Lo scorso 10 giugno, l’Autorità Garante per la protezione dei dati personali (il “Garante”) ha approvato le nuove “Linee guida sui cookie”.

Con il termine cookie si intende un piccolo file di testo che un sito web (cd. publisher o “prima parte”) può autonomamente inviare al dispositivo dell’utente (ad esempio, Smartphone, Pc o Tablet) quando visualizza una pagina web ovvero siti o web server diversi (cd. “terze parti”). Solitamente i cookie consentono di memorizzare le preferenze espresse dall’utente per non dover essere reinserite successivamente. Il browser utilizzato salva l’informazione e la ritrasmette al Server del sito nel momento in cui l’utente visita nuovamente quel sito web.

Le Linee Guida, adottate dal Garante tenendo conto di quanto emerso durante la consultazione pubblica promossa alla fine dello scorso anno, hanno l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line.

Di seguito le principali novità.

Informativa

Nel rispetto di quanto previsto dal Regolamento (UE) 2016/679 in materia di protezione dei dati personali (meglio noto come il “GDPR”), l’informativa da rilasciare agli utenti/interessati dovrà indicare (i) tutti gli eventuali soggetti destinatari, (ii) i tempi di conservazione dei dati personali trattati nonché (iii) una descrizione di tutte le conseguenze di ogni azione compiuta dall’utente/interessato.

Il Garante raccomanda che i cookie Analytics, di cui il Titolare del trattamento si avvale per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.

Viene confermatoil modello di informativa multi-layer con un banner (c.d. informativa breve) all’accesso al sito contenente specifiche indicazioni su posizionamento, dimensioni, caratteri e contenuto nonché il link all’informativa estesa.

All’utente/interessato deve essere data la possibilità di scegliere tra il consenso o l’opzione di modulare le proprie preferenze rispetto al tracciamento e deve essergli fornito il link ad una ulteriore area dedicata nella quale sia possibile selezionare, in modo analitico, soltanto le funzionalità, i soggetti cd. terze parti ed i cookie, anche eventualmente raggruppati per categorie omogenee, al cui utilizzo l’utente scelga di acconsentire.

Consenso tramite scrolling

Il semplice “scroll down” del cursore di pagina è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento.

Con riferimento al potere di autonomia del titolare nell’identificazione delle soluzioni più appropriate per conseguire la conformità alle regole dei trattamenti di dati personali effettuati, il Garante invita i titolari a valutare con estremo rigore ogni possibile soluzione. Secondo il Garante, qualora all’azione dell’utente non corrisponda alcun evento informatico inequivoco, documentabile e dotato delle menzionate caratteristiche, anche sotto il profilo della consapevolezza per lo stesso utente, non sarà possibile attribuire a tale azione la validità del consenso ai sensi della normativa vigente.

Rinnovo della richiesta di consenso

La raccolta del consenso ai cookie non può essere riproposta, a meno che (i) non cambino le condizioni del trattamento in modo significativo, (ii) non sia possibile per il gestore del sito registrare la precedente scelta dell’utente a causa di una decisione di quest’ultimo e (iii) non siano decorsi almeno 6 mesi dalla precedente richiesta.

Revisione dei consensi

Agli utenti/interessati dovrà essere fornita, in ogni momento e in maniera semplice, immediata e intuitiva, la possibilità di revisionare le scelte effettuate attraverso un’apposita area da rendere accessibile per il tramite di un link da posizionarsi nel footer del sito e che ne renda esplicita la funzionalità attraverso l’indicazione di “rivedi le tue scelte sui cookie” o analoga

I titolari dei siti web avranno 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.

Altri insights correlati:

• Cookies e altri strumenti di tracciamento: il Garante avvia una consultazione pubblica
• Data Breach: Le Linee Guida dei Garanti Europei per la gestione delle violazioni dei dati

La Corte d’Appello di Venezia, con la sentenza n. 476 del 28 giugno 2021, si è pronunciata sul tema dei controlli a distanza, ritenendo pienamente utilizzabili le videoregistrazioni delle telecamere presenti all’interno dei locali aziendali.

I fatti di causa

Una società (una casa da gioco) aveva utilizzato le immagini raccolte attraverso un sistema di videosorveglianza installato nei locali aziendali, per avviare nei confronti di una dipendente due distinti procedimenti disciplinari.

In particolare, alla lavoratrice, addetta alle casse, veniva contestata una appropriazione di denaro dalla cassa aziendale attraverso vari artifizi, per colmare degli ammanchi, comunque a lei imputabili, nelle attività di pagamento delle vincite della clientela e per realizzare delle plusvalenze a proprio vantaggio.

Il Giudice della fase sommaria aveva ritenuto le videoregistrazioni pienamente utilizzabili in quanto coperte dall’accordo sindacale ai sensi della normativa in materia di controlli a distanza, individuando unicamente un vizio di mera forma nella parte in cui il datore di lavoro aveva mancato di esibire i filmati raccolti nel corso del procedimento disciplinare.

A fronte dell’opposizione proposta dalla lavoratrice, il Giudice adito riformava l’ordinanza della fase sommaria, ritenendo non utilizzabili le videoregistrazioni e quindi non provati gli illeciti, con conseguente condanna della società alla reintegra della lavoratrice nel proprio posto di lavoro (ex art. 18, comma 4 dello Statuto dei Lavoratori).

La società soccombente ricorreva così in appello.

La decisione della Corte d’Appello

La Corte d’Appello adita, accogliendo il ricorso della società, ha osservato che:

• la lavoratrice era stata correttamente informata dell’installazione delle telecamere nei locali aziendali anche in quanto rappresentante sindacale;
• la stessa spesso aveva assunto un comportamento irregolare ed eclatante attraverso “posture tipiche di chi ha furtivamente sottratto qualcosa e cerca di dissimulare la sottrazione” (comportamento, tra le altre, confermato dai colleghi);
• i fatti addotti in entrambi i procedimenti disciplinari avviati nei suoi confronti erano stati provati in giudizio sia dai filmati che dalle relazioni scritte e dalle relative allegazioni.

Inoltre, interpretando l’accordo sindacale sottoscritto, la Corte d’Appello ha osservato che le immagini raccolte attraverso il sistema di videosorveglianza installato potevano essere utilizzabili anche a fini disciplinari qualora fossero stati tenuti comportamenti “di particolare rilevanza o gravità”.

Per questi motivi, la Corte di Appello ritenendo il comportamento della lavoratrice “senz’altro grave e idoneo a ledere irrimediabilmente la fiducia del datore di lavoro sulla correttezza dei futuri adempimenti”, ha riconosciuto la sussistenza di tutti i presupposti per l’intimazione di un licenziamento per giusta causa.

Altri insights correlati:

• Videosorveglianza: le nuove FAQ del Garante
• Garante: il datore di lavoro deve informare correttamente i lavoratori sui sistemi aziendali utilizzati

È stato pubblicato sulla Gazzetta Ufficiale dello scorso 14 giugno il Decreto-Legge n. 82/2021 (il “Decreto”) recante “disposizioni urgenti in materia di cyber-sicurezza, definizione dell’architettura nazionale di cyber-sicurezza e istituzione dell’Agenzia per la cyber-sicurezza nazionale”.

Con il termine “Cyber-sicurezza” si intende “l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone altresì la resilienza” (art. 1, comma 1, lett. a).

Il Comitato interministeriale per la cyber-sicurezza

Il Decreto, che si compone di 19 articoli, istituzionalizza, tra le altre, il “Comitato interministeriale per la cyber-sicurezza” (il “CIC”). Il CICsvolge funzioni di consulenza, proposta e vigilanza in materia di politiche di cyber-sicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico. Inoltre, il CIC ha i seguenti compiti:

• proporre al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cyber-sicurezza nazionale;
• esercitare l’alta sorveglianza sull’attuazione della strategia nazionale di cyber-sicurezza;
• promuovere l’adozione delle iniziative necessarie per (i) favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati alla cyber-sicurezza, nonché la condivisione delle informazioni e (ii) l’adozione di migliori pratiche e di misure rivolte all’obiettivo della cyber-sicurezza e allo sviluppo industriale, tecnologico e scientifico in materia di cyber-sicurezza;
• esprimere il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cyber-sicurezza nazionale.

L’Agenzia per la cyber-sicurezza nazionale

Tra le novità principali del Decreto vi è, altresì, l’istituzione dell’”Agenzia per la cyber-sicurezza nazionale” (l’”ANC” o l’”Agenzia”). Il Decreto specifica le sue funzioni chiarendone la composizione e l’organizzazione. Con apposito regolamento, da approvarsi entro 120 giorni dall’entrata in vigore del Decreto, infatti, dovrà essere definito il funzionamento dell’Agenzia composta da otto uffici di livello dirigenziale generale e da trenta articolazioni di livello dirigenziale non generale nell’ambito delle risorse disponibili (art. 12, comma 1).

L’Agenzia rappresenta il principale Ente in materia di cyber-sicurezza che esercita funzioni di autorità nazionale in materia e accentra le numerose competenze sin d’ora attribuite ad altri organi tra cui quelle del Ministero dello Sviluppo Economico. Tra i suoi compiti vi rientrano:

• la tutela degli interessi nazionali e delle funzioni essenziali dello Stato da minacce informatiche;
• lo sviluppo di capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici;
• l’innalzamento della sicurezza dei sistemi di “Information and Communications Technology” (“ICT”) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali e dei fornitori di servizi digitali;
• il supporto allo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo, mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
• l’assunzione delle funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi, e della sicurezza delle reti di comunicazione elettronica.

Il Nucleo per la cyber-sicurezza

L’Agenzia è affiancata dal “Nucleo per la cyber-sicurezza” che ha il compito di supportare il Presidente del Consiglio dei Ministri, per gli aspetti relativi alla prevenzione e alla preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento. Tra i principali compiti affidati a tale organo rientrano:

• la formulazione di proposte di iniziative in materia di cyber-sicurezza del Paese;
• la promozione, la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati;
• lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardano la simulazione di eventi di natura cibernetica al fine di innalzare la resilienza del Paese ed essere coinvolto nelle crisi che interessano la cyber-sicurezza.

◊◊◊◊

Entro il 30 aprile di ogni anno, il Presidente del Consiglio dei Ministri ha il compito di trasmettere al Parlamento una relazione sull’attività svolta dall’Agenzia nell’anno precedente e la stessa, in qualità di Centro nazionale di coordinamento italiano, nello svolgimento delle proprie attività si interfaccerà con il “Centro europeo di competenza per la cyber-sicurezza nell’ambito industriale, tecnologico e della ricerca“, concorrendo ad aumentare l’autonomia strategica europea nel settore.

Altri insights correlati:

• Smart working e protezione dei dati personali (Top Legal Focus Privacy & Data Protection, febbraio 2021 – Vittorio De Luca, Elena Cannone)
• Data Breach: Le Linee Guida dei Garanti Europei per la gestione delle violazioni dei dati

Con la Legge n. 81 del 22 maggio 2017 recante “Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l’articolazione flessibile nei tempi e nei luoghi del lavoro subordinato”, è stato regolamentato per la prima volta nel nostro ordinamento il lavoro agile (comunemente definito “smart working”). Si tratta di una modalità flessibile di esecuzione della prestazione lavorativa, nell’ambito del rapporto di lavoro subordinato, caratterizzata dall’assenza di vincoli di orario o luogo di lavoro e da forme di organizzazione per fasi, cicli e obiettivi.

Nell’implementare lo smart working nella propria azienda il datore di lavoro deve tener conto della normativa dettata in materia di protezione dei dati personali.

Il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (“GDPR”) ha introdotto il c.d. principio di accountability ossia l’adozione, da parte del Titolare del trattamento (nel nostro caso il datore di lavoro), di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR stesso. In sostanza, il datore di lavoro è tenuto ad individuare e gestire i rischi relativi ai trattamenti svolti, nel rispetto del principio della protezione dei dati fin dalla progettazione di ciascun trattamento (“by design”) e della protezione dei dati medesimi di default (“by default”).

Ciò significa che, nel lavoro agile, il datore di lavoro deve effettuare un idoneo risk assessment e, ove necessario, una valutazione di impatto in modo tale da analizzare tutti i rischi esistenti e potenziali nonché individuare le misure di sicurezza, tecniche e organizzative, adeguate a garantire la sicurezza e la protezione dei dati. In questa ottica il datore di lavoro deve adottare Regolamenti, Policies o Linee Guida recanti i comportamenti che gli smart workers devono tenere per garantire la riservatezza, l’integrità e la disponibilità dei dati trattati nello svolgimento delle proprie mansioni.

Il datore di lavoro deve, altresì, verificare che il controllo da remoto non sia un controllo invasivo in contrasto con l’art. 4 della Legge 300/1970. Ciò comporta un esame dettagliato dei sistemi che consentono un monitoraggio continuo dell’utilizzo degli strumenti di lavoro e della rete aziendale da parte dei dipendenti.

Proprio per questo lo smart worker deve essere dettagliatamente informato delle modalità tramite le quali il datore esercita il potere di controllo nonché di quali sono i comportamenti passibili di una eventuale sanzione disciplinare.

Non solo. Il datore di lavoro deve formare gli smart workers affinché questi abbiano piena consapevolezza e conoscenza degli strumenti messi a loro disposizione, dei rischi e delle misure da adottare durante lo smart working.

L’uscita del Regno Unito dall’Unione Europea (cd. “Brexit”) avrà impatti sulla mobilità internazionale a fini lavorativi e sul trasferimento dei dati personali verso il Regno Unito.

• Mobilità internazionale a fini lavorativi

Il Regno Unito ha previsto la possibilità per i cittadini UE già presenti da almeno 5 anni sul territorio britannico alla data del 31 dicembre 2020 di richiedere la conferma del diritto di soggiorno (per lavoro, studio etc.) oltre tale data. La richiesta potrà essere inoltrata on-line entro il 30 giugno 2021 attraverso la compilazione dell’EU Settlement Scheme messo a disposizione sul sito del Governo britannico, ottenendo il settled status.

Se il periodo di permanenza è inferiore a 5 anni sarà possibile richiedere di restare nel Regno Unito per completarlo ottenendo, sempre attraverso il modulo di cui sopra, il pre-settled status. A differenza del settled status, il pre-settled status si perde con un’assenza dal paese pari o superiore a due anni.

Questa procedura garantirà gli stessi diritti di cui un cittadino facente parte dell’UE e residente nel Regno Unito godeva prima della Brexit. Sarà infatti possibile restarvi indefinitamente, lavorare, avvalersi del servizio sanitario, studiare e usufruire dell’accesso ai fondi pubblici, quali prestazioni sociali e pensioni.

Per i nuovi ingressi effettuati dal 1° gennaio 2021 sarà, invece, necessario richiedere il visto secondo il nuovo sistema di immigrazione a punti, il Points-based immigration system.

Anche l’Italia ha previsto una procedura di conferma dei diritti acquisiti dai cittadini britannici presenti sul territorio nazionale alla data del 31 dicembre 2020; questi, infatti, potranno richiedere il “documento di soggiorno in formato elettronico” presso la Questura competente per luogo di residenza. Mentre a coloro che effettueranno il proprio ingresso a partire dal 1° gennaio 2021 verranno applicate le stesse procedure previste per i cittadini extracomunitari.

Protezione dei dati personali

Per il trasferimento dei dati personali verso il Regno Unito, sarà necessario, come chiarisce l’Autorità Garante per la protezione dei dati personali (il “Garante”), fare riferimento all’”Accordo commerciale e di cooperazione” (“Accordo”) sottoscritto lo scorso 30 dicembre 2020 dall’Unione Europea e dal Regno Unito (“Trade And Cooperation Agreement Between The European Union And The European Atomic Energy Community, Of The One Part, And The United Kingdom Of Great Britain And Northern Ireland, Of The Other Part”).

Secondo l’Accordo, nel Regno Unito continuerà a trovare applicazione il Regolamento (UE) 2016/679 in materia di protezione dei dati personali (il “GDPR”) per un periodo massimo di 6 mesi, ovvero fino al 30 giugno 2021. Di conseguenza, stando a quanto precisato dal Garante, “in questo periodo qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un paese terzo”.

Sempre secondo l’Accordo, durante questo periodo di transizione, il Regno Unito e l’Unione Europea si sono impegnate ad adottare delle decisioni di adeguatezza reciproche. In mancanza di tali decisioni, troverebbero applicazione le disposizioni di cui al Capo V del GDPR che disciplinano il trasferimento di dati dall’UE verso Paesi Terzi. Tali disposizioni richiedono l’esistenza di garanzie adeguate, quali ad esempio norme vincolanti di impresa, clausole contrattuali tipo e codici di condotta (cfr art. 46 del GDPR). Ciò salvo deroghe specifiche, come il consenso dell’interesso o trasferimento necessario per l’esecuzione di un contratto o per importanti motivi di interesse pubblico (art. 49 del GDPR).

Inoltre, dal 1° gennaio 2021, i Titolari e i Responsabili del trattamento che hanno la propria sede nel Regno Unito e che sono comunque soggetti all’applicazione del GDPR, poiché trattano dati per l’offerta di beni e servizi o per il monitoraggio del comportamento di interessati all’interno dell’Unione (cfr. art. 3, par. 2, GDPR), dovranno designare un Rappresentante nello Spazio Economico Europeo ai sensi dell’articolo 27 del GDPR.

Altri insights correlati:

• INPS – Brexit: chiarimenti sul rilascio del Modello A1 per i periodi di lavoro nel Regno Unito
• Privacy Shield: pubblicate le FAQ dell’EDPB sulla sentenza della Corte di Giustizia Europea Schrems