Ultimi documenti dal WP 29 e webtracking (Fb)

Il Working Party Art. 29 ha pubblicato ulteriori interessanti documenti di interpretazione al GDPR – Regolamento UE 2016/679.

In particolare:

  • le Linee guida in materia di applicazione e di entità delle sanzioni amministrative previste dal GDPR – Regolamento UE 2016/679 “Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679” adottate il 3 ottobre 2017;
  • il parere riguardante il sistema di trasporto intelligente cooperativo (c.d. C-ITS) “Opinion 03/2017 on Processing personal data in the context of Cooperative Intelligent Transport Systems”, inerente lo scambio di informazioni utili alla circolazione che intervegono tra le auto e le infrastrutture stradali. In merito alla strategia europea inerente i “sistemi di trasporto cooperativi” tra cui in particolare le autovetture connesse/i veicoli automatici e le infrastrutture segnalo anche la Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni ” Una strategia europea per i sistemi di trasporto intelligenti cooperativi, prima tappa verso una mobilità cooperativa, connessa e automatizzata” adottata il 31 maggio 2017.

 In merito alle prime linee guida sulle sanzioni amministrative, il GDPR prevede che le stesse siano inflitte in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure relative ai poteri correttivi che ha l’Autorità (previste all’articolo 58, paragrafo 2, lettere da a) a h) e j) GDPR, o in luogo di tali misure ) fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore in alcuni casi elevati a fino a 20 000 000 EUR, o per le imprese, e a fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente in altri determinati casi.

Le autorità di protezione dei dati considereranno certamente la “natura, gravità e durata dell’infrazione” e nel caso di ” infrazioni minori” come descritte nel regolamento e che “non costituiscono un rischio significativo per i diritti dei soggetti interessati interessati e non influenzano l’essenza dell’obbligo in questione ” qualora la sanzione prevista potesse apparire realmente un “onere sproporzionato” per una “persona fisica” allora anche il rimprovero sostanzialmente potrebbe essere valutato come misura sanzionatoria appropriata.

In linea generale occorre tenere conto di:

  • numero degli interessati coinvolti. Più persone riguarda il comportamento scorretto perpetrato soggetto a sanzione più grande sarà l’ammenda, soprattutto se tale numero potesse incrementarsi poichè il fatto si fosse ripetuto anzichè trattarsi di un singolo incidente isolato.
  • scopo del trattamento. Le autorità Garanti valuteranno in particolare come si sia affrontato il principio di limitazione delle finalità del trattamento (motivo e compatibilità).
  • danno subito dagli interessati. Le autorità Garanti non sono abilitate a concedere indennizzi agli interessati ma dovrebbero considerare il danno che questi abbiamo subito come riportato nel GDPR: “I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che
    rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.
  • durata dell’infrazione. Il protrarsi dell’infrazione nel tempo pur non costituendo una condizione necessaria potrebbe essere considerata sufficiente per far presumere una sorta di volontaria consapevolezza. Anche la mancata adozione di misure preventive appropriate o l’impossibilità di adottare le necessarie garanzie tecniche potrebbero essere elementi rilevanti nella scelta dell’ammontare della sanzione da infliggere.

La violazione tenderà ad essere giudicata sulla base del comportamento adottato: in generale qualora giudicato negligente o intenzionale le sanzioni saranno maggiormente elevate.

Ad esempio il comportamento negligente potrebbe essere quello di non aver adottato le tecniche aggiornate in materia di sicurezza o di non essere riusciti a seguire la politica indicata dall’azienda nella propria valutazione di impatto mentre il comportamento intenzionale potrebbe essere quello di effettuare modifiche ai dati personali per simulare una conformità aziendale che in realtà non vi era stata.

Il documento senza ombra di dubbio ha il merito di chiarire che i consigli del Data Protection Officer sono preziosi e che pertanto, qualora non ascoltati, potrebbero essere considerati rilevanti ai fini della valutazione della condotta del titolare in quanto in tal caso potrebbero essere ricondotti al comportamento negligente.

 Non sono considerati comportamenti che possano fare diminuire in qualche modo le sanzioni il fatto di aver effettuato una valutazione di impatto o di aver adottato delle buone misure organizzative in quanto considerate sostanzialmente attività “obbligate” da effettuare in adempimento al GDPR ma in ogni caso il fatto di essere preso l’impegno di farlo sarà valutato in qualche modo positivamente.

Infine è stato chiarito che “il concetto di un’impresa è inteso come un’unità economica, che può essere costituita dalla capogruppo e da tutte le controllate coinvolte”  pertanto in questa mia prima lettura del documento ritengo possa essere corretto interpretare tale affermazione in questo modo: se una società controllata commette delle violazioni le sanzioni potrebbero essere commisurate anche tenendo conto del fatturato della società controllante.

La definizione giurisprudenziale della Corte di giustizia europea riportata nel documento interpretativo WP29 si riferisce infatti in particolare a:

  • sentenze Höfner e Elsner, punto 21, ECLI: EU : C: 1991: 161: «la nozione di impresa comprende ogni soggetto che eserciti un’attività economica, indipendentemente dallo status giuridico dell’entità e dal modo in cui viene finanziato».
  • causa Confederación Española de Empresarios de Estaciones de Servicio (par. 40, ECLI: EU: C: 2006: 784): Un’impresa «deve essere intesa come designazione di un’unità economica anche se in diritto l’unità economica è costituita da più persone, di natura o di diritto» .

Dunque in tale accezione non è importante chi sia il rappresentante legale o quali siano le partecipazioni in altre società ma se ad essa sia riconducibile un’attività economica svolta come unità. Ritengo che questa interpretazione sia decisamente importante in quanto il Wp29 ritiene corretto riferirsi a quanto la Corte di Giustizia europea interpreta applicabile agli articoli 101 e 102 del Trattato sul funzionamento dell’Unione europea che di consueto siamo abituati storicamente a ricondurre ai casi di presunti abusi di posizione dominante sul mercato o di pratiche che alterino illecitamente la concorrenza sul mercato.

Per completezza ritengo utile ricordare che, in Italia, ai fini della determinazione di un abuso di posizione dominante sul mercato, si ha controllo nei casi contemplati:

  • dall’articolo 2359 del codice civile:Sono considerate società controllate:
    1) le società in cui un’altra società dispone della maggioranza dei voti esercitabili nell’assemblea ordinaria;
    2) le società in cui un’altra società dispone di voti sufficienti per esercitare un’influenza dominante nell’assemblea ordinaria;
    3) le società che sono sotto influenza dominante di un’altra società in virtù di particolari vincoli contrattuali con essa.
    Ai fini dell’applicazione dei numeri 1) e 2) del primo comma si computano anche i voti spettanti a società controllate, a società fiduciarie e a persona interposta: non si computano i voti spettanti per conto di terzi.
    Sono considerate collegate le società sulle quali un’altra società esercita un’influenza notevole. L’influenza si presume quando nell’assemblea ordinaria può essere esercitato almeno un quinto dei voti ovvero un decimo se la società ha azioni quotate in mercati regolamentati.

 

  • ed inoltre in presenza di diritti, contratti o altri rapporti giuridici che conferiscono, da soli o congiuntamente, e tenuto conto delle circostanze di fatto e di diritto, la possibilità di esercitare un’influenza determinante sulle attività di un’impresa, anche attraverso:

a) diritti di proprietà o di godimento sulla totalità o su parti del patrimonio di un’impresa;

b) diritti, contratti o altri rapporti giuridici che conferiscono un’influenza determinante sulla composizione, sulle deliberazioni o sulle decisioni degli organi di un’impresa.

Il controllo è acquisito dalla persona o dalla impresa o dal gruppo di persone o di imprese:

a) che siano titolari dei diritti o beneficiari dei contratti o soggetti degli altri rapporti giuridici suddetti;

b) che, pur non essendo titolari di tali diritti o beneficiari di tali contratti o soggetti di tali rapporti giuridici, abbiano il potere di esercitare i diritti che ne derivano.

Data la copiosa giurisprudenza in merito è ipotizzabile che si applicheranno per analogia esegesi similari in caso di sanzioni da GDPR applicate alle imprese riconducibili di fatto ad un unica “unità economica”.

Si dovrà però prestare maggiore attenzione soprattutto alla giurisprudenza comunitaria piuttosto che alle interpretazioni domestiche anche alla luce delle recenti conclusioni dell’avvocato generale Bot che riporto in questo articolo, per le quali si evince che l autorità di vigilanza dello Stato membro in cui si trova lo stabilimento del responsabile del trattamento è autorizzata a esercitare i suoi poteri di intervento nei confronti del suddetto responsabile in maniera autonoma, e senza essere tenuta a richiedere previamente all’autorità di vigilanza dello Stato membro in cui quest’ultimo è situato di esercitare i suoi poteri. Pertanto le interpretazioni del singolo stato membro anche in tema di diritto societario potrebbero apparire sempre più “deboli” di fronte a interpretazioni differenti da parte dei altri stati membri.

Segnalo infatti che sono state rese note in data 24 ottobre 2017 le conclusioni dell’avvocato generale Bot nella causa C-210/16 (Independent Center for Privacy Protection Schleswig-Holstein v / Accademia dell’Economia dello Schleswig-Holstein, in presenza di Facebook Ireland Ltd, rappresentanti della interesse nazionale il Tribunale amministrativo federale).

La causa era sorta per una presunta violazione delle disposizioni tedesche di recepimento della direttiva 95/46, in quanto gli utenti di una fanpage non sarebbero stati informati della raccolta dei loro dati personali effettuata dal social network Facebook attraverso cookie attivati sul loro disco rigido, al fine di realizzare statistiche sugli utenti destinate al gestore della suddetta pagina e per permettere a Facebook di diffondere pubblicità mirate. La controversia inerisce il c.d. “webtracking”  ovvero l’osservazione e l’analisi del comportamento dei navigatori sul web utilizzata ai scopi commerciali e di marketing. Poichè osserva le abitudini di navigazione il webtracking si definisce anche «comportamentale» quando effettuato di norma mediante l’impiego di cookie, attivati sul computer dell’utente all’apertura di un sito web.

Secondo la direttiva 95/46, la raccolta e l’utilizzo di dati personali finalizzati all’elaborazione di statistiche sugli utenti e alla diffusione di pubblicità mirate devono soddisfare determinati presupposti. In particolare, i suddetti trattamenti non possono essere compiuti senza l’informazione e il consenso preventivi degli interessati ed a tal fine diventa importante comprendere oltre alla definizione di responsabile del trattamento ed all’individuazione del diritto nazionale applicabile (in presenza di soggetti stabiliti anche al fuori del territorio dell’Unione Europea), quale sia l’autorità competente per esercitare i poteri di intervento.

Nella causa era complesso identificare il responsabile del trattamento poichè gli strumenti necessari all’elaborazione di statistiche sugli utenti e alla diffusione di pubblicità mirate, nel caso un operatore economico decida di servirsi di un social network, come Facebook, aprendo una fanpage al fine di beneficiare di strumenti analoghi e non installa sul proprio sito tali strumenti ma se li ritrova a disposizione proprio grazie al social. La società di formazione tedesca aveva infatti aperto una pagina Facebook per pubblicizzare i propri servizi utilizzando lo strumento «Facebook Insights», messo a loro disposizione gratuitamente da Facebook nel quadro di condizioni d’uso non modificabili. Le statistiche sugli utenti sono elaborate da Facebook e personalizzate dal gestore di una fanpage in funzione di diversi criteri da esso selezionabili, quali l’età o il sesso fornendo così informazioni anonime sulle caratteristiche e sulle abitudini delle persone che hanno avuto accesso alla fanpage, permettendo ai relativi gestori di inviare comunicazioni più mirate.

Poichè Facebook era stata sanzionata per aver violato le norme relative alla protezione dei dati dei propri utenti dunque la Corte di giustizia UE è stata chiamata di fatto a precisare quali siano i poteri di intervento riconosciuti ad un’autorità di vigilanza per un trattamento di dati personali effettuato da più soggetti.

La Corte ha stabilito che «i poteri di tale autorità non comprendono necessariamente tutti quelli di cui è investita secondo il diritto del suo Stato membro» pertanto «essa può esercitare i suoi poteri investigativi indipendentemente dal diritto applicabile e ancor prima di sapere quale sia il diritto nazionale che si applica al trattamento controverso. Tuttavia, essa, qualora giunga alla conclusione che si applica il diritto di un altro Stato membro, non può imporre sanzioni al di fuori del territorio del suo Stato membro. In una situazione del genere, essa è tenuta, in virtù dell’obbligo di collaborazione di cui all’articolo 28, paragrafo 6, della direttiva 95/46, a chiedere all’autorità di controllo di tale altro Stato membro di accertare un’eventuale violazione di tale diritto e di imporre sanzioni se questo lo consente, appoggiandosi, se del caso, sulle informazioni che essa le avrà comunicato”.

Il diritto nazionale applicabile è perciò quello dello Stato membro dell’autorità di vigilanza che esercita i suoi poteri di intervento, in ragione della presenza, nel territorio di quello Stato, di uno stabilimento del responsabile del trattamento la cui attività sia inscindibilmente connessa a tale trattamento. La presenza di uno stabilimento in Germania costituisce il punto di collegamento iniziale necessario ai fini dell’applicazione del diritto tedesco al trattamento dei dati personali.

Le conclusioni dell’avvocato generale Bot pertanto sono le seguenti:

1)      L’articolo 2, lettera d), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, come modificata dal regolamento (CE) n. 1882/2003 del Parlamento europeo e del Consiglio, del 29 settembre 2003, deve essere interpretato nel senso che il gestore di una fanpage su un social network, quale Facebook, costituisce un responsabile del trattamento ai sensi della disposizione di cui trattasi con riferimento al trattamento dei dati personali, consistente nella raccolta da parte di detto social network dei dati personali di chi accede alla suddetta pagina, al fine di elaborare statistiche sugli utenti della stessa.

2)      L’articolo 4, paragrafo 1, lettera a), della direttiva 95/46, come modificata dal regolamento n. 1882/2003, deve essere interpretato nel senso che un trattamento di dati personali come quello controverso nel procedimento principale è effettuato nel territorio di uno Stato membro nel contesto delle attività di uno stabilimento del responsabile di tale trattamento, ai sensi della disposizione suddetta, quando un’impresa che gestisce un social network apre in detto Stato membro una filiale destinata alla promozione e alla vendita degli spazi pubblicitari proposti da tale impresa e la cui attività è diretta agli abitanti di detto Stato membro.

3)      In un caso come quello oggetto del procedimento principale, in cui il diritto nazionale applicabile al trattamento dei dati personali interessato è quello dello Stato membro cui appartiene un’autorità di vigilanza, l’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46, come modificata dal regolamento n. 1882/2003, deve essere interpretato nel senso che la suddetta autorità di vigilanza può esercitare tutti i poteri effettivi di intervento che le sono riconosciuti dall’articolo 28, paragrafo 3, della direttiva di cui trattasi nei confronti del responsabile del trattamento, anche quando detto responsabile è situato in un altro Stato membro o in uno Stato terzo.

4)      L’articolo 28, paragrafi 1, 3 e 6, della direttiva 95/46, come modificata dal regolamento n. 1882/2003, deve essere interpretato nel senso che, in circostanze quali quelle controverse nel procedimento principale, l’autorità di vigilanza dello Stato membro in cui si trova lo stabilimento del responsabile del trattamento è autorizzata a esercitare i suoi poteri di intervento nei confronti del suddetto responsabile in maniera autonoma, e senza essere tenuta a richiedere previamente all’autorità di vigilanza dello Stato membro in cui quest’ultimo è situato di esercitare i suoi poteri.

 


 

 

Written by