Dati sensibili: un ambito di applicazione particolarmente ampio

Legal Watch n. 50 – agosto 2022.

Può essere difficile valutare se i dati raccolti sono sensibili o meno e decidere se tali dati richiedono una protezione specifica ai sensi del GDPR.

Abbiamo ripreso queste difficoltà interpretative nel nostro editoriale dello scorso febbraio.

La Corte di giustizia dell’Unione europea ha appena chiarito la portata della sentenza del 1° agosto 2022 della nozione di dati sensibili o, per essere più precisi, di categorie particolari di dati.

E secondo la Corte, tale ambito è particolarmente ampio.

Occorre ricordare che l'articolo 9 del GDPR si applica ai dati che rivelano la presunta origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché al trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

La sentenza in questione riguarda le disposizioni di una legge lituana volta a combattere la corruzione, che impone a determinati dipendenti del settore pubblico di dichiarare i propri interessi privati nonché informazioni sui coniugi e sui familiari, quasi tutte rese pubbliche su Internet.

A seguito dell'opposizione di una persona interessata da tale obbligo, la Corte è tenuta a pronunciarsi

• Sulla necessità della comunicazione on line dei dati relativi al coniuge
• Sulla questione se tali dati relativi al coniuge debbano essere considerati dati sensibili ai sensi dell'articolo 9 del GDPR, in quanto consentono di dedurre informazioni sull'orientamento sessuale delle persone interessate. La Corte ritiene, in primo luogo, che la diffusione online di tali dati non appaia necessaria per l'obiettivo perseguito di lotta alla corruzione, e poi precisa che la nozione di dati sensibili deve essere interpretata in senso ampio.

Finora sono rimasti alcuni interrogativi sulla differenza di terminologia utilizzata nella formulazione dell'articolo 9, per regolamentare i dati che da un lato "rivelano" opinioni politiche, appartenenza sindacale, ecc. o che dall'altro "riguardano" la salute o l'orientamento sessuale.

La Corte ritiene che tutte le categorie particolari di dati debbano essere interpretate in senso ampio, nel rispetto del contesto e delle altre disposizioni del GDPR.

Si tratta quindi, in questo caso, di dati idonei a rivelare, mediante un'operazione intellettuale di comparazione o di deduzione, l'orientamento sessuale di una persona fisica.

Questa sentenza potrebbe avere un impatto significativo sulla portata degli obblighi dei soggetti responsabili del trattamento dei dati “potenzialmente” sensibili.

La CNIL sembra aver avuto, fino ad ora, un’interpretazione più restrittiva di questi obblighi: ha indicato lo scorso gennaio che "il mero atto di fotografare o filmare un'immagine da cui è possibile che determinati elementi consentano di dedurre dati personali costituire dati sensibili non costituisce di per sé un trattamento di dati sensibili (…). Questo Soltanto se tali immagini vengono elaborate al fine di estrarre, interpretare o utilizzare tali dati sensibili, il trattamento sarà considerato rientrante nel regime di trattamento dei dati sensibili.

Un elemento determinante nel ragionamento della Corte sembra essere il fatto che i dati siano pubblicamente accessibili: da quel momento in poi chiunque può raccoglierli, dedurne informazioni sensibili e trattarli per una finalità del tutto estranea a quella originaria, con le conseguenze che si potrebbero temere per le persone interessate.

Va inoltre ricordato che le deduzioni tratte dai dati disponibili non devono essere corrette per rientrare nei requisiti del GDPR: ciò che conta, infatti, non è se le conclusioni siano valide o meno: deduzioni errate possono avere conseguenze ancora più dannose per gli interessati.

Si prevede che questa decisione avrà un impatto sui titolari del trattamento dei dati che elaborano dati su larga scala e profilano gli utenti di Internet, in particolare nel contesto dei social network, rendendo necessario il consenso esplicito.

Infine, aggiungiamo che le future normative sui servizi e sui mercati digitali prevedono il divieto di utilizzo di dati sensibili per la pubblicità mirata.

Considerando anche l'ampia interpretazione dei dati sensibili da parte della CGUE, possiamo prevedere una restrizione della pubblicità comportamentale a livello europeo più severa del previsto.

E anche

Francia:

ACCOR è stata appena multata di 600.000 euro per aver effettuato attività di prospezione commerciale senza il consenso delle persone interessate e per non aver rispettato i diritti dei clienti e dei potenziali clienti.

Nei moduli di prenotazione era presente di default un'opzione preselezionata che prevedeva l'invio automatico ai clienti di una newsletter contenente offerte commerciali dei partner.

La CNIL ha inoltre rilevato ripetute anomalie tecniche che hanno impedito a molte persone di rifiutare di ricevere messaggi.

La decisione della CNIL è stata subordinata a una procedura di cooperazione con le autorità degli altri paesi dell'UE in cui il gruppo ACCOR elabora dati, al termine della quale il Comitato europeo per la protezione dei dati ha ordinato alla CNIL di aumentare l'importo della sanzione affinché la misura adottata fosse più dissuasiva.

Tra gli elementi presi in considerazione vi sono il numero di violazioni, il fatto che tali violazioni riguardano diversi principi fondamentali della protezione dei dati personali e costituiscono una violazione sostanziale dei diritti delle persone, nonché il numero di persone interessate e la situazione finanziaria dell'azienda.

Ad agosto è diventato impossibile connettersi a France Connect con le credenziali Ameli., il pulsante di connessione è stato disattivato da Bercy.

La causa è la recrudescenza degli attacchi di phishing che utilizzano queste credenziali. La Direzione Generale delle Finanze Pubbliche starebbe lavorando per proteggere France Connect e prevede di trasferire gradualmente le procedure più sensibili, in particolare quelle che consentono l'accesso ai pagamenti finanziari, a servizi di identificazione più sicuri.

Il 25 agosto, la ONG noyb.eu ha presentato un reclamo contro Google alla CNIL.

Google è accusata di aver ignorato la sentenza della Corte di giustizia europea (CGUE) sulle e-mail di marketing diretto e di aver utilizzato la sua piattaforma di posta elettronica Gmail per inviare e-mail pubblicitarie indesiderate senza il valido consenso degli utenti.

Il gigante francese dell'adtech Criteo potrebbe ricevere una multa di 60 milioni di euro

nell'ambito di un'indagine avviata dalla CNIL.

Si tratta di una decisione preliminare, resa pubblica il 5 agosto dall'organizzazione che ha presentato la denuncia, Privacy International.

Europa:

Criticati i poteri di indagine dell'UE sullo spyware durante un'audizione parlamentare tenutasi martedì 30 agosto, durante la quale un rappresentante dell'Europol ha affermato che il mandato dell'agenzia si limita a supportare gli Stati membri che scelgono di avviare un'indagine.

Ad oggi, almeno 14 governi europei hanno acquistato spyware dal gruppo NSO, che ha creato lo spyware Pegasus, e gli esperti ritengono che molti altri fornitori operino nell'UE.

L'ex responsabile della sicurezza di Twitter, Peiter "Mudge" Zatko, ha intentato una causa contro l'azienda, la cui notizia è stata recentemente resa pubblica.

Il documento riporta una serie di accuse schiaccianti su questioni di sicurezza, privacy e protezione dei dati (tra le altre), nonché affermazioni secondo cui Twitter avrebbe tratto in inganno o avrebbe voluto trarre in inganno gli organi di controllo regionali in merito alla sua conformità alle leggi locali.

Il caso è stato preso in carico dalle autorità di vigilanza irlandesi e francesi.

La Commissione irlandese per la protezione dei dati ha inflitto alla piattaforma di social media Instagram una multa di 405 milioni di euro., di proprietà di Meta, per violazione del GDPR.

La sanzione è la seconda più elevata ai sensi del GDPR, dopo quella da 746 milioni di euro contro Amazon, e la terza imposta dall'autorità di regolamentazione irlandese a una società di proprietà di Meta.

La sentenza prende di mira la violazione della privacy dei minori da parte di Instagram, inclusa la pubblicazione degli indirizzi email e dei numeri di telefono dei minori.

Il tribunale regionale superiore di Colonia (OLG Köln) ha assegnato 500 euro a un individuo, a causa di del ritardo impiegato da un titolare del trattamento nel fornirgli le informazioni richieste ai sensi dell'articolo 15, paragrafo 1, del GDPR (tramite GDPRhub).

In un caso simile, l'Autorità Garante per la protezione dei dati personali italiana ha multato Deutsche Bank di 20.000 euro per non aver risposto tempestivamente alla richiesta di accesso dei dati di un interessato (tramite GDPRhub).

L'autorità greca per la protezione dei dati ha multato un centro diagnostico medico di 30.000 euro per ha violato il principio di integrità e riservatezza dei dati : il responsabile aveva perso le immagini della mammografia a causa di misure tecniche e organizzative insufficienti.

Oltre alla sanzione, l'Autorità Garante per la protezione dei dati personali ha ordinato al centro di comunicare la violazione agli interessati (tramite GDPRhub).

La Corte Suprema spagnola ha stabilito che l'esercizio dei diritti dell'interessato nei confronti del titolare del trattamento (articoli da 15 a 22 del GDPR) non è un prerequisito per la presentazione di un reclamo. presso un'autorità di protezione dei dati: quest'ultima può agire anche se l'interessato non ha prima contattato il titolare del trattamento (tramite GDPRhub).

In Svizzera entrerà in vigore il 1° settembre 2023 una nuova legge sulla protezione dei dati.

Alcuni commentatori osservano che diversi principi sarebbero meno restrittivi di quelli del GDPR, in particolare quelli relativi al consenso e al DPO.

I requisiti di sicurezza, d'altro canto, sono particolarmente dettagliati.

Internazionale:

Le entità europee possono rientrare nell'ambito di applicazione del Cloud Act, anche se si trovano al di fuori degli Stati Uniti, decide uno studio condotto da uno studio legale per conto della Ministero della Giustizia e della Sicurezza dei Paesi Bassi, reso pubblico il 26 luglio.

Le aziende europee potrebbero ridurre al minimo questo rischio costruendo una "muraglia cinese" con gli Stati Uniti, in particolare non impiegando alcun americano o non avendo clienti americani, il che potrebbe giustificare l'intervento degli Stati Uniti ai sensi del Cloud Act.

Tuttavia, anche questo scudo sarebbe insufficiente se l'entità utilizza tecnologie statunitensi, poiché il Cloud Act consente l'accesso ai dati tramite subappaltatori/fornitori di hardware e software, da/verso i provider cloud.

Queste scoperte hanno scatenato un dibattito su offerte come Bleu "Trusted Cloud" (tecnologie Microsoft offerte da Orange e Capgemini) e S3ns (tecnologie Google con Thales).

Negli Stati Uniti, Facebook ha accettato di raggiungere un accordo per lo scandalo Cambridge Analytica, che riguarda l'accesso ai dati privati di decine di milioni di utenti Facebook durante una campagna elettorale. Lo scandalo è scoppiato in seguito alle rivelazioni di un informatore di Cambridge Analytica all'Observer nel 2018, che avevano già portato Facebook a pagare una multa di miliardi di euro.

A Cuba la legge sulla protezione dei dati personali è stato pubblicato nella Gazzetta Ufficiale il 25 agosto. Entrerà in vigore 180 giorni dopo la sua pubblicazione.

La Russia ha modificato la propria legge sulla protezione dei dati in seguito alla firma della Convenzione 108+ del Consiglio d'Europa.

La nuova legge federale n. 266 del 14 luglio 2022 modifica sostanzialmente alcuni degli atti legislativi che regolano il trattamento dei dati personali in Russia e ora include l'obbligo di notifica delle violazioni dei dati.

Le crescenti tensioni politiche e di sicurezza tra Pechino e l'Occidente hanno spinto il Regno Unito a chiedere un revisione del trasferimento dei dati genetici alla Cina da un database biomedico contenente il DNA di mezzo milione di cittadini britannici.

Le migliori misure di sicurezza non proteggono dalle vulnerabilità dei subappaltatori.

Il 24 agosto Twilio ha segnalato che degli hacker erano entrati nei suoi sistemi.

Twilio fornisce servizi di verifica ai propri clienti, tra cui la società di messaggistica crittografata Signal.

Quando un utente registra il proprio numero di telefono, Twilio gli invia un SMS contenente un codice di verifica, che dovrà poi inserire in Signal.

Sebbene l'impatto su Signal e sui suoi utenti sia limitato a causa del modo in cui è progettato il servizio, questo è un avvertimento per qualsiasi piattaforma o servizio che potrebbe essere manipolato per trasmettere credenziali a un aggressore.

Google LLC multata di 60 milioni di dollari in Australia dollari per aver tratto in inganno i consumatori in merito alla raccolta e all'utilizzo dei loro dati personali sulla posizione sui telefoni Android.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali con il Garante europeo della protezione dei dati e ha lavorato per l'attuazione del GDPR nell'Unione Europea.