Riferimenti normativi: 11, 13, 23, 24 del Codice in materia di protezione dei dati; art 6, par 1, lettera da b) a f) e 60 del GDPR.
Fatto
A seguito di un’operazione di acquisizione da parte di una Società operante nel campo dei social network (Facebook) di un’applicazione di messaggistica (WhatsApp), l’Autorità garante per la protezione dei dati personali aveva avviato un’istruttoria nei confronti di entrambe Società per determinare la correttezza del trattamento dei dati posto in essere in fase di acquisizione.
Infatti, a seguito dell’avvenuto passaggio di proprietà, l’applicazione di messaggistica aveva apportato delle modifiche in ordine ai termini e all’informativa sulla privacy dei propri servizi, finalizzate a rendere accessibili alla nuova Società proprietaria dell’app una serie di informazioni concernenti i singoli account degli utenti. Il nuovo trattamento di cui si richiedeva il consenso avrebbe avuto quale finalità quella di (i) Business Analysis Analytics (attività di de-duplicazione degli account sulle varie app appartenenti al nuovo gruppo facente capo alla Società gestrice del social network allo scopo di individuare gli utenti attivi su di esse, attività di analisi della frequenza e delle caratteristiche di utilizzo delle applicazioni condotta su base anonima e aggregata); (ii) System Security Purpose (sicurezza e antispam che permetteva all’app di messaggistica di condividere e ricevere informazioni relative ad account abusivi, pericolosi o illeciti che fossero attivi nelle società del gruppo societario); (iii) Targeted Advertising Purpose (utilizzo dei dati degli utenti dell’app per promuovere prodotti e inserzioni pubblicitarie sul social network).
Proprio in riferimento a quest’ultima finalità – promozione prodotti e inserzioni pubblicitarie – WhatsApp aveva richiesto ai propri utenti di manifestare la propria adesione alla comunicazione dei dati a Facebook entro 30 giorni, specificando, altresì, che l’eventuale diniego avrebbe comportato l’interruzione del servizio di messaggistica.
A fronte delle modifiche apportate ai termini ed all’informativa sulla privacy l’app aveva messo a disposizione degli utenti due opzioni per manifestare il proprio consenso, la prima opzione era rappresentata da un apposito campo contenente l’indicazione “accetto”, la seconda era rappresentata da un link “leggi”. Questo link consentiva di accedere ad una schermata denominata “aggiornamenti chiave” dove l’utente poteva consultare il documento relativo all’informativa privacy. In questa schermata risultava essere già preselezionata l’opzione che permetteva di condividere le informazioni del proprio account di messaggistica, fatta eccezione del numero di cellulare e delle chat, con il social network.
Nel corso dell’istruttoria operata dal Garante entrambe le Società avevano fornito delucidazioni, e la Società di messaggistica aveva fornito delle precisazioni in ordine alla categoria di dati che sarebbero stati forniti alla nuova Società proprietaria, tra cui il numero telefonico dell’utente, codici di rete e nazionalità del dispositivo, informazioni sulla piattaforma, la versione dell’applicazione utilizzata e flags per permettere il rilevamento dell’accettazione dell’aggiornamento e delle scelte di controllo fatte, le informazioni sull’ultimo accesso dell’utente, la data di registrazione dell’account sull’app di messaggistica.
La decisione del Garante
Al termine dell’istruttoria il Garante si è espresso negativamente sul trattamento dei dati personali operato dalle Società, ritenendo lo stesso illecito perché posto in violazione della normativa in materia di privacy.
Il Garante in primo luogo si è soffermato ad analizzare l’informativa data agli utenti e relativa alla comunicazione dei dati forniti a terzi (la Società acquirente infatti appare come terzo, essendo entrambe autonomamente titolari dei dati). L’informativa, secondo il giudizio del Garante, era priva degli elementi essenziali e tassativi previsti dal codice privacy. In particolare non veniva fornito all’interessato l’elemento sostanziale che aveva reso necessario modificare le informazioni agli interessati, vale a dire la condivisione con Facebook dei dati relativi all’account di WhatsApp, ma si limitava a comunicare un generico cambiamento della c.d privacy notice. Non venivano, poi, indicate in modo preciso e chiaro né i dati oggetto di trattamento né le finalità dello stesso, in particolare quelle di carattere pubblicitario.
Anche con riguardo al consenso il Garante si è espresso negativamente, rilevando che questo non poteva considerarsi espressamente, specificatamente e liberamente manifestato. Questo perchè veniva richiesto attraverso un modello con casella già fleggata, sia perché il mancato consenso aveva come conseguenza l’interruzione di un servizio ormai divenuto di generale utilizzo.
In ultimo il Garante si è espresso in ordine al legittimo interesse, chiamato in causa dalle due Società in fase di istruttoria, le quali avevano sostenuto che non era necessario ottenere un consenso specifico da parte degli utenti potendosi fondare su basi giuridiche alternative, come, appunto, gli interessi legittimi. Sul punto il Garante ha negato che nel caso di specie fosse configurabile il legittimo interesse, in quanto non solo non era stata avviata la procedura di bilanciamento degli interessi coinvolti a cura dell’Autorità stessa, ma non erano stati comunque forniti idonei elementi di valutazione per poter verificare se il trattamento perseguisse effettivamente il legittimo interesse dichiarato, come la sicurezza, o se fosse necessario per la realizzazione dell’interesse, cioè contribuisse alla sua realizzazione, meglio di altre possibili soluzioni meno invasive, o se tale trattamento, oltre ad essere idoneo e necessario, fosse finalizzato alla produzione di un beneficio nella realizzazione del legittimo interesse la cui importanza sia superiore allo svantaggio arrecato agli interessati.
In ordine a quest’ultimo aspetto analizzato il Garante si è poi riservato di valutare insieme all’Autorità di controllo capofila (art 60 e ss. del GDPR) la corretta applicazione della disciplina laddove la Società di messaggistica intendesse effettuare i trattamenti dei dati a prescindere dal consenso, invocando le diverse basi giuridiche in alternativa al consenso a norma del nuovo GDPR.
Volume consigliato
Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)
Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere? Qual è la posizione del DPO nell’ente/azienda? Quali sono i suoi compiti?Aggiornata al D.lgs. del 10 agosto 2018, n. 101 in materia di privacy, questa pratica Guida risponde alle domande sopra enunciate e fornisce un’analisi dei compiti e dei margini di attività della nuova figura del “Responsabile dei dati personali” (anche noto come DPO, acronimo di Data Protection Officer), in considerazione degli adempimenti che imprese e soggetti pubblici devono affrontare per effetto del Regolamento UE 2016/679.Il testo è strutturato in numerosi quesiti di taglio pratico, ai quali l’autore fornisce una soluzione sulla scorta del testo normativo, delle linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) e delle più recenti indicazioni fornite dal Garante della Privacy.Stefano ComelliniAvvocato in Bologna, patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, Diritto dell’In- formatica e delle Telecomunicazioni nonché della disciplina della Privacy. E’ iscritto nell’elenco dei rappresentanti presso la EUIPO (Ufficio dell’Unione Europea per la proprietà intellettuale). Relatore in convegni, è particolarmente attivo sui social network, dove svolge attività di divulgazione giuridica. Nel 2002, il sito www.comellini.it, da lui cu- rato, ha ottenuto, dalla giuria di “Italex Award 2002 – il premio per i migliori siti giuridici italiani”, il riconoscimento di migliore studio legale online.Soluzioni di Diritto è una collana che offre soluzioni operative per la pratica professionale o letture chiare di problematiche di attualità. Uno strumento di lavoro e di approfondimento spendibile quotidianamente.L’esposizione è lontana dalla banale ricostruzione manualistica degli istituti ov- vero dalla sterile enunciazione di massime giurisprudenziali.Si giunge a dare esaustive soluzioni ai quesiti che gli operatori del diritto incon- trano nella pratica attraverso l’analisi delle norme, itinerari dottrinali e giuri- sprudenziali e consigli operativi sul piano processuale.
Stefano Comellini | 2018 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento