Marketing e Comunicazione: come rispettare la privacy?

Il nuovo evento in diretta Facebook tratterà il mondo del marketing e della comunicazione.
Parleremo del marketing e la compliance al GDPR: principi giuridici, casi pratici, i punti di contatto trai due ambiti e le sanzioni.

 

Un confronto al quale potrete partecipare con domande via chat.

Mercoledì 18 novembre 2020 alle ore 18.00 in diretta sulla pagina Facebook di Lexchance

Introduzione ai lavori il presidente di CDVM Antonio De Carolis.

Relatori del webinar:

In collaborazione con Fweb Group.

Condividi sui social!

 

marketing e comunicazione

Il Contact Tracing

Il Presidente del Garante italiano per la protezione dei dati personali, Antonello Soro, nel corso di un’intervista informale dello scorso 8 aprile in merito all’uso delle nuove tecnologie e della rete per contrastare l’emergenza epidemiologica del Coronavirus, ha espresso innanzitutto la necessità che lo scopo principale di tali strumenti sia il perseguimento della componente solidaristica del diritto alla salute quale interesse collettivo e non già repressivo.
Uno degli strumenti di cui si discute molto negli ultimi tempi è il cd contact tracing, ovvero la mappatura a ritroso dei contatti tenuti, nel periodo di incubazione, da soggetti risultati contagiati; nello specifico, si tratta di un sistema di tracciamento delle persone che potrebbero essere venute a contatto con una persona infetta, con lo scopo di interrompere la catena del contagio.
Il concetto si discosta dalla più invasiva geolocalizzazione che, anche la Commissione Europea ha espressamente dichiarato di voler evitare, in quanto i dati sulla posizione dei cittadini non sono necessari rispetto allo scopo perseguito e risulterebbero, pertanto, superflui rispetto all’esigenza principale di tracciamento del contagio, nonché in contrasto con i principi di necessità e minimizzazione sanciti dal GDPR.

 

L’APP IMMUNI

Tale raccolta di dati dovrebbe dunque avvenire attraverso un’app per smartphone (strumento già utilizzato in alcuni stati dell’Asia) la quale, sfruttando la tecnologia Bluetooth, sarebbe in grado di tracciare, in modo pseudonimizzato, gli spostamenti delle persone.
Il Governo italiano sta valutando l’app IMMUNI la quale, tracciando la vicinanza e non la posizione tramite, appunto, la connessione Bluetooth, registrerebbe se due persone (entrambe con l’app e il Bluetooth attivato) sono state abbastanza vicine tra loro per essere a rischio contagio.
Al momento, non vi sono ancora documenti ufficiali da parte del Governo sull’adozione di tale app ma pare che le funzionalità di IMMUNI siano rispondenti ai requisiti indicati a livello europeo ovvero: gratuità, volontarietà, raccolta di informazioni su un “diario clinico” in locale, utilizzo del Bluetooth, trasmissione cifrata dei dati ad un server, registrazione dei contatti sullo smartphone.
Dal punto di vista dell’impatto sulla privacy, sottolinea ancora Soro, “l’Autorità partecipa ai lavori della Commissione, in una posizione del tutto distinta da quella degli esperti di nomina ministeriale, per esprimere le esigenze di protezione dati sin dalla fase di scelta della soluzione da adottare; abbiamo in particolare indicato come preferibili le misure basate sulla volontaria adesione del singolo, sulla conservazione “in locale” del diario dei contatti, sui dati Bluetooth (pseudonimizzati), in quanto maggiormente selettivi e, dunque, di minore impatto sulla privacy” (intervista 8 aprile 2020).
Uno degli aspetti di maggior interesse concerne la volontarietà o meno dell’installazione della predetta app da parte degli utilizzatori sul telefono cellulare.
In merito, sia il Garante italiano sia l’EDPB (Comitato Europeo per la protezione dei dati) propendono per la non obbligatorietà auspicando, invece, la libera scelta delle persone in merito all’installazione o alla disinstallazione dell’app stessa (comunicato stampa 15.04.2020 EDPB).
Tale libera scelta determina delle inevitabili conseguenze dal punto di vista dell’efficacia dello strumento: infatti, può esserne garantita la massima efficacia solo se utilizzato dalla quota più ampia possibile della popolazione, in uno sforzo collettivo di contrasto del virus.
Al contrario, il minore utilizzo dell’app determina lo scarso impatto in tema di contenimento del contagio e di tutela della salute pubblica e, conseguentemente, il mancato raggiungimento dello scopo cui mira l’utilizzo della sopra descritta tecnologia che risulterebbe, pertanto, sproporzionata e non giustificherebbe l’utilizzo e la raccolta di dati personalissimi.
Rimangono, pertanto, molti aspetti che dovranno essere chiariti e sviscerati nel caso di adozione di un’app anti-covid: ad esempio occorrerà chiarire i ruoli (titolare, responsabile), chi avrà accesso ai dati, il periodo di conservazione degli stessi, oltre che garantire il diritto di accesso, di modifica, di aggiornamento e di oblio agli interessati.

 

LE LIMITAZIONI ALLA TUTELA DEL DATO PERSONALE

Un’ultima riflessione, che prende le mosse dai diritti sopra elencati, concerne la clausola prevista dal Considerando 73 del Regolamento, che stabilisce una espressa riserva in favore del diritto dell’Unione Europea o degli Stai membri “di imporre limitazioni a specifici principi e ai diritti di informazione, accesso, rettifica e cancellazione di dati […], ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, ivi comprese la tutela della vita umana, […] incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica […]”.
La portata di tale norma, di natura eccezionale, non deve però comportare un totale sacrificio della protezione e tutela dei dati personali riconosciuti dal GDPR; ciò anche in forza dei principi che costituiscono il cardine di una società democratica.
Sul punto, il Prof. Pizzetti, nella conferenza del 21 aprile 2020 organizzata da “Club AFGE” ha ribadito che il diritto alla tutela dei dati personali, quale diritto fondamentale, nell’attuale momento storico, può essere bilanciato con altri diritti fondamentali (in deroga al GDPR e alla direttiva E-privacy), purché tale limitazione sia prevista da norme di rango primario e proporzionata rispetto all’emergenza in corso.
In altre parole, si deve trattare di una compressione del diritto alla tutela del dato personale e non di una soppressione.

CONCLUSIONI

In conclusione, tenendo presente che la tecnologia non sarà mai in grado di sostituire le scoperte scientifiche e gli effetti delle stesse sulla pandemia in corso, ciò che appare imprescindibile nello studio dell’utilizzo e dello sviluppo delle nuove tecnologie è il contemperamento tra tutela della salute, sicurezza pubblica e privacy.
Tali diritti fondamentali, devono essere garantiti e tutelati nei confronti dei cittadini, in maniera il più possibile uniforme a livello europeo, anche in una situazione di emergenza come quella attuale.

 

 

elena ferraris Autrice Avv. Elena Ferraris

 

ODV e DPO: possibile unione o necessaria separazione?

Premessa

L’entrata in vigore del regolamento in materia di protezione dei dati personali ha introdotto la nuova figura professionale del DPO, il quale è tenuto a vigilare sulla osservanza del Regolamento (ex art. 39 GDPR).

In passato, coloro che avevano già provveduto all’adeguamento in materia di responsabilità degli enti, ex. D.lgs. 231/2001, avevano avuto modo di approcciare con la figura dell’organismo di Vigilanza, previsto dall’art. 6.

Oggi, evidentemente, la domanda è se queste due figure possano concentrarsi in uno stesso organismo o in una sola persona e/o quali possano essere le modalità di collaborazione e cooperazione tra loro; problemi di non poco conto sorgono, in particolare, in relazione ai requisiti richiesti in capo tanto all’Organismo di Vigilanza, quanto al DPO.

Ad oggi, anche in virtù del breve lasso temporale intercorso tra l’entrata in vigore della normativa ultima di riferimento, si staglia prepotentemente l’assenza di pronunce giurisprudenziali e l’assordante silenzio dell’Autorità Garante in merito alla relazione che intercorre tra la figura del DPO e quella dell’organismo di vigilanza.

 

L’Organismo di Vigilanza (OdV)

L’Organismo di Vigilanza, meglio noto come OdV, è disciplinato dall’art. 6 del d.lgs. 231/2001 come quell’organismo preposto al controllo relativo all’adeguatezza ed alla efficace attuazione dei Modelli di Organizzazione e Gestione adottati dagli Enti (Modelli idonei a prevenire, laddove efficacemente attuati, la commissione dei reati presupposto e, conseguentemente, evitare il rischio di condanne in capo all’Ente stesso).

Tale articolo, tuttavia, non ne descrive i requisiti ad eccezione di quello dell’autonomia.

E’ stata, quindi, la prassi a dettare e consolidare i requisiti propri di tale Organismo. Requisiti poi recepiti anche dalle linee guida di categoria: autonomia; indipendenza; professionalità ed onorabilità.

L’art. 6 del decreto prevede che l’OdV sia dotato di poteri di iniziativa e controllo: ciò, evidentemente, impone che questo si collochi in una posizione tale per cui si abbia la garanzia di ogni forma di dipendenza o condizionamento gerarchico.

L’indipendenza, evidentemente, garantisce l’assenza di conflitti di interessi. Ciò implica che deve essere evitato qualsivoglia legame che possa minare la terzietà del controllore rispetto all’oggetto del controllo.

Quanto alla professionalità, è inevitabile che il ruolo richieda competenze nelle tecniche ispettive e di audit, unitamente ad una preparazione giuridica, in particolare penalistica-criminologica.

Nulla quaestio circa il requisito dell’onorabilità.

Con riferimento ai compiti dell’Organismo di Vigilanza, va ricordato, invece, che l’organismo di vigilanza è preposto al controllo sul funzionamento e il rispetto del Modello di Organizzazione, Gestione e Controllo (art. 6 del Decreto Legislativo 231/2001) e, come per il DPO, deve “essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento, come previsto dall’art. 6, lettera b)” in quanto “deve essere dotato di autonomi poteri di iniziativa e controllo” e “deve sempre essere garantita l’autonomia dell’iniziativa di controllo da ogni forma di interferenza o di condizionamento” (Sezioni Unite Penali, con sentenza n.38343 del 18 settembre 2014).

 

 

Il Data Protection Officer (DPO)

 

Il DPO, lungi dal rivestire un ruolo puramente formale, è tenuto a possedere una serie di “conoscenze specialistiche” in materia di trattamento dei dati personali, deve aver acquisito dei titoli attestanti la propria formazione in tale materia ed inoltre è bene che possa vantare una certa esperienza in tale campo.

In altre parole il DPO deve essere un buon manager, si potrebbe definire “il manager del trattamento dei dati personali”, in quanto profondo conoscitore della realtà aziendale; partendo infatti dalla struttura organizzativa dell’azienda e dall’organigramma, è tenuto a dare consigli e informazioni dal punto di vista del corretto trattamento dei dati personali.

Il DPO può essere un dipendente dell’azienda (interno) o un libero professionista o una persona giuridica (esterno) ma è fondamentale che venga coinvolto in tutte le scelte che hanno a che fare con l’azienda nella materia di sua competenza; deve avere ampia autonomia e indipendenza rispetto ai vertici dell’azienda, non ricevere istruzioni sui suoi compiti (art. 36) ma coadiuvare il titolare sotto tutti gli aspetti relativi all’osservanza del Regolamento, ad esempio valutando la necessità dello svolgimento di una valutazione d’impatto e fornendo, se richiesto, un parere (ex art 35 GDPR) oppure fungendo da punto di contatto per l’autorità di controllo per questioni connesse al trattamento dei dati, tra cui la consultazione preventiva di cui all’articolo 36.

In base all’art. 39, comma 2, il DPO deve poi -nell’esecuzione dei suoi compiti- considerare “debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”. Ciò che si richiede al DPO sono, in sostanza, valutazioni specifiche e concrete effettuate per ciascuna realtà di trattamento sotto il profilo dei maggiori o minori rischi in termini di protezione dei dati.

Le figure interne ipoteticamente preordinate a ricoprire tale incarico potrebbero essere un funzionario di alta professionalità o un dirigente, in quanto, è bene ricordare, il DPO può ricoprire anche altri incarichi all’interno della struttura aziendale, a condizione che non sia in conflitto di interessi. Del suo operato riferisce al CDA, all’amministratore unico o ai massimi vertici.

Proprio per questo motivo, il Garante ha precisato che sarebbe preferibile evitare di assegnare il ruolo di DPO a soggetti con incarichi di alta direzione (amministratore delegato, membro del consiglio di amministrazione, direttore generale, ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT, etc.).

Nella scelta del DPO occorre tener conto dei titoli acquisiti, dell’esperienza maturata sul campo, delle capacità di negoziazione.

 

Conclusioni

Terminata tale premessa, in assenza di uno specifico divieto normativo e alla luce della possibilità per il DPO di svolgere altri compiti e funzioni, ci si chiede se quest’ultimo possa ricoprire anche l’incarico di organismo di vigilanza presso la stessa realtà, in presenza delle qualità professionali e della conoscenza specialistica richieste.

Innanzitutto, corre l’obbligo di sottolineare che la normativa nazionale tace sul punto.

Prendendo le mosse dalle linee guida pubblicate dal Working Party 29 e dalle prescrizioni enunciate dalla Autorità Garante Italiana e, in particolare dalle caratteristiche precipue delle due figure, emergono, infatti, alcune possibili situazioni di conflitto.

L’OdV potrebbe trovarsi nella situazione di controllare il DPO: cosa accadrebbe in questa ipotesi?

Le due figure non possono concretizzarsi in un unicum operativo, in quanto il DPO ha, tra l’altro, il compito di monitorare e verificare il corretto trattamento dei dati posto in essere dall’ODV, nonché il flusso degli stessi all’interno dell’OdV e quest’ultimo ha, a sua volta, lo specifico compito di verificare il corretto adempimento, da parte del DPO, delle prescrizioni impartite dal Modello.

Infatti, il DPO potrebbe trovarsi nella posizione di richiedere una valutazione d’impatto in merito a determinati trattamenti, al fine di valutarne il rischio ovvero di consigliare la minimizzazione dei medesimi ed a verificare l’adozione di adeguate misure tecnico-organizzative.

In conclusione, appare evidente che le due figure non possano essere ricondotte ad unicum ma che, anzi, debbano cooperare al fine di garantire il rispetto delle prescrizioni tanto in materia di protezione dei dati personali quanto in materia di responsabilità degli Enti.

 

 

 

Autrice Avv. Valentina Dicorato
elena ferraris Autrice Avv. Elena Ferraris

GDPR e accesso ai dati di persone defunte.

I dati personali di una persona deceduta possono essere oggetto di diritto di accesso da parte di un parente nel caso di impugnazione del testamento?

 

A seguito dell’entrata in vigore del GDPR e del successivo Decreto Legislativo n. 101/2018, il nostro legislatore ha revisionato e “modernizzato”, tra le altre, la norma concernente i diritti esercitabili da terzi di cui agli artt. da 15 a 22 GDPR (accesso, rettifica, cancellazione, oblio, portabilità) riferiti ai dati personali delle persone decedute.

Attualmente, pertanto, l’art. 2- terdecies, co. 1 stabilisce che i sopra elencati diritti riferiti ad un defunto, “possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione”.

I successivi co. 2 e 3 prevedono la facoltà dell’interessato, a determinate condizioni, di vietare a terzi alcuni dei diritti elencati dagli artt. 15-22 GDPR nonché il diritto, in ogni momento, di revoca del divieto.

Infine, a chiusura della disposizione, il co. 5 stabilisce che “tale divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi”.

 

Il caso

Nel caso esaminato, chi esercita il diritto di accesso (parente in linea collaterale) non è un prossimo congiunto (coniuge, figlio o ascendente diretto) ma agisce per ragioni familiari meritevoli di protezione (ovvero il proprio interesse giuridico e patrimoniale legato alla azionata causa di impugnazione del testamento).

Dunque, nel caso di impugnazione di testamento da parte di un parente in linea collaterale, quest’ultimo è legittimato ad ottenere il diritto di accesso ai dati particolari contenuti nella cartella clinica del defunto?

Si tratta, nel caso di specie, di riempire di contenuto l’espressione “ragioni familiari meritevoli di protezione” e di contemperare l’esigenza di accesso del richiedente con le forme di tutela previste dalla disciplina sulla protezione dei dati che, a ben vedere, rimangono applicabili anche a seguito del decesso.

Ed ancora se il defunto avesse, in ipotesi, espressamente vietato il diritto di accesso al terzo soggetto richiedente, tale divieto non avrebbe potuto produrre il suo effetto, in quanto, tale divieto avrebbe leso il diritto del soggetto agente di difendere in un giudizio pendente i propri interessi (art. 2-terdecies co. 5).

 

Conclusioni

Pertanto, il legislatore ha voluto sì tutelare i dati personali delle persone defunte ma a determinate condizioni da analizzare e applicare caso per caso. A questo proposito, sembrano necessari chiarimenti specifici relativi ai concetti portanti, quali “interesse proprio” o “ragioni familiari meritevoli di protezione”, per poter tracciare dei confini semantici precisi e non incorrere in ambiguità.

 

 

elena ferraris Autrice Avv. Elena Ferraris

Powered by: Fweb Group