Commenti alle nuove Linee Guida del Garante Privacy sui cookie

Il Garante per la Protezione dei Dati Personali ha recentemente pubblicato delle “Linee Guida sull’utilizzo dei cookie ed altri strumenti di tracciamento” in consultazione pubblica. Quindi, in base ai commenti ricevuti da diverse fonti, emanerà successivamente le Linee Guida definitive.

In questo articolo, pertanto, fornisco alcune considerazioni personali sulle Linee Guida stesse ed in generale sull’argomento “cookie ad altre tecnologie traccianti”, che normalmente sono presenti sui siti web – ma anche su app per dispositivi portatili -, ad integrazione ed aggiornamento di quanto riportato in un mio precedente articolo. Si consideri anche che, nel frattempo, alcune Autorità di Controllo Europee (ICO, CNIL,…) hanno pubblicato proprie linee guida e l’EDPB ha più recentemente pubblicato le Linee Guida sul Consenso, che riportano anche alcuni esempi sulla gestione dei cookie.



Nel panorama generale dei siti web gestiti dalle imprese italiane si possono identificare due grandi categorie:

  1. Siti basici, di tipo istituzionale e/o divulgativo, che rappresentano una sorta di pubblicità via web, brochure digitale online, priva di funzionalità dinamiche attive (ad eccezione, in alcuni casi, di un blog con articoli divulgativi su argomenti inerenti all’attività dell’impresa o dello studio professionale). In siti di questo genere non ci sono aree riservate a cui accedere previa registrazione, è solo presente un form di contatto per porre domande e richieste di informazioni al proprietario del sito. In alcuni casi è possibile iscriversi alla newsletter fornendo il proprio indirizzo e-mail, al fine di rimanere informati sulle novità, nuove proposte e nuovi articoli del blog. Li chiameremo siti del primo tipo.
  2. Siti che prevedono attività di direct-marketing anche molto invasive; dunque, non solo cookie traccianti, ma anche raccolta di informazioni aggiuntive degli utenti, profilazione degli stessi con attività di re-marketing e marketing targettizzato in funzione delle preferenze degli utenti, registrazione al sito – anche con account social – ed eventuali attività di e-commerce. Li chiameremo siti del secondo tipo.

Fra queste due macro-categorie ci possono essere, ovviamente, situazioni intermedie, che si avvicinano più al primo o secondo tipo.

Al momento le interpretazioni prevalenti – soprattutto a livello europeo – dell’applicazione del GDPR e delle Linee Guida EDPB sul consenso – ed in parte anche queste Linee Guida del Garante Privacy italiano – rendono l’applicazione della normativa sui cookie piuttosto difficoltosa per le PMI, gli Studi Professionali e i singoli liberi professionisti che possiedono un sito web del primo tipo. Una gestione dei cookie granulare, fornendo la possibilità all’utente di decidere quali (tipi di) cookie accettare e quali no, costringerebbe queste organizzazioni a aderire ad uno dei servizi di gestione dei cookie e delle relative cookie policy e/o rivolgersi all’assistenza specialistica di un webmaster o società specializzate nello sviluppo e la gestione di siti web. Paradossalmente la creazione e manutenzione di un sito web per una piccola organizzazione – al netto del tempo necessario per creare ed aggiornare i contenuti – potrebbe costare meno di 100 euro l’anno (costi di registrazione del dominio, web hosting, database per ospitare CMS come WordPress, caselle di posta incluse), mentre la gestione dei cookie sarebbe più onerosa, anche semplicemente volendo gestire cookie tecnici e cookie analitici di prima parte e di terza parte (es. Google Analytics).

Dal punto di vista dell’utente medio, gli elementi più fastidiosi nella navigazione sul web sono possono invece essere classificati nei seguenti:

  1. Subire banner pubblicitari molto invasivi, anche di argomenti non pertinenti con il sito internet che si sta consultando, con il rischio abbastanza frequente di cliccare involontariamente sul banner pubblicitario e, quindi, vedersi proiettati in siti non pertinenti e talvolta inappropriati, se non si sono impostati determinati filtri a livello di browser o di anti-malware.
  2. Subire spamming e campagne pubblicitarie particolarmente invasive (a volte anche tramite telefonate commerciali indesiderate, se è stato in qualche modo carpito il numero di telefono) per il solo fatto di aver consultato un determinato sito o aver ricercato o visionato un determinato prodotto in un sito di e-commerce.
  3. Dover continuamente accettare, rifiutare i cookie (o scegliere quali accettare e quali no) per ogni accesso ad una nuova pagina web, considerando anche la reiterazione dell’operazione ad ogni nuovo accesso allo stesso dominio effettuato in tempi diversi o tramite dispositivi diversi.

Il nuovo approccio alla gestione dei cookie ed altre tecnologie traccianti introducono sistematicamente il terzo elemento nell’elenco sovrastante, ma non eliminano a priori i disagi ed i disturbi dei primi due casi.

D’altro canto occorre considerare la seguente domanda: quanti utenti conoscono l’esatto significato delle diverse tipologie di cookie? Le informative che si vedono nella maggior parte dei siti, anche quelle gestite in modo automatico dai servizi specialistici di cookie management, non aiutano certamente l’utente a capire cosa egli potrebbe escludere e cosa accettare.

In altre parole, credo che anche l’approccio più rigoroso e garantista per la protezione dei dati personali dell’utente nella gestione dei cookie non cauteli adeguatamente l’utente stesso, soprattutto se minore, dalle situazioni di cui ai punti a) e b) sopra citati. L’applicazione delle regole sancite dalle linee guida a livello europeo ha finora portato ad aumentare la difficoltà dell’utente che volesse non accettare tutti i cookie di un sito o un servizio che utilizza a scopo di lucro i dati personali degli utenti (es. Google, Microsoft, Facebook, Amazon ed altri). Inevitabilmente i rischi per l’interessato nella gestione dei cookie di siti del primo tipo di piccole organizzazioni, ad eccezione di quelle che trattano dati sanitari, sono infinitamente inferiore ai rischi che corrono navigando su siti del secondo tipo. Purtroppo, il Regolamento e le Linee Guida pubblicate recentemente non recepiscono questa differenziazione e le relative cookie policy/privacy policy non sembrano evidenziare le enormi differenze per l’utente in queste due situazioni tipiche. Perché le scelte sulla gestione dei cookie non possono discendere da una valutazione dei rischi per i relativi trattamenti di dati personali? Tale valutazione potrebbe prendere in considerazione la gravità del rischio, ovvero delle conseguenze per l’interessato del trattamento dei cookie effettuato dal sito e dalle terze parti, e della probabilità che tale evento si verifichi (si consideri che cookie e indirizzi IP, ad esempio, non sono sempre dati personali, in molti casi non è possibile risalire da essi a persone fisiche individuabili).

In attesa che la normativa a livello europeo non sancisca le regole sui cookie e tecnologie similari in modo definitivo, attraverso il nuovo Regolamento e-Privacy, occorre prudenza nel definire regole prescrittive troppo severe a partire da interpretazioni del GDPR del concetto di consenso, quando la gestione di un consenso off-line (ad es. su un modulo cartaceo) è ben diversa da un consenso on-line (su un sito internet). E soprattutto la gestione dei diritti dell’interessato, come li prevede il RGPD, è alquanto complicata.

Relativamente all’inadeguatezza dello scrolling ad attestare il consenso dell’interessato, da un lato sono d’accordo, ma dall’altro viene da chiedersi perché certi banner pubblicitari possono essere talmente ingannevoli che l’utente facilmente finisce per essere veicolato su un sito indesiderato, senza che nessuno gli abbia chiesto se veramente avesse voluto navigare su tale sito. Dunque, occorrerebbe più coerenza nello stabilire regole omogenee in diversi contesto e, soprattutto, nel farle rispettare.

Riguardo all’uso, ritenuto illecito, dei c.d. cookie wall, mi permetto di dissentire in via generale, almeno per i siti del primo tipo. In particolare, mi riferisco a siti web che forniscono informazioni utili su diversi argomenti, tramite articoli del blog o sezioni specifiche (community, documenti da scaricare, ecc.): per i gestori di tali siti mi sembra legittimo richiedere l’accettazione di cookie analitici per il monitoraggio degli accessi al sito al solo fine di elaborare statistiche, necessariamente elaborate da terze parti, quali Google, per fornire informazioni a titolo gratuito. Il bilanciamento fra il servizio fornito a titolo gratuito e il minimo trattamento dei cookie mi sembra adeguato.

 Diverso potrebbe essere il caso in cui si subordina l’accesso al sito ad attività di profilazione più invasive, sebbene ci si potrebbe chiedere che differenza c’è rispetto alla sottoscrizione di fidelity card nei negozi fisici, che prevedono l’attivazione di raccolte punti con sconti e premi subordinate ad attività di profilazione a fini di marketing. Ancora una volta il cittadino e l’impresa richiedono coerenza a 360° nei diversi ambiti.

Un aspetto non completamente chiarito dalle linee guida è quello costituito dai plugin social presenti in molti siti web per la condivisione di contenuti su Facebook, Linkedin, Twitter, ecc.. In tal caso se l’utente intende condividere un articolo o una pagina di un sito web su un social network è bene comprendere che tale attività viene svolta attraverso l’account dell’utente nel social network, dunque la condivisione dei dati (utente X che condivide un articolo del sito Y sul social network Z tramite il proprio account social) avviene nella piena consapevolezza dell’utente, dunque non dovrebbe essere richiesto alcun consenso per mantenere questi plugin social nel proprio sito, a condizione che svolgano solo questo compito.

Analogamente un utente che naviga su un sito tramite Chrome dopo essersi autenticato con il proprio account Google, e magari aver effettuato una ricerca per arrivare proprio a quel sito, dovrebbe essere pienamente consapevole che la sua attività nel sito – e nelle pagine consultate prima e dopo – è stata completamente tracciata da Google, in maniera del tutto indipendente.

In generale credo possa essere accettabile, sempre per siti del primo tipo, richiamare alcune istruzioni generali per disabilitare i cookie direttamente nel browser, in base alle funzioni messe a disposizione da Firefox, Chrome, Edge, Safari, Opera ed altri browser, sebbene comunque alcuni siti richiederanno l’abilitazione dei cookie, anche quelli più invasivi per la privacy, per funzionare. Alleviando così l’onere in capo al proprietario del sito di implementare complicate gestioni dei consensi per tipologie di cookie.

L’obbligo di mantenere evidenza documentata del consenso obbligherebbe ancora una volta i proprietari dei siti di primo tipo a rivolgersi ai rispettivi gestori con attività onerose dal punto di vista economico. Ancora una volta dal punto di vista dell’utente che ha implementato nel browser funzionalità di cancellazione automatica dei cookie al termine della sessione si troverebbe a dover nuovamente acconsentire ai cookie ad ogni nuovo accesso al medesimo sito, benché il consenso sia già stato dato, magari il giorno precedente.

Meno oneroso sarebbe in ogni caso dimostrare un comportamento corretto da parte del proprietario del sito, ovvero l’applicazione di una procedura di accettazione o rifiuto dei cookie ad ogni accesso al sito, nella consapevolezza che la registrazione del precedente consenso sarebbe inutile laddove l’utente abbia cancellato automaticamente i cookie. Anche in questo caso occorre differenziare il consenso prestato on-line da quello off-line essenzialmente su modulistica cartacea, a vantaggio di una gestione semplificata e più snella per le piccole e medie organizzazioni, senza inutili sprechi di risorse economiche a fronte di modesti vantaggi e limitatissimi rischi per l’utente in termini di privacy.

Più in generale il contesto nel quale si trova l’utente comprende siti nei quali è impossibile disabilitare tutti i cookie e app su smartphone che richiedono genericamente l’accesso a risorse del dispositivo senza chiarire in quali casi vengono utilizzati i dati personali dell’utente (nome, numero di telefono, e-mail, le immmagini e i video memorizzati, ecc.) e dei suoi contatti.

Pur apprezzando il lavoro dell’Autorità Garante per la Protezione dei Dati personali che sta prendendo in considerazione anche le esigenze delle piccole e medie imprese del nostro tessuto economico, credo che molti aspetti di questo complicato argomento debbano ancora essere chiariti e resi applicabili in modo più snello.

Aggiornamento relativamente al Regolamento e-Privacy del 04/03/2021

Il Regolamento e-Privacy ha ottenuto dal Consiglio UE parere favorevole sulla versione finale del testo, con un mandato negoziale per la revisione definita delle regole in materia di tutela della riservatezza nell’uso di servizi di comunicazione elettronica. Ora ci si attende l’emanazione del nuovo Regolamento – che abrogherà la vecchia Direttiva e tutta la legislazione precedente in materia di cookie – entro qualche mese, al massimo entro l’anno 2021.Al momento della pubblicazione sulla G.U. Europea il Regolamento diverrà operativo (dunque sarà applicabile), ma sarà concesso un periodo transitorio di due anni per adeguarsi.

Si precisa che il Regolamento e-Privacy si applicherà a tutte le comunicazioni elettroniche, non solo ai dati personali, e pertanto riguarderà non solo le persone fisiche, ma anche le persone giuridiche.

Riguardo ai cookie la proposta pervenuta durante la presidenza portoghese dell’Unione ha portato alcune soluzioni di compromesso, tra cui la possibilità di utilizzare cookie analitici di terze parti per la raccolta di statistiche di navigazione senza esplicito consenso da parte dell’utente. Anche relativamente al c.d. “cookie wall” viene ammessa la possibilità di permettere l’accesso al sito solo concedendo l’installazione e l’utilizzo di cookie, ma sotto determinate condizioni: l’utente deve poter accedere a servizi equivalenti senza dover necessariamente concedere il consenso ai cookie, eventualmente pagando un compenso. Ma tale postilla è frutto di interpretazioni varie, per cui occorre attendere l’approvazione del Regolamento per saperne di più.

Il GPDP al momento non ha ancora concluso l’iter di consultazione ed approvazione delle nuove Linee Guida.




Prime esperienze di applicazione del GDPR

Il GDPR è divenuto pienamente attuativo dal 25 maggio scorso, anche se in realtà era stato pubblicato due anni prima, però il processo di adeguamento delle imprese italiane al GDPR è ancora in corso. Questo perché da un lato, come è consuetudine nel nostro Paese, le Imprese affrontano le scadenze legislative solo all’ultimo momento, non preoccupandosi di capire prima quanto tempo è necessario per l’adeguamento legislativo. Dall’altro anche le Istituzioni (Stato Italiano e Garante Privacy) stanno impiegando molto più tempo del previsto per rendere completo, ed auspicabilmente di chiara interpretazione, il panorama legislativo in materia di protezione dei dati personali.

Il fatto che molti punti del GDPR non sono di facile interpretazione e, anzi, gli approcci sono talvolta differenti, non ha fatto altro che rallentare il percorso di adeguamento.

Tra gli effetti collaterali di questo lento percorso di adeguamento c’è la difficoltà di interfacciarsi con i soggetti esterni all’impresa o allo studio professionale, perché il mondo perfetto in cui i miei clienti ed i miei fornitori sono già adeguati al GDPR – e lo hanno interpretato in modo uniforme – al momento non esiste, e non si sa quando ci si arriverà.

Passiamo ad esaminare le principali problematiche – e possibili soluzioni – delle prime applicazioni del GDPR in organizzazioni di diverso tipo e dimensioni.

1) Informative e consensi

L’informativa è lo specchietto delle allodole della nuova normativa sulla privacy; non bisogna credere che basta trovare un modello di informativa, magari gratuitamente dal web o da amici e colleghi, per aver risolto il problema privacy: uno su mille ce la fa! Solo pochi singoli (ditte individuali, professionisti singoli) senza dipendenti possono accontentarsi della nuova informativa.

Inoltre, l’informativa ha un contenuto che non può essere redatto in modo completo solo partendo da un modello standard e conoscendo l’art. 13 (e seguenti) del Regolamento UE 679/2016; occorre conoscere come funzionano i flussi di trattamento dei dati personali nell’organizzazione. Magari attraverso un’assessment ed una gap analysis approfondita, soprattutto nelle organizzazioni più complesse.

Infine, c’è il problema di come comunicare l’informativa agli interessati. Occorre analizzare bene requisiti normativi, processi gestionali ed esigenze organizzative per scegliere le modalità più opportune. Probabilmente un’informativa pubblicata su una pagina web ed una e-mail ai clienti (effettivi e potenziali) e fornitori, che comunica l’aggiornamento dell’informativa privacy, reperibile al sito www…. è la soluzione migliore nella maggior parte delle organizzazioni, soprattutto se operano B2B.

2) Responsabili esterni del trattamento

Il GDPR ci dice di identificare i soggetti esterni all’organizzazione che trattano per “suo conto” dati personali e di designarli come responsabili del trattamento attraverso un atto a valenza contrattuale.

In primo luogo occorre stabilire quali fornitori (e non solo) operano come responsabili del trattamento perché trattano dati personali di cui l’organizzazione è titolare del trattamento: società e studi che forniscono servizi contabili e fiscali, società e studi che forniscono servizi di elaborazione buste paga e consulenza del lavoro, società che forniscono servizi informatici (servizi di assistenza sistemistica, fornitori di software gestionale ed applicativo, fornitori di servizi cloud, ecc.) sono solo alcuni candidati… occorre anche qui capire come si svolgono le varie attività internamente ed esternamente ed è necessario valutare l’affidabilità del fornitore in termini di garanzie relative alla protezione dei dati personali.

Per gestire correttamente questo punto bisogna essere in due ed essere d’accordo sulla nomina di responsabile del trattamento e sui relativi obblighi contrattuali del responsabile.

Questa attività di “regolarizzazione” dei responsabili del trattamento è spesso lunga e non priva di ostacoli, anche per l’inerzia dei fornitori in questione a rispondere a semplici questionari nei quali si va a chiedere loro quali misure di sicurezza sono state implementate al loro interno (ad es. nella gestione operativa dello studio e/o nel software). Se poi il fornitore non accetta la nomina a responsabile del trattamento (e dei relativi obblighi contrattuali) perché si sente titolare autonomo o semplice soggetto autorizzato a trattare dati personali, ecco che il processo di adeguamento al GDPR si complica enormemente. Se si prende spunto dai sistemi di gestione qualità ISO 9001 si comprende che i fornitori dovranno essere “qualificati” per fornire la nostra organizzazioni e situazioni nelle quali il fornitore tiene “in scacco” il cliente in tema di privacy sono da evitare.

3) Registro delle attività di trattamento

È un adempimento non solo formale (praticamente l’unico richiesto alla stragrande maggioranza delle organizzazioni), ma sostanziale: per redigere il registro dei trattamenti (del titolare e del responsabile) bisogna conoscere quali dati personali vengono trattati, in quali processi dell’organizzazione e con quali modalità. Anche in questo caso occorre un’analisi dei processi dell’organizzazione precisa e puntuale. Effetto collaterale di questa attività di mappatura dei flussi di dati dell’organizzazioni potrebbe essere quello, gradito, di individuare gestioni di dati ridondanti e inefficienti, da eliminare in prospettiva, non solo di privacy.

Ci sono diverse interpretazioni nella composizione del Registro dei trattamenti, francamente non credo che le diverse interpretazioni possano costituire un rischio di compliance del registro dei trattamenti a fronte di ispezioni del Garante, dato che in fondo non esistono linee guida chiare sulle corrette modalità di alimentazione dei registri dei trattamenti (le recenti FAQ del Garante in merito non aiutano più di tanto).

Un registro completo anche di informazioni non necessariamente richieste dal GDPR, ma utili nella gestione dei dati personali (es. software gestionali ed applicativi che trattano i dati personali, funzioni aziendali autorizzate a trattare i dati, ecc.) risulta utile per comprendere come sono gestiti i dati personali.

Da ultimo, per completare i registri dei trattamenti occorre sapere per quali attività di trattamento l’organizzazione è titolare del trattamento e per quali è solo responsabile: e ciò si lega alle problematiche del punto precedente, anche in senso opposto, relativamente ai ruoli di titolare e responsabile del trattamento, o magari di contitolare.

4) Misure di sicurezza tecniche ed organizzative

La definizione delle misure di sicurezza adeguate è uno dei punti più difficili del GDPR. Propedeutica a questa attività c’è la valutazione dei rischi che incombono sui dati personali e soprattutto sulle persone fisiche cui si riferiscono.

Al di là della criticità o meno dei trattamenti effettuati dalle diverse organizzazioni occorre stabilire un livello minimo di sicurezza nei sistemi di protezione dei dati personali, coerente con gli standard nazionali ed internazionali e le best practice di sicurezza informatica. Il problema è che non esistono più le misure minime di sicurezza stabilite per legge, anche se alcune di esse (non tutte) rimangono valide a livello di standard minimo di sicurezza sostenibile davanti ad un Giudice. Infatti, dobbiamo pensare al caso peggiore: l’ispezione del Nucleo Privacy della Guardia di Finanza (magari a seguito di un data breach) e le richieste di risarcimento danni di un interessato che si ritiene danneggiato da una violazione dei suoi dati personali.

Allora occorre documentare lo stato dei sistemi informatici con riferimento alle misure di sicurezza implementate e documentare anche le misure organizzative attuare. È il minimo per dimostrare l’accountability, ma può essere solo un punto di partenza se le misure implementate non sono convincenti per essere sostenute nei confronti di terzi.

Nelle PMI talvolta la gestione sistemistica dei sistemi informatici è delegata ad un soggetto esterno (singolo professionista o società di servizi informatici). In questi casi il titolare dei trattamenti come minimo dovrebbe pretendere una descrizione dettagliata delle logiche di funzionamento dei sistemi e delle misure di sicurezza implementate, ma spesso il fornitore è restio a documentare una prassi non completamente sicura, implicitamente accettata dalla Direzione aziendale che non intendeva sobbarcarsi ulteriori costi per rendere maggiormente sicuri i sistemi.

Una misura di sicurezza (organizzativa) è costituita proprio dalla disponibilità di relazioni e dichiarazioni scritte da parte del fornitore di servizi IT.

Tra le misure organizzative di sicurezza rientrano anche nomine ad amministratore di sistema (secondo il provvedimento del Garante per la Privacy del 2008 ancora valido) di coloro che di fatto svolgono tali mansioni, contratti con fornitori che garantiscono sicurezze adeguate sui dati personali da essi gestiti, compresa una designazione a responsabile esterno del trattamento, la formazione del personale, procedure e istruzioni interne.

Su quest’ultimo aspetto risulta molto utile istituire una sorta di “Regolamento informatico interno”, che descriva le regole da seguire da parte del personale quando utilizza i dispositivi ITC messi a disposizione dall’azienda e non solo. Tale Regolamento dovrebbe trattare – coerentemente con le misure di sicurezza effettivamente implementate – argomenti quali: gestione delle password, gestione delle postazioni di lavoro, gestione dei dispositivi portatili, misure di sicurezza da adottare in viaggio, modalità di utilizzo dei dispositivi elettronici assegnati (cosa si può fare e cosa no), regole da seguire nella navigazione internet e nell’utilizzo della posta elettronica e così via.

Tali disposizioni, oltre che per la protezione dei dati personali, sono utili alla Direzione aziendale per garantirsi in caso di atti illeciti commessi da un dipendente tramite strumenti ICT dell’azienda.

Tornando alle misure di sicurezza informatica implementate, le principali carenze che si rilevano, soprattutto nelle piccole e microimprese, sono legate all’utilizzo di antivirus free (che talvolta non lo sono per utilizzo a fini commerciali), indirizzi di posta elettronica gratuiti, piattaforme in cloud gratuite, servizi di trasmissione di file di grandi dimensioni, ecc. Come noto il termine “gratis” è estremamente gradito a molti piccoli imprenditori, ma per chi tratta dati personali, specie se di tipo sanitario o giudiziario, i sistemi gratuiti offerti anche da importanti player mondiali quali Google, Microsoft, ecc. potrebbero non rappresentare una misura di sicurezza adeguata. Se i dati personali sono critici dal punto di vista della riservatezza, sistemi che non la garantiscono a priori (il servizio gratuito è generalmente fornito in cambio dell’utilizzo dei dati) non costituiscono la scelta migliore. Inoltre la conservazione di dati personali in cloud storage che fisicamente risiedono fuori dalla UE è ammessa solo sotto determinate condizioni.




Nuovo Decreto Legislativo n. 101 del 10 agosto 2018 – Codice Privacy emendato

Il Decreto Legislativo 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” è stato pubblicato in Gazzetta Ufficiale il 04/09/2018 ed entra in vigore dal 19/09/2018.

Il tanto atteso (da chi si occupa di GDPR e privacy in generale) documento normativo permette di inquadrare meglio la materia “protezione dati personali” nel panorama legislativo italiano dopo l’entrata in vigore del Regolamento UE 679/2016 (RGPD o GDPR).

Come previsto dalle letture delle precedenti versioni dello schema di Decreto, approvato dal C.d.M. lo scorso 8 agosto, il testo di legge non fuga molti dubbi che sono emersi dall’applicazione del GDPR in questi primi mesi (in realtà il Regolamento è noto da oltre due anni).

In particolare, non viene trattato il tema delle nomine dei Responsabili esterni del Trattamento (quando si rientra in questo caso? Che fare se la nomina viene rifiutata dal fornitore?), ma questo forse potrà essere argomento delle Linee Guida per le PMI del Garante Privacy, che di fatto riguarderanno la quasi totalità delle organizzazioni italiane per come è strutturato il nostro panorama industriale e dei servizi. Non vengono nemmeno fugati i molti dubbi circa l’applicazione di determinate misure di sicurezza o relativamente al concetto di “larga scala”.

Purtroppo il concetto di accountability (responsabilizzazione) è lontano dall’animo degli imprenditori italiani, che hanno sempre necessitato di regole certe e ben definite: o bianco o nero, permesso o vietato. È come se nel Codice della Strada scomparissero i limiti di velocità e comparisse una regola generale che preveda che “in ogni strada ogni automobilista deve mantenere una velocità adeguata a garantire la sicurezza di persone e cose, minimizzando i rischi di provocare incidenti”.

Oltre alle misure di semplificazione per le PMI, che il Garante Privacy italiano dovrà emanare prossimamente (i tempi previsti sono piuttosto lunghi, visto anche che il GDPR è pienamente attuativo già da oltre tre mesi ed è stato pubblicato nel 2016), farà certamente piacere a molte organizzazioni sapere che tra le disposizioni transitorie e finali, contenute all’art. 22 del nuovo D.Lgs 101/2018, è invece previsto che “per i primi otto mesi dalla data di entrata in vigore, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative (…), della fase di prima applicazione delle disposizioni sanzionatorie”. Dunque, fino al 19 maggio 2019 il Garante sarà clemente? Cosa significa? Vuol dire che non ci saranno sanzioni, se non nei casi più gravi (o che costituiscono violazioni della normativa sulla privacy già da tempo), fino a maggio 2019, ma non si può dire ufficialmente per non subire la reprimenda della UE?

Il nuovo D. Lgs 101/2018 in realtà va a modificare il vecchio D. Lgs 196/2003 che, però, vede abrogati la maggior parte dei suoi articoli e, di fatto, viene riscritto tenendo conto delle prescrizioni del GDPR Europeo. In pratica il D. Lgs 101/2018 è poco leggibile, se non si dispone di una versione del D. Lgs 196/2003 modificata e integrata. Ampiamente criticabile è la scelta di novellare il Codice Privacy (D. Lgs 196/2003 con le sue successive modifiche ed integrazioni intercorse negli anni) anziché abrogarlo in toto ed emanare un nuovo Decreto.

Tutto ciò non fa che rendere il panorama normativo in materia di privacy sempre più complesso, oltre che ancora fluido. Si pensi anche ai provvedimenti del Garante Privacy preesistenti all’entrata in vigore del Regolamento 679/2016, che sono stati ritenuti ancora validi, fatto salvo che il Garante stesso potrà modificarli per aggiornarli alla normativa attuale.

Ma veniamo ai punti salienti trattati dal nuovo Decreto Legislativo 101 del 2018:

  • Inquadramento dei compiti di interesse pubblico che riguardano i trattamenti dei dati personali, attività della Pubblica Amministrazione e tutto ciò che concerne i trattamenti di dati personali effettuati dagli apparati Statali e dalla Sanità Pubblica. Nel GDPR tali situazioni erano correttamente rimandate a regolamentazioni nazionali.
  • Chiarimenti sulle modalità di trattamento di particolari categorie di dati, quali dati relativi alla salute, dati genetici e dati biometrici.
  • Definizione più dettagliata dei criteri di applicazione delle sanzioni ed introduzione delle sanzioni penali (solo per situazioni molto gravi).
  • Introduzione dei soggetti “designati” al trattamento dei dati personali, con particolari compiti e responsabilità, non solo soggetti “istruiti” e non più “responsabili interni al trattamento”.
  • Disposizioni per settori specifici (anche semplificazioni per la gestione dei curriculum ricevuti dalle organizzazioni).
  • Regole per il settore delle comunicazioni elettroniche e per il giornalismo.
  • Conferimento di poteri al Garante per la Protezione dei Dati Personali per l’aggiornamento di provvedimenti e disposizioni varie, comprese le misure semplificate per le PMI e la definizione dei ruoli nei confronti di ACCREDIA relativamente alla certificazione.
  • Criteri di applicazione delle sanzioni.

In conclusione il percorso di rinnovamento del “sistema privacy” non si è ancora concluso e le problematiche attuative, soprattutto per le organizzazioni che trattano in modo significativo dati personali, anche appartenenti alle “particolari categorie di dati” individuate dal GDPR, restano abbastanza complesse, soprattutto a fronte di un meccanismo sanzionatorio incerto che potrebbe portare a parecchie contestazioni. Vedremo come il Garante potrà svolgere il gravoso compito demandatogli dal Governo.




Come sta la privacy ad un anno dall’attuazione del GDPR?

privacyIl Regolamento (Ue) 2016/679, noto anche come RGPD (Regolamento Generale sulla Protezione dei Dati) o GDPR (General Data Protection Regulation), troverà piena attuazione esattamente fra un anno da oggi, il 25 maggio 2018, ovvero al termine del periodo di transizione.

A seguito dell’interessante seminario svoltosi venerdì 19 maggio 2017 presso l’Ordine degli Ingegneri di Bologna sulle possibili forme di certificazione in ambito Privacy, è utile fare qualche riflessione sull’attuazione di questa nuova normativa nelle organizzazioni del nostro Paese.

Attualmente esistono alcuni documenti ufficiali che permettono di comprendere meglio come declinare i requisiti del GDPR nella propria organizzazione, tra i quali:

Al momento, però, le indicazioni fornite non sono in grado di fugare tutti i dubbi sull’applicazione del GDPR, anzi!

Il GDPR dà spazio a integrazioni dei requisiti in esso riportati per regolamentare situazioni specifiche per tipo di dati trattati e particolari legislazioni nazionali, sarà compito del Garante Italiano definire eventuali disposizioni integrative che avranno valore di Legge.

Esaminando i concetti principali del GDPR, quali responsabilizzazione (accountability) del titolare e del responsabile del trattamento, privacy by design, privacy by default, valutazione di impatto, valutazione dei rischi e “misure di sicurezza adeguate”, è facile individuare molti punti di debolezza di numerose organizzazioni italiane che, per mentalità, non sono abituate ad affrontare il problema della protezione dei dati personali con metodo e come una reale priorità. Per molti vertici aziendali la privacy è “solo una scocciatura” e il nuovo Regolamento un “ennesimo obbligo cui toccherà adeguarsi”, ma non tanto prima della scadenza. Come se bastasse fare quattro documenti per risolvere il problema per sempre (o per lo meno fino al prossimo cambiamento normativo)!.

Purtroppo questo “approccio” per essere conformi al GDPR deve cambiare, perché è una norma di stampo anglosassone (tipo “common law”, a dispetto della Brexit) che richiede una forte responsabilizzazione di coloro che ricopriranno il ruolo di titolari (rappresentanti legali per le società) e responsabili del trattamento.

L’affidamento all’esterno di dati personali, anche solo per adempimenti legislativi, come la preparazione delle buste paga demandate allo Studio di Consulenza del Lavoro, devono richiedere un’attenta analisi del contratto con il soggetto esterno e verifica che esso soddisfi tutti i requisiti in termini di misure di sicurezza per la protezione dei dati.

Certamente per le PMI che trattano solo dati personali di dipendenti e collaboratori, oltre a nominativi di referenti di clienti e fornitori, l’adeguamento al GDP non sarà di particolare impatto, ma basta demandare all’esterno ad un servizio via web come la gestione del personale oppure avere un sito internet di e-commerce che raccoglie dati di utenti per rendere la gestione un pochino più complessa.

Viceversa le organizzazioni che trattano dati particolari (i.e. sensibili), soprattutto se poco strutturate e se gestiscono tali dati insieme a fornitori di servizi mediante internet, dovranno cambiare il loro atteggiamento sulla privacy e valutare attentamente i rischi che corrono. Soprattutto non credano che basti far scrivere un DPS o “riesumare” quello precedentemente redatto prima che il Governo lo abolisse: la carta (o i documenti digitali) non bastano, occorre la consapevolezza e la sostanza di applicazione di regole comportamentali, misure di sicurezza fisica e logica (sistemi informatici) ritenute adeguate (da chi?) e instaurare con fornitori e partner rapporti contrattuali che prendano in considerazione anche il trattamento dei dati personali e la loro tutela.

Recenti eventi come i ransomware del tipo Wannacry potrebbero far piangere veramente i titolari di trattamenti di dati sanitari, il cui valore per gli hacker potrebbe essere ben superiore dei 300 dollari in Bitcoin. Il ricatto potrebbe essere non del tipo “se rivuoi i tuoi dati paga”, ma “se non vuoi che divulghi su internet i tuoi dati paga il riscatto”!. Ci sono stati già casi analoghi legati a ricatti a proprietari di diritti di serie TV americane molto più innocui.

Relativamente al ruolo del DPO, l’obbligo di nomina imposto dal Regolamento ricade in modo certo solo su Enti Pubblici, mentre le Organizzazioni che controllano in modo regolare e sistematico dati personali di interessati su larga scala e quelle che trattano dati particolari (traducibili con i dati sensibili del vecchio Codice Privacy, D.Lgs 196/2003) su larga scala o trattano dati relativi a condanne penali e reati non sono facilmente determinabili. Cosa significa “su larga scala”? Le indicazioni fornite hanno permesso di stabilire che un medico di base della Sanità Italiana non tratta dati sanitari su larga scala, ma come considerare strutture superiori come Farmacie, Ambulatori medici Privati, Cliniche Private? Gli Studi Legali devono nominare un DPO?

Sicuramente le competenze del DPO dovrebbero comprendere competenze legali (conoscenza di normative e leggi applicabili alla materia ed ai dati trattati dall’organizzazione titolare del trattamento), competenze informatiche (non necessariamente particolarmente approfondite, per esse può rivolgersi a tecnici specializzati come sistemisti ed esperti di sicurezza informatica) e gestionali-organizzative.

Relativamente alle forme di certificazione sulla privacy che, beninteso, non esimono i titolari ed i responsabili del trattamento da essere passibili delle sanzioni previste dal Regolamento e dal Garante Privacy Italiano in caso di infrazioni, occorre distinguere fra diversi tipi di certificazione:

  • Certificazione di prodotto o servizio, accreditata secondo ISO 17065, come ad es. lo schema ISDP 10003:2015 – Criteri e regole di controllo per la Certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. EU 679/2016.
  • Certificazione delle figure Professionali della Data Protection (DPO, “Auditor Privacy”, “Privacy Officer” e “Consulente Privacy”).
  • Certificazione delle Aziende del Data Protection Management System in conformità al Codice di Condotta DPMS 44001:2016© ed al Reg. (UE) 679/2016.
  • Certificazione del sistema di gestione della sicurezza delle informazioni secondo la ISO 27001:2013.

Premesso che la certificazione accreditata secondo il Regolamento UE 679/2016, così come esposta dall’articolo 43 dello stesso RGPD, trova attualmente riscontri solo in standard e certificazioni afferenti allo schema di accreditamento ISO 17065 (certificazioni di prodotto o servizio), emergono le seguenti considerazioni:

  • Non si è ancora affermato un sistema di gestione della privacy riconosciuto che, sulla base della struttura HLS delle norme sui sistemi di gestione (ISO 9001, ISO 27001, ecc.), consenta di gestire la protezione dei dati con un approccio sistemico, basato sui processi e concetti come il risk based thinking e l’attuazione di azioni finalizzate ad affrontare i potenziali rischi sul trattamento di dati personali.
  • Il ruolo del Data Processor Officer (DPO o RPD), come è definito dal Regolamento, non corrisponde ad una figura professionale specifica avente determinati requisiti di competenza (istruzione scolastica e post scolastica, conoscenze normative e tecniche, esperienza nell’ambito privacy, partecipazione a corsi di formazione, superamento di esami o abilitazioni). Il DPO è piuttosto “un ruolo” che potrebbe richiedere competenze differenti a seconda della realtà in cui opera e della criticità della protezione dei dati personali nell’organizzazione stessa.
  • Tutti gli schemi e gli standard sopra indicati permettono di ridurre il rischio che il titolare del trattamento e gli eventuali responsabili incorrano in infrazioni nel trattamento di dati personali e, quindi, rischino infrazioni anche pesanti e/o gravi danni di immagine.

Per concludere, secondo il risk based thinking, quali rischi corrono le aziende che non sono adeguate al GDPR?

La probabilità di essere sanzionati a seguito di ispezioni del Nucleo Privacy della GdF è estremamente bassa, un po’ più alta per organizzazioni che trattano dati particolarmente critici (la valutazione è fatta in base al numero delle ispezioni avvenute negli ultimi anni).

La probabilità di incorrere in sanzioni o in risarcimento danni a causa di istanze di interessati che si sentono danneggiati nella loro privacy oppure in caso di incidenti di dominio pubblico è un po’ più alta.

L’impatto delle conseguenze nel caso si verifichino suddetti eventi negativi dipende dal tipo di organizzazione e dai dati trattati, può essere significativo o devastante a seconda dei casi.

Leggi anche l’articolo Impatti del Regolamento Privacy sullo sviluppo software.