Il 6 luglio 2023 il Garante per la Protezione dei Dati Personali, come ogni anno, ha presentato la propria relazione sull’attività svolta. Come già fatto anche in precedenza, cogliamo l’occasione per analizzare alcuni dei citati provvedimenti collegati all’attività del 2022. Apprendiamo (o ribadiamo!) qualche importante nozione utile a evitare errori, e mantenere in azienda un sistema di gestione dei dati conforme ed efficace.
Tra i temi a cui il Garante dà sempre maggiore attenzione, compaiono argomenti come le implicazioni etiche della tecnologia, la tutela dei minori sul web, l’intelligenza artificiale, i metaversi, e altri fenomeni del mondo digitale quali lo sharenting e il social scoring. E la tecnologia (sebbene non sempre d’avanguardia!) è un frequente leitmotiv anche nella giurisprudenza sulla privacy.
Ecco allora 4 lezioni sul trattamento di dati personali nel mondo dei servizi digitali, che possiamo apprendere dall’attività del Garante del 2022.
Indice
Accesso all’account di posta elettronica
La gestione della posta elettronica nelle aziende è una di quelle attività intorno alle quali i dubbi sulla protezione dei dati non hanno mai fine. Le e-mail, dopotutto, spesso sono il terreno di scontro su cui i diritti dei lavoratori si battono con gli interessi delle aziende.
Nella giurisprudenza, il Garante – arbitro di tali contese – ha tendenzialmente supportato la tutela del lavoratore, sanzionando le azioni illecite dei datori di lavoro. E anche nel 2022 ha ribadito alcuni punti fermi.
Un primo spunto nasce dal caso di una società che, senza preavvisi né comunicazioni successive, ha improvvisamente impedito a una propria agente l’accesso e l’utilizzo della casella di posta, ancora attiva e utilizzata per le relazioni commerciali. Il lavoratore va sempre informato in maniera esaustiva sul trattamento dei suoi dati, nel rispetto dei suoi diritti, delle libertà fondamentali e della reputazione professionale. E gli adempimenti si applicano a prescindere dalla forma contrattuale del rapporto di lavoro, anche nei casi di caselle utilizzate da collaboratori in forma di lavoro autonomo.
Un’altra controversia è nata invece tra un’associazione di volontariato e il suo ex presidente, espulso dall’organizzazione. Nel caso in questione, l’account di posta elettronica precedentemente messo a disposizione dall’associazione veniva bloccato, rendendo impossibile all’ex presidente riappropriarsi di documenti e informazioni personali. La rigida scelta adottata dall’associazione è stata bocciata dal Garante, soffermatosi sull’importanza di garantire l’accesso (sia pure temporaneo) alla casella di posta elettronica. Occorre infatti garantire la libertà della corrispondenza (tutelata dall’art. 15 della Costituzione). Che, nel caso in questione, era ciò che consentiva all’interessato di recuperare elementi eventualmente utili per opporsi al provvedimento di espulsione e ricostruire i dati relativi alla propria precedente attività di socio.
Gestione cookie e attività di profilazione
Dopo che a gennaio 2022 sono entrate pienamente in vigore le linee guida in materia di cookie, il tema trattamenti dati sul web ha continuato a essere seguito dall’Autorità. Attualmente, il Garante sta valutando eventuali interventi collegati alla prassi, particolarmente diffusa nel campo dell’editoria digitale, di costringere l’utente a una scelta del tipo: “per vedere questo contenuto, o acconsenti ai cookie, o ti abboni al servizio (a pagamento)”. Si scoprirà l’esito di questa valutazione al termine dell’istruttoria; ma, fin da ora, dall’attività del Garante 2022 si comprende che l’attenzione alla conformità dei siti web è alta, ed è bene tenere monitorata la conformità legale del proprio sito (o dei propri siti!).
La questione cookie diventa poi particolarmente rilevante quando entrano in gioco attività di profilazione degli utenti. Il caso tipico, piuttosto comune, è quello dell’elaborazione dei dati di navigazione con finalità di marketing e advertising. Tale attività (c.d. remarketing) può essere svolta solo in presenza di adeguate condizioni di liceità, tipicamente garantite solo dall’utilizzo di idonei meccanismi per la raccolta di un consenso libero e specifico (ved. Lezioni di GDPR: il consenso al trattamento dati).
Anomalie tecniche e fornitori inefficienti
Solo chi non fa non sbaglia. Come ci insegna la tradizione popolare, l’errore è inevitabile per ogni persona che agisca. E, come per ogni cosa umana, anche la nostra tecnologia è soggetta ad anomalie di funzionamento.
È il caso di un provvedimento del Garante diretto a una società che gestiva due siti web di comparazione prezzi. Le piattaforme erano utilizzate, tra le altre cose, per raccogliere dati degli utenti e creare database di contatti destinati ad attività di marketing. L’errore, in questo caso, era rappresentato da un bug, per via del quale la volontà di 9.700 utenti non è stata correttamente recepita. Il sistema aveva registrato a loro insaputa un conferimento di consenso al trattamento di dati per finalità promozionali, involontariamente “prestato” tramite un semplice accesso a una e-mail.
Attenzione quindi ad errori, malfunzionamenti, obsolescenza, anomalie… almeno a quelli più gravi, che – per quanto non intenzionali – si pagano.
Gli errori, d’altronde, si pagano anche se non sono di propria diretta competenza, bensì imputabili a un fornitore nel ruolo di Responsabile del trattamento. Ad esempio, nella sua attività 2022, il Garante ha sanzionato il titolare di un sito web – un portale contenente i recapiti di diversi operatori shiatsu, raccolti in occasione della loro partecipazione a corsi di formazione di tale disciplina – che non aveva dato riscontro né soddisfatto le richieste di un interessato di cancellare i suoi dati, pubblicati online a sua insaputa. La gestione del sito era stata infatti completamente delegata ad un responsabile esterno. Questo, a sua volta, non era stato in grado di dare riscontro alle richieste del titolare. Sulla negligenza del Titolare, il Garante ha scritto: “[…] la Società avrebbe dovuto disporre di misure adeguate ad intervenire a tutela dei dati trattati e, più in generale, del proprio patrimonio aziendale non essendo ammissibile che il titolare del trattamento diventi così facilmente “ostaggio” di chi gestisce un servizio per suo conto.”
Violazione dei diritti dell’interessato in rete
Le più importanti decisioni nell’attività del Garante 2022, e le sanzioni applicate al mondo digitale hanno ovviamente riguardato le violazioni su larga scala. Trattasi di circostanze in cui gli impatti delle violazioni sono particolarmente importanti per via delle tipologie di dati trattati o della sofisticatezza delle tecnologie utilizzate.
Meritano quindi di essere citati alcuni esempi:
- il caso di Clearview AI, che ha visto coinvolto l’utilizzo di un sistema di riconoscimento facciale per l’analisi di immagini di miliardi di persone raccolte da fonti online pubbliche tramite tecniche di web scraping e sistemi di intelligenza artificiale. Parliamo di un trattamento di dati biometrici su larga scala svolto in assenza di adeguate condizioni di liceità e in violazione degli obblighi di trasparenza, di limitazione della finalità e della conservazione;
- il caso del social network Clubhouse, con cui erano trattati dati di milioni di utenti, conservandone per tempi indefiniti le registrazioni vocali (ved. Da “La Zanzara”, a “Le Iene”, a Clubhouse: l’impatto della voce e delle registrazioni vocali sulla privacy). La gestione dei dati degli utenti (es. profilazione, condivisione dei dati con gli altri utenti) avveniva in violazione dei principi di liceità e di trasparenza;
- il caso di TikTok, destinataria di un provvedimento di avvertimento generale per la somministrazione di pubblicità personalizzata, effettuata attraverso la profilazione dei comportamenti degli utenti all’interno del social network, in assenza del consenso degli utenti, pertanto in mancanza di un’idonea condizione di liceità.
La lezione per tutti da imparare dai provvedimenti rivolti alle grandi società del mondo tech? Come abbiamo ricordato tante volte, una adeguata valutazione di impatto (DPIA) ex art. 35 GDPR, può consentire di identificare, prevenire, gestire, correggere i possibili “difetti” e rischi nel trattamento di dati. È bene, quindi, iniziare a mettere a sistema delle efficaci procedure di DPIA.