- Data breach, Garante Privacy sanziona Postel per 900mila euro Una vulnerabilità, nota da tempo, ha reso inadeguate le misure di sicurezza e agevolato l’attacco
- Garante: stop al software che accede all’email del dipendente Sanzione di 80mila euro a un’azienda che effettuava i backup durante il rapporto di lavoro
- Calendario Corsi Videoconferenza Novembre – Dicembre 2024
- Le prime indicazioni dell’Ispettorato sulla patente a crediti
- D.lgs. resilienza dei soggetti critici, ok del Garante ma più tutele per la privacy
- Dal Garante Privacy sanzione di 5mln di euro a un fornitore di luce e gas Agenti porta a porta attivavano contratti non richiesti a clienti ignari
- Calendario Corsi Videoconferenza Settembre – Ottobre 2024
- L’obbligo di impedire l’instaurarsi di prassi di lavoro non sicure
- L’obbligo di Vigilanza del Datore di Lavoro sul comportamento del Preposto
- Telemarketing, dal Garante sanzione di oltre 6 milioni di euro a Eni Plenitude Dei 747 contratti stipulati in una “settimana campione”, 657 sono arrivati da un contatto illecito
- Il tempo di cui l’RSPP deve disporre per poter svolgere i suoi compiti
- GDPR e intelligenza artificiale, il Report della task force europea su ChatGPT
- Concorsi della P.A.: online solo le graduatorie definitive dei vincitori Il Garante sanziona l’INPS per illecita diffusione di dati personali
- Calendario Corsi Videoconferenza Giugno – Luglio 2024
- Telemarketing: dal Garante Privacy sanzioni di 100mila euro a due gestori di energia Telefonate senza consenso e attivazione di contratti non richiesti
- Lavoro: Garante Privacy, il dipendente ha il diritto di accedere ai propri dati Sanzione di 20mila euro ad una banca
- GDPR: L’ importante ruolo del “Referente privacy”
- Pa: trasparenza siti, il Garante Privacy chiede più tutele per i dati personali
- Dossier sanitario: il Garante Privacy sanziona una Asl
- Quando il preposto è ritenuto responsabile dell’infortunio accaduto a un lavoratore
“Like” di Facebook: conseguenze sul trattamento dei dati personali
La questione, questa volta, ha avuto inizio con un’azione inibitoria avviata da un’associazione tedesca per la tutela dei consumatori nei confronti di una società di moda che commercializza articoli online, fondata su una presunta violazione della normativa sulla protezione dei dati. Il riferimento è ancora alla Direttiva Europea 95/46, sostituita dal Reg. UE 679/2016 (GDPR), ma le questioni affrontate rimangono valide e ugualmente problematiche anche con la nuova disciplina europea.
In particolare, l’azione giudiziaria si basa su una situazione molto diffusa sul web: questa società, infatti, ha inserito all’interno del suo sito Internet il pulsante “Like” di Facebook, con la conseguenza che, ogniqualvolta un utente accede al sito, le informazioni relative all’indirizzo IP e alla stringa del browser dell’utente vengono inviate direttamente a Facebook. Da tempo la Corte di Giustizia ha dichiarato che anche l’indirizzo IP può essere considerato quale dato personalee da qui nasce, infatti, il problema: questo trasferimento di dati avviene in modo automatico, con l’accesso al sito, vale a dire senza che l’utente clicchi materialmente il pulsante “Like” e, addirittura, indipendentemente dal fatto che questi abbia o meno un account Facebook.
Il problema è arrivato alla Corte di Giustizia dell’Unione Europea, perché il Tribunale Superiore del Land di Düsseldorf, ha richiesto, con rinvio pregiudiziale, alcuni chiarimenti in merito alla corretta interpretazione della normativa in ambito privacy ed alle possibili violazioni realizzatesi.
In particolare, il Tribunale tedesco ha interrogato i Giudici Europei per capire se la società possa essere considerata responsabile o corresponsabile del trattamento dei dati raccolti, insieme a Facebook, e se esiste un dovere in capo al titolare del sito web di informare le persone interessate di questo trattamento e di raccoglierne il consenso.
Le questioni da chiarire
Per prima cosa, il Giudice tedesco ha domandato se la normativa europea fosse in contrasto con una normativa nazionale che consente alle associazioni per la tutela degli interessi dei consumatori di azionarsi nei confronti di presunti autori di violazioni delle leggi in materia di protezione dei dati.
In questo caso, precisiamo che un simile dubbio non si pone più con l’applicazione del nuovo regolamento UE 2016/679 (GDPR), che all’art. 80, paragrafo 2, conferisce espressamente alle associazioni la legittimazione in questione, risolvendo alla radice i problemi determinati dalla precedente normativa.
Al giorno d’oggi, è prassi che i siti web inseriscano contenuti di terze parti al loro interno. È quindi molto importante, come esposto dal Giudice tedesco, che si chiarisca se i titolari e i gestori dei siti debbano essere considerati responsabili del trattamento o corresponsabile per qualsiasi trattamento di dati personali successivo alla raccolta tramite il sito stesso ed effettuato da Facebook in relazione ai dati raccolti.
È vero che la più recente giurisprudenza della Corte di Giustizia UE ha sostenuto che corresponsabile del trattamento dei dati deve essere considerato il soggetto che abbia reso possibile la raccolta e il trasferimento di quei dati. Seguendo tale indirizzo, si arriva alla conclusione che i gestori dei siti devono essere considerati quali corresponsabili del trattamento.
Da quanto sopra però emerge una chiara problematica relativamente ad una nozione di corresponsabilità che rischia così di essere troppo ampia. Infatti, nulla impedirebbe di ricomprendere all’interno di tale nozione anche gli utenti di un’applicazione online (quale può essere un social network), i quali, creando un proprio account, forniscono parametri riguardo al modo in cui tale account dovrà essere strutturato e riguardo le informazioni che preferiscono ricevere.
La Corte, conscia di tale problematica, ha infatti anche precisato che l’esistenza di una corresponsabilità non vuol dire che il grado di responsabilità nell’ambito di queste attività di trattamento di dati personali sia lo stesso per tutti i soggetti coinvolti, ma andrà valutato caso per caso tenendo conto di tutte le circostanze rilevanti.
La Corte sembrerebbe quindi perfettamente consapevole, da quanto riportato sopra, che rendere tutti responsabili in egual modo potrebbe finire con il significare, nella realtà dei fatti, che nessuno sarebbe più effettivamente responsabile.
In quest’ottica, la responsabilità della società tedesca dovrebbe essere limitata alla fase del trattamento dei dati a cui concretamente partecipa, ovvero alla raccolta dei dati (indirizzi IP degli utenti) effettuata tramite il suo sito web. Tale responsabilità non potrebbe così estendersi a eventuali fasi successive del trattamento dei dati, qualora siffatto trattamento abbia luogo al di fuori del suo controllo e sembrerebbe anche a sua insaputa.
Ultimo punto affrontato dal Tribunale tedesco riguarda la necessità di informare l’interessato del trattamento che viene fatto dei suoi dati personali e raccoglierne il consenso. Seguendo l’interpretazione riportata sopra, il ruolo del gestore del sito dovrebbe fare riferimento solamente a quelle fasi del trattamento per cui gli stessi, in quanto corresponsabili, hanno una responsabilità concreta. Di conseguenza, il consenso al trattamento deve essere prestato alla società tedesca, e non a Facebook, in quanto il trattamento dei dati ha inizio nel momento in cui un utente accede al sito web, appunto con la raccolta dell’indirizzo IP dell’utente stesso.
Ma anche l’obbligo di informazione ricade sul titolare del sito web: questo perché l’interessato deve essere correttamente informato sui trattamenti di dati che vengono effettuati prima che gli stessi abbiano inizio e avere la possibilità di decidere se vuole o meno che le attività di trattamento descritte siano effettuate.
Infatti, sia il consenso sia l’obbligo di informazione, devono essere forniti prima che i dati siano raccolti e trasferiti, pur sempre commisurando l’ampiezza di tali obblighi all’effettiva responsabilità del gestore del sito sulle operazioni di trattamento dei dati personali.
La situazione in Italia e il GDPR
L’attività di profilazione ha particolare rilievo in tema di privacy in quanto consiste in operazioni che possono mettere potenzialmente a rischio i diritti degli interessati, soprattutto laddove viene effettuata con meccanismi altamente, se non del tutto, automatizzati che classificano i soggetti sulla base dei dati personali raccolti in categorie generali e predefinite, con lo scopo, più o meno diretto, di influenzarne e, talvolta, limitarne, le scelte e le decisioni in molteplici ambiti.
Nel nostro Paese la situazione era già stata disciplinata dall’Autorità Garante con il Provvedimento dell’8 maggio 2014, dedicato specificatamente alla “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”. Con questo Provvedimento il Garante aveva precisato le attività che i gestori dei siti web devono porre in essere per tutelare i dati personali e i diritti degli interessati, stabilendo alcune regole pratiche. In particolare, il Garante aveva chiarito che, quando vengono utilizzati dei cookie per finalità di profilazione e marketing, è necessario inserire sul sito un apposito banner, che deve comparire subito ed essere ben visibile, per riportare agli utenti una serie di informazioni:
1) specificare se il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati agli utenti;
2) se il sito prevede l’utilizzo di cookie di “terze parti” (ovvero installati da qualsiasi altro sito web, diverso da quello in cui si sta navigando in quel momento);
3) rinviare, tramite link, a più approfondite informazioni, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
4) indicare all’utente che proseguendo nella navigazione il consenso all’uso dei cookie così descritto si riteneva implicitamente fornito.
A ciò si poi aggiunta la disciplina contenuta nel Regolamento Europeo sulla protezione dei dati personali (c.d. GDPR) che ha introdotto una differenza di non poco rilievo rispetto alle regole sopra riportate.
In particolare, è stato il Gruppo di lavoro Articolo 29 ad approfondire il tema della profilazione nelle proprie linee guida; quest’attività viene definita come raccolta di informazioni riguardanti un individuo o un gruppo con lo scopo specifico di analizzarne determinate caratteristiche e successivamente inserire i dati raccolti in categorie o gruppi predeterminati, per svolgere valutazioni sulle loro preferenze di consumo.
Seguendo lo schema del GDPR, si realizza profilazione in senso tecnico quando è posto in essere un trattamento automatizzato sui dati delle persone fisiche con l’obiettivo di analizzarne il comportamento, le abitudini o lo stile di vita, senza che gli interessati abbiano effettiva percezione.
Su queste basi, da un lato, il Titolare deve informare l’interessato in modo chiaro, completo ed esaustivo per renderlo effettivamente consapevole del trattamento effettuato. Dall’altro lato – e qui si riscontra la rilevante novità rispetto al Provvedimento del Garante del 2014 – il consenso dell’utente, sempre necessario quando si effettua profilazione, deve essere sempre espresso, e realizzarsi con una “manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato” (art. 4 del GDPR). Allora, ne consegue che, in caso di cookie di profilazione su siti web, in forza della nuova normativa europea non è più lecito considerare il consenso dell’utente implicitamente fornito con la prosecuzione della navigazione del sito. L’utente deve ora sempre, non solo essere previamente informato tramite il banner, dell’utilizzo di cookie di profilazione (che siano di prima parte o di terze parti, come nel caso di Facebook sopra esaminato), ma anche rilasciare esplicitamente il proprio consenso a tale trattamento dei propri dati personali.
Fonte: tomshw.it