NOTA IMPORTANTE: Il presente documento è aggiornato al mese di agosto 2021. Il contenuto di questo elaborato ha valore meramente informativo e non costituisce, né può essere interpretato, quale parere professionale sugli argomenti in oggetto. Per ulteriori informazioni si prega di contattare Paolo Gallarati, Ilaria Todaro e Sante Ricci.
Come noto, l'Autorità Garante per la protezione dei dati personali (di seguito, il “Garante” o l’“Autorità”), in data 2 luglio u.s., ha presentato la relazione sull’attività svolta nel primo anno di mandato del nuovo collegio (di seguito, la “Relazione”).
La Relazione ha illustrato i diversi fronti sui quali è stata impegnata l'Autorità nel corso di un anno caratterizzato ancora dall’impatto dell’emergenza sanitaria legata al Covid-19 su tutti i settori della vita nazionale e dal massiccio ricorso a piattaforme on-line.
La necessità di assicurare, da una parte, un funzionale trattamento dei dati - in particolare di quelli sulla salute - e, dall’altra, il rispetto dei diritti delle persone, ha visto il Garante impegnato in una costante opera di bilanciamento dei diritti, con particolare riguardo ad alcuni ambiti, tra cui, a titolo esemplificativo: le app di contact tracing; l’effettuazione dei test sierologici; la raccolta dei dati sanitari; il “green pass”; l’attivazione dei sistemi di didattica a distanza; il processo amministrativo e tributario da remoto.
Tra i temi di maggiore interesse, di seguito, si riporta una breve sintesi su quanto adottato dal Garante riguardo al settore bancario e finanziario, alla sicurezza dei luoghi di lavoro, allo smart working, al trattamento dei dati personali effettuato mediante sistemi di video sorveglianza e, infine, allo svolgimento di attività di marketing.
Il Garante ha rilevato un notevole afflusso di segnalazioni, reclami, quesiti e richieste di parere relativi ai trattamenti di dati personali effettuati da banche, società finanziarie, sistemi di informazione creditizia gestiti da soggetti privati, Centrale dei rischi pubblica gestita dalla Banca d’Italia e Centrale di allarme interbancaria.
In particolare, numerose richieste hanno riguardato il trattamento dei dati personali effettuato in occasione delle operazioni di identificazione e adeguata verifica della clientela prescritte dalla normativa vigente in materia di antiriciclaggio e antiterrorismo.
A tale riguardo, l’Autorità è tornata a ribadire che tutte le categorie di soggetti obbligate ai sensi della vigente normativa di settore devono sia identificare l’interessato ed effettuare la cd. adeguata verifica prima di stipulare qualsiasi rapporto contrattuale o effettuare operazioni occasionali, sia eseguire una serie di interventi, tra cui il monitoraggio e il controllo continuativo del rapporto pendente. L’identificazione del cliente prevede la consegna di copia di un valido documento d’identità dell’interessato, mentre l’adeguata verifica richiede l’acquisizione di dettagliate informazioni e di specifica documentazione (anche sull’attività lavorativa svolta e sulla situazione economica e patrimoniale), variabile a seconda delle modalità in concreto adottate (verifica semplificata, ordinaria o rafforzata).
Sempre numerosi sono stati i reclami e le segnalazioni in materia di esercizio dei diritti degli interessati, con specifico riguardo al diritto di accesso ai dati personali. In linea con il consolidato orientamento dell’Autorità in materia, è stato precisato che l’accesso ai dati personali è altro rispetto all’accesso ai documenti bancari disciplinato dall’art. 119, d.lgs. 1° settembre 1993, n. 385 (Testo unico delle leggi in materia bancaria e creditizia); le istanze di accesso ai dati, pertanto, non devono tendere all’acquisizione di copia di documenti bancari, non possono riguardare dati di terzi e devono conformarsi alla disciplina in materia di protezione dei dati (in specie, agli articoli 12 e ss. del Regolamento (UE) 2016/679, di seguito “GDPR”).
Un’attenzione particolare è stata prestata alle problematiche legate alla sicurezza dei luoghi di lavoro (pubblici e privati) e ai connessi trattamenti di dati relativi al personale, a utenti, clienti e fornitori in ossequio a quanto previsto dal Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro, sottoscritto inizialmente il 14 marzo 2020 fra il Governo e le parti sociali ed aggiornato il 24 aprile 2020, il cui impianto regolatorio è stato poi confermato dall’art. 2, D.P.C.M. 13 ottobre 2020, da ultimo aggiornato il 6 aprile 2021.
In tale occasione è stato precisato che la rilevazione della temperatura corporea del personale per l’accesso ai locali e alle sedi aziendali rientra tra le misure per il contrasto alla diffusione del virus che trovano applicazione anche nei confronti delle categorie di soggetti citati, ove per questi ultimi non sia stata predisposta una modalità di accesso separata. Non è poi ammessa la registrazione del dato relativo alla temperatura corporea rilevata, bensì, nel rispetto del principio di “minimizzazione”, la registrazione della sola circostanza del superamento della soglia stabilita dalla legge, in particolare quando sia necessario documentare le ragioni che hanno impedito l’accesso al luogo di lavoro.
E’ stato rammentato che tra le misure di prevenzione e contenimento del contagio che i datori di lavoro devono adottare, vi è la preclusione dell’accesso alla sede di lavoro a chi, negli ultimi 14 giorni, abbia avuto contatti con soggetti risultati positivi al Covid-19 o provenga da zone a rischio secondo le indicazioni dell’OMS.
Il Garante ha altresì ribadito che il datore di lavoro non può rendere nota l’identità del dipendente risultato affetto da Covid-19 agli altri lavoratori. Inoltre, considerate le notizie di stampa in merito al ricorso, anche da parte di grandi società, ad applicativi preordinati al contenimento del rischio di contagio da Covid-19, il 6 luglio 2020 il Garante ha pubblicato sul proprio sito istituzionale ulteriori FAQ.
L’Autorità è tornata a pronunciarsi sulle condizioni di liceità dei trattamenti dei dati personali dei lavoratori effettuati mediante dispositivi tecnologici utilizzati per rendere la prestazione lavorativa.
In particolare, l’Autorità si è pronunciata sul caso di una società che, cessato il rapporto di lavoro con un dipendente, avvalendosi dell’amministratore di sistema, aveva effettuato una ricerca sulle e-mail contenute nell’account aziendale (di tipo individualizzato) assegnato al medesimo e conservate sul server aziendale per oltre un anno. Alcune e-mail erano state così utilizzate per avviare un procedimento in sede giurisdizionale, mentre le altre risultavano ancora conservate dalla società in vista di futuri, possibili contenziosi. In proposito il Garante ha accertato, in primo luogo, che la società non aveva informato l’interessato, prima dell’inizio dei trattamenti, che tutte le e-mail in transito sull’account aziendale sarebbero state conservate sul server anche al fine di poter disporre controlli sul loro contenuto. Tale trattamento è stato dichiarato illecito in relazione agli artt. 12 e 13 del GDPR, in base ai quali il titolare è tenuto a fornire preventivamente all’interessato tutte le informazioni relative alle caratteristiche essenziali del trattamento. Come più volte ricordato dall’Autorità, infatti, nell’ambito del rapporto di lavoro, l’obbligo di informare il dipendente costituisce espressione del principio generale di correttezza dei trattamenti (v. art. 5, par. 1, lett. a), del GDPR).
Inoltre, l’Autorità ha anche accertato che la sistematica conservazione sul server aziendale delle e-mail in entrata e in uscita (sia dei dati esterni che del loro contenuto) per un ampio arco temporale, il successivo accesso della società ai dati raccolti nel corso dell’attività lavorativa – attraverso un’indagine interna effettuata a posteriori volta a verificare possibili “acquisizioni fraudolente, utilizzazione indebita o rivelazione di segreti” -, nonché l’accesso ad informazioni relative alla vita privata del lavoratore non rilevanti ai fini della valutazione dell’attitudine professionale dello stesso, hanno comportato la violazione degli artt. 113 e 114 del D.Lgs. 196/2003, come novellato dal D.Lgs. 101/2018 (di seguito, il “Codice Privacy”), disposizioni rientranti tra le norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”, richiamate dall’art. 88 del GDPR.
Il Garante si è anche pronunciato sul regolamento interno relativo all’uso della posta elettronica aziendale adottato dalla società nel corso di un procedimento, stabilendo che la sistematica conservazione, ivi prevista, per 12 mesi di tutte le e-mail presenti sull’account aziendale, in costanza del rapporto di lavoro, in vista di futuri possibili contenziosi, non è conforme ai principi di minimizzazione dei dati e di limitazione della conservazione (art. 5, par. 1, lett. c) ed e), del GDPR). Medesima valutazione è stata riservata alla prospettata ulteriore conservazione per 6 mesi del contenuto della casella di posta elettronica dopo la cessazione del rapporto di lavoro in relazione al compimento di possibili illeciti. In tale occasione l’Autorità ha ribadito che il trattamento di dati personali effettuato per finalità di tutela dei propri diritti in giudizio deve riferirsi a contenziosi in atto o a situazioni precontenziose, non ad astratte e indeterminate ipotesi di possibile difesa o tutela dei diritti, posto che tale trattamento risulterebbe elusivo delle disposizioni sui criteri di liceità del trattamento.
Con riferimento, poi, alla rappresentata finalità di poter far fronte ad eventuali contestazioni da parte di clienti, fornitori e p.a., il Garante ha ribadito che la legittima necessità di assicurare la conservazione di documentazione necessaria per l’ordinario svolgimento e la continuità dell’attività aziendale è assicurata, in primo luogo, dalla predisposizione di sistemi di gestione documentale con i quali – attraverso l’adozione di appropriate misure organizzative e tecnologiche – individuare i documenti che nel corso dello svolgimento dell’attività lavorativa devono essere via via archiviati con modalità idonee a garantire le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità prescritte dalla disciplina di settore applicabile; caratteristiche che i sistemi di posta elettronica, per loro stessa natura, non consentono di assicurare.
L’Autorità ha ritenuto non conforme al GDPR la disattivazione dell’account di posta elettronica aziendale operata dal datore di lavoro durante il periodo di malattia del lavoratore interessato. All’esito dell’istruttoria avviata a seguito di un reclamo è infatti emerso che tale operazione non costituiva applicazione di (asserite) procedure di sicurezza standard. Ciò anche alla luce del fatto che l’informativa fornita non conteneva alcun riferimento alla possibilità per l’azienda di effettuare tale specifica modalità di trattamento per il raggiungimento di finalità legittime rese note preventivamente, come previsto in via generale dall’art. 13 del GDPR e, nello specifico contesto del rapporto di lavoro, in applicazione del principio generale di correttezza (ex art. 5, par. 1, lett. a), del GDPR). Il Garante ha quindi prescritto al titolare di dare corso all’istanza di accesso ai dati contenuti nell’account di posta elettronica a suo tempo presentata dal reclamante ed ha comminato una sanzione amministrativa pecuniaria (cfr. Ordinanza del 9 luglio 2020, n. 145 [doc. web n. 9474649]).
Una parte significativa dei reclami e delle altre tipologie di istanze rivolte all’Autorità in materia di rapporti di lavoro continua a riguardare il persistente utilizzo da parte del datore di lavoro di account di posta elettronica aziendale di tipo individualizzato (contenente il nome e/o il cognome della lavoratrice o del lavoratore) anche dopo che il rapporto di lavoro, in forza del quale l’account è stato assegnato, si è interrotto. Nel caso oggetto di decisione, l’Autorità ha accertato che l’account di posta elettronica aziendale di tipo individualizzato assegnato da una società ad un lavoratore era rimasto attivo per circa dieci mesi dopo la cessazione del rapporto di lavoro, all’insaputa dell’interessato, ed i messaggi in arrivo erano stati reindirizzati sull’account dell’ex superiore gerarchico del reclamante. Ciò ha consentito al titolare del trattamento (datore di lavoro) di accedere alla corrispondenza elettronica pervenuta sulla casella di posta, proveniente da soggetti interni ed esterni all’ambito lavorativo.
La società ha in questo modo appreso alcune informazioni personali relative all’interessato riguardanti non solo i dati cd. esterni delle comunicazioni e gli eventuali file allegati, ma anche il contenuto delle stesse che, come accertato dall’Autorità, riguardavano non soltanto l’attività professionale, ma anche aspetti della sfera personale del reclamante in relazione ai quali quest’ultimo e i terzi coinvolti (i cui diritti devono essere parimenti tutelati) vantavano legittime aspettative di riservatezza.
L’Autorità ha pertanto accertato la violazione di una pluralità di disposizioni del GDPR, in primo luogo degli articoli 12 e 15 per non aver dato corso all’istanza di accesso del reclamante ai dati contenuti nella casella di posta elettronica se non dopo la presentazione del reclamo.
Dopo la cessazione del rapporto di lavoro, infatti, la società avrebbe dovuto rimuovere l’account previa disattivazione dello stesso con la contestuale adozione di sistemi automatici volti ad informarne i terzi e a fornire a questi ultimi indirizzi alternativi riferiti alla propria attività professionale (ciò in applicazione dei principi stabiliti dall’art. 5, par. 1, lett. a), c) ed e), del GDPR).
Il Garante ha continuato ad occuparsi del trattamento dei dati effettuato attraverso sistemi di videosorveglianza installati presso luoghi di lavoro, rammentando ai titolari del trattamento l’obbligo di rispettare l’art. 114 del Codice Privacy (che rinvia all’art. 4, l. n. 300/1970), l’obbligo di fornire un’adeguata informativa agli interessati prima che entrino nel campo di ripresa delle telecamere nonché la necessità di effettuare il trattamento solo in presenza di una specifica condizione di liceità del trattamento.
Sempre con riferimento ad un trattamento di dati personali effettuato attraverso un sistema di videosorveglianza, a seguito di una segnalazione, il Garante ha adottato un’ordinanza-ingiunzione nei confronti di una struttura ricettiva, avendo accertato che la stessa, a partire dal 2009, aveva utilizzato un impianto di videosorveglianza all’interno e all’esterno della struttura omettendo di apporre, in prossimità del raggio di azione delle telecamere, cartelli informativi idonei ad avvisare clienti, dipendenti e fornitori della esistenza e delle caratteristiche essenziali dell’attività di videoripresa, in contrasto con quanto stabilito dall’art. 13 del GDPR (cfr. Ordinanza del 26 novembre 2020, n. 256 [doc. web n. 9533587]).
Ha altresì formato oggetto di vaglio l’installazione, avvenuta ad opera di un’azienda sanitaria, di un sistema di videosorveglianza dotato di telecamere dislocate in aree nelle quali normalmente transitano o sostano anche i dipendenti (corridoi, ingressi, sale di attesa, pronto soccorso), con conseguente possibilità di controllarne indirettamente l’attività. Nel corso dell’istruttoria è emerso che l’installazione dei citati sistemi − avvenuta da oltre dieci anni in diverse strutture di competenza dell’azienda sanitaria e funzionale a esigenze di sicurezza e di tutela del patrimonio aziendale − fosse stata effettuata in assenza del necessario previo accordo con le organizzazioni sindacali o dell’autorizzazione da parte del competente Ispettorato del lavoro.
L’Autorità ha ribadito che, in base alla disciplina in materia di protezione dei dati personali, l’amministrazione, che opera in qualità di datore di lavoro, può trattare i dati personali dei dipendenti se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla normativa nazionale o dell’Unione (artt. 6, par. 1, lett. c); 9, par. 2, lett. b) e 4; 88 del GDPR) rispettando altresì le norme nazionali, preesistenti o di futura emanazione.
Diversi sono stati i provvedimenti adottati dal Garante con riferimento all’invio di e-mail indesiderate (c.d. spam). Si segnalano, in particolare, (i) un provvedimento di ammonimento (cfr. Provvedimento del 19 maggio 2020, n. 90, [doc. web n. 9443795]) a seguito del reclamo pervenuto da un cliente che lamentava la ricezione di e-mail promozionali da parte di una società in tempi successivi rispetto al recesso dal programma fedeltà ed alla opposizione a ricevere ulteriori comunicazioni promozionali nonché (ii) un provvedimento (cfr. Ordinanza del 27 gennaio 2021, n. 37 [doc. web n. 9561833]), con il quale il Garante ha ingiunto una sanzione amministrativa pecuniaria di importo pari ad Euro 20.000,00, dopo aver accertato l’invio di comunicazioni commerciali indesiderate e in ragione dell’omessa informativa sul sito web della società titolare del trattamento, carente anche in relazione alle informazioni relative al DPO (Data Protection Officer), nonché per la mancata nomina e correlata comunicazione al Garante dei dati di contatto del medesimo.
Con Provvedimento del 15 ottobre 2020, n. 181 [doc. web n. 9486485], l’Autorità si è poi espressa in merito all’idoneità di un consenso per finalità promozionali raccolto dieci anni addietro. Nel rilevare specifiche violazioni con riguardo al modulo di raccolta del consenso, è stato chiarito che il solo fattore temporale non è un parametro sufficiente, di per sé, per ritenere illecito il trattamento. Si è affermato che il consenso al trattamento dei dati personali per finalità promozionali deve innanzitutto considerarsi autonomo e non condizionato dall’esistenza o meno di un rapporto contrattuale e deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione però che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare.
La complessiva riforma della normativa in materia di protezione dati, avvenuta ad opera del GDPR, si caratterizza, come noto, per un più rigoroso assetto delle sanzioni amministrative pecuniarie che rappresentano un elemento centrale con il quale le autorità di controllo possono articolare le misure correttive a fronte delle violazioni poste in essere da parte dei titolari del trattamento.
Oggi il Garante è l’unico organo competente ad avviare i procedimenti amministrativi sanzionatori a fronte dell’accertamento di possibili violazioni e ad irrogare le relative sanzioni.
Nonostante la pandemia abbia penalizzato fortemente lo svolgimento delle attività ispettive in loco, il Garante ha comunque sottoposto a controllo i titolari dei trattamenti, inter alia, negli ambiti di seguito indicati:
Sono state così rilevate n. 87 possibili violazioni delle disposizioni del GDPR e del Codice Privacy nei confronti di n. 22 distinti soggetti, prevalentemente in relazione a trattamenti effettuati per finalità di marketing e profilazione, anche in relazione a minori di età.
Il totale incassato nel 2020 sul capitolo del Tesoro per sanzioni comminate dal Garante è pari a Euro 38.448.895,38.