istituto di statistica

Privacy violata da un ente pubblico: la storia dietro la maximulta portoghese

Il Garante portoghese per la privacy ha stabilito che i dati pubblicati dall’Istituto nazionale di statistica sono stati raccolti al di là di quanto reso lecito dal Gdpr e, in aggiunta, non argomentando in modo chiaro l’assenza dell’obbligo di risposta da parte dei cittadini. Un caso che fa scuola in Europa

Pubblicato il 22 Feb 2023

Beatrice Piletti

Lawyer, DPO, Privacy & Data Protection Consultant

data privacy framework usa eu

La Comissão Nacional de Proteção de Dados (Cnpd), ossia l’Autorità garante portoghese per la protezione dei dati personali, ha pubblicato lo scorso 12 dicembre un provvedimento con il quale ha comminato una sanzione di 4,3 milioni di euro all’Instituto Nacional de Estatística (Ine).

La decisione (Deliberação/2022/1072) è di notevole interesse, non soltanto perché commina la sanzione più elevata finora registrata nel contesto europeo a un’autorità pubblica, ma anche perché analizza e ribadisce numerosi fondamentali principi in materia di trattamento dei dati personali.

Scorza: “Perché abbiamo bloccato Replika, minori a rischio”

I fatti

L’Instituto Nacional de Estatística (Ine), ossia ciò che in Italia è l’Istituto nazionale di statistica (Istat), è competente per la produzione indipendente e imparziale di informazioni statistiche.

In questo caso l’Ine, in qualità di Titolare del trattamento, ha posto in essere tra il 19 aprile e il 31 maggio 2021 un’operazione di censimento (Censos 2021), con l’obiettivo di raccogliere informazioni sulla popolazione e sul patrimonio abitativo del Portogallo. La raccolta di tali informazioni è stata effettuata tramite l’invio, ai cittadini portoghesi, di un modulo – sia in versione cartacea che in versione digitale – contenente una serie di quesiti ai quali era obbligatorio rispondere, pena l’applicazione di una multa tra i 500 e i 25.000 euro.

Dopo aver ricevuto diversi reclami la Cnpd ha svolto un’approfondita attività di indagine, elaborando un progetto di Delibera (nell’ottobre del 2021) che inizialmente imputava all’Ine la commissione di ben dieci infrazioni e dava ordine di sospendere l’invio dei dati personali dell’operazione censuaria agli Usa e ad altri Stati terzi senza un adeguato livello di protezione.

Successivamente, con Deliberação/2022/1072, le infrazioni contestate sono state ridotte a cinque, ossia:

  • illecito trattamento di categorie particolari (“especiais”) di dati (punti 123 – 162 del provvedimento),
  • violazione degli obblighi informativi (punti 167-186),
  • violazione dei doveri di diligenza nella scelta del “Subcontratante” / Responsabile del trattamento (punti 187-234),
  • violazione dei principi sul trasferimento internazionale dei dati (punti 235-294),
  • omesso svolgimento della valutazione d’impatto sulla protezione dei dati personali (punti 295-348).

Dopo essere entrata nel merito della propria competenza a pronunciarsi sui fatti occorsi e sulla sussistenza di eventuali profili di violazione del principio del ne bis in idem, la CNPD si è pronunciata sul trattamento di categorie di dati particolari.

Le violazioni contestate

All’interno dei moduli somministrati durante le attività di censimento vi erano alcuni quesiti (segnatamente, quelli dal 29.3 al 29.6 e 30) che implicavano la raccolta di dati personali idonei a identificare soggetti con difficoltà di locomozione, concentrazione ovvero difficoltà nello svolgimento di attività quali vestirsi o fare il bagno, oltre a domande inerenti alla religione eventualmente professata.

A fronte della contestazione dell’illegittimità del trattamento di tali dati l’Imputato (“arguido”) si è prima giustificato affermando che la raccolta di tali informazioni non comportasse il trattamento di categorie di dati particolari per poi rivendicare che, in ogni caso, in quanto autorità nazionale di statistica tale attività fosse svolta nell’ambito della lettera J, paragrafo 2, articolo 9 del General Data Protection Rgulation (Gdpr), relativa al trattamento per motivi di interesse pubblico nella sanità pubblica e che, pertanto, non necessitasse del consenso dell’interessato del trattamento.

A sostegno delle proprie argomentazioni veniva poi lamentato il mutamento normativo, tale da giustificare eventuali errori circa il regime giuridico vigente e che, in ogni caso, i quesiti oggetto di censura erano stati presentati agli interessati come facoltativi grazie ad un banner informativo.

La Cnpd ha rilevato che:

  • i dati raccolti integrano, indiscutibilmente, dati “che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” (articolo 9, paragrafo 1, Gdpr),
  • a seguito dell’entrata in vigore del Gdpr il quadro giuridico in materia di trattamento di dati particolari è profondamente mutato, come peraltro chiarito anche dalle Linee guida 03/2020 sul trattamento dei dati relativi alla salute a fini di ricerca scientifica nel contesto dell’emergenza legata al Covid-19,
  • dovendosi concludere che è stato effettuato un trattamento di categorie di dati particolari è necessaria, oltre alla sussistenza della condizione di cui alla lettera E del paragrafo, articolo 6 (esecuzione di un compito di interesse pubblico), la sussistenza di una delle condizioni di cui all’articolo 9 del Gdpr,
  • la Legge del Sistema statistico nazionale (Legge 22/2008) riconosce all’Ine il potere di esigere, con carattere obbligatorio, la fornitura di dati personali da parte dei cittadini portoghesi, con l’eccezione dei casi in cui si tratti di dati cosiddetti particolari. Infatti, in simili ipotesi la normativa portoghese stabilisce, coerentemente anche con l’art. 89 del Gdpr (Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici), che il trattamento dei dati particolari a fini statistici debba essere accompagnato da una misura adeguata ad assicurare la proporzionalità del trattamento in relazione alle finalità del trattamento, alla minimizzazione e al rispetto dei diritti degli interessati, in tal caso individuata nella necessaria manifestazione di volontà dell’interessato,
  • pertanto, ai fini della validità di tale manifestazione di volontà, sarebbe stato necessario fornire un’informazione chiara e completa circa il carattere facoltativo della fornitura dei dati, informazione in tal caso carente, essendo insufficiente la mera possibilità (comunque non esplicitata) di procedere nella compilazione senza rispondere ai quesiti “facoltativi”.

In conclusione, atteso la Legge del Sistema statistico nazionale fa dipendere la liceità della raccolta di dati personali “sensibili” dal suo carattere facoltativo e dalla prestazione di un’informazione su tale facoltatività, il trattamento di tali dati da parte dell’Ine è stato dichiarato illecito.

La violazione degli obblighi informativi

La Cnpd ha poi sanzionato l’Ineper violazione degli obblighi informativi previsti dagli artt. 12 e 13 del Gdpr, nei termini di seguito specificati.

In primo luogo, è stata criticata la scelta di inserire all’interno del solo sito internet dell’Istituto l’informativa (Privacy policy) sul trattamento dei dati personali, tenuto conto che la raccolta è avvenuta tanto online quanto attraverso moduli cartacei.

In secondo luogo, la Privacy policy contenuta sul sito è stata ritenuta in ogni caso non conforme al Gdpr in quanto:

  • riguarda genericamente il trattamento di dati da parte dell’Ine e non, in maniera specifica e granulare, la raccolta dei dati nell’ambito dell’operazione censuaria del 2021 (come dimostra la data della Privacy policy, 2019)
  • la localizzazione sul sito, considerata “labirintica”, non rende facilmente accessibili le informazioni. Nel caso specifico era necessario andare in fondo alla pagina, selezionare diversi link per giungere a un’ulteriore indicazione che conduceva alla Privacy policy
  • in ogni caso tali informazioni non sono state fornite al momento della raccolta dei dati, come previsto dall’articolo 13, paragrafo 1 del Gpdr (raccolta presso l’interessato).

È stata quindi contestata la mancata fornitura di informazioni in forma concisa, trasparente, intellegibile e di facile accesso, come previsto dal Gdpr.

Responsabile del trattamento, violazione dei doveri di diligenza

Dalle indagini svolte dalla Cnpd è emerso che l’Ine aveva appaltato i servizi a CloudFlare Inc., una società che fornisce servizi di distribuzione di contenuti e servizi di sicurezza Internet, e che simile scelta fosse dipesa non solo dal livello di sicurezza e rigore nella gestione dei dati personali da parte della società americana, ma anche dalla mancanza di alternative sul mercato.

L’Autorità Garante, dopo aver ordinato – già con Delibera del 2021 – la sospensione immediata del trasferimento dei dati al di fuori dello Spazio economico europeo (See), ha sanzionato l’Ine in quanto:

  • la verifica dei requisiti di cui all’articolo 28 del Gdpr, ossia la sussistenza di determinate caratteristiche in capo al Responsabile del trattamento, deve essere sostanziale e non meramente formale, ossia è necessario che la scelta del Responsabile avvenga a seguito di una due diligence, non essendo accettabile la giustificazione che fosse l’unica “opzione” disponibile sul mercato,
  • in ogni caso esistono imprese europee che forniscono servizi di Content Delivery Network (Cnd),
  • non ha rilevanza il fatto che la CloudFlare Inc. ha un ufficio a Lisbona, in quanto la sede principale è negli Usa e nel contratto è stato previsto che il foro per eventuali giudizi è il Tribunale della California,
  • il servizio implica l’utilizzo di server – circa 200 – siti in varie zone del mondo, la maggior parte fuori dallo See e in giurisdizioni “che non sono compatibili con la legislazione europea” e che, in ogni caso, nel contratto di hosting era espressamente autorizzato il trasferimento di dati personali al di fuori dello See sulla base delle clausole contrattuali standard del 2010,
  • nel contratto è stata prevista una clausola autorizzativa generale al ricorso a sub-responsabili, anche stabiliti in Paesi terzi.

Ebbene, la Cnpd, pur ammettendo che le clausole contrattuali standard costituiscano un valido strumento di trasferimento dei dati in paesi terzi, ha affermato la necessità di verificare se la legislazione del paese terzo non diminuisca o annulli le garanzie offerte dalle clausole stesse.

Richiamando la sentenza Schrems II della Corte di giustizia (punti 206 e seguenti), l’Autorità garante ha ricordato le ormai note ragioni per le quali il trasferimento di dati negli Usa non garantisce un livello di protezione adeguato secondo quanto stabilito dal Gdpr e dalla Carta dei diritti fondamentali dell’Ue, salvo che non siano adottate misure adeguate che possano dimostrare che la legislazione americana che disciplina i programmi di vigilanza (sezione 702 del Foreign Intelligence Surveillance Act e decreto esecutivo 12333) non venga applicata o non avrebbe un effetto pratico sui trasferimenti di dati personali.

Tenuto conto della natura del fornitore, ossia un prestatore di servizi di comunicazione elettronica, non vi è dubbio che il medesimo sia soggetto al controllo da parte dell’Intelligence americana e, pertanto, non sussiste alcuna garanzia circa il fatto i dati dei cittadini residenti portoghesi, raccolti dall’Ine attraverso il suo sito, non siano oggetto di accesso da parte delle autorità statunitensi.

In tal senso sono stati ritenuti inconsistenti le osservazioni circa il fatto che Cloudflare Inc. si impegnasse a comunicare eventuali richieste di informazioni “salvo che tale notifica sia legalmente proibita”, trattandosi principalmente della “regola” rispetto a tali tipi di accessi.

In ogni caso, la Cnpd ha chiarito che a prescindere dalla Sentenza Schrems II e dalle Raccomandazioni dell’ European data protection board già potenzialmente conoscibili seppure pubblicate ai fini della consultazione pubblica al tempo dei fatti,  grava sul Titolare del trattamento l’obbligo di verificare che i trattamenti siano effettuati alle condizioni e nel rispetto dei limiti del Gdpr, in particolare nel caso di trattamento di dati particolari su larga scala.

Sentenza Schrems II, le big tech fanno finta di niente

Trasferimento internazionale dei dati, violazione dei principi

Rispetto ad eventuali trasferimenti di dati fuori dallo See, l’Ine ha ripetutamente asserito che nell’ambito delle attività censuarie del 2021 i dati sarebbero stati conservati esclusivamente su server siti a Lisbona, essendo il server di riferimento – da contratto – quello geograficamente più vicino al Titolare. Tale assunto è stato rigorosamente contestato dal Cnpd, il quale ha dichiarato che è impossibile avere una simile certezza.

Inoltre, analizzando dal punto di vista tecnico il funzionamento dei siti web, il Cnpd ha ribadito che sia la richiesta di risorse statiche quanto quella di risorse dinamiche sono state veicolate sulle macchine di responsabilità della CloudFlare Inc., e che non è possibile ritenere, come rivendicato dall’Ine, che le stesse siano state trasmesse al centro dei dati dell’Ine in seguito al transito sulle strutture dei server della stessa CloudFlare Inc.

Pertanto, il trasferimento dei dati è stato ritenuto posto in essere in violazione degli articoli 45 e seguenti del Gdpr, non essendo state adottate – per natura stessa del servizio offerto – le uniche due misure effettivamente sufficiente ad impedire l’accesso da parte dell’Intelligence americana: la pseudonimizzazione e la cifratura dei dati senza trasmissione della chiave di decriptazione.

Omesso svolgimento della valutazione d’impatto

Infine, all’Ime è stata contestata la mancata valutazione di impatto del trattamento. Nelle proprie difese l’Istituto ha osservato che già in passato aveva svolto dei trattamenti analoghi sulla base di un’Autorizzazione del 2011 della Cnpd mai modificata, sostituita o revocata la quale, anziché imporre una valutazione di impatto (Data protection impact assessment, Dpia) prevedeva l’adozione di misure di mitigazione dei rischi oltre a dichiarare che, in ogni caso, le attività censuarie sono state notevolmente complicate dal contesto pandemico.

La Cnpd, sul punto, ha stabilito che:

  • l’autorizzazione richiamata dall’Ine era limitata alle sole attività censuarie del 2011 e che, pertanto, i suoi effetti si erano già conclusi,
  • in ogni caso, quell’autorizzazione non includeva qualsivoglia trasferimento di dati verso paesi terzi, che necessita di essere analizzata e mitigata, e che, in ogni caso, non prevedeva la possibilità di ricorrere a Responsabili del trattamento,
  • in ogni caso, l’obbligo di Dpia deriva direttamente dall’articolo 35 del Gdpr, a fronte della raccolta di dati su larga scala – ossia la totalità della popolazione residente sul territorio nazionale – e di categorie particolari di dati, segnatamente dati relativi alle convinzioni religiose e alla salute, oltre che nelle Linee guida sulla Valutazione di impatto del WP 29,
  • la Dpia svolta durante le attività investigative, dunque successivamente alla raccolta dei dati, non reca una data certa e non è stato formalizzato da parte dell’Ine, oltre a non essere completa dal punto di vista sostanziale,
  • in ogni caso, il periodo pandemico non ha determinato una sospensione degli obblighi gravanti sui Titolari del trattamento.

Conclusioni

Dalla lettura della decisione del Garante emerge con nitore assoluto come i margini di “comprensione” da parte delle autorità di controllo si siano ormai inevitabilmente erosi e che, a ormai a quasi un quinquennio dalla definitiva entrata in vigore del Gdpr, non siano tollerabili leggerezze in materia di trattamento dei dati personali.

Inoltre costituisce un importante monito rispetto alla necessità di svolgere delle effettive attività di prequalifica dei fornitori, al fine di valutare attentamente i Responsabili del trattamento, oltre a dovere rivalutare tutte le casistiche nelle quali – nell’ambito della fornitura di servizi digitali, di fatto, la quasi totalità dei casi – sia dedotto nel Dpia un’autorizzazione generale alla nomina di sub-responsabili.

Infine, ma in tal caso la partita è stata forse riaperta con la pubblicazione della bozza di Decisione di adeguatezza della Commissione europea sul framework Ue-Usa, ancora una volta è stato ribadito che i trasferimenti dei dati fuori dallo See sono ammissibili solo e soltanto laddove sia assicurato un livello di protezione analogo a quello garantito nell’Ue.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

Prossimo

Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

Articolo 1 di 2