L'ANALISI

Istituzioni comunitarie e privacy: quanti errori nei servizi di newsletter

Durante un audit privacy “da remoto”, l’EDPS ha verificato la conformità al GDPR nell’invio di newsletter e altri servizi a sottoscrizione da parte delle istituzioni comunitarie: numerose le violazioni normative. Ecco le osservazioni dell’Autorità europea utili per tutti, privati e aziende comprese

24 Mag 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Dopo che l’EDPS (l’autorità di controllo data protection delle istituzioni comunitarie) ha recentemente bacchettato la Corte di Giustizia per incapacità nell’impostare banner e cookies in regola, lo stesso ente ha pubblicato i risultati di un audit “da remoto” verso le istituzioni sorvegliate, in merito all’invio di newsletter e simili servizi a sottoscrizione.

Ennesima occasione in cui, con sgomento, l’EDPS ha rilevato numerosi violazioni normative, anche basilari, che fanno sorgere altri interrogativi sulla capacità dell’Unione di essere coerente e di poter praticare quel che predica.

Vediamo di che si tratta con precisione: al di là dei particolari titolari esaminati, le osservazioni dell’ente di controllo sono utilissime per tutti, privati e aziende comprese, che molto spesso incappano nelle stesse violazioni, qui riassunte, quando implementano la newsletter.

L’audit da remoto dell’EDPS sulle newsletter

L’ente ha inviato alle istituzioni comunitarie dei questionari da compilare, oltre a effettuare alcuni accertamenti direttamente sui relativi siti web. Peraltro, nell’introduzione l’EDPS sottolinea che proprio sotto il pericolo Covid l’attività comunicativa e di informazione tra istituzioni e cittadini si è spostata online come mai prima e perciò si dovrebbe essere esemplari nel fornire servizi come quello di newsletter, oggetto dell’esame specifico, per i domini .eu registrati nel portale mailing list.

WHITEPAPER
Previeni i difetti di sicurezza nelle applicazioni: la soluzione in 5 punti
Sicurezza
Software

L’audit è stato avviato a settembre 2020. Ricordiamo che i parametri normativi utilizzati dall’EDPS sono sì quelli del Reg. 2018/1725 (artt. 7, 14 e 15) ma che in questo ambito sono del tutto coincidenti con quelli del GDPR (in particolare quanto previsto agli artt. 6, 7, 12 e 13), concernendo la trasparenza informativa e i requisiti del consenso.

L’EDPS quando segnala le violazioni riscontrate non cita mai quali siano le specifiche istituzioni “colpevoli”, limitandosi a indicare al più il numero di quelle cadute nel medesimo errore.

Informativa? No, grazie; “DPO” e “titolare” a chi?

Uno dei risultati più sconfortanti del report è scoprire che almeno quattro istituzioni non avevano nessuna informativa in merito alla newsletter, oppure non vi facevano riferimento in quella presente.

In un caso si faceva riferimento alla normativa pregressa del Reg. CE/45/2001, mentre in altri due casi il titolare rimandava all’informativa di un terzo fornitore responsabile (con un link a un’informativa di venti pagine peraltro di diritto USA). In altri casi l’informativa era mischiata ad altri documenti.

Quanto alla reperibilità, spesso l’informativa era ardua da trovare: l’EDPS riporta di testi “a più di tre clic di distanza” e censura la prassi di porre il link nei bassifondi della pagina, poco visibile. In altri casi, invece di un’informativa esaustiva era presente una generica pagina web sulla data protection.

Alcune istituzioni faticavano nell’identificare chi fosse il titolare e dunque a chi spettasse la responsabilità del trattamento, tramite giri di parole e circonlocuzioni fuorvianti, ad es. tirando in ballo “direttori interni” o confondendo la responsabilità giuridica del trattamento (in capo esclusivamente al titolare) con il concetto di “responsabile” esterno (ex art. 28 GDPR).

Sovente è stata rilevata l’assenza di dati di contatto, sia del titolare che del DPO.

Finalità e basi giuridiche: perché lo fai?

Forse le violazioni più critiche rilevate sono quelle su finalità e basi giuridiche di trattamento: senza menzionare ovviamente chi nemmeno aveva fornito un’informativa, in altri casi si fornivano indicazioni generiche sui trattamenti.

Ma il vero vulnus è quella delle addotte basi giuridiche: l’EDPS precisa anzitutto che l’unica base corretta è quella del consenso, mentre l’audit ha rivelato spesso l’uso della “esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, identificato dalla legge o dall’esercizio ufficiale di un’autorità, oppure di un obbligo di legge o di un’esecuzione contrattuale o addirittura di tutti questi in alternativa fra loro (lo potremmo definire un vero “basis shopping”).

In particolare, l’EDPS sfrutta l’occasione per chiarire che il citato “pubblico interesse” non è corretto perché il trattamento dei dati per una newsletter non può dirsi “necessario” per il perseguimento dei relativi compiti (cfr. art. 6.1.e GDPR), a maggior ragione quando sussistono alternative per fare informazione (ad es. si pensi all’uso della mera pubblicazione delle informazioni sul sito web o social network oppure a mezzo di altri media).

Quando la base consensuale era correttamente adottata, i problemi non erano finiti: alcune istituzioni non informavano sul correlato diritto di revoca oppure non specificavano se il conferimento dei dati fosse obbligatorio o meno.

Perlomeno l’EDPS segnala una diffusa comprova dei consensi (detta in alcune prassi “consent receipt”, ad es. nella recente ISO/IEC 29184:2020), con relativa data certa attribuita con marcatura temporale digitale.

I servizi newsletter in esame non sono rivolti specificamente a minori e dunque l’EDPS non ha verificato la questione del consenso genitoriale. È interessante in ogni caso ciò che l’EDPS puntualizza: se il meccanismo di iscrizione è relativamente complesso, tale da richiedere la supervisione di un maggiorenne, si può presumere (in mancanza di diversa indicazione) che la newsletter non sia indirizzata ai minori.

L’ente menziona esempi per far scattare tale presunzione: meccanismi di verifica dell’iscrizione, l’invio di e-mail di conferma o di autenticazione a due fattori. Però che ciò richieda la supervisione di un genitore si potrebbe pensare solo per i più piccoli, non certo per gli adolescenti: il criterio dell’EDPS pare un po’ grezzo nella sua euristica.

Circa i destinatari dei dati, i risultati non sono più positivi: in alcuni casi si indicavano solo gli interni come possibili destinatari. Invece indicando gli esterni le istituzioni sono state spesso generiche e vaghe, oppure si sono indicati fornitori di diritto statunitense e di Paesi terzi senza fornire chiare indicazioni soprattutto sulle misure di salvaguardia e basi di trasferimento dei dati, oltre che sui Paesi di destinazione dei dati. Cosa non da poco in tempi post-Schrems II: In un caso si riportava che i dati potessero essere trasferiti a un fornitore di diritto USA e da questi “in qualsiasi parte del mondo”.

Una newsletter è per sempre

Quanto alla qualità dei dati l’EDPS ha trovato un miglior approccio, mirato non solo all’indicazione delle tempistiche di conservazione/cancellazione dei dati ma anche nel fornire strumenti di aggiornamento dei dati (ad es. chiedendo una verifica e aggiornamento entro un termine, in mancanza cancellando l’iscrizione e i dati) oltre che di cancellazione nel caso di email non più attive.

Detto ciò, l’autorità comunque ha rilevato in alcune informative l’indicazione di data retention generiche, potenzialmente a tempo indeterminato, magari limitandosi solo a offrire un’opzione di disiscrizione. In un caso pare – dal tenore dell’informativa – che non fosse possibile nemmeno disiscriversi e che i dati sarebbero stati mantenuti comunque per 12 mesi.

In un caso l’EDPS ha provato un link per cancellare l’iscrizione alla newsletter ricevendo solo un messaggio di errore tecnico.

Bene, invece, per l’elencazione dei diritti spettanti agli interessati, solitamente completa e puntuale. Fa eccezione l’esempio già riportato sopra in cui l’istituzione rimandava all’informativa di diritto USA del fornitore, non certo completa rispetto agli standard europei.

Conclusioni

L’ente conclude in qualche modo cercando di rassicurare, precisando che moltissime delle istituzioni hanno corretto i punti dolenti anche prima che l’EDPS comunicasse i propri rilievi e che progressi sono stati fatti dopo i rilievi dell’EDPS.

Si trattava, come si può evincere da quanto descritto sopra, di magagne facili da redimere, a costo zero o quasi, richiedendo più che altro una seria motivazione nell’attuare le correzioni.

Tuttavia dopo aver letto il report dell’EDPS sono almeno tre i quesiti allarmanti che sorgono spontanei:

  1. Le istituzioni comunitarie sono in grado davvero di dare il buon esempio e meritarsi la fiducia dei cittadini? Rammentiamo che tra le istituzioni comunitarie possiamo trovare il Parlamento Europeo, la Commissione Europea, ecc. – qualcuno potrebbe facilmente usare questi cattivi esempi per portare acqua al mulino del qualunquista “se non lo fanno loro allora perché devo farlo io?”
  2. Se questi sono gli errori visibili, pur di piccolo cabotaggio, quali sono gli errori non visibili e non auditati dall’EDPS che possono essere in corso e di quale gravità?
  3. La P.A e persino le stesse autorità di controllo sono in regola con quanto evidenziato dall’EDPS (ad es. quanto al basis shopping)?

Onore al merito all’EDPS nella sua attività di sorvegliante che non esita nella sua attività pur avendo di fronte anche importanti istituzioni (potenzialmente le stesse che hanno presieduto alla nascita della stessa EDPS).

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr