Almanacco privacy 2024

l panorama della protezione dei dati personali in Europa ha subito significative evoluzioni nel corso del 2024, con importanti novità legislative e giurisprudenziali che hanno ridefinito gli standard di compliance per le aziende.

L’approvazione del Regolamento sull’Intelligenza Artificiale ha condizionato molti provvedimenti europei, ma altre normative saranno strategiche per le Aziende. Il Data Act in particolare, oltre che la NIS2 che in questi mesi vede le prime scadenze.

Rispetto ai provvedimenti abbiamo scelto di selezionare quelli che posso avere un impatto più significativo per le aziende. Lo scorso anno molti sono stati i provvedimento in merito al trattamento dati dei lavoratori attraversi gli strumenti aziendali. Questo tema, infatti, è strategico per le aziende che devono bilanciare le proprie necessità di sicurezza informatica e controllo con i diritti alla riservatezza e le tutele dei lavoratori.

LEGISLAZIONE NAZIONALE E DELL’UNIONE EUROPEA

Dlgs. 138/2024 – Decreto di recepimento della Direttiva NIS

La normativa NIS 2 (Network and Information Security Directive 2), adottata dall’Unione Europea, aggiorna e amplia la direttiva NIS del 2016 per rafforzare la sicurezza informatica di infrastrutture e servizi critici. Con il Decreto Legislativo 138/2024 l’Italia ha recepito la Direttiva ampliando i settori di applicazione e prevedendo adempimenti che applicano a partire dal prossimo 28 febbraio.

[ved. anche: Guida pratica alla registrazione dei soggetti NIS2 sul portale ACN]

Regolamento (UE) 2023/2854 del Parlamento europeo e del Consiglio, del 13 dicembre 2023 ( “Data Act“)

Il “Data Act” introduce norme armonizzate sull’accesso equo ai dati e sul loro utilizzo. Questo regolamento mira a promuovere un’economia dei dati più competitiva e innovativa all’interno dell’UE, garantendo che i dati generati da prodotti e servizi siano accessibili e utilizzabili in modo equo.

Principali Obiettivi del Data Act:

1. Accesso ai Dati per Utenti e Terze Parti: Il regolamento garantisce che gli utenti di prodotti connessi e servizi correlati abbiano il diritto di accedere ai dati che essi generano. Inoltre, consente la condivisione di questi dati con terze parti, promuovendo lo sviluppo di servizi post-vendita e altre soluzioni innovative.
2. Equità nei Contratti di Condivisione dei Dati: Per prevenire abusi derivanti da squilibri contrattuali, il Data Act protegge in particolare le piccole e medie imprese (PMI) da clausole contrattuali abusive imposte da partner commerciali più forti. La Commissione Europea svilupperà clausole tipo per aiutare le parti a negoziare contratti equi per la condivisione dei dati.
3. Accesso ai Dati per Enti Pubblici: In circostanze eccezionali, come emergenze pubbliche (ad esempio, inondazioni o incendi), gli enti pubblici potranno accedere e utilizzare i dati detenuti dal settore privato per scopi specifici di interesse pubblico.
4. Interoperabilità dei Dati: Il regolamento introduce norme per garantire l’interoperabilità dei dati, facilitando il passaggio tra diversi fornitori di servizi di trattamento dei dati e promuovendo un mercato del cloud più competitivo nell’UE.

Il Data Act  si applicherà a partire dal 12 settembre 2025.

Il Data Act interessa una vasta gamma di aziende e settori, in particolare quelle che operano in ambiti in cui i dati generati da dispositivi, prodotti connessi o servizi digitali sono centrali per le loro attività.

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024 (cd. “AI ACT”)

Ecco le scadenze per l’applicazione del Regolamento:

Questo approccio graduale mira a fornire alle organizzazioni il tempo necessario per adeguarsi alle nuove normative, garantendo una transizione efficace e conforme. Le scadenze però si avvicinano rapidamente.

[Il nostro ultimo approfondimento in tema di AI: Mini-guida legale all’introduzione dell’AI in sanità]

Regolamento (UE) 2022/2065del Parlamento europeo e del Consiglio, del 19 ottobre 2022 (cd. “Digital Service Act”)

Il Digital Services Act (DSA), parte della strategia europea per il mercato digitale, è una normativa volta a regolamentare i servizi digitali nell’UE. In questi anni è entrato progressivamente in vigore dal febbraio 2024 il Regolamento è pienamente in vigore, le aziende che lavorano nel digitale devono tenerne conto e valutare l’applicabilità degli adempimenti alle proprie piattaforme.

[ved. anche: Digital Services Act: un primo sguardo al nuovo Regolamento]

EUROPEAN DATA PROTECTION BOARD

• Parere 28/2024 su alcuni aspetti della protezione dei dati relativi al trattamento dei dati personali nel contesto dei modelli di IA 

Adottate il 17 dicembre 2024 e pubblicate il 18 dicembre 2024.

Il Parere si rivolge prettamente agli sviluppatori di modelli di AI che intendono utilizzare dati personali ai fini dell’addestramento ovvero anonimizzare tali dati.

• Opinione 22/2024 in merito agli obblighi derivanti dall’affidamento a responsabili del trattamento e sub-responsabili del trattamento

Adottata il 9 ottobre 2024.

Il parere riguarda situazioni in cui i titolari del trattamento si affidano a uno o più responsabili del trattamento e sub-responsabili del trattamento. In particolare, affronta otto questioni sull’interpretazione di determinati doveri dei titolari del trattamento che si affidano a responsabili del trattamento e sub-responsabili del trattamento, nonché sulla formulazione dei contratti tra titolare del trattamento e responsabile del trattamento, derivanti in particolare dall’articolo 28 GDPR.

• Parere 1/2024 sul trattamento di dati personali basato sul legittimo interesse di cui all’articolo 6 paragrafo 1 GDPR- Versione 1.0

Adottata l’8 ottobre 2024 in seguito alla consultazione pubblica iniziata l’9 ottobre 2024 e terminata il 20 novembre 2024.

Le presenti linee guida analizzano i criteri di cui all’articolo 6, paragrafo 1, lettera f), GDPR che i titolari del trattamento devono soddisfare per trattare legittimamente i dati personali sulla base di un interesse legittimo.

[ved. anche: Il Legittimo Interesse come Base Giuridica: Strumenti e Limiti Operativi]

CORTE DI GIUSTIZIA DELL’ UNIONE EUROPEA

Risarcimento danni e responsabilità

Sentenza della Corte di Giustizia dell’Unione europea, Sezione 3, del 20 giugno 2024, n. 590/22

Sentenza della Corte di Giustizia dell’Unione europea, Sezione 8, del 4 ottobre 2024, n. 507/23

La Corte, nelle sentenze sopra citate, in materia di risarcimento danni e responsabilità (Art. 82 GDPR), ha stabilito i seguenti principi di diritto.

1. Una violazione del GDPR non è sufficiente, di per sé, a fondare un diritto al risarcimento. L’interessato deve altresì dimostrare l’esistenza di un danno causato da tale violazione, senza tuttavia che detto danno debba raggiungere un certo grado di gravità.
2. ll timore nutrito da una persona che i suoi dati personali, a causa di una violazione di tale regolamento, siano stati divulgati a terzi, senza che si possa dimostrare che ciò sia effettivamente avvenuto, è sufficiente a dare fondamento a un diritto al risarcimento purché tale timore, con le sue conseguenze negative, sia debitamente provato.
3. Per determinare l’importo dovuto a titolo di risarcimento di un danno fondato su tale disposizione, da un lato, non si devono applicare mutatis mutandis i criteri di fissazione dell’importo delle sanzioni amministrative pecuniarie previsti all’articolo 83 di tale regolamento e, dall’altro, non si deve conferire a tale diritto al risarcimento una funzione dissuasiva.
4. La presentazione di “scuse” può costituire un risarcimento adeguato di un danno immateriale sul fondamento di tale disposizione, segnatamente qualora sia impossibile ripristinare la situazione anteriore al verificarsi del danno, a condizione che detta forma di risarcimento sia tale da compensare integralmente il danno subito dall’interessato

Legittimo interesse

Sentenza della Corte di Giustizia dell’Unione europea, Sezione 9, del 4 ottobre 2024, n. 621/22

Non è la prima volta che la Corte di Giustizia si è espresso in materia di legittimo interesse (Art. 6 par. 1 lett. f). In questo caso la Corte

Una Federazione sportiva aveva utilizzato il legittimo interesse come base giuridica per la condivisione dei dati dei soci con due sponsor per uso promozionale. I dati personali forniti a queste organizzazioni comprendevano il nome, il sesso e l’indirizzo rispettivamente di 300.000 e 50.000 membri destinati ad essere ricontatti con iniziative pubblicitaria via telefono o posta.

La CGUE è stata coinvolta in riferimento al concetto di legittimo interesse e se un interesse commerciale di un titolare come la fornitura di dati personali a fronte di un corrispettivo e senza consenso possa essere considerato un legittimo interesse.

La CGUE ha concluso che il trattamento dei dati personali che consiste nella divulgazione, a titolo oneroso, dei dati personali dei membri di una federazione sportiva, al fine di soddisfare un interesse commerciale del titolare del trattamento, può essere considerato necessario ai fini dei legittimi interessi perseguiti da tale titolare.

L’interesse puramente commerciale, quindi, come la vendita di dati personali per scopi di marketing può qualificarsi come interesse legittimo.

Come ha in precedenza precisato la corte, infatti, non è necessario che “l’interesse perseguito da un titolare del trattamento sia previsto dalla legge affinché il trattamento dei dati personali effettuato da tale titolare sia legittimo ai sensi” dell’art. 6, par.1, lett. f) del GDPR.

Profilazione

Conclusioni dell’avvocato Generale della Corte di Giustizia dell’Unione europea, del 12 settembre 2024, n. 203/22

In attesa della Sentenza della Corte di giustizia un interessante caso di credit scoring. Più precisamente il caso riguarda un cittadino a cui era stato negato un contratto di telefonia mobile a seguito di un controllo del credito (credit scoring) automatizzato condotto da un’azienda terza, che aveva portato ad una decisione completamente automatizzata, senza alcun intervento umano.

Nonostante lo stesso cittadino avesse tentato di comprendere come fossero stati trattati i suoi dati personali e la logica alla base della decisione automatizzata che l’aveva riguardato, l’azienda si era rifiutata di rivelare i dettagli, adducendo che il proprio algoritmo era tutelato dalla Direttiva (UE) 2016/943, in quanto segreto commerciale. In settembre l’avvocato generale della Corte di giustizia ha reso le conclusioni nella causa, di seguito le principali posizioni in tema di processo decisionale automatizzato, compresa la profilazione (Art. 22 GDPR).

1. Quando un interessato è sottoposto a un processo decisionale automatizzato, compresa la profilazione, di cui all’articolo 22 del regolamento 2016/679, le «informazioni significative sulla logica utilizzata» nell’ambito di detto processo decisionale automatizzato cui tale persona ha diritto di accedere vertono sul metodo e sui criteri utilizzati a tal fine dal titolare del trattamento.
2. Dette informazioni devono consentire all’interessato di esercitare i diritti che gli sono garantiti dal regolamento 2016/679 e, in particolare, da detto articolo 22. Esse devono quindi essere concise, facilmente accessibili e di facile comprensione, e formulate in un linguaggio semplice e chiaro. Inoltre, esse devono essere sufficientemente complete e contestualizzate da consentire a detta persona di verificarne l’esattezza e se esista una coerenza e un nesso di causalità oggettivamente verificabile tra, da un lato, il metodo e i criteri utilizzati e, dall’altro, il risultato cui è pervenuta la decisione automatizzata di cui trattasi.
3. Per contro, il titolare del trattamento non è tenuto a divulgare all’interessato informazioni che, in ragione del loro carattere tecnico, presentano un livello di complessità tale da non poter essere comprese dalle persone che non dispongono di una competenza tecnica particolare, il che consente di escludere la comunicazione degli algoritmi utilizzati nell’ambito del processo decisionale automatizzato.

Contratti collettivi di lavoro e regolamentazione privacy

Sentenza della Corte di Giustizia dell’Unione europea, Sezione 8, del 19 dicembre 2024, n. 65/23

La Corte di giustizia ha affrontato la protezione dei dati personali nel contesto lavorativo, in particolare riguardo all’articolo 88 del Regolamento (UE) 2016/679 (GDPR).

In questa decisione, la Corte ha stabilito che le disposizioni nazionali che regolano il trattamento dei dati personali dei dipendenti devono rispettare i principi fondamentali del GDPR, inclusi gli articoli 5 (principi relativi al trattamento dei dati personali), 6(1) (condizioni per il trattamento lecito dei dati) e 9(1) (trattamento di categorie particolari di dati personali).

Inoltre, la Corte ha chiarito che, sebbene gli accordi collettivi possano stabilire regole specifiche per il trattamento dei dati personali dei dipendenti, tali disposizioni devono essere conformi al GDPR.

In sintesi, la Corte ha ribadito l’importanza di garantire la protezione dei dati personali nel contesto lavorativo, assicurando che le normative nazionali e gli accordi collettivi siano in linea con i principi stabiliti dal GDPR.

GIURISPRUDENZA ITALIANA

• Ordinanza della Corte di Cassazione, Sezione lavoro, del 10 ottobre 2024

Diritto di critica all’interno dei rapporti di lavoro. Si tratta di un caso di licenziamento intimato per la pubblicazione via social di frasi denigratorie contro l’azienda datore di lavoro.

• Sentenza del Tribunale di Torino, Sezione Lavoro, del 12 marzo 2024 n.231

Il caso riguarda la nota società di Food delivery (Foodinho, controllata di GLOVO) in merito alla disciplina sulla profilazione e sul processo decisionale automatizzato nel contesto della gestione delle risorse umane.

• Ordinanza della Corte di Cassazione, Sezione L-Civile, del 20 novembre 2024 n. 30079

La Corte di Cassazione torna sul tema della legittimità dei cd. “controlli difensivi” o “controlli occulti” nell’ambito dei rapporti di lavoro, cioè quei controlli che non devono sottostare alle prescrizioni di cui all’articolo 4 dello Statuto dei Lavoratori.

• Ordinanza della Corte di Cassazione, Sezione L-Civile, del 3 giugno 2024 n. 15391

La Cassazione interviene in merito alla qualificazione del Telepass come strumento di lavoro ai sensi dell’articolo 4 comma 2 dello Statuto dei Lavoratori, e conseguentemente della necessaria informativa per l’utilizzo dei dati ai fini disciplinari ai sensi del comma 3 della stessa disposizione di legge.

[ved. anche: Strumenti di lavoro o strumenti di controllo? Facciamo chiarezza]

• Ordinanza della Corte di Cassazione, Sezione 1-Civile, del 16 settembre 2024 n. 24797

Il provvedimento verte sulla legittimità della registrazione occulta della riunione tra il dipendente e la dirigenza, ai fini dell’utilizzabilità dell’audio come prova in giudizio.

• Ordinanza della Corte di Cassazione, Sezione L-Civile, del 12 novembre 2024 n. 29135

Il caso esaminato dalla Cassazione riguarda la legittimità delle prove raccolte da un’agenzia investigativa ai fini del licenziamento di un dipendente, ai sensi dell’articolo 3 dello Statuto dei Lavoratori.

• Ordinanza del Tribunale di Udine, Sezione L, dell’1 agosto 2024

Un dipendente si rifiuta di sottoscrivere per accettazione e presa visione la nomina come autorizzato al trattamento, negando espressamente la propria volontà a trattare – per ragioni di servizio – dati sensibili altrui e si era dichiarata in attesa di ricevere un diverso incarico lavorativo. Il Datore di Lavoro reagisce arrivando alla sospensione dal servizio e dalla retribuzione per dieci giorni. Il Tribunale di Udine ha confermato la legittimità del provvedimento disciplinare irrogato nei confronti della dipendente.

[ved. anche: Privacy e rapporti di lavoro: di chi è la responsabilità in caso di violazioni del GDPR?]

• Sentenza della Corte di Cassazione, Sezione 5-Penale, del 31 ottobre 2024 n. 40295

In merito all’applicazione della disciplina sull’accesso abusivo ad un sistema informatico, di cui all’articolo 615-ter del C.P., nei confronti di un dirigente che, non avendo più l’accesso ad una banca dati (per volontà del datore di lavoro), chiede le credenziali ad un dipendente sotto ordinato autorizzato.

PROVVEDIMENTI DI AUTORITA’ NAZIONALI

• Provvedimento del 6 giugno 2024 – Documento di indirizzo. Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati

In merito alla disciplina sulla conservazione dei metadati di posta elettronica a seguito della consultazione pubblica avviata a febbraio 2024.

[ved. anche:I Metadati della posta elettronica dipendenti: sarà l’ultimo capitolo?]

• Provvedimento dell’11 aprile 2024 – Videosorveglianza

I provvedimenti sulla non corretta installazione di un sistema di videosorveglianza del Garante sono molteplici. Questo caso è interessante in quanto riguarda l’utilizzo delle immagini in sede disciplinare per contestare il mancato rispetto dell’orario di servizio.

[ved. anche: Videosorveglianza e controllo datoriale ecco le regole da rispettare

• Provvedimento del 7 marzo 2024 – Esercizio dei diritti dipendenti

L’esercizio del diritto di accesso non può e non deve mai essere sottovalutato. Lo ribadisce il Garante in merito all’applicazione dell’articolo 15 del GDPR nei confronti delle richieste di diritto di accesso da parte di dipendenti ed ex-dipendenti nei confronti dell’azienda datrice di lavoro.

[ved. anche: Il “diritto di accesso” secondo la Corte di Giustizia UE] 

• Provvedimento del 20 maggio 2024 – Web scraping ed intelligenza artificiale generativa

Il Garante fornisce le prime indicazioni sul fenomeno della raccolta massiva di dati personali dal web per finalità di addestramento dei modelli di intelligenza artificiale generativa. Inoltre l’Auotirà segnala possibili azioni di contrasto che i gestori di siti internet e di piattaforme online, sia pubblici che privati, operanti in Italia, quali titolari del trattamento dei dati personali oggetto di pubblicazione, potrebbero implementare al fine di prevenire la raccolta di dati da parte di terzi per finalità di addestramento dei modelli di intelligenza artificiale

• Nota dell’Ispettorato Nazionale del Lavoro 7020 del 25/09/2024 – Indicazioni operative in ordine al rilascio di provvedimenti autorizzativi ex art. 4 L. 300/1970.

In merito all’applicazione dell’articolo 4 dello Statuto dei Lavoratori nei confronti di strumenti idonei al controllo a distanza installati da una società committente, terza rispetto al rapporto di lavoro (caso del GPS installato nelle autovetture per volontà della società fornitrice degli automezzi).