Archivio tag: privacy

Cloud e GDPR: come funziona la nomina del fornitore quale responsabile?

A worried man uses his cell phone and you feel surrounded by secret agents
L’art. 28 del GDPR prevede che

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento (…).

Quando un titolare (impresa, p.a. o professionista) si avvale di servizi cloud (basta pensare a alla suite di Google) il fornitore della nuvola diventa di fatto un responsabile del trattamento, poiché esegue dei trattamenti per conto del titolare: così quando si memorizzano dati dei clienti su Google Drive (per rimanere in tema) Google diventa responsabile del trattamento. Lo deve diventare anche di diritto.

Primo problema: la nomina a responsabile deve essere fatta con un contratto o altro atto giuridico: come faccio a fare un contratto con Mister Google?

Soluzione: il comma 9 prevede:

9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

Questo non significa solo che si può fare attraverso un documento informatico (che non avrebbe un gran valore aggiunto rispetto all’equivalente cartaceo) ma in una forma contrattuale elettronica. Quindi anche stipulando il contratto a mezzo web.

Se andiamo a leggere le dichiarazioni di Google, in effetti, notiamo che l’azienda si auto-dichiara responsabile del trattamento (la traduzione Italia del termine data processsor) per conto del titolare.

termg

Dunque si potrebbe ritenere che il titolare, nel momento in cui crea un account su Google, accetta le condizioni alle quali il servizio viene reso: il tutto contrattando via internet. La stessa regola su cui si reggono gran parte delle transazioni commerciali elettroniche.

Secondo problema: il contratto con cui si nomina un responsabile deve avere un contenuto minimo per legge; deve cioè contenere almeno quanto segue:

a) istruzioni documentate del titolare del trattamento,
b) garanzia che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adozione di tutte le misure richieste ai sensi dell’articolo 32;
d) rispetto delle condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) assistenza al titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f) assistenza al titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36,
g) su scelta del titolare del trattamento, cancellazione o  restituzione di tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellazione delle copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
h) messa a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo nonché consenso e contributo alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Per alcuni di questi adempimenti Google fornisce informazioni nel suo “Data Processing Amendment to G Suite and/or Complementary Product Agreement” precise e aderenti al dettato normativo. Ma.. c’è sempre un ma..

Le informazioni di cui al punto a) –  ad esempio –  sono fornite in modalità per così dire “indiretta” poiché il titolare potrà fornire le istruzioni :

  • agendo sulle diverse funzionalità dei Servizi, ivi incluse le opzioni previste nell’ Admin Console
  • come indicato nel documento stesso (?)
  • “…come documentato ulteriormente in qualsiasi altra istruzione scritta fornita dal Cliente e riconosciuta da Google come costituente istruzioni…

Non mi pare però di aver trovato una casella di posta elettronica cui inviare queste istruzioni e mi chiedo, quindi, come fare in concreto ad inviarle…

Ammesso e non concesso che si trovi tale indirizzo email: cosa fare se Google non le riconosce come istruzioni?

Le istruzioni, infatti, andrebbero inviate e riconosciute come tali prima del 25 maggio 2018.

Anche per tutti gli altri adempimenti, il contenuto è determinato da Google e non poteva essere diversamente. Probabilmente se un’impresa come Google si è preoccupata di allinearsi al GDPR avrà fatto le sue brave valutazioni.

Ora però è il “nostro” turno. Come titolari (o consulenti di titolari) dovremmo fare le nostre valutazioni: non credo ci siano problemi nel caso in cui le istruzioni che il titolare vuol dare al suo responsabile siano già comprese nei termini & condizioni di Google, ma in caso contrario?

Se ad esempio  il titolare volesse-dovesse istruire il responsabile affinché proceda alla crittografia dei dati  o alla pseudonimizzazione?

Se il nominando responsabile non è stato trasparente come Google? Esistono grandi fornitori di servizi cloud che pur essendo al di fuori dell’UE non risultano nel Privacy Shield e quindi, a’ termini di GDPR, non possono essere utilizzati da chi effettua trattamenti in Europa, se non chiedendo un consenso esplicito all’interessato, il che per un titolare con molti clienti (per non parlare della pubblica amministrazione..) non sarebbe affatto agevole o addirittura impossibile.

Cloud è bello, ci solleva da tanti problemi, è comodo, però forse ne pone degli altri. Bisogna scegliere con cura. Viste le sanzioni, con molta cura.

Corte di Giustizia UE: è davvero diritto all’oblio ?

Preparando il mio intervento al seminario di formazione   sui rapporti tra stampa e giustizia organizzato dall’ordine dei Giornalisti delle Marche in collaborazione con l’Ordine degli avvocati di Macerata,  al teatro Annibal Caro di Civitanova Marche, ho raccolto diversi materiali che mi hanno consentito di osservare la discussione intorno al (cosiddetto..) “diritto all’oblio”, sotto diversi punti di vista.

Con l’occhio del giurista si fanno certe considerazioni, mentre con quelle del giornalista se ne fanno altre: se consideriamo però che il diritto dovrebbe essere oggettivo e cioè uguale per tutti, forse dovremmo sforzarci di trovare una visione unitaria. Continua a leggere

Stampa, diritto e sensazionalismo: ricetta buona, ma piatto.. disgustoso

Ecco come secondo me e secondo l’interpretazione delle norme che conosco, si sarebbe dovuta pubblicare la foto. Se proprio la si voleva o doveva pubblicare.

Un rettangolino nero sugli occhi, almeno…

Non vi metto l’originale per rispetto del poveretto ripreso, suo malgrado. Le foto sono pubblicate sul sito Corrire della Sera (e non so se su qualche altro sito). Per non aggravare ulteriormente la cosa non metto un link diretto e vi invito a non andarle a vedere.

Non riesco ad apprezzare il valore “notizia” del reportage fotografico che documenta l’accaduto, ma, a prescindere da questo, mi pare che siano dei profili di illiceità nel ritrarre una persona che evidentemente sta male.

L’art. 22, comma 8 del D. lgs. 196/2003 infatti prevede che:

I dati idonei a rivelare lo stato di salute non possono essere diffusi.

Questa foto fornisce dei dati sullo stato di salute.

La pubblicazione su un sito che ha migliaia di visitatori, mi pare integrare una ipotesi di diffusione dei dati.

Direi che la foto, integralmente, NON doveva essere pubblicata.

La Cassazione ha da tempo chiarito che il concetto di “dato personale”  e di “notizia” non sono auotonomi ed indipendenti. La notizia è o contiene dati personali:

In definitiva pare al collegio che l’equivoco in cui è incorso il primo giudice è stato di avere ritenuto che l’attività giornalistica possa sovrapporre la nozione di notizia a quella di dato personale.”

Inoltre, il  Codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attività giornalistica prevede quanto segue:

Art. 6. Essenzialità dell’informazione
1. La divulgazione di notizie di rilevante interesse pubblico o sociale non contrasta con il rispetto della sfera privata quando l’informazione, anche dettagliata, sia indispensabile in ragione dell’originalità del fatto o della relativa descrizione dei modi particolari in cui è avvenuto, nonché della qualificazione dei protagonisti.

Il Garante in un apposito provvedimento ha specificato che:

Particolari cautele sono prescritte al giornalista con riguardo alla circolazione di informazioni relative allo stato di salute (…)

(…) Al di fuori di tali ipotesi o di altre analoghe, il giornalista è chiamato ad effettuare un vaglio particolarmente attento sull’essenzialità di tale tipo di informazione nel contesto della notizia riportata, allo scopo di tutelare la dignità degli interessati ed evitare ingiustificate spettacolarizzazioni o strumentalizzazioni di scelte personali. Ciò, anche quando la notizia riguardi personaggi pubblici (appartenenti, ad es., al mondo dello spettacolo o dello sport) (…)

Fermo restando quanto sopra, nel riferire fatti di cronaca collegati ad abitudini o orientamenti sessuali di una persona si rivelerà in certi casi opportuno tutelare l’interessato, non solamente mediante l’omissione delle sue generalità, ma anche evitando di divulgare elementi che consentono una sua identificazione anche solo nella cerchia ristretta di familiari e conoscenti. Ciò, in ragione del fatto che le informazioni diffuse possono rivelare aspetti della vita dell’interessato medesimo, eventualmente non noti alla suddetta cerchia di persone. (…)

A me pare che un dossier  di immgaini di tal fatta abbia travalicato i limiti imposti dalla legge e dalla deontologia.

Prima di tutto, ovviamente viene il rispetto umano: ma la sua mancanza di per sé non è sanzionabile.

Spam e posta elettronica certificata (PEC)

Da qualche giorno sto riflettendo sull’uso “improprio” (?) della PEC, sia per la discussione nata su  Legalit che per motivi personali. Alcuni colleghi si lamentano, infatti di ricevere comunicazioni indesiderate sulla casella di posta elettronica certificata.

Le ipotesi, a mio avviso,  sono 3:

  1. abbiamo configurato l’account in modo da ricevere messaggi anche ordinari (non PEC)…
  2. c’è qualcuno ben identificato con cui prendersela…
  3. gli Ordini professionali dovrebbero fare da filtro magari non pubblicando in chiaro gli indirizzi pec (?)
Sub 1: taglia la testa al toro, ma non risolve il problema giuridico…
Sub 2: Problemi di privacy? Direi i soliti…cioè divieto di spam, esercizio dei diritti ex art. 7 d. lgs. 196/2003, ricorso al Garante, risarcimento danni, etc. etc..
Sub 3: funzione degli Ordini professionali: dovrebbero o meno pubblicare in chiaro l’indirizzo pec dei propri iscritti?
Per provare a rispondere, ripenso alla normativa. Tutto (?)  inizia con l’art. 16, comma 7 del d.l. 185/2008 (conv. in legge 2/2009) che prevede:
7.  I professionisti iscritti in albi ed elenchi istituiti con legge dello Stato comunicano ai rispettivi ordini o collegi il proprio indirizzo di posta elettronica certificata o analogo indirizzo di posta elettronica di cui al comma 6 entro un anno dalla data di entrata in vigore del presente decreto. Gli ordini e i collegi pubblicano in un elenco riservato, consultabile in via telematica esclusivamente dalle pubbliche amministrazioni, i dati identificativi degli iscritti con il relativo indirizzo di posta elettronica certificata.

E c’è anche quest’altra norma (stesso art. 16, comma 10)

10. La consultazione per via telematica dei singoli indirizzi di posta elettronica certificata o analoghi indirizzi di posta elettronica di cui al comma 6 nel registro delle imprese o negli albi o elenchi costituiti ai sensi del presente articolo avviene liberamente e senza oneri. L’estrazione di elenchi di indirizzi è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza.

Prima, a dire il vero, c’era stato il CAD (d.lgs. 82/2005, come modificato dal decreto legislativo 30 dicembre 2010 n. 235)

Art. 6. Utilizzo della posta elettronica certificata.

1. Per le comunicazioni di cui all’articolo 48, comma 1, con i soggetti che hanno preventivamente dichiarato il proprio indirizzo ai sensi della vigente normativa tecnica, le pubbliche amministrazioni utilizzano la posta elettronica certificata. La dichiarazione dell’indirizzo vincola solo il dichiarante e rappresenta espressa accettazione dell’invio, tramite posta elettronica certificata, da parte delle pubbliche amministrazioni, degli atti e dei provvedimenti che lo riguardano.

1-bis. La consultazione degli indirizzi di posta elettronica certificata, di cui agli articoli 16, comma 10, e 16- bis, comma 5, del decreto-legge 29 novembre 2008, n. 185, convertito, con modificazioni, dalla legge 28 gennaio 2009, n. 2, e l’estrazione di elenchi dei suddetti indirizzi, da parte delle pubbliche amministrazioni è effettuata sulla base delle regole tecniche emanate da DigitPA, sentito il Garante per la protezione dei dati personali. 

Dunque, prima, nel 2008 la consultazione era libera, oggi, invece non lo è, poiché deve rispettare (come per l’estrazione) le regole tecniche stabilite da DigitPA e che si trovano qui.

La lettura di queste regole tecniche non è molto amena…, ma se riuscite ad arrivare sino in fondo, sembra di capire che gli Ordini dovrebbero fungere filtro che però va gestito secondo dettagliate norme tecniche.

I soggetti coinvolti, intanto, sono solo 2:

a) Erogatore: il soggetto gestore delle sorgenti informative indicate ai commi 6 e 7 dell’art. 16, nonché al comma 5 dell’art. 16 bis del decreto legge 29 novembre 2008, n. 185 convertito con modificazioni dalla Legge 28 gennaio 2009 n. 2, come disciplinato quest’ultimo dal DPCM 6 maggio 2009 agli articoli 2, comma 1 e 7, comma 1.

b) Fruitore: la pubblica amministrazione.

Erogatore è l’Ordine professionale che gestisce i dati degli iscritti raccolti nell’albo (sorgente informativa), mentre la P.A. è il fruitore: dunque sembra che solo tra questi 2 soggetti possa avvenire la consultazione ed estrazione.

Ergo nessun elenco pubblico visibile a chiunque !!

Questa conclusione pare confermata dal fatto che l’art. 15 delle stesse norme tecniche (in vigore dall’aprile 2011, allorché il Garante per la tutela dei dati personali ha fornito il suo necessario parere) è previsto che:

1. L’incaricato del Fruitore, utilizzando un browser web, accede all’area dedicata del sito dell’Erogatore e, per acquisire le credenziali necessarie per l’accesso all’area dedicata, fornisce il codice IPA della propria amministrazione ed il proprio indirizzo PEC presente in IPA.

E la consultazione non è ancora attiva, poiché la procedura non è ancora terminata (l’art. 15 ha diversi commi…).

Ultimo problema: io che voglio inviare una PEC ad un altro professionista risparmiando tempo e denaro, non essendo – io –  una P.A. non potrei conoscerne l’indirizzo?

Che ne dite?

Trattamento dei dati personali e mediazione: interviene il Garante

In relazione al tutela dei dati personali nell’ambito dei procedimenti di mediazione finalizzati alla conciliazione ex d. lgs. 28/2010, si deve osservare ogni cautela per i dati sensibili e giudiziari.

Per il consenso è da notare come sia necessario e sufficiente – in generale – che esso sia fornito per scritto, mentre per quanto riguarda l’autorizzazione si può ricordare come questa possa essere particolare o generale.

A tale ultimo riguardo non risultavano, sino a pochi giorni fa, autorizzazioni generali specificamente riferite ad organismi o mediatori ed il quadro che ne risulta era un po’ frammentario.

Il 21 aprile, però il Garante per la tutela dei dati personali è intervenuto con 2 provvedimenti. Continua a leggere