sanzioni

10 settembre, scade il termine per chi utilizza Google Analytics

by

Secondo il provvedimento del Garante n. 224 del 9 giugno 2022, il sito web che utilizza GA senza adeguate garanzie per gli interessati, viola la normativa sulla protezione dei dati personali perché espone i visitatori del sito a trasferimenti di dati personali negli USA senza un adeguato livello di protezione. Il provvedimento del Garante segue altri due valutazioni analoghe dell’omologa autorità austriaca del 22 dicembre 2021 e quella del CNIL, autorità di controllo francese, del 10 febbraio 2022, tutte giunte non certo all’improvviso, dopo l’annullamento dell’accordo sul trasferimento dei dati tra UE e USA “Privacy Shield” nel luglio 2020 da parte della Corte di Giustizia UE.

Con il provvedimento citato, il Garante aveva dichiarato illeciti i trasferimenti di dati negli USA effettuati con l’utilizzo di Google Analytics, invitando i titolari del trattamento ad adottare misure tecniche e organizzative adeguate per poter dimostrare che il trattamento è effettuato in modo conforme al GDPR entro 90 giorni.

I 90 giorni sono scaduti il 10 settembre, ora i titolari dei siti che non si sono conformati al provvedimento sono teoricamente a rischio sanzione. Nel rispetto dell’accountability del titolare, il Garante non indica le “misure adeguate”, anche perché potrebbero cambiare a seconda del contesto. Queste possono andare dall’interrompere l’utilizzo di GA a misure totalmente differenti, anche se sembra tecnicamente piuttosto complicato intervenire su questo tipo di trattamento per dare al sistema dati di interessati non identificabili. Anche la CNIL ha pubblicato sul proprio sito un’analisi a riguardo.

Esercizio dei diritti: il titolare deve rispondere alle richieste in forma libera

by

Non è legittimo subordinare la risposta all’esercizio di un diritto da parte di un interessato all’utilizzo di uno specifico modulo per la richiesta. Il Garante lo ha sottolineato nel provvedimento 225 del 16 giugno 2022 nel quale ha esaminato un reclamo nei confronti di Unicredit S.p.A. da parte di un ex dipendente. Uno degli elementi di attenzione è stato proprio il fatto che l’Istituto avesse posto in essere procedure diverse per l’ammissibilità dell’esercizio dei diritti a seconda della tipologia di interessato. In particolare, per i dipendenti e gli ex dipendenti richiedeva l’utilizzo di un modulo specifico per poter dare corso alla richiesta, cosa ritenuta non corretta dall’autorità di controllo che ha precisato come “non è conforme alla disciplina vigente […] condizionare, al previo invio del […] modulo compilato, l’avvio della procedura preordinata a dare corso all’esercizio del diritto“.

In pratica, un titolare del trattamento che riceve la richiesta di esercizio di un diritto da parte di un interessato non può rispondere “compila questo modulo” e condizionare la successiva risposta alla ricezione del modulo compilato. La forma con cui l’interessato può esercitare un diritto è libera, fermo restando che il titolare, se necessario, può chiedere ulteriori chiarimenti all’interessato là dove la richiesta non fosse ben specificata.

Il reclamo era relativo alla risposta fornita in seguito all’esercizio del diritto di accesso (art. 15 del GDPR), una situazione che per alcuni titolari può essere molto complessa da gestire. Proprio per questo, il GDPR prevede che il titolare possa prorogare il termine di risposta di un mese previsto dall’art. 12 del GDPR, motivando la cosa all’interessato (nel qual caso l’interessato deve essere informato della proroga entro un mese dalla sua richiesta).

In merito al diritto di accesso, l’EDPB ha adottato le Linee Guida sull’esercizio del diritto di accesso il 18 gennaio 2022, documento molto utile per valutare le misure tecniche e organizzative che un’organizzazione mette in atto per la gestione dei diritti degli interessati. Il punto 52 delle Linee Guida specifica proprio come il GDPR non ponga nessuna richiesta alla forma (compreso il canale di comunicazione) con cui gli interessati possono fare richiesta di esercizio del diritto di accesso.

(fonte: Garante per la protezione dei dati personali)

 

Nomina DPO non corretta – sanzionato un comune

by

Un Comune è stato sanzionato per 6.000 euro in seguito al reclamo di un ex dipendente che lamentava la comunicazione da parte del Comune al nuovo datore di lavoro di informazioni relative alla situazione debitoria personale dell’ex dipendente stesso, in particolare informazioni relative al pignoramento di una quota dello stipendio.

Nel corso dell’istruttoria, l’autorità di controllo ha rilevato come il Comune, all’epoca dei fatti, avesse nominato quale DPO il Responsabile Affari Generali, figura apicale incompatibile con il ruolo di responsabile della protezione dei dati in quanto in conflitto di interessi. Il Garante rilevava poi la mancata comunicazione dei dati di contatto del DPO, cosa che rendeva difficile contattare questa figura sia da parte degli interessati che del Garante stesso.

A fine istruttoria, il Garante ha comminato la sanzione per trattamento illecito dei dati e per nomina del DPO in violazione dell’art. 38(6) del Regolamento. Il Comune ha giustificato la situazione affermando che la nomina era stata fatta in un periodo di carenza di personale e di difficoltà economiche (il bilancio non era stato approvato nei tempi previsti), giustificazioni che l’autorità ha ritenuto “meritevoli di considerazione” ma non sufficienti a superare i rilievi.

Le PA devono sempre designare il responsabile della protezione dei dati (anche indicato come RPD o DPO) come previsto agli artt. 37, 38 e 39 del GDPR, selezionando un soggetto sulla base delle qualità professionali e della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati (art. 37(5) GDPR), assicurandosi che gli altri compiti eventualmente svolti dal DPO non diano luogo ad un conflitto di interessi. Il processo che porta alla selezione e alla designazione del DPO va documentato.

(fonte: Garante per la protezione dei dati personali)