GDPR: cresce la consapevolezza del diritto alla tutela dei dati personali

Nell’ultima relazione presentata dal Garante della Privacy, è emerso come l’improvviso spostamento nell’ambito virtuale di gran parte delle attività lavorative sia stato accompagnato da una crescita dei data breach notificati, molti dei quali in ambito sanitario.

 

Il 2 luglio 2021 l’Autorità Garante della Privacy ha presentato la Relazione annuale sull’attività svolta nel 2020: un anno particolarmente delicato, segnato dalla pandemia, che però non ha fermato il lavoro del nuovo Collegio, insediatosi a luglio 2020. La relazione è pertanto l’occasione per fare il punto della situazione attuale, sull'adeguamento al Regolamento GDPR, nonché del lavoro svolto durante i primi mesi del nuovo mandato del Collegio.

 

Garante della Privacy e GDPR

Il Garante della Privacy (Garante per la Protezione dei Dati Personali) è l’autorità di controllo nazionale italiana, un’autorità amministrativa indipendente, competente, tra l'altro, nella gestione dei reclami per eventuali violazioni delle norme nazionali a tutela della privacy e nell'adozione dei provvedimenti previsti dal GDPR.

Il GDPR (General Data Protection Regulation), il Regolamento UE entrato in vigore nel 2018 per tutti gli Stati membri, che disciplina il trattamento e la libera circolazione dei dati personali, ha innovato la normativa introducendo:

  • il principio di extraterritorialità, con l'obiettivo di una protezione onnicomprensiva e transfrontaliera dei dati;
  • la responsabilità del Titolare del trattamento dei dati;
  • la nomina, tassativa in specifici casi, del Responsabile della protezione dei dati (DPO – Data Protection Officer), che ha il compito di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle aziende;
  • l’ampliamento dei diritti dell’interessato;
  • un deciso inasprimento delle sanzioni amministrative pecuniarie, che si pongono quale elemento centrale del GDPR.

Dalla Relazione 2020 emerge l’impegno del Garante, oltre che nel suo ruolo istituzionale di protezione dei diritti delle persone, nel sollecitare l’adeguamento di soggetti pubblici e privati al Regolamento UE. Ed infatti, numerose sono state le sanzioni comminate proprio per il mancato adeguamento alla normativa.

 

Relazione 2020 sull’attività del Garante della Privacy: cooperazione istituzionale

Relazione Garante Privacy 2021
Infografica dalla Relazione Annuale dell'Autorità Garante della Privacy

Il 2020 è stato un anno particolarmente impegnativo per il Garante: la relazione sottolinea come certamente la pandemia abbia giocato un ruolo fondamentale nell’attività dell’Autorità, che ha dovuto fronteggiarne gli effetti su più fronti.

L'improvviso spostamento nell’ambito virtuale di gran parte delle attività lavorative, con lo smart working imposto a causa delle restrizioni, come anche della vita scolastica e sociale delle persone, si pensi alla didattica a distanza ma anche all’intensificarsi della presenza sui social network di tutta la popolazione, chiusa in casa per lunghi periodi, insieme alle misure introdotte per superare la crisi economica e alle iniziative dello Stato per fronteggiare l’evasione fiscale (cashback, lotteria degli scontrini, ecc.), hanno segnato un intensificarsi delle informazioni digitalizzate, soggette ad insidiosi data breach (1387 quelli notificati nel 2020 al Garante da soggetti pubblici e privati, riguardanti anche dati sanitari), che hanno richiesto un’attenta vigilanza rispetto alle implicazioni sui diritti delle persone.

L’atteggiamento tenuto dall’Autorità, si sottolinea nella Relazione, è stato improntato ad una costante, leale e sollecita cooperazione istituzionale: si è registrata una più intensa cooperazione nella fase di adozione di disposizioni rilevanti, anche se non sono mancati casi nei quali l’interlocuzione con l’Autorità non è stata invece ricercata, come, ad esempio, in relazione al tema dei bonus sociali, in materia di digitalizzazione della PA e, da ultimo alla disciplina del cosiddetto Green Pass, che, come evidenziato dal Garante nel recente provvedimento di avvertimento n. 104 del 3 maggio 2021, in assenza di interventi correttivi, può determinare la violazione di rilevanti disposizioni del Regolamento.

Secondo il Garante, è pertanto necessario continuare a cercare strumenti e modalità procedurali tali da rendere ancora più efficace la cooperazione istituzionale con l’Autorità, sempre impegnata a bilanciare, da una parte, il funzionale trattamento dei dati e, dall’altra, il rispetto dei diritti delle persone.

 

Relazione 2020 sull’attività del Garante della Privacy: dati numerici

La Relazione si apre con una grafica sui dati numerici del 2020, tra cui spiccano le sanzioni: più di 38 milioni di euro riscossi, a fronte di quasi 9 mila riscontri a reclami e segnalazioni ricevute e 148 decisioni sugli stessi. Una tendenza che indica una maggiore consapevolezza della possibilità di usare gli strumenti di tutela della normativa sulla privacy, oltre che, come già sottolineato, un inasprimento delle sanzioni pecuniarie.

Le relazioni con il pubblico sono state intense, con 15mila quesiti posti all’Autorità, che hanno riguardato non solo gli adempimenti derivanti dall’applicazione del GDPR ma anche questioni legate al telemarketing indesiderato, ai rapporti di lavoro sia pubblico che privato, alla videosorveglianza, alle informazioni sanitarie ecc.

In aumento i provvedimenti collegiali adottati dal Garante (sono stati 278 nel 2020), e i pareri resi dal Collegio su atti regolamentari e amministrativi (in tutto 60, rispetto ai 46 del 2019); sostanzialmente in pareggio rispetto all’anno precedente i pareri su norme di rango primario statale (che sono stati 7 nel 2020 e 6 nel 2019), le notizie di reato all’autorità giudiziaria (8 nel 2020, 9 nel 2019) e le notifiche di violazione dei dati personali (1378 nel 2020, 1443 nel 2019).

Nel 2020 il Garante ha partecipato a ben 179 riunioni internazionali (a fronte delle 137 del 2019), svoltesi tutte in modalità virtuale, data la situazione, ma che confermano il peso crescente dell’Autorità italiana in ambito internazionale.

Diminuiscono invece le ispezioni: solo 21 nel 2020, a fronte delle 147 del 2019, con un calo da imputare essenzialmente alle restrizioni imposte dall’emergenza epidemiologica che ha caratterizzato l’anno in oggetto.

Discorso a parte meritano poi alcuni numeri che non è possibile confrontare rispetto agli anni precedenti perché il GDPR ne ha rinnovato la disciplina: è il caso delle notificazioni al Garante di violazioni della sicurezza e le verifiche preliminari sulla correttezza dei trattamenti (cioè i provvedimenti sostanzialmente autorizzativi che costituivano una fonte di certezza per le imprese pubbliche e private) che ora spettano al Titolare del trattamento dei dati, il quale ha l’onere e la responsabilità di scegliere la condotta da tenere, a pena delle sanzioni amministrative in caso di violazione degli obblighi imposti dal GDPR.

 

Ambiti di intervento 2020: tutela dei diritti fondamentali

Dalla Relazione emerge che nel 2020 l’Autorità Garante della Privacy è intervenuta su moltissimi ambiti, a partire dalle questioni legate alla tutela dei diritti fondamentali online: particolare attenzione è stata rivolta ai minori, con un importante intervento nei confronti di Tik Tok in merito alla verifica dell’età degli iscritti alla piattaforma, spesso al di sotto dell’età minima prevista. A tale riguardo, è stata lanciata una campagna informativa, in collaborazione con Telefono Azzurro, per sensibilizzare i genitori al tema ed invitarli a sorvegliare sull’utilizzo dei social network da parte dei propri figli. Anche WhatsApp (per la scarsa chiarezza dell'informativa privacy), Clubhouse (per l'uso di dati biometrici) e Clearview (circa le modalità di funzionamento del software di riconoscimento facciale) sono finite sotto la lente dell’Autorità.

Altri interventi hanno riguardato:

  • il fenomeno del deep nude;
  • il contrasto al revenge porn, mediante l’attivazione di un canale di emergenza che possa aiutare e sostenere coloro che temono la diffusione di immagini e video senza il dovuto consenso;
  • la tutela delle vittime di cyberbullismo, con l’avvio di una campagna di sensibilizzazione per contrastare queste forme di violenza;
  • il fenomeno dei ransomware, fornendo indicazioni su come difendersi da questi attacchi, particolarmente diffusi soprattutto durante la pandemia.

Per quanto riguarda la tutela dei consumatori particolare importanza ha rivestito il numero di segnalazioni di telemarketing aggressivo, a cui il Garante ha fatto fronte applicando severe sanzioni per l’utilizzo senza consenso dei dati degli abbonati.

Nel corso del 2020 sono state inoltre adottate nuove Linee guida in materia di informativa e consenso per l’uso di cookie, affinché la profilazione online avvenga secondo la normativa.

Merita un cenno anche l’intervento dell’Autorità in ambuto giornalistico ed al rapporto tra privacy e diritto di cronaca, volto ad evitare la spettacolarizzazione di vicende tragiche e a tutelare le vittime di abusi e violenze. Secondo il Garante l'attività giornalistica deve sempre rispettare il canone dell'essenzialità ed in tal senso si è rafforzata l’attività svolta a tutela del diritto all’oblio.

Giustizia, sanità, lavoro e welfare

Nel settore giustizia la relazione pone l’accento sul recepimento delle indicazioni relative all’uso dei captatori informatici nelle intercettazioni e sulla necessità di riformare le norme in tema di acquisizione dei tabulati telefonici.

Per ciò che riguarda i diritti dei detenuti è stata richiesta l’adozione di garanzie a tutela della riservatezza dei colloqui.

Particolarmente importanti le pronunce dell’Autorità in merito all’utilizzo e alla produzione in giudizio dei dati personali da parte degli avvocati: secondo il Garante spetta al giudice la competenza a valutare la liceità del trattamento in giudizio dei dati personali dell'interessato (come stabilito dal Codice della privacy), a prescindere dal fatto che nel raccogliere le prove siano stano violate norme della privacy. Il Garante ha aggiunto che una rigida restrizione sulla privacy finirebbe per contrastare il libero svolgimento dell’attività di assistenza legale, riconoscendo dunque all’avvocato il diritto di scegliere la strategia difensiva da utilizzare e legittimando il trattamento anche di particolari dati, se necessari per accertare, esercitare o difendere un diritto in sede giudiziaria.

Nel settore sanitario l’Autorità ha fornito chiarimenti ed indicazioni alle strutture sanitarie, pubbliche e private, ed ai medici in merito al corretto trattamento dei dati dei pazienti. Particolare rilievo ha avuto il contributo fornito per la definizione delle garanzie legate all’utilizzo dell’app Immuni, con riguardo all’adesione su base volontaria al sistema di contact tracing digitale e all’utilizzo dei dati raccolti. Il Garante si è inoltre occupato di assicurare precise garanzie a tutela dei dati personali per quanto riguarda le certificazioni verdi (cosiddetti green pass).

Nell'ambito del lavoro, nel 2020 il Garante ha preso decisioni in merito alla tutela dei lavoratori dei call center e delle piattaforme di delivery. Nell’anno della pandemia, il largo utilizzo dello smart working ha posto la necessità di tutelare i lavoratori, ed il Garante in tal senso ha chiesto che fosse assicurato loro il diritto alla disconnessione.

Importante anche il via libera dell’Autorità in tema welfare, in merito all’incrocio dei dati per i controlli dell’INPS ai beneficiari del Reddito di Cittadinanza.

 

Pubblica Amministrazione e sistema fiscale

Anche la Pubblica Amministrazione non è esente dagli obblighi imposti dalla normativa sulla tutela della privacy. In particolare, il Garante sottolinea la necessità di:

  • contemperare gli obblighi di pubblicità degli atti con il rispetto della dignità delle persone;
  • evitare diffusioni illecite di dati personali;
  • regolamentare l’esercizio del diritto di accesso civico;
  • tutelare chi denuncia illeciti sul luogo di lavoro, cosiddetto whistleblowing;
  • garantire la pseudonimizzazione dei dati raccolti per il nuovo censimento permanente.

Il 2020 è stato un anno ricco di interventi dello Stato nel sistema fiscale: cashback, lotteria degli scontrini, bonus vacanze e bonus mobilità ne sono esempio. In questo ambito il Garante è intervenuto dando il via libera a tali provvedimenti, sempre sottolineando la necessità di tutelare i consumatori. Anche per ciò che riguarda la fatturazione elettronica si è ribadita la necessaria proporzione e selezione dei dati dei contribuenti memorizzati dal sistema.

 

Attività internazionale

Come già sottolineato, il 2020 è stato un anno di grande cooperazione internazionale. Le 179 riunioni internazionali hanno impegnato il Garante nell’adozione di pareri e raccomandazioni in tema di:

  • geolocalizzazione, utilizzata per arginare il diffondersi della pandemia;
  • ruolo del Titolare del trattamento e DPO;
  • trasferimento dati verso Paesi extra-UE;
  • protezione dati nel Regno Unito dopo la Brexit;
  • interazione tra GDPR e direttiva e-Privacy, in ambito di comunicazioni elettroniche.

In ambito europeo, il Comitato che si occupa della protezione dati, presieduto da un rappresentante dell’Autorità italiana, ha adottato le Linee guida sulla protezione dei minori nei contesti educativi, tema molto sentito soprattutto a seguito dell’introduzione della didattica a distanza, resasi necessaria per arginare la diffusione del Covid-19, e le Linee guida in tema di riconoscimento facciale.

Il Garante ha altresì collaborato con l’OCSE per revisionare le Linee guida in materia di privacy e di protezione dei minori online, ed è stato impegnato nell’attività di controllo sull’applicazione nazionale dei regolamenti UE riguardanti il sistema Schengen, Europol e VIS.

Nell'ambito dell’attività di formazione l’Autorità è stata impegnata a supportare le imprese pubbliche e private con progetti di cooperazione, anche internazionale, finalizzati alla corretta ed effettiva applicazione del Regolamento UE. Si pensi, al riguardo, alla nuova figura del DPO: a far data dall'entrata in vigore del GDPR (28 maggio 2018), nomina, pubblicazione e comunicazione al Garante dei dati di contatto del Responsabile della protezione dei dati è obbligatoria per tutti gli enti pubblici e per i privati che trattano su larga scala, come attività principale, dati sensibili, biometrici e genetici, nonché per coloro che compiono monitoraggio regolare sistematico delle persone. Nel 2020 non sono mancate sanzioni proprio per la violazione di tali obblighi, sia a soggetti pubblici che privati. In questo ambito l'opera di supporto alle impese da parte dell'Autorità è risultato essenziale, specie con riferimento ai privati, per i quali non sempre risulta agevole stabilire i casi in cui sussiste l’obbligo di nomina del DPO.

 

Considerazioni finali

Il GDPR impone che tutte le imprese, pubbliche e private, pongano particolare attenzione al trattamento dei dati, nel rispetto dei diritti delle persone, predisponendo al loro interno processi di gestione della mole di dati trattati e rafforzandone le misure di protezione. Del resto, dalla Relazione emerge chiaro l’intento dell’Autorità di dare piena attuazione al Regolamento, dimostrato dal fatto che non si è tirata indietro neanche dinanzi ai grandi colossi del mondo virtuale e non ha mancato di sanzionare le inefficienze della Pubblica Amministrazione e delle imprese private in tema di tutela della privacy. A fronte del grande impegno del Garante, lo stesso ribadisce che le imprese hanno l'obbligo, non solo giuridico ma anche morale, di provvedere ad adeguare i loro sistemi e a monitorarne il corretto funzionamento nel tempo.

 

COMPILA IL MODULO PER RICHIEDERE INFORMAZIONI