[:it]Person holding black android smartphone

Lo scorso 29 aprile 2020 il Garante per la protezione dei dati personali si è pronunciato sull’applicazione ideata al fine di limitare la diffusione del Covid-19 mediante il tracciamento dei suoi utilizzatori.

Nelle premesse, il Garante ha opportunamente ricordato:

  • che l’utilizzo dell’applicazione è strettamente volontario e che, conseguentemente, il suo mancato utilizzo “…non comporta conseguenze in ordine all’esercizio dei diritti fondamentali dei soggetti interessati;
  • che il titolare del trattamento dei dati raccolti sarà il Ministero della Salute;
  • che l’applicazione registrerà unicamente i “…contatti tra soggetti che abbiano parimenti scaricato l’applicazione e ciò “…al solo fine di adottare le adeguate misure di informazione e prevenzione sanitaria nel caso di soggetti entrati in contatto con utenti che risultino, all’esito di test o diagnosi medica, contagiati”.
  • che la modalità di tracciamento “…è complementare alle ordinarie modalità in uso nell’ambito del Servizio Sanitario nazionale”;
  • che, tra le misure tecniche da adottare al fine di garantire la sicurezza delle libertà e dei diritti dell’utilizzatore, dovrà essere assicurato:
    1. che gli “…utenti ricevano, prima dell’attivazione dell’applicazione, un’idonea informativa” ;
    2. che “…i dati personali raccolti dall’applicazione siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al Covid-19”;
    3. che il tracciamento “…sia basato sul trattamento di dati di prossimità dei dispositivi, resi anonimi oppure, ove ciò non sia possibile, pesudonomizzati, con esclusione di ogni forma di geolocalizzazione dei singoli utenti”;
    4. che i dati raccolti “…siano conservati, anche nei dispositivi mobili degli utenti, per il periodo, stabilito dal Ministero della Salute, strettamente necessario al tracciamento e cancellati in modo automatico alla scadenza del termine”;
    5. che i diritti degli utilizzatori, ai sensi degli articoli 15 a 22 del GDPR, possano essere in esercitati in forma semplificata.

Ciò premesso, il Garante ha espresso parere favorevole circa la compatibilità della normativa  rispetto alle normative europee (Regolamento 2016/679/UE) e nazionali di protezione dei dati personali, rilevando come il sistema di contact tracing prefigurato non appaia porsi in contrasto con i principi di protezione dei dati personali:

  • essendo prevista una dettagliata previsione normativa del trattamento, delle tipologia di dati raccolti, delle garanzie accordate agli interessati e della temporaneità delle misure;
  • essendo l’applicazione fondata sull’adesione volontaria dell’interessato;
  • essendo determinata la finalità di interesse pubblico perseguita, escludendo trattamenti secondari se non per finalità statistiche e/o di ricerca scientifica, purchè anonimizzati o in forma aggregata;
  • essendo conforme al principio di minimizzazione e ai criteri di privacy by design e by default;
  • essendo conforme al principio di trasparenza.

Il Garante conclude:

  • auspicando che la predetta misura superi la proliferazione di iniziative analoghe in ambito pubblico “difficilmente compatibili con il quadro giuridico vigente”;
  • suggerendo di perfezionare il testo della norma, sostituendo alla locuzione “conseguenza in ordine all’esercizio dei diritti fondamentali dei soggetti interessati” che non scarichino volontariamente l’app., quella più ampia di “conseguenze pregiudizievoli”.

[:]

[:it]Il Data Protection Officer

Dal 25 maggio 2018, come tutti sanno, è entro in vigore il c.d. GDPR – General Data Protection Regulation– che ha introdotto obblighi stringenti per professionisti e imprese, volti ad elevare il livello di informazione e tutela dei dati personali.

Tra le novità di maggior rilievo vi è senza dubbio quella del c.d. Data Protection Officer (D.P.O), il quale, ai sensi dell’art. 37, viene designato dal titolare e dal responsabile del trattamento, “…ogni qualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.

I ruoli assegnati ex art. 39 al D.P.O. risultano di triplice natura:

  • un ruolo di consulenza “interna” in quanto, ai sensi della lettera a) è chiamato a fornire “…consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché, ai sensi della lettera c) a fornire, quanto richiesto, un proprio parere motivato “in merito alla valutazione d’impatto sulla protezione dei dati”;
  • un ruolo di sorveglianza, ai sensi delle lettere b e c, del rispetto delle normative in materia di protezione dei dati personali;
  • di punto di raccordo con le autorità di controllo, con le quali è chiamato a cooperare.

 

Le origini della controversia dinnanzi al T.A.R.

In data 13 settembre 2018 è stata pronunciata la prima sentenza di un tribunale italiano in punto di DPO (Data Protection Officer).

Il ricorso da cui è scaturita la pronuncia in oggetto trae la propria origine da un avviso pubblico di un’azienda sanitaria volto all’assunzione di un soggetto per lo svolgimento non solo dei compiti espressamente individuati dall’art. 39 del GDPR ma anche delle seguenti ulteriori funzioni:

  • l’aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA)”;
  • Risk assessment relativo alla sicurezza informatica e alla conformità rispetto alle normative in punto di privacy, esteso anche alla compliance rispetto alle misure indicate nella Circolare AgID n°2/2017;
  • la “partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati”.

L’avviso, rivolto esclusivamente a personale esterno all’azienda sanitaria stessa, individuava tra i requisiti di partecipazione “…il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001…”.

Uno dei candidati, vedendosi dichiarata inammissibile la propria candidatura, si rivolgeva al Tribunale amministrativo territorialmente competente ritenendo:

  • da un lato che l’avviso pubblico risultasse di oscura interpretazione, non comprendendosi se il requisito del possesso della certificazione ISO/IEC/27001 fosse requisito alternativo o ulteriore rispetto al possesso di una laurea in informatica o in giurisprudenza;
  • dall’altro che il requisito del possesso di tale certificazione escludesse i laureati in giurisprudenza, quandanche le mansioni richieste fossero senza dubbio maggiormente confacenti ai laureati nella predetta materia.

 

La decisione del T.A.R.

Esaminata la questione, il Tribunale amministrativo accoglie il ricorso ritenendo illegittima la richiesta del possesso della certificazione ISO/IEC/27001 quale “titolo abilitante”. Ad avviso del T.A.R., infatti:

  • detto requisito appare ultroneo rispetto ai compiti del DPO, trovando la suddetta certificazione “…prevalente applicazione nell’ambito dell’attività d’impresa” e poiché “…non coglie la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali”;
  • di contro la “…minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico”.

[:]

[:it]Il danno non patrimoniale, risarcibile ai sensi del d.lg. 30 giugno 2003 n. 196, art. 15 (cd. codice della privacy), pur causato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli art. 2 e 21 cost., e dall’art. 8 Cedu, è subordinato alla verifica della «gravità della lesione» e della «serietà del danno» (quale perdita di natura personale effettivamente patita dall’interessato). Infatti, anche per questo diritto opera il bilanciamento con il principio di solidarietà previsto dall’art. 2 Cost., «di cui il principio di tolleranza della lesione minima è intrinseco precipitato». Pertanto, non è la mera violazione delle prescrizioni poste dall’art. 11 del Codice della privacy (modalità del trattamento e requisiti dei dati) a determinare una lesione ingiustificabile del diritto, ma soltanto quella che ne offenda in modo sensibile la sua portata effettiva.

Nel caso di specie, il convenuto doveva legittimamente considerarsi interessato ai risvolti patrimoniali ed assicurativi del sinistro stradale verificatosi tra la moglie e l’attore, essendo, da una parte, marito in regime di comunione dei beni e, dall’altra, titolare della polizza assicurativa.
Essendo stata la responsabilità dell’incidente attribuita alla donna, il convenuto vedeva peggiorare il bonus-malus ed aumentare il premio assicurativo.

Di qui l’interesse ad interloquire con le compagnie assicuratrici.

A ciò si aggiunga che, ai sensi della l. n. 990/1969 sull’assicurazione obbligatoria, il proprietario di un veicolo è tenuto ad esporre sul mezzo il contrassegno contenente tutti gli estremi del veicolo stesso, del titolare del contratto e della società assicuratrice.

Pertanto, secondo l’art. 24, lett. c), d.lgs. n. 193/2006, è lecito effettuare il trattamento, senza il consenso dell’interessato, dei dati personali provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque.

Non c’è stato, quindi, ad avviso della sentenza 3 marzo 2015, n. 4231, nella fattispecie in esame, alcun illecito trattamento di dati personali, ma esclusivamente una semplice comunicazione di dati che erano serviti solo alla identificazione della controparte.

Per questi motivi, la Corte di Cassazione ha rigettato il ricorso.[:]

[:it]Due soli episodi di minaccia o molestia possono valere ad integrare il reato di atti persecutori previsto dall’art. 612 bis c.p., se abbiano indotto un perdurante stato di ansia o di paura nella vittima, che si sia vista costretta a modificare le proprie abitudini di vita, come è in realtà avvenuto nel caso di specie, che ha visto la parte lesa costretta perfino a cambiare casa e città per eludere la pressione indotta dal coniuge, che tuttavia aveva rintracciato la nuova abitazione, manifestandolo alla moglie separata con il macabro segno di un cappio appeso dietro la porta di casa.

La Suprema Corte, con la sentenza n°25527 del 7 maggio 2010, ha affermato che, in tema di atti persecutori ex art. 612-bis c.p., due episodi di minaccia o molestia sono sufficienti per configurare il delitto di atti persecutori se hanno indotto nella vittima stati di ansia e paura tali da comprometterne il normale svolgimento della quotidianità.

La Cassazione ha censurato l’operato dei giudici cautelari i quali hanno svalutato gli elementi accusatori e non considerato che la persona offesa è stata costretta a cambiare casa e città per eludere la pressione indotta dal coniuge. Ciononostante, lo stalker aveva rintracciato la nuova abitazione, minacciando la moglie separata con il macabro segno di un cappio appeso dietro la porta di casa. Poiché per integrare il delitto di atti persecutori è necessaria una pluralità di comportamenti minacciosi o molesti, quello disegnato dal legislatore è un reato necessariamente abituale ove la realizzazione delle condotte è essa stessa elemento costitutivo del fatto.

Il sentiero interpretativo percorso dalla Cassazione, nella sentenza in esame, invece, è quello che lega la reiterazione degli atti di stalking alla verificazione dell’evento. Per la Suprema Corte, infatti, anche due soli episodi di minaccia o molestia possono valere ad integrare il delitto di atti persecutori previsto dall’art. 612-bis c.p., a condizione che si realizzi un perdurante stato di ansia o di paura nella vittima o, alternativamente, un altro degli eventi descritti dalla norma incriminatrice.

Integrano il delitto di atti persecutori, di cui all’art. 612 bis c.p., anche due soli episodi di minaccia o di molestia, se abbiano indotto un perdurante stato di ansia o di paura nella vittima, che si sia vista costretta a modificare le proprie abitudini di vita.[:]

© Copyright - Martignetti e Romano - P.Iva 13187681005 - Design Manà Comunicazione Privacy Policy Cookie Policy