Il consenso è solo una fra le basi giuridiche che il GDPR prevede come condizione di liceità del trattamento. Esso non è, tuttavia, né la principale né, tantomeno, è indispensabile per legittimare ogni trattamento operato dall’organizzazione aziendale.

Se è vero che il vecchio Codice della privacy dava al consenso una particolare importanza al consenso, nel nuovo impianto normativo il consenso è solo una delle basi giuridiche e, a ben vedere, anche la più difficile da gestire.

In primo luogo, il consenso deve esprimersi una libera manifestazione di volontà, specifica informata e inequivocabile e presuppone che venga fornita all’interessato un’informativa resa con modalità idonee.

Un consenso non può essere generico, ma è un’operazione delicata che presuppone un’analisi specifica dei trattamenti realizzati. Raccogliere consenso è, pertanto, un’operazione ben più gravosa che non limitarsi a rendere idonea informativa all’interessato.

Il consenso, infatti, non è un atto del titolare, ma un atto di volontà dell’interessato che deve essere raccolto e adeguatamente documentato dal Titolare tenuto conto del contesto in cui si articola del trattamento.

La raccolta del consenso non è, pertanto, in alcun modo sostitutivo dell’obbligo di trasparenza e di informativa, ma è un obbligo ulteriore che deve essere adeguatamente gestito da parte del titolare del trattamento e che non può prescindere da una corretta informativa.

Fondare un trattamento sul consenso fa, inoltre, sorgere l’obbligo in capo al titolare di mettere l’interessato nelle condizioni di poterlo liberamente revocare in ogni momento.

Basare un trattamento sul consenso espone, pertanto, il titolare al rischio che l’interessato, liberamente e in qualsiasi momento, possa revocarlo facendo venire meno la base di legittimità del trattamento.

Particolarmente rischioso è, quindi, basare il trattamento sul consenso se questo è necessario per eseguire una misura contrattuale oppure risponde a esigenze di legittimo interesse del titolare come, ad esempio, la conservazione dei dati nei propri archivi.

In queste ipotesi, nel caso in cui l’interessato revocasse il proprio consenso al trattamento, l’organizzazione avrebbe il non trascurabile problema di individuare una nuova base giuridica per continuare a trattare i dati dell’interessato con la conseguenza che ogni dato trattato rischierebbe, in ogni caso, di essere inutilizzabile.

Emerge, pertanto, come il consenso più che panacea per risolvere ogni mal di GDPR, dovrebbe essere, al contrario, richiesto solamente dopo un’analisi approfondita della base giuridica del trattamento ed essere utilizzato in via residuale dove il trattamento non sia giustificato dall’esecuzione di misure contrattuali o precontrattuali o non si fondi su un legittimo interesse del titolare.

 

di Giacomo Conti

L’art. 32 del GDPR impone al titolare di mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, che riguardano non solo gli asset tecnologici, ma anche le risorse umane.

Le misure organizzative non devono, quindi, limitarsi alla semplice modifica dell’organigramma con l’inserimento delle divisione privacy.

Il dipendente è, molto spesso, “l’anello debole della catena” nella protezione dei dati in azienda.

L’errore umano, infatti, può essere dovuto ad una mancanza di idonea cultura e formazione o mancanza di chiare istruzioni da parte del titolare (carenze organizzative), altre per disonestà o per spirito di ritorsione nei confronti dell’organizzazione aziendale.

Quest’ultima affermazione merita indubbiamente una considerazione a sé stante in quanto, secondo il Verizon Insider Threat Report, i dipendenti sono spesso gli autori di data breach rendendosi colpevoli consapevolmente o meno, di azioni illecite quali: accessi abusivi; violazione e diffusione di dati comuni e particolari mettendo a repentaglio le misure di sicurezza adottate dall’azienda.

Il report di Verizon ha messo in evidenza che, tra altre cause (negligenza, distrazione, competenze non idonee, scopi di lucro), l’insider che abusa dei privilegi di accesso per compire azioni illecite è spesso un dipendente insoddisfatto, che si ritiene in qualche modo leso nei suoi diritti, o non sufficientemente considerato e, di conseguenza, desideroso di arrecare danno all’organizzazione.

Il contratto di assunzione non è solo una formalità burocratica e una definizione di qualifica, job description, retribuzione che regola solo aspetti economici, ma ha forti ripercussioni psicologiche sul soggetto assunto che si forma aspettative di carriera in sede di assunzione piuttosto che durante l’esecuzione del rapporto o durante gli avanzamenti di carriera.

Pertanto, una promessa disattesa, la mancanza di prospettive di carriera, di avanzamenti o incrementi salariali, o, nel peggiore dei casi, oggetto di mobbing/bossing generano insoddisfazione e, per l’effetto, un potenziale inside hacker.

L’utilizzo di molestie psicologiche per indurre un dipendente alle dimissioni è espressione di una carenza culturale e organizzativa ed opera in base a modelli che enfatizzano valori estremamente accentrati ai vertici in modalità top-down suscettibile, peraltro, di conseguenze significative per il datore di lavoro e per l’ente sul piano civile e penale.

In casi come questi, ci troviamo di fronte, quasi sempre, a modello organizzativi obsoleti, spesso funzionali con enfatizzazione di ruoli di comando e di potere, molto gerarchici, con numerosi ruoli di staff privi di ogni iniziativa decisionale e compiti di ausilio operativo, mansioni ripetitive e alienanti. Il modello organizzativo funzionale è il più “datato” ma anche il più conosciuto ed adottato specie dalle PMI, tuttavia, è destinato ad entrare in crisi con il GDPR.

Per avere una catena solida a livello di sicurezza e di valore occorre rafforzare gli “anelli deboli”.

Questi vengono sfruttati, infatti, dai pirati informatici come vulnerabilità e le azioni intraprese da questi criminali possono riguardare, anche, la corruzione dei dipendenti scontenti.

È necessario, pertanto, riprogrammare l’organizzazione, cominciando  dall’analisi di clima condotta attraverso l’ausilio di consulenti esterni che abbiano un approccio “olistico” e competenze che  spaziano dall’organizzazione aziendale, alla gestione risorse umane fino ad una approfondita conoscenza del  GDPR.

 

di Nadia Zabbeo

 

Oggi Bill ha installato una nuova app sul suo smartphone: dicono possa prendere il suo volto e renderlo più vecchio, una sorta di predizione del futuro.

La installa senza indugio e si diletta con essa per giorni; usa le sue foto da bambino, quelle di lui alle medie e, perché no, anche quelle odierne; vuole vedersi da vecchio e pensare che sarà un uomo tutto sommato bello, ancora affascinante.

Il giorno dopo essersi sbizzarrito, però, Bill viene a scoprire dei retroscena spaventosi, a dir poco allarmanti: l’app, con sede in San Pietroburgo, utilizza le sue foto in modo “perpetuo, planetario, irrevocabile, senza obbligo di pagare alcuna royalty”.

Bill si collega dunque su Facebook e legge molti stati colmi di terrore e di rabbia scritti da utenti che, nel proprio profilo, specificano orientamento sessuale, data di nascita, indirizzo, dove studiano, cosa studiano, i locali e le persone che frequentano, i film che guardano, i partiti che votano.

Bill nota che c’è una grande attenzione da parte del pubblico inerente la questione, tanto da fargli credere che gli internauti abbiano preso più coscienza circa la rilevanza della propria privacy.

Ecco quindi che scorre la home di Facebook alla ricerca di qualche post che tratti dell’inquietante scoperta effettuata da alcuni ricercatori della Microsoft, i quali hanno dimostrato come i siti pornografici raccolgono i dati di navigazione degli utenti per poi venderli a Google e Facebook, o della sconcertante scoperta che Youtube (leggi Google, ndr) effettua un’indebita profilazione dei minori al fine di renderli oggetto di marketing diretto, ma, con grande rammarico, non ne trova nessuno.

La sorella di Bill appare preoccupata: “Chissà che fine orribile faranno le foto mie e delle mie amiche, una volta nelle mani dei russi!”. Bill prova dunque a spiegarle che le sue foto sono già in giro per il Pianeta da quando partecipò alla “Ten Years Challenge” qualche tempo fa, ma non riesce: la sorella è troppo impegnata a chiedere ad Alexa la posizione della farmacia più vicina che venda farmaci per combattere la candida.

Bill allora manda un messaggio a un suo amico che ha appena pubblicato uno stato carico di odio contro i russi e FaceApp; cerca di spiegargli che non è sensato imbracciare la vecchia carabina del nonno per ottenere giustizia per questo indecente attentato alla propria riservatezza, se prima non smette di sbloccare il suo smartphone tramite il riconoscimento facciale.

Bill sa che i suoi dati più sensibili sono già stati abbondantemente carpiti in malafede dalle multinazionali della Silicon Valley, le quali si autoproclamano gli araldi della tutela della privacy del mondo intero e che impongono termini di utilizzo del tutto simili a quelli di FaceApp .

Bill sa che quando si utilizza un servizio gratuito la moneta di scambio sono i suoi dati personali, pertanto usa questi strumenti con molta attenzione, ma non chiude il cancello ora che il bue è scappato.

Sii come Bill.

 

di Giordano Serra

Per gestire a norma di Legge un servizio di e-commerce è necessario essere trasparenti verso i consumatori ed evitare comportamenti che possono realizzare pratiche commerciali scorrette, ossia idonee a indurre il consumatore “medio” ad operare scelte che commerciali e di consumo che, laddove l’informazione fosse stata completa e trasparente, non avrebbe preso.

I professionisti sono tenuti a mantenere standard di diligenza particolarmente elevati, tali da consentire al consumatore di determinarsi consapevolmente e liberamente in un mercato concorrenziale.

L’omessa indicazione nel prezzo pubblicizzato all’inizio del contatto, di tutti gli oneri non evitabili che sono successivamente addebitati al consumatore è sicuramente una pratica commerciale scorretta.

Ugualmente, integrano pratiche commerciali scorrette l’aver fornito ai consumatori informazioni non veritiere sui tempi di consegna dei prodotti offerti, l’aver consegnato prodotti diversi da quelli ordinati, ovvero giunti a destinazione oltre i tempi pattuiti, l’aver opposto ostacoli all’esercizio di diritti contrattuali da parte dei consumatori come la difficoltà di contattare i fornitori del servizio o la mancata sostituzione del prodotto diverso da quello ordinato, l’avere invitato all’acquisto di prodotti a un determinato prezzo senza rivelare l’esistenza di prevedibili ragioni che avrebbero impedito la consegna degli stessi a quel prezzo.

Ugualmente, la semplice indicazione “composizione tipo”, se non indicata in tutti i suoi elementi e in più accostata ad una illustrazione fotografica che raffigura una composizione completa può essere considerata una pratica commerciale scorrettezza.

Se al consumatore non vengono fornite informazioni puntuali, precise e concrete il consumatore può essere indotto a credere che la composizione tipo si riferisca all’immagine in foto ed essere, conseguentemente, indotto ad assumere una decisione di natura commerciale che non avrebbe altrimenti preso.

Integra pratica commerciale scorretta, quindi, anche il non essere in grado di fare fronte a tutte le richieste di acquisto da parte dei consumatori.

Per contro, la scelta del metodo di adesione del consumatore all’offerta mediante meccanismo opt out anziché opt in, dato che la prassi non incide in misura apprezzabile sul comportamento economico del consumatore, non è, invece, una pratica scorretta in quanto non incide sulla possibilità del consumatore di autodeterminarsi.

Nell’ottica di tentare di massimizzare i profitti è facile incorrere, anche inconsapevolmente, in comportamenti scorretti che comportano significative conseguenze per l’operatore economico che le ha realizzate.

di Giacomo Conti

La Cassazione ha, in una recente pronuncia, ritenuto che integra il reato di sostituzione di persona (494 Cod. Pen.) la condotta di colui che crei ed utilizzi un account ed una casella di posta elettrica o si iscriva ad un sito e-commerce servendosi dei dati anagrafici di un diverso soggetto.

Nel caso affrontato, il soggetto sostituito era inconsapevole del fatto che il reato era stato commesso ai suoi danni per fare ricadere le conseguenze derivanti dall’inadempimento delle obbligazioni conseguenti all’avvenuto acquisto di beni mediante la partecipazione ad aste in rete o altri strumenti contrattuali.

Questa pronuncia, senza essere particolarmente innovativa, rispecchia un consolidato orientamento della Suprema Corte secondo il quale la partecipazione di un soggetto ad aste on-line con l’uso di uno pseudonimo attribuendosi falsamente le generalità di un diverso soggetto integra il reato di sostituzione di persona.

Peraltro, la creazione e l’utilizzo di account falso e la conseguente realizzazione del reato può comportare, nei casi più gravi, anche lo sfruttamento abusivo dell’immagine reale e delle sembianze di un terzo soggetto.

Sotto il profilo soggettivo, infine, il dolo specifico del reato di sostituzione di persona viene integrato quando vi è coscienza e volontà di sostituirsi a un terzo con l’ulteriore scopo di arrecare a questi un danno o di assicurarsi un vantaggio anche non necessariamente economico.

 

di Giacomo Conti