-
Posta elettronica dipendenti e Privacy: linee guida aggiornate 2024
Con provvedimento n. 364 del 6 giugno 2024, del Garante per la privacy sono state pubblicate le nuove linee guida in tema di protezione dei dati personali nella gestione della posta elettronica dei dipendenti . Si tratta in particolare del Documento di indirizzo “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”
Nel Documento viene illustrata la normativa vigente con particolare riguardo alle possibili responsabilità per i datori di lavoro pubblici e privati .
Da segnalare una importante novità rispetto al recente documento del 6 febbraio 2024 sullo stesso tema che aveva creato molto allarme tra i datori di lavoro a causa delle forti restrizioni temporali sulla gestione delle mail dei dipendenti
In particolare nelle nuove linee guida che sostituiscono le precedenti, viene chiarito che per metadati si intendono le informazioni generate automaticamente dai server di gestione della posta elettronica aziendale riguardanti invii, ricezione e smistamento e che possono comprendere gli indirizzi email del mittente e del destinatario, indirizzi IP, orari di invio, di trasmissione o di ricezione, dimensioni e presenza di allegati.
Sono questi dati e non il contenuto nel corpo delle mail né la cosiddetta" envelope" che vanno eliminati con le scadenze molto restrittive (al massimo 21 giorni di archiviazione ) indicate dal provvedimento del 6 febbraio .
Il chiarimento ridimensiona fortemente l'impatto sulla gestione aziendale trovando un punto accettabile di equilibrio tra protezione dei dati personali ed esigenze organizzative.
Nelle linee guida del 6 febbraio 2024 si analizzava l'utilizzo di programmi forniti in modalità cloud che spesso trattano in modo generalizzato e sistematico i dati senza possibilità di disabilitare o modificare le modalità di archiviazione, con possibile violazione delle norme vigenti
Nel provvedimento il Garante chiedeva quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione
Il periodo considerato congruo sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica del lavoratore era fissato a un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore.
Per i casi in cui i datori di lavoro debbano per esigenze organizzative e produttive o di tutela del patrimonio informativo del titolare ( ad esempio, per specifiche esigenze di sicurezza dei sistemi) trattare i metadati per un periodo di tempo più esteso, si richiede adempiere agli obblighi previsti dalla normativa privacy (per esempio informativa privacy, data protection impact assessment-Dpia e legitimate interest assessment-Lia), e di espletare le procedure di garanzia previste dallo Statuto dei lavoratori (Legge 300 1970) ovvero
- pervenire ad un accordo con le rappresentanze sindacali o
- ottenere l'autorizzazione dell’ispettorato del lavoro.
-
Pubblicità in violazione GDPR: azienda responsabile per l’errore del dipendente
La Corte di Giustizia dell’Unione Europea, con Sentenza dell’11 aprile 2024, relativa alla causa C-741/21 in tema di violazione dei dati personali attraverso attività di marketing diretto, ha ritenuto responsabile il titolare aziendale del trattamento, precisando che non è rilevante che il danno sia stato causato dall’errore del dipendente che ha violato le istruzioni ricevute.
La sentenza ha fornito inoltre chiarimenti sul diritto al risarcimento in caso di violazione del Regolamento (UE) 2016/679, Regolamento Generale sulla Protezione dei Dati (GDPR).
Vediamo in maggiore dettaglio la vicenda e la sentenza della Corte.
Marketing diretto nonostante la revoca del consenso
Il caso specifico affrontato dalla Corte di Giustizia dell'Unione Europea (CGUE) riguardava un avvocato tedesco che aveva revocato il proprio consenso alla ricezione di materiale pubblicitario da parte di una società che gestisce una banca dati giuridica.
Nonostante la revoca del consenso, il ricorrente continuava a ricevere materiale pubblicitario, il che ha portato a una violazione del Regolamento Generale sulla Protezione dei Dati (GDPR).
Il ricorrente ha adito il Tribunale del Land di Saarbrücken ( Germania) per ottenere:
- il risarcimento del danno materiale, relativo alle spese sostenute per l'ufficiale giudiziario e il notaio, e per
- il risarcimento per danno immateriale, affermando di aver subito una perdita di controllo sui propri dati personali.
Ha sostenuto che tale perdita di controllo costituisse di per sé un danno immateriale, indipendentemente dalla gravità o dagli effetti ulteriori di tale perdita, sulla base del diritto garantito dall'articolo 8 della Carta dei diritti fondamentali dell'Unione europea e precisato dal GDPR.
La società imputata, per parte sua ha negato ogni responsabilità, sostenendo di aver istituito un adeguato sistema di gestione delle opposizioni al marketing diretto e attribuendo la mancata considerazione delle opposizioni del ricorrente, ipoteticamente
- a un errore umano di un collaboratore oppure
- al fatto che sarebbe stato eccessivamente oneroso tenerne conto.
Inoltre, ha argomentato che la mera violazione di un obbligo del GDPR non costituisce automaticamente un "danno" ai sensi dell'articolo 82 del regolamento.
Il tribunale tedesco ha quindi sollevato la questione presso la CGUE cercando chiarimenti sull'interpretazione di varie disposizioni del GDPR, specialmente riguardo :
- al diritto al risarcimento per danni immateriali senza la necessità di dimostrare la gravità del danno e
- sulle condizioni di responsabilità del titolare del trattamento quando il danno è causato dall'errore di una persona sotto la sua autorità.
I chiarimenti della CGUE su risarcimento e responsabilità
La decisione della Corte chiarisce i seguenti punti:
- Violazione e Danno Immateriale: La Corte ha stabilito che una violazione del GDPR non è di per sé sufficiente per stabilire un danno immateriale. Per avere diritto al risarcimento, l'interessato deve dimostrare di aver subito un danno immateriale reale causato dalla violazione. Non è necessario che il danno raggiunga una certa gravità, ma deve essere comunque dimostrato.
- Responsabilità del Titolare del Trattamento: In caso di violazione del GDPR causata dall'errore di un dipendente, il titolare del trattamento non può automaticamente esimersi dalla responsabilità. La Corte ha sottolineato che il titolare del trattamento deve dimostrare che l'evento dannoso non gli è in alcun modo imputabile. Non basta quindi soltanto indicare che il danno è stato causato dall'errore di un dipendente per liberarsi da ogni responsabilità.
- Calcolo del Risarcimento: I criteri previsti dall'articolo 83 del GDPR per la determinazione delle sanzioni amministrative pecuniarie non devono essere applicati nel calcolo del risarcimento per i danni ai sensi dell'articolo 82 del GDPR. Il risarcimento dovuto dovrebbe riflettere una compensazione per il danno effettivamente subito, non avendo una natura punitiva ma compensativa.
Si ribadisce quindi la necessità che gli ordinamenti nazionali rafforzino il diritto delle persone fisiche alla protezione dei loro dati personali, garantendo che possano ottenere un risarcimento effettivo in caso di violazione, e assicurando al contempo che i titolari del trattamento adottino misure adeguate per prevenire tali violazioni.
-
Pubblici registri immobiliari: corretto utilizzo Sezione D di note e annotazioni
Con Circolare n.1 del 29 gennaio le Entrate si occupano di Pubblici registri immobiliari e normativa in materia di trattamento dei dati personali.
In particolare, si evidenziano gli aspetti critici del corretto utilizzo della Sezione D nelle note di trascrizione e di iscrizione e nelle domande di annotazione al fine di prevenire l’emersione di eventuali trattamenti illeciti e, all’esito, individuare le possibili aree di azione.
Con la circolare le Entrate intendono fornire alle categorie interessate opportune indicazioni sul corretto utilizzo dei modelli di richiesta delle formalità relative alla pubblicità immobiliare.
Sinteticamente, le entrate sottolineano che, nell’eseguire la pubblicità immobiliare occorre che non vengano riportate "informazioni eccedenti rispetto alle finalità del trattamento, come nel caso dei dati personali eventualmente presenti nell’atto ma non utili alla pubblicità stessa".
Vediamo maggiori dettagli sulle problematiche del quadro D dei modelli di pubblicità immobiliare.
Pubblici registri immobiliari: corretto utilizzo Sezione D di note e annotazioni
La Circolare si sofferma sulle note che vengono presentate al conservatore e sui dati che in esse vengono riportati, al fine di individuare se possano configurarsi eventuali trattamenti illeciti o eccedenti, con particolare attenzione alle parti della nota.
Con specifico riferimento alle nota, si ricorda come con l’automazione dei servizi di pubblicità immobiliare, le note sono redatte su appositi modelli specificatamente approvati che sono stati oggetto, nel tempo, di vari aggiornamenti
In coerenza con i modelli approvati da utilizzarsi, le note sono formate da quattro sezioni:
- la “sezione A”, riportante i dati relativi al titolo presentato per l’esecuzione della formalità (identificativi dell’atto, autorità emanante, ecc…)
- la “sezione B”, riportante i dati relativi agli immobili relazionati nella formalità (sostanzialmente, gli identificativi catastali degli immobili)
- la “sezione C”, riportante i dati relativi ai soggetti presenti nella formalità (identificativi dei soggetti e rispettivi diritti relazionati sugli immobili oggetto di formalità)
- la “sezione D”, riportante eventuali altre informazioni, non codificabili nelle precedenti sezioni, ritenute ugualmente necessarie per una compiuta pubblicità immobiliare nonché le informazioni previste ai fini dell’esecuzione della voltura catastale automatica.
Nelle prime tre sezioni (A, B e C), la cui compilazione è sostanzialmente obbligata, si devono indicare dati – relativi al titolo, agli immobili ed ai soggetti – corrispondenti a quelli richiesti dalla legge a pena di rifiuto (art. 2674 c.c.).
Si fa specifico riferimento ai dati necessari per la pubblicità immobiliare indicati rispettivamente dagli artt. 2659 e 2660 c.c. per le note di trascrizione e dall’art. 2839 c.c. per le note di iscrizione.
In tale ottica, i dati presenti in dette sezioni possono ritenersi lecitamente indicati, anche sotto il profilo della protezione dei dati personali, in quanto riportati in presenza di un’adeguata base giuridica rappresentata dall’obbligo normativo di indicazione imposto in materia di “tenuta di registri pubblici relativi a beni immobili”.
La sezione D della nota è costituita invece da un campo integralmente libero, utilizzabile per l’indicazione di eventuali altre informazioni ritenute necessarie ai fini di una compiuta pubblicità immobiliare e quindi rimesso, nella sua compilazione, alle relative valutazioni effettuate dalla parte richiedente.
Risulta evidente che i prospettati profili di criticità possono correlarsi tendenzialmente ai dati indicati dal richiedente nella sezione D delle note dove è possibile indicare “altri aspetti che si ritiene utile pubblicare”
La nota è tradizionalmente definita “atto di parte”, e deve configurarsi quale documento “autosufficiente” in relazione ai dati ivi contenuti e destinati alla conoscenza dei terzi, ovverosia ai fini di una compiuta pubblicità immobiliare.
In altri termini, è utile in questa sede richiamare i cd. principi di autosufficienza e autoresponsabilità della nota elaborati dalla giurisprudenza di legittimità.
Alla luce di tali principi, la nota deve essere “autoconsistente” sotto il profilo della funzione pubblicitaria e la responsabilità verso i terzi ricade sul soggetto che richiede la formalità relativamente ad un determinato atto, redigendone (o facendo redigere) la nota in un certo modo e con un apposito contenuto.
Pertanto è da escludersi che tale responsabilità possa ricadere sul Conservatore il quale è chiamato dall’ordinamento a svolgere controlli esclusivamente di tipo formale.
Quindi, il conservatore non potrebbe, per ipotesi, rifiutarsi di eseguire la formalità richiesta adducendo, a motivo di legittimo rifiuto, la presenza nella nota di dati illecitamente trattati, ad esempio perché non strettamente necessari ai fini della pubblicità immobiliare, o opponendo altre esigenze di tutela della protezione dei dati personali, né potrebbe, per tali medesimi motivi, ritardare l’esecuzione della formalità richiesta.
Pertanto nel documento in oggetto le entrate specificano che nell’eseguire la pubblicità immobiliare occorre che non vengano riportate "informazioni eccedenti rispetto alle finalità del trattamento, come nel caso dei dati personali eventualmente presenti nell’atto ma non utili alla pubblicità stessa" e ci si debba limitare all’ostensione dei dati strettamente necessari.
-
Codice privacy 2023: la nuova guida del Garante
E' stata aggiornata e resa disponibile dal Garante privacy una nuova edizione della "Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali"(QUI IL TESTO) che era stata inizialmente pubblicata nel 2018.
Si tratta di una pubblicazione illustrata, di facile consultazione per enti pubblici e privati, rivolta in particolare alle piccole e medie imprese che hanno meno strumenti per gestire gli adempimenti in tema di trattamento dei dati personali, rispetto alle grandi società.
I contenuti della guida privacy 2023
Oltre a fornire tutti i riferimenti normativi sulla materia, la Guida chiarisce i principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento per il rispetto della privacy, fornendo anche consigli pratici su :
- diritti dell’interessato
- doveri dei titolari;
- trasparenza sull’uso dei dati personali
- liceità del loro trattamento.
Attenzione particolare è dedicata inoltre a:
- informativa privacy agli interessati
- notifica delle violazioni al Garante privacy
- designazione del Responsabile della protezione dei dati
- trasferimento dei dati personali in altri Paesi
Il Garante ricorda anche che con il GDPR la gestione della privacy è diventata parte integrante delle attività di un’organizzazione, per la quale i titolari devono adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa.
I nuovi diritti in materia di privacy
Va anche sottolineato come il Regolamento Ue 679 2016 ha introdotto anche nuovi diritti riconosciuti alle persone, tra i quali si segnalano
- la possibilità di trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network ("diritto alla portabilità"),
- l diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte.
La pubblicazione è disponibile anche sul sito del Garante all'indirizzo www.gpdp.it.
-
Guida Privacy: on line la guida del Garante all’applicazione delle norme UE
Con un comunicato stampa del 19 giugno il Garante per la protezione dei dati personali informa della pubblicazione della "Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali".
Viene specificato che, la Guida si propone come un utile strumento di consultazione per chi opera in ambito pubblico e privato, un manuale agile, in particolare per le piccole e medie imprese, e offre una panoramica sui principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento:
- dai diritti dell’interessato ai doveri dei titolari;
- dalla trasparenza sull’uso dei dati personali alla liceità del loro trattamento.
Si sottolinea che una attenzione particolare è rivolta ai contenuti, ai tempi e modalità con cui il titolare deve:
- fornire l’informativa all’interessato;
- valutare le circostanze in cui il titolare deve notificare al Garante privacy, ed eventualmente agli interessati, la violazione di dati personali;
- provvedere alla designazione del Responsabile della protezione dei dati.
Tra le novità introdotte dal Regolamento vi è appunto l'RPD, figura indipendente, autorevole e con competenze manageriali, che offre consulenza e supporto al titolare e funge da punto di contatto con il Garante.
Attenzione al fatto che, il Garante ricorda che con il GDPR la privacy da obbligo avvertito solo in maniera formale diventa parte integrante delle attività di un’organizzazione, che è tenuta al rispetto del principio di responsabilizzazione ("accountability"), in base al quale il titolare deve adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa.
Viene infine specificato che, il Regolamento Ue ha introdotto anche nuovi diritti riconosciuti alle persone, come quello di poter trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network ("diritto alla portabilità"), o come il diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte.
Infine la Guida contiene richiami puntuali alle Linee guida europee, oltre che rimandi alla legislazione nazionale fornendo importanti raccomandazioni.
-
Consulenza in ambito Privacy: guida del CNDCEC per i Commercialisti
Con Informativa n 117 del 12 dicembre il CNDCEC invia agli ordini territoriali un documento intitolato "La consulenza in ambito Privacy: una guida per i Commercialisti" che rappresenta l’inizio di un progetto di valorizzazione della Professione attraverso l’individuazione di nuovi e maggiori ambiti operativi di attività professionale.
Il documento, redatto da un gruppo di professionisti coordinati dai consiglieri Fabrizio Escheri ed Eliana Quintili, costituisce una sintesi ragionata della complessa disciplina del trattamento dei dati personali, unitamente ad un primo set di allegati e indicazioni operative per tutti i Commercialisti che vogliono sviluppare le proprie competenze professionali al fine di offrire una consulenza qualificata anche in questo ambito.
Viene specificato che, trattandosi di un ambito professionale nel quale sono richieste competenze giuridiche, economiche, informatiche e organizzative, la professionalità del Commercialista può costituire un elemento di forza con riferimento ai diversi ruoli richiesti, principalmente quelli del consulente e/o del DPO.
Il corposo documento di circa 60 pagine affronta i temi riportati nel sommario:
PRIMA PARTE – IL RUOLO DEL COMMERCIALISTA NELL’AMBITO DELLA CONSULENZA PRIVACY
- Cenni sul Regolamento Europeo per la protezione dei dati personali (GDPR)
- I soggetti obbligati: casistica
- Il titolare del trattamento dei dati
- Il contitolare del trattamento dei dati
- Il responsabile del trattamento dei dati
- Il rappresentante
- La figura del consulente privacy per l’assistenza ai soggetti obbligati
- L’incarico di DPO (Data Protection Officer)
- Competenze, compiti e ruoli del DPO
SECONDA PARTE – GLI ADEMPIMENTI PRIVACY
- Il principio di responsabilizzazione (accountability) e gli altri principi della normativa sulla privacy
- L’analisi dei rischi
- Premessa
- Definizione di rischio GDPR
- Un tool per effettuare l’analisi dei rischi
- La valutazione di impatto (Data Protection Impact Assessment)
- remessa normativa
- Criteri per definire l’obbligatorietà della valutazione d’impatto
- Risultato del processo di valutazione d’impatto
- Le misure di sicurezza
- La violazione dei dati personali (data breach)
- I registri dell’accountability
- Il registro dei trattamenti
- Registro delle violazioni
- Registro dell’esercizio dei diritti degli interessati
- I codici di condotta e i sistemi di certificazione privacy