membro, ma sempre nel rispetto dei principi ispiratori della normativa comunitaria.

Ciò che non può essere in alcun modo trascurato è la necessità che il trattamento dei dati sanitari per finalità di ricerca scientifica trovi fondamento in una delle basi giuridiche previste dall’art. 6 del GDPR e che rispetti i principi fondamentali a tutela dei diritti degli interessati, essendo le deroghe e le limitazioni ammesse solo nella misura strettamente necessaria.

Condividi l'articolo:

Quando la contrarietà al “buon costume” impedisce la registrazione del marchio UE? Una pronuncia della CGUE

All’esito del giudizio C-240/19 P, la Corte di giustizia dell’Unione Europea (“CGUE”), con sentenza del 27 febbraio 2020, si è pronunciata sulla nozione di “buon costume” quale impedimento assoluto alla registrazione di un marchio comunitario, con riferimento alla validità del segno distintivo “Fack Ju Göthe” (la “Sentenza”).

La nozione di buon costume riassume i canoni fondamentali di onestà, pudore e onore espressi dalla società in una data epoca. Il buon costume si atteggia come clausola generale in quanto il legislatore non specifica in cosa debbano concretamente tradursi questi canoni, ma lascia la loro concreta determinazione all’interprete. La scelta è consapevole, perché la morale muta e si evolve con il passare del tempo e la società di oggi può ritenere meritevoli di tutela atti che la società di ieri reputava contrari al buon costume, e viceversa.[1]

Pertanto la nozione di buon costume risulta individuabile, caso per caso, con riferimento alla contingenza storico/sociale e morale di una comunità.

Sul concetto di buon costume si è pronunciata altresì la giurisprudenza di legittimità.

Secondo la Suprema Corte: “La nozione di buon costume non si identifica soltanto con le prestazioni contrarie alle regole della morale sessuale o della decenza ma comprende anche quelle contrastanti con i principi e le esigenze etiche costituenti la morale sociale in un determinato ambiente e in un certo momento storico” (Cass. Civ., Sez. III, sent. n. 9941/2010).

E ancora: “La nozione di buon costume comprende in via generale tutti quei principi e tutte quelle esigenze etiche che costituiscono la morale sociale, a cui i consociati, complessivamente, uniformano i propri comportamenti, in un determinato contesto storico” (Cass. Pen., Sez. II sent. n. 14440/2007).

Ebbene, anche la CGUE con la Sentenza ha interpretato la nozione di buon costume quale assoluto impedimento alla registrazione di un marchio dell’Unione europea. Tale pronuncia conferma la relatività e la temporaneità del concetto di buon costume.

La ricorrente, Constantin Film Produktion GmbH, adiva la CGUE chiedendo l’annullamento della sentenza del 24 gennaio 2018 con cui il Tribunale dell’Unione Europea (T-69/17) respingeva il ricorso volto all’annullamento della decisione della V Commissione di ricorso dell’Ufficio dell’Unione europea per la proprietà intellettuale (“EUIPO”) relativo alla registrazione del segno distintivo “Fack Ju Göthe” contestando anzitutto l’erronea interpretazione dell’art. 7, comma 1, lett. f) del Regolamento n. 207/2009 (il “Regolamento”).

La norma dispone che “sono esclusi dalla registrazione (…) f) i marchi contrari all’ordine pubblico o al buon costume”.

I prodotti e i servizi per i quali è stata chiesta la registrazione rientrano nelle classi 3, 9, 14, 16, 18, 21, 25, 28, 30, 32, 33, 38 e 41 ai sensi dell’Accordo di Nizza del 15 giugno 1957.

Il segno denominativo “Fack Ju Göthe” corrisponde peraltro al titolo di una commedia cinematografica tedesca di grande successo. La componente “Fack Ju”, foneticamente simile e dal significato analogo all’espressione inglese “Fuck you”, era stata ritenuta intrinsecamente volgare, idonea a turbare il pubblico di riferimento e, pertanto, contraria al buon costume.

A tale proposito, la CGUE rileva che la percezione della citata espressione inglese da parte del pubblico germanofono non è necessariamente identica alla percezione che ne ha il pubblico anglofono, poiché la sensibilità nella lingua madre è potenzialmente maggiore rispetto a quanto avviene in una lingua straniera.

Nell’esaminare i motivi del ricorso, la CGUE, dopo aver rilevato l’assenza di una nozione di ordine pubblico nel Regolamento, afferma che tale concetto deve essere interpretato alla luce del suo significato abituale e del contesto in cui esso è generalmente utilizzato.

Secondo la CGUE, la valutazione di un segno di cui è richiesta la registrazione come marchio dell’Unione europea volta a verificarne la contrarietà al buon costume nell’ambito dell’art. 7, comma 1, lett. f) del Regolamento richiede l’analisi di tutti gli elementi specifici del caso. Dovendosi intendere la percezione del pubblico di riferimento in rapporto ai valori morali della società in un dato momento storico.

A tal fine occorre considerare tutti gli elementi allegati dal richiedente a dimostrazione del fatto che il segno distintivo non sia percepito dal pubblico come contrario ai canoni fondamentali di onestà, pudore e onore espressi dalla società.

L’analisi del segno denominativo “Fack Ju Göthe”, al fine di valutarne l’eventuale contrarietà al buon costume, non può pertanto prescindere dall’esame degli elementi idonei a chiarire la percezione che dello stesso ha il pubblico di riferimento, quello germanofono dell’Unione ossia segnatamente quello di Germania e d’Austria.

La CGUE rileva come nel caso di specie il Tribunale dell’Unione Europea abbia omesso di considerare gli elementi in grado di chiarire il modo in cui il pubblico di riferimento percepisce il marchio stesso.

Come sottolineato infatti dall’avvocato generale (§ 94 delle sue conclusioni) tra questi elementi rilevano: il successo riscosso dall’omonima commedia presso il grande pubblico, la circostanza che il suo titolo non sembra aver dato adito a controversie, il fatto che sia stato autorizzato l’accesso del pubblico giovane alla visione della commedia e che il Goethe Institut utilizzi la commedia a fini pedagogici.

Dai predetti elementi, a giudizio della CGUE, è possibile desumere che il pubblico germanofono non percepisce il segno denominativo “Fack Ju Göthe” come moralmente inaccettabile e come tale incompatibile con il buon costume.

La CGUE ha accolto il primo motivo d’impugnazione volto a censurare l’erronea interpretazione ed applicazione dell’art. 7, comma 1, lett. f) del Regolamento compiuta dal Tribunale dell’Unione Europea, senza che fosse necessario esaminare gli ulteriori motivi dedotti dal ricorrente a sostegno dell’impugnazione.

Il giudizio del Tribunale dell’Unione Europea non doveva basarsi, come indicato dalla CGUE, su un giudizio meramente astratto sulla contrarietà al buon costume ai fini della registrabilità del segno “Fack Ju Göthe”.

La CGUE conclude statuendo l’annullamento della sentenza del Tribunale dell’Unione europea del 24 gennaio 2018 (T-69/17), della decisione della V Commissione di ricorso dell’EUIPO (procedimento R 2205/2015-5) e condannando l’EUIPO a supportare le spese sostenute dalla Constantin Film Produktion GmbH relative ai due gradi di giudizio.

In conclusione, non è possibile tracciare delle linee guida generali tali da poter sistematicamente verificare l’idoneità di un segno distintivo a non essere contrario al concetto di buon costume di cui dell’art. 7, comma 1, lett. f) del Regolamento stante la relatività e la temporaneità di tale principio. Occorre effettuare una valutazione caso per caso di tutti gli elementi specifici per stabilire in che modo il pubblico di riferimento percepisca un segno potenzialmente contrario al buon costume qualora esso sia utilizzato come marchio per i prodotti o i servizi che sono oggetto della domanda di registrazione.

 

[1] Treccani Enciclopedia Online, cfr. “buon costume”.

Condividi l'articolo:

Il principio di minimizzazione del trattamento dei dati personali nei contratti bancari

La Corte di Cassazione si è recentemente pronunciata con due importanti sentenze in materia di privacy, con le quali ha approfondito il tema della minimizzazione del trattamento dei dati personali con specifico riferimento ai contratti bancari.

Il principio di minimizzazione del trattamento dei dati personali è sancito dall’art. 5, comma 1, lett. c) del GDPR, in forza del quale “i dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

Tale principio assume particolare rilevanza quando si parla di contratti tra professionisti e consumatori; ma ciò vale ancor di più quando si tratta di contratti – come quelli bancari – che possono richiedere il trattamento di dati particolarmente sensibili.

La Cassazione ha pertanto ritenuto opportuno pronunciarsi dettagliatamente sul tema al fine di risolvere le questioni palesatesi soprattutto in relazione al contemperamento del principio di minimizzazione con quello dell’autonomia contrattuale.

Con la sentenza n. 26778/2019, la Suprema Corte ha cassato con rinvio la sentenza della Corte d’Appello di Genova che, confermando la sentenza di primo grado, aveva rigettato tutte le domande avanzate da un cliente di Deutsche Bank S.p.A., finalizzate a far accertare la responsabilità della Banca per aver “bloccato” l’operatività del proprio conto corrente bancario e del deposito titoli come conseguenza del fatto che quest’ultimo non aveva autorizzato l’istituto di credito al trattamento dei suoi dati sensibili.

La Corte d’Appello di Genova aveva affermato che la Banca, quale titolare del trattamento dei dati, nell’ambito della propria autonomia gestionale e contrattuale, non era soggetta a particolari limitazioni di legge e, pertanto, aveva legittimamente ritenuto necessario, per una completa e migliore gestione dei rapporti con la clientela, acquisire anche i dati sensibili.

La pretesa legittimità della decisione della Banca aveva trovato altresì la sua fonte nell’informativa privacy rilasciata al cliente all’atto della sottoscrizione del contratto, nella quale era esplicitamente specificato che, in caso di mancata autorizzazione al trattamento dei dati sensibili, la Banca non avrebbe potuto dar corso alle operazioni richieste dal correntista. Tali condizioni contrattuali furono liberamente sottoscritte dal cliente.

Il cliente ricorreva in Cassazione sollevando le seguenti questioni:

  • il consenso al trattamento dei dati personali è validamente prestato solo se espresso liberamente e, pertanto, obbligare il cliente a rilasciare il consenso al trattamento dei dati sensibili con la prospettazione di bloccare, in caso contrario, il conto corrente o il deposito titoli, rientra nelle forme di pressione non consentite dall’autonomia contrattuale;
  • in forza dei principi di pertinenza e di non eccedenza, non è conforme alle norme sulla privacy obbligare l’altro contraente a rilasciare il consenso ai dati sensibili, senza che ciò corrisponda ad alcun bisogno, prospettando, diversamente, la mancata esecuzione delle operazioni bancarie;
  • le condizioni di contratto indicavano come necessario solo il consenso relativo ai dati personali.

La Suprema Corte ha accolto i motivi di impugnazione del ricorrente, affermando che la clausola con cui la Banca aveva subordinato l’esecuzione delle proprie operazioni al rilascio del consenso al trattamento dei dati sensibili contrastava indubitabilmente con il principio di minimizzazione del trattamento dei dati personali. Le norme sulla privacy, infatti, hanno natura di norma imperativa, e non possono essere derogate dall’autonomia privata in quanto poste a tutela di interessi generali, di valori morali e sociali incardinati nell’ordinamento, e finalizzate al rispetto dei diritti e delle libertà fondamentali, quali la dignità, la riservatezza, l’identità personale, la protezione dei dati personali.

Il principio in esame deve essere, a maggior ragione, rispettato anche nel trattamento dei dati sensibili, oggi denominati “dati particolari” dall’art. 9 del GDPR, intendendosi per tali, i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

A tal riguardo, la Banca aveva richiesto i dati personali sensibili a scopo cautelativo, onde evitare di doverli chiedere al cliente ogniqualvolta si fosse manifestata la necessità di reperirli. Secondo la Corte, la richiesta della Banca, oltre ad essere manifestamente pretestuosa, era in palese contrasto con il principio di minimizzazione in quanto i dati richiesti erano non pertinenti, non indispensabili ed eccedenti in modo evidente le finalità per cui erano stati trattati e raccolti.

Inoltre, la Banca, di fronte al rifiuto del cliente di sottoscrivere il consenso al trattamento dei dati sensibili, avrebbe dovuto, ove avesse voluto essere coerente, rifiutarsi di instaurare il rapporto contrattuale e non invece, come effettivamente avvenuto, consentire al cliente di aprire il conto e di operare sullo stesso per un certo periodo di tempo, salvo poi “bloccarlo” per una causa di cui era già pienamente consapevole all’atto dell’apertura del conto stesso.

Alla luce di quanto sopra, la Cassazione ha dichiarato affetta da nullità, in quanto contraria a norme imperative ex art. 1418 c.c., la clausola con cui la Banca aveva subordinato l’esecuzione delle operazioni bancarie al consenso del cliente al trattamento dei propri dati sensibili.

Anche con la sentenza n. 34113/2019 la Suprema Corte ha inteso riaffermare il principio della minimizzazione del trattamento dei dati personali in materia di contratti bancari.

Nello specifico, un cliente del Banco di Napoli S.p.A. aveva lamentato la violazione della normativa sulla privacy da parte della Banca, la quale, dopo aver pignorato un immobile di sua proprietà, posto a garanzia del contratto di mutuo cui lo stesso cliente si era reso inadempiente, aveva ceduto il proprio credito a un terzo soggetto privato, cui aveva altresì ceduto contestualmente alcuni dati personali sensibili del cliente debitore, quali quelli relativi alla sua esposizione debitoria e alla sua abitazione.

La Cassazione ha affermato che il trattamento delle informazioni personali effettuato nell’ambito dell’attività di recupero crediti è lecito anche con riguardo ai dati sensibili. Ciononostante, è necessario che tale trattamento avvenga nel rispetto del principio di minimizzazione, dovendo essere utilizzati solo i dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono raccolti e trattati.

A tal fine occorre che chi lamenta la violazione delle norme sulla privacy debba dare dimostrazione del fatto che il trasferimento dei dati non fosse necessario per le finalità connesse al recupero del credito. Non può infatti ritenersi che la Banca sia incorsa nella violazione della legge sulla privacy solo perché abbia fornito ai soggetti acquirenti del credito informazioni – anche sensibili – riguardanti il debitore, ove non venga fornita prova che la comunicazione a terzi sia avvenuta in violazione del principio di minimizzazione.

Nel caso di specie, il ricorrente aveva lamentato la rivelazione da parte della Banca di dati c.d. sensibili concernenti la sua persona, ma non aveva indicato espressamente quali né aveva provato la violazione del criterio della minimizzazione nell’uso dei dati personali.

La Corte ha pertanto respinto il ricorso.

Concludendo, con tali pronunce la Cassazione ha confermato e ribadito la fondamentale rilevanza del principio di minimizzazione del trattamento dei dati personali, elevandolo a valore di rango costituzionale primario che trascende il principio dell’autonomia negoziale privata, il quale, pur essendo anch’esso costituzionalmente riconosciuto e tutelato, è destinato a cedere di fronte alla tutela della riservatezza.

Tuttavia, la tutela di tale principio non esclude l’onere della prova a carico di chi ne lamenta la violazione, essendo costui tenuto a dimostrare sia che la lesione abbia riguardato effettivamente dati sensibili sia che l’utilizzo dei dati personali fosse non indispensabile, non pertinente e sproporzionato rispetto alle finalità di trattamento per le quali erano stati raccolti.

Condividi l'articolo: