Call Us +39 011 55.84.111

Dati personali dei lavoratori: il WP29 aggiorna le regole del trattamento alla luce delle nuove tecnologie informatiche e del GDPR

  1. Introduzione

Con parere dell’8 giugno 2017, il Gruppo di lavoro ex art. 29 (“WP29”) si è pronunciato in merito al trattamento dei dati personali dei lavoratori, integrando quanto già previsto in passato con il Parere n. 8/2001 (“Parere sul trattamento di dati personali nell'ambito dei rapporti di lavoro”) ed il “Documento di lavoro sulla sorveglianza delle comunicazioni elettroniche sul luogo di lavoro” del 2002.

Come precisato dal WP29, tale nuovo parere è finalizzato ad aggiornare le regole per il trattamento dei dati personali dei lavoratori alla luce dell’evoluzione delle tecnologie informatiche (es.: sistemi per il controllo del lavoro da remoto, geolocalizzazione, Data Loss Prevention) nonché della ormai prossima entrata in vigore (25.5.2018) del Regolamento UE n. 679/2016 (cd. “GDPR”).

Nel documento in esame – rivolto non solo ai lavoratori dipendenti bensì anche a quelli autonomi, indipendentemente dalla stipula o meno di un contratto di lavoro subordinato – il WP29 ha, dapprima, ricordato che nell’effettuare il trattamento di tale tipologia di dati personali i datori di lavoro devono tenere ben presenti i diritti fondamentali dei lavoratori, ivi incluso il diritto alla loro riservatezza e, successivamente, individuato le basi giuridiche di tale trattamento, precisando che queste ultime possono ravvisarsi, alternativamente: (i) nell’esecuzione di obblighi derivanti da un contratto di lavoro, ove presente (es.: finalità retributive - ai sensi dell’art. 6.1, lett. b) del GDPR); (ii) nell’adempimento di obbligazioni previste dalla legge (es.: calcolo della ritenuta d’imposta - ex art. 6.1, lett. c) del GDPR); (iii) nell’interesse legittimo del datore di lavoro (es.: prevenzione della perdita di materiali aziendali e/o miglioramento della produttività dei lavoratori - ex art. 6.1, lett. f) del GDPR).

Il WP29, invece, esclude dalle basi giuridiche del trattamento dei dati personali dei lavoratori il mero consenso di questi ultimi in quanto, a causa del rapporto di “dipendenza” nei confronti del datore di lavoro, lo stesso consenso non potrebbe mai ritenersi liberamente prestato né, per le medesime ragioni, liberamente revocabile.

Con particolare riferimento all’interesse legittimo del datore di lavoro, poi, il WP29 ricorda a ciascun datore di lavoro di valutare preventivamente se il trattamento da porre in essere sia necessario e proporzionato per il perseguimento di una finalità legittima, nonché di adottare apposite misure di sicurezza volte a bilanciare tale finalità con i diritti e le libertà fondamentali dei lavoratori, redigendo, se del caso (cfr. art. 35 del GDPR), anche una valutazione di impatto del trattamento (cd. “DPIA”).  

A tal riguardo, il WP29 suggerisce altresì ai datori di lavoro specifiche misure di sicurezza idonee a prevenire eventuali violazioni della riservatezza degli interessati, tra cui, ad esempio, (i) l’esclusione delle cd. “aree sensibili” (ospedali o luoghi religiosi) dalle zone sottoposte a monitoraggio, (ii) il divieto di monitoraggio delle cartelle/dei file e/o delle comunicazioni personali dei dipendenti e/o, ancora, (iii) la previsione di un monitoraggio “a campione”, rispetto ad una sorveglianza continuata nel tempo (sul punto, per l’Italia, cfr. Prov. Garante Privacy n. 247/2017).

Il WP29 ricorda, infine, che nel caso in cui il trattamento dei dati dei lavoratori si fondi sull’interesse legittimo del titolare, quest’ultimo è sempre tenuto a garantire agli interessati il diritto di opporsi al trattamento, esercitando l’omonimo diritto loro conferito dall’art. 21 del GDPR.

 

  1. I casi tipici

Con il parere in esame, il WP29 ha individuato 9 scenari tipici di trattamento di dati personali dei lavoratori - per lo più basati su un interesse legittimo del titolare del trattamento -  che possono presentare dei rischi per i diritti e le libertà fondamentali di questi ultimi.

Per ciascuno di tali scenari, il WP29 ha inoltre ricordato che il datore di lavoro deve procedere, nel rispetto dei principi di “privacy by design” e “privacy by default” previsti dal GDPR, alla previa individuazione della base giuridica del trattamento, alla verifica della necessità delle operazioni di trattamento ed all’esame della correttezza e proporzionalità dello stesso rispetto alle finalità perseguite.

  • Trattamento dei dati dei candidati presenti sui social network

Secondo il WP29, il datore di lavoro può trattare i dati dei candidati presenti sui loro profili social (opinioni personali, abitudini, interessi, ecc.) solo nelle ipotesi in cui tali profili siano utilizzati dagli interessati per finalità lavorative – e non personali – e laddove gli stessi siano necessari e rilevanti per l’esecuzione della prestazione lavorativa cui la domanda del candidato è rivolta. In tale circostanza, il WP29 ricorda ai datori di lavoro di informare preventivamente il candidato del trattamento dei suoi dati personali (mediante, ad esempio, l’inserimento di una specifica indicazione all’interno dell’annuncio di lavoro).

  • Trattamento dei dati dei lavoratori presenti sui social network

Il trattamento dei dati dei lavoratori presenti sui social network ha, secondo il WP29, i medesimi presupposti previsti per il trattamento dei dati dei candidati (necessaria pubblicità del profilo social dell’interessato, preventiva informativa del trattamento resa agli interessati, sussistenza della necessità e rilevanza del trattamento rispetto al legittimo interesse perseguito). A tal riguardo, tuttavia, il WP29 impone sul datore di lavoro l’onere di provare anche l’insussistenza di strumenti meno invasivi per il raggiungimento delle finalità del trattamento (es.: per il WP29 il datore di lavoro può avere un legittimo interesse a monitorare il profilo Linkedin dell’ex dipendente in regime di non concorrenza con la propria società al fine di verificare il rispetto di tale obbligo da parte dell’ex dipendente).

  • Monitoraggio della strumentazione informatica dei lavoratori

Il WP29 ritiene che, stante l’evoluzione delle tecnologie informatiche a disposizione dei datori di lavoro (Data Loss Prevention, Next-Generation Firewalls, Unified Threat Managment, eDiscovery technologies, BYOD), il trattamento dati personali dei lavoratori relativi all’utilizzo della loro strumentazione informatica (es.: e-mail ricevute/inviate; siti web visitati; telefonate effettuate) rappresenti la più grande minaccia per la loro riservatezza.

Per far fronte a tale minaccia, il WP29 incoraggia i datori di lavoro ad adottare specifiche soluzioni volte a prevenire il ricorso ad accessi “successivi” ai dati dei lavoratori (presenti, ad esempio, nella loro cronologia web e/o nella casella di posta elettronica) e suggerisce, a titolo esemplificativo, misure quali: la predisposizione di un elenco di siti in cui la navigazione è vietata; la previsione di calendari di posta personali; la predisposizione di un’apposita policy per l’uso della strumentazione informatica.

Sul punto, un particolare esempio di approccio preventivo alla protezione dei dati è stato configurato dal WP29 con riferimento alla procedura di Data Loss Prevention, utilizzata dai datori di lavoro al fine di individuare e prevenire la trasmissione non autorizzata di informazioni riservate aziendali. Come chiarito dal WP29, nelle ipotesi in cui un datore di lavoro intenda avvalersi di una simile procedura, egli dovrebbe (i) informare i lavoratori dell’implementazione della stessa, (ii) determinare, in modo chiaro, le regole sulla base delle quali il sistema informatico qualifica una e-mail in uscita come in violazione della riservatezza aziendale e (iii) in caso di effettiva violazione, informarne l’interessato al fine di consentire a quest’ultimo di cancellare – e non inviare – tale comunicazione.

Con particolare riferimento all’utilizzo della strumentazione informatica da remoto (es. BYOD), invece, il WP29 ha previsto che, sebbene l’utilizzo di simili tecnologie comporti grandi vantaggi per i lavoratori, esso presenta anche il rischio di accessi non autorizzati ai dati personali da parte di soggetti terzi. Secondo il WP29, pur avendo la necessità di far fronte a tali rischi, il datore di lavoro non può adottare misure di sicurezza quali il monitoraggio dei movimenti del mouse, l’utilizzo di webcam o di tecnologie di “screen capture” – in quanto non proporzionate ed eccessive rispetto alle finalità perseguite – ma deve piuttosto implementare misure di sicurezza che rispettino la riservatezza degli interessati (così, ad esempio, se il datore di lavoro intende accedere agli smartphone dei lavoratori per verificare la perdita di dati personali, dovrebbe evitare l’accesso ad aree “private”, quali l’archivio fotografico).

  • Mobile Device Managment

Le tecnologie di Mobile Device Managment consentono al datore di lavoro di gestire (rectius, geolocalizzare, installare software/applicazioni, cancellare dati personali) da remoto i dispositivi mobili affidati ai lavoratori. In relazione a tali tecnologie, il WP29 ha previsto che ciascun datore di lavoro debba effettuare una DPIA prima dell’inizio del trattamento, al fine di verificare la necessità del trattamento rispetto alle finalità perseguite e garantire il rispetto dei principi di proporzionalità e sussidiarietà. Come precisato dal WP29, inoltre, il datore di lavoro dovrebbe, da un lato, essere in grado di dimostrare che l’utilizzo di tali tecnologie informatiche non rientra in un più ampio programma di trattamento volto all’esclusivo controllo dell’attività dei lavoratori e, dall’altro, adottare sistemi di registrazione delle informazioni volti a raccogliere i dati personali relativi ai dispositivi mobili dei lavoratori solo in casi eccezionali (es. smarrimento).

  • Wearable Devices

Gli strumenti utilizzati dal datore di lavoro al fine di monitorare lo stato di salute e l’attività fisica dei propri lavoratori, spesso anche al di fuori dell’ambiente di lavoro, consentono al datore di raccogliere i dati cd. “sensibili” degli interessati: come sostenuto dal WP29, pertanto, il trattamento dei dati effettuato tramite tali tecnologie informatiche è illecito ai sensi dell’art. 8 della Direttiva 95/46/CE (oggi art. 9 del GDPR). I dati personali raccolti tramite tali strumenti, pertanto, possono essere trattati solo dai diretti interessati ed eventualmente dal fornitore del servizio.

  • Rilevazione della presenza dei lavoratori

Alcuni strumenti aziendali utilizzati dal datore di lavoro per finalità del tutto legittime possono comportare l’indiretto monitoraggio della presenza e dell’attività dei lavoratori sul luogo di lavoro (si pensi, ad esempio, all’installazione di un sistema di rilevazione dei dati biometrici dei lavoratori, volto a monitorare l’accesso degli stessi ad aree contenenti informazioni altamente riservate, ma in grado di consentire al datore di lavoro di verificare l’effettivo svolgimento della prestazione lavorativa). Tali trattamenti di dati, secondo il WP29, si fondano sul legittimo interesse del titolare finalizzato a tutelare la perdita e/o la sottrazione di informazioni riservate di natura aziendale (es.: dati dei clienti) ma, per poter essere effettuati nel rispetto della normativa vigente, devono essere preceduti da una idonea informativa fornita ai lavoratori.

  • Trattamenti di dati mediante sistemi di videosorveglianza

Secondo il WP29, l’utilizzo delle tecnologie che consentono il video monitoraggio dei lavoratori (es.: monitoraggio dell’espressione facciale mediante la videocamera dello smartphone affidato ai lavoratori) è illecito, in quanto sproporzionato rispetto alla tutela dei diritti e delle libertà fondamentali degli interessati.

  • Geolocalizzazione dei veicoli

Come precisato dal WP29, al fine di valutare la liceità del trattamento dei dati relativi all’ubicazione dei lavoratori mediante installazione di impianti GPS sui veicoli aziendali loro affidati, occorre distinguere. Se tale trattamento è effettuato al solo fine di monitorare il comportamento dei lavoratori e/o la loro posizione geografica, è illecito (cfr. anche WP29 Parere n. 13/2011). Se, diversamente, il trattamento è effettuato per il perseguimento di finalità legittime del datore di lavoro quali, ad esempio, la tutela della sicurezza dei veicoli e/o dei lavoratori ovvero, ancora, per la pianificazione in tempo reale di alcune attività lavorative, tale trattamento risulta lecito (cfr. sul punto anche WP29 parere n. 5/2005). In ogni caso, il WP29 suggerisce ad ogni datore di lavoro di inserire all’interno di ciascun veicolo una informativa privacy ben visibile recante l’indicazione dell’installazione del GPS e di valutare, prima del trattamento, se i veicoli aziendali concessi ai lavoratori possono essere utilizzati dagli stessi anche per finalità private, suggerendo, in tal caso, di garantire ai lavoratori la possibilità di disattivare il sistema GPS nel caso di destinazioni private.

  • Trasferimento dei dati personali dei lavoratori a terzi

In relazione al trasferimento dei dati dei lavoratori a terzi, il WP29 esemplifica, da un lato, il caso in cui tali dati siano trasferiti ai clienti finali e, dall’altro, l’ipotesi in cui i dati siano comunicati tra società del medesimo gruppo aventi sede fuori dall’Italia. Con riferimento alla prima fattispecie, il WP29 ritiene che il trasefrimento possa avvenire solo se fondato su un legittimo interesse del titolare; in relazione alla seconda, invece, il WP29 richiama i principi generali per il trasferimento dei dati previsti dalla Direttiva 95/46/CE e, attualmente, trasposti all’interno del GDPR (garanzia di un adeguato livello di protezione dei dati da parte dello Stato estero e, ove mancante, presenza di una apposita deroga).

 

  1. Conclusioni

Con il parere in esame il WP29 ha introdotto, alla luce delle nuove tecnologie informatiche esaminate al precedente punto 2 ed alla nuova disciplina introdotta dal GDPR, delle specifiche regole per il trattamento dei dati dei lavoratori.

Tali disposizioni forniscono un grande valore aggiunto per i datori di lavoro che intendono trattare i dati personali dei propri lavoratori, in quanto, da un lato, definiscono le basi giuridiche di tale tipologia di trattamento e, dall’altro, tramite esempi pratici, approfondiscono il generico concetto di “legittimo interesse” del titolare, così come previsto dall’art. 6.1 lett. f) del GDPR.

Il parere, inoltre, ricorda ai datori di lavoro di adottare sempre, nel rispetto del principio di “accountability” previsto dal GDPR, misure preventive volte alla protezione della riservatezza dei lavoratori redigendo, se del caso, anche una valutazione di impatto del trattamento che abbia ad oggetto il bilanciamento tra il proprio legittimo interesse e l’impatto delle nuove tecnologie informatiche utilizzate sui diritti e le libertà fondamentali degli interessati.

Chiara Agostini

Link alla fonte

 

Read more...

GDPR: il Gruppo dei Garanti UE (WP29) fornisce importanti chiarimenti in merito alla cd. “valutazione d’impatto sulla protezione dei dati”

In data 4 aprile 2017, il Gruppo dei Garanti dell’Unione Europea (cd. “WP29”) ha pubblicato un documento contenente importanti chiarimenti in merito alla “valutazione d’impatto sulla protezione dei dati” (cd. DPIA”), una significativa novità introdotta dal recente Regolamento Europeo in materia di protezione dei dati personali n. 2016/679 (“GDPR”). Tale documento, oltre a definire il DPIA quale “strumento utile al titolare per conformarsi e dimostrare la conformità del trattamento al GDPR”, il WP29: (i) spiega che il DPIA può essere effettuato sia per un singolo che per una serie di trattamenti, aventi tra loro medesime caratteristiche; (ii) individua, in concreto, le circostanze in cui è presumibile ritenere che sussista un “rischio elevato per i diritti e le libertà delle persone fisiche”, così come previsto dall’art. 35.1 del GDPR (es: trattamento di dati personali mediante rilevazione delle impronte digitali e/o tramite riconoscimento facciale, trattamento sistematico e su larga scala di dati sensibili e/o, ancora, trattamento di dati personali di minori); (iii) precisa che il DPIA deve essere redatto e pubblicato, da parte del titolare, prima dell’inizio del trattamento, nonché previa consultazione, ove necessario (artt. 35.2 e 35.9), del DPO e degli interessati.

Link alla fonte

Read more...

GDPR: il WP29 emana le linee guida per chiarire la figura del DPO, il diritto alla portabilità dei dati e i criteri per l’identificazione della autorità di controllo capofila

Con tre provvedimenti del 13 dicembre 2016, il Gruppo dei Garanti dell’Unione Europea (cd. “WP29”), ha emanato importanti chiarimenti in merito a tre novità introdotte dal recente Regolamento Europeo in materia di protezione dei dati personali n. 2016/679 (“GDPR”): il Data Protection Officer (cd. “DPO” o, in Italia, “Responsabile della protezione dei dati”), il diritto alla portabilità dei dati personali e la cd. “autorità di controllo capofila”.

  1. Il DPO

Con le prime linee guida, il WP29 esamina la figura del DPO, elencando i casi di designazione obbligatoria previsti dall’art. 37 del GDPR (trattamento dei dati da parte di un soggetto pubblico; monitoraggio regolare e sistematico, su larga scala, dei dati degli interessati; trattamento, su larga scala, di speciali categorie di dati personali o di dati relativi a reati e condanne penali) e indicando altresì, a tutti i titolari e/o responsabili del trattamento, l’opportunità di nominare tale figura nel proprio organico, tenendo in considerazione sia le caratteristiche del trattamento dei dati posto in essere al proprio interno, sia, in generale, le facilitazioni che ne deriverebbero in termini di dimostrazione della conformità del proprio trattamento al GDPR (come previsto dall’art. 24 dello stesso).

Con riferimento ai casi di obbligatoria designazione del DPO, il WP29 si sofferma sulle nozioni di “autorità o organismo pubblico”, “attività principale del titolare”, “larga scala” e “monitoraggio regolare e sistematico”, precisando che:

- la definizione di “autorità o organismo pubblico” dev’essere demandata alle diverse leggi nazionali e che l’obbligo di nomina di un DPO incombe anche su quelle persone fisiche o giuridiche le quali, anche ove non ricomprese nelle categorie per le quali la nomina di un DPO è obbligatoria, operano in particolari settori, gestendo attività e/o incarichi di natura pubblicistica (quali, ad esempio, il trasporto pubblico o la fornitura di acqua o di energia elettrica);

- nella definizione di “attività principale” sono ricomprese tutte le operazioni necessarie al titolare del trattamento per raggiungere gli scopi della propria attività e che dalla stessa esulano, invece – così come previsto dal considerando 97 al GDPR – le “attività accessorie” alla principale (così, per una struttura sanitaria, è “attività principale” il solo trattamento dei dati personali dei propri pazienti);

- il concetto di “larga scala” dev’essere valutato sulla base di alcuni specifici criteri - quali, ad esempio, il numero di interessati coinvolti nel trattamento, la durata del trattamento e la sua estensione geografica (tra i trattamenti effettuati su larga scala, in particolare, rientrano la geo-localizzazione, per finalità statistiche, dei clienti di una catena internazionale di fast-food; il trattamento dei dati bancari dei propri clienti da parte di una compagnia assicurativa; il trattamento, da parte di un motore di ricerca, dei dati personali degli utenti per l’invio di pubblicità mirata; tra i trattamenti non su larga scala, invece, sono ricompresi: il trattamento dei dati di un proprio paziente da parte del medico di famiglia ed il trattamento dei dati personali di natura penale da parte di un avvocato);

- la nozione di “monitoraggio regolare e sistematico” non deve essere delimitata al solo mondo del web, in quanto non costituisce trattamento idoneo per la nomina obbligatoria di un DPO solo quello rivolto alla registrazione del comportamenti degli utenti di internet, bensì anche quello ripetuto ad intervalli di tempo regolari o in maniera periodica (fornitura di un servizio di telecomunicazione), quello preorganizzato e metodico (geo-localizzazione tramite mobile app o monitoraggio dell’attività fisica e dello stato di salute mediante lo smartphone) o posto in essere in esecuzione di una precisa strategia (trattamento dei dati per la fidelizzazione del cliente).

Il WP29, in generale, richiama l’attenzione sull’importanza del DPO, definendolo come il soggetto, interno od esterno rispetto all’organizzazione del titolare e/o del responsabile, che riveste un ruolo fondamentale nel trattamento dei dati personali degli interessati: a lui, infatti, è affidata la precipua funzione di “considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo” (cfr. art. 39.2 GDPR). A tal riguardo, il gruppo dei Garanti Europei precisa che ogni DPO deve:

- essere sempre “tempestivamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali” degli interessati (il che implica, ad esempio, il suo coinvolgimento alle riunioni di maggior rilievo di una società - specie se hanno ad oggetto il trattamento dei dati personali; la richiesta e l’analisi di suoi pareri e la sua consultazione in caso di violazione dei dati);

- operare in piena indipendenza, evitando, nello svolgimento delle sue mansioni, qualsivoglia conflitto di interessi;

- essere previamente consultato in merito alla necessità della redazione di una valutazione di impatto del trattamento (c.d. “Privacy Impact Assessment”) - sebbene tale documento, resti, in ogni caso, di esclusiva competenza del titolare;

- ricevere dal titolare e/o dal responsabile le risorse - anche di natura finanziaria e formativa - necessarie per assolvere ai propri compiti.

In relazione a tale ultimo aspetto, il WP29 riprende sostanzialmente quanto previsto dall’elenco (meramente esemplificativo e non tassativo) dell’art. 39 del GDPR, precisando in ogni caso che, nello svolgimento delle sue mansioni, il DPO non è mai responsabile della conformità del trattamento dei dati al Regolamento Europeo: responsabile, infatti, rimane sempre, in via esclusiva, il titolare e/o il responsabile del trattamento (cfr. art. 24 GDPR).

Il Gruppo di lavoro Europeo, inoltre, effettua anche alcune importanti considerazioni circa la nomina di un DPO all’interno di un gruppo di società, richiamando in toto l’art. 37.2 del GDPR secondo cui “un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”. Sul punto, il WP29 suggerisce ai titolari, da un lato, di rendere pubblici i dati di contatto del DPO mediante l’utilizzo della intranet aziendale, di dotare tale soggetto di un apposito indirizzo e-mail e/o di un numero di telefono personale e, dall’altro, di comunicare i dati del DPO alla propria autorità di controllo.

  1. La portabilità dei dati

Il diritto alla portabilità dei dati è previsto dall’art. 20 del GDPR e consente all’interessato di ricevere dal titolare del trattamento, su di un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i suoi dati personali e di trasmetterli – senza alcun impedimento da parte del titolare - ad un altro titolare del trattamento.

Così come precisato dal WP29, in particolare, l’esercizio di tale diritto – di per sé gratuito, ad eccezione di alcuni casi di specie previsti dall’art. 12 (esercizio infondato, ripetitivo od eccessivo del diritto stesso) - rappresenta un importante strumento volto a favorire lo scambio dei dati personali degli interessati tra diversi titolari del trattamento, a bilanciare, mediante la promozione di un maggiore controllo sui propri dati personali da parte degli interessati, il rapporto tra questi ultimi e i controllers ed a favorire lo sviluppo di nuovi modelli di business basati su un “trasferimento controllato di dati personali” (si vedano, ad esempio, i programmi inglesi e francesi “MiData” e “MesInfos/SelfData”).

Per tali ragioni, secondo il WP29, il titolare del trattamento deve, in primo luogo, informare sempre gli interessati della sussistenza di tale diritto, differenziandolo rispetto a quelli previsti dagli artt. 15 e seguenti del GDPR (accesso, rettifica, oblio, ecc.) e, in secondo luogo, evitare di rimanere inerte e/o silente nei confronti degli interessati che abbiano esercitato tale diritto, fornendo riscontro entro massimo 3 mesi dalla data della richiesta.

Nelle proprie linee guida, il WP29 evidenzia altresì i ruoli e le responsabilità dei soggetti coinvolti nel trasferimento dei dati in forza dell’esercizio del diritto alla portabilità, precisando, da un lato, che il titolare del trattamento che riceve i dati non è legittimato ad utilizzarli indistintamente ed in maniera indiscriminata ma a trattare esclusivamente quelli necessari, pertinenti e non eccessivi rispetto al perseguimento delle proprie finalità e dall’altro, che il titolare del trattamento che abbia ricevuto la richiesta di portabilità da parte di un interessato non è tenuto ad ostacolare l’esercizio di altri diritti che competono a quest’ultimo (sia con riferimento ai diritti conferiti dal GDPR sia avuto riguardo a quelli ottenuti dall’interessato in forza di un contratto sottoscritto con il titolare).

In relazione ai presupposti per l’esercizio del diritto alla portabilità – di cui all’art. 20 del GDPR – invece, il Gruppo dei Garanti Europei specifica che:

- le operazioni di trattamento interessate da tale diritto sono quelle per cui l’interessato abbia fornito il proprio esplicito consenso o che sono effettuate in esecuzione di un contratto (es. trasferimento dei dati relativi a tutte le operazioni di acquisto effettuate da un utente in un negozio di libri online);

- i dati personali che l’interessato intende trasferire siano stati trattati con mezzi (elettronici) automatizzati;

- i dati personali da trasmettere siano chiaramente riferibili alla persona dell’interessato (con esclusione, pertanto, dei dati di natura anonima);

- i dati personali da trasferire siano stati forniti al titolare in maniera diretta e consapevole dall’interessato stesso (es. nome utente, indirizzo e-mail, anno di nascita) ovvero siano stati raccolti dal titolare attraverso l’analisi delle attività compiute da un interessato per mezzo di un servizio o di un dispositivo mobile (es. smartphone) a lui fornito e da lui utilizzato (tra cui, ad esempio, i dati di traffico, di geo-localizzazione o, ancora, i dati personali di natura sanitaria tracciati da apposite applicazioni). Sono, invece, esclusi, i dati creati direttamente dal titolare del trattamento;

- l’esercizio di tale diritto non leda i diritti e le libertà altrui – ad esempio, impedendo ad altri interessati l’esercizio dei diritti loro conferiti dall’art. 13 del GDPR (informazione, rettifica, aggiornamento, ecc.).

A tal riguardo, il WP29 impone l’adozione di particolari cautele nelle ipotesi in cui i dati personali che l’interessato trasferisce ad un nuovo titolare del trattamento contengano informazioni inerenti anche terzi soggetti. Si pensi, ad esempio, alla trasmissione dei dati di un conto corrente bancario tra due aziende di credito: in tal caso, oltre alle informazioni inerenti alle transazioni commerciali effettuate dall’interessato, il nuovo titolare del trattamento acquisirà anche i dati di eventuali suoi terzi beneficiari e/o debitori.

In tali ipotesi, pertanto, il WP29 indica la necessità di: (i) individuare preventivamente una base giuridica per l’effettuazione di tale trasferimento (es: interesse legittimo del nuovo titolare del trattamento alla fornitura di uno specifico servizio agli interessati); (ii) non trattare le informazioni personali dei terzi per proprie finalità (es: finalità di marketing o di invio di materiale promozionale); (iii) implementare strumenti atti a consentire agli interessati di escludere preventivamente le informazioni dei terzi non ritenute idonee al trasferimento.

  1. L’autorità di controllo capofila

L’individuazione di un’autorità di controllo capofila si rende necessaria soltanto nell’ipotesi in cui un titolare e/o un responsabile ponga in essere un trattamento di dati personali cd. “transfrontaliero” ossia, come previsto dall’art. 4, n. 23 del GDPR: (i) un trasferimento di dati tra più Stati membri dell’Unione Europea o (ii) un trattamento di dati che incide o che potrebbe incidere in modo sostanziale su interessati situati in più di uno Stato membro dell’UE.

Secondo il WP29, la circostanza di cui al precedente punto (ii) è da valutarsi caso per caso, esaminando la tipologia di dati trattati (es. dati di natura speciale ex art. 9 GDPR), le finalità del trattamento perseguite dal titolare e prendendo in considerazione determinati criteri, tra cui la valutazione della eventuale sussistenza di danni o pregiudizi arrecati all’interessato dal trattamento dei suoi dati personali (quali, ad esempio, la turbativa del suo stato di salute, l’aver subito un pregiudizio alla reputazione, la limitazione dei diritti lui garantiti dal GDPR).

Ciò premesso, occorre evidenziare che dall’applicazione del principio della designazione dell’autorità capofila (cd. “one stop shop”) sono pertanto esclusi i casi in cui:

- il trattamento dei dati avvenga esclusivamente su base “locale” (es. trattamento posto in essere da una pubblica autorità);

- il titolare e/o il responsabile del trattamento non abbia (almeno) uno stabilimento in uno Stato dell’UE (non è sufficiente, a tal fine, la mera presenza di un rappresentante estero).

In presenza di un trattamento di dati transfrontaliero, l’art. 56 del GDPR stabilisce che l’autorità di controllo capofila competente a sorvegliare sulla conformità di tale trattamento al GDPR ed a gestire eventuali reclami da parte degli interessati relativi al trasferimento, è quella dello Stato UE in cui è situato (i) l’unico stabilimento del titolare o del responsabile del trattamento ovvero (ii) il loro stabilimento principale, definito dall’art. 4, n. 16 del GDPR come il luogo in cui si trova l’amministrazione centrale o in cui sono stabilite le finalità e le modalità del trattamento.

Così, ad esempio, nel caso in cui un titolare o un responsabile del trattamento abbia la propria amministrazione centrale solo in Italia, l’autorità di controllo capofila sarà quella Italiana; diversamente, nel caso in cui una persona giuridica titolare del trattamento (ad esempio, una banca) abbia la propria amministrazione centrale in Italia ma trasferisca i dati personali degli interessati ad uno specifico dipartimento, interno alla sua organizzazione - quale, ad esempio, il dipartimento assicurativo - e tale dipartimento sia situato in un paese diverso dall’Italia (es: in Francia), l’autorità di controllo capofila sarà quella di quest’ultimo paese.

Lo stesso principio, assume rilevanza anche nel caso di un gruppo di imprese. Il WP29, infatti, prevede che l’autorità di controllo capofila competente per la sorveglianza del trasferimento dei dati tra le imprese di tale gruppo sia quella dello stato UE in cui è presente lo stabilimento (principale) della società controllante, cui sono affidati i poteri di controllo del gruppo stesso (cd. “headquarter”), a meno che le decisioni in ordine alle finalità e modalità del trattamento siano assunte da un’altra impresa situata in un diverso Stato membro dell’UE (in questo caso, l’autorità capofila sarà quella dello Stato in cui ha sede tale altra società).

Relativamente al principio in esame, infine, il Gruppo dei Garanti Europei precisa alcuni criteri idonei per l’identificazione dell’autorità di controllo capofila nell’ipotesi in cui il luogo dello stabilimento principale del gruppo di imprese non coincida con quello dell’amministrazione centrale e quest’ultimo si trovi fuori dall’UE, consigliando, in tal caso, di tenere in considerazione ai fini della determinazione dell’autorità capofila:

- il luogo in cui sono assunte, in via definitiva, le decisioni sulle finalità e sulle modalità del trattamento;

- il luogo in cui sono assunte le decisioni sulle attività di business della società che importano un trattamento dei dati personali;

- il luogo in cui si trova il/i soggetto/i avente/i la responsabilità del trasferimento dei dati infragruppo.

 

Chiara Agostini

Nicolò Rappa

 

Link alla fonte 1                   Link alla fonte 2                  Link alla fonte 3

Read more...

EU-US Privacy Shield: le prime considerazioni del Gruppo di lavoro ex articolo 29

Con Comunicato Stampa del 3 febbraio 2016, il Gruppo di lavoro ex articolo 29 (“WP29”) ha espresso il proprio parere in merito al recente accordo tra Europa e U.S.A., relativo al trasferimento dei dati personali verso gli Stati Uniti (c.d. “EU-US Privacy Shield”).

Tale autorità ha precisato che, alla luce della giurisprudenza comunitaria in materia di protezione dei diritti fondamentali della persona, è necessario che le parti, nel testo finale dell’accordo, atteso per la fine di febbraio 2016, prevedano che il trattamento dei dati personali degli interessati sia effettuato secondo regole chiare e precise, nonché nel rispetto dei generali principi di chiarezza, necessità e proporzionalità.

Il WP29, inoltre, ha suggerito alle parti l’istituzione di un’autorità imparziale, in grado di verificare il costante rispetto dei suddetti principi nonché l’individuazione di strumenti effettivi che consentano ad ogni interessato di tutelare i propri diritti di fronte ad una autorità indipendente.

Quando l’accordo EU-US Privacy Shield diverrà definitivo, il WP29 ha anticipato che valuterà la tenuta delle modalità alternative all’accordo di Safe-Harbor (le c.d. “Standard Model Clauses” e le “Binding Corporate Rules”), andando a determinare se le stesse possano ancora ritenersi valide ed efficaci rispetto alle conclusioni assunte dalla Corte di Giustizia Europea nel caso Schrems ed alle nuove garanzie pattuite tra le parti.

Link alla fonte

Read more...
Subscribe to this RSS feed

Torino
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milano
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Roma
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy

Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bologna
R&P Legal
Via D’Azeglio, 19
40123, Bologna - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy