Il Consiglio di Presidenza della Giustizia Amministrativa (CPGA) nella seduta del 25 marzo 2021 ha approvato una delibera sull’uso dei mezzi di comunicazione elettronica e dei social network da parte dei magistrati amministrativi.

L’adozione del provvedimento è conseguenza della presa d’atto dell’estrema rilevanza che i social network hanno assunto nella formazione dell’immagine pubblica di persone, enti ed istituzioni. Questa caratteristica, che il provvedimento definisce “eternità mediatica”, può dare luogo a strumentalizzazioni e ad usi fuori contesto di questi contenuti che può ripercuotersi - nel caso dei magistrati - sulla stessa fiducia dei cittadini nelle istituzioni giudiziarie.

La delibera del CPGA, oltre a dettare norme specifiche per i magistrati, pone l'enfasi su due aspetti fondamentali, che interessano non soltanto i giudici amministrativi ma tutti i cittadini e gli enti che partecipano alle reti sociali. 

Il primo è l'affermazione di un vero e proprio diritto/dovere di ricevere una formazione specifica sui rischi e le opportunità connesse all'uso dei social, necessaria per permetterne un uso consapevole.

Il secondo, connesso al primo, è l'importanza di un uso adeguato delle impostazioni di sicurezza e privacy delle piattaforme di social media, per minimizzare i dati personali diffusi, anche involontariamente, attraverso questi strumenti. 

Per un commento più approfondito del provvedimento, rinviamo all'articolo pubblicato dall'avv. Francesco Foltran nel magazine online SmartIUS.

La diffusione del covid-19 nel mondo sta portando a conseguenze e scenari non paragonabili ad eventi del passato, mettendo a dura prova l’organizzazione dei sistemi sanitari ed i protocolli sanitari e di protezione civile dei Paesi colpiti.

Le misure di distanziamento sociale e blocco delle attività produttive adottate nel tentativo di rallentare la curva dei contagi si sono rivelate efficaci, ma hanno prodotto un blocco di molti settori dell’economia, mettendo a dura prova le imprese ed i lavoratori.

Poiché tali misure, che si risolvono in una compressione delle più importanti libertà fondamentali riconosciute agli individui, non sono sostenibili sul lungo periodo, molti Stati tra i quali l’Italia stanno mettendo a punto dei provvedimenti (la cosiddetta “Fase 2”) che permetta un parziale ritorno alla normalità e la ripresa delle attività economiche con le precauzioni necessarie a limitare la propagazione del coronavirus.

Nei mesi di febbraio e marzo molti Paesi hanno iniziato a sviluppare applicazioni per contrastare la diffusione del virus come la Cina, Corea del sud, Spagna, Francia e Italia.

Con ordinanza-ingiunzione del 15 gennaio 2020 l’Autorità Garante per la protezione dei dati personali ha inflitto ad un ente locale pugliese una sanzione di 10.000 euro per illecito trattamento di dati personali, consistente nella pubblicazione nell’albo pretorio online di un provvedimento amministrativo contenente dati relativi alla condizione di salute dell’interessato.

Si tratta di uno dei primi provvedimenti con il quale il Garante ha sanzionato un ente locale per violazione delle disposizioni in materia di trattamento dei dati personali.

In particolare, oggetto della pubblicazione era una determinazione dirigenziale con la quale era stata disposta la liquidazione delle spese legali per un procedimento giudiziario in cui era stato parte l’ente locale e nella parte motiva risultavano riportati anche dati e informazioni personali dell’interessato, con dettagliati riferimenti alle relative infermità per cause di servizio.

Il Garante ha ritenuto che la pubblicazione del provvedimento costituisse una illecita diffusione di dati personali relativi alla salute dell’interessato, effettuata in violazione del principio di minimizzazione, poiché il provvedimento conteneva dati personali non strettamente necessari alle finalità del provvedimento e in violazione del principio di limitazione del trattamento, essendo la delibera rimasta pubblicata oltre il periodo di pubblicazione previsto dalla legge.

Il 29 luglio 2019 è stata pubblicata la sentenza della Corte di Giustizia nel caso Fashion ID GmbH & co. KG (C-40/2017) relativa all’interpretazione della direttiva 95/46/CE sulla protezione dei dati personali.

La Corte, in particolare, è stata chiamata a pronunciarsi sulla qualificazione da attribuire al gestore di un sito web che abbia incorporato nelle proprie pagine un plugin di terze parti (nel caso di specie: il pulsante Like di Facebook) che raccolga e comunichi i dati personali dei visitatori allo sviluppatore del componente.

La questione era stata sollevata nell’ambito di un’azione promossa da una associazione di consumatori tedesca volta a far accertare l’abusività della condotta tenuta dalla società Fashion ID, la quale aveva implementato sul proprio sito il plugin di Facebook per l’inclusione del pulsante “Mi Piace”. Tale componente trasmetteva a Facebook i dati personali degli utenti che visitavano il sito web, senza acquisire il consenso né informare gli interessati sull’esistenza del trattamento e sulle sue finalità.

In due conclusioni pubblicate il 10 gennaio, l’Avvocato Generale Szpunar si è espresso in merito all’ampiezza dell’obbligo di deindicizzazione gravante sui motori di ricerca ai sensi della Direttiva 95/46/CE. Nel primo caso (G.C. e a. / CNIL, causa C-136/17), l’Avvocato Generale ha affermato che il divieto di trattare dati di natura delicata imposto al gestore di un motore di ricerca obbliga quest’ultimo ad accogliere sistematicamente le domande di deindicizzazione.

Con provvedimento del 15 novembre n. 481, il Garante per la protezione dei dati personali ha rivolto un formale avvertimento all’Agenzia delle Entrate in merito ai “rischi elevati per le libertà e i diritti degli interessati” derivanti dal regime di fatturazione elettronica che diverrà operativo dal 1° gennaio 2019. Il Garante evidenzia come l’estensione dell’obbligo di fatturazione elettronica anche alle operazioni B2C, per quanto disposto dall’Agenzia nei provvedimenti n. 89757/2018 e n. 291241/2018, si pone in contrasto con la normativa in materia di protezione dei dati personali sotto più profili.

Nell'ambito della partnership Coldiretti Veneto-BM&A, si è svolto a Campagna Lupia il 24 ottobre un nuovo incontro formativo dedicato a tutto tondo ai temi del digitale. Protagonista particolarmente attivo ed attento un nutrito gruppo di imprenditrici di Coldiretti Venezia, che hanno discusso ed approfondito con l'avv. Sara Gobbato alcuni temi chiave: ecommerce, pubblicità online ed il nuovo quadro normativo in materia di protezione dei dati personali.

L’8 ottobre il Garante per la Protezione dei Dati Personali ha pubblicato i propri chiarimenti in merito all’obbligo di tenuta del registro delle attività di trattamento da parte di imprese ed organizzazioni con meno di 250 dipendenti.

In generale, ai sensi dell’art. 30 GDPR, “[o]gni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità”. Il GDPR prevede una deroga, al suddetto obbligo, in favore delle imprese o organizzazioni con meno di 250 dipendenti.

Con provvedimento del 26 luglio 2018, il Garante per la protezione dei dati personali ha ingiunto a Fastweb di pagare una sanzione di 600.000 euro per pratiche di marketing – in specie tramite telefono – contrarie all’art. 164-bis del Codice della Privacy (D.lgs. 196/2003). Il Garante ha contestato a Fastweb cinque violazioni:

1. violazioni dell’art. 23 e dell’art. 130, co. 3 del Codice per l’accertata mancanza del consenso degli interessati (prospect ed ex-clienti Fastweb) rispetto al trattamento dei dati personali per finalità di marketing;
2. violazione dell’art. 13 del Codice per la carente informativa fornita agli interessati, al momento del perfezionamento della proposta d’acquisto, con particolare riferimento alla profilazione a cui sarebbero stati sottoposti (i prospect ed ex-clienti venivano suddivisi in categorie “anziani”, “basso spendenti”, “alto spendenti”);
3. violazione dell’art. 23 del Codice per la mancata acquisizione di un distinto consenso marketing ai fini della profilazione degli interessati;
4. violazione dell’art. 37 del Codice per l’incompleta notificazione al Garante dei dati oggetto di profilazione;
5. violazione dell’art. 164-bis, co. 2 del Codice per aver posto in essere le violazioni a), b), c), e d) in relazione a “banche dati di particolare rilevanza e dimensioni”.

Il gestore di un sito web può rifiutare di fornire un servizio all’utente che neghi il consenso a ricevere messaggi promozionali, a condizione che l’utente possa fruire di valide alternative disponibili sul mercato "senza gravoso sacrificio". Ad affermarlo è la Cassazione Civile che, nella sentenza n. 17278/2018, chiarisce altresì che – ai sensi del Codice privacy e del Regolamento (UE) 2016/679 – ad essere vietato “è utilizzare i dati personali per somministrare o far somministrare informazioni pubblicitarie a colui che non abbia effettivamente manifestato la volontà di riceverli”.

La pronuncia sorge dal ricorso presentato da un operatore web nei confronti del provvedimento n. 427/2014, con il quale il Garante per la protezione dei dati personali aveva accertato l’illiceità delle modalità di raccolta del consenso per finalità di marketing in sede di iscrizione ad una newsletter di contenuto informativo.