Base giuridica: Esempi pratici volti a illustrare l’applicazione del test comparativo di cui all’articolo 7, lettera f)
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 adottate il 3 ottobre 2017 Versione emendata e adottata in data 6 febbraio 2018
ALLEGATO 3 - Approfondimenti - Parere 6/2014 sul concetto di interesse legittimo del responsabile del trattamento ai sensi dell’articolo 7 della direttiva95/46/CE
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI
844/14/IT
WP217
Allegato 2. Esempi pratici volti a illustrare l’applicazione del test comparativo di cui all’articolo 7, lettera f)
Questo allegato fornisce esempi riguardanti alcuni degli ambiti più comuni in cui può porsi la questione dell’interesse legittimo ai sensi dell’articolo 7, lettera f). Nella maggior parte dei casi abbiamo raggruppato due o più esempi correlati che vale la pena di confrontare nell’ambito di un’unica rubrica. Molti degli esempi si basano su casi concreti o su elementi di casi concreti gestiti dalle autorità di protezione dei dati nei differenti Stati membri. Tuttavia, talvolta abbiamo modificato in certa misura i fatti per riuscire a illustrare meglio le modalità di svolgimento del test comparativo. Gli esempi sono forniti al fine di illustrare il processo di riflessione (il metodo da utilizzare per svolgere il test comparativo multifattoriale). In altre parole, gli esempi non intendono fornire una valutazione definitiva dei casi descritti. Anzi, in molti casi, modificando in qualche modo le circostanze fattuali (per esempio, se il responsabile del trattamento dovesse adottare garanzie supplementari quali un’anonimizzazione più completa, misure di sicurezza migliori, una maggiore trasparenza e una scelta più autentica per gli interessati), l’esito del test comparativo potrebbe cambiare116 . Ciò dovrebbe incoraggiare i responsabili del trattamento a impegnarsi maggiormente per rispettare tutte le disposizioni orizzontali della direttiva e a offrire una protezione aggiuntiva, ove opportuno, sulla base della protezione dei dati e della tutela della vita privata fin dalla progettazione. Quanto più i responsabili del trattamento si preoccuperanno di proteggere i dati personali in generale, tanto maggiori saranno le probabilità che soddisfino il test comparativo.
Esercizio del diritto alla libertà di espressione e d’informazione117 , anche nei mezzi di comunicazione e di espressione artistica
Esempio 1: una ONG ripubblica le spese dei parlamentari
Un’autorità pubblica, in virtù di un obbligo legale (articolo 7, lettera c)), pubblica le spese dei parlamentari; una ONG a difesa della trasparenza, a sua volta, analizza e ripubblica i dati in una versione annotata accurata, proporzionata, ma più informativa, contribuendo a una maggiore trasparenza e responsabilità. Supponendo che ripubblichi le spese dei parlamentari in una versione annotata, in maniera accurata e proporzionata, adotti garanzie adeguate e, in senso più ampio, rispetti i diritti delle persone interessate, l’ONG dovrebbe essere in grado di invocare l’articolo 7, lettera f), come fondamento giuridico per il trattamento. Fattori quali la natura dell’interesse legittimo (un diritto fondamentale alla libertà di espressione o d’informazione), l’interesse del pubblico relativo alla trasparenza e alla responsabilità e il fatto che i dati siano già stati pubblicati e riguardino dati personali (relativamente meno sensibili) connessi alle attività dei parlamentari pertinenti per l’esercizio delle loro funzioni pubbliche118 depongono tutti a favore della legittimità del trattamento. Il fatto che la pubblicazione iniziale sia stata prevista dalla legge e che di conseguenza le persone si aspettassero che i loro dati sarebbero stati pubblicati contribuisce a sua volta a una valutazione favorevole. Esaminando l’altro elemento da valutare ai fini del test comparativo, l’impatto sulla persona potrebbe essere considerevole: per esempio, a causa del controllo del pubblico, potrebbe essere messa in discussione l’integrità personale di alcune persone, che di conseguenza potrebbero perdere le elezioni o, in alcuni casi, essere oggetto di indagini penali per attività fraudolente. L’insieme dei fattori precedenti, tuttavia, dimostra che, nel complesso, gli interessi del responsabile del trattamento (e gli interessi del pubblico al quale sono comunicati i dati) prevalgono sugli interessi degli interessati.
Esempio 2: un consigliere comunale nomina sua figlia come assistente speciale
Un giornalista pubblica su un giornale locale online un articolo contenente dati conformi ai fatti e fondato su ricerche esaurienti da cui emerge che un consigliere comunale ha partecipato solo a una delle ultime undici riunioni del consiglio comunale e che probabilmente non sarà rieletto a causa di un recente scandalo scaturito dalla nomina della sua figlia diciassettenne come assistente speciale. Anche in questo caso si applica un’analisi simile a quella fornita nell’Esempio 1. Per quanto riguarda i fatti, rientra negli interessi legittimi del giornale in questione pubblicare le informazioni. Benché siano stati rivelati dati personali riguardanti il consigliere comunale, il diritto alla tutela della sua vita privata non prevale sul diritto fondamentale alla libertà di espressione e di pubblicare la storia sul giornale. Questo perché i diritti alla tutela della vita privata delle personalità pubbliche sono relativamente limitati rispetto alle loro attività pubbliche nonché per la speciale importanza della libertà di espressione, in particolare nei casi in cui la pubblicazione di una storia sia di interesse pubblico.
Esempio 3: tra i primi risultati di ricerca continua a figurare la notizia di un reato penale minore
L’archivio online di un giornale contiene un vecchio articolo riguardante una persona, un tempo una celebrità locale, il capitano di una squadra di calcio amatoriale di una piccola città. La persona è identificata con il suo nome completo e la storia si riferisce al suo coinvolgimento in un procedimento penale per un reato relativamente minore (stato di ubriachezza molesta). Ora la sua fedina penale è pulita e non riporta più il reato commesso in passato, per il quale la persona in questione ha scontato la sua pena alcuni anni orsono. Ciò che più infastidisce l’interessato è che, cercando il suo nome attraverso i comuni motori di ricerca online, il collegamento a questa vecchia notizia figura tra i primi risultati che lo riguardano. Nonostante la sua richiesta, il giornale si rifiuta di adottare misure tecniche che limiterebbero la più ampia disponibilità della notizia riguardante l’individuo in questione. Per esempio, il giornale si rifiuta di adottare misure tecniche e organizzative intese a limitare (nella misura consentita dalla tecnologia) l’accesso alle informazioni da motori di ricerca esterni che utilizzano il nome della persona come categoria di ricerca. Questo è un altro caso volto a illustrare il possibile conflitto tra la libertà di espressione e la vita privata. Dimostra altresì che in alcuni casi le garanzie supplementari (tra cui quella che, almeno nel caso di un’opposizione giustificata ai sensi dell’articolo 14, lettera a), della direttiva, garantisce che la parte pertinente degli archivi del giornale non sarà più accessibile da parte di motori di ricerca esterni o che il formato utilizzato per mostrare le informazioni non consentirà di effettuare ricerche basate sul nome) possono svolgere un ruolo fondamentale nel bilanciare adeguatamente i due diritti fondamentali in questione. Ciò non pregiudica alcuna delle altre misure che potrebbero essere intraprese da motori di ricerca o da altri terzi.
Commercializzazione diretta tradizionale e altre forme di commercializzazione o pubblicità
Esempio 4: un negozio di computer invia ai suoi clienti messaggi pubblicitari riguardanti prodotti simili a quelli da loro acquistati
Un negozio di computer ottiene i recapiti dei suoi clienti nell’ambito della vendita di un prodotto e utilizza tali recapiti per commercializzare altri suoi prodotti simili tramite la posta tradizionale. Il negozio vende anche prodotti online e invia e-mail promozionali quando una nuova linea di prodotti arriva in magazzino. I clienti sono chiaramente informati in merito alla loro possibilità di opporsi, in maniera facile e gratuita, al momento della raccolta dei loro recapiti e all’invio di ogni messaggio, qualora non abbiano manifestato inizialmente la loro opposizione. La trasparenza del trattamento, il fatto che il cliente può ragionevolmente aspettarsi di ricevere offerte per prodotti analoghi in quanto cliente del negozio e che ha il diritto di opporsi contribuiscono a rafforzare la legittimità del trattamento e a salvaguardare i diritti delle persone. Esaminando l’altro elemento da valutare ai fini del test comparativo, non sembra sussistere un impatto sproporzionato sul diritto alla tutela della vita privata della persona (in questo caso abbiamo supposto che il negozio di computer non abbia creato profili complessi dei suoi clienti, per esempio utilizzando un’analisi dettagliata dei dati provenienti da flussi di clic).
Esempio 5: una farmacia online crea profili completi dei suoi clienti
Una farmacia online svolge attività di commercializzazione sulla base dei medicinali e di altri prodotti acquistati dai clienti, tra cui prodotti ottenuti con prescrizione medica. Analizza queste informazioni (in combinazione con dati demografici relativi ai clienti, per esempio il genere e l’età) al fine di elaborare un profilo “salute e benessere” dei singoli clienti. Utilizza anche i dati provenienti da flussi di clic, che sono raccolti non solo riguardo ai prodotti acquistati dai clienti, ma anche riguardo ad altri prodotti e informazioni di cui i clienti hanno effettuato la ricerca navigando sul sito web. I profili dei clienti contengono informazioni o previsioni da cui si evince che una determinata cliente è incinta, soffre di una particolare malattia cronica o sarebbe interessata ad acquistare integratori alimentari, creme solari o altri prodotti per la cura della pelle in certi periodi dell’anno. Gli analisti della farmacia online utilizzano queste informazioni per offrire medicinali non soggetti a prescrizione medica, integratori alimentari e altri prodotti a persone specifiche tramite posta elettronica. In questo caso la farmacia non può invocare i suoi interessi legittimi quando crea e utilizza i profili dei suoi clienti a fini di commercializzazione. L’attività di creazione di profili descritta pone alcuni problemi. I dati sono particolarmente sensibili e possono rivelare molte informazioni su questioni che molte persone si aspetterebbero rimanessero private120 . La misura e la maniera in cui sono creati i profili (utilizzo di dati provenienti da flussi di clic, algoritmi predittivi) suggeriscono inoltre un elevato livello di invasività. Il consenso basato sull’articolo 7, lettera a), e sull’articolo 8, paragrafo 2, lettera a), (nel caso in cui siano coinvolti dati sensibili) potrebbe essere tuttavia considerato un’alternativa ove appropriato.
Messaggi indesiderati non commerciali, anche a fini di campagne politiche o di raccolta fondi per scopi benefici
Esempio 6: una candidata alle elezioni comunali utilizza in modo mirato le liste elettorali
Una candidata alle elezioni comunali utilizza le liste elettorali121 per inviare a ogni potenziale elettore del suo distretto elettorale una lettera di presentazione volta a promuovere la sua campagna per le prossime elezioni. La candidata utilizza i dati ottenuti dalle liste elettorali solo per inviare la lettera e non conserva i dati al termine della campagna elettorale. Tale utilizzo delle liste elettorali figura tra le ragionevoli aspettative delle persone quando è effettuato nel periodo preelettorale: l’interesse del responsabile del trattamento è chiaro e legittimo. L’utilizzo limitato e mirato delle informazioni contribuisce inoltre a far pendere il bilanciamento a favore dell’interesse legittimo del responsabile del trattamento. Tale utilizzo delle liste elettorali potrebbe inoltre essere disciplinato dalla legge a livello nazionale, in un’ottica di interesse pubblico, prevedendo norme, restrizioni e garanzie specifiche riguardo all’utilizzo delle liste elettorali. In tal caso, occorre rispettare queste norme specifiche anche per garantire la legittimità del trattamento.
Esempio 7: un organismo senza fini di lucro raccoglie informazioni per scopi di targeting
Un’associazione filosofica dedita allo sviluppo umano e sociale decide di organizzare attività di raccolta fondi sulla base del profilo dei suoi membri. A tal fine raccoglie dati sui siti di socializzazione mediante un software ad hoc che individua le persone che hanno assegnato un “mi piace” alla pagina dell’associazione o ai messaggi che l’associazione ha pubblicato sulla sua pagina, che hanno “condiviso” questi messaggi, che hanno consultato periodicamente alcuni articoli o hanno “ritwittato” i messaggi dell’associazione. Successivamente manda messaggi e newsletter ai suoi membri sulla base dei loro profili. Per esempio, proprietari di cani anziani che hanno assegnato un “mi piace” ad articoli su rifugi per animali ricevono differenti appelli di raccolta fondi da famiglie con bambini piccoli; persone appartenenti a gruppi etnici differenti ricevono a loro volta messaggi differenti. Poiché sono trattate categorie particolari di dati (convinzioni filosofiche), deve essere rispettato l’articolo 8, una condizione che sembra essere soddisfatta in quanto il trattamento è effettuato nell’ambito delle attività legittime dell’associazione. Tuttavia, questa non è una condizione sufficiente nel caso di specie: il modo in cui sono utilizzati i dati va oltre le ragionevoli aspettative delle persone. La quantità di dati raccolti, la mancanza di trasparenza riguardo alla raccolta e il riutilizzo dei dati per una finalità differente rispetto a quella per cui i dati erano stati pubblicati inizialmente contribuiscono alla conclusione che in questo caso non può essere invocato l’articolo 7, lettera f). Il trattamento non deve quindi essere consentito a meno che non sia possibile avvalersi di un altro fondamento, per esempio il consenso degli interessati a norma dell’articolo 7, lettera a).
Esercizio di un diritto in via giudiziale, compreso il recupero del credito tramite procedure extragiudiziali
Esempio 8: controversia sulla qualità dei lavori di ristrutturazione
Un cliente contesta la qualità dei lavori di ristrutturazione della cucina e si rifiuta di pagare il prezzo totale. L’impresa edile trasferisce i dati pertinenti e proporzionati al suo avvocato affinché possa ricordare al cliente la necessità di effettuare il pagamento e trovi una soluzione negoziale alla controversia con il cliente qualora quest’ultimo continui a rifiutarsi di pagare. In questo caso, le misure preliminari adottate dall’impresa edile che ha utilizzato informazioni di base dell’interessato (quali il nome, l’indirizzo, il numero di riferimento del contratto) per inviargli un sollecito (direttamente o tramite il suo avvocato, come in questo caso) potrebbero comunque rientrare nel trattamento necessario all’esecuzione del contratto (articolo 7, lettera b)). Le ulteriori misure adottate122, tra cui il coinvolgimento di una società di recupero crediti, devono tuttavia essere valutate ai sensi dell’articolo 7, lettera f), considerando, fra l’altro, l’invasività e l’impatto sugli interessati, come sarà illustrato nell’esempio fornito di seguito.
Esempio 9: un cliente scompare con un’auto acquistata a credito
Un cliente non paga le rate che è tenuto a versare per una costosa auto sportiva acquistata a credito e poi “scompare”. Il concessionario assume un “agente terzo di riscossione”. L’agente di riscossione svolge un’indagine invasiva “in stile attività di contrasto” avvalendosi, tra l’altro, di pratiche quali la videosorveglianza discreta e le intercettazioni telefoniche. Benché gli interessi del concessionario e dell’agente di riscossione siano legittimi, il bilanciamento degli interessi non pende a loro favore a causa dei metodi invasivi utilizzati per raccogliere le informazioni, alcuni dei quali sono espressamente vietati dalla legge (le intercettazioni telefoniche). La situazione sarebbe diversa se, per esempio, il concessionario o l’agente di riscossione avessero svolto solo controlli limitati per avere conferma dei recapiti dell’interessato al fine di avviare un procedimento giudiziario.
Prevenzione di frodi, uso improprio dei servizi o riciclaggio di denaro
Esempio 10: verifica dei dati dei clienti prima dell’apertura di un conto bancario
Un istituto bancario segue procedure ragionevoli e proporzionate (secondo le linee guida non vincolanti della competente autorità nazionale di vigilanza finanziaria) al fine di verificare l’identità di tutte le persone che intendono aprire un conto e conserva le informazioni utilizzate per verificare l’identità delle persone. L’interesse del responsabile del trattamento è legittimo, il trattamento dei dati riguarda solo informazioni limitate e necessarie (secondo la normale prassi del settore, che gli interessati devono ragionevolmente attendersi e le autorità competenti devono raccomandare). Esistono garanzie adeguate per limitare qualsivoglia impatto indebito e sproporzionato sugli interessati. Il responsabile del trattamento può dunque avvalersi dell’articolo 7, lettera f). In alternativa, e nella misura in cui le azioni adottate siano espressamente previste dalla legislazione applicabile, potrebbe essere applicato l’articolo 7, lettera c).
Esempio 11: scambio di informazioni per combattere il riciclaggio di denaro
Un istituto finanziario, previa consultazione dell’autorità di protezione dei dati competente, attua procedure basate su criteri specifici e limitati finalizzate allo scambio di dati riguardanti il presunto abuso delle norme antiriciclaggio con altre società dello stesso gruppo, con rigorose limitazioni all’accesso, sicurezza e il divieto di utilizzare successivamente tali informazioni per altre finalità. Per ragioni analoghe a quelle illustrate nell’esempio precedente, e a seconda delle circostanze del caso, il trattamento dei dati potrebbe basarsi sull’articolo 7, lettera f). In alternativa, e nella misura in cui le azioni adottate siano espressamente previste dalla legislazione applicabile, il trattamento potrebbe fondarsi sull’articolo 7, lettera c).
Esempio 12: lista nera di tossicodipendenti aggressivi
Un gruppo di ospedali crea una lista nera comune di “soggetti” aggressivi in cerca di stupefacenti al fine di vietare loro l’accesso a tutte le strutture mediche dei nosocomi aderenti all’iniziativa. Benché l’interesse dei responsabili del trattamento a mantenere sicure le strutture ospedaliere sia legittimo, tale interesse deve essere valutato rispetto al diritto fondamentale alla tutela della vita privata e ad altre preoccupazioni preminenti, quali la necessità di non escludere le persone interessate dall’accesso all’assistenza sanitaria. Il fatto che siano trattati dati sensibili (ad esempio dati sanitari connessi alla tossicodipendenza) corrobora altresì la conclusione che in questo caso è improbabile che il trattamento sia ammissibile ai sensi dell’articolo 7, lettera f)123 . Il trattamento potrebbe essere ammissibile se dovesse essere per esempio disciplinato da una legge che preveda garanzie specifiche (verifiche e controlli, trasparenza, divieto di decisioni automatizzate) volte a garantire che tale trattamento non darà luogo a discriminazioni o violazioni dei diritti fondamentali delle persone124. In quest’ultimo caso, a seconda che tale legge specifica preveda o permetta soltanto il trattamento, potrebbero essere invocati come fondamento giuridico l’articolo 7, lettera c), oppure l’articolo 7, lettera f).
Controllo del personale a fini di sicurezza o gestione
Esempio 13: ore di lavoro di avvocati utilizzate a fini sia di fatturazione che per la determinazione di premi
Il numero di ore fatturabili lavorate dagli avvocati di uno studio legale è trattato sia a fini di fatturazione che per la determinazione dei premi annuali. Il sistema è spiegato in maniera trasparente ai dipendenti che hanno il diritto esplicito di esprimere il loro disaccordo con le conclusioni in termini sia di fatturazione che di pagamento del premio, di cui dovranno successivamente discutere con i loro dirigenti. Il trattamento sembra necessario per gli interessi legittimi del responsabile del trattamento e non sembrano esistere mezzi meno invasivi per conseguire l’obiettivo in questione. L’impatto sui dipendenti è altresì limitato grazie alle garanzie e ai processi attuati. L’articolo 7, lettera f), potrebbe pertanto costituire un fondamento giuridico adeguato in questo caso. Si potrebbe altresì sostenere che il trattamento per una o per entrambe le finalità è inoltre necessario all’esecuzione del contratto.
Esempio 14: monitoraggio elettronico dell’uso di Internet125
Il datore di lavoro controlla l’utilizzo di Internet da parte dei dipendenti durante le ore di lavoro per verificare che non facciano un uso personale eccessivo degli strumenti informatici dell’azienda. I dati raccolti comprendono file temporanei e cookie generati sui computer dei dipendenti, da cui si può risalire ai siti visitati e ai download effettuati durante le ore lavorative. I dati sono trattati senza aver prima consultato gli interessati e i rappresentanti sindacali/i comitati aziendali. Inoltre, alle persone interessate non sono fornite sufficienti informazioni su queste prassi. La quantità e la natura dei dati raccolti rappresenta una considerevole ingerenza nella vita privata dei dipendenti. Oltre alle questioni relative alla proporzionalità, un altro fattore importante da considerare è la trasparenza sulle prassi adottate, strettamente connessa alle ragionevoli aspettative degli interessati. Anche se il datore di lavoro ha un interesse legittimo a limitare il tempo trascorso dai dipendenti a visitare siti web non direttamente pertinenti per il loro lavoro, i metodi utilizzati non soddisfano i criteri del test comparativo di cui all’articolo 7, lettera f). Il datore di lavoro deve ricorrere a metodi meno invasivi (ad esempio limitando l’accessibilità di determinati siti), che, come buona prassi, siano discussi e concordati con i rappresentanti dei lavoratori e comunicati ai dipendenti in maniera trasparente.
Procedure per la denuncia delle irregolarità
Esempio 15: procedura per la denuncia delle irregolarità in ottemperanza agli obblighi giuridici vigenti nei paesi extra UE
Una filiale UE di un gruppo statunitense istituisce una procedura limitata per la denuncia delle irregolarità volta a riscontrare gravi violazioni delle norme nel settore contabile e finanziario. Le entità del gruppo sono soggette a un codice di buona governance che prevede un rafforzamento delle procedure di controllo interno e gestione del rischio. In virtù delle sue attività internazionali, la filiale dell’UE è tenuta a fornire dati finanziari affidabili ad altri membri del gruppo negli Stati Uniti. La procedura è concepita in modo tale da essere conforme sia alla normativa degli USA che agli orientamenti forniti dalle autorità nazionali di protezione dei dati nell’UE. Tra le garanzie, i dipendenti ricevono chiare indicazioni riguardo alle circostanze in cui deve essere utilizzata la procedura, sia mediante sessioni di formazione che con altri mezzi. Il personale è invitato a non abusare della procedura, per esempio formulando affermazioni false o infondate nei confronti di altri membri; ai dipendenti si spiega altresì che, se preferiscono, possono utilizzare la procedura in maniera anonima o che, se lo desiderano, possono identificarsi. In quest’ultimo caso, i dipendenti sono informati delle circostanze in cui i dati che li identificano saranno trasmessi al loro datore di lavoro o trasferiti ad altre agenzie. Se la procedura dovesse essere istituita ai sensi del diritto dell’UE o del diritto di uno Stato membro dell’Unione europea, il trattamento potrebbe fondarsi sull’articolo 7, lettera c). Tuttavia, gli obblighi giuridici vigenti nei paesi extra UE non sono considerati come un obbligo giuridico ai fini dell’articolo 7, lettera c), e di conseguenza tale obbligo non potrebbe legittimare il trattamento ai sensi dell’articolo 7, lettera c). Ciononostante, il trattamento potrebbe essere basato sull’articolo 7, lettera f), qualora esista, per esempio, un interesse legittimo a garantire la stabilità dei mercati finanziari o a combattere la corruzione e a patto che la procedura preveda garanzie sufficienti, conformemente agli orientamenti forniti dalle competenti autorità di regolamentazione nell’UE.
Esempio 16: procedura “interna” per la denuncia delle irregolarità priva di procedure coerenti
Una società di servizi finanziari decide di istituire una procedura per la denuncia delle irregolarità poiché sospetta che tra il personale i furti e la corruzione siano diffusi e intende incoraggiare i dipendenti a fornire informazioni gli uni sugli altri. Per risparmiare, la società decide di gestire la procedura internamente affidandola a membri del suo ufficio “Risorse umane”. Per incentivare i dipendenti a utilizzare la procedura, offre una ricompensa in denaro “senza richiesta di specifiche condizioni” ai dipendenti le cui attività di denuncia delle irregolarità portino all’individuazione di comportamenti scorretti e al recupero degli importi. La società ha effettivamente un interesse legittimo a individuare e a prevenire i furti e la corruzione. Tuttavia, la sua procedura per la denuncia delle irregolarità è talmente mal concepita e priva di garanzie che rispetto agli interessi della società prevalgono sia gli interessi che il diritto alla tutela della vita privata dei suoi dipendenti, in particolare di coloro che potrebbero essere vittime di false segnalazioni fornite esclusivamente per ottenere un profitto finanziario. Il fatto che la procedura sia gestita internamente anziché in maniera indipendente rappresenta un altro problema in questo caso, al pari della mancanza di formazione e orientamenti sull’utilizzo della procedura.
Sicurezza fisica, sicurezza informatica e sicurezza della rete
Esempio 17: controlli biometrici in un laboratorio di ricerca
Un laboratorio di ricerca scientifica che lavora con virus letali utilizza un sistema di accesso biometrico a causa del rischio elevato che sussisterebbe per la salute pubblica nel caso in cui questi virus dovessero uscire dalla struttura. Sono applicate garanzie adeguate, compreso il fatto che i dati biometrici sono conservati sui tesserini personali dei dipendenti e non in un sistema centralizzato. Benché i dati siano sensibili in senso ampio, il motivo per cui sono trattati è di interesse pubblico. Questo e il fatto che i rischi di utilizzo improprio siano ridotti dall’uso appropriato di garanzie rendono l’articolo 7, lettera f), una base adeguata per il trattamento.
Esempio 18: utilizzo di telecamere nascoste per individuare visitatori e dipendenti che fumano
Un’impresa utilizza telecamere nascoste per individuare dipendenti e visitatori che fumano in aree dell’edificio in cui non è consentito farlo. Sebbene il responsabile del trattamento abbia un interesse legittimo a garantire il rispetto delle norme antifumo, i mezzi utilizzati per conseguire questo obiettivo sono, in linea generale, sproporzionati e inutilmente invasivi. Esistono metodi meno invasivi e più trasparenti (quali rilevatori di fumo e cartelli visibili). Il trattamento non è pertanto conforme all’articolo 6, che prevede che i dati non siano “eccedenti” rispetto alle finalità per le quali vengono rilevati o successivamente trattati. Al tempo stesso, il trattamento probabilmente non soddisferà i criteri del test comparativo di cui all’articolo 7, lettera f).
Ricerca scientifica
Esempio 19: studi sugli effetti del divorzio e della disoccupazione genitoriale sul rendimento scolastico dei minori
Nel quadro di un programma di ricerca adottato dal governo e autorizzato da un comitato etico competente, si effettua uno studio sulla relazione esistente tra divorzio, disoccupazione dei genitori e rendimento scolastico dei minori. Lo studio si concentra tuttavia su questioni che, pur non essendo classificate come “categorie particolari di dati”, sarebbero ritenute informazioni personali molto intime da un gran numero di famiglie. Lo studio permetterà di destinare una speciale assistenza educativa ai minori che potrebbero altrimenti essere interessati dal fenomeno dell’assenteismo, registrare uno scarso rendimento scolastico, essere vittime della disoccupazione in età adulta o diventare soggetti a rischio di criminalità. La legge dello Stato membro interessato autorizza espressamente il trattamento dei dati personali (diversi dalle categorie particolari di dati) a fini di ricerca, purché lo studio sia necessario a salvaguardare interessi pubblici importanti e sia condotto nel rispetto di garanzie adeguate, che sono successivamente descritte nel dettaglio nella normativa di attuazione. Questo quadro giuridico prevede obblighi specifici, ma anche un quadro di responsabilità che permette di valutare caso per caso l’ammissibilità della ricerca (qualora sia svolta senza il consenso delle persone interessate) e le misure specifiche che devono essere adottate per proteggere gli interessati. Il ricercatore gestisce uno strumento di ricerca sicuro e, in condizioni di sicurezza, ottiene le informazioni pertinenti da uffici anagrafici, tribunali, agenzie per l’occupazione e scuole. Il centro di ricerca esamina minuziosamente le identità delle persone affinché sia possibile collegare i dati relativi al divorzio, alla disoccupazione e all’istruzione, ma senza rivelare le identità “civiche” degli individui, ad esempio i loro nomi e indirizzi. Tutti i dati originali sono poi irrimediabilmente cancellati. Sono adottate anche altre misure volte a garantire la separazione funzionale (ossia i dati saranno utilizzati solo a fini di ricerca) e a ridurre qualsiasi ulteriore rischio di reidentificazione. I membri del personale che lavorano presso il centro di ricerca ricevono una rigorosa formazione in materia di sicurezza e sono perseguibili a livello personale (eventualmente anche penale) per qualsivoglia violazione della sicurezza di cui sono responsabili. Si utilizzano misure tecniche e organizzative volte per esempio a garantire che il personale che adopera chiavette USB non possa rimuovere i dati personali dallo strumento. È nell’interesse legittimo del centro di ricerca svolgere lo studio, che ha un forte interesse pubblico. È anche nell’interesse legittimo di enti per l’occupazione e l’istruzione nonché di altri organismi coinvolti nell’iniziativa, poiché li aiuterà a programmare e a fornire servizi a coloro che più ne hanno bisogno. Gli aspetti dello studio riguardanti la tutela della vita privata sono stati ben concepiti e le garanzie in atto indicano che sugli interessi legittimi delle organizzazioni che partecipano alla realizzazione dello studio non prevalgono gli interessi o i diritti alla tutela della vita privata dei genitori o dei minori i cui dati erano alla base della ricerca.
Esempio 20: studio di ricerca sull’obesità
Un’università vuole realizzare uno studio sui livelli di obesità infantile in alcune città e comunità rurali. Benché in generale abbia difficoltà ad avere accesso ai dati pertinenti da parte di scuole e altri istituti, l’università riesce di fatto a persuadere alcune decine di insegnanti scolastici a monitorare per un certo periodo di tempo gli alunni delle loro classi che appaiono obesi e a rivolgere loro domande riguardo alla dieta seguita, ai livelli di attività fisica praticata, all’utilizzo di giochi elettronici e così via. Questi insegnanti registrano anche i nomi e gli indirizzi degli alunni intervistati affinché possa essere inviato loro un buono per l’acquisto di musica online come ricompensa per avere preso parte alla ricerca. Successivamente i ricercatori compilano una banca dati correlando i livelli di obesità dei bambini con l’attività fisica e altri fattori. Le copie cartacee dei questionari completati (comunque in un formato tramite il quale è possibile individuare bambini specifici) sono conservate negli archivi dell’università per un periodo di tempo indeterminato e senza misure di sicurezza adeguate. Le fotocopie di tutti i questionari sono condivise su richiesta con tutti i laureati o i dottorandi in medicina dello stesso ateneo o di università partner nel mondo che sono interessati all’ulteriore utilizzo dei dati della ricerca. Benché l’università abbia un interesse legittimo a condurre lo studio, esistono alcuni aspetti del progetto di ricerca da cui si evince che su tale interesse prevalgono gli interessi e i diritti alla tutela della vita privata dei minori. Oltre alla metodologia di ricerca, che è priva di rigore scientifico, il problema deriva in particolare dalla mancanza di approcci di rafforzamento della tutela della vita privata nel progetto di ricerca nonché dall’ampio accesso ai dati personali raccolti. I dati dei minori non sono mai codificati o anonimizzati e non sono adottate altre misure per garantire la sicurezza dei dati o la separazione funzionale. Non è stato nemmeno ottenuto un consenso valido ai sensi dell’articolo 7, lettera a), e dell’articolo 8, paragrafo 2, lettera a), e non è chiaro se ai minori o ai loro genitori sia stato spiegato per quale finalità saranno utilizzati o con chi saranno condivisi i loro dati.
Obbligo giuridico vigente in un paese terzo
Esempio 21: ottemperanza alle disposizioni fiscali di un paese terzo
Le banche dell’UE raccolgono e trasferiscono alcuni dati dei loro clienti per consentire a questi ultimi di ottemperare agli obblighi fiscali vigenti in un paese terzo. La raccolta e il trasferimento sono specificati e avvengono alle condizioni e nel rispetto delle garanzie concordate tra l’UE e il paese estero nell’ambito di un accordo internazionale. Benché di per sé un obbligo vigente in un paese terzo non possa essere considerato come una base legittima per il trattamento ai sensi dell’articolo 7, lettera c), tale obbligo potrebbe essere ritenuto un motivo di liceità se fosse sancito da un accordo internazionale. In quest’ultimo caso il trattamento potrebbe essere considerato necessario per adempiere un obbligo legale integrato nel quadro giuridico interno dall’accordo internazionale. Tuttavia, in assenza di accordi di questo tipo, la raccolta e il trasferimento dovranno essere valutati conformemente ai criteri di cui all’articolo 7, lettera f), e potranno essere ritenuti ammissibili solo qualora esistano garanzie adeguate come quelle approvate dall’autorità di protezione dei dati competente (cfr. anche il precedente Esempio 15).
Esempio 22: trasferimento di dati relativi a dissidenti
Una società dell’UE trasferisce, su richiesta, dati riguardanti residenti stranieri a un regime oppressivo di un paese terzo che vuole avere accesso ai dati di dissidenti (per esempio, i loro dati relativi al traffico di e-mail, il contenuto dei loro messaggi di posta elettronica, la cronologia delle loro esplorazioni o i loro messaggi privati sui social network). In questo caso, a differenza dell’esempio precedente, non esiste un accordo internazionale che permetterebbe di applicare l’articolo 7, lettera c), come fondamento giuridico. Inoltre, alcuni elementi depongono a sfavore dell’articolo 7, lettera f), come fondamento adeguato per il trattamento. Anche se il responsabile del trattamento potrebbe avere un interesse economico a garantire che rispetta le richieste formulate da un governo straniero (altrimenti potrebbe ricevere dal governo del paese terzo un trattamento meno favorevole rispetto a quello riservato ad altre società), la legittimità e la proporzionalità del trasferimento sono estremamente discutibili nel quadro della Carta dei diritti fondamentali dell’UE. L’impatto potenzialmente enorme che il trattamento potrebbe avere sulle persone interessate (per esempio discriminazione, detenzione, pena di morte) fa a sua volta pendere il bilanciamento nettamente a favore degli interessi e dei diritti degli interessati.
Riutilizzo di dati disponibili al pubblico
Esempio 23: valutazione di politici126
Una ONG a difesa della trasparenza utilizza i dati sui politici disponibili al pubblico (promesse formulate al momento della loro elezione e dati effettivi sul voto) per valutarli in funzione del grado di mantenimento delle loro promesse. Anche se l’impatto sui politici interessati potrebbe essere considerevole, il fatto che il trattamento, chiaramente finalizzato ad aumentare la trasparenza e la responsabilità, si basi su informazioni pubbliche nonché riguardanti le loro responsabilità pubbliche fa pendere il bilanciamento a favore dell’interesse del responsabile del trattamento127 .
Minori e altre persone vulnerabili
Esempio 24: sito web di informazione per gli adolescenti
Il sito web di una ONG che offre consigli agli adolescenti su questioni quali abuso di stupefacenti, gravidanza indesiderata e abuso di alcolici raccoglie, attraverso il proprio server, dati relativi ai visitatori del sito. Subito dopo li rende anonimi e li trasforma in dati statistici generali riguardanti le parti del sito web più consultate da visitatori provenienti da regioni geografiche differenti del paese. L’articolo 7, lettera f), potrebbe essere utilizzato come fondamento giuridico anche se i dati interessati riguardano soggetti vulnerabili, poiché il trattamento è di interesse pubblico e sono poste in essere garanzie rigorose (i dati sono immediatamente anonimizzati e utilizzati solo per la creazione di statistiche), fattori che contribuiscono a far pendere il bilanciamento a favore del responsabile del trattamento.
Soluzioni basate sul concetto di “privacy by design” (tutela della vita privata fin dalla progettazione) come garanzie supplementari
Esempio 25: accesso a numeri di cellulare di utenti e non utenti di un’applicazione: “confronta e dimentica”
I dati personali di alcuni soggetti sono trattati per verificare se in passato tali persone avevano già fornito il loro consenso inequivocabile (ad esempio, “confronta e dimentica” come garanzia). Uno sviluppatore di applicazioni è tenuto a ottenere il consenso inequivocabile degli interessati per trattare i loro personali: per esempio, lo sviluppatore di applicazioni vuole avere accesso all’intera rubrica elettronica degli utenti dell’applicazione, compresi i numeri di cellulare di recapiti che non utilizzano l’applicazione. Per poterlo fare, potrebbe prima dover valutare se i titolari dei numeri di cellulare contenuti nelle rubriche degli utenti dell’applicazione hanno fornito il loro consenso inequivocabile (ai sensi dell’articolo 7, lettera a)) al trattamento dei loro dati personali.Per questo trattamento iniziale limitato (ossia accesso in lettura a breve termine all’intera rubrica di un utente dell’applicazione), lo sviluppatore dell’applicazione potrebbe basarsi sul fondamento giuridico costituito dall’articolo 7, lettera f), fatte salve talune garanzie. Tali garanzie dovrebbero comprendere misure tecniche e organizzative volte a garantire che la società utilizzi questo accesso solo per aiutare l’utente a individuare quali dei suoi contatti sono già utenti e avevano pertanto già fornito in passato alla società il loro consenso inequivocabile a raccogliere e trattare i numeri di telefono a tal fine. I numeri di cellulare dei non utenti possono essere raccolti e utilizzati solo al fine strettamente limitato di verificare se tali persone hanno fornito il loro consenso inequivocabile al trattamento dei dati personali e devono essere immediatamente cancellati subito dopo.
Combinazione di dati personali tra servizi web
Esempio 26: combinazioni di dati personali tra servizi web
Una società di Internet che fornisce vari servizi tra cui motori di ricerca, condivisione di video, siti di socializzazione, sviluppa una politica sulla tutela della vita privata contenente una clausola che le permette “di combinare tutte le informazioni personali” raccolte su ciascuno dei suoi utenti in relazione ai differenti servizi da essi utilizzati, senza definire alcun periodo di conservazione dei dati. La società sostiene di agire in tal senso al fine di “garantire la migliore qualità possibile del servizio”. La società mette alcuni strumenti a disposizione di differenti categorie di utenti affinché possano esercitare i loro diritti (ad esempio, disattivare la pubblicità mirata, opporsi all’impostazione di un tipo specifico di cookie). Tuttavia, gli strumenti disponibili non permettono agli utenti di controllare effettivamente il trattamento dei loro dati: gli utenti non possono controllare le combinazioni specifiche dei loro dati tra i servizi né opporsi alla combinazione di dati che li riguardano. Nel complesso, esiste uno squilibrio tra l’interesse legittimo della società e la protezione dei diritti fondamentali degli utenti e l’articolo 7, lettera f), non deve essere invocato come fondamento giuridico per il trattamento. Sarebbe più opportuno utilizzare l’articolo 7, lettera a), come fondamento giuridico purché siano soddisfatte le condizioni per un consenso valido.
______________
116 La corretta applicazione dell’articolo 7, lettera f), potrebbe dare luogo a complesse questioni di valutazione e, per contribuire a orientare la valutazione, una legislazione e una giurisprudenza specifiche, orientamenti mirati nonché codici di condotta e altre norme formali o meno formali potrebbero svolgere tutti un ruolo importante.
117 Per quanto riguarda la libertà di espressione e d’informazione, cfr. pagina 40 del parere. Occorre tenere conto anche di tutte le deroghe pertinenti previste dal diritto nazionale per il trattamento di dati personali effettuato a scopi giornalistici ai sensi dell’articolo 9 della direttiva.
118 Non si può escludere che alcune spese possano rivelare dati più sensibili, quali dati sanitari. In tal caso, i dati in questione dovranno essere innanzitutto espunti dall’insieme di dati prima della sua pubblicazione. È buona prassi adottare un “approccio proattivo” e offrire alle persone l’opportunità di riesaminare i loro dati prima che siano pubblicati nonché informarle chiaramente riguardo alle possibilità e alle modalità della pubblicazione.
119 Cfr. anche Corte di giustizia dell’Unione europea, causa C-131/12 Google Spain c. Agencia Española de Proteccion de Datos, attualmente all’esame della Corte di giustizia dell’Unione europea.
120 Oltre a tutte le restrizioni imposte dalle norme di protezione dei dati, anche la pubblicità di prodotti soggetti a prescrizione medica è rigorosamente regolamentata nell’UE ed esistono altresì alcune restrizioni riguardanti la pubblicità dei medicinali non soggetti a prescrizione. Inoltre, si deve tenere conto anche degli obblighi previsti dall’articolo 8 riguardo a categorie particolari di dati (quali dati sanitari).
121 Si presuppone che negli Stati membri in cui si applica questo esempio l’esistenza di liste elettorali sia prevista dalla legge.
122 Attualmente tra i vari Stati membri esiste una certa disomogeneità riguardo alle misure che potrebbero essere considerate necessarie all’esecuzione di un contratto.
123 Si deve tenere conto anche degli obblighi previsti dall’articolo 8 riguardo alle categorie particolari di dati (quali dati sanitari).
124Cfr. il documento di lavoro sulle liste nere (WP 65) adottato il 3 ottobre 2002.
125 Alcuni Stati membri ritengono che un certo monitoraggio elettronico limitato potrebbe essere “necessario all’esecuzione del contratto” e che, di conseguenza, potrebbe essere basato sul fondamento giuridico dell’articolo 7, lettera b), anziché sull’articolo 7, lettera f).
126 Cfr. e operare anche un confronto con il precedente esempio 7.
127 Come negli Esempi 1 e 2, siamo partiti dal presupposto che la pubblicazione sia accurata e proporzionata; l’assenza di garanzie e altri fattori potrebbero modificare l’equilibrio degli interessi a seconda delle circostanze del caso.
Fonte: Garante per la Protezione dei dati - GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI - Linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679
LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227