Graduatorie dei docenti e (mal)trattamento dei dati personali

Si apprende da notizie di stampa che le prime graduatorie provinciali per le supplenze (GPS) registrano numerosi casi di attribuzione di punteggi fortemente anomali. Analoghe indicazioni allarmate provengono da associazioni sindacali.

Ebbene, se quanto esposto trovasse conferma – e sussiste ampia evidenza in senso positivo – saremmo ancora una volta dinanzi a un clamoroso e vasto caso di (mal)trattamento dei dati personali dei docenti da parte del Ministero.

Il lettore ricorderà infatti i recenti episodi di gestione delle procedure di mobilità del personale docente attraverso algoritmi interamente automatizzati, in contrasto con la normativa sulla protezione dei dati personali (per approfondimenti sia permesso rimandare a E. PELINO, Decisioni interamente automatizzate nella P.A.: lecite alla luce del GDPR?).

Certo, la vicenda attuale presenta differenze e non abbiamo indicazione (al momento) del ricorso a processi interamente automatizzati. Non c’è dubbio, tuttavia, che la formazione di graduatorie e l’attribuzione di punteggi a persone fisiche rientri, a pieno titolo, nell’alveo tutelato dalla normativa sulla protezione dei dati personali, dunque innanzitutto sia riconducibile al “GDPR” (reg. UE 2016/679) e al Codice privacy (d.lgs. 196/03).

Ebbene, quali sono i vantaggi di una lettura della caos graduatorie in chiave privacy?

Sono di natura strategica. Sovente infatti si tende a seguire solo la classica strada del processo amministrativo, non tenendo conto (anche all’interno di un disegno sinergico) dei notevoli strumenti di intervento offerti al docente anche dal GDPR e dal Codice privacy, come pure delle nette conseguenze giuridiche sostanziali connesse con il trattamento in violazione della suddetta normativa: l’inutilizzabilità dei dati personali, con tutti i necessari corollari.

Se ti trovi nella situazione descritta e vuoi saperne di più o se, da collega amministrativista, vuoi esplorare i vantaggi di una sinergia in chiave di protezione dei dati personali, puoi contattaci senza impegno ai recapiti di studio, saremo lieti di fornirti riscontro.

Covid e protezione dei dati personali: quali diritti puoi far valere

Una domanda che viene frequentemente posta è la seguente: “Mi sono sottoposto a tampone diagnostico per rilevare possibile infezione da Covid-19 o a test sierologico ma non ho ancora ricevuto il risultato. Come mi tutela la normativa?

Il quesito appare legato a una non sempre ottimale organizzazione a livello istituzionale delle attività di contrasto al coronavirus (Sars-CoV-2) e di gestione dei correlati test sanitari.

Ad esempio, ha avuto risonanza giornalistica il caso dei turisti rimasti bloccati per alcuni giorni nel resort Santo Stefano in Sardegna, in seguito all’emersione di un focolaio virale. Ebbene, nonostante il passaggio di un significativo lasso di tempo dall’effettuazione dei tamponi, alcuni turisti lamentano di non avere ancora ricevuto il risultato delle analisi.

Indicano anche che una sintesi degli esiti sarebbe stata invece comunicata dalle Autorità (secondo modalità e basi giuridiche tutte da verificare) ai titolari della struttura in cui hanno alloggiato.

Il caso del resort sardo rappresenta del resto solo un campione di una più vasta situazione di inefficienze che emerge “a macchia di leopardo” sul territorio nazionale ed è stata oggetto di segnalazioni o di servizi giornalistici.

Si ravvisa in definitiva un’esigenza fortemente avvertita da chi si è sottoposto a esami diagnostici di riappropriarsi del controllo delle proprie informazioni sanitarie, ossia di acquisire senza ritardo, in maniera completa e trasparente gli esiti di tamponi e degli esami sierologici, così come, parallelamente, di comprendere l’esatto ambito di circolazione delle informazioni che lo riguardano.

Da un lato, infatti, ritardi nella comunicazione degli esiti possono determinare gravi situazioni di frizione sociale e notevoli limitazioni nella libertà personale, costringendo chi è in attesa dei risultati o a periodi di quarantena che potrebbero non essere necessari o, in difetto, a esporre terzi a rischio. Dall’altro lato, la comunicazione illegittima dei risultati dei test o perfino la diffusione dei loro esiti può esporre il paziente a discriminazione, a stigma sociale, a danni lavorativi.

La legittima richiesta di rientrare nel pieno controllo delle informazioni che ci riguardano, tanto più quelle di carattere medico, è ben tutelata normativamente dal Reg. (UE) 2016/679, cd. “GDPR”, sulla protezione dei dati personali.

Si può aggiungere al quadro appena delineato che esiste anche un interesse pienamente tutelato di conoscere la sorte delle proprie autocertificazioni eventualmente consegnate alle Autorità durante il periodo di lockdown. Di conoscere, più esattamente, se i dati ivi contenuti siano stati effettivamente cancellati o, viceversa, le ragioni per cui vengano tuttora trattati.

Non è un punto da sottovalutare: le autocertificazioni presentano infatti un ricco campione di dati personali, anche di natura relazionale, e inoltre, proprio in quanto autocertificazioni, costituiscono fonte di responsabilità giuridica. È del tutto comprensibile perciò pretendere di capire che genere di gestione abbiano avuto.

La normativa sulla protezione dei dati personali costituisce, come si è detto, il principale e più efficace strumento giuridico per far valere i tuoi diritti e pretendere e ottenere informazioni precise e chiare sia sul contenuto completo degli esami sia sulla circolazione dei relativi esiti sia sulla gestione delle autocertificazioni rilasciate durante il lockdown.

Si tratta di tuoi diritti fondamentali, e possiamo aiutarti a esercitarli. Nel caso di violazioni che abbiano determinato un danno hai altresì titolo a ottenere risarcimento.

I cookie wall e il consenso per scrolling

Le “novità” introdotte dalle linee guida europee 5/2020 dei Garanti europei sul consenso “privacy” riguardano essenzialmente:

    • il riconoscimento dell’incompatibilità con il GPDR dei cd. “cookie wall
    • l’altrettanta invalidità di consensi “privacy” espressi per mero scroll o swipe

Il cookie wall è in sostanza il tradizionale banner che come un muro, di qui la denominazione, permette l’accesso a un sito solo se l’utente esprime in blocco il consenso all’installazione dei cookie.

Viene qui violato il principio della libertà del consenso.

Neppure sono quindi più valide forme di consenso “privacy” manifestato con la semplice prosecuzione della navigazione. Occorre perciò evitare espressioni frequenti nella prassi quali per esempio: “Proseguendo la navigazione accetti l’installazione di cookie” e similari.

Viene qui qui violato il principio di inequivocabilità del consenso.

In realtà, la contrarietà a diritto di cookie wall e di accettazione per mero swipe e scroll appariva già chiara da molto tempo, non può cioè considerarsi una reale novità giuridica.

Derivano dall’analisi delle linee guida europee implicazioni giuridiche sottili e complesse, ad esempio in termini di responsabilità o di manifestazioni valide del consenso. Per un approfondimento da parte dell’avv. Enrico Pelino cfr.:

 

 

Ancora sul personal data breach INPS

Il doppio personal data breach INPS è stato già oggetto di un breve approfondimento, che può essere letto qui.

In sostanza, è emerso che:

    1.  gli eventi di violazione sono ben due;
    2.  le persone fisiche che hanno subito le violazioni centinaia;
    3.  la gravità del rischio per gli interessati è stata sottostimata dall’INPS;
    4.  le categorie di dati personali pregiudicate riguardano anche dati altamente personali e dati sensibili;
    5.  sono state colpite anche categorie vulnerabili di soggetti, come minori e portatori di disabilità.

Dunque un quadro serio, che può ben determinare responsabilità risarcitoria in capo all’INPS. Il risarcimento del danno “privacy” richiede una serie di condizioni giuridiche per essere configurabile, sulle quali il nostro studio è lieto di fornire assistenza. Chiedici gratuitamente un preventivo.

Sui due data breach INPS, l’avv. Enrico Pelino è stato intervistato il 26 maggio 2020 da Ius Law web radio, la radio dell’avvocatura. Per ascoltare l’intervista, clicca qui (verrai rimandato direttamente sul sito della radio dell’avvocatura).

FAQ Personal data breach INPS – Che cosa sapere, che cosa fare

Tra il 1° e il 2 aprile 2020 (ma verosimilmente già dal 31 marzo) si sono verificati ben due imponenti personal data breach (violazioni di dati personali) nella piattaforma INPS predisposta per chiedere i bonus disposti dal d.l. 17 marzo 2020, n. 18 in materia di Covid-19.

In particolare, le due violazioni hanno riguardato:

    • I dati personali di soggetti richiedenti il bonus attraverso portale INPS;
    • I dati personali di soggetti che hanno presentato richiesta dello specifico “bonus baby-sitting”

Le violazioni hanno permesso a un elevato numero di utenti di conoscere dati personali di altri soggetti che hanno utilizzato il portale INPS. Alcune di queste informazioni risultano poi essere circolate perfino sui canali social (es. Facebook, Twitter).

Tra le categorie di dati personali figurano, tra le altre, informazioni identificative e di contatto, inclusi numeri di telefoni cellulari, dichiarazioni ISEE, dichiarazioni connesse con lo stato di disoccupazione, il fascicolo previdenziale, certificati di malattia e, riguardo al secondo episodio di violazione, anche informazioni relative a minori e a interessati in condizione di disabilità.

Il Garante ha rilevato:

    • sussistere difformità, da ritenersi grave, tra le dichiarazioni di cui ha ricevuto notifica dall’INPS e la realtà effettiva del personal data breach;
    • sussistenza della probabilità di un rischio elevato per le vittime dei due personal data breach.

Pubblichiamo qui alcune brevi informazioni che lo studio legale Grieco Pelino Avvocati ha predisposto in forma di FAQ, per fornire pratici chiarimenti e indicazioni a coloro che ne sono stati vittime.

A) Ho ricevuto la comunicazione con cui sono stato informato dall’INPS di essere vittima di una violazione dei dati personali. Che cosa significa?

Significa che una violazione di sicurezza ha compromesso la riservatezza dei tuoi dati, rendendoli accessibili a terzi. La comunicazione che l’INPS ti ha inviato costituisce un obbligo di legge a tua garanzia, previsto da una disposizione europea, l’art. 34 GDPR (regolamento UE 2016/679). Il Garante per la protezione dei dati personali ha espressamente prescritto all’INPS di provvedere alla comunicazione della violazione a tutti gli interessati entro 15 giorni dal provvedimento del 14 maggio 2020, dunque entro il 29 maggio 2020.

B) Non ho ricevuto la comunicazione di cui sopra da parte dell’INPS. Potrei essere stato ugualmente vittima del personal data breach?

Non si può escludere che tu sia stato ugualmente vittima dell’evento. Con riferimento al primo personal data breach, il Garante ha per esempio contestato la sussistenza di un numero di soggetti colpiti dalla violazione maggiore di quello dichiarato dall’INPS. Puoi rivolgere una richiesta di accesso ai dati personali all’INPS e ottenere conferma oppure smentita del tuo coinvolgimento nell’evento. Possiamo assisterti in questa attività, se lo desideri.

C) Ho ricevuto la comunicazione o sono comunque vittima del personal data breach. Che cosa devo fare?

L’INPS è tenuto a indicarti che cosa devi fare. In particolare deve comunicarti:

      • la natura della violazione dei dati (ivi inclusa la tipologia dei tuoi dati personali oggetto di violazione, elemento questo direttamente collegato con il rischio);
      • un punto di contatto (DPO o altro) a cui hai il diritto di chiedere (e ottenere) informazioni precise e ulteriori aggiornamenti;
      • le probabili conseguenze della violazione che hai subito (es. furto o abuso d’identità, violazione di codici di accesso, indebiti utilizzi dei tuoi dati personali, ecc.);
      • le misure adottate o da adottare per attenuare/eliminare le conseguenze negative del personal data breach.

Lo scopo di questa comunicazione, che non deve essere un atto di mera forma, è di permetterti di comprendere che tipo di violazione hanno effettivamente subito i tuoi dati, che cosa devi verosimilmente temere, come l’INPS sta provvedendo alla soluzione/mitigazione degli effetti negativi e come tu stesso puoi provvedere alla soluzione/mitigazione degli effetti negativi.

In ogni caso, possiamo assisterti in questa fase.

D) Ho subito un danno in conseguenza del personal data breach. Che cosa devo fare?

Se hai subito un danno in conseguenza del personal data breach, potresti avere diritto al risarcimento del danno patito. Il risarcimento può essere chiesto unicamente all’Autorità giudiziaria (Tribunale).

Costituiscono per es. danni: stato di ansia e di preoccupazione, perdite economiche, discriminazione, circolazione dei tuoi dati in rete senza controllo, esclusione dalla presentazione della domanda in quanto la stessa risultava già depositata, ecc.

Se desideri ricevere assistenza sui tuoi diritti o ritieni di avere subito un danno o di voler procedere comunque in via amministrativa nei confronti dell’INPS, puoi contattarci senza impegno ai recapiti di studio, saremo lieti di fornirti supporto.

Applicazioni di tracciamento anti-Covid19 e data protection

Dal mese di marzo 2020, si è aperto anche in Italia un acceso dibattito sull’architettura, sulle garanzie e sui requisiti che le app di tracciamento dei contagi devono soddisfare.

Il nostro studio legale ha partecipato attivamente all’individuazione dei profili giuridici. Ci piace fornirne una sintesi, ritenendola di interesse.

La lettera aperta del 25 marzo

Il 25 marzo scorso, in particolare, abbiamo indirizzato a vari soggetti istituzionali una lettera aperta, scritta assieme al collega Andrea Lisi, alla quale hanno aderito primari colleghi ed esperti della materia.

In quell’occasione abbiamo evidenziato come fosse necessario distinguere tra una finalità di ricostruzione dei contatti (contact-tracing) e una finalità repressiva di sorveglianza della quarantena.

Abbiamo anche evidenziato che il raggiungimento degli obiettivi di ricostruzione dei contatti dipendono dalla disponibilità immediata di tamponi. Dunque l’analisi privacy non può essere disgiunta dal programma di diagnosi, e quest’ultimo dovrebbe entrare nella valutazione d’impatto (DPIA).

Si rimanda, per maggiori approfondimenti, al testo della lettera (qui il pdf dal sito di Anorc).

Il Garante per la protezione dei dati personali, gentilmente rispondendoci nella persona del presidente Soro, ha sostanzialmente confermato la correttezza di entrambi questi punti fondamentali, pur non giungendo a pronunciarsi espressamente in merito alla DPIA.

Dieci domande (senza risposta) al Ministro

Il 17 aprile 2020, abbiamo rivolto pubblicamente dieci domande al Ministro per l’innovazione digitale, a firma congiunta dell’avv. Pelino e del collega Fulvio Sanzana di Sant’Ippolito (con un contributo di Roberto Scano).

La richiesta è stata gentilmente ospitata da una testata di primo piano, Agenda Digitale, ed è leggibile qui.

Tra le richieste, figura quella di avere informazioni sulla DPIA, sulla pseudonimizzazione, sulle categorie di dati personali trattati, sulla loro circolazione, sull’interazione con la piattaforma progettata da Google ed Apple.

Sono domande essenziali, che, sfortunatamente, attendono ancora una risposta istituzionale. La valutazione d’impatto, per esempio, deve ritenersi obbligatoria, dal momento che ricorrono ben cinque delle condizioni esaminate nelle linee guida europee dell’EDPB/WP29. Ne sarebbero sufficienti due.

È appena il caso di notare che la DPIA dovrebbe precedere la progettazione e certamente l’implementazione di un’applicazione di tracciamento. Le linee guida richiamate indicano espressamente: “La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento anche se alcune delle operazioni di trattamento non sono ancora note”.

Non solo. Le recentessime linee guida n. 4/2020 dell’EDPB ribadiscono come “debba essere effettuata una valutazione d’impatto [DPIA] sulla protezione dei dati prima di implementare le app in questione”.

Ad oggi non abbiamo alcuna notizia sul rispetto di questo fondamentale adempimento, che, lungi dall’essere un esercizio di forma, costituisce il momento in cui si disegna l’architettura del trattamento. Con una metafora: è come cominciare a edificare una casa senza avere fatto il progetto.

Una nuova lettera aperta

Il 25 aprile 2020, l’avv. Enrico Pelino ha sottoscritto, con i colleghi Andrea Lisi e Fulvio Sarzana di Sant’Ippolito, un’ulteriore lettera al Ministro per l’innovazione tecnologica e la digitalizzazione, chiedendo trasparenza.

Qui la notizia, mentre il pdf della lettera può essere scaricato da questa pagina.

Trasparenza su che cosa? Sulle procedure di selezione dell’applicazione, sui verbali della task force (al momento non accessibili, se non per esiguo estratto), sul contratto con il fornitore (idem), sulla DPIA (ancora), sui flussi di dati personali, sulle categorie degli stessi, sulla pseudonimizzazione.

Abbiamo cioè chiesto di trasformare quella che oggi è a tutti gli effetti una black box in una scatola di cristallo. Non si può chiedere fiducia ai cittadini e invitarli a utilizzare un’applicazione sulla quale si addensa il più fitto mistero istituzionale. Chi domanda fiducia deve insomma fornire trasparenza: prima ancora che un obbligo giuridico, questo è un imperativo istituzionale.

Ad oggi la lettera aperta, nonostante abbia ricevuto amplissima adesione da parte di esperti e studiosi di primissimo livello, tra i quali l’ex presidente del Garante per la protezione dei dati personali, prof. Pizzetti, non ha meritato alcuna risposta.

Vi terremo aggiornati sugli sviluppi.

Le sanzioni nell’era del GDPR: decine di milioni di euro

Gennaio 2020. Il Garante per la protezione dei dati personali ha cominciato a pubblicare le prime ordinanze-ingiunzioni “di peso” comminate a soggetti privati ai sensi del GDPR.

Complessivamente 11,5 milioni di euro nei confronti di Eni Gas e Luce e 27,8 milioni di euro nei confronti di TIM.

Alla prima società è stata contestata attività di telemarketing in carenza di presupposti normativi e la conclusione di contratti all’insaputa degli interessati.

Alla seconda una serie di carenze, perfino dolose, nell’attività di telemarketing, nella gestione della complessiva filiera dei responsabili del trattamento, nell’acquisizione del consenso.

Addirittura, risultava richiesto un unico consenso per più finalità: una violazione per così dire “basilare”, completamente inammissibile già nel sistema previgente al GPDR, eppure replicata.

Per un approfondimento

La mia intervista alla radio dell’avvocatura IusLaw Web Radio condotta dal collega Angelo Marzo sulla sanzione nei confronti di TIM.

Un’intervista più articolata con il collega Elia Barbujani alla stessa radio sui provvedimenti del Garante nei confronti di Eni Gas e Luce.  

Data breach e privacy-by-design

Che cos'è la privacy-by-design e come si inserisce virtuosamente nel complesso tema della prevenzione di un (personal) data breach?

I due argomenti evocati sono entrambi attualissimi e destinati ad avere uno sviluppo ancora più intenso nell'immediato futuro: soprattutto il primo, oggi ancora poco esplorato, che schiude anche notevoli prospettive lavorative.

Ne ho parlato come relatore su invito di Anorc Professioni il 6 giugno scorso allo SMAU di Bologna, edizione R2B - Reasearch to Business. Di seguito una breve sintesi del mio intervento.

Leggi tutto "

Data breach e privacy-by-design

"

Protezione dei dati personali: torna l’interpello preventivo?

Il 9 maggio 2019 è entrato in vigore il nuovo – atteso – regolamento n. 1/2019 del Garante per la protezione dei dati personali sulle procedure interne a rilevanza esterna, dunque innanzitutto su quella di reclamo. Contestualmente, è entrato in vigore anche il gemello regolamento n. 2/2019.Restiamo tuttavia sul primo. La disciplina, di notevole interesse per il pratico, presenta profili di continuità ma anche elementi di novità rispetto al precedente regolamento n. 1/2007. In particolare, vogliamo qui concentrarci sull’istituto noto in passato come “interpello preventivo”. Ricordiamo che l’interpello preventivo andava esperito, nella regolarità dei casi, prima di procedere con ricorso al Garante, pena l’inammissibilità dello stesso.Ebbene, il punto interessante è il seguente: il nuovo regolamento n. 1/2019 ha reintrodotto oppure no l’interpello preventivo che era stato eliminato dalla normazione primaria? Come deve regolarsi oggi l’interessato che richieda tutela amministrativa?Prima di entrare nel vivo della questione, facciamo un rapido cenno al contesto, per fornire una cornice al ragionamento.Leggi tutto "

Protezione dei dati personali: torna l’interpello preventivo?

"

È lecita la videosorveglianza segreta da parte di un comune?

Ci è stata posta questa domanda a proposito di recenti notizie di stampa relative a un comune del bolognese, Anzola dell’Emilia. La vicenda tocca evidenti profili privacy di interesse generale che trascendono l'episodio specifico. Riteniamo perciò utile pubblicare la nostra valutazione.

Leggi tutto "

È lecita la videosorveglianza segreta da parte di un comune?

"