Il “Magic Avatar” e il mondo dell’intelligenza artificiale: luci e ombre di un fenomeno che “rivoluziona” privacy e copyright

Il 7 dicembre 2022 “Lensa” è risultata l’app più popolare per iPhone sull’Apple store. Il motivo? Sebbene “Lensa” sia presente sul mercato dal 2018, lo scorso novembre ha lanciato una nuova funzionalità denominata “Magic Avatar”: sfruttando l’intelligenza artificiale, tale funzionalità consente all’utente – dietro pagamento di un corrispettivo – di trasformare i propri selfie in avatar virtuali.

A primo impatto, non si coglie il problema derivante dalla circostanza che l’avatar in questione mostra il viso (seppur migliorato) del soggetto del selfie; tuttavia, ad una più attenta analisi, sono diverse le questioni giuridiche sottese all’utilizzo di tale funzionalità dell’applicazione “Lensa”.

Difatti, l’applicazione in esame opera grazie all’intelligenza artificiale e sulla base di un insieme di dati (cd. “dataset”) che vengono immagazzinati ed utilizzati per migliorare le prestazioni della suddetta applicazione. Nella stragrande maggioranza dei casi, tali dataset non sono altro che immagini raccolte a caso nel web e sulle quali manca ovviamente un vero controllo a monte sull’esistenza di eventuali diritti. Ed ecco svelata la prima problematica: la circolazione e raccolta di illustrazioni senza il preventivo consenso degli artisti che le hanno in precedenza create, con conseguente violazione dei diritti di copyright. Gli autori non solo restano privi di qualsiasi contribuito o riconoscimento per tali opere – che, invece, ai sensi della cd. Legge sul diritto d’autore (L. 633/1941 e successive modifiche) andrebbe loro garantito – ma si ritrovano a competere con sistemi artificiali che sono in grado di “emulare” il loro stile in pochi minuti.

Il problema – si ripete – non riguarda l’avatar che è generato dall’applicazione “Lensa”, ma il numero massiccio di immagini estrapolate da internet, su cui il sistema si allena e dal quale deve “imparare” per poi riprodurre l’avatar. Le conseguenze di tale fenomeno non devono sottovalutarsi poiché è lecito domandarsi se tali intelligenze artificiali non possano un giorno sostituire in toto l’attività dell’uomo. Tale poco auspicabile scenario non è poi così inverosimile se si considera che, per la prima volta, il trattamento delle opere visive create mediante l’impiego di intelligenza artificiale è attualmente allo studio presso l’US Copyright Office.

Per fronteggiare (parzialmente) tale problematica, è stato creato il sito “Have I Been Trained” che aiuta i content creator ad effettuare ricerche al fine di comprendere se i dataset usati dalle intelligenze artificiali impieghino illecitamente le loro creazioni.

Vi è poi un secondo e più preoccupante aspetto che riguarda il trattamento dei dati personali da parte dell’applicazione “Lensa”. A fronte del pagamento di un corrispettivo irrisorio al fine di generare l’avatar, le persone forniscono all’applicazione dati e informazioni personali che possono essere utilizzati anche per scopi profondamente diversi rispetto al mero generare “immagini filtrate” e che hanno perciò un valore economico rilevante. Questa è una delle accuse principali che sono state rivolte all’app in questione e cioè che, una volta installata, “Lensa” raccoglie più dati rispetto a quelli necessari al suo funzionamento, trasferendoli in server situati negli USA (ove ha sede l’azienda che ha sviluppato l’applicazione). Il che è sufficiente per affermare che il trattamento dei dati non risulta conforme rispetto a quanto previsto dal GDPR.

In realtà, in base all’informativa sulla privacy dell’applicazione “Lensa” si afferma che i dati biometrici degli utenti (definiti all'art. 4, par. 1, n. 14 GDPR come quelli “relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”) verrebbero cancellati dai server una volta che l’app li ha impiegati per generare il Magic Avatar.

Il punto è che, come spesso accade, la privacy policy di “Lensa” è lunga e complessa, cioè impiega un linguaggio giuridico di difficile comprensione per l’utente; ad esempio, si legge che “Lensa” non utilizza i “dati facciali” per motivi diversi dall’applicazione di filtri, salvo che l’utente non presti il consenso per utilizzare le foto e i video per uno scopo diverso. Ciò potrebbe apparire confortante, peccato che, ad una lettura più approfondita dei termini e delle condizioni, emerge che “Lensa” si riserva poteri ben più ampi – di distribuzione, utilizzazione, riproduzione, creazione – sull’opera derivata dai contenuti degli utenti, soggetti al “consenso esplicito” eventualmente aggiuntivo richiesto dalla legge applicabile (cioè, dalle varie leggi nazionali).

Ma da dove si evince tale “consenso esplicito”? La risposta è semplice: condividendo l’avatar pubblicamente o taggando “Lensa” sui social, anche tramite hashtag per esempio, l’utente presta il consenso ad utilizzare quel contenuto e autorizza quindi la società alla riproduzione, distribuzione e modifiche dello stesso. Tale licenza d’uso – che si esaurisce con la cancellazione dell’account – viene giustificata nella privacy policy di “Lensa” sulla base del cd. “legitimate interest” (i.e. “It is our legitimate interest to make analytics of our audience as it helps us understand our business metrics and improve our product”). Tuttavia, tale dichiarazione desta non poche perplessità, specie alla luce della decisione emessa dal Garante della Privacy italiano in relazione al social “Clubhouse”, secondo cui il “legittimo interesse” della società non è la base giuridica corretta per trattare tali dati e dunque non è corretta né per svolgere analisi dei dati, né per il processo di “training” dei sistemi.

In conclusione, se da una parte l’intelligenza artificiale rappresenta senza dubbio un’evoluzione tecnologica epocale, dall’altra il suo utilizzo può comportare una serie di rischi che si traducono nella compressione dei diritti dei singoli utenti; del resto, è da tempo allo studio un Regolamento Europeo sull’intelligenza artificiale volto a definire il perimetro e le condizioni del suo utilizzo.

Sotto questo profilo, si auspica quindi che l’applicazione “Lensa” poc’anzi esaminata si adoperi al più presto per proteggere i diritti dei creatori delle illustrazioni utilizzate dalla stessa app mediante il riconoscimento agli stessi di un compenso, sia affinché i dati degli utenti vengano raccolti e trattati in maniera corretta secondo le normative privacy applicabili.


Droni e Privacy: un binomio imperfetto

Se fino a qualche anno fa l’uso dei droni era appannaggio dei video editor e del settore militare, oggigiorno, complice l’evoluzione tecnologica e l’abbassamento dei costi, questi piccoli aeromobili dalle dimensioni compatte rappresentano sempre più spesso dispositivi ludici grazie ai quali effettuare suggestive riprese di paesaggi.

Proprio grazie alla loro capacità di mostrare il mondo come non si era mai visto, da una prospettiva originale ed insolita, l’inconfondibile ronzio percepibile a decine di metri di distanza inizia a sentirsi anche nelle città, sulle spiagge o semplicemente in occasione di eventi organizzati.

La dotazione presente in qualsiasi drone include almeno un GPS ed una videocamera anche se la configurazione può diventare più ricca ove richiesto; difatti, nei droni più evoluti figurano anche telecamere con visori notturni, scanner 3D, termocamere, dispositivi WiFi e Bluetooth e così via.

Dunque, la domanda che tutti si pongono è fino a che punto l’uso di tali strumenti è lecito? La risposta non è scontata soprattutto se si considera che un drone è dotato non solo di videocamera, ma anche di memoria interna capace di raccogliere e conservare i dati e le informazioni relativi a persone fisiche che si trovano nell’area sorvolata.

La natura di tali mezzi e le avanzate tecnologie di cui sono dotati, li rende strumenti intrinsecamente idonei ad acquisire dati anche particolarmente “sensibili”. È chiaro che un uso poco accorto del drone, anche se solo per finalità ludiche, potrebbe entrare in contrasto con il diritto alla riservatezza delle persone riprese e della privacy.

Per rispondere a tale quesito bisogna innanzitutto esaminare il Regolamento Europeo 2016/679, conosciuto anche con l’acronimo GDPR.

Non tutti i droners sono esperti di privacy per cui potrebbe accadere che chi decida di utilizzarne uno, anche in un momento di libero svago e divertimento tra amici, ignori di dover applicare determinate norme e buone pratiche per evitare una violazione della normativa sulla privacy, ma non solo. Infatti, è bene tenere a mente che un uso incauto dello stesso potrebbe avere dei risvolti anche in ambito civile, oltre che penale.

Al riguardo, quindi, entrano in gioco due differenti questioni: quella della riservatezza delle persone riprese (sotto il profilo dell’acquisizione dei dati) e quella della protezione dei dati personali (sotto il profilo del successivo utilizzo).

Come noto, è, in primo luogo, necessario sapere che non può essere violato il diritto alla riservatezza di terze persone effettuando dall’alto riprese di private dimore o di luoghi chiusi al pubblico. Tale infrazione, infatti, legittima il soggetto leso ad obbligare il videomaker a distruggere le immagini raccolte impedendogli di effettuare ulteriori video, fermo restando la facoltà di agire in giudizio per ottenere il risarcimento del danno eventualmente sofferto (Art. 10 del Codice civile).

Il tema diventa maggiormente delicato quando non ci limitiamo ad effettuare filmati, ma decidiamo anche di diffondere le riprese e immagini ormai in nostro possesso postandole, ad esempio, sui nostri social network o in Internet. In tali ipotesi è indispensabile adottare tutte le misure imposte dal GDPR al fine di ridurre al minimo il rischio di incorrere nelle sanzioni, talvolta anche pesanti, che il Garante della Privacy potrebbe infliggere.

Innanzitutto, il Garante della privacy sottolinea che quando si fa volare un drone munito di fotocamera in un luogo pubblico come parchi, strade o spiagge, bisogna evitare di invadere gli spazi personali e l'intimità delle persone o, comunque, evitare di captare immagini contenenti dati personali come targhe di automobili o indirizzi di residenza.

Non solo. Qualora, infatti, si decidesse di divulgare le riprese, come prima cosa, è indispensabile raccogliere il consenso alla pubblicazione delle immagini da parte dei soggetti coinvolti che costituisce la base legale per renderne lecita la propagazione (Art. 6 GDPR). Tale consenso non è richiesto solo se, per la distanza delle riprese, i volti dei soggetti non sono riconoscibili o, comunque, gli stessi vengano oscurati.

Sempre il GDPR considera lecite anche le riprese necessarie all’esecuzione del contratto concluso con la persona che acquisti un prodotto consegnato a domicilio dal venditore per mezzo di un drone.

I piloti, inoltre, dovranno sempre osservare i principi sul trattamento dei dati enunciati dall’art. 5 del GDPR che esige il rispetto della adeguatezza, pertinenza e non eccedenza dei dati con riguardo alle finalità per cui sono stati catturati. Il Droner, pertanto, nel rispetto dei suddetti principi dovrebbe favorire una tecnologia proporzionata e prediligere tecniche di anonimizzazione che, attraverso sfocature o altri effetti grafici, consentano di oscurare automaticamente le immagini al fine di evitare l’identificazione delle persone laddove non sia necessario.

Per i piloti più scaltri si sottolinea che è estremamente rischioso giustificare la raccolta di dati sensibili invocando la non applicabilità del GDPR al trattamento dei dati personali “effettuati da una persona fisica per l’esercizio di attività̀ a carattere esclusivamente personale o domestico” (Art. 3 GDPR). I giudici della Corte di Giustizia dell’Unione Europea, infatti, interpretano tale norma restrittivamente e, pertanto, in via generale tale articolo non costituisce una esenzione dal GDPR (Sentenza della Quarta Sezione dell’11 dicembre 2014, František Ryneš contro Úřad pro ochranu osobních údajů).

Non va tralasciato, infine, l’aspetto penale nel quale può ricadere il pilota che decida di effettuare un uso più sfrontato del drone procurandosi riprese, visive o sonore, contenenti dati attinenti alla quotidianità delle persone che si svolgono nelle dimore private. Il rischio è quello di essere punito con la reclusione da sei mesi a quattro anni (Artt. 614 e 615 bis del Codice penale).

Anche in tale ipotesi la legge è più severa quando le riprese sono indebite intendendo come tali tutte quelle effettuate senza il consenso della persona ripresa. Emerge ancora una volta, dunque, l’importanza dell’acquisizione del consenso che potrebbe essere per il Droner l’unico esimente per scongiurare una condanna certa, unitamente a ragioni oggettive di ordine superiore che giustifichino tali riprese (per esempio, esigenze di ordine pubblico).  

In conclusione, dunque, si può evidenziare come la tutela della privacy va attentamente valutata in ragione delle enormi potenzialità tecnologiche dei droni e degli interessi economici sottostanti. È facile ipotizzare che il crescente impiego dei droni in attività a forte impatto sociale renderanno sempre più vivace e centrale il tema della tutela della privacy delle persone. Buon senso e prudenza, in fondo, rimangono i migliori principi nell’impiego responsabile delle nuove tecnologie. Sarebbe sufficiente richiamarsi ad essi per risolvere molti dubbi e controversie.


Libero trasferimento dei dati personali verso la Repubblica di Corea: in arrivo una storica decisione di adeguatezza

Il Comitato europeo per la protezione dei dati personali (“European Data Protection Board”) ha emanato il proprio parere in merito alla bozza di decisione di adeguatezza pubblicata dalla Commissione Europea lo scorso 16 giugno 2021 (disponibile qui) relativa al trasferimento dei dati verso la Repubblica di Corea.

Si tratta di una decisione che, una volta entrata in vigore, permetterà agli operatori economici del mercato europeo – pensiamo, in primis, ai fornitori di servizi di comunicazione elettronica, ai cloud provider e alle multinazionali - di trasferire liberamente i dati personali dall’Europa alla Repubblica di Corea senza dover adottare né le garanzie adeguate (ad es., “Standard Contractual Clauses”) né le condizioni supplementari (ad es. il consenso degli interessati) richieste dal capo V del Regolamento UE n. 679/2016 (“GDPR”).

Infatti, ai sensi degli artt. 44 e ss. del GDPR, i trasferimenti di dati personali verso i Paesi non appartenenti allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia espressamente riconosciuta tramite decisione della Commissione.

Esaminiamo quindi in dettaglio le osservazioni del Comitato europeo contenute nel summenzionato parere.

In primo luogo, si è osservato come il quadro normativo in materia di protezione dei dati personali vigente in Repubblica di Corea sia sostanzialmente allineato a quello europeo, soprattutto per quanto concerne le principali definizioni presenti nel testo di legge (“dati personali”, “trattamento” e “interessato”), i requisiti di liceità del trattamento, i principi generali e le misure di sicurezza.

Questo è stato possibile non solo grazie alla presenza di un’efficace  legge privacy (i.e.,Personal Information Protection Act” o “PIPA” entrato in vigore nel 2011) bensì anche in ragione di una serie di “notifiche” (tra cui la “Notifica n. 2021-1”) emanate dall’Autorità garante per la protezione dei dati personali coreana (i.e.,Personal Information Protection Commissioner” o “PIPC”) che hanno il merito di interpretare e rendere agevolmente comprensibili le disposizioni del PIPA.

Inoltre, come rilevato dal Comitato, la Repubblica di Corea è parte di diversi accordi internazionali che garantiscono il diritto alla riservatezza dei dati personali (tra cui la “Convenzione internazionale sui diritti civili e politici”, la “Convenzione sui diritti delle persone con disabilità” e la “Convenzione ONU sui diritti dell’infanzia”), il che fornisce un’ulteriore conferma dell’attenzione che la Repubblica di Corea rivolge ormai da diversi anni alla protezione delle informazioni personali.

L'analisi del Comitato si è poi focalizzata su alcuni aspetti chiave del PIPA che differiscono leggermente rispetto a quanto previsto dal GDPR e che richiedono quindi maggiore attenzione - quali, in particolare, l’assenza di un generale diritto degli interessati di revocare il consenso fornito, ad esempio, per attività di marketing.

Secondo il Comitato, nonostante l’art. 37 del PIPA conferisca agli interessati il diritto di chiedere la “sospensione” del trattamento dei propri dati personali – diritto esercitabile anche in caso di direct marketing, come espressamente chiarito dal Considerando 79 alla decisione di adeguatezza della Commissione europea - nel PIPA il diritto alla revoca del consenso viene menzionato solo in due specifici casi:

  1. relativamente ai trasferimenti di dati personali effettuati nell’ambito di operazioni societarie straordinarie (i.e., fusioni, acquisizioni, ecc.);
  2. con riferimento al trattamento dei dati per finalità di marketing da parte dei fornitori di servizi di comunicazione elettronica.

Il Comitato ha quindi ritenuto necessario richiamare l’attenzione della Commissione sui summenzionati aspetti affinché analizzi più approfonditamente le conseguenze che, alla luce del quadro normativo coreano, potrebbe comportare per gli interessati la mancanza di un simile diritto e chiarisca, nella decisione di adeguatezza, l’effettiva portata del summenzionato diritto alla “sospensione” del trattamento.

In secondo luogo, il Comitato ha rilevato che, ai sensi dell’art. 58 del PIPA, una parte sostanziale di tale testo di legge – compresi i capi III, IV e V, che disciplinano rispettivamente i principi generali per il trattamento dei dati, le misure di sicurezza e i diritti degli interessati – non si applica a tutta una serie di trattamenti di dati personali (tra i quali rientrano quelli necessari per far fronte ad urgenti esigenze di tutela della sicurezza e della salute pubblica).

Il Comitato osserva che il termine “urgenti” presente nel PIPA esprime un concetto estremamente ampio che necessita di essere limitato e contestualizzato, anche con l’ausilio di esempi pratici, al fine di non compromettere la riservatezza dei dati degli interessati.

Inoltre, il Comitato, alla luce dell’attuale contesto emergenziale provocato dalla pandemia da Covid-19, ha richiamato l’attenzione della Commissione sulla necessità di garantire un livello di protezione adeguato anche ai dati personali trasferiti in Repubblica di Corea per finalità connesse alla tutela della salute pubblica.

Ciò in quanto le informazioni “sensibili” relative ai cittadini europei (ad es., lo stato di vaccinazione), una volta giunte in Repubblica di Corea, dovrebbero ricevere un livello di protezione almeno pari a quello previsto dal GDPR. In questo senso, il Comitato ha quindi invitato la Commissione a monitorare attentamente l’applicazione delle deroghe previse dall’art. 58 del PIPA.

Infine, il Comitato ha ritenuto opportuno focalizzare la propria attenzione sulla possibilità di accedere ai dati personali dei cittadini europei da parte delle autorità pubbliche coreane per finalità di sicurezza nazionale. A tal proposito, manca uno specifico obbligo in capo alle autorità coreane di informare gli interessati dell’avvenuto accesso ai loro dati personali, specie quando gli interessati non siano cittadini coreani.

Tuttavia, pur in assenza di tale obbligo, il bilanciamento tra le esigenze di tutela della sicurezza nazionale e la protezione dei diritti e delle libertà fondamentali degli interessati può rinvenirsi nella stessa legge coreana che tutela la riservatezza delle comunicazioni interpersonali (the “Communications Privacy Protection Act” – cfr. anche il Considerando 187 alla decisione di adeguatezza) ai sensi della quale l’accesso ai dati personali dei cittadini europei per finalità di sicurezza nazionale può essere effettuato solo in presenza di determinati presupposti di legge (ad es., qualora si tratti di comunicazioni intercorse tra “agenzie, gruppi o cittadini stranieri sospettati di essere coinvolti in attività che minaccino la sicurezza della nazione”).

Il Comitato europeo osserva che, ad ulteriore garanzia della riservatezza delle comunicazioni oggetto di accesso da parte delle autorità coreane, la costituzione sudcoreana sancisce principi essenziali in materia di protezione dei dati applicabili proprio a questo settore.

Alla luce del favorevole parere emesso dal Comitato europeo per la protezione dei dati personali è certamente auspicabile, oltre che probabile, l’adozione di una decisione di adeguatezza da parte della Commissione relativamente alla Repubblica di Corea.

In un’economia globale sempre più data driven basata sul valore economico delle informazioni personali e sullo scambio dei dati, tale decisione di adeguatezza aprirebbe le porte alla liberalizzazione degli scambi commerciali con l’oriente anche da un punto di vista privacy.

Un intervento normativo, quello oggetto del presente contributo, tanto dovuto quanto atteso, che si pone certamente sulla scia dell’“Accordo di libero scambio” tra UE e Corea del Sud in vigore dal 2011 che è stato in grado di aumentare esponenzialmente gli scambi bilaterali tra i due paesi (basti pensare che nel 2015 il valore commerciale delle transazioni si attestava intorno ai 90 miliardi di euro).

L’auspicio è naturalmente quello che, con il passare degli anni, le valutazioni di adeguatezza da parte della Commissione Europea abbiano ad oggetto sempre più ordinamenti in modo che il trasferimento internazionale di dati personali possa rappresentare un reale e concreto strumento in grado di favorire l’economia e l’innovazione in tutto il mondo.


Il Garante Privacy a tutela dei “rider”: quanto cose ci insegna la sanzione milionaria irrogata a Foodinho?

A prima vista, potrebbe sembrare una delle usuali sanzioni irrogate dal Garante Privacy negli ultimi tempi. In realtà  l’ordinanza di ingiunzione del Garante Privacy emessa lo scorso 10 giugno nei confronti di Foodinho costituisce un’importante opportunità per ripercorre, in meno di 50 pagine, i principi fondamentali previsti dal GDPR e dalla normativa privacy vigente in materia di trattamento dei dati dei dipendenti (e non solo).

Difatti, l’attività ispettiva del Garante Privacy - svolta in collaborazione con l’Agencia Española de Protección de Datos (AEPD) nel rispetto della procedura, ancora non del tutto conclusa, di cooperazione e assistenza reciproca prevista dal GDPR - ha avuto ad oggetto i trattamenti dei dati di circa 18 mila rider di Foodinho effettuati nel contesto di nuove tecnologie innovative basate (anche) su algoritmi automatizzati.

Emergono nel provvedimento interessanti spunti circa il rispetto dei principi fondamentali del trattamento e dei principi di privacy by design e by default, l’adozione di idonee misure di sicurezza e la predisposizione di una DPIA nel contesto di trattamenti e processi decisionali automatizzati, la corretta tenuta di un Registro del trattamento e l’individuazione dei tempi di conservazione dei dati.

Riteniamo quindi utile riassumere schematicamente qui di seguito le innumerevoli condotte illecite e infrazioni accertate nel provvedimento del Garante, riportando altresì i passaggi più rilevanti del medesimo.

***

1.  Condotta illecita: i rider non sono stati correttamente informati in merito alle concrete modalità di trattamento dei dati relativi alla loro posizione geografica, né tantomeno circa la tipologia di tutti i dati raccolti da Foodinho (ivi incluse le comunicazioni via chat/e-mail/telefono e le valutazioni espresse dai clienti).

Violazione accertata: mancato rispetto dei principi di trasparenza e correttezza del trattamento [art. 5.1, lett. a) GDPR].

Secondo il Garante: “Non rileva che i rider fossero semplicemente consapevoli dell’attività di geolocalizzazione in quanto vedono loro stessi il percorso suggerito sulla mappa dell’applicazione. Evidente è la differenza tra l’eventuale mera conoscenza della possibilità di essere geolocalizzati e la piena consapevolezza in merito allo specifico trattamento effettuato”.


2.  Condotta illecita: la società non ha fornito ai rider specifiche indicazioni in merito ai tempi di conservazione di tutti i loro dati personali; inoltre, alcuni dati di geolocalizzazione venivano conservati dalla società per periodi di tempo non congrui rispetto alle finalità.

Violazione accertata: rilascio di un’informativa privacy inidonea [art. 13.2, lett. a) GDPR], mancato rispetto del principio di limitazione della conservazione dei dati [art. 5.1, lett. e) GDPR].

Secondo il Garante: “La società ha omesso di individuare distinti tempi di conservazione dei dati riferiti ai rider oggetto di trattamento in relazione alle distinte e specifiche finalità perseguite”.


3.  Condotta illecita: la società non ha comunicato ai rider che i loro dati personali avrebbero potuto essere oggetto di trattamenti automatizzati, compresa l’attività di profilazione, preordinati all’assegnazione di un punteggio.

Violazione accertata: rilascio di un’informativa privacy inidonea [art. 13.2, lett. f) GDPR].


4.  Condotta illecita: i sistemi informatici della società sono stati configurati in modo tale da consentire l’accesso ad un numero indiscriminato di dati personali dei rider non necessari per le finalità del trattamento, senza l’indicazione di uno specifico criterio d’accesso.

Violazione accertata: mancato rispetto del principio di minimizzazione dei dati

[art. 5.1, lett. c) GDPR], mancato rispetto dei principi di privacy by design e by default [art. 25 GDPR], mancata adozione delle misure di sicurezza [art. 32 GDPR].

Secondo il Garante: “La possibilità di accesso di default ad un numero rilevante di dati personali da parte peraltro di un numero significativo di addetti alla gestione dei sistemi con ampia gamma di mansioni relative all’operatività dei rider, non consente di assicurare “su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi”, tenuto conto dei concreti rischi occasionati dalla “perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali”.


5.  Condotta illecita: la società non ha effettuato una valutazione di impatto sulla protezione dei dati nonostante l’utilizzo di tecnologie (e., una piattaforma digitale) innovative per il trattamento dei dati personali dei rider per finalità di profilazione che si basano su funzioni algoritmiche (cfr. anche successivo punto 9).

Violazione accertata: mancata predisposizione di una obbligatoria valutazione d’impatto sulla protezione dei dati [art. 35 GDPR].

Secondo il Garante: “L’utilizzo innovativo di una piattaforma digitale, della raccolta e memorizzazione di una molteplicità di dati personali relativi alla gestione degli ordini compresa la localizzazione geografica e delle comunicazioni avvenute tramite chat e email nonché della possibilità di accedere al contenuto di telefonate tra i rider e il customer care, dalla effettuazione di attività di profilazione e trattamenti automatizzati nei confronti di un numero rilevante di interessati “vulnerabili” (in quanto parti di un rapporto di lavoro), presenta “un rischio elevato per i diritti e le libertà delle persone fisiche”.


6.  Condotta illecita: la società non ha rispettato quanto previsto dall’art. 4 dello Statuto dei Lavoratori nonostante effettui, attraverso una pluralità di strumenti tecnologici (la piattaforma digitale, l’app e i canali utilizzati dal customer care), trattamenti di dati personali che consentono un’attività di minuzioso controllo sulla prestazione lavorativa svolta dai rider.

Violazione accertata: mancato rispetto del principio di liceità del trattamento [art. 5.1, lett. a) GDPR], mancato rispetto dell’art. 4 della L. 300/1970.

Secondo il Garante: “Si rileva che la società effettua un minuzioso controllo sulla prestazione lavorativa svolta dai rider attraverso la geolocalizzazione del dispositivo effettuata con modalità che vanno oltre quanto necessario per assegnare l’ordine in ragione della distanza del rider dal punto di ritiro e di consegna”.

Diversamente da quanto sostenuto dalla società, la scelta del rider in merito al se e quando effettuare la prestazione non è senza conseguenze nell’ambito del rapporto di lavoro e pertanto non può definirsi “libera”.


7.  Condotta illecita: mancata indicazione nel Registro del trattamento di informazioni complete ed aggiornate in merito a tutti i trattamenti di dati personali effettuati dalla società, dei termini di conservazione dei dati e delle misure di sicurezza adottate.

Violazione accertata: tenuta di un registro del trattamento incompleto [art. 30 GDPR].


8.  Condotta illecita: non sono stati pubblicati e comunicati al Garante Privacy i dati di contatto del DPO nominato a livello di gruppo.

Violazione accertata: mancata pubblicazione e comunicazione dei dati del DPO [art. 37.7 GDPR].

Secondo il Garante: “Nel caso in cui il DPO venga nominato a livello di gruppo, resta fermo l’obbligo, in capo alle singole entità del gruppo in qualità di titolari o responsabili del trattamento, di pubblicare i dati di contatto del RPD e di comunicarli all’Autorità di controllo competente”.


9.  Condotta illecita: sono stati posti in essere trattamenti automatizzati dei dati personali dei rider tali da incidere sulla loro possibilità di scegliere se e quando svolgere l’attività lavorativa e contestualmente non sono state adottate misure idonee per consentire ai rider l’esercizio dei loro diritti attraverso canali dedicati.

È importante notare che il Garante Privacy ha focalizzato la sua attenzione sulle conseguenze negative che l’utilizzo di algoritmi simili a quelli utilizzati dalla società può comportare per i rider, arrivando ad affermare che la scelta del rider in merito al se e quando effettuare la prestazione lavorativa non è senza conseguenze nell’ambito del rapporto di lavoro e che tale prestazione, pertanto, non può definirsi “libera”.

L’assegnazione degli ordini dei clienti è infatti gestita direttamente dalla società tramite un algoritmo che individua il rider sulla base di una pluralità di parametri (vicinanza al luogo di consegna, carica della batteria del cellulare, ecc.) e premia i rider con il maggior numero di ordini accettati e consegnati.

Violazione accertata: mancata adozione delle misure previste dall’art. 22.3 GDPR [art. 22.3 GDPR].

Secondo il Garante: “Attraverso il punteggio la società valuta pertanto l’operato del rider e produce, in tal modo, un effetto significativo sulla sua persona proponendo o negando l’accesso alle fasce orarie e la relativa possibilità di effettuare la prestazione (consegna di cibo o altri beni) oggetto del contratto”.

Dall’esame del meccanismo di assegnazione del punteggio emerge, quindi, da un lato che la società effettua una attività di profilazione che incide in modo significativo sugli interessati determinando – mediante l’accesso agli slot - la possibilità di ricevere o meno ordini attraverso la piattaforma e dunque di ottenere una opportunità di impiego”.

Si ingiunge alla società di conformare al Regolamento i propri trattamenti con riferimento alla individuazione di misure appropriate volte alla verifica periodica della correttezza e accuratezza dei risultati dei sistemi algoritmici, anche al fine di garantire che sia minimizzato il rischio di errori e di conformarsi a quanto stabilito dall’art. 47-quinquies, d. lgs. n. 81/2015”.


Garante Privacy e attività ispettiva 2021: tra gennaio e giugno nel mirino i dati biometrici, videosorveglianza, food delivery e data breach

Il Garante Privacy ha definito il perimetro dell’attività ispettiva programmata per i primi sei mesi del 2021. Si tratta di n. 50 accertamenti che saranno condotti anche mediante delega alla Guardia di Finanza e che si concentreranno sulla verifica del rispetto della normativa privacy vigente relativa ai seguenti profili di interesse generale:

  1. trattamenti di dati biometrici per il riconoscimento facciale anche mediante sistemi di videosorveglianza;
  2. trattamenti di dati personali nel settore della c.d. “videosorveglianza domestica” e nel settore dei sistemi audio/video applicati ai giochi (c.d. giocattoli connessi);
  3. trattamenti di dati personali effettuati da "data broker”;
  4. trattamenti di dati personali effettuati dalle società che operano nel settore denominato “Food Delivery”;
  5. data breach.

Da tale elenco emergono due grandi novità: quest’anno, infatti, il Garante Privacy estenderà le proprie verifiche anche ai trattamenti di dati biometrici, nonché a quelli effettuati mediante sistemi di videosorveglianza. Due settori disciplinati non solo dal GDPR e dal Codice Privacy bensì anche da diverse linee guida ed altre norme di legge, oltre che da numerosa giurisprudenza.

Si pensi, solo per fare degli esempi, alle Linee Guida del Garante Privacy in materia di riconoscimento biometrico e firma grafometrica del 2014, al rinnovato art. 4 della L. 300/1970 e alla Circolare n. 5/2018 dell’Ispettorato nazionale del Lavoro, al Provvedimento del Garante Privacy in materia di videosorveglianza del 2010 ed alle recenti FAQ sulla videosorveglianza del 5 dicembre 2020, alla giurisprudenza nazionale e comunitaria in tema di controllo dei lavoratori e controlli cd. “difensivi”, al Parere n. 2/2017 dell’ex Gruppo di lavoro ex art. 29 (“Opinion 2/2017 on data processing at work”) nonché alle Linee Guida n. 3/2019 del Comitato Europeo (EDPB) sul trattamento dei dati attraverso dispositivi video.

Quanto appena detto induce a riflettere in merito alla corretta e non agevole operazione di individuazione degli adempimenti privacy cui sono chiamati i titolari e i responsabili del trattamento – i.e. gli operatori economici; infatti, soprattutto prima di intraprendere un’attività di trattamento di dati personali biometrici o mediante sistemi di videosorveglianza è necessario chiarire le circostanze del caso concreto (individuando le finalità del trattamento, le misure di sicurezza da adottare, il coinvolgimento di eventuali terzi provider, ecc.) al fine di poter predisporre correttamente la documentazione privacy  prevista dalle molteplici norme in materia (possibilmente con l’ausilio di professionisti specializzati).

Sarà quindi interessante analizzare gli esiti dell’attività ispettiva del Garante al fine di comprendere quale sarà, a distanza di tre anni dall’entrata in vigore del GDPR, il livello di compliance ritenuto “accettabile” dall’Autorità e quale sia quello realmente raggiunto dalle imprese che operano nel nostro Paese e che hanno a che fare con il trattamento di categorie particolari di dati personali e con sistemi di videosorveglianza.

Va da sé che gli adempimenti privacy in materia di trattamento di dati biometrici o mediante sistemi di videosorveglianza si sommano a quelli generalmente previsti per il trattamento dei dati personali; pertanto, al fine di raggiungere una piena compliance alla normativa privacy vigente occorre non solo regolamentare i particolari settori della propria attività di business (quali, ad esempio, la videosorveglianza o la biometria) bensì adottare (o meglio, aver già adottato) una solida struttura privacy interna che sia in grado di dimostrare alle autorità, in caso di eventuali ispezioni, che i trattamenti di dati personali effettuati rispettano pienamente quanto previsto dalla legge.

Proprio con particolare riferimento alla videosorveglianza, ricordiamo che il nostro Studio ha elaborato e pubblicato sul proprio sito web un rapido ed utile Vademecum per l’installazione di impianti videosorveglianza, aggiornato alle più recenti novità normative italiane ed europee. È possibile consultare il Vademecum qui.


Contact tracing e COVID-19: il GDPR come punto di equilibrio tra tutela della salute e privacy

L’utilizzo di una tecnologia di contact tracing si rivela necessario ed essenziale per far fronte all’emergenza Covid-19 e tutelare la salute pubblica del nostro paese. Tuttavia, la mappatura degli spostamenti delle persone può comportare serie conseguenze in tema di protezione della nostra riservatezza. Come trovare quindi il giusto bilanciamento tra i due diritti fondamentali della salute e della privacy di ciascun individuo?

Contact tracing” (in italiano, “tracciamento dei contatti”) è l’espressione del momento. Si tratta di un sistema di tracciamento digitale dei contatti delle persone fisiche che rappresenta un’importante misura tecnologica di contenimento e prevenzione della diffusione del virus Covid-19 nel nostro Paese (e altrove).

Tale sistema di tracciamento verrebbe attuato mediante l’applicazione denominata “Immuni”,  progettata e sviluppata dalla software house milanese Bending Spoons che sarà lanciata in Italia (probabilmente) entro la fine del mese di maggio 2020 .

Il tracciamento dei contatti di singoli individui ed il conseguente utilizzo dei dati personali comuni e sensibili (tra cui i dati relativi alla salute) per finalità connesse alla tutela della salute pubblica comporta però ripercussioni sulla loro riservatezza.

Se da un lato, infatti, la tutela della salute è un diritto costituzionalmente garantito - “salute” intesa come fondamentale diritto dell’individuo e interesse della collettività ai sensi dell’art. 32 della Costituzione - dall’altro, la protezione dei dati personali (o riservatezza) è un diritto fondamentale espressamente previsto dalla Carta di Nizza e riconosciuto dalla nostra Costituzione.

Occorre inoltre domandarsi quali possano essere i risvolti pratici derivanti dall’utilizzo di una tecnologia di contact tracing sulla nostra vita quotidiana; come sia stato disciplinato, a livello normativo, il rapporto tra il diritto alla salute e quello alla protezione dei dati personali; e ancora se sia possibile confidare nell’utilizzo di questo nuovo strumento senza temere una violazione della nostra privacy.

1. Che cos’è “Immuni” e come funziona

Immuni è un’applicazione che può essere scaricata su ogni dispositivo di telefonia mobile e che genera - rispetto a ciascun dispositivo - un codice identificativo (ID) temporaneo, anonimo e variabile che interagisce, tramite la tecnologia “Bluetooth Low Energy”, con gli altri dispositivi mobili che si trovano nelle sue vicinanze, raccogliendo e memorizzando il codice ID ed i metadati di tali dispositivi (ad esempio, la durata dell’incontro con l’altro dispositivo, i metri di distanza, ecc.). Il titolare del trattamento dei dati raccolti dall’app Immuni è il Ministero della Salute.

Immuni verifica inoltre se tra i codici ID presenti nelle vicinanze vi siano anche i cd. “ID positivi”, ossia codici associati a dispositivi mobili di proprietà di soggetti già contagiati (o meglio, il cui contagio sia già stato accertato da una struttura sanitaria); per compiere questa operazione, Immuni scarica da un server a gestione pubblica gli ID positivi secondo intervalli di tempo regolari e li incrocia con l’ID del dispositivo su cui è installata. Successivamente, Immuni elabora i metadati raccolti tramite un apposito algoritmo e stabilisce se vi sia un “potenziale rischio di contagio” (più o meno elevato) da Covid-19.

Se la verifica dà esito positivo e Immuni ritiene che sussista un ragionevole rischio di contagio, l’utente riceve una notifica sul proprio dispositivo che lo informa di essere entrato in contatto con un soggetto contagiato e lo invita a seguire determinate istruzioni (tra cui, ad esempio, l’isolamento spontaneo domiciliare e/o l’effettuazione di approfondimenti diagnostici).

Facciamo un esempio pratico: Carlo e Giulia si incontrano per qualche minuto a breve distanza tra loro; hanno entrambi scaricato l’app Immuni e i loro dispositivi mobili catturano a vicenda l’ID dell’altro. Dopo qualche giorno, Carlo scopre di avere contratto il Coronavirus e decide spontaneamente (ricordiamo infatti che non v’è alcun obbligo in questo senso) di comunicare tale dato sensibile all’app Immuni. Nel frattempo, l’app installata sullo smartphone di Giulia esamina gli ID che ha raccolto e che ha conservato in memoria e li incrocia con quelli scaricati dal server pubblico, rilevando la presenza dell’ID di Carlo. A questo punto Giulia riceve una notifica dalla sua app Immuni che la avvisa di essere entrata in contatto con una persona risultata positiva al Coronavirus (senza indicare di chi si tratti) e la invita ad adottare determinati accorgimenti.

2. I pareri del Comitato europeo per la protezione dei dati e del Garante Privacy

Il Comitato europeo per la protezione dei dati (cfr. “Linee Guida 04/2020 sull'uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19”) e il Garante Privacy italiano (cfr. “Parere sulla proposta normativa per la previsione di una applicazione volta al tracciamento dei contagi da COVID-19”) hanno già avuto modo di esprimere il loro parere in merito all’utilizzo di strumenti di geo-localizzazione delle persone fisiche e di tracciamento dei contatti nel contesto dell’emergenza Covid-19 e hanno individuato quali accorgimenti andrebbero adottati al fine di garantire che i dati personali degli interessati siano trattati senza pregiudizio per i loro diritti e libertà fondamentali.

Nel merito, secondo il Garante Privacy il tracciamento dei contatti mediante l’utilizzo dell’applicazione Immuni, oltre ad allinearsi ai criteri individuati dal Comitato europeo, non appare in contrasto con i principi di protezione dei dati personali in quanto:

a) è disciplinato da una norma di legge che descrive in maniera sufficientemente dettagliata il trattamento dei dati, la tipologia di dati raccolti, le garanzie accordate agli interessati, la temporaneità della misura (il riferimento è all’art. 6 del D.L. 30 aprile 2020, n. 28);

b) si fonda sull’adesione volontaria dell’interessato, escludendo ogni forma di condizionamento della determinazione individuale e, quindi, eventuali disparità di trattamento per coloro che decidano di non acconsentire al tracciamento;

c) è preordinato al perseguimento di fini di interesse pubblico indicati con sufficiente precisione ed esclude il trattamento secondario dei dati raccolti per fini diversi, salva la possibilità (nei termini generali previsti dal GDPR) di utilizzo degli stessi, in forma anonima o aggregata, per fini statistici o di ricerca scientifica;

d) appare conforme ai principi di minimizzazione e ai criteri di privacy by design e by default (quindi ai principi di “protezione dei dati fin dalla progettazione” e “protezione dei dati per impostazione predefinita” di cui all’art. 25 del GDPR), nella misura in cui prevede la raccolta dei soli dati relativi alla prossimità o vicinanza tra dispositivi, il loro trattamento in forma pseudonima, sempre che non sia possibile in forma del tutto anonima, escludendo il ricorso a dati di geo-localizzazione e limitandone la conservazione al tempo strettamente necessario ai fini del perseguimento dello scopo indicato, con cancellazione automatica alla scadenza del termine.

A tal riguardo, è opportuno ricordare che, ai sensi dell’art. 6 del D.L. 28/2020, l'utilizzo di Immuni ed ogni connesso trattamento di dati personali dovranno terminare alla cessazione dello stato di emergenza e comunque non oltre il 31 dicembre 2020, con cancellazione o definitiva anonimizzazione di tutti i dati personali trattati;

e) si conforma al principio di trasparenza nei confronti dell’interessato, garantendone la dovuta informazione, in quanto gli utenti ricevono, prima dell'attivazione dell'app, un’informativa privacy ai sensi del GDPR.

Il Garante Privacy condivide e appoggia quindi l’utilizzo di Immuni ma mantenendo sempre un occhio di riguardo verso gli interessati: all’interno del proprio parere infatti l’Autorità precisa che, da un lato, potranno essere meglio individuate le caratteristiche del trattamento dei dati effettuato da Immuni e, dall’altro, adottate misure e accorgimenti adeguati a tutela dei diritti, delle libertà e dei legittimi interessi degli interessati (conformemente all’art. 2-quinquiesdecies del Codice Privacy e all’art. 36, comma 5, del GDPR).

3. Il GDPR come punto di equilibrio tra tutela della salute e protezione dei dati personali

È opinione purtroppo largamente diffusa, soprattutto tra i non esperti in materia, che la normativa privacy rappresenti sovente una mera “complicazione burocratica” che funge da ostacolo al perseguimento di tutti gli obiettivi che implicano un trattamento di dati personali.

Si tratta di un’opinione errata e fuorviante, spesso generata da una mancata conoscenza del diritto, oltre che pericolosa per le conseguenze cui la stessa potrebbe condurre - si pensi, nella fattispecie, alla remota possibilità di rinunciare in toto all’utilizzo di un sistema di contact tracing valido ed efficace per fronteggiare l’emergenza sanitaria da Covid-19 poiché asseritamente “incompatibile” con il diritto alla protezione dei dati personali.

Chi scrive è convinto che lo scenario attuale rappresenti il contesto ideale per dimostrare che, al contrario, la normativa privacy può (e deve) essere invece il “punto di equilibrio” per raggiungere anche gli obiettivi più ambiziosi - tra cui certamente la tutela della salute pubblica - senza rinunciare alla privacy.

Si ricordi innanzitutto che sul tema il Comitato europeo per la protezione dei dati ha avuto modo di chiarire che “i dati e le tecnologie utilizzati per contribuire alla lotta al COVID-19 devono servire a dare maggiori strumenti alle persone, piuttosto che a controllarle, stigmatizzarle o reprimerne i comportamenti”.

Da un attento esame del testo del Regolamento n. 679/2016 (cd. “GDPR”) si comprende inoltre che, con riferimento alle situazioni di emergenza sanitaria, il legislatore europeo non pone alcun ostacolo al perseguimento di interessi rilevanti nel settore della sanità pubblica (si vedano il considerando 52 e 54 e l’art. 9, comma 1, lett. g e i) - tra cui rientrano anche “il controllo e allerta, la prevenzione o il controllo di malattie trasmissibili e altre minacce gravi alla salute” - mediante il trattamento di dati personali.

Sulla stessa scorta, anche il Codice Privacy italiano - come da ultimo aggiornato dal D. Lgs. n. 101/2018 - richiama quanto previsto dal GDPR ed anzi considera come espressamente “rilevante” l'interesse di coloro che trattano dati personali per lo svolgimento di compiti di interesse pubblico (o connessi all'esercizio di pubblici poteri) in ambito sanitario e per la salvaguardia della sicurezza e salute della popolazione.

Si può quindi riaffermare che le norme in materia di protezione dei dati personali favoriscono l’adozione di misure e soluzioni volte ad arginare la diffusione del virus Covid-19, senza tuttavia rinunciare alla tutela della riservatezza degli individui.

Soluzioni che tuttavia - ed ecco il “punto di equilibrio” - devono sempre trovare il proprio fondamento e la propria regolamentazione in norme di legge che prevedano espressamente misure appropriate e specifiche per tutelare i diritti fondamentali e le libertà degli interessati, e ciò anche in relazione alle tipologie di dati che possono essere trattati, le operazioni di trattamento eseguibili e il motivo di interesse pubblico rilevante (cfr. art. 9, comma 1, lett. i del GDPR e art. 2-sexies del Codice Privacy).

4. Conclusioni e riflessioni

Possiamo quindi “fidarci” di Immuni? La risposta deve essere affermativa.

Come detto, l’utilizzo di tale applicazione è rimesso alla coscienza di ciascuno di noi, posto che il principio cardine cui tale app si ispira è il principio di volontarietà: ciascun utente, in altre parole, sarà libero di scaricarla, di inserire nell’app i propri dati personali, anche relativi allo stato di salute (i.e. la positività al Covid-19) e di seguire o meno le istruzioni ricevute dall’app a seguito di un potenziale contatto con una persona contagiata.

Gli esperti ci informano però che almeno il 70% della popolazione dovrebbe scaricarla affinché la stessa possa contribuire ad un significativo contenimento della pandemia. È un obiettivo certamente ambizioso, che per essere raggiunto necessita innanzitutto di una campagna di sensibilizzazione della popolazione volta a rendere facilmente comprensibile, soprattutto ai non esperti della materia, quali siano le garanzie individuate dal Governo a tutela della nostra privacy.

Riassumendo, le garanzie che Immuni pone a protezione dei nostri dati personali e che ognuno ha il dovere di conoscere sono: la trasparenza nei confronti degli interessati (sapremo quindi prima di registrarci all’app, ad esempio, per quali finalità saranno trattati, per quanto tempo e a chi saranno comunicati i nostri dati personali), l’esclusività dello scopo del trattamento (i nostri dati saranno utilizzati solo per il contenimento dei contagi, escludendo altri diversi fini) e la minimizzazione del trattamento (saranno raccolti solo i dati necessari per poter tracciare i nostri contatti e saranno adottate tecniche di anonimizzazione e pseudonimizzazione affidabili).

Ma non solo. Diffondere una corretta conoscenza delle norme in materia di protezione dei dati personali, il loro reale significato, la loro funzione e il loro valore si rivela, in realtà, ancora più importante, se non indispensabile ed essenziale, per contribuire ad una diffusa “cultura giuridica” e per perseguire un ambizioso obiettivo cui tutti noi siamo chiamati in questo delicato periodo storico.

Lo ha ribadito espressamente la presidente del Comitato europeo per la protezione dei dati, Andrea Jelinek, alla Commissione Europea affermando: “l’adozione volontaria di un sistema di contact tracing va di pari passo con la fiducia individuale, e ciò sottolinea ulteriormente l’importanza dei principi di protezione dei dati”.

Consapevolezza e fiducia. E viceversa.