Nell’era della digitalizzazione e degli algoritmi, i dati sono elementi sempre più importanti ed essenziali nelle nostre vite, la tutela e la salvaguardia di essi sono sinonimo di tutela del diritto alla persona garantendo la dignità e l’autonomia di ogni individuo; le autorità garanti rappresentano, in questo quadro, una garanzia concreta della nostra libertà e dei nostri diritti. Infatti, il caso in questione ha interessato un’importantissima multinazionale rea di aver trasferito milioni di dati personali dei clienti (utenti) ad una società affiliata di ricerca e marketing. Le indagini sono state avviate a seguito di notizie sui media e di una segnalazione anonima; le violazioni sono state inquadrate in un periodo specifico tra il 2018 e il 2019, periodo legato inesorabilmente anche alla crisi sanitaria e all’aumento esponenziale dell’utilizzo di dispositivi digitali, con conseguente massiva immissione di dati personali nel web legate alle attività di navigazione on line. Ad aggravare la violazione vi è stata la poca trasparenza dell’informativa sulla privacy, causando disinformazione a discapito dell’utente, legato anche al fatto che il software, prodotto dall’azienda, non consentiva la disattivazione di alcune opzioni sulla privacy, violando così le rigide norme europee sulla protezione dei dati personali (GDPR). Il 10 aprile 2024 l’autorità garante della protezione dei dati della Repubblica Ceca ha imposto una multa in via definitiva di 13.9 milioni di EURO nei confronti di questa società.
Tutto è iniziato nel 2020, quando una segnalazione anonima ha acceso i riflettori su pratiche poco chiare all’interno di un’importantissima azienda, nello specifico una multinazionale di software specializzata in sicurezza informatica e antivirus. A seguito delle indagini avviate da un’autorità di controllo, è stato scoperto che l’azienda aveva trasferito dati di navigazione di circa 100 milioni di utenti ad una società affiliata, sostenendo che erano stati resi completamente anonimi e che sarebbero stati utilizzati solo per analisi statistiche. L’autorità ha scoperto che i dati, nonostante fossero stati pseudoniminizzati e nonostante fossero stati eliminati alcuni identificatori web, potevano essere collegati a specifici individui violando così i principi fondamentali del GDPR, nella fattispecie in riferimento gli arti 6 , riguardo alla mancanza di una base legale per il trattamento dei dati; e 13 del GDPR, in quanto l’Accusato non ha fornito informazioni chiare riguardo alla natura dei dati trattati e alle finalità del trattamento, il che ha impedito agli interessati di prendere decisioni informate riguardo ai loro dati personali.
La decisione di primo grado è stata emessa dall’Autorità di controllo ceca il 14 marzo 2022, questa decisione è stata impugnata, quindi, dal responsabile del trattamento dei dati con ricorso amministrativo. L’Autorità ha emesso la decisione di appello il 10 aprile 2024, respingendo le obiezioni dell’appellante, come si vedrà in seguito. In riferimento a ciò detto, l’accusato ha ampiamente contestato la decisione dell’ufficio, sostenendo di essere stato privato del diritto di difesa a causa della mancata concessione dell’accesso a documenti cruciali relativi alla cooperazione internazionale, in particolare quelli riguardanti le opinioni di altre autorità di vigilanza. Secondo l’accusato, questa mancanza di trasparenza ha influenzato negativamente l’esito del procedimento.La corte, tuttavia, ha ritenuto che il procedimento sia stato condotto correttamente, in conformità con le normative vigenti, e che l’accusato abbia avuto tutte le opportunità per difendersi. Nello specifico la controversia si è incentrata sul diritto dell’accusato di accedere a tutte le informazioni rilevanti per il caso e sulla valutazione del peso che le opinioni delle autorità straniere hanno avuto nella decisione finale. In tal senso l’accusato ha sostenuto che la sua esclusione dal processo di cooperazione internazionale ha reso il procedimento ingiusto; con la sua replica, l’autorità ceca, ha garantito invece un processo equo e imparziale e in conformità con le normative applicabili.
Un passaggio fondamentale del caso riguarda l’informativa sul trattamento di competenza del responsabile dei dati dell’azienda accusata; essa è stata ritenuta poco trasparente, o poco chiara, in virtù del reale scopo del trasferimento dei dati in questione; di fatto l’azienda è stata accusata di non aver informato adeguatamente gli utenti riguardo le finalità del trattamento dei loro dati. In questo senso l’Imputato ha contestato le conclusioni dell’autorità amministrativa di primo grado circa la violazione dell’obbligo di informare, sposando la tesi di aver informato i propri clienti circa il trasferimento di dati per scopi di analisi statistica e di averli pseudonomizzati, per cui l’Imputato sostiene di aver informato sufficientemente i propri clienti; tesi respinta dall’autorità confermando che le informazioni fornite risultano contraddittorie e disorganizzate.
Tra le accuse vi è anche l’impossibilità di disattivare le impostazioni sulla privacy preinstallate nella versione gratuita del software antivirus, infatti, l’ispezione fatta dalle autorità ha svelato che l’azienda raccoglieva una vasta gamma di informazioni personali dagli utenti, come nome, e-mail, indirizzo e persino l’indirizzo IP. Questi dati venivano poi trasferiti a terze parti per analisi di mercato, senza un’adeguata tutela della privacy. Il tema non può prescindere da una valutazione anche delle componenti tecniche di navigazione; infatti, bisogna dire che un URL (Uniform Resource Locator) è composto da vari elementi, tra cui il protocollo (es. HTTP), la parte dell’indirizzo (sottodominio, nome di dominio, dominio di primo livello), il percorso (che indica la directory del sito), la query (parametri di ricerca che seguono il simbolo “?”) e il frammento (che punta a una posizione specifica nella pagina). Alcuni di questi componenti possono contenere informazioni personali identificabili; durante il processo di anonimizzazione, solo alcune parti degli URL vengono rimosse. Tuttavia, anche dopo la rimozione di alcune informazioni, è possibile tracciare il comportamento degli utenti online, come i siti visitati e le azioni compiute. Se questi dati vengono combinati con altre fonti, c’è un alto rischio di re-identificazione degli utenti, l’eliminazione di alcuni identificatori evidentemente non è stato una misura sufficiente. Secondo la multinazionale dati trasferiti erano cronologie di navigazione anonimizzate, che potevano fornire preziose informazioni statistiche senza identificarne gli utenti; sostenendo che gli esiti ispettivi si sarebbero basati su speculazioni infondate piuttosto che su prove concrete. L’azienda è stata anche accusata di assegnare a ogni utente un codice identificativo unico, collegato ai dati di pagamento e ad altre informazioni personali.
Ciò detto la decisione di primo grado, confermato in appello, sottolinea il rispetto le regole sulla privacy, anche quando si usano tecniche per rendere i dati meno identificabili; in tal senso il considerando 28 del GDPR sottolinea che la pseudonimizzazione può ridurre i rischi per i soggetti interessati e aiutare i titolari del trattamento a soddisfare i loro obblighi di protezione dei dati. L’opinione n. 5/2014 del Gruppo di lavoro Articolo 29 evidenzia che creare un dataset veramente anonimo è complesso, poiché potrebbe comunque essere possibile identificare gli individui quando combinato con altri dataset. L’anonimizzazione è definita come una tecnica per la de-identificazione irreversibile, garantendo che i soggetti dei dati non possano essere identificati con mezzi ragionevolmente utilizzabili. Se un titolare del trattamento conserva dati identificabili per più del tempo necessario del motivo del loro utilizzo compie una violazione.
L’Autorità di controllo ceca è forte nell’affermare che la vera anonimizzazione avviene con la rimozione dei dati personali in termini assoluti, mentre la pseudonimizzazione mitiga semplicemente i rischi senza alterare la natura personale dei dati. In tal senso interviene anche la sentenza della Corte di Giustizia nel caso C-582/14, sulla definizione di dato personale a supporto della prospettiva oggettiva; confermando che l’identificazione è possibile se i dati, pur pseudonimizzati, sono detenuti da una terza parte, quindi considerati personali (associabili ad una persona). La sentenza evidenzia l’importanza dei divieti legali e l’onere della prova a carico del titolare del trattamento.” In sostanza, in riferimento al caso specifico la società non è riuscita a dimostrare di aver raggiunto questo livello di anonimato.”
A fronte di queste considerazioni, è possibile affermare che non è necessario dimostrare che la re-identificazione sia effettivamente avvenuta; è sufficiente che ci sia la possibilità che possa verificarsi, il che rappresenta una violazione degli interessi legali protetti; la semplice pseudonimizzazione dei dati non è sufficiente a garantire la protezione della privacy, specialmente quando esiste la possibilità di re-identificazione, e che le misure contrattuali per prevenire tale re-identificazione non sostituiscono una vera e propria anonimizzazione dei dati.
Secondo il GDPR, i responsabili sono tenuti a pianificare anticipatamente e a mettere in atto processi in grado di limitare tempestivamente gli effetti di una violazione, sposando un approccio “privacy by design” valutarne il rischio e se necessario notificare, in tempi utili, la violazione all’autorità di controllo competente e comunicarla alle persone fisiche interessate, ove necessario. La notifica all’autorità di controllo dovrebbe costituire parte del piano di intervento in caso di incidente.
Questo caso conferma la tesi secondo cui i dati rappresentano una fonte inesauribile di ricchezza, essi sono utilizzati per molteplici scopi finalizzati al raggiungimento di più obiettivi, dalle analisi di mercato per scopi commerciali di vario genere, all’erogazione di servizi pubblici, alle pratiche di pubblica sicurezza e così via; in sostanza definire le responsabilità sul loro trattamento e la garanzia della loro integrità rappresentano un elemento molto attenzionato e di estrema attualità. In questo senso ha peso determinante l’azione di controllo delle autorità nazionali e l’esercizio del proprio potere sanzionatorio, nei termini della tutela e della garanzia dei diritti delle persone e soprattutto una salvaguardia della libertà delle persone e della democrazia nell’utilizzo degli strumenti digitali.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
