La tutela della privacy nei provvedimenti del Garante nel 2019

Con l’entrata in vigore del Regolamento (UE) n. 2016/679 relativo alla protezione dei dati personali delle persone fisiche, la materia della privacy ha incontrato una forte e nuova sensibilizzazione che nasce da precise esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali all’interno dell’Unione Europea e non solo.

A tal fine, infatti, il GDPR ha previsto anche l’istituzione del Comitato europeo per la protezione dei dati (EDPB), che è un organo europeo indipendente composto dai rappresentanti delle autorità nazionali di controllo competenti per la protezione dei dati dei paesi dell’UE nonché dal Garante europeo della protezione dei dati (GEPD), il cui compito è quello di contribuire all’applicazione delle norme sulla protezione dei dati in tutta l’Unione europea e promuovere la cooperazione tra le autorità competenti. Recentemente, inoltre, nell’ambito del EDPB, è stata istituita una nuova Commissione di Controllo Coordinato con il compito di rafforzare la cooperazione tra le diverse Autorità di protezione dati e garantire verifiche più efficaci sul trattamento dei dati effettuato, perlopiù, da organismi, uffici e agenzie europei operanti nei settori delle frontiere, dell’asilo e della migrazione, della cooperazione di polizia e giudiziaria e del mercato interno.

Di seguito verranno riportati alcuni dei più significativi provvedimenti emessi nel nostro Paese dall’Autorità Garante per la protezione dei dati personali nel corso dell’anno 2019:

il Garante si è espresso sulla legittimità del trattamento dei dati personali raccolti da una società mediante la consegna di dispositivi elettronici da indossare al polso da parte dei lavoratori dipendenti che svolgevano servizio di spazzamento su strada. Si trattava di strumenti dotati di GPS idonei ad identificare i soggetti (seppur indirettamente) e a consentirne il trattamento di dati personali attraverso una combinata lettura del numero identificativo univoco del dispositivo collegato alle zone di spazzamento e i registri (redatti sia in formato cartaceo che digitale) sui quali venivano annotati i turni di lavoro, la zona di spazzamento e l’identità del lavoratore.

Il Garante ha, quindi, ritenuto necessaria sia l’individuazione dei tempi di conservazione dei registri sia l’indicazione di casi specifici e tassativi per cui potrebbe risultare necessario accedere a tali registri per ricostruire i fatti eventualmente oggetto di contestazione.

– con provvedimento del marzo 2019, l’Autorità si è espressa in materia di data breach su una vicenda che traeva origine da una comunicazione di una Banca in cui si segnalava una intrusione informatica a mezzo di un’applicazione con cui soggetti non autorizzati avevano avuto accesso a: dati anagrafici e di contatto, professione, livello di studio, estremi identificativi di un documento di identità nonché informazioni relative a datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e identificativo Iban.

L’Autorità Garante ha rilevato la violazione degli artt. 33 e ss. del d.lgs. n. 196/2003 evidenziando la presenza di alcune criticità dal punto di vista tecnico che avevano consentito la violazione delle disposizioni in materia di misure minime di sicurezza o di provvedimenti prescrittivi di misure necessarie da parte della Banca.

– nel giugno 2019, il Garante si è espresso sulla capacità di autodeterminazione degli interessati nel prestare il loro consenso sulla raccolta di dati personali. La pronuncia aveva ad oggetto il servizio di registrazione ad un sito internet che, da un lato, per la “Raccolta punti” richiedeva dati eccedenti e non pertinenti rispetto alla finalità di raccolta dei punti e, dall’altro lato, richiedeva obbligatoriamente di prestare il consenso anche per la finalità di ricezione di comunicazioni promozionali.

Ribadendo un principio ormai consolidato, l’Autorità ha affermato che “la capacità di autodeterminazione degli interessati non è assicurata né quando viene richiesto un unico consenso per più finalità di trattamento, né quando si assoggetta, la fruizione di un servizio, qual è il programma di raccolta punti, alla previa autorizzazione a trattare i dati conferiti, ai fini di tale servizio, per finalità diverse, qual è quella promozionale o quella statistica.

Ogni trattamento, quindi, che comporti l´identificabilità degli interessati necessita del loro consenso specifico, informato e distinto per ciascuna finalità”.

– ancora nel giugno 2019, il Garante si è espresso in merito al diritto di opposizione al trattamento per finalità promozionali che, nel caso di specie, poteva essere esercitato inviando il reclamo ad una casella di posta elettronica appartenente, però, ad un soggetto non più alle dipendenze della società.

Il Garante ha rilevato l’illiceità del trattamento perché il titolare dello stesso non aveva rispettato e osservato il principio di responsabilizzazione nonché di privacy by design, il quale ultimo implica la necessità di “progettare ed implementare i propri sistemi con misure tecniche ed organizzative volte ad attuare in modo efficace i principi di protezione dei dati (…), anche programmando adeguatamente i propri sistemi informatici al fine di poter verificare eventuali opposizioni o revoche del consenso da parte dei propri clienti”.

– con provvedimento datato 11 luglio 2019, il Garante si è occupato del ricorso proposto da due soggetti che chiedevano di ordinare la rimozione, da un servizio televisivo, delle immagini riguardanti documenti contenenti dati personali che li riguardavano.

Il Garante ha riscontrato che alcuni dati erano stati trattati in contrasto con il principio di essenzialità dell’informazione e con il principio di minimizzazione dei dati perchè eccedenti rispetto alle finalità di informazione e di critica, ma ha comunque ritenuto inesistenti i presupposti per adottare i provvedimenti richiesti dal reclamante in ragione dell’interesse pubblico attuale rivestito dal servizio televisivo oggetto del reclamo.

– con provvedimento del 24 luglio 2019 il Garante ha dichiarato fondato il reclamo proposto da due soggetti per violazione dei principi di esattezza ed aggiornamento dei dati espressamente previsti dal Regolamento di cui all’art. 5, par. 1, lett. d; si trattava di un reclamo avente ad oggetto la richiesta di ordinare ad un motore di ricerca internet la rimozione, dai risultati delle ricerche associate al loro nominativo, di un URL collegato ad un articolo di giornale contenente informazioni errate relative ad una vicenda giudiziaria nella quale erano stati coinvolti e la quale si era conclusa in senso favorevole ai medesimi.

nel settembre 2019 il Garante è tornato ad esprimersi in materia di diritto all’oblio sul reclamo presentato da un soggetto che chiedeva di ordinare ad un motore di ricerca la rimozione, dai risultati di ricerca associati al suo nominativo, di alcuni URL collegati a vicende sindacali relative ad una delle società delle quali era socio considerando che la notizia non rivestiva alcun interesse pubblico attuale essendosi la questione risolta positivamente.

L’Autorità Garante ha considerato il reclamo parzialmente fondato e, per l’effetto, ha ordinato la rimozione di alcuni URL dai risultati di ricerca. Invece, con riguardo ad altro URL il Garante ha ritenuto sussistente un interesse pubblico attuale alla conoscibilità della vicenda perchè collegata a fatti più recenti in ordine ai quali risultavano ancora in corso i relativi accertamenti.

– nell’ottobre 2019, in relazione alla pubblicazione su alcuni siti internet di immagini ritraenti due soggetti in stato di costrizione fisica, il Garante ha ritenuto di limitarne il trattamento perché la diffusione di quei dati personali eccedeva i limiti del diritto di cronaca che deve tutelare i diritti e le libertà fondamentali delle persone fisiche in particolare il diritto alla protezione dei dati personali e, in particolare, il limite dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico.

nel dicembre 2019, l’Autorità ha ritenuto che commette un illecito la società che mantiene attivo l’account di posta elettronica aziendale di un ex dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica in quanto la protezione della vita privata si estende anche all’ambito lavorativo.