E' stata un'estate piena di novità per l'ambito della tutela della riservatezza e dei dati personali: vediamo, in rassegna e per brevi cenni, lo stato dell'arte ad oggi.
Trasferimento dei dati personali extra UE/SEE: la Raccomandazione del Comitato Europeo e le Clausole Contrattuali Standard (SCCs) della Commissione UE
La problematica nasce dalla sentenza della Corte di Giustizia dell'Unione Europea (CGUE) pubblicata il 16 luglio 2020 (C-311/18, Data Protection Commissioner v. Facebook Ireland LTD, Maximillian Schrems, oramai nota come SCHREMS II.
La SCHREMS II ha sostanzialmente annullato la Decisione di Adeguatezza ex art. 45 GDPR (Regolamento (UE) 2016/679) di cui erano dotati gli Stati Uniti d'America, denominata Privacy Shield ed in virtù della quale era possibile eseguire il trasferimento dei dati personali dei cittadini europei verso gli USA essendo il livello di protezione del dato sostanzialmente equivalente, come previsto dall'art. 45 GDPR e dalla Decisione di Adeguatezza.
In virtù del sistema delineato dal GDPR, il Titolare o il Responsabile possono eseguire il trasferimento dei dati personali al di fuori dell'UE o dello Spazio Economico Europeo (SEE, il quale comprende, oltre ai 27 Stati membri dell'UE, anche Islanda, Norvegia e Liechtenstein) solamente in presenza delle condizioni delineate dagli artt. 45 - 49 GDPR, ovvero:
- in presenza di una Decisione Di Adeguatezza della Commissione UE che dichiari lo Stato terzo o il territorio verso il quale si trasferiscono i dati possessore di una disciplina privacy che garantisca un livello di protezione dei dati sostanzialmente equivalente a quello del GDPR;
- in presenza di Clausole Contrattuali Standard (SCCs), Norme Vincolanti d'Impresa (per i gruppi d'imprese e i trasferimenti infragruppo) (BCRs) o clausole contrattuali ad hoc, che vincolino chi esporta i dati e chi li importa a mantenere il livello della protezione adeguato agli standard GDPR;
- in presenza di Codici di Condotta o di meccanismi di certificazione ai sensi degli artt. 40 e 42 GDPR, ai quali Titolare e Responsabile aderiscano in materia di trasferimento estero di dati;
- in assenza di tutto quanto sopra, oppure quando tutto quanto sopra si riveli inefficace, solamente in presenza di determinate condizioni il trasferimento è possibile secondo i meccanismi indicati dall'art. 49 GDPR.
L'impatto della SCHREMS II non risiede tanto nel fatto di aver sostanzialmente posto fuori legge, dall'oggi al domani, tutti i dispositivi e gli applicativi che quotidianamente utilizziamo per la vita di relazione ed il lavoro (si pensi ai programmi operativi, ai social media, alle app, etc. dove chi tratta i dati è soggetto alla legge degli USA), ma di avere posto un serio problema (geo)politico.
Infatti, il problema non è tanto nella Privacy Shield come Decisione di Adeguatezza; il problema risiede nella legislazione degli Stati Uniti, laddove la stessa prevede che il governo federale possa accedere ai dati personali contenuti su server di proprietà di soggetti o società sottoposti alla legge statunitense, ovunque essi si trovino, per questioni impellenti e improrogabili di sicurezza nazionale.
Il problema risiede altresì nel fatto che il soggetto o la società sottoposti alla legge statunitense e, pertanto, alle azioni del governo di quel Paese, sono giocoforza costretti ad aderire ed adempiere, senza poter frapporre validamente ragioni di rispetto delle regole poste dal GDPR verso i partner europei e gli Interessati dei cui dati si tratta.
Il problema, infine, non è solamente statunitense, ma sposta l'attenzione sulla necessaria rivalutazione di tutte le Decisioni di Adeguatezza sinora concesse (i Paesi terzi dotati di questa Decisione sono, ad oggi, Andorra, Argentina, Canada (solamente per le aziende commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Svizzera ed Uruguay, insieme al Regno Unito, con due Decisioni del 28 giugno 2021, mentre si sta discutendo quella relativa alla Corea del Sud); infatti, così come è accaduto al Privacy Shield, anche le altre Decisioni e, più in generale, tutti i Paesi terzi verso i quali Titolare e Responsabile intendano trasferire i dati personali trattati, andranno valutati sotto questa nuova luce concernente l'accesso ai dati personali da parte del governo territoriale di volta in volta individuato.
Per tentare di venire incontro a Titolari e Responsabili che devono eseguire detta valutazione, il Comitato Europeo per la Protezione dei Dati Personali ha emanato la Raccomandazione n. 01/2020, pubblicata in versione definitiva il 18 giugno 2021, dove individua una procedura in 6 steps che Titolari e Responsabili che intendano continuare a trasferire i dati verso gli USA (o verso Paesi terzi con legislazione simile a quella USA per gli aspetti visti sopra) dovranno porre in essere per verificare se il trasferimento sia possibile.
Dobbiamo essere molto franchi nel riconoscere che si tratta di una questione che viaggia al di sopra delle teste e della materiale disponibilità di Titolari, Responsabili ed Interessati: infatti, per quanto possiamo verificare e condurre valutazioni sul nostro 'importatore' - cioè il soggetto che riceve i dati nel Paese terzo - e per quanto possiamo vincolarlo con le Clausole Standard, è evidente a chiunque che il nostro importatore non potrà rischiare di commettere - laddove soggetto alla legge USA - un crimine federale o di altra natura, negando al suo governo l'accesso ai dati da noi trasferiti.
Allo stesso modo, non possiamo esimerci dall'eseguire i controlli e le valutazioni sulla nostra catena dei fornitori (dal cloud provider alla posta elettronica, alle app che utilizziamo) per vagliare la rispondenza ai criteri stabiliti dalla Raccomandazione del Comitato.
Sempre in questo solco, la Commissione UE, esercitando il potere ad essa affidato dal GDPR (art. 46 (2), lett. c) GDPR), ha emanato la Decisione di Esecuzione n. 2021/914 del 04 giugno 2021, cui sono allegate le Clausole Contrattuali Standard in virtù delle quali Titolare e Responsabile possono fare sì che il trasferimento all'estero dei dati sia GDPR compliant: l'art. 4 della Decisione prevede che i contratti relativi al trasferimento (quindi, gli Atti di Incarico ex art. 28 GDPR tra Titolare e Responsabile che prevedano il trasferimento all'estero dei dati) stipulati prima del 27 settembre 2021 saranno ritenuti come garanzie adeguate ai sensi dell'art. 46 GDPR (quindi validi per il trasferimento) sino al 27 dicembre 2022, purchè i trattamenti oggetto dei contratti rimangano invariati.
Quindi, Titolare e Responsabile dovranno comunque seguire la procedura in 6 steps indicata nella Raccomandazione n. 1/2020 del Comitato, per capire se si trovano in una situazione simil - Privacy Shield/USA o meno e, ove necessario, in base al risultato di detta procedura, provvedere ad adottare o implementare le Clausole indicate nella Decisione n. 914/2021 della Commissione UE nei propri contratti entro il 27 dicembre 2022.
Per quanto riguarda il Condominio, questa situazione impatta non solamente sull'Amministratore, che esegue, quale Responsabile, la maggior parte dei trattamenti dei dati personali di condòmini e terzi connessi al Condominio, ma anche, ad esempio, relativamente alla videosorveglianza presente sul Condominio o al sito Internet del Condominio o, più in generale, al trattamento dei dati dei condòmini e dei terzi, eseguito da tutti i fornitori del Condominio, ai quali si dovrebbe chiedere di dichiarare se sussiste trasferimento all'estero e secondo quali modalità.
Atti di Incarico a Responsabile del trattamento: le Clausole Contrattuali Standard della Commissione UE
La Commissione UE, con la Decisione di Esecuzione 2021/915 del 04 giugno 2021, ha adottato le Clausole Contrattuali Standard che Titolare e Responsabile potranno inserire nei propri Atti di Incarico ai sensi dell'art. 28 (7) GDPR.
Non si faccia ingannare il lettore dall'utilizzo della parola "potranno", perché è evidente che, nel meccanismo di accountability ovvero di responsabilizzazione dei soggetti privacy creato dal GDPR, la presenza di una serie di clausole come quelle adottate dalla Commissione diventerà giocoforza la cartina al tornasole dell'effettivo adeguamento di Titolare e Responsabile al GDPR.
Quindi, tutti i contratti tra costoro andranno rivisti alla luce delle nuove clausole contrattuali; anche l'Atto di Incarico a Responsabile del trattamento tra il Condominio e l'Amministratore andrà rivisitato alla luce delle nuove Clausole.
Ovviamente, questa revisione dovrà procedere di pari passo con quella vista sopra e relativa al trasferimento all'estero - a meno che non siamo certi che non vi sia alcun trasferimento.
Confermata la necessità di non rendere pubbliche le e - mail dei condòmini
Il Garante per la Protezione dei Dati Personali (Garante Privacy), con il Provvedimento del 05 giugno 2021 (riferimento: DREP/SK162838-1/), tutt'ora inedito, ha risposto al reclamo di una condòmina svolto contro l'utilizzo della sua e - mail da parte dell'Amministratore che inseriva l'indirizzo 'in chiaro' nelle comunicazioni dallo stesso inviate agli altri condòmini, così rendendo visibile l'e - mail della ricorrente anche agli altri.
Il Garante Privacy ha ribadito che, anche laddove le comunicazioni contenute nell'e - mail che l'Amministratore invia a tutti i condòmini abbiano contenuto strettamente pertinente la gestione e l'amministrazione del Condominio, «gli estremi identificativi delle utenze telefoniche intestate ai singoli condòmini o ai loro familiari, NON possono essere annoverati tra quelli oggetto di NECESSARIA E OBBLIGATORIA COMUNICAZIONE all'interno del condominio, in quanto gli stessi non rappresentano elementi utili a determinare i diritti e gli oneri della cosa comune, né è rinvenibile alcun obbligo di legge in tal senso"».
Ovviamente, il Garante Privacy ribadisce anche che, con il consenso degli interessati, salve eventuali disposizioni del Regolamento di Condominio, è possibile, per l'Amministratore comunicare i numeri di telefono ai condòmini richiedenti e lo stesso vale per gli indirizzi e - mail.
Cookies e sistemi di tracciamento dell'utente: le nuove Linee - guida del Garante Privacy
Con il Provvedimento del 10 giugno 2021 (doc. web n. 9677876), pubblicato sulla G.U. del 09 luglio 2021, il Garante Privacy ha adottato le Linee - guida sull'utilizzo dei cookies e di altri strumenti di tracciamento.
Le Linee - guida partono innanzitutto con la spiegazione di che cosa si debba intendere con 'cookie' e di quale sia la funzione di questo strumento; si passa poi a definire gli altri strumenti di tracciamento, prevalentemente il c.d. fingerprinting ed a ricomprenderli nell'ambito di applicazione delle Linee - guida e dell'intera normativa GDPR.
Il Garante Privacy ridefinisce poi sostanzialmente le categorie di cookies e altri strumenti di tracciamento, dividendoli in due: tecnici e di profilazione.
Ovviamente, la partita di cookies e strumenti di tracciamento si gioca interamente nel campo della categoria di profilazione, perché spesso quando non sempre questo tipo di elementi tende ad utilizzare Dati Particolari dell'Interessato per tracciarne un profilo che viene poi utilizzato a scopo di marketing, diretto o indiretto oppure per altri scopi che spesso sfuggono all'utente finale.
Le Linee - guida si pongono quindi come vademecum nell'individuazione della normativa applicabile, ad oggi ancora alquanto complessa e magmatica (con il 'concorso' della Direttiva 2002/58/CE del 12 luglio 2002, detta Direttiva e - Privacy e del GDPR, mentre il Regolamento e - Privacy ancora in fase di negoziazione tra gli Stati membri).
Nel corso del provvedimento, il Garante Privacy procede poi in modo più analitico a definire le condizioni per il valido consenso: ad esempio, viene ribadito che lo scrolling, cioè il semplice gesto di continuare a scorrere lo schermo o navigare il sito senza compiere nessuna ulteriore azione non può essere individuato come valido consenso al posizionamento dei cookies o di altri strumenti diversi da quelli tecnici, ai sensi dell'art. 7 GDPR (perché manca un'azione attiva e positiva), ma allo stesso tempo, in virtù dell'accountability e della libertà del Titolare di adottare le modalità di trattamento che egli ritiene più opportune, pur nel rispetto del GDPR, il Garante Privacy non esclude che lo scrolling, unito ad altre soluzioni tecniche che possano permettere l'interpretazione univoca di un consenso e che possano essere registrate siano utilizzabili dal Titolare. Confermata anche l'invalidità del c.d. cookie wall, cioè quel banner vincolante con il quale l'utente del sito viene obbligato, senza presentazione di alternative, ad esprimere il consenso ai cookies o altri strumenti, pena l'impossibilità di accedere al sito, perché manca il requisito della libertà del consenso di cui all'art. 7 GDPR.
Il Garante Privacy ridefinisce anche le modalità e le tempistiche della ripresentazione del banner per l'acquisizione del consenso ai cookies o altri strumenti di tracciamento, in quanto anche l'eccessiva riproposizione ad ogni accesso, in difetto di un significativo cambiamento nelle condizioni del sito e del posizionamento dei cookies (ad esempio, quando l'utente stesso ha cancellato i cookies oppure sono cambiate alcune 'terze parti') potrebbe comportare una coartazione dell'utente a prestare un consenso pur di non vedere nuovamente la comparsa del banner.
Infine, viene data un'indicazione in riferimento al contenuto del banner per l'acquisizione del consenso; in particolare, viene chiarito che, se l'utente sceglie di mantenere le impostazioni di default sul proprio dispositivo tali per cui rifiuta il posizionamento di cookies o di altri strumenti di tracciamento, si dovrebbe rendere possibile la chiusura del banner, con il comando X posizionato in alto a destra e all'interno del banner stesso, senza che l'utente sia costretto ad accedere ad altre aree o pagine apposite.
Quindi, se l'utente ha selezionato, tramite le impostazioni del proprio dispositivo o del proprio browser, il rifiuto by default dei cookies o altri strumenti di tracciamento, alla chiusura del banner non si dovrebbe avviare alcun posizionamento né alcun tracciamento dell'utente stesso.
Il contenuto del banner dovrà comprendere almeno l'avvertenza che la chiusura del banner, a fronte delle scelte predefinite dell'utente (impostazione by default di diniego ai cookies e altri strumenti di tracciamento) comporta l'applicazione dei soli cookies tecnici durante la navigazione, oltre ad un'informativa minima sulle categorie di cookies utilizzati dal sito (tecnici o di profilazione o altro tracciamento), al link alla privacy policy ove vengano fornite le informazioni previste dagli artt. 12 e 13 GDPR, al comando per esprimere il consenso ai cookies o altri strumenti di tracciamento ed al link ad un'area dedicata dove selezionare solamente le funzionalità, le terze parti e i cookies che l'utente intenda accettare.
La Relazione del Garante Privacy sull'attività svolta nel 2020 e la sezione dedicata al Condominio
E' stata pubblicata negli scorsi mesi ed è disponibile sul sito istituzionale la Relazione Annuale che il Garante Privacy compila circa lo stato di attuazione del GDPR e di ciò che rimane del Codice Privacy, anche dando atto dei procedimenti avviati e conclusi e delle sanzioni riscosse, nonché di questioni di carattere burocratico attinenti la gestione dell'Autorità.
La Relazione è divisa per macroaree di interesse, dalla sanità all'attività giornalistica e al Condominio è dedicato un apposito capitolo, il 15, intitolato «il trattamento dei dati personali nell'ambito del Condominio» (pagina 192 della Relazione).
In questo capitolo, il Garante Privacy si concentra sostanzialmente su tre fronti.
Il primo riguarda ovviamente l'emergenza epidemiologica, che ha impattato a livello condominiale sia sulla questione relativa ai contagi da Covid - 19 ed alla loro gestione all'interno della vita condominiale: il Garante Privacy ribadisce che l'Amministratore così come gli altri condòmini non hanno alcune finalità, né alcun interesse ad acquisire e diffondere i dati relativi alla salute del singolo condòmino contagiato o in quarantena fiduciaria.
Il secondo aspetto concerne una conferma relativa ai soggetti privacy all'interno del Condominio, laddove il Garante Privacy richiama il proprio provvedimento del 18 maggio 2006 (il primo Vademecum del Palazzo, ci domandiamo perché non il secondo e più recente del 10 ottobre 2013) e ribadisce che i condòmini sono contitolari di un medesimo trattamento e le informazioni personali di ogni partecipante possono essere condivise all'interno del Condominio purché ciò risponda alla finalità di gestione ed amministrazione dello stesso e nel rispetto, laddove il trattamento avvenga tramite soggetti terzi, di quanto previsto dagli artt. 28 e 29 GDPR.
Come già in passato, il Garante Privacy non si esprime in modo esplicito ed esteso, ma è evidente che, anche a fronte di quanto sopra circa le novità in materia di Atti di Incarico al Responsabile e trasferimento estero dei dati, non è più immaginabile un Condominio dove l'Amministratore non abbia ricevuto un formale Atto di Incarico da parte del Condominio per eseguire i trattamenti ad esso assegnati per legge o per contratto quale Responsabile del trattamento.
Infine, il Garante Privacy, richiamando le disposizioni del Codice civile, in particolare gli artt. 1130, nn. 6) e 7), 1129, 2° comma e 1130 bis, 1° comma, c.c., ribadisce che l'Autorità non è legittimata a ricevere e conoscere di lagnanze relative non tanto o solo al trattamento dei dati o alla violazione dei principi per un trattamento lecito, bensì agli inadempimenti in ordine alle attribuzioni ed ai compiti affidati all'Amministratore.