1. I chiarimenti del garante sul decreto trasparenza.
Il Garante ha recentemente pubblicato un documento in cui ha espresso le proprie valutazioni in merito al
c.d. Decreto Trasparenza (d.lgs 27.6.2022 n. 104), di cui ci siamo occupati l’estate scorsa, valutazioni
necessarie in quanto le disposizioni del decreto stesso facevano sorgere la necessità di un coordinamento
con la disciplina sulla privacy (https://www.gpdp.it/web/guest/home/docweb/-/docwebdisplay/docweb/9844960).
Il documento si occupa sostanzialmente di tre aspetti: quello delle informazioni da fornire, quello della DPIA
e quello del registro dei trattamenti.
Come ricorderete, il Decreto ha imposto l’obbligo di fornire una serie di informazioni qualora siano utilizzati
sistemi decisionali in grado di fornire informazioni rilevanti “ai fini della assunzione o del conferimento
dell’incarico, della gestione o della cessazione del rapporto di lavoro, dell’assegnazione di compiti o mansioni
nonché indicazioni incidenti sulla sorveglianza, la valutazione, le prestazioni e l’adempimento delle
obbligazioni contrattuali dei lavoratori”. In questo caso viene fatto obbligo al datore di lavoro di fornire una
serie ulteriore di informazioni, che vanno ad aggiungersi a quelle già obbligatorie ex art. 13 (e se del caso 14)
del GDPR. Su questo punto il Garante ha soltanto rilevato che alcune informazioni da fornire sono nuove,
mentre altre informazioni sono una ulteriore specificazione di quelle già obbligatorie secondo il GDPR. Il
Garante suggerisce anche di unificare l’informativa, cosa però che ci permettiamo di sconsigliare, sia perché
l’informativa stessa diventerebbe oltremodo complessa, sia perché occorrerebbe chiarire che alcune
informazioni sono necessarie per ottemperare al GDPR, mentre altre (indicando quali) sono dovute in base
alla nuova disciplina.
Per quanto riguarda il secondo aspetto, il Decreto trasparenza indicava una generica necessità di effettuare
la valutazione di impatto, senza però specificare i casi in cui la DPIA sarebbe necessaria. Su questo il Garante
ha ricordato come sia obbligo specifico del Titolare valutare “se i trattamenti che si intende realizzare possano
presentare un rischio elevato per i diritti e le libertà delle persone fisiche – in ragione delle tecnologie impiegate e considerati la natura, l’oggetto, il contesto e le finalità perseguite – che renda necessaria una preventiva valutazione di impatto sulla protezione dei dati personali”. In tal senso, per valutare se sussista l’obbligo o meno della valutazione di impatto, il Garante ricorda che vanno tenuti in considerazione i criteri individuati a livello europeo e che, qualora il trattamento integri anche solo due di tali criteri sia obbligatoria la DPIA.
Quindi non sussiste un obbligo aggiuntivo di effettuare sempre e comunque la valutazione di impatto, che
andrà effettuata solo nei casi già ora previsti.
Infine, per quanto riguarda il registro dei trattamenti, il testo (in verità alquanto oscuro) del Decreto
Trasparenza prevede che “il datore di lavoro o il committente sono tenuti ad integrare l’informativa con le
istruzioni per il lavoratore in merito alla sicurezza dei dati e l’aggiornamento del registro dei trattamenti
riguardanti le attività di cui al comma 1, incluse le attività di sorveglianza e monitoraggio”. Anche su questo
punto il Garante ha ribadito che “il titolare del trattamento non è tenuto ad informare gli interessati della
predisposizione del registro ed ogni aggiornamento dello stesso”. L’obbligo previsto dal decreto, dunque, si
limita a ricordare la necessità di aggiornare il registro, qualora i trattamenti disciplinati non fossero già stati
censiti nel registro stesso.
2. Gli adempimenti di base del GDPR: novità ed aree di attenzione.
Nell’ultimo anno sono state emesse alcune decisioni su aspetti di base del GDPR, per cui riteniamo
opportuno richiamare alcuni aspetti della gestione delle problematiche privacy che a tutti gli effetti sono
adempimenti di natura assolutamente ordinaria, ma che se non attuati o non attuati con cura potrebbero
tramutarsi poi in una pericolosa fonte di problemi. Si tratta (tra l’altro) di adempimenti che non costituiscono
novità previste dal GDPR, ma che erano presenti anche nella precedente legislatura e che vanno seguiti con
la massima attenzione per evitare il sorgere di problemi, potenzialmente anche molto rischiosi, come
l’esperienza purtroppo ha insegnato ad alcuni titolari.
A. L’esercizio dei diritti
È sicuramente noto a tutti come ogni soggetto interessato abbia una serie di diritti che possono essere
esercitati in vari modi; il GDPR prevede espressamente come sia obbligo del Titolare adottare misure che
agevolino l’esercizio dei diritti dell’interessato. Malgrado ciò, se andiamo ad analizzare cosa succede nella
pratica, vediamo come purtroppo vari procedimenti e le successive decisioni siano conseguenza di richieste
di esercizio dei diritti cui il titolare non ha dato risposta, o non ha dato risposta soddisfacente o in tempo. È
il caso, ad esempio, di una recentissima decisione nei confronti di Amazon Logistics (decisione del 1.12. 2022,
d.w. 9843805), in cui al Titolare è stata comminata una sanzione tutto sommato minore, rispetto ad altre
(20.000 euro), ma che comunque è nata da un reclamo presentato da un ex dipendente che si lamentava di
non avere mai ricevuto risposta alla sua richiesta di ottenere una copia di alcuni dati. Analoga situazione si è
verificata nel caso delle Profumerie Douglas (decisione del 22 novembre 2022, d.w. 9825667). Il
procedimento nei confronti del titolare, in questo caso, si è concluso con una sanzione ben più importante
(un milione e quattrocentomila euro); la cosa che colpisce di più, però, è che il procedimento sia nato da un
reclamo anche in questo caso dovuto ad una mancata risposta all’esercizio del diritto di accesso. Ironia della
sorte, nell’ambito della istruttoria il Garante ha verificato se e che tipo di provvedimenti avesse preso il
titolare per rispondere ad una richiesta di esercizio dei diritti, concludendo che effettivamente era stato
messo a punto un sistema adeguato al rispetto dell’obbligo; nel caso specifico la mancata risposta era da
considerarsi un fatto episodico e pertanto su questo aspetto il Garante, preso atto che tutto era in regola,
non ha contestato alcuna violazione di legge. È bastato cioè un singolo, episodico caso di mancata risposta
per attivare un reclamo ed il conseguente procedimento, che ha portato alla sanzione dell’entità ricordata
sopra.
La domanda che occorre porsi, quindi, è: che tipo di organizzazione è stata messa in piedi per rispondere alle
richieste di esercizio dei diritti? Qualcuno ha provato a testarla?
Ricordiamo poi un particolare importante: il soggetto interessato può proporre la propria richiesta con
qualsiasi mezzo e non necessariamente con eventuali formulari o moduli predisposti e messi a disposizione
dal Titolare. Inoltre, la richiesta può essere inviata all’indirizzo e-mail eventualmente messo a disposizione
nella informativa, ma potrebbe anche essere inviata con qualsiasi altro mezzo, anche consegnandola a mano ad una filiale distaccata o ad un punto di vendita: il personale di queste sedi è stato adeguatamente istruito
su come comportarsi in questi casi?
Le cose da fare su questo punto specifico, quindi, sono molte, ma non particolarmente complesse. Nella
informativa è opportuno inserire un indirizzo dove far veicolare le richieste degli interessati. Non è detto che
tutti si rivolgeranno a quell’indirizzo, ma per lo meno lo faranno una buona parte degli interessati. Per gli altri
casi, per rispondere cioè a quelli che non usino quell’indirizzo ma si rivolgano a qualcun altro
nell’organizzazione, è importante dare istruzioni chiare su come comportarsi in questi casi. Soprattutto
queste istruzioni vanno ripetute nel tempo; la dinamica del personale è spesso tale per cui le persone
ruotano, e non è detto che chi riceva una richiesta oggi sappia cosa è stato detto un anno o due fa a qualcun
altro.
B. L’informativa
Come sappiamo tutti, l’informativa è un obbligo di per sé semplice ma dal contenuto complesso, nel senso
che sono molte le cose che devono essere rese trasparenti agli utenti/clienti.
Prima di ogni cosa va sottolineato che l’informativa deve essere facilmente accessibile, soprattutto laddove
vengono richiesti dati personali, anche se solo per attivare servizi innocui e magari richiesti dal cliente stesso
(es: se un soggetto si iscrive ad una newsletter, è pur vero che è una richiesta che nasce da lui, ma questo
non esime dall’obbligo di dare l’informativa e di darla completa).
L’articolo 12 richiede anche che l’informativa sia chiara, formulata con un linguaggio comprensibile e (nei
limiti del possibile, aggiungiamo noi) concisa. In alcune circostanze l’informativa può essere data in fasi
diverse: un call center, per esempio, può dare una informativa breve, con nome del titolare, scopo della
chiamata ed elencazione dei diritti, indicando però dove si può trovare l’informativa completa che, come
detto sopra, deve essere facilmente accessibile.
L’aspetto della accessibilità della informativa è stato alla base di una recente sentenza del TAR del Lazio che,
nel ricorso presentato da Google contro un provvedimento sanzionatorio della l’AGCM (TAR Lazio,
18.11.2022. 15326/2022) ha confermato la sanzione originariamente inflitta, tra l’altro perchè ha rilevato
che le informazioni dovute erano “posizionate in pagine raggiungibili attraverso link di consultazione
meramente eventuali, come tali non idonei ad informare adeguatamente il consumatore”. Questo ci porta ad
una ulteriore considerazione, relativa ad un aspetto che chi si occupa di privacy probabilmente non considera,
cioè il web design: molti siti, purtroppo, nella home page non hanno alcun riferimento ad una privacy policy
che si possa consultare, e questa è una grave mancanza. Altri siti fanno invece confusione tra informativa di
tipo “commerciale”, cioè quella da dare ai clienti o possibili clienti, e l’informativa dovuta per l’uso dei
cookies: sono due cose diverse, e quindi richiedono informative diverse. Ovvero ancora, si possono unire i
due documenti, ma occorre ricordarsi di gestire la informazione sui cookies secondo le regole previste dai
provvedimenti in vigore. Si sono verificati casi in cui vengono inseriti nella informativa trattamenti che non
vengono effettuati ma che sono stati inseriti in via ipotetica, in quanto sono trattamenti che si presume
potrebbero essere effettuati in futuro. Consigliamo di evitare nella maniera più assoluta questa ultima prassi,
perché si rischia di imporre obblighi che poi non hanno una reale base giuridica, se non l’aver menzionato
trattamenti che non sono effettuati. Ultima prassi da evitare del tutto è quella di unificare informativa,
consenso e condizioni contrattuali, pensando così erroneamente di aver adempiuto al proprio obbligo in
merito all’informativa e che la firma (o l’accettazione) del contratto possa valere come consenso. Non è così: l’accettazione di condizioni contrattuali e la presa visione dell’informativa sono (o dovrebbero essere)
passaggi obbligati necessari per la conclusione del contratto, mentre il consenso per eventuali trattamenti
può essere facoltativamente rilasciato dall’interessato.
Ultimo punto su cui porre molta attenzione: l’uso corretto dei termini usati. Su questo non possiamo non
consigliare la massima attenzione al linguaggio usato. Ad esempio: sappiamo tutti che la profilazione ha
conseguenze importanti sia sul piano giuridico che su quello pratico; occhio quindi alla terminologia che viene
usata nel descrivere i trattamenti che saranno effettuati, per non crearci problemi da soli.
C. Il consenso e il legittimo interesse
Come abbiamo detto sopra, la prima regola è non unire insieme condizioni contrattuali e consensi privacy.
Ad esempio, non è corretto inserire nelle condizioni di uso di una APP il consenso per l’uso dei dati per finalità di marketing. Come il Garante ha sottolineato innumerevoli volte, le condizioni contrattuali per l’uso di una APP devono essere tenute del tutto separate dal consenso privacy, in quanto rispondono a due finalità del tutto distinte e separate.
Un altro punto fondamentale da tenere presente è che l’uso dei dati per scopi commerciali (cioè invio di
comunicazioni promozionali, marketing diretto, ecc.), a nostro avviso richiede sempre il consenso, in quanto non è possibile fare ricorso al c.d. legittimo interesse. Lo ha detto chiaramente il Garante in varie occasioni, ultima delle quali la sua decisione nei confronti di Tik Tok (Decisione del 7 Luglio 2022, d.w. 9788429), che
non chiedeva consenso per attività promozionali, ma le basava sul legittimo interesse. Su questo, come detto, il Garante si è espresso in maniera fortemente negativa, richiedendo a Tik-Tok (come poi avvenuto) di cambiare questa prassi.
È noto a tutti che il considerando 47, all’ultimo paragrafo, dice che “può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”, ma non si può non notare che, mentre per altre ipotesi indicate da tale considerando il testo usa una espressione definitiva (“costituisce legittimo interesse”),
in questo caso invece il testo ipotizza una semplice possibilità. La natura meramente ipotetica di tale legittimo interesse è legata al fatto che, a seconda dei casi, deve essere il titolare a dimostrare che i propri interessi legittimi prevalgano su diritti e interessi dell’interessato. Benché in altri paesi europei l’interpretazione sia stata diversa, la giurisprudenza del Garante In Italia in merito è chiara nello stabilire che il consenso sia di fatto l’unica base giudirica applicabile alle finalità promozionali e di marketing diretto (con l’unica eccezione del soft spamming di cui all’art. 130 del codice privacy). Crediamo quindi che non sia necessario insistere ulteriormente su questo aspetto.
Ultimo punto, per quanto riguarda il consenso, è quello della sua conservazione. In base al principio di
accountability, spetta al Titolare la dimostrazione dell’aver adempiuto alla norma; di conseguenza spetta al titolare anche la dimostrazione di aver ottenuto il consenso dall’interessato: siamo tutti in grado di farlo? E come? La cosa ideale sarebbe la conservazione, (anche in forma digitale) del modulo di consenso firmato; se il consenso è ottenuto on-line, occorre la invece avere a disposizione un file in cui siano registrati giorno e ora del consenso (o dei consensi), al fine di adempiere all’onere della prova che, lo ripetiamo, il GDPR ha posto a carico del Titolare. Anche in questo caso, consigliamo di fare un controllo, per verificare che sia conservata la necessaria documentazione o traccia informatica che dimostri il consenso dell’interessato.
D. Il periodo di conservazione
Altro tasto dolente è quello del periodo di conservazione. Sia il vecchio codice che la Direttiva imponevano
al titolare l’obbligo di conservazione limitato al “periodo di tempo non superiore a quello necessario per gli
scopi per i quali (i dati) sono stati raccolti o successivamente trattati”.
L’obbligo era in capo al Titolare, quindi, che doveva determinare un periodo di conservazione. Ora la
situazione è cambiata: l’obbligo esiste sempre, ma ad esso è stato aggiunto anche l’obbligo di indicare nella
informativa per quanto tempo i dati saranno trattati e conservati.
Si tratta di un compito non facile, in quanto per gli stessi dati possono essere richiesti periodi di conservazione
differenti. Ma il vero punto è: stabilito un obbligo di conservazione e comunicato tale obbligo all’interessato, siamo sicuri che esso sia rispettato? Siamo sicuri cioè che se abbiamo indicato un certo periodo di conservazione, che trascorso tale periodo i dati siano stati effettivamente cancellati?
Occorre fare molta attenzione a questo punto che raramente è stato preso in considerazione dai Titolari. Il periodo di conservazione, nella stragrande maggioranza di casi, non è mai stato qualcosa su cui sia stata posta molta attenzione. In alcuni, se non in molti casi, i dati venivano conservati in eterno, cioè i dati non venivano mai eliminati: è il caso dei fascicoli del personale, che per anni sono rimasti negli archivi delle aziende, senza nessun reale utilizzo, e potremmo citare decine di altri casi.
Conservare dati per periodi troppo lunghi, oltre ad esporci ad eventuali sanzioni da parte del Garante, impone al Titolare alcuni obblighi ulteriori, ad esempio per quanto riguarda le misure di sicurezza, la necessità di notifica di un data breach se alcuni di questi dati storici vengano perduti, e così via. In poche parole, meno si tengono, meglio è. Bisogna porre la necessaria attenzione su cosa sia effettivamente necessario conservare e per quanto tempo, perché è indubbio che alcune informazioni siano necessarie o per obbligo di legge o per necessità operative. Ma le informazioni necessarie non sono tutte, e quelle non necessarie vanno eliminate in tempi stretti.
Nel caso delle profumerie Douglas, che abbiamo già citato sopra, alcuni dati relativi alle carte di fedeltà,
anche se non venivano più utilizzati, erano comunque stati conservati per dieci anni, ben oltre quello che può
essere considerato un ragionevole lasso di tempo, oltre che in violazione della prescrizione del Garante nel
suo provvedimento sulle carte di fedeltà: inutile dire che questa è stata una delle principali violazioni rilevate
e sanzionate.
Sempre in merito al periodo di conservazione, segnaliamo una altra particolarità, che sappiamo non essere
tipica solo di questo caso. Infatti l’informativa fornita da Douglas usava un linguaggio a nostro avviso poco
chiaro e comunque non in linea con la norma. La informativa, infatti, invece di indicare un periodo di
conservazione individuato e determinato, prevedeva che i dati sarebbero stati conservati fino a quando il
soggetto interessato non avesse revocato il consenso. Ora questo tipo di dizione presenta alcuni problemi e
solleva alcuni dubbi. Poniamo il caso di un Titolare che conservi i dati secondo questo criterio. Passato un
certo numero di anni (a titolo di esempio poniamo sei anni), il soggetto interessato revochi il consenso. In
questo caso, cosa bisognerebbe fare? Cancellare tutto, anche i dati più recenti, o cancellare i più risalenti? E
fino a quando si va indietro a conservare i dati? Ma se il soggetto ha revocato il consenso, si possono
conservare dati senza il consenso dell’interessato, cioè contraddire quanto detto nella informativa?
Ovviamente Il Garante ha chiesto di modificare questa parte della informativa, sostenendo che “la Società
dovrebbe provvedere ad una conservazione selettiva e limitata (con particolare riguardo, rispettivamente,
alla tipologia e alla durata) dei dati dei clienti, ancor più considerato che, in tal caso, la Società svolge con essi
attività promozionale o di profilazione, e quindi non li detiene in modo inattivo”.
Questo tipo di prassi, quindi, è del tutto sconsigliabile perché, oltre a quanto detto sopra, nella pratica ha
altre due conseguenze: l’obbligo di indicare il periodo di conservazione spetta al titolare, mentre così si ribalta
questo obbligo/onere sul soggetto interessato, facendo così in modo che sia lui, e non il Titolare, a
determinare il periodo di conservazione, che non è quello che vuole la norma. La norma pone questo obbligo
in capo al titolare, che invece così si sottrae ad una sua precisa responsabilità. Inoltre, sempre nella pratica,
abbiamo l’impressione che questa prassi finisca per consentire una conservazione illimitata, esattamente il
contrario di quanto prevede la norma.
E. La formazione
L’ultimo punto che ci preme sottolineare è quello della formazione. Troppo spesso questo è un obbligo che
viene disatteso o preso alla leggera, per esempio limitando la formazione solo a certi livelli.
Insieme ad un buon set di istruzioni, che coprano gli aspetti giuridici, ma anche quelli pratici, la formazione è
prima di tutto un obbligo: l’articolo 24 del GDPR specifica come il Titolare debba mettere in atto “misure
tecniche e organizzative adeguate per garantire che…. Il trattamento è effettuato conformemente al
presente regolamento”: va da sé che una di queste misure organizzative è proprio la formazione. Inoltre, uno
dei compiti del DPO nel sorvegliare l’osservanza del GDPR è quello di verificare la formazione del personale (articolo 39.1. b). L’aver adottato e attuato un programma di formazione, inoltre, può essere una delle circostanze attenuanti
che il Titolare può vantare, ai sensi dell’articolo 83.2. k, per mitigare le eventuali sanzioni che il Garante può emanare in caso di violazione.
Infine, solo con una formazione adeguata si possono limitare i problemi: se il personale ha ricevuto la
formazione del caso, sarà più attento e avrà acquisito un minimo di sensibilità rispetto alle innumerevoli,
potenziali situazioni che possono causare problemi ed un intervento del Garante.
3. Background checks – un nuovo volume in collaborazione tra Studio Zallone e Studio Stanchi
È stata pubblicata una guida ai background checks su lavoratori e candidati, scritta in
collaborazione tra l’Avv. Alfredo Zallone e l’Avv. Francesco Pedroni, dello Studio
Stanchi. Nel volume si affronta il tema, sempre di attualità, dei controlli e verifiche su
lavoratori e candidati, cercando di dare risposte ai problemi ed ai quesiti che la
materia pone.
Il volume “BACKGROUND CHECKS E ALTRE VERIFICHE SUI LAVORATORI: Limiti e
ambito delle verifiche e dei controlli su candidati e lavoratori” è disponibile su
Amazon (https://www.amazon.it/BACKGROUND-CHECKS-ALTRE-VERIFICHELAVORATORI/dp/B0BT2JB6B4/ref=sr_1_1?crid=3L0PDCN8GO5YA&keywords=background+checks+pedroni
&qid=1675961626&sprefix=background+checks%2Caps%2C107&sr=8-1).
Comments are closed.