Nelle scorse settimane, diverse testate giornalistiche hanno riportato la sanzione comminata dall’Autorità Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”) nei confronti di una nota catena di grandi magazzini italiana (la “Società”) per una somma pari a 300 mila euro (il provvedimento è disponibile qui), per aver violato diverse disposizioni del Regolamento UE 679/2016 (“GDPR”).
L’attività ispettiva del Garante è scaturita a seguito di una segnalazione effettuata da una cliente dello store, la quale dopo un diverbio con un’addetta del negozio, riceveva una e-mail con la quale le veniva comunicato l’annullamento della sua fidelity card – attivata anni addietro – e l’attivazione di una nuova carta, avente tuttavia diverse generalità e, in particolare, l’intestazione a tale “Donzella Svampita”.
Dall’attività del Garante sono emersi diversi temi, quale ad esempio, l’importanza dell’effettuazione di una valutazione d’impatto quando un tipo di trattamento, allorché preveda in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Nel presente articolo, oltre a una breve disamina del provvedimento emesso dal Garante, cercheremo di approfondire quando e perché è necessario svolgere una valutazione d’impatto e quali sono, in generale, gli adempimenti che sarebbe opportuno svolgessero le società al fine di evitare o comunque mitigare le sanzioni comminabili dal Garante.
Il provvedimento del Garante
La segnalazione dell’interessata – considerata un data breach – veniva archiviata dal Garante, posto che la Società aveva già adottato numerose misure e la violazione risultava essere attribuibile alla leggerezza di una dipendente che aveva – di fatto – violato le istruzioni ricevute nonché, più in generale, un protocollo predefinito.
Durante l’attività ispettiva, tuttavia, è emerso, inter alia, che la Società:
- dal maggio del 2018 aveva rilevato e registrato una sola violazione di dati personali e, in particolare, che durante il rilascio in produzione di uno sviluppo tecnico erano stati inviati 70 ordini agli indirizzi e-mail di 5 clienti e-commerce. La Società, tuttavia, non aveva notificato tale data breach in quanto aveva ritenuto improbabile che la violazione potesse presentare rischi per i diritti e le libertà degli interessati ed era intervenuta immediatamente, implementando ulteriori migliorie di processo e misure tecniche al fine di evitare il ripresentarsi della medesima casistica;
- aveva individuato un periodo di conservazione dei dati personali conferiti per finalità di marketing pari a 7 anni, in contrasto con i principi di finalità, di minimizzazione e di limitazione della conservazione, ai sensi dell’art. 5(1), lett. b), c), ed e) del GDPR.
- pur svolgendo attività di profilazione, non aveva effettuato, prima di procedere al trattamento, una valutazione di impatto ai sensi dell’art. 35 del GDPR.
A seguito dei riscontri della Società, il Garante ha comunque rilevato che:
- per quanto riguarda il data breach (invio di 70 ordini agli indirizzi e-mail di 5 clienti e-commerce), seppur la Società aveva dichiarato di aver implementato successivamente più misure atte ad evitare il ripetersi della violazione, vi era ab origine un non adeguato livello di misure tali da impedire il data breach e quindi la violazione degli artt. 5(1)(f) e 32(1), lett. b) e d), del GDPR, poiché non era stata assicurata su base permanente la riservatezza dei dati;
- per quanto riguarda il periodo di conservazione dei dati, sono venuti in rilievo duplici aspetti. In primis, è stato rilevato un periodo di conservazione incongruente ed eccessivo. Sul punto, il Garante ha evidenziato che, seppur la Società abbia richiamato diversi precedenti provvedimenti dell’Autorità[1], questi si collocano al di fuori della piena applicazione del GDPR, che prevede all’art. 5 il principio di limitazione delle finalità e di conservazione, poiché fanno riferimento a società caratterizzate unicamente da un brand di lusso – mentre la Società pubblicizza più di 800 brand, tra cui alcuni non di lusso – e sono stati emessi a seguito di istruttorie specifiche sulla questione dei tempi di conservazione, in base all’attivazione dell’abrogato istituto del prior checking di cui all’art. 17 del D.lgs. 196/2003, abrogato dal D.lgs. 101/2018 (il “Codice Privacy”). In secundis, il Garante ha altresì evidenziato la mancata indicazione del periodo di conservazione nell’informativa resa dalla Società in relazione al proprio sito, nonché quella rilasciata presso gli store fisici. Infatti, seppur la Società abbia, nelle more, provveduto a modificare la propria informativa, esplicitando il periodo di conservazione e declinando maggiormente i tempi di conservazione in relazione alla tipologia di dati, il Garante ha confermato la violazione degli artt. 5(1), lett. a), b), c), ed e), nonché 12(1) del GDPR, prescrivendo alla Società stessa di stabilire ed applicare tempi differenziati di conservazione per fasce di prodotti, distinguendo peraltro fra i trattamenti di marketing e quelli relativi alla profilazione e cancellando, od anonimizzando, i dati conservati al di là dei termini stabiliti;
- per quanto riguarda la valutazione d’impatto, la Società, pur effettuando un’attività di profilazione e non una semplificata attività di marketing, non aveva effettuato, prima di procedere al trattamento, una valutazione d’impatto, in violazione dell’art. 35(1) del GDPR.
Focus sulla valutazione d’impatto: quando va fatta e come?
La valutazione d’impatto (in inglese “Data Protection Impact Assessment” e, in breve, “DPIA”) è una procedura prevista dall’art. 35 del GDPR che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di individuare misure idonee ad affrontarli.
Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.
L’esito della DPIA dovrebbe essere preso in considerazione dal titolare nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetti il GDPR.
Peraltro, laddove la DPIA indichi che i trattamenti presentano un rischio elevato che il titolare non può attenuare mediante misure opportune in termini di tecnologia disponibile e costi di attuazione, il titolare – prima del trattamento – è tenuto a consultare preventivamente l’Autorità di controllo, come previsto dall’art. 36 del GDPR.
Con specifico riferimento alla DPIA, oltre al GDPR, occorre considerare anche le “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento ‘possa presentare un rischio elevato’ ai fini del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la protezione dei dati (predecessore dell’EDPB) del 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017 e fatte proprie dall’EDPB il 25 maggio 2018 (le “Linee Guida”), nonché l’elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto pubblicato dal Garante.
Le Linee Guida specificano che i criteri da tenere in considerazione ai fini dell’identificazione dei trattamenti che possono presentare un “rischio elevato” sono nove e sono i seguenti:
- valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di “aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell'interessato”, ad esempio una società che crea profili comportamentali o per la commercializzazione degli utenti che navigano sul sito web aziendale basati sull’utilizzo di tale sito web o sulla navigazione sullo stesso;
- processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente sulle persone (ad esempio esclusione o discriminazione nei confronti delle persone);
- monitoraggio sistematico degli interessati, vale a dire un trattamento utilizzato per osservare, monitorare o controllare gli interessati;
- dati sensibili o dati aventi carattere altamente personale, quali ad esempio categorie particolari di dati personali di cui all’art. 9 del GDPR;
- trattamento di dati su larga scala, in considerazione di fattori quali il numero di soggetti interessati dal trattamento, il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento, la durata, ovvero la persistenza, dell’attività di trattamento, la portata geografica dell’attività di trattamento;
- creazione di corrispondenze o combinazione di insiemi di dati, ad esempio a partire da dati derivanti da due o più operazioni di trattamento svolte per finalità diverse e/o da titolari del trattamento diversi secondo una modalità che va oltre le ragionevoli aspettative dell’interessato;
- dati relativi a interessati vulnerabili quali i minori, i dipendenti, i segmenti più vulnerabili della popolazione che richiedono una protezione speciale (infermi di mente, richiedenti asilo o anziani, pazienti, ecc.);
- uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative, quali la combinazione dell'uso dell'impronta digitale e del riconoscimento facciale per un miglior controllo degli accessi fisici;
- quando il trattamento in sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto”, ivi inclusi i trattamenti che mirano a consentire, modificare o rifiutare l'accesso degli interessati a un servizio oppure la stipula di un contratto.
Al ricorrere di due o più dei suddetti criteri, il titolare deve svolgere una DPIA, poiché è indice che il trattamento possa presentare un rischio elevato per i diritti e le libertà degli interessati (cfr. Linee Guida, p. 11).
Nel provvedimento oggetto di tale articolo, il Garante ha ritenuto sussistenti:
- l’attività di profilazione[2] con valutazione di interessi e preferenze degli interessati e non, invece, come sostenuto dalla Società, una semplificata attività di marketing. Sul punto, il Garante ha evidenziato sia che l’attività di analisi delle abitudini di consumo svolta dalla Società per analizzare le abitudini di consumo dei clienti in possesso della fidelity card e svolgere analisi e ricerche di mercato al fine di migliorare l’offerta commerciale e inviare promozioni e inviti adatte alle preferenze dei singoli è considerata un’attività di profilazione, nonché, con particolare riferimento ai cookies del sito aziendale, che vengono raccolte informazioni demografiche e/o relative alle pagine visitate, ai prodotti visualizzati e agli acquisti effettuati a seguito di campagne pubblicitarie;
- il trattamento su larga scala in considerazione dell’elevato numero di clienti degli store fisici e di quelli online.
Alla luce di quanto sopra, pertanto, la Società avrebbe dovuto, prima di procedere al trattamento, effettuare una valutazione d’impatto.
Considerazioni finali
Alla luce di quanto sopra e delle conclusioni del Garante, risulta di fondamentale importanza effettuare specifici adempimenti in materia di protezione dei dati personali.
Seppur la Società sia stata sanzionata, l’Autorità, nel determinare l’ammontare ha tenuto in considerazione diversi elementi attenuanti.
In particolare, sarebbe opportuno, per ogni società, a titolo esemplificativo e non esaustivo, compiere le seguenti attività:
- predisporre – laddove mancante – o mantenere costantemente aggiornata la policy aziendale della società in materia di protezione dei dati personali;
- predisporre – laddove mancante – o mantenere costantemente aggiornate le istruzioni che i dipendenti dovranno seguire in merito al corretto trattamento dei dati personali, ai sensi dell’art. 29 del GDPR;
- consegnare a tutti i lavoratori, in sede di assunzione, le policy e procedure aziendali adottate dalla società;
- effettuare sessioni di training del personale volti a fornire agli stessi adeguata formazione in materia di privacy e protezione dei dati personali, al fine di garantire la corretta applicazione dei principi e delle norme applicabili in materia di trattamento dei dati, così come delle policy e delle procedure aziendali che verranno adottate;
- valutare, in caso di nuovi trattamenti, se sia necessario effettuare una DPIA, prima di procedere al trattamento.
[1] Sul punto si vedano il provv. n. 227/2017, provv. n. 304/2017 e il provv. n. 296/2018 del Garante.
[2] Ai sensi dell’art. 4(4) del GDPR, per profilazione si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.