A quasi due anni dalla piena operatività delle disposizioni del GDPR, alcuni strumenti di trattamento dati vengono spesso sottovalutati in un’ottica di compliance: nello specifico, nell’utilizzo di account mail e servizi di messaggistica istantanea come WhatsApp, il trattamento dati svolto per proprio conto dai fornitori di tali servizi non sempre viene gestito in maniera adeguata, esponendosi a violazioni e sanzioni e con pesanti ripercussioni sulla privacy degli utenti.
Indice degli argomenti
L’esternalizzazione del trattamento
Affidare un determinato servizio ad un soggetto terzo, può spesso implicare anche una esternalizzazione del trattamento di dati personali.
In un’ottica di responsabilizzazione e consapevolezza, il titolare del trattamento è tenuto ad avere una visione chiara del flusso dei trattamenti e di tutti i soggetti che a vario titolo sono in esso coinvolti.
Laddove il trattamento svolto dal fornitore rientri nello schema titolare/responsabile, conformemente a quanto previsto dall’art. 28 del GDPR, sarà necessario predisporre o verificare l’esistenza di un contratto o altro atto giuridico che stabilisca le responsabilità a carico del fornitore, disciplinando in concreto la raccolta, l’elaborazione, l’utilizzo e la conservazione di dati personali che gli vengono affidati, così come i vincoli connessi a tali trattamenti.
Tale accordo volto a regolare i rapporti tra titolare e responsabile è uno dei punti cardine del GDPR e del principio di accountability. Esso dimostra infatti che il titolare ha posto in essere una scelta ponderata e consapevole, imponendo al fornitore che effettui trattamenti per proprio conto una serie di obblighi e garanzie volti a tutelare la sicurezza dei dati e i diritti degli interessati.
In linea di massima, tale atto dovrebbe prendere forma su iniziativa del titolare, in quanto è tale soggetto che conosce le specifiche dei trattamenti e che ne analizza i rischi connessi, senza tralasciare infine che è in capo ad egli che permangono tutte le responsabilità. È però altrettanto vero che in molti casi il titolare si trova in una posizione di svantaggio rispetto al fornitore/responsabile.
I rapporti di forza contrattuali non sempre riflettono la relazione gerarchica prevista dalla normativa sui dati personali e il titolare si trova in diversi casi ad avere un potere contrattuale decisamente inferiore al responsabile.
È difficile pensare che una realtà aziendale che opera a livello nazionale o addirittura internazionale con un enorme quantitativo di clienti possa analizzare e siglare singoli accordi in termini di trattamento di dati personali svolti per conto dei clienti, con ognuno di essi.
In queste ipotesi è sicuramente più probabile che sia il fornitore a predisporre un Data Protection Agreement (DPA) in cui riconosce il suo ruolo di responsabile e comunica al cliente/titolare i propri obblighi e tutte le garanzie offerte.
Sarà dunque interesse del cliente/titolare verificare innanzitutto l’esistenza di tale DPA, valutandone poi il contenuto per capire se le garanzie offerte rispondano alle esigenze della propria specifica realtà organizzativa e, eventualmente, confrontandole con quelle offerte da altri fornitori.
Account di posta elettronica
Sul fatto che i fornitori di servizi di posta elettronica trattino dati personali in qualità di responsabili del trattamento non ci sono dubbi, lo stesso Garante lo ha ribadito in precedenti provvedimenti[1]. Nonostante questo, però nell’utilizzo di tale strumento non sempre viene prestata la dovuta attenzione.
Tra le imprese e i professionisti sono ancora numerosi coloro che si avvalgono di account mail di tipo gratuito violando di fatto le disposizioni del GDPR in materia. I provider gratuiti, infatti, non consentono a chi li utilizza di soddisfare il principio di accountability per diversi motivi.
Da un lato, non tutti garantiscono un adeguato livello di controllo sulla sicurezza. In taluni casi non c’è neanche la garanzia che i dati ricavati dalle e-mail non vengano utilizzati per scopi di profilazione, o addirittura la possibilità che, in caso di inattività prolungata, la casella venga disattivata e i messaggi in essa contenuti eliminati.
Dall’altro, trattandosi di servizi pensati per utenti privati – e in quanto tali non soggetti alle disposizioni del GDPR – il fornitore non è tenuto a riconoscere nessun ruolo di responsabile del trattamento e tutti gli obblighi che da tale ruolo derivano e, conseguentemente, non esiste alcun DPA a cui poter fare riferimento. E appare ancora più difficile l’ipotesi di poter negoziare singolarmente con il fornitore del servizio di posta elettronica un accordo ex art.28.
Prendiamo ad esempio il caso di Google che propone due tipologie di account: uno gratuito e uno pensato per gli utenti business (in abbinamento al servizio cloud). Sebbene anche nel caso di account mail gratuito le misure di sicurezza offerte potrebbero in taluni casi anche essere considerate adeguate in termini di protezione da accessi non autorizzati e da alterazione, divulgazione e distruzione non autorizzate (crittografia, controllo di sicurezza, verifica a due passaggi ecc.), nulla viene esplicitato in termini di gestione e comunicazione dei data breach, eventuale ricorso a sub-responsabili, e così via.
E questo non per una mancanza di Google, ma per il semplice fatto che l’utilizzo di gmail non è pensato per utenti titolari del trattamento soggetti all’applicazione del Regolamento europeo.
Se consideriamo invece Gsuite, account mail di Google in versione business, la situazione è nettamente diversa. In questo caso, infatti, Google prevede un DPA in cui riconosce il suo ruolo di responsabile del trattamento[2] e tutte le specifiche sul trattamento dati e le garanzie richieste dall’art.28: finalità del trattamento, modalità di cancellazione dei dati, sicurezza dei dati, notifica di eventuali violazioni dati e relative informazioni fornite, assistenza nello svolgimento della valutazione d’impatto, garanzie nel caso in cui a sub-responsabili, trasferimento dati e via dicendo.
Le misure di sicurezza, inoltre, sono ulteriormente approfondite nell’Appendix 2, fornendo informazioni dettagliate a riguardo, consentendo in questo modo al cliente/titolare di poter fare tutte le valutazioni del caso.
Alla luce di questo esempio, appare evidente che la scelta del provider di posta elettronica non può essere casuale, ma deve necessariamente tener conto dell’utilizzo aziendale a cui è destinato e della necessità di soddisfare i requisiti del Regolamento, art.28 in primis. Gsuite, ovviamente, è solo una delle possibilità.
Diversi sono infatti i fornitori (ad esempio Aruba, Microsoft ecc.) che prevedono account mail in versione business in grado di offrire una serie di strumenti che consentono al titolare di amministrare centralmente l’account, consentendogli di esercitare il proprio controllo e applicare, laddove necessario, misure di mitigazione come disabilitare gli accessi, cancellare i dati salvati e così via.
Si tratta solo di individuare il servizio che meglio risponda alle proprie esigenze, ma sempre e comunque nel rispetto del Regolamento.
WhatsApp e la privacy degli utenti
Le applicazioni di messaggistica istantanea come WhatsApp sono nate principalmente per un uso personale. Nel corso del tempo, però, questa modalità di comunicazione si è sempre più affermata anche tra imprese e professionisti.
Laddove si intenda utilizzare questi strumenti per interagire con i propri clienti e fornitori o per comunicare con i propri dipendenti e collaboratori è però indispensabile considerare e rispettare i principi del GDPR.
Il trattamento dati svolto per proprio conto dai fornitori dei servizi di messaggistica istantanea, pertanto, dovrà necessariamente soddisfare i requisiti del Regolamento, art.28 in primis.
Come nel caso degli account di posta elettronica, la versione gratuita di WhatsApp, non offre le dovute garanzie e il suo utilizzo non può essere considerato GDPR compliant. Se da un lato l’utilizzo della cifratura end-to-end garantisce una certa sicurezza in termini di protezione dei dati in transito da eventuali attacchi di intercettazione, assicurando che solo il mittente e il destinatario abbiano le chiavi per poter aprire e leggere i messaggi, manca per il titolare la possibilità di esercitare un effettivo controllo sui dati, nonché l’accordo scritto che imponga al fornitore del servizio gli obblighi richiesti dall’art. 28.
Accordo che invece è stato predisposto per i servizi di WhatsApp Business. In questo caso, infatti, vengono individuati all’interno del documento Termini per il trattamento dei dati di WhatsApp Business gli obblighi di WhatsApp in qualità di responsabile del trattamento.
In tale documento, la società che fa capo a Facebook, riconosce tra i suoi obblighi:
- implementazione di misure tecniche e organizzative adeguate alla protezione dei dati;
- notifica senza ingiustificato ritardo di eventuali data breach;
- assistenza all’utente per dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
- assistenza nel garantire gli obblighi di cui agli articoli da 32 a 36 del GDPR;
- disponibilità a mettere a disposizione – dietro richiesta – tutte le informazioni ragionevolmente necessarie per dimostrare la conformità di WhatsApp ai suoi obblighi legali in qualità di responsabile del trattamento;
- rispetto della normativa nell’affidamento dei propri obblighi ad altri responsabili del trattamento, mediante accordo scritto che imponga agli altri responsabili i medesimi obblighi gravanti su WhatsApp;
- trasferimento dei dati personali sulla base dello Scudo UE-USA e delle clausole contrattuali standard approvate dalla Commissione Europea.
Conclusioni
Alla luce del principio di accountability che sta alla base della normativa che disciplina il trattamento di dati personali, la scelta dei fornitori deve necessariamente tener conto dei processi aziendali coinvolti e dei flussi di dati ad essi connessi, prestando particolare attenzione alla disciplina dei rapporti con i soggetti che ne prendono parte.
Il fornitore che tratta i dati personali per conto del cliente/titolare, dovrà essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché garantire la tutela dei diritti dell’interessato.
Non dimentichiamoci, infatti, che il titolare del trattamento risponde in prima persona della gestione effettuata dal responsabile e, proprio per questo, è di assoluta importanza ricorrere a responsabili che prestino garanzie sufficienti per mettere in atto le misure tecniche e organizzative che soddisfino i requisiti del GDPR, e che soprattutto rispondano alle specifiche esigenze del titolare emerse in sede di valutazione del rischio del trattamento, considerando anche l’eventuale intervento di responsabili.
Un fornitore che non rispetti il GDPR o che non offra adeguate garanzie e supporto in termini di misure di sicurezza, gestione dei data breach e delle richieste di esercizio dei diritti da parte degli interessati, trasferimenti dei dati all’estero. può mettere in pericolo la sicurezza dei processi di trattamento dei dati personali, oltre ad esporre il committente a pesanti sanzioni a prescindere dal verificarsi di un danno effettivo per la privacy degli interessati.
Partendo dal presupposto che qualsiasi trattamento di dati personali, indipendentemente dallo strumento che si utilizza, è soggetto alla normativa sui dati personali, appare pertanto fondamentale assicurarsi di utilizzare strumenti di trattamento dati che siano pensati per un’utenza business e che prevedano il trattamento dei dati personali per conto del cliente/titolare in qualità di responsabile.
NOTE
- Provvedimento 22 dicembre 2016, n. 547 ↑
- Nello specifico al punto 5.1.1 si riporta: “Google is a processor of that Customer Personal Data under European Data Protection Law; Customer is a controller or processor, as applicable, of that Customer Personal Data under European Data Protection Law; and each party will comply with the obligations applicable to it under European Data Protection Law with respect to the processing of that Customer Personal Data”. ↑
