Aggiornato al 31.10.2020
Rubrica a cura di Giovanna De Minico
Scheda di Miriam Viggiano
Nel periodo di riferimento considerato (Luglio 2020 – Ottobre 2020) non si registrano provvedimenti di carattere generale del Garante per la protezione dei dati personali (di seguito ‘Garante’)[1].
L’attività si è incentrata perlopiù nell’attivazione di poteri consultivi, prescrittivi e sanzionatori. Si ritiene utile dar conto di tale ultima tipologia di poteri, tenuto conto delle novità apportate in materia dal Regolamento generale sulla protezione dei dati personali (RGPD, Regolamento UE 2016/679). A tal fine, si farà riferimento ai contenuti di una selezione dei principali provvedimenti sanzionatori emessi nei due macro settori della sanità e delle comunicazioni elettroniche, rinviando – anche considerando la particolare complessità degli argomenti affrontati – al testo integrale e ai riferimenti normativi ivi presenti, per i dovuti ulteriori approfondimenti.
1) In materia sanitaria si ritiene utile menzionare il Provvedimento n. 174 del 1° ottobre 2020[2] e il Provvedimento n. 173 del 1° ottobre 2020[3].
In relazione al primo, il Garante è intervenuto a seguito di una “Notifica di violazione dei dati personali” (cd. data breach)[4], effettuata da una grande struttura sanitaria, con la quale si dava atto che il sistema attraverso cui era stato fornito al pubblico il servizio di consultazione online dei referti, consentiva ad alcuni utenti di visualizzare dati relativi alla salute, quali immagini radiologiche, anche di soggetti terzi.
Tale disfunzione era dovuta, secondo quanto riportato dal titolare del trattamento a un “bug”, ossia a un errore informatico, descritto come un «baco logico introdotto dal fornitore durante l’integrazione del proprio prodotto». Secondo la struttura sanitaria tale errore si sarebbe potuto evitare – o almeno limitare nel tempo – se «il fornitore avesse rispettato linee guida per lo sviluppo del software sicuro o avesse effettuato attività di VAPT [i.e. vulnerability assessment e penetration test] su tali sistemi». Il titolare del trattamento si è attivato per far correggere l’errore informatico, per cui – considerando l’assenza di dolo e l’«elevato grado di cooperazione» – il Garante ha in ogni caso dichiarato l’illiceità del trattamento effettuato e ordinato il pagamento di una sanzione amministrativa pari a € 20.000.
Con il secondo Provvedimento n. 173 del 2020 l’Autorità di protezione dei dati personali è intervenuta, a seguito di una segnalazione della Procura delle Repubblica, per far cessare il comportamento di una Azienda sanitaria che aveva pubblicato sul sito web istituzionale una delibera contenente i dati personali di alcuni soggetti che avevano ricevuto il risarcimento dei danni subiti dall’Azienda stessa con indicazione in chiaro, oltre che dell’importo della somma ricevuta, anche dei dati identificativi degli interessati, della residenza, del codice fiscale e del codice iban su cui accreditare le somme. Anche in tale caso, è stata dichiarata l’illiceità del trattamento effettuato per diffusione di dati sulla salute in violazione, fra l’altro, dell’art. 2-septies, comma 8, del Codice in materia di protezione dei dati personali[5] (cfr. anche art. 9 RGPD), comminando una sanzione amministrativa pari a 30.000 euro.
2) in materia di comunicazioni elettroniche si registrano diversi provvedimenti sulle attività di operatori telefonici che si caratterizzano per l’elevato importo sanzionatorio, commisurato al fatturato annuo.
Al riguardo, con il Provvedimento n. 138 del 9 luglio 2020[6] è stata comminata una sanzione amministrativa per violazione della normativa in materia di protezione dei dati personali alla società Iliad Italia, nell’ambito del «trattamento dei dati della clientela per l’attivazione di sim card» e della «relativa modalità di acquisizione di dati di pagamento», compreso «il trattamento per finalità promozionali proprie e di terzi e le misure adottate per la conservazione dei dati nell’area personale dei clienti».
A seguito di specifica attività ispettiva del Garante sono infatti emersi diversi profili di criticità relativi, fra l’altro:
- alla procedura di conferma dell’ordine, la quale, dopo l’inserimento dei dati, obbligava a “flaggare” una casella con la quale si dichiarava di accettare tutte le condizioni generali, la carta dei servizi, la brochure dei prezzi, nonché i trattamenti di dati personali descritti nell’informativa privacy anche se di natura non obbligatoria (ma solo facoltativa) e, in alcuni casi, subordinati all’acquisizione di uno specifico consenso (es.: marketing e profilazione).
- alle modalità di assegnazione delle sim ai clienti, che potevano essere richieste sia attraverso il sito web, che recandosi presso i «punti vendita a marchio Iliad o appositi spazi, detti “corner”, allestiti in luoghi aperti al pubblico». Al riguardo, il Garante ha contestato alla società telefonica che «la telecamera installata sulla Simbox [era] in grado di effettuare una ripresa con un angolo di circa 180 gradi», che non riprendeva quindi solo il viso della persona che voleva registrarsi, ma anche le persone dietro di essa, consentendo altresì la registrazione di immagini di soggetti terzi, come ignari passanti. Oltretutto, è stata evidenziata «l’assenza di misure idonee a garantire la riservatezza dei clienti durante le operazioni», in quanto si sarebbe consentito a qualunque sconosciuto presente «nei locali di visualizzare i dati digitati sullo schermo della Simbox e di ascoltare il contenuto del videomessaggio (durante il quale l’utente deve pronunciare il proprio nome e cognome)». Tale elemento è risultato particolarmente invasivo della riservatezza, considerando «che tali macchine sono installate, non solo nei negozi Iliad, ma anche (e prevalentemente) presso appositi spazi allestiti presso stazioni ferroviarie e centri commerciali».
Anche in questo caso, pertanto, è stato dichiarato illecito il trattamento dei dati personali e – considerando una serie di parametri, fra cui «l’ampia portata dei trattamenti riguardanti la conservazione dei dati di traffico»; «la gravità delle violazioni rilevate»; «il grado di responsabilità del titolare del trattamento»; «la maniera in cui l’Autorità di controllo ha preso conoscenza della violazione, emersa nel corso di un’attività ispettiva» – è stata irrogata una sanzione pari a 800.000 euro (ossia ai sensi dell’art. 83, comma 5, del RGPD, pari a 4% del fatturato della socità Iliad Italia).
Con diverso Provvedimento n. 143 del 9 luglio 2020[7] è stato poi oggetto di scrutino anche l’attività posta dalla società Wind Tre, relativa alla «ricezione di contatti promozionali indesiderati effettuati tramite telefono, sms, e-mail, fax o chiamate automatizzate [in molti casi] anche dopo la revoca del consenso o l’esercizio del diritto di opposizione».
Al riguardo, il Garante ha avviato un’attività istruttoria molto complessa, comprensiva di diversi accertamenti ispettivi effettuati anche attraverso l’ausilio della Guardia di Finanza, dalla quale sono emersi molteplici profili di illiceità.
In generale, le attività istruttorie «hanno messo in luce una modalità operativa fortemente orientata ad incentivare la raccolta del consenso per finalità promozionali, a fronte di procedure per l’opposizione rese invece più farraginose». Tale condotta è risultata posta in essere in violazioni sia le disposizioni del RGPD sull’acquisizione di un idoneo consenso per il trattamento dei dati personali, che sull’esercizio dei diritti in materia (cfr. art 6, 130, 24).
Ciò anche con riferimento ad alcune app offerte dall’operatore telefonico, che obbligavano l’utente a fornire consensi per diverse finalità di trattamento, quali marketing, profilazione, comunicazione a terzi, geolocalizzazione, consentendo di revocarli però trascorse 24 ore.
Il Garante ha inoltre contestato la tenuta di una «condotta dimostratasi complessivamente elusiva dei principi di accountability e \, enunciati dagli artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento». Ciò anche tenendo conto «la Società disponeva di idonei strumenti e di sufficienti conoscenze, veicolate anche dalle consolidate pronunce del Garante (direttamente rivolte anche alla Wind Tre), per valutare i rischi connessi al trattamento e per predisporre, di conseguenza, procedure tecniche e organizzative adeguate».
Il complesso delle circostanze emerse nel caso di specie ha indotto l’Autorità di protezione dei dati non solo a dichiarare l’illiceità del trattamento per la violazione di numerose disposizioni del RGPD, ma anche di vietare a Wind Tre, «il trattamento dei dati personali dei soggetti per i quali non possa dimostrare di aver acquisito un idoneo consenso».
Quanto alla determinazione dell’importo della sanzione, alla luce dei parametri previsti dall’art. 83 del RGPD, è stata tenuta in considerazione «l’ampia portata dei trattamenti, riguardanti la generalità di clienti ed utenti del servizio di telefonia e dei connessi servizi, nonché l’elevato numero degli interessati coinvolti, anche non clienti, che sono stati destinatari di contatti promozionali indesiderati»; «la gravità delle violazioni rilevate», considerando l’invasività dell’attività di telemarketing e teleselling sul diritto alla tranquillità individuale e sul diritto alla riservatezza; le «procedure di raccolta dei dati, come quelle previste per le App MyWind e My3» che di fatto coartavano «la libera espressione della volontà degli interessati con riguardo al trattamento dei loro dati»; le «difficoltà che gli interessati hanno riscontrato per arginare il fenomeno del marketing indesiderato»; la molteplicità e varietà delle condotte riferibili a Wind Tre in violazione di più disposizioni del Regolamento e del Codice»; «le riscontrate gravi carenze organizzative» fra cui l’«inadeguata attuazione dei fondamentali principi di protezione dei dati fin dalla progettazione (privacy by design) ed accountability»; «la durata significativa delle violazioni»; il carattere doloso delle condotte relative alle «scorrette informazioni rese agli interessati nell’ambito della procedura di installazione delle predette app e [alle] modalità di acquisizione del consenso degli interessati che non ne hanno assicurato la libera manifestazione»; l’esistenza di un precedente provvedimento del Garante adottato nei confronti della stessa società di telefonia; «la sussistenza di rilevanti vantaggi economici, attuali e potenziali, derivanti dalle attività promozionali».
È stata, quindi, ritenuta congrua – anche considerando il bilancio dell’ultimo esercizio sociale – l’irrogazione di una sanzione pari a 16.729.600 euro.
[1] Sulla portata giuridica di provvedimenti prescrittivi di carattere generale approvati dal Garante privacy, si rinvia alle considerazioni già svolte, e alla bibliografia ivi citata, in M. Viggiano, Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), in www.osservatoriosullefonti.it, Archivio rubriche 2014, Garante privacy (url: https://www.osservatoriosullefonti.it/archivio-rubriche-2014/agcm-agcom-avcp-garante-privacy/976-garante-per-la-protezione-dei-dati-personali-12014).
[2] In www.gpdp.it, doc. web n. 9469345.
[3] In www.gpdp.it, doc. web n. 9483375.
[4] Cfr. art. 33 del Regolamento (UE) 2016/679.
[5] D. lgs. n. 196 del 30/6/2003.
[6] In www.gpdp.it, doc. web n. 9435807.
[7] In www.gpdp.it, doc. web n. 9435753.