Garante

Vaccino, terza dose e privacy: i chiarimenti del Garante

Vaccino, terza dose e privacy: i chiarimenti del Garante di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia La previsione della somministrazione di una terza dose di vaccino accende, ancora una volta, i riflettori sulla privacy e rende necessario l’intervento del Garante. Alla base di questa nuova “querelle” le affermazioni di Guido Bertolaso, coordinatore della campagna vaccinale della Lombardia, rilasciate a margine di un evento organizzato presso l’Ambasciata di Israele a Roma, secondo il quale la privacy limiterebbe la possibilità di chiamare e sollecitare gli assistiti alla somministrazione della terza dose di vaccino. Ancora una volta la privacy viene additata di essere inutile ostacolo che rallenta o impedisce attività di vario genere, invocando, per contro, le molteplici attività di marketing che “subiamo” quotidianamente (secondo quanto riportato dalla stampa le parole di Bertolaso sarebbero “Il Green Pass è la punta dell’iceberg di un dramma che si chiama privacy: ma di che cosa stiamo parlando, veniamo ascoltati e chiamati per qualsiasi pubblicità e poi non possiamo neanche chiamare direttamente le persone per sollecitarle a fare la terza dose perché violiamo la privacy. Non fatemi parlare di privacy perché altrimenti rischio qualche denuncia”). Emerge in maniera evidente e incontrovertibile come, per l’ennesima volta, la privacy viene invocata a sproposito, facendo confusione tra aspetti che devono essere considerati in modo autonomo perché concettualmente diversi. È dovuto intervenire, quindi, il Garante per fare chiarezza e per ribadire, ancora una volta, che nel caso di chiamate per la somministrazione della terza dose di vaccino non si viola la privacy. Nel comunicato del 5 novembre [doc web 9715558] si legge testualmente “L’Autorità ribadisce quindi che le iniziative volte a promuovere la vaccinazione siano realizzate attraverso gli operatori del Servizio sanitario nazionale, coinvolgendo, auspicabilmente, i medici di medicina generale, a cui è nota la situazione sanitaria degli assistiti, anche riguardo ad aspetti che sconsigliano la vaccinazione in assoluto o temporaneamente. L’Autorità ricorda infatti che, a tutela della riservatezza degli assistiti, le iniziative per promuovere e sollecitare la terza dose di vaccino, non possono avvenire attraverso altri organi o uffici amministrativi regionali o comunali”. Nessuna violazione della privacy, quindi, per il richiamo per la terza dose di vaccino. Come anticipato, inoltre, la necessità di contattare i cittadini per la somministrazione della terza dose non può in alcun modo essere equiparata alle chiamate “per qualsiasi pubblicità”. Queste ultime, infatti, rientrano tra le attività di marketing per le quali l’utente deve aver fornito il proprio consenso e, nell’ipotesi in cui l’attività venga effettuata senza questa indispensabile base giuridica, l’operatore è esposto alle sanzioni previste dal Regolamento europeo (l’art. 83 prevede sanzioni amministrative fino 20 milioni di euro o al 4% del fatturato annuo). Chissà da dove deriva quel consenso che, ipotizziamo sia un’attività lecita, consente all’operatore di chiamarci “per qualsiasi pubblicità”. Abbiamo letto le condizioni di contratto? Abbiamo letto le privacy policy dei siti che consultiamo? Delle app che utilizziamo? Cosa abbiamo accettato? Lo sappiamo? La risposta è negativa. Non lo sappiamo perché non leggiamo, non ci fermiamo e non prestiamo la dovuta attenzione alla tipologia di dati che forniamo e alle finalità per le quali verranno utilizzati. Salvo poi lamentarci se riceviamo “qualsiasi pubblicità” e invocare la violazione della privacy a giustificazione di comportamenti errati di cui siamo noi i principali artefici.  

Vaccino, terza dose e privacy: i chiarimenti del Garante Leggi tutto »

Controllo dei lavoratori online: la posizione del Garante

Controllo dei lavoratori online: la posizione del Garante di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia Il Garante della protezione dei dati personali sanziona Il Comune di Bolzano per aver monitorato la navigazione internet dei lavoratori in modo indiscriminato. La vicenda prende le mosse da un procedimento disciplinare a carico di un dipendente al quale veniva contestata la consultazione di Facebook e YouTube durante l’orario di lavoro. L’Autorità, nel proprio provvedimento, sottolinea alcuni importanti elementi che riguardano non solo il trattamento dei dati, ma anche il modus operandi del Comune, prima e durante il procedimento ispettivo. Il caso Dagli accertamenti effettuati dal Garante a seguito del reclamo presentato da un dipendente al quale veniva contestato il collegamento “con il computer del Comune, per oltre 40 minuti a facebook e per oltre 3 ore a youtube, per seguire attività non istituzionali e che […] aveva consultato pagine Internet non inerenti il suo lavoro” è emersa un’attività di monitoraggio e filtraggio della navigazione internet dei dipendenti effettuata dal Comune. I dati così raccolti venivano poi conservati per un mese e veniva creata apposita reportistica per finalità di sicurezza della rete. L’analisi della vicenda e delle modalità concrete con le quali il Comune aveva realizzato questo monitoraggio, tra l’altro per un periodo di tempo piuttosto esteso (una decina d’anni circa), ha fatto emergere alcuni importanti aspetti. 1- Mancanza di un’adeguata informativa Il trattamento effettuato dal Comune è avvenuto in assenza di un’adeguata e specifica informativa ai dipendenti in merito ai possibili controlli sugli accessi a Internet da parte del datore di lavoro. il sistema adottato dal Comune per finalità di sicurezza della rete, nella configurazione originaria, consentiva operazioni di filtraggio e tracciatura delle connessioni e dei collegamenti ai siti Internet esterni, la memorizzazione di tali dati e la loro conservazione, per trenta giorni, nonché l’estrazione di report, anche su base individuale. Questo sistema ha consentito l’individuazione diretta del lavoratore e della sua postazione di lavoro e ha dato origine a una raccolta sistematica di dati relativi all’attività e all’utilizzo dei servizi di rete da parte di dipendenti direttamente identificabili. Il Comune non aveva i fornito ai dipendenti alcuna specifica informativa relativa ai trattamenti dei dati personali né, in quelle rese disponibili, vi era alcun riferimento al trattamento dei dati personali relativi alla navigazione in Internet da parte degli stessi. In altri documenti, messi a disposizione dell’Autorità e analizzati nel corso dell’istruttoria, era presente il riferimento alle operazioni di tracciamento delle connessioni a Internet, ma essendo i documenti redatti per assolvere a obblighi diversi, non contenevano tutti gli elementi informativi essenziali richiesti dall’art. 13 del Regolamento e non potevano pertanto sostituire l’informativa che il titolare deve rendere, prima di iniziare il trattamento, agli interessati. 2 – Principio di minimizzazione In base al Regolamento, il trattamento deve essere “necessario” rispetto alla lecita finalità perseguita (art. 6, par. 1 del Regolamento) e avere ad oggetto i soli dati “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5, par. 1, lett. c), del Regolamento). A tal riguardo il Garante sottolinea che l’ambito dei controlli (indiretti o preterintenzionali), sebbene effettuati nel rispetto delle normative di settore, non possono essere effettuati in via massiva e devono, in ogni caso, essere effettuati previo esperimento di misure meno limitative dei diritti dei lavoratori. L’Autorità, rimarcando il labile confine esistente tra ambito lavorativo e professionale e quello strettamente privato, ribadisce inoltre la necessità di proteggere e garantire le aspettative di riservatezza del lavoratore sul luogo di lavoro anche nell’ipotesi in cui il dipendente sia connesso ai servizi di rete messi a disposizione del datore di lavoro o utilizzi una risorsa aziendale anche attraverso dispositivi personali. Nel caso analizzato, al contrario, è emerso che le modalità concrete con le quali erano effettuati i controlli non rispettavano i principi di necessità e proporzionalità, rispetto alla finalità di protezione e sicurezza della rete interna invocata dall’Ente. Il sistema utilizzato dal Comune, infatti, “effettuando una raccolta sistematica dei dati di navigazione dei dipendenti comportava inevitabilmente il trattamento di informazioni anche estranee all’attività professionale, desumibili dagli URL visitati, e risultava, pertanto, in contrasto con il divieto per il datore di lavoro di trattare dati “non attinenti alla valutazione dell’attitudine professionale del lavoratore” e dunque con l’art. 113 del Codice, in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276” (così testualmente l’ordinanza del 13 maggio 2021). L’esigenza di ridurre il rischio di usi impropri della navigazione in Internet, da parte dei dipendenti, consistenti in attività non correlate alla prestazione lavorativa (ad esempio, la visione di siti web non pertinenti, l’upload o il download di file, l’uso di servizi di rete con finalità ludiche o estranee all’attività lavorativa) non può, infatti, giustificare ogni forma di interferenza nella vita privata, ma può essere soddisfatta mediante la predisposizione di misure tecniche e organizzative idonee a prevenire che eventuali informazioni relative alla sfera extralavorativa vengano raccolte, dando luogo a trattamenti di informazioni personali, “non pertinenti” che ricadono nell’ambito di applicazione dell’art. 113 del Codice 3- Limitazione della finalità Il Regolamento prevede, all’art. 5, che “i dati devono essere “raccolti per finalità determinate, esplicite legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità”. Nel caso analizzato dal Garante questo principio non è stato rispettato, posto che i dati relativi alla navigazione web dei dipendenti, originariamente raccolti e trattati in modo non proporzionato e non conforme alla disciplina in materia di protezione dei dati personali, , e senza un’adeguata informativa ai sensi dell’art. 13 del Regolamento, sono stati successivamente impiegati per contestare addebiti disciplinari. Per l’Autorità prive di pregio si sono rivelate anche le indicazioni fornite dal Comune in merito all’archiviazione del procedimento disciplinare. Quest’ultimo, infatti, non aveva comportato l’irrogazione di sanzioni in quanto i dati raccolti non erano attendibili, riportando anche una serie di siti (es. collegati a banner) che non erano stati necessariamente visitati dal lavoratore, senza possibilità di distinzione tra il sito effettivamente visitato e quelli

Controllo dei lavoratori online: la posizione del Garante Leggi tutto »

Giornalisti tra diritto di cronaca e foto tratte dai social: i limiti e l’intervento del Garante

Giornalisti tra diritto di cronaca e foto tratte dai social: i limiti e l’intervento del Garante. L’attività giornalistica e l’esercizio del diritto di cronaca sono nuovamente tornati al centro di un provvedimento del Garante della privacy dopo un fatto di cronaca che riguarda l’omicidio di una bimba di 2 anni. Alcune testate giornalistiche hanno riportato la notizia utilizzando la foto della minore tratta dai social network della madre, principale indiziata dell’omicidio. Prima di affrontare le questioni attinenti al diritto di cronaca, anche giudiziaria, ancor oggi aspetti piuttosto delicati che in diversa misura influenzano e condizionano il lavoro del giornalista, è necessario fare alcune riflessioni sugli strumenti che vengono utilizzati nell’esercizio della professione. La tecnologia ha indubbiamente inciso sulle modalità con le quali viene svolta l’attività giornalistica ed è proprio per questo motivo che il web, nel suo complesso, impone l’impiego di misure e cautele di diverso genere. Non esiste un libretto di istruzioni o un codice generale che regolamenti, dal lato giuridico, il funzionamento della Rete e così è necessario conoscere in maniera specifica le norme generali che possono essere applicate anche al mondo online sia le norme che regolamentano il funzionamento di quel singolo strumento al quale si fa riferimento. Possono, per esempio, come nel caso che ha dato origine al nuovo intervento del Garante, essere estratte foto pubblicate sui social network? Possono essere estrapolate dagli stessi social informazioni personali che vengono utilizzate per redigere l’articolo di cronaca? Qual è il limite invalicabile oltre il quale non si può andare? Il comunicato del Garante recita testualmente “In molti casi media e testate on line hanno pubblicato, oltre a diverse fotografie in chiaro della bambina, numerosi dettagli relativi alle vicende personali e allo stato psicologico della madre, indicata come presunta responsabile della morte, riportando testualmente pensieri e commenti tratti dal profilo Facebook della donna, nonché fotografie della stessa insieme ai suoi due altri figli, i cui volti – seppur pixelati – sono di fatto riconoscibili. Le informazioni e le immagini descritte si pongono in evidente contrasto con le disposizioni della normativa privacy e delle regole deontologiche relative all’attività giornalistica, che – pur salvaguardando il diritto/dovere di informare la collettività su fatti di interesse pubblico -prescrivono agli operatori dell’informazione di astenersi dal pubblicare dettagli relativi alla sfera privata della persona e prescrivono, anche attraverso il richiamo alla Carta di Treviso, particolari e rafforzate garanzie a tutela dei minori coinvolti in fatti di cronaca”. Da un lato, quindi, il richiamo al diritto di cronaca, nella duplice dimensione di diritto e dovere all’informazione su fatti di interesse pubblico, dall’altro l’espresso riferimento alle regole deontologiche, che prevedono garanzie particolari per i minori. Le regole deontologiche relative al trattamento dei dati personali nell’esercizio dell’attività giornalistica, pubblicate sulla Gazzetta Ufficiale n. 3 del 4 Gennaio 2019, sono costituite da un corpo di 13 articoli che fornisce indicazioni specifiche sulle modalità di trattamento dei dati personali in linea con i principi enunciati dal GDPR. In particolare l’art. 7, oltre a prevedere espressamente un divieto di fornire particolari in grado di identificare il minore (come le foto del caso de quo, sebbene con l’utilizzo della tecnica di pixelatura) al comma 3 espressamente stabilisce “Il diritto del minore alla riservatezza deve essere sempre considerato come primario rispetto al diritto di critica e di cronaca; qualora, tuttavia, per motivi di rilevante interesse pubblico e fermo restando i limiti di legge, il giornalista decida di diffondere notizie o immagini riguardanti minori, dovrà farsi carico della responsabilità di valutare se la pubblicazione sia davvero nell´interesse oggettivo del minore, secondo i principi e i limiti stabiliti dalla “Carta di Treviso“. Ne deriva, quindi, che il diritto alla riservatezza del minore coinvolto in vicende di cronaca giudiziaria deve sempre essere considerato prevalente rispetto al diritto di cronaca e rappresenta, quindi, un limite invalicabile per il giornalista che si occupi di questa tipologia di giornalismo. Il Garante era già più volte intervenuto sul punto ribadendo ogni volta la necessità di considerare prevalente la riservatezza del minore. Così, solo per citarne uno, il caso di cronaca che riguardi un genitore (personaggio di rilievo pubblico) non può essere integrato con i dati dei figli dello stesso, peraltro minorenni, anche nel caso in cui questi dati siano già presenti online in quanto pubblicati sui propri profili social dal genitore. I dati dei minori, sebbene già presenti online, non devono essere ripresi in virtù del principio in base al quale si deve riconoscere la prevalenza del diritto alla riservatezza del minore rispetto al diritto di critica e di cronaca. Le attuali norme vigenti prescrivono al giornalista di attenersi all’essenzialità dell’informazione nel trattare fatti di interesse pubblico, anche quando relativi a personaggi di rilievo pubblico. (Provvedimento del 24 giugno 2020). In conclusione, quindi, non si può che auspicare una maggiore attenzione anche a norme, quelle deontologiche, che in una società dell’informazione così frenetica, ormai fortemente orientata al mobile journalism e all’utilizzo del digitale rappresentano un pilastro fondamentale dal quale è impossibile prescindere. di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Giornalisti tra diritto di cronaca e foto tratte dai social: i limiti e l’intervento del Garante Leggi tutto »