Il Blog

La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

La privacy in azienda: trasferibilità all’estero di dati tramite incaricato in outsourcing residente in un paese Extra-UE

Poter trasferire dati personali in paesi extra UE è diventato di fondamentale importanza per le aziende, sull’onda di una internalizzazione che riguarda trasversalmente la quasi totalità delle società commerciali.

Se è vero che l’art. 43 del D.lgs. 196/03 ammette il trasferimento fuori del territorio dello Stato qualora l’interessato abbia manifestato il proprio consenso espresso, dall’altro canto, è difficilmente ipotizzabile che una multinazionale con migliaia di dipendenti riesca ad acquisire il consenso di tutti.

Di frequente, tra l’altro, i dati non sono trattati direttamente dalla società, ma tali attività, specialmente quelle riguardanti la gestione delle risorse umane avvengono in outsourcing. In tal caso, a quali ulteriori adempimenti deve far fronte il titolare, qualora incarichi un responsabile in outsourcing il quale a sua volta affidi il trattamento ad un incaricato con sede in un paese extra UE?

Le strade percorribili dalle aziende sono le seguenti:

  • Presenza di una decisione di adeguatezza della Commissione EU

  • Utilizzo di clausole contrattuali standard predisposte con decisione dalla Commissione Europea

  • Adozione di Binding Corporate Rules (BCR)

  • Adozione di Binding Corporate Rules for Processor

Le decisioni di adeguatezza della Commissione, ad oggi, riguardano solamente tredici stati, per i quali è stato stabilito che la tutela assicurata al trattamento dei dati in quei paesi è soddisfacente ed è, quindi, possibile trasferirvi dati. Si veda, da ultimo, la questione relativa al trasferimento dei dati negli Stati Uniti da poco conclusasi con l’adozione, il 12 luglio scorso, da parte della Commissione europea del cd. Privacy Shield e già trattata in un precedente articolo.

Le clausole contrattuali standard sono predisposte dalla Commissione Europea e, una volta incorporate nel testo di un contratto commerciale consentono di trasmettere dati in paesi terzi.Esse prevedono le misure tecniche e organizzative di sicurezza che l’incaricato del trattamento, stabilito in un paese terzo non garante di un livello di protezione adeguato, è tenuto ad applicare.

La Commissione ha predisposto le clausole standard, con decisione del 5 febbraio 2010, utilizzabili nel caso in cui il titolare, residente in Europa, incarichi al trattamento una società comunitaria che, a sua volta, dia il subappalto ad una società extra UE.

La decisione ha stabilito che per il responsabile del trattamento, stabilito nell’Unione europea, sarà sufficiente avvalersi delle clausole standard al fine di presentare garanzie sufficienti al trasferimento verso l’incaricato extra UE. Il contratto deve essere soggetto alla legge dello Stato membro in cui è stabilito il titolare, in modo da garantire eventuali azioni dell’interessato a tutela dei propri dati.

Ovviamente, le autorità di controllo degli Stati membri devono, in ogni caso, continuare a svolgere un ruolo di garanzia, vigilando affinché i dati personali siano adeguatamente garantiti in seguito al trasferimento.

Il Garante italiano ha recepito la decisione della Commissione (Gazzetta Ufficiale n.141 del 19 giugno 2010) e, successivamente, con provvedimento del 15 novembre 2012 ha fornito ulteriori chiarimenti in merito. In particolare, ha prescritto al titolare del trattamento di conferire al responsabile con sede nell’Unione europea un apposito mandato, ai sensi dell’art. 1704 c.c., per la sottoscrizione delle clausole contrattuali tipo stabilite dalla Commissione; il Garante ha lasciato comunque facoltà ai titolari del trattamento, che non intendano avvalersi del mandato, di richiedere all’Autorità una specifica autorizzazione ai sensi dell’art. 44, comma 1 lett. a del D.lgs. 196/03.

Nella sua ultima relazione annuale il Garante per la protezione dei dati personali, ha dimostrato una particolare attenzione al tema del trasferimento dei dati verso paesi extra UE. L’Autorità ha evidenziato il grande incremento dell’ impiego di Binding Corporate Rules (di seguito BCR), le quali stanno rivelandosi il mezzo privilegiato per i trasferimenti di dati personali verso Paesi terzi attuati nell’ambito di gruppi di imprese.

Allo stesso modo, le BCR for Processors rappresentano una valida opzione in quanto permettono il trasferimento, sempre all’interno dello stesso gruppo societario, di dati personali sui quali si opera in qualità di responsabili del trattamento per conto di titolari stabiliti in un Paese comunitario. In questo modo, i titolari sono garantiti dalla presenza delle BCR for Processors, le quali provano la liceità dei trasferimenti effettuati dalla società responsabile in outsourcing. Per ulteriori approfondimenti sulle BCR potete visionare un nostro precedente articolo.

Proprio alla luce di tale cospicuo aumento dei trasferimenti di dati personali verso paesi terzi, l’autorità Garante ha concentrato le ispezioni presso soggetti che effettuano trasferimenti di dati all’estero, “al fine di verificare le tipologie di trattamento effettuate, le misure di sicurezza predisposte, nonché i presupposti giuridici, l’ambito e le modalità del trasferimento di dati personali in Paesi non appartenenti all’Unione europea”1.

Il nuovo Regolamento Europeo in materia di trasferimenti dati verso paesi extra UE ha previsto un generale divieto, salvo l’esistenza di una decisione di adeguatezza della Commissione2. E’ stato, inoltre, previsto un obbligo per la Commissione di effettuare una valutazione complessiva che consideri, più in generale, le norme del paese terzo in materia di tutela dei dati personali.

Nel caso in cui non vi sia una decisione di adeguatezza, il titolare del trattamento dovrà compensare la carenza con adeguate garanzie a tutela dell’interessato. Tali garanzie possono consistere nell’applicazione di BCR, di clausole standard adottate dalla Commissione, clausole tipo di protezione dei dati adottate da un’autorità di controllo o clausole contrattuali autorizzate da un’autorità di controllo.

Numerosi sono gli strumenti di tutela predisposti, sia dalla normativa nazionale e sia da quella comunitaria, a garanzia dei trasferimenti di dati verso paesi extra UE. È certo che un’adeguata conoscenza ed una puntuale applicazione di tali strumenti permetterà alle aziende di poter operare, esportando dati oltre i confini europei, senza troppi impedimenti e senza dover porre limiti alle proprie azioni.

2 Considerando 103 ed art. 45 Regolamento UE 679/2016

LA “PRIVACY” NEL PROCESSO PENALE: UTILIZZABILITA’ DI PROVE RACCOLTE CON L’UTILIZZO DI VIRUS INFORMATICI

LA “PRIVACY” NEL PROCESSO PENALE: UTILIZZABILITA’ DI PROVE RACCOLTE CON L’UTILIZZO DI VIRUS INFORMATICI

L’individuazione di un perimetro entro il quale considerare lecita l’intromissione, per esigenze investigative, nella riservatezza del singolo è impresa che, soprattutto negli ultimi anni, sta interessando gli addetti ai lavori.

Si moltiplicano, difatti, i casi in cui, al fine di reperire prove utili, si ricorre all’utilizzo di strumenti informatici in grado di ascoltare in maniera occulta le conversazioni private o leggere la corrispondenza altrui.

Fino a dove può spingersi la necessità di reperire prove in un processo penale? Quale è il limite all’ingerenza altrui nella sfera della propria riservatezza?

I virus informatici, chiamati in gergo “trojan horse”, sono sicuramente tra gli strumenti più invasivi e più utilizzati da chi intende recuperare prove da spendere nel processo, in tempi brevi e in modo semplice.

L’installazione del programma sul dispositivo dell’utente ignaro può avvenire con due modalità: o nel momento in cui il soggetto installa un programma, questo contiene in realtà un codice segreto in grado di creare una connessione occulta sul dispositivo in cui è installato, oppure il collegamento viene realizzato intervenendo fisicamente a livello hardware sul dispositivo.

Tali captatori informatici sono software che, installati da remoto all’interno di un sistema informatico, consentono di prenderne il controllo, permettendo sia il download di dati e sia la registrazione di dialoghi tra presenti.

La Suprema Corte di Cassazione si è pronunciata a Sezioni Unite lo scorso 28 aprile con la sentenza n. 26889, riconoscendo l’utilizzabilità delle intercettazioni di conversazioni o comunicazioni tra presenti eseguite mediante l’installazione di captatore informatico in dispositivi elettronici, nei processi per reati di criminalità organizzata, mafia e terrorismo.

I giudici di legittimità hanno effettuato un difficile bilanciamento tra le esigenze investigative e la tutela del diritto alla riservatezza.

La “privacy” dell’intercettato risulta fortemente minata, in quanto i captatori informatici registrano di continuo ed in ogni luogo si trovi il dispositivo (in contrasto con il divieto, ex art. 266 comma 2 c.p.p., di intercettazione nei luoghi di privata dimora); è evidente che, uno dei nodi principali, riguarda la mancanza della possibilità, per il giudice che autorizza l’utilizzazione del captatore informatico, di predeterminare i luoghi di privata dimora nei quali non possono essere effettuate le registrazioni.

Di fronte a tale scenario la Suprema Corte ha risolto il quesito dell’utilizzabilità dei virus trojan aprendo due diverse strade, una relativa ai delitti di criminalità organizzata ed una per tutti gli altri tipi di delitti. I giudici hanno, difatti, ritenuto che la peculiarità dei primi tipi di delitti consenta di superare la tutela della riservatezza nel domicilio, in quanto, nella normativa speciale che li regolamenta (legge 203 del1991) è prevista la possibilità di effettuare intercettazioni ambientali nei luoghi di privata dimora, anche qualora non vi sia motivo di ritenere che nei predetti si stia svolgendo attività criminosa.

Tale decisione è stata puntualmente seguita da un’ordinanza del Tribunale di Modena, emessa il 28 settembre scorso1. In questo caso la materia del contendere riguardava l’acquisizione della casella postale di un dipendente pubblico sospettato di corruzione. Il PM aveva firmato il decreto di acquisizione della casella di posta tramite l’utilizzo di un virus trojan, gli operanti non si sono limitati ad estrarre solamente i soggetti e gli orari delle conversazioni, come previsto dall’art. 132 del D.lgs 196/03 “Codice Privacy”, ma hanno intercettato altresì il contenuto delle predette.

Il giudice, anche alla luce della recente sentenza delle Sezioni Unite, ha ritenuto illegittima l’acquisizione in quanto, non ricadendo nell’ambito dei reati di criminalità organizzata, le operazioni compiute dagli operanti hanno configurato violazione della riservatezza della corrispondenza del dipendente.

E’ evidente che, al momento, è necessario che il legislatore intervenga in maniera chiara ed incisiva in materia, tratteggiando il perimetro entro il quale l’acquisizione di prove non violi le norme a tutela della riservatezza. La questione della utilizzabilità degli strumenti investigativi atipici in sede giudiziaria, impatta sui diritti costituzionalmente tutelati, in virtù del gran numero di informazioni potenzialmente conoscibili attraverso tali captatori.

Fino a quando non vi saranno norme specifiche in materia, non resta che individuare, in relazione ad ogni fattispecie, l’interesse protetto dalla norma violata ed il grado di lesione che l’acquisizione atipica comporta, facendo prevalere di volta in volta il diritto di rango più alto.

1 Fonte “il Sole 24 Ore”

IL RISPETTO DELLA PRIVACY NELLE PRATICHE DI MARKETING: QUALI LE FONDAMENTALI REGOLE

IL RISPETTO DELLA PRIVACY NELLE PRATICHE DI MARKETING: QUALI LE FONDAMENTALI REGOLE

Negli ultimi anni si sono sempre più sviluppate pratiche di telemarketing aggressivo, attuate maggiormente tramite un vero e proprio “assalto” alle utenze telefoniche dei privati; eppure esistono regole in grado di arginare tali prassi.

La norma principale che regola i contatti tra utente ed operatori economici è espressa dall’art. 23 del D.lgs. 196/2003 (di seguito Codice Privacy o Codice), in base al quale il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.

Il consenso deve essere informato, ovvero, l’interessato deve ricevere un’informativa, attraverso la quale venga messo a conoscenza di tutte le informazioni relative all’esercizio dei propri diritti ed alle modalità di trattamento dei propri dati.

Ottenuto il consenso dell’interessato, il trattamento dovrà essere effettuato rispettando sempre il vincolo della finalità, non potendo andare oltre quanto previsto dallo scopo originario, riducendo al minimo l’utilizzo dei dati; è assurdo pensare che ottenuto il consenso, il titolare sia legittimato a trattare senza restrizioni i dati dell’interessato.

A tal proposito il Garante è intervenuto numerose volte in materia, sia con un provvedimento generale “Consenso al trattamento dei dati personali per finalità di “marketing diretto” attraverso strumenti tradizionali e automatizzati di contatto” e sia con le “Linee Guida in materia di attività promozionale e contrasto allo spam”, entrambi emanati nel 2013. L’Autorità Garante ha previsto che sia richiesto un consenso specifico per ogni finalità perseguita dal titolare del trattamento, come marketing, profilazione o diffusione.

Le società possono ricercare nuovi clienti ricavando le utenze dagli elenchi telefonici, al fine di chiedere il consenso a ricevere comunicazioni commerciali e solo nel caso in cui l’utenza non risulti iscritta al Registro Pubblico delle Opposizioni1. A partire dal 31 gennaio 2011 gli operatori di telemarketing sono tenuti sia a verificare, prima di contattare le utenze, se queste siano iscritte o meno a suddetto Registro e sia ad informare gli abbonati, nel corso della telefonata, della possibilità di iscriversi al Registro delle Opposizioni.

La violazione del diritto di opposizione, da parte degli operatori di telemarketing, è punita dall’art. 162 comma 2-quater del D.lgs. 196/2003 (di seguito Codice Privacy) con una sanzione amministrativa da 10.000 a 200.000 euro, senza possibilità di pagamento in forma ridotta.

Le decisioni dell’Autorità giurisdizionale in materia hanno spesso punito pesantemente le violazioni alla disciplina di tutela dei dati personali poste in essere dalle società; non da ultimo, la Corte di Cassazione con la sentenza n° 17143/2016 ha confermato la condanna all’operatore al pagamento di una maxi sanzione amministrativa di 300.000 euro.

Quale il precetto violato? La società di telecomunicazioni utilizzava banche dati, fornitele da due società, composte da oltre quattordici milioni di anagrafiche provenienti da elenchi telefonici formati prima dell’agosto 20052; in merito a tali banche dati, il Garante con Provvedimento del 12 marzo 2009 stabiliva che i titolari del trattamento, e solo questi, potevano accedere ad un regime più favorevole per il loro utilizzo, ovvero era sufficiente dare prova di aver fornito agli interessati l’informativa.

L’Autorità Garante per la protezione dei dati personali, dopo aver ricevuto numerose segnalazioni da parte di utenti contattati dall’operatore telefonico, ha eseguito un’ispezione nella sede e nei call center della società, emettendo nell’immediato un provvedimento inibitorio (Provv. 26 giugno 2008).

Le contestazioni mosse alla società di telecomunicazione nel provvedimento del Garante Privacy riguardavano:

  1. L’utilizzo di dati, acquisiti da terzi, provenienti da elenchi telefonici pubblicati antecedentemente al 1° agosto 2005;
  2. L’aver trattato dati acquisiti da altre società senza aver fornito idonea informativa3 e senza aver acquisito il consenso degli interessati4;
  3. L’aver commesso le suddette violazioni in relazione a banche dati di particolari rilevanza e dimensioni5.

La società di telecomunicazioni ha provveduto al pagamento in forma ridotta per tutte le violazioni contestatele, con eccezione dell’ultima in elenco, e per la quale il Garante ha irrogato, in un secondo provvedimento (Provv. 18 ottobre 2012), una sanzione autonoma di 300.000 euro.

Confermato il provvedimento anche dal Tribunale ordinario, l’operatore telefonico è ricorso in Cassazione avverso tale sentenza. Secondo la società risultava illegittimo il cumulo materiale effettuato tra le varie sanzioni, in quanto il bene giuridico sotteso era lo stesso, trovandosi quindi davanti alla violazione del principio giuridico del ne bis in idem.

Di contrario avviso sono stati i giudici della Suprema Corte, i quali hanno chiarito che trattandosi di due diversi beni giuridici (da una parte il dato personale e dall’altro le banche dati) la questione dibattuta riguarda non aspetti quantitativi, bensì qualitativi. Inoltre, l’utilizzo di banche dati di particolare rilevanza non integra un’ipotesi aggravata rispetto alle altre, ma configura un’ipotesi di illecito del tutto autonoma e, quindi, materialmente cumulabile alle altre sanzioni.

Per ciò che concerne la mancata informativa e l’assenza del consenso, i giudici di legittimità hanno ribadito come queste siano condizioni legittimanti il trattamento dei dati; chi acquisisce banche dati da terzi, deve accertarsi che gli interessati abbiano validamente espresso il proprio consenso sia alla trasmissione di dati e sia al trattamento per finalità di marketing.

Nel caso di specie, né le società che hanno formato le banche dati, né lo stesso operatore telefonico sono stati in grado di dar prova di aver fornito l’informativa e di aver ricevuto il consenso alla comunicazione ed al trattamento dei dati.

Appare evidente come le operazioni poste in essere dalla società di telecomunicazione abbiano violato la privacy di milioni di cittadini, invadendo la loro sfera privata e non rispettando le norme basilari sulla protezione dei dati personali.

Non da ultimo, un altro operatore telefonico è stato oggetto di analogo provvedimento del Garante (Provv. 22 giugno 2016), con il quale l’Autorità ha vietato alla società l’ulteriore trattamento per finalità di marketing dei dati di circa 7 milioni di ex clienti, i quali non avevano dato il consenso al trattamento dei propri dati.

E’ pacifico che, l’attuale sistema sanzionatorio non costituisce un concreto strumento di difesa dei diritti dei dati personali, contenuti in banche-dati ed utilizzati per le finalità di cui finora si è argomentato.

Non sarà così con l’operatività del Nuovo Regolamento UE n° 679/2016 che, a partire dal 25 Maggio 2018, prevedrà, tra le altre diverse e significative novità, anche l’inasprimento delle sanzioni per chi violerà la “privacy”, attesa la parametrazione al volume d’affari mondiale del trasgressore, variando dal 2% al 4% del fatturato. Nel caso di violazione dei principi di base del trattamento, comprese le condizioni relative al consenso, è prevista la sanzione pecuniaria fino a 20.000 000 di Euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art.83, comma 5 Reg. UE 679/20166).

1Il Registro Pubblico delle Opposizioni è un servizio a tutela del cittadino, il cui numero è presente negli elenchi telefonici pubblici. Iscrivendosi a tale Registro l’interessato manifesta la sua volontà di non voler più ricevere telefonate per scopi commerciali o di ricerche di mercato, e non potrà più essere contattato dalle società per tali finalità.

2In base al dettato dell’art.44 D.L. 207/08 (convertito nella l. 14/2009) “i dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali (sino al termine di sei mesi successivi alla data di entrata in vigore della legge di conversione del decreto-legge 25 settembre 2009, n. 135) , anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005.”

3 L’art. 161 del D.lgs. 196/2003 punisce l’omessa o inidonea informativa con una sanzione amministrativa da 6.000 a 36.000 euro.

4 L’art. 162 comma 2-bis del D.lgs. 196/2003 prevede una sanzione da 10.000 a 50.000 euro.

5 L’art. 164-bis punisce i trattamenti in violazione delle norme precedenti effettuati con riferimento a banche dati di particolare rilevanza, con una sanzione amministrativa dai 50.000 ai 300.000 euro.

6 In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore:

a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;

b) i diritti degli interessati a norma degli articoli da 12 a 22;

c) i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale a norma degli articoli da 44 a 49;

d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;

e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1.”

 

LA TUTELA DEI DATI SENSIBILI ED IL DIVIETO DI DIFFUSIONE NELLA GIURISPRUDENZA PIU’ RECENTE

LA TUTELA DEI DATI SENSIBILI ED IL DIVIETO DI DIFFUSIONE NELLA GIURISPRUDENZA PIU’ RECENTE

Il D.lgs. 196/2003 (di seguito Codice Privacy), sulla scia dei principi espressi nella nostra Carta Costituzionale1, fornisce una tutela rafforzata a quei dati che riguardano gli aspetti più intimi della vita di un individuo e che, se non trattati secondo i principi di liceità e correttezza, potrebbero arrecare grave danno all’interessato.

La classificazione dei dati personali, approntata dallo stesso Codice Privacy all’art. 4, riflette un sistema di tutele graduate in ragione della natura del dato e della sua capacità di incidere nel concreto vivere degli interessati.

I dati personali comuni identificano un individuo tramite ad esempio il nome ed il cognome, quelli sensibili rivelano gli orientamenti politici e sindacali, le convinzioni religiose, mentre sono considerati “supersensibili” i dati idonei a rilevare lo stato di salute e la vita sessuale delle persone.

La particolare tutela riconosciuta ai dati idonei a rivelare lo stato di salute è sancita dallo stesso Codice Privacy il quale ne vieta la diffusione, ovvero la divulgazione al pubblico o, comunque, ad un numero indeterminato di soggetti (ad esempio, è diffusione la pubblicazione di dati personali su un quotidiano o su una pagina web).

Secondo quanto stabilito dal Codice Privacy, i dati “supersensibili” devono essere trattati solo in forma anonima e mediante codici identificativi. È quindi pacifico che chiunque effettui il trattamento di tali dati, debba operare a maggior ragione con diligenza e perizia adottando ogni idonea misura di sicurezza2.

Il Garante ha posto la sua attenzione sulla diffusione dei dati “supersensibili” in svariate occasioni; nelle Linee Guida in materia di trattamento di dati personali per finalità di pubblicità e trasparenza sul web (provv. 15 maggio 2014) ha chiarito che “ è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche direttamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di disabilità, invalidità o handicap fisici e/o psichici”.

Ma vediamo più nel concreto cosa ha stabilito la Corte di Cassazione in merito ai trattamenti di dati sensibili, nel caso in cui questi siano stati diffusi senza essere anonimizzati.

Già con la sentenza n. 10947 del 19 maggio 2014, la I Sez. della Cassazione Civile aveva consolidato il principio per il quale deve essere accordata particolare tutela ai dati c.d. sensibili, in quanto in questi convergono la tutela della salute e quella della riservatezza3.

Nel caso in questione la Suprema Corte ha statuito che chi beneficia di un’indennità ex L. 201/1992 per aver contratto una malattia, a causa di errore medico, ha diritto al risarcimento del danno dovuto ad illegittimo trattamento dei dati sensibili, qualora la causale riportata nel bonifico bancario faccia riferimento a dati idonei a rivelare il suo stato di salute.

Secondo il dispositivo della sentenza in commento, la Regione e la Banca, “avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili.”, il riferimento nella causale del bonifico alla l.201/1992, si è quindi tradotto in un illecito trattamento di dati personali legittimante, quindi, la richiesta di risarcimento del danno da parte del ricorrente.

Non più di un mese fa è stata pubblicata la sentenza della Cassazione Sez. I n.10512 del 20 maggio 2016, con la quale gli Ermellini condannano la Corte dei conti per illecita diffusione di dati sanitari.

In breve, il ricorrente aveva richiesto al Tribunale di Palermo la condanna al risarcimento dei danni in capo alla Corte dei Conti ovvero alla Presidenza del Consiglio dei Ministri, per aver illecitamente diffuso propri dati sanitari. Il ricorrente difatti, aveva avanzato ricorso alla corte dei Conti in materia pensionistica e, successivamente, aveva visto pubblicata online la sentenza contenente dati riguardanti la propria invalidità.

La Suprema Corte, nel testo nella sentenza, ha effettuato una comparazione tra il principio, stabilito dall’art. 22 del Codice privacy, dell’assoluto divieto di diffusione dei dati relativi allo stato di salute e l’assunto dell’art. 52, il quale disciplina le modalità di diffusione delle sentenze e dei provvedimenti per finalità di informativa giuridica.

Ebbene, da tale valutazione la Cassazione ne ha dedotto che il divieto di diffusione di dati sensibili non ammette deroghe e prevale in ogni caso sull’interesse alla pubblicazione dei provvedimenti giurisdizionali a scopo di informativa giuridica.

La Suprema Corte ha, altresì, individuato un ulteriore argomentazione a favore della tesi del ricorrente nelle “Linee Guida sul trattamento dei dati nella riproduzione di provvedimenti giurisdizionali” del 02 dicembre 2010. Il Garante Privacy in tale documento ha fornito chiarimenti in merito alla opportunità di anonimizzare i provvedimenti, chiarendo che l’oscuramento dei dati degli interessati “non pregiudica la finalità di informazione giuridica sottesa alla diffusione di un provvedimento” ed ha posto a carico dell’Autorità giudiziaria, la attenta valutazione di tale profilo.

Per ciò che concerne l’aspetto risarcitorio della vicenda in esame, spetterà al giudice del rinvio stabilirne l’entità, valutando nel concreto le conseguenze pregiudizievoli dell’illecito trattamento, ricadendo però su colui che agisce in giudizio la prova del danno in concreto subito, in quanto la sola illiceità del trattamento non è sufficiente a dar luogo all’obbligazione risarcitoria.

E’ indubbio che la quantificazione in denari del danno non è di semplice definizione, non sempre il danno subito ha un valore economico, come nel caso del risarcimento per danno biologico o esistenziale. La Cassazione con la sentenza n. 1361 del 23 gennaio 2014, ha assunto il danno non patrimoniale quale categoria generale, e statuito che, in ossequio al principio della integralità del risarcimento, si deve tener conto di tutte le lesioni degli interessi della persona, di natura non prettamente economica, protetti dall’ordinamento.

L’utilizzo sempre maggiore di strumenti informatici e nuove tecnologie, come si è visto nelle due sentenze citate, sta incidendo in maniera sempre maggiore sulla tutela dei dati. Il trattamento di dati su larga scala è effettuato sia dai privati sia dagli enti pubblici, ed entrambe le categorie devono operare, soprattutto qualora ci si trovi davanti dati “supersensibili”, seguendo i dettami del Codice Privacy nonché dei provvedimenti del Garante.

Si tenga sempre a mente che le sanzioni in caso di illecito trattamento prevedono la reclusione sino a 3 anni, mentre nel caso di violazione delle misure di sicurezza è prevista un’ammenda che può arrivare nel massimo a centoventimila euro.

Ma le imprese e le pubbliche amministrazioni non sono lasciate sole nel difficile compito di trattare lecitamente i dati sensibili: per assisterle il Regolamento Europeo 2016/679 ha introdotto la figura del Data Protection Officer. Il Regolamento Europeo, all’art.37, stabilisce che tale figura sarà obbligatoria, a partire dal Maggio 2018, per tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Da questa breve analisi si può evincere come da un lato il trattamento dei dati sensibili richieda particolari tutele e il non osservarle può avere risvolti pesanti sul versante sanzionatorio, ma dall’altro sicuramente con l’ausilio del Data Protection Officer il compito dei titolari del trattamento sarà in gran parte semplificato.

1L’art. 3 della Costituzione stabilisce che non possono essere fatte distinzioni in base al sesso, alla razza, alla lingua, alla religione, alle opinioni politiche ed alle condizioni personali e sociali.

2Le uniche deroghe presenti nel Codice Privacy riguardano il trattamento effettuato dagli esercenti professioni sanitarie e dagli organismi sanitari pubblici, trovando applicazione in caso di trattamento effettuato per la tutela della salute dell’interessato. L’art. 76 del Codice Privacy prevede modalità semplificate per il consenso, il quale può essere manifestato anche oralmente in un’unica dichiarazione

3Al riguardo Cass. n. 19635 del 2011 e Cass. n 18980 del 2013.

Le intercettazioni e le registrazioni audio-video di conversazioni: differenze ed utilizzabilità in giudizio

Le intercettazioni e le registrazioni audio-video di conversazioni: differenze ed utilizzabilità in giudizio

 

Sempre più di frequente, al fine di difendersi in giudizio, si ricorre all’utilizzo di dispositivi tecnologici per registrare conversazioni a cui si partecipa. La domanda dunque sorge spontanea: si possono utilizzare nel processo le prove così ottenute?

La sentenza della Seconda Sezione Penale della Corte di Cassazione del 10 giugno 2016 n. 24288, muovendo dal dispositivo delle Sezioni Unite n. 36747/2013, conferma un orientamento ormai consolidato degli Ermellini, sostenendo la spendibilità in sede giudiziaria della registrazione di una conversazione effettuata da uno dei presenti.

Nel bilanciamento tra la tutela della privacy dei partecipanti alla conversazione e la di tutela di un diritto, è quest’ultima a prevalere, ovviamente al verificarsi di determinate condizioni.

Prima di ogni altra argomentazione, è utile distinguere tra intercettazioni e registrazioni. Come noto, le intercettazioni di conversazioni tra presenti sono utilizzabili solo se autorizzate da decreto motivato del giudice per le indagini preliminari. Mentre le registrazioni, cui ci stiamo riferendo, sono esclusivamente quelle effettuate da un privato di sua iniziativa. Inoltre, una delle caratteristiche principali delle intercettazioni è l’essere effettuate da soggetti estranei alla conversazione; al contrario, la registrazione tra presenti è effettuata da uno dei soggetti che vi partecipa attivamente.

Non sono quindi paragonabili ad intercettazioni le registrazioni di conversazioni realizzate da uno dei partecipanti al dialogo, considerato che difetta, in tale circostanza, l’occulta percezione del contenuto discorsivo da parte di soggetti terzi, concretizzandosi, semplicemente, la memorizzazione fonica di notizie facoltativamente fornite e lecitamente apprese, con l’effetto che le registrazioni su nastro magnetico possono essere legittimamente acquisite durante il processo quali prove documentali.

La legittimità della registrazione sta proprio nell’essere parte attiva della conversazione registrata; difatti “chi dialoga accetta il rischio che la conversazione sia registrata”1. In altri termini, partecipando ad un dialogo con un’altra persona, si è consapevoli della possibilità che questo venga documentato tramite registrazione. Tale attività, per la giurisprudenza, altro non è che la memorizzazione fonica di un fatto di cui si è stati parte e come tale, considerata prova documentale spendibile in sede giudiziaria ai sensi dell’art. 234 c.p.p., oltreché in sede civile.

Diverso è il caso in cui la registrazione, pur eseguita da un privato durante una conversazione, avvenga su indicazione delle forze dell’ordine ed avvalendosi degli strumenti messi a disposizione dalla polizia giudiziaria stessa.

In tale circostanza, sottolinea la Cassazione, “si è ritenuta, invece, l’inutilizzabilità di registrazioni di conversazioni effettuate, in assenza di autorizzazione del giudice, da uno degli interlocutori dotato di strumenti di captazione predisposti dalla polizia giudiziaria”2. La ratio della citata sentenza sta nella necessità di ricorrere esclusivamente a strumenti tipici previsti dalla legge per comprimere un bene garantito dalla Costituzione, vale a dire la segretezza delle comunicazioni. Quindi, un provvedimento motivato dell’autorità giudiziaria, rappresentando quella tutela minima, sanerebbe l’inutilizzabilità della prova, rendendone di conseguenza lecita l’acquisizione al processo3.

Altro caso è rappresentato dalla circostanza in cui la registrazione della conversazione venga effettata da un soggetto che vi partecipi per un breve arco temporale4. In altre parole, se la persona che sta registrando si allontana e continua a lasciare attiva la registrazione, ciò che è avvenuto durante la sua assenza non sarà utilizzabile, in quanto non lecitamente captato. In questa circostanza dunque, le prove così acquisite saranno considerate inutilizzabili in quanto ottenute tramite interferenza illecita nella vita privata, punita a norma dell’art. 615 c.p.5, con la reclusione da sei mesi a quattro anni.

Una volta stabilito che la registrazione, effettuata con le modalità su indicate, non integri la fattispecie di trattamento illecito di dati, occorrerà chiedersi se vi siano limiti alla sua diffusione.

La diffusione delle registrazioni è lecita unicamente qualora vi sia il consenso dell’interessato o si agisca per tutelare un diritto, ad esempio nel caso in cui si faccia ascoltare al proprio avvocato o alle forze dell’ordine al fine di sporgere denuncia. La registrazione può essere utilizzata non solo per difendere un proprio diritto, ma anche quello di un terzo; sarà il giudice ad acquisirla quale prova documentale ed a valutarne l’attendibilità.

Con l’auspicio di aver contribuito a sintetizzare una tematica complessa e continuamente all’attenzione della giurisprudenza, diamo appuntamento ad un prossimo contributo per l’approfondimento della fattispecie di reato di cui all’art. 615-bis c.p., in particolare connessa ai reati aziendali.

Per saperne di più leggete questo interessantissimo articolo.

5 A condizione che la registrazione avvenga nei luoghi indicati dall’art. 614 cp, vale a dire nell’abitazione o in altro luogo privato di dimora.

GLI ELEVATI RISCHI INFORMATICI NELLA GESTIONE DEI DATI PERSONALI TRATTATI DALLE AZIENDE: METODOLOGIE DI PREVENZIONE

GLI ELEVATI RISCHI INFORMATICI NELLA GESTIONE DEI DATI PERSONALI TRATTATI DALLE AZIENDE: METODOLOGIE DI PREVENZIONE

445 miliardi di dollari l’anno, secondo le stime della World Bank, è il costo degli attacchi informatici, pesando in maniera maggiore sulle 10 maggiori economie mondiali. Di questi attacchi il 31% è dovuto a incidenti riguardanti la sicurezza dei dati (fonte: www.bakerlaw.com), ovvero casi di phishing, attacchi hacker e malware, con forte impatto, principalmente, nel settore delle industrie farmaceutiche. A fronte di questi allarmanti dati le previsioni per il futuro non sembrano certo essere rosee; il costo del crimine informatico continuerà ad aumentare in maniera proporzionale all’aumento della connettività di aziende e privati.

Gli studi stimano che l’economia di Internet ogni anno genera tra 2.000 e 3.000 miliardi di dollari, una quota dell’economia globale che è destinata a crescere rapidamente, quota che viene ridotta circa del 15 % – 20 % dai crimini informatici. Il cybercrime produce rendimenti elevati a basso rischio e, relativamente, a basso costo per gli hacker, le violazioni rappresentano un costo sistematico per le imprese.

Ed è così che la questione della tutela della privacy in internet ha travolto tutti, dalle pubbliche amministrazione alle aziende fino ai singoli privati. L’8 giugno u.s. il sito LeakedSource ha rivelato di essere in possesso di circa 32 milioni di account twitter – ovvero indirizzi mail, username e password, in vendita nel dark web. I dati personali hackerati sui vari social e siti web vengono poi rivenduti dai pirati informatici, in un vero e proprio mercato nero dove ogni account viene venduto anche per meno di 1 dollaro.

I furti di dati personali oltre a rappresentare una perdita economica, sempre più di frequente, producono un considerevole danno d’immagine sul mercato per l’azienda “vittima”, come ad esempio accaduto alla Sony, la quale dopo aver subito un attacco hacker ha visto crollare il proprio titolo in borsa e, conseguentemente, la propria credibilità.

Il vero “dramma” per le aziende colpite o attentate è la sempre maggiore presenza di soggetti radicati nella stessa organizzazione aziendale che portano avanti indisturbati la loro opera di sottrazione di dati anche per anni. Proprio a riguardo, il report “The State of Cybersecurity and Digital Trust 2016” (scaricabile cliccando qui) realizzato per conto di Accenture da HfS Research, ha evidenziato che il 69% dei security manager intervistati ha dovuto fare i conti in azienda con furti di dati da parte di insider.

Ma oltre il danno la beffa! È così che, nel caso in cui una società subisca un furto di dati, questa potrebbe vedersi addirittura “imputata”, a norma di quanto previsto dal D.lgs. 231/01: il decreto in questione prevede la responsabilità dell’ente per un reato informatico commesso a suo vantaggio o nel suo interesse da parte di amministratori, dirigenti e/o dipendenti, noncuranti minimamente dei presidi di sicurezza assolutamente necessari per la protezione dei dati (adozione di misure minime e misure idonee, sia fisiche e sia logiche).

Nel caso, molto frequente, in cui l’autore materiale non venga individuato dalle autorità inquirenti, e quindi non potendosi dimostrare che l’autore abbia agito a suo vantaggio esclusivo, è la società stessa a vedersi attribuita la responsabilità.

L’azienda va protetta prima di tutto dall’interno, partendo da una sensibilizzazione dei dipendenti, i quali sovente incorrono in reati senza esserne pienamente coscienti, come nel caso di utilizzo di software non originali o del download di file da siti pirata: necessario rendere i propri dipendenti consapevoli dei rischi e di tutto quello che può rappresentare una minaccia alla sicurezza e alla stessa esistenza della società Occorre poi stabilire gradi di responsabilità all’interno della società in ordine al trattamento dei dati, ed adottare e portare a conoscenza di tutti i dipendenti una policy privacy che sia calata nella realtà aziendale.

il problema principale è la mancata presa di coscienza della portata del rischio in cui incorre l’azienda, da parte soprattutto degli stessi vertici: investire risorse nella sicurezza, dotarsi di un valido ed efficace Modello di Organizzazione Gestione e Controllo e formare i dipendenti appaiono essere per le aziende i mezzi più adeguati per tutelarsi sia dagli attacchi interni e sia da eventuali imputazioni per responsabilità ex D.lgs. 231/01.

Per ulteriori approfondimenti visitate un articolo molto interessante pubblicato su “altalex” cliccando qui.

Il codice deontologico privacy e la professione forense

Il codice deontologico privacy e la professione forense

La libera professione forense ha interessato la produzione di provvedimenti privacy, sin dall’entrata in vigore del relativo Codice (D.lgs. 196/03), in considerazione della natura e tipologia di dati personali trattati. Il Garante Privacy ne ha sottolineato l’importanza e la peculiarità emanando, già nel 2004, un primo provvedimento datato 3 giugno dello stesso anno.

Il 1° gennaio 2009 è entrato in vigore il “Codice Deontologico sul trattamento dei dati personali per avvocati ed investigatori privati” (Provvedimento del Garante n. 60 del 6 novembre 2008) che, in virtù dell’art. 12 del Codice Privacy, costituisce “condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici”, allorquando interessano specifici settori.

Lo scopo del Codice Deontologico è, fondamentalmente, la prevenzione di incertezze che possano arrecare pregiudizi all’attività forense ed a quella investigativa, delineando le modalità di comportamento cui devono attenersi avvocati ed investigatori per far sì che i trattamenti di dati, da questi effettuati, rispettino sempre i principi della liceità, proporzionalità e correttezza.

Occupiamoci adesso più nel dettaglio del Codice Deontologico.

Qual è l’ambito di applicazione del Codice Deontologico?

Da un punto di vista oggettivo, il Codice, la cui puntuale osservanza costituisce condizione legittimante il trattamento dei dati in questione, trova applicazione nell’ambito dello svolgimento di investigazioni difensive o dell’esercizio di un diritto in sede giudiziaria. Per ciò che attiene quest’ultimo ambito, esso ricomprende altresì i procedimenti avviati in sede amministrativa, di arbitrato o di conciliazione, nonché le fasi propedeutiche o successive all’instaurazione di un giudizio.

L’ambito di applicazione soggettivo del Codice, invece, oltre ad avvocati ed investigatori, riguarda anche i collaboratori dei su menzionati professionisti che prestano, dietro specifico mandato, attività di assistenza o consulenza per le medesime finalità.

Quali sono gli adempimenti a cui è tenuto il professionista?

Anzitutto occorre chiarire che, nell’ambito dell’attività forense, il titolare del trattamento è individuato o nel singolo professionista, o in una pluralità di professionisti, qualora codifensori della stessa parte, od infine in un’associazione tra professionisti.

La designazione di un “responsabile” è facoltativa, mentre il professionista dovrà necessariamente designare gli incaricati al trattamento e fornire a questi concrete istruzioni da seguire.

Ciò posto, per incaricati del trattamento si devono intendere: il sostituto processuale, il praticante avvocato, il consulente tecnico di parte, il perito, l’investigatore privato o altro ausiliario che non rivesta la qualità di autonomo titolare del trattamento, i tirocinanti, lo stagista, nonché la persona addetta ai compiti di collaborazione amministrativa.

L’informativa può essere fornita sia in forma scritta sia in forma orale e non deve sottostare a specifici requisiti formali, dunque, anche semplicemente esporla nei locali dello studio o pubblicarla sul proprio sito internet.

L’avvocato o l’investigatore, nell’esercizio del proprio mandato, sono tenuti a richiedere il consenso dell’interessato?

La risposta è da ritenersi di senso negativo. Per i dati trattati sia nel corso di un procedimento, sia nella fase propedeutica e/o successiva, il consenso dell’interessato non va richiesto qualora venga perseguita la finalità di difesa di un diritto: l’art 24, comma 1 lett. f) fissa un importante principio, in base al quale non è richiesto il consenso per il trattamento dei dati personali qualora, questo sia necessario ai fini delle attività investigative o per far valere o difendere un diritto in sede giudiziaria.

Più nel particolare, l’art. 26 del Codice Privacy stabilisce che i dati sensibili possano essere trattati, previa autorizzazione del Garante, anche senza consenso quando il trattamento sia finalizzato al compimento di investigazioni difensive o alla difesa di un diritto in sede giudiziaria, ed il trattamento avvenga esclusivamente per tali finalità e per il periodo di tempo strettamente necessario.

Tuttavia, lo stesso Codice Privacy prevede, all’art. 40, la possibilità che il Garante emani Autorizzazioni Generali al trattamento dei dati rivolte a determinate categorie di titolari o trattamenti: i destinatari sono quindi esonerati dal richiedere autorizzazioni ad hoc al Garante, ogni qualvolta il trattamento che si accingono ad effettuare rientri in quelli previsti dalle suddette autorizzazioni generali

A tal proposito, è intervenuta l’Autorizzazione Generale n° 4/2014 con la quale il Garante, con cadenza biennale, ha autorizzato i liberi professionisti al trattamento dei dati sensibili e giudiziari, stabilendo che i destinatari di tale autorizzazione sono esonerati dal richiedere il provvedimento autorizzativo all’Autorità ogni qualvolta debbano trattare dati giudiziari e/o sensibili.

Nonostante quanto stabilito in sede di Autorizzazione Generale, per il trattamento dei dati idonei a rilevare lo stato di salute o la vita sessuale, il consenso non è richiesto qualora il diritto da tutelare in sede giudiziaria sia di rango pari a quello dell’interessato, ovvero consista in un diritto della personalità o in altri diritti o libertà fondamentali.

Tutto quanto sopra riportato è di notevole importanza se si pensa, altresì, alle conseguenze legate alla violazione del disposto dell’Autorizzazione Generale; il Codice Privacy sanziona con la reclusione da 1 a 3 anni il trattamento illecito dei dati conseguente al mancato adempimento delle prescrizioni della citata autorizzazione1.

Per quanto tempo possono essere lecitamente conservati i dati personali?

Prima ancora di individuare un termine di conservazione, è utile premettere che, in ogni caso, l’avvocato, per tutto l’arco di tempo in cui ha la custodia dei dati personali del cliente, è tenuto ad adottare ogni misura di sicurezza idonea che sia utile al fine di ridurre il rischio di perdita e/o danneggiamento degli stessi.

Una volta estintosi il procedimento cui i dati si riferiscono, il difensore non è più obbligato alla loro dismissione; atti e documenti possono essere conservati qualora siano necessari per ulteriori esigenze difensive e sono sempre custoditi solamente i dati strettamente necessari ad ulteriori eventuali esigenze difensive, nonché ad adempiere ad obblighi normativi.

Tuttavia, in caso di revoca o rinuncia al mandato, la documentazione deve essere rimessa al nuovo difensore, mentre, nel caso in cui non sia stato nominato un altro difensore, tutti i documenti dovranno essere consegnati al consiglio dell’Ordine di appartenenza ai fini della conservazione per finalità difensive.

Si possono, in conclusione, riassumere quelle che sono le regole fondamentali per un corretto trattamento di dati personali:

  • il trattamento dei dati deve sempre rispondere ai principi generali di liceità, proporzionalità e non eccedenza;

  • deve essere effettuato solo dal responsabile, se designato, e dagli incaricati correttamente nominati e dopo aver impartito loro specifiche istruzioni;

  • è necessario fornire un’adeguata informativa agli interessati;

  • è doveroso predisporre ogni idonea misura di sicurezza;

  • in caso si tratti di dati sensibili o giudiziari è necessario seguire le istruzioni impartite dal Garante nelle Autorizzazioni Generali.

Con l’auspicio di aver contribuito a chiarire i principali adempimenti in capo a professionisti che trattano dati sensibili ed in particolare di natura giudiziaria, mi riservo di procedere con un ulteriore approfondimento relativamente alle attività investigative che, per loro natura, sono connotate da particolare complessità.

1 Nel comparto sanzionatorio privacy occorre fare una precisazione: la violazione a quanto disposto da un Autorizzazione Generale è punita con la reclusione da 1 a 3 anni, diversamente per il mancato rispetto di un provvedimento autorizzativo ad hoc la sanzione è dettata dall’art. 170 ( in osservanza dei provvedimenti del Garante ) che sancisce la reclusione da 3 mesi a 2 anni.

La videosorveglianza e la privacy dopo il Jobs Act

La videosorveglianza e la privacy dopo il Jobs Act

Come regolarizzare l’installazione e l’impiego illecito di impianti audiovisivi accertati nel corso di ispezioni.

Moltissimo è stato scritto in tema di videosorveglianza all’indomani della riforma del famigerato art. 4 dello Statuto dei Lavoratori, strettamente connesso alle disposizioni dettate dal Codice della Privacy per le implicazioni sul rispetto di principi fondamentali della dignità e della libertà individuale dei lavoratori in ipotesi di trattamento dei dati personali ad essi riconducibili (immagini).

Ma al di là delle apparenti “formali” differenze nel testo del citato art. 4 rispetto al previgente (ante 25 settembre 2015), ciò che più interessa di questa riforma è l’eliminazione del divieto assoluto di installare apparecchi audiovisivi all’interno degli ambienti di lavoro, in presenza di lavoratori, oltre che l’aver sancito, per norma, la possibilità di installare videocamere per finalità di difesa del patrimonio dell’azienda, utilizzando le immagini in tutte le fasi del rapporto di lavoro – anche di carattere disciplinare.

Naturalmente, stante esigenze di tutela della riservatezza dei dati personali dei lavoratori, la norma, oltre a dettare quale presupposto legittimante l’installazione, l’accordo sindacale o, in mancanza, l’autorizzazione della Direzione Territoriale del Lavoro competente per territorio (non mi dilungo su quest’aspetto), prescrive lo stretto rispetto della normativa privacy, oggetto di adeguata informazione, allorquando occorrerà utilizzare i dati raccolti mediante l’utilizzo degli impianti audiovisivi o di altri strumenti per fini connessi al rapporto di lavoro.

Dunque, due ordini di “paletti” normativi fissati dalla nuova formulazione del già citato articolo 4: al 1° comma, in continuità con la norma ante Jobs act – ad eccezione di quanto sopra precisato – e l’altro, invece, al 3° comma, totalmente nuovo rispetto al vecchio testo e che qui si riporta: “ Le informazioni raccolte ai sensi dei commi 1 e 2 sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al lavoratore adeguata informazione delle modalità d’uso degli strumenti e di effettuazione dei controlli e nel rispetto di quanto disposto dal decreto legislativo 30 giugno 2003, n. 196.”.

In altri termini, il Legislatore, mutuando da orientamenti giurisprudenziali della Suprema Corte di Cassazione e da Provvedimenti del Garante della Privacy, ha sintetizzato in un’unica norma di precetto la disciplina dell’utilizzo di sistemi audiovisivi, e la sanzione implicita, quale conseguenza della mancata osservanza del precetto stesso.

Ma quali sono le ulteriori conseguenze nel caso di violazione alla disciplina contenuta nell’art. 4 citato, oltre a quanto “implicitamente” previsto e sopra riportato?

In virtù di consolidato orientamento della giurisprudenza della Suprema Corte di Cassazione e dei Provvedimenti dell’Autorità Garante della Privacy, è ormai chiarita l’illegittimità dell’installazione di impianti di videosorveglianza senza che sia intervenuto, preventivamente, l’accordo con le rappresentanze sindacali o, in mancanza, dell’autorizzazione della Direzione Territoriale del Lavoro.

Dunque, come chiaramente espresso dalla Cassazione in una delle note sentenze in materia, “l’idoneità degli impianti a ledere il bene giuridico protetto, cioè il diritto alla riservatezza dei lavoratori, emerge ictu oculi dalla lettura del testo normativo – idoneità che peraltro è sufficiente anche se l’impianto non è messo in funzione, poiché, configurandosi come un reato di pericolo, la norma sanziona a priori l’installazione, prescindendo dal suo utilizzo o meno”. Né vale ad evitare la responsabilità penale il consenso, ancorché unanime, dei lavoratori all’installazione delle telecamere nei luoghi di lavoro; addirittura, si è chiamati a rispondere a titolo di reato anche nel caso di telecamere “finte” montate solo per dissuadere il malintenzionato che vuole arrecare un danno.

Di recente, anche il Ministero del Lavoro e delle Politiche Sociali, conformemente a quanto sinora riportato, con Circolare datata 1° Giugno u.s. si è pronunciato sia sul tenore letterale del più volte citato art. 4 dello Statuto dei Lavoratori, sia sui modi e tempi di ottenimento o richiesta dell’accordo sindacale o dell’autorizzazione della Direzione Territoriale del Lavoro, ponendo in evidenza anche gli effetti della “prescrizione” ( o anche, in gergo comune, diffida ) che il personale ispettivo impartisce al rappresentante legale dell’azienda contravventore, nel corso di ispezioni e all’esito di verifiche dalle quali scaturisce l’installazione e l’utilizzo illegittimo di impianti audiovisivi.

Proprio in base al combinato disposto di cui all’art. 171 del Codice della Privacy che, per gli effetti sanzionatori, rinvia all’art. 38 dello Statuto dei Lavoratori e dell’art. 20 del D.lgs. 758/1994, si evince che, salvo non venga configurato un reato più grave, la sanzione dell’ammenda da Euro 154 a Euro 1.549 o dell’arresto da 15 giorni ad un anno può essere “sanata” adempiendo alla “prescrizione” di cui sopra.

In particolare, il citato art. 20, nello statuire la possibilità di eliminazione della contravvenzione accertata in virtù di apposita prescrizione impartita dal personale ispettivo in veste di Polizia Giudiziaria, definisce anche un limite massimo di sei mesi, non prorogabile per più di una volta per poter adempiere e comunque in presenza di una “particolare complessità o per l’oggettiva difficoltà, dell’adempimento”.

Se poi specifiche circostanze non imputabili al contravventore determinano un’ulteriore ritardo nella regolarizzazione, il termine di sei mesi può essere prorogato per ulteriori sei mesi a richiesta del contravventore medesimo, con provvedimento motivato che dovrà essere immediatamente comunicato al pubblico ministero.

Dunque, se da un lato la prescrizione detta le attività che il contravventore dovrà porre in essere per regolarizzare l’illecito accertato (smantellamento del sistema di videosorveglianza installato ante accordo sindacale o richiesta di autorizzazione alla Direzione Territoriale del Lavoro e contestuale proposta di accordo o autorizzazione ai sensi dell’art. 4 cit.) nei tempi indicati nella prescrizione medesima e tenendo fede a quanto indicato nell’alinea che precede, dall’altro lato resta l’obbligo del personale ispettivo, in veste di Polizia Giudiziaria, di riferire al pubblico ministero la notizia di reato secondo le previsioni del codice di procedura penale; il procedimento viene sospeso dal momento dell’iscrizione nel registro delle notizie di reato e fino al verificarsi di una delle cause di estinzione o di riavvio del procedimento medesimo (adempimento o inadempimento alla diffida).

Ciò detto, vediamo più nel dettaglio come si sviluppa la fase processuale penale e quella amministrativa a seguito dell’accertata violazione e dei termini di regolarizzazione della prescrizione.

Se il contravventore adempie alla prescrizione nei termini fissati dall’organo di vigilanza che la emette, nei successivi trenta giorni, il contravventore medesimo verrà ammesso a pagare, in via amministrativa, una sanzione pecuniaria pari a un quarto del massimo dell’ammenda stabilita di Euro 387,00 (trecento ottantasette), con successiva comunicazione al pubblico ministero del pagamento della sanzione e dell’adempimento di quanto prescritto, sempre a cura dello stesso organo di vigilanza. Ovviamente, tali circostanze, testè indicate, produrranno l’estinzione del reato con richiesta di archiviazione del procedimento a cura del pubblico ministero procedente.

Qualora il pubblico ministero acquisisca la notizia di reato di propria iniziativa o la riceva da privati, ovvero da altri pubblici ufficiali diversi dall’organo di vigilanza preposto per legge a tali tipologie di controllo, informa immediatamente l’organo di vigilanza per l’eventuale emissione della già citata prescrizione e al fine di eliminare la contravvenzione. Naturalmente, ed è questo il caso più delicato, se l’organo di vigilanza non assume alcuna iniziativa ovvero omette di informare il pubblico ministero circa le proprie determinazioni, il procedimento riprende il suo corso, fino a conclusione delle indagini preliminari e con l’avvio delle ulteriori fasi processuali.

È del tutto evidente che, qualora intervenga la sigla dell’accordo sindacale oppure l’autorizzazione della Direzione Territoriale competente nell’arco del periodo di tempo fissato dall’organo di vigilanza utile ad eliminare la contravvenzione, il contravventore sarà ammesso a pagare la sanzione amministrativa di Euro 387 nel termine di trenta giorni e il procedimento verrà archiviato per intervenuta estinzione dell’illecito penale.

E allora avviamoci alle conclusioni.

Se è vero che ( “salvo che il fatto non costituisca reato più grave” ) l’illecito penale generato dalla violazione del precetto di cui all’art. 4 dello Statuto dei Lavoratori è sanzionato con una pena assolutamente blanda e di semplice “gestione” processuale, ciò che invece gli addetti ai lavori più attenti non sottovalutano sono le ulteriori conseguenze civilistiche per il risarcimento del danno richiesto dal soggetto nei cui confronti è stato posto in essere un trattamento illecito dei dati, atteso che tale trattamento è configurabile quale “attività pericolosa” e dunque annoverabile tra i fatti giuridici potenzialmente idonei a produrre un risarcimento (art. 2050 c.c.).

Da ultimo si evidenziano le implicazioni – in termini di risonanza anche mediatica – connesse alla pubblicazione della sentenza di condanna, nei casi più gravi, da parte del giudice, secondo le modalità e tempistiche definite nel codice penale.

Privacy e Social Network: quali le modifiche apportate dal nuovo Regolamento?

Privacy e Social Network: quali le modifiche apportate dal nuovo Regolamento?

L’ARGOMENTO

In un mondo oramai intensamente globalizzato e tecnologico, l’utilizzo di social network è all’ordine del giorno. Verso la fine del 2015, solo nell’Unione Europea, gli utenti con un account Facebook si aggiravano attorno ai 237 milioni1, ciò ad indicare l’ormai imponente diffusione di social network fra la numerosa popolazione europea. Quasi ognuno di noi è in possesso almeno di un social network (Facebook, Twitter e Instagram fra i più popolari) e vi accede con regolarità ogni giorno da dispositivi fissi e mobili in un contesto prettamente personale o domestico (e quindi non per scopi commerciali o professionali).

LE REGOLE

Ora, l’approvazione e la conseguente pubblicazione, il 4 Maggio scorso, del nuovo Regolamento Privacy 2016/679 ha apportato diverse e interessanti novità circa la protezione dei dati personali. Tenendo in considerazione il fatto che il Regolamento va ad abrogare la precedente Direttiva sulla Protezione dei Dati Personali del 1995, periodo in cui i social network erano solo un’idea lontana, è bene valutare quali sono le particolari disposizioni adottate in relazione all’utilizzo quotidiano di social network da parte degli utenti Europei. In base ad una prima e superficiale lettura della normativa, si comprende che il Regolamento non si applica ai trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di un’attività a carattere esclusivamente personale o domestico2 e che fra tali attività potrebbero essere comprese la corrispondenza e gli indirizzari o l’utilizzo di social network e attività online3. Sembrerebbe, dunque, che tale Regolamento non si applichi all’utilizzo di social network e attività online da parte di un qualsiasi utente che vi accede più volte durante la giornata. Una più attenta lettura, invece, evidenzia una specifica disposizione in materia nella quale viene sottolineato che “tuttavia il presente Regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico”4. In sostanza, dunque, la contraddizione risulta essere solo apparente: il Regolamento non è destinato a due ipotetici utenti nell’ambito di una loro attività privata, ma si applica comunque al soggetto terzo (Facebook o qualsiasi piattaforma social) che fornisce i mezzi per comunicare fra loro e che quindi svolge il ruolo di titolare del trattamento.

Dato l’elevato rischio di erronea interpretazione circa la validità del Regolamento, è bene sottolineare come, anche e soprattutto a livello nazionale, vi siano già precise disposizioni in materia. Infatti, l’Articolo 5 comma 3 del Codice della Privacy prevede che il trattamento effettuato da persone fisiche per fini personali è soggetto all’applicazione del Codice stesso nel caso in cui i dati siano destinati ad una comunicazione sistematica (condizione evidentemente applicabile al funzionamento dei social network).

D’altra parte, invece, il Regolamento introduce un’importante novità che va considerata in modo da comprendere cosa comporti la chiusura di un account social e dunque la terminazione di un trattamento di dati personali concessi ad una qualsiasi piattaforma: il diritto alla portabilità dei dati personali. In sostanza, tale diritto prevede che l’interessato riceva i dati personali che lo riguardano forniti al titolare di un certo trattamento e li possa trasmettere, senza alcun impedimento, ad un altro titolare, solamente nel caso in cui il trattamento sia stato effettuato sulla base di un consenso esplicito e con mezzi automatizzati. Il Regolamento precisa anche che, qualora sia tecnicamente fattibile, l’interessato potrebbe anche avere il diritto di ottenere che i dati personali vengano trasmessi direttamente da un titolare di trattamento ad un altro. Nel caso dei social network i dati forniti dall’utente al momento dell’iscrizione necessitano forzatamente di un consenso esplicito e vengono trattati con mezzi automatizzati dal provider del servizio social. È chiaro, dunque, che le condizioni di consenso esplicito e trattamento automatizzato di dati siano applicabili ai social network e che possa essere fatto valere il diritto alla portabilità dei dati. Conseguentemente, in base a tale disposizione, nel momento in cui un qualsiasi utente iscritto ad uno specifico social network decida di cancellare il proprio account, potrà richiedere che i propri dati vengano ricevuti e trasferiti ad un altro titolare e che non vengano conservati ‘a vita’ da un social provider.

Dunque, nell’ottica di una maggiore tutela della privacy degli utenti iscritti, cosa prevede la policy dei vari social network circa i diritti alla portabilità ed alla cancellazione dei dati?

Effettuare un breve excursus specificamente su Facebook, il social network più diffuso a livello europeo e mondiale, è utile per comprendere quale sia la sua specifica policy in materia di privacy e come il diritto Europeo influenzi il suo operato ai fini della tutela dei dati personali forniti da un qualsiasi utente iscritto.

Facebook prevede una precisa policy riguardo il trattamento dei dati5, in cui sono specificate le tipologie di informazioni raccolte, le modalità di utilizzo e condivisione, nonché di gestione ed eliminazione dei dati. Facebook raccoglie varie informazioni sull’utente iscritto, fra cui le attività eseguite e le informazioni fornite alla piattaforma, le reti utilizzate e le connessioni effettuate, i dati riguardo i dispositivi dai quali avviene l’accesso (comprese posizioni geografiche, bluetooth, wifi, indirizzi IP, numero di cellulare ecc.), nonché notizie provenienti da partner terzi, siti web e applicazioni che utilizzano i servizi Facebook. Tali informazioni raccolte vengono utilizzate per fornire e migliorare le proprie prestazioni, proporre all’utente servizi e inserzioni pubblicitarie, nonché per implementare la sicurezza dei servizi offerti.

Le informazioni fornite dall’utente possono essere condivise con le persone abilitate a visualizzare i contenuti postati dall’utente, con applicazioni, con le aziende di Facebook, con clienti e partner terzi e in maniera particolare con fornitori di servizi e altri partner cosi come con aziende specializzate in servizi pubblicitari, di misurazione e analisi. Rispetto a questi ultimi, Facebook comunica alcune informazioni dell’utente in modo che gli vengano offerte pubblicità efficaci in base ai propri gusti personali.

I propri dati personali possono essere eliminati in maniera definitiva dal social network?

Vi sono due opzioni previste da Facebook in relazione alla disattivazione e all’eliminazionedefinitiva di un account6. Nel primo caso l’utente disattiva temporaneamente l’account e le informazioni le quali, nonostante per la maggior parte non siano visibili agli altri utenti ‘amici’, restano comunque ancora trattenute dalla piattaforma. Nel secondo caso, invece, l’utente può richiedere una cancellazione totale dei propri dati tale per cui non potrà più accedere al proprio account.

IL CASO ED IL PROVVEDIMENTO DEL GARANTE

Nonostante quanto previsto dalle disposizioni in materia di diritto alla cancellazione dei propri dati personali finora analizzate, non sono mancate dispute circa la protezione dei dati personali. Uno dei casi più recenti in Italia risale all’ 11 Febbraio scorso, giorno in cui il Garante per la privacy ha emanato un provvedimento nei confronti di Facebook in seguito alla segnalazione da parte di un utente il quale lamentava di aver subito forme di ricatto economico da parte di un soggetto ignoto, il quale, di fronte al rifiuto di corrispondergli la somma ingiustamente richiesta, ha creato un falso profilo dell’utente utilizzando foto e dati personali per interagire con altri contatti mediante messaggi con carattere diffamatorio (alcuni di questi contenenti fotomontaggi pedopornografici). A parte gli illeciti penali interessati dal caso, l’utente ha tentato di ottenere la rimozione delle false foto tramite il servizio offerto dal social network e la loro comunicazione in forma leggibile, il blocco dei dati trattati e l’opposizione ad un ulteriore trattamento. Facebook ha risposto in modo insufficiente all’utente richiedendogli di scaricare una copia del proprio account registrato dal servizio ‘download tool’. Proprio per tale assenza di rispetto per la privacy, il Garante ha emanato un provvedimento a riguardo in cui ha ordinato a Facebook di comunicare in forma intelligibile al ricorrente tutti i dati che lo riguardano detenuti in relazione a entrambi i profili Facebook aperti a suo nome, di fornire all’interessato informazioni  circa l’origine dei dati, le finalità, le modalità e la logica del trattamento, gli estremi identificativi del titolare e del responsabile, cosi come i soggetti o le categorie di soggetti che possono venirne a conoscenza; di non effettuare, con effetto immediato dalla data di ricezione del provvedimento, alcun ulteriore trattamento dei dati riferiti all’interessato, inseriti nel social network dal falso account.

LA TUTELA DELLA PRIVACY

È comunque doveroso sottolineare la crescente tutela offerta in materia di privacy da parte del diritto europeo; esso prevede che le piattaforme con sede ufficiale in un paese terzo rispettino comunque la legislazione Europea, vista la presenza di titolari del trattamento sul territorio comunitario. Con riferimento ai social, in maniera particolare a Facebook, una sentenza di un tribunale USA ha stabilito che la funzione del riconoscimento facciale proposta dal social network viola la privacy. Nell’ambito dell’Unione Europea, invece, già dal 2012,Facebook si è visto costretto a disabilitare il contenuto facciale in seguito alle riserve della Commissione irlandese per la protezione dei dati personali. Ciò a dimostrare come i social network siano costretti a rapportarsi non solo con il sistema privacy della propria sede legale estera, ma anche e soprattutto con altri sistemi legalmente autonomi in materia (di cui l’Unione Europea risulta essere l’esempio emblematico).

Proprio per tale motivo è necessario che le piattaforme social si adattino alle varie normative Europee promuovendo il rispetto delle stesse cosi come una ferma collaborazione con le istituzioni e le autorità di controllo dei vari Stati membri. D’altra parte, è altresì essenziale che l’Unione Europea si adoperi per una maggiore tutela nei confronti degli utenti socialadottando specifici provvedimenti nei confronti del trattamento di dati personali di milioni di utenti attivi in tutta Europa e facilitando una minore contraddizione normativa in riferimento alla protezione dei dati e alla loro portabilità e/o cancellazione al momento della chiusura di un account.

1 Internet Usage in the European Union, http://www.internetworldstats.com

2 Articolo 2, Regolamento 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

3 ‘Considerando’ 18, Regolamento 2016/679

4 ‘Considerando’ 18, Regolamento 2016/679

5 Facebook, Data Policy: https://www.facebook.com/privacy/explanation

6 Facebook Help Center, “ What’s the difference between deactivating and deleting my account? “

La trasferibilità dei dati personali all’estero.<BR>Il safe harbour ed il privacy shield

La trasferibilità dei dati personali all’estero.
Il safe harbour ed il privacy shield

L’esigenza delle aziende e di altri operatori economici di essere sempre più orientati allo sviluppo produttivo, e quindi competitivi sul mercato, passa inesorabilmente attraverso l’utilizzo di sistemi globali per la gestione dei dati, tramite l’implementazione di nuove tecnologie e di procedure standardizzate: è inevitabile che questi sviluppi conducano a un accrescimento della mobilità e accessibilità dei dati personali oltre i confini nazionali e, tra meno di due anni, oltre i confini europei.

Il trasferimento di dati personali all’estero è permesso qualora riguardi Stati appartenenti all’Unione Europea (UE) ed allo Spazio Economico Europeo (SEE1); è vietato, in linea di principio, qualora rivolto a Paesi terzi.

Ovviamente, al fine di non incorrere nella paralisi dello scambio di dati e del mercato internazionale, sono previsti specifici casi di deroga a tale divieto: il trasferimento di dati verso paesi extra UE è autorizzato qualora sussista una delle condizioni previste dalla legge, di seguito indicate, o vi sia un’autorizzazione da parte dell’Autorità Garante.

Più nello specifico, le circostanze in cui la norma consente il trasferimento dei summenzionati dati, sono rappresentate dai casi in cui:

  • l’interessato abbia manifestato il proprio consenso;

  • il trasferimento sia necessario per l’esecuzione di obblighi derivanti da contratto, per la salvaguardia dell’incolumità pubblica o di un terzo, per lo svolgimento di investigazioni difensive o comunque per far valere un proprio diritto in sede giudiziaria

  • la trasmigrazione sia effettuata in accoglimento di una richiesta di accesso a documenti amministrativi.

Ma cosa accade qualora lo Stato terzo, ove si intendono esportare i dati, non offra adeguate garanzie di tutela?

Per contravvenire a tale inconveniente è possibile stipulare contratti con clausole standard, approvati dalla Commissione Europea, tramite i quali il Paese esportatore di dati assicuri la presenza dello stesso livello di tutela specifica, richiesta dalla normativa europea, anche nello Stato in cui i dati sono diretti.

Inevitabilmente, il problema sollevato dalla questione del trasferimento dei dati personali verso Paesi extra UE\SEE ha grandi ripercussioni sulle dinamiche aziendali. Sovente accade che, all’interno di uno stesso gruppo societario, vi sia da una parte la necessità di trasferire verso Stati extra UE\SEE dati personali – inerenti a dipendenti, fornitori clienti e così via – nel modo più rapido ed efficace possibile, e dall’altra parte la necessità di garantire che tale trasferimento sia rispettoso della norma.

La risposta a tale esigenza delle aziende risiede nelle Binding Corporate Rules (di seguito BCR) : le aziende appartenenti ad un medesimo gruppo possono dotarsi di una policy contenente regole di condotta relative al trattamento dei dati personali all’interno dello stesso gruppo, le quali consentano di trasferire dati personali fra le società del gruppo residenti in diverse aree geografiche, nel rispetto delle garanzie fissate dalla normativa privacy.

L’iter per l’approvazione delle BCR prevede che l’autorizzazione sia rilasciata da tutte le Autorità competenti presenti nei singoli Stati da cui originano i trasferimenti di dati; pertanto è stata predisposta una “procedura di mutuo riconoscimento”, grazie alla quale una lead Autorithy, ovvero un’unica Autorità garante, può esaminare la richiesta e procedere all’approvazione. Ciò nonostante, le singole aziende facenti parte di un gruppo multinazionale e stabilite in Italia, dovranno comunque richiedere specifica autorizzazione al Garante Privacy italiano qualora intendano trasferire dati dall’Italia verso paesi extra UE.

Le clausole fissate nelle BCR rappresentano uno strumento attraverso il quale le aziende recepiscono regole e norme, rendendole vincolanti nei confronti di tutte le società facenti parte del medesimo gruppo. All’interno delle BCR è necessario individuare limiti geografici e oggettivi, ovvero i dati trattati, i soggetti coinvolti e le finalità perseguite, assumendo così le stesse BCR la veste di vere e proprie privacy policy societarie.

Dal 1 gennaio 2013, – a seguito dell’approvazione di una nuova procedura da parte dei Garanti per la privacy dei Paesi UE riuniti nel cd. Gruppo “Articolo 29” – possono fare ricorso alle BCR anche quei gruppi multinazionali che trattano i dati personali per conto dei propri clienti, in qualità di responsabili esterni del trattamento, come nel caso di fornitori di servizi di outsourcing o di cloud computing. Tali società possono far approvare le proprie “BCR for Processor”.

Quindi, qualora un’azienda con sede in Italia decida di far trattare dati personali in outsourcing da una multinazionale con sede fuori dallo spazio UE, potrà trovare garanzia nel fatto che la multinazionale abbia predisposto una “BCR ” approvato dall’UE e dai singoli Stati interessati, dimostrando il tal modo la conformità della propria privacy policy alla normativa.

Recentemente, la questione inerente la trasmigrazione dei dati ha superato la dimensione dei gruppi societari ed ha investito i rapporti tra Unione Europea e Stati Uniti d’America: dopo due anni di negoziazioni, il 2 febbraio 2016, la Commissione Europea ed il Dipartimento del Commercio americano hanno raggiunto un accordo in merito, sottoscrivendo il nuovo “Privacy Shield” -divenuto necessario dopo la dichiarazione di invalidità del vecchio accordo, il “Safe Harbour”, intervenuta con la decisione del 6 ottobre 2015 della Corte Europea di Giustizia-.

Quali sono le novità più rilevanti che segnano un passo in avanti nella tutela dei dati esportati negli USA? A presidio dell’effettività di questo nuovo accordo, vi è un vero e proprio “scudo” il quale prevede sanzioni, esclusioni in caso di inadempienza, il divieto di accesso ingiustificato e massificato ai dati, la possibilità di proporre un ricorso avverso i trattamenti ed infine un monitoraggio annuale sul funzionamento del Privacy Shield.

La sfida di questo nuovo accordo sta nel cercare di ristabilire la fiducia degli europei nel trasferimento dei propri dati oltreoceano, passando dalle autocertificazioni del Safe Harbour agli obblighi vincolanti previsti dal Safety Shield; di fatto, le autorità statunitensi, per la prima volta, hanno formalizzato il proprio impegno a far rispettare il nuovo accordo.

Ciò è ancora più evidente se si considera l’intervento del Garante Europeo per la privacy che, proprio qualche giorno fa, si è espresso sul testo dell’Accordo evidenziando la necessità di “miglioramenti significativi” nel prevedere una più definita protezione dei dati riferiti ai cittadini europei.

Non resta che attendere la decisione finale della Commissione che dovrà valutare l’impatto del Privacy Shield rispetto a quanto osservato dal Garante Europeo.

1 Gli Stati facenti parte dello SEE sono, oltre agli stati della EU, anche la Norvegia, l’Islanda e il Liechtenstein.