L’Information Commissioner Office (ICO), l’autorità per la protezione dei dati personali inglese, ha pubblicato il “ICO’s regulatory approach during the coronavirus public health emergency”. L’Autorità, prendendo atto delle difficoltà che si ritrovano a fronteggiare gli enti pubblici e privati in questo particolare periodo di emergenza, e rimarcando il suo ruolo di autorità indipendente, tenuta ad agire nell’interesse pubblico e ad affrontare con la giusta pragmaticità e proporzionalità le sfide poste dall’attuale situazione di pandemia globale, ha aperto le porte ad un’applicazione più elastica dei precetti della normativa privacy applicabile.

L’ICO continuerà la propria attività ispettiva ma, in tale contesto, terrà in debito conto dell’impatto economico della crisi sulle realtà sottoposte a verifica. In pratica, ciò significherà un ridimensionamento dell’incisività dei poteri di indagine, consentendo in particolare periodi più lunghi per rispondere alle richieste di esibizione documentale avanzate dall’Autorità. Verranno altresì condotte meno indagini, concentrando l’attenzione su quelle circostanze che suggeriscono gravi inadempienze. Tale approccio inciderà anche sul piano delle conseguenze delle violazioni, sotto plurimi aspetti: dalla concessione di termini più ampi per porre rimedio alle eventuali violazioni precedenti alla crisi, alla previsione di una riduzione del numero di nuove sanzioni che verranno emesse, finanche alla possibilità di rivalutare i parametri considerati di volta in volta nella quantificazione dell’ammontare della sanzione eventualmente comminata.

Tuttavia, se l’Autorità dichiara espressamente di non voler “paralizzare finanziariamente” le organizzazioni, cionondimeno rimarca altresì “l’importante ruolo che il diritto all’informazione delle persone continuerà ad avere, sia per quanto riguarda la tutela della privacy che la trasparenza nel processo decisionale degli enti pubblici”. Difatti, ad esempio, le organizzazioni saranno in ogni caso tenute a notificare eventuali data breach senza indebiti ritardi (i.e., entro 72 ore dal momento in cui l’organizzazione si rende conto della violazione). Inoltre, sebbene la riduzione delle risorse delle organizzazioni possa avere un impatto sulla tempestività di riscontro alle richieste di accesso degli interessati, ciò non può costituire una giustificazione tout court: sarà comunque necessario registrare debitamente i processi decisionali e le attività di trattamento effettuate, in modo tale da assicurare che le informazioni richieste possano essere rese disponibili al termine dell’emergenza.

In altri termini, l’ICO non chiuderà gli occhi sulle inadempienze rilevate e, a tal riguardo, rimarca che continuerà ad agire con fermezza contro coloro che sfrutteranno la situazione di emergenza per utilizzare impropriamente i dati personali.

Nel corso della 23° sessione plenaria, tenutasi il 21 aprile 2020, l’European Data Protection Board (EDPB) ha adottato le Linee Guida 04/2020 “on the use of location data and contact tracing tools in the context of the COVID-19 outbreak”, volte a fornire uno strumento comune nel contesto europeo alle autorità pubbliche e agli attori privati impegnati nella ricerca di nuove soluzioni, basate sul trattamento dei dati, per monitorare e contenere la diffusione del COVID-19.

Seppur consapevole dell’impossibilità di individuare soluzioni onnicomprensive nel contesto specifico e rimarcando pertanto l’esigenza di una valutazione case by case, l’EDPB fa luce sulle condizioni e i principi da seguire nel contesto delle attività di geolocalizzazione degli utenti – necessarie al fine di monitorare la diffusione del virus e valutare l’efficacia delle misure di confinamento implementate – nonché nell’adozione di ulteriori strumenti di tracciamento con cui poter individuare coloro i quali siano venuti in contatto con soggetti positivi al COVID-19 e notificare a questi ultimi tale evento. In particolare, con riferimento all’utilizzo dei dati di localizzazione, l’EDPB rimarca l’esigenza di relegare ad extrema ratio il trattamento di dati personali, dovendosi sempre preferire, ove possibile, l’utilizzo di dati anonimi.

Per quanto riguarda le App per le finalità di tracciamento dei contatti e di segnalazione, queste ultime dovrebbero essere installate volontariamente dagli utenti, nel segno di una responsabilità collettiva, e non dovrebbero basarsi sul tracciamento dei singoli movimenti, ma piuttosto sulle informazioni di prossimità relative agli utenti. Inoltre, dalla lettura di tali Linee Guida emerge che: (i) il titolare del trattamento (auspicabilmente rinvenibile nelle autorità sanitarie nazionali) dovrebbe essere chiaramente individuato; (ii) le finalità devono essere sufficientemente specifiche, tali da escludere ulteriori trattamenti per scopi estranei alla gestione della crisi sanitaria; (iii) deve essere valutata attentamente la base giuridica di riferimento; (iv) il trattamento dovrà essere limitato ai soli dati rilevanti ed effettuato soltanto qualora sia assolutamente necessario; (v) le ulteriori informazioni eventualmente raccolte dovrebbero comunque risiedere sul dispositivo dell’utente ed essere trattate solo con il suo previo consenso; e (vi) il periodo di conservazione dovrebbe coincidere con la durata della pandemia, dovendo procedere successivamente alla cancellazione o anonimizzazione dei dati, salvo reali esigenze di natura medica ed epidemiologica. Inoltre, dovranno essere implementati by design idonei sistemi di cifratura dei dati e sarà necessario altresì effettuare una DPIA, la quale dovrà essere poi resa pubblica.

In ogni caso, queste app non possono sostituire gli operatori sanitari, ma devono intendersi quale mero strumento di supporto, da integrarsi ad un novero eterogeneo di misure nell’ambito della salute pubblica.

Il 24 marzo 2020, l’Autoriteit Persoonsgegevens, Autorità olandese sulla protezione dei dati personali (“AP”), ha annunciato l’avvio di un’ampia indagine relativa al settore dell’automotive, volta a determinare le modalità di trattamento dei dati personali effettuato dalle case automobilistiche.

L’indagine fa seguito alla pubblicazione da parte dell’European Data Protection Board (“EDPB”) del draft delle Linee guida 1/2020, risalenti al mese di febbraio, inerenti al trattamento dei dati personali nel contesto dei veicoli collegati e delle applicazioni relative alla mobilità, tramite le quali l’EDPB ha evidenziato l’esigenza di far luce sui trattamenti effettuati in tale settore: infatti, alla luce delle innovazioni tecnologiche introdotte negli ultimi anni, non è possibile escludere a priori la riconducibilità dei dati trattati sui database delle c.d. “smart cars” alla categoria dei dati personali, così come definiti ai sensi del Regolamento (UE) 2016/679 (“GDPR”).

Nel comunicato ufficiale pubblicato sul proprio sito web, l’Autorità ha dichiarato di aver ricevuto pochi reclami da parte degli interessati rispetto al trattamento effettuato sui propri dati personali da parte delle case automobilistiche. Tuttavia – aggiunge – è probabile che il silenzio degli utenti sia dettato una mancanza di consapevolezza della privacy nel settore in oggetto. In altri termini, può a ragione ritenersi che la spinta propulsiva dell’indagine debba rinvenirsi proprio nell’auspicio di portare maggiore chiarezza e consapevolezza in relazione ai trattamenti di dati effettuati nel mondo dell’automotive, in modo da poter avviare un dialogo con i rappresentanti del settore e, ove necessario, avviare azioni esecutive.

Alla luce di tali rilievi, l’AP olandese ha pertanto comunicato di aver inoltrato un questionario a tutti i produttori di veicoli con sede nei Paesi Bassi, chiedendo informazioni in merito (i) alle tipologie di dati personali trattati, (ii) ai tempi di conservazione degli stessi, (iii) alle misure di sicurezza adottate, nonché (iv) l’indicazione dei soggetti terzi a cui i dati vengono comunicati.

L’Autorità è consapevole del fatto che molti produttori hanno la propria sede o il proprio “stabilimento principale” nell’Unione Europea in paesi diversi dall’Olanda. Pertanto, in virtù del principio di cooperazione vigente in materia di protezione dei dati personali, i risultati delle indagini verranno condivisi con le autorità europee competenti, al fine di promuovere ulteriori azioni ispettive di follow-up, nonché per la comminazione delle sanzioni conseguenti all’eventuale riscontro di violazioni della disciplina privacy applicabile.

Con il provvedimento n. 64 del 26 marzo 2020, il Garante privacy è intervenuto per fornire alcune indicazioni relative all’utilizzo di strumenti tecnologici per i servizi dell’istruzione da remoto, nell’intento di promuovere la più ampia comprensione di quelle norme, garanzie e diritti che, anche nell’attuale contesto di emergenza, devono essere rispettati in relazione al trattamento dei dati personali degli interessati.

Nel provvedimento in oggetto, il Garante chiarisce anzitutto che scuole e università sono autorizzate a trattare i dati (anche relativi a categorie particolari) di docenti, alunni, studenti e genitori, tramite i servizi di didattica online, in quanto il trattamento è riconducibile alle funzioni istituzionalmente assegnate a scuole e atenei e, pertanto, non è necessario richiedere un consenso specifico.

D’altro canto, proprio in quanto titolari del trattamento, spetta alle scuole e alle università l’attenta selezione e l’adeguata configurazione degli strumenti impiegati per la didattica online. Tali scelte dovranno conformarsi ai principi di privacy by design e by default del GDPR, tenendo conto del contesto didattico, delle finalità di insegnamento, nonché dei rischi connessi per i soggetti coinvolti, che possono essere anche minorenni.

Quanto al ruolo dei fornitori, il Garante sottolinea che, se il trattamento dei dati attraverso la piattaforma viene effettuato per conto della scuola o dell’università, allora sarà necessario sottoscrivere una nomina a responsabile del trattamento, esortando gli istituti ad accertarsi che i dati trattati per loro conto siano utilizzati esclusivamente per finalità di didattica online. A tal riguardo, rilevando l’Autorità che talune piattaforme offrono anche servizi ulteriori rispetto a quelli per meri fini didattici, sarà necessario configurare le stesse affichè venga rispettato il principio di minimizzazione, anche prevedendo un termine di cancellazione dei dati raccolti al temine del progetto didattico. Il Garante vigilerà sull’operato dei fornitori, ritenendo inammissibile l’operato di alcune piattaforme per la didattica a distanza che condizionano la fornitura dei servizi legati all’istruzione al rilascio del consenso – da parte dello studente o dei genitori – per l’effettuazione di operazioni ulteriori, preordinate al perseguimento di finalità proprie del fornitore.

Nel contesto in esame – procede il Garante – potrebbe altresì rendersi necessaria una valutazione d’impatto (“DPIA”). Tale analisi, tuttavia, non è richiesta per il trattamento effettuato da una singola scuola nell’ambito dell’utilizzo di un servizio online di videoconferenza o di una piattaforma, a condizione che non consenta il monitoraggio sistematico degli utenti o comunque non implichi l’utilizzo di soluzioni tecnologiche particolarmente invasive, come la geolocalizzazione o l’uso di dati biometrici.

In chiusura al provvedimento, l’Autorità chiarisce inoltre l’esigenza imprescindibile di rendere pienamente consapevoli docenti, studenti e genitori, mediante adeguata informativa, delle caratteristiche del trattamento e delle misure di salvaguardia nonché dei loro diritti in relazione al trattamento.

L’autorità islandese per la protezione dei dati (Persónuvernd) ha inflitto una sanzione di ammontare pari a EUR20,643 al National Center of Addiction Medicine – ONG parte del servizio sanitario nazionale islandese, principale fornitore di servizi nell’ambito del trattamento delle dipendenze – determinata dalla mancata predisposizione di misure di sicurezza idonee a tutelare adeguatamente i dati personali dei propri pazienti.

La vicenda trae origine da una violazione dei dati personali che ha comportato l’accesso di un terzo non autorizzato ai nomi di circa 3.000 interessati, che avevano frequentato il centro di riabilitazione per abuso di alcol e sostanze stupefacenti, nonché ai dati contenuti nelle cartelle cliniche di 252 ex pazienti.

Informata del data breach, l’Autorità ha pertanto condotto un’indagine al fine di ricostruire l’accaduto, a seguito della quale ha ritenuto necessario procedere con l’emanazione di un provvedimento sanzionatorio nei confronti del Centro. La violazione, infatti, era il risultato della mancata attuazione da parte del titolare del trattamento di policies adeguate e di misure tecniche e organizzative appropriate per la protezione dei dati personali, rinvenendosi pertanto una violazione, tra l’altro, degli articoli 5(1)f e 32 del Regolamento UE 2016/679 (GDPR).

Nel determinare l’ammontare della sanzione, la Persónuvernd ha dovuto prendere atto (i) della particolare natura dei dati personali coinvolti nel data breach – rientranti nella categoria di dati relativi alla salute degli interessati – nonché (ii) del numero rilevante di soggetti coinvolti dalla violazione. D’altra parte, peraltro, l’Autorità ha altresì tenuto conto (i) della natura giuridica del Centro, operante nell’ambito dell’assistenza sanitaria senza scopo di lucro, e (ii) dell’impegno della ONG nell’implementazione di un sistema di trattamento dei dati personali più efficiente, mostrato già da prima che la violazione venisse alla luce.

L’Autorità per la protezione dei dati greca (HDPA) ha pubblicato un vademecum su cookie e altre tecnologie di tracciamento, al fine di fornire ai titolari di siti web una guida pratica che, nell’ambito delle attività di trattamento di dati degli utenti, semplifichi operativamente le previsioni stabilite dalla normativa e-Privacy e dal GDPR, favorendo l’adeguamento alle normative applicabili.

Il tale contesto, l’HDPA chiarisce in primo luogo che l’utente deve essere adeguatamente informato sull’uso dei cookie e dei tracker impiegati sul sito. Al riguardo, viene valutata positivamente la possibilità di adottare un multi-layered approach, con l’utilizzo di finestre pop-up o banner, purché sia garantita in generale un’informazione chiara e completa all’utente, dovendosi specificare, tra le altre, l’identità dei responsabili del trattamento o delle categorie di destinatari cui i dati vengono trasmessi, nonché la durata del trattamento.

Inoltre, l’invio di cookie e tracker sui device usati dall’utente non tecnicamente necessari per la navigazione (e.g. i cookie analitici) deve essere indefettibilmente preceduto dall’espressione di un consenso da parte dell’interessato. A tal proposito, l’Autorità segnala che, affinché il consenso possa ritenersi lecito, è necessaria una chiara azione positiva dell’utente: saranno pertanto invalidi i consensi ottenuti tramite caselle pre-flaggate, dal proseguimento della navigazione o dallo scorrimento della pagina web. In tema di consenso, le Linee Guida stabiliscono altresì che: (i) il titolare deve garantire all’utente la possibilità di esprimere il proprio dissenso con lo stesso numero di “click” e con le stesse modalità con cui viene espresso il consenso; (ii) l’utente deve poter modificare le preferenze espresse in precedenza, sia di consenso che di diniego del consenso, tramite le stesse attività e gli stessi percorsi; (iii) non è consentita la pratica del c.d. “cookie wall”, in quanto in nessun caso il mancato consenso all’utilizzo dei cookie e delle altre tecnologie di tracciamento può essere utilizzato per limitare l’accesso ai contenuti del sito web; (iv) non devono essere presentate in modo graficamente diverso le opzioni “accetta” e “rifiuta”, al fine di evitare che l’utente possa essere in qualche modo influenzato nella scelta; infine (v) è fatto divieto al titolare di prevedere dei tempi di memorizzazione delle preferenze dell’utente differenti a seconda del conferimento o del mancato conferimento del consenso.

Va notato che quanto precede non costituisce un cambiamento nel quadro istituzionale esistente e negli orientamenti dell’Autorità. Tuttavia, l’esigenza di emanare le presenti Linee Guida nasce a seguito di un’ampia indagine condotta dall’HDPA, dalle cui risultanze è emerso un approccio generalmente non conforme alle norme applicabili da parte dei fornitori di servizi della società dell’informazione.