Istituzioni comunitarie e privacy: quanti errori nei servizi di newsletter - Cyber Security 360

L'ANALISI

Istituzioni comunitarie e privacy: quanti errori nei servizi di newsletter

Durante un audit privacy “da remoto”, l’EDPS ha verificato la conformità al GDPR nell’invio di newsletter e altri servizi a sottoscrizione da parte delle istituzioni comunitarie: numerose le violazioni normative. Ecco le osservazioni dell’Autorità europea utili per tutti, privati e aziende comprese

24 Mag 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Dopo che l’EDPS (l’autorità di controllo data protection delle istituzioni comunitarie) ha recentemente bacchettato la Corte di Giustizia per incapacità nell’impostare banner e cookies in regola, lo stesso ente ha pubblicato i risultati di un audit “da remoto” verso le istituzioni sorvegliate, in merito all’invio di newsletter e simili servizi a sottoscrizione.

Ennesima occasione in cui, con sgomento, l’EDPS ha rilevato numerosi violazioni normative, anche basilari, che fanno sorgere altri interrogativi sulla capacità dell’Unione di essere coerente e di poter praticare quel che predica.

Vediamo di che si tratta con precisione: al di là dei particolari titolari esaminati, le osservazioni dell’ente di controllo sono utilissime per tutti, privati e aziende comprese, che molto spesso incappano nelle stesse violazioni, qui riassunte, quando implementano la newsletter.

L’audit da remoto dell’EDPS sulle newsletter

L’ente ha inviato alle istituzioni comunitarie dei questionari da compilare, oltre a effettuare alcuni accertamenti direttamente sui relativi siti web. Peraltro, nell’introduzione l’EDPS sottolinea che proprio sotto il pericolo Covid l’attività comunicativa e di informazione tra istituzioni e cittadini si è spostata online come mai prima e perciò si dovrebbe essere esemplari nel fornire servizi come quello di newsletter, oggetto dell’esame specifico, per i domini .eu registrati nel portale mailing list.

EVENTO
16 Settembre 2021 - 17:00
Cybersecurity: la svolta dell’estate e come proteggersi al meglio
Sicurezza
Cybersecurity

L’audit è stato avviato a settembre 2020. Ricordiamo che i parametri normativi utilizzati dall’EDPS sono sì quelli del Reg. 2018/1725 (artt. 7, 14 e 15) ma che in questo ambito sono del tutto coincidenti con quelli del GDPR (in particolare quanto previsto agli artt. 6, 7, 12 e 13), concernendo la trasparenza informativa e i requisiti del consenso.

L’EDPS quando segnala le violazioni riscontrate non cita mai quali siano le specifiche istituzioni “colpevoli”, limitandosi a indicare al più il numero di quelle cadute nel medesimo errore.

Informativa? No, grazie; “DPO” e “titolare” a chi?

Uno dei risultati più sconfortanti del report è scoprire che almeno quattro istituzioni non avevano nessuna informativa in merito alla newsletter, oppure non vi facevano riferimento in quella presente.

In un caso si faceva riferimento alla normativa pregressa del Reg. CE/45/2001, mentre in altri due casi il titolare rimandava all’informativa di un terzo fornitore responsabile (con un link a un’informativa di venti pagine peraltro di diritto USA). In altri casi l’informativa era mischiata ad altri documenti.

Quanto alla reperibilità, spesso l’informativa era ardua da trovare: l’EDPS riporta di testi “a più di tre clic di distanza” e censura la prassi di porre il link nei bassifondi della pagina, poco visibile. In altri casi, invece di un’informativa esaustiva era presente una generica pagina web sulla data protection.

Alcune istituzioni faticavano nell’identificare chi fosse il titolare e dunque a chi spettasse la responsabilità del trattamento, tramite giri di parole e circonlocuzioni fuorvianti, ad es. tirando in ballo “direttori interni” o confondendo la responsabilità giuridica del trattamento (in capo esclusivamente al titolare) con il concetto di “responsabile” esterno (ex art. 28 GDPR).

Sovente è stata rilevata l’assenza di dati di contatto, sia del titolare che del DPO.

Finalità e basi giuridiche: perché lo fai?

Forse le violazioni più critiche rilevate sono quelle su finalità e basi giuridiche di trattamento: senza menzionare ovviamente chi nemmeno aveva fornito un’informativa, in altri casi si fornivano indicazioni generiche sui trattamenti.

Ma il vero vulnus è quella delle addotte basi giuridiche: l’EDPS precisa anzitutto che l’unica base corretta è quella del consenso, mentre l’audit ha rivelato spesso l’uso della “esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”, identificato dalla legge o dall’esercizio ufficiale di un’autorità, oppure di un obbligo di legge o di un’esecuzione contrattuale o addirittura di tutti questi in alternativa fra loro (lo potremmo definire un vero “basis shopping”).

In particolare, l’EDPS sfrutta l’occasione per chiarire che il citato “pubblico interesse” non è corretto perché il trattamento dei dati per una newsletter non può dirsi “necessario” per il perseguimento dei relativi compiti (cfr. art. 6.1.e GDPR), a maggior ragione quando sussistono alternative per fare informazione (ad es. si pensi all’uso della mera pubblicazione delle informazioni sul sito web o social network oppure a mezzo di altri media).

Quando la base consensuale era correttamente adottata, i problemi non erano finiti: alcune istituzioni non informavano sul correlato diritto di revoca oppure non specificavano se il conferimento dei dati fosse obbligatorio o meno.

Perlomeno l’EDPS segnala una diffusa comprova dei consensi (detta in alcune prassi “consent receipt”, ad es. nella recente ISO/IEC 29184:2020), con relativa data certa attribuita con marcatura temporale digitale.

I servizi newsletter in esame non sono rivolti specificamente a minori e dunque l’EDPS non ha verificato la questione del consenso genitoriale. È interessante in ogni caso ciò che l’EDPS puntualizza: se il meccanismo di iscrizione è relativamente complesso, tale da richiedere la supervisione di un maggiorenne, si può presumere (in mancanza di diversa indicazione) che la newsletter non sia indirizzata ai minori.

L’ente menziona esempi per far scattare tale presunzione: meccanismi di verifica dell’iscrizione, l’invio di e-mail di conferma o di autenticazione a due fattori. Però che ciò richieda la supervisione di un genitore si potrebbe pensare solo per i più piccoli, non certo per gli adolescenti: il criterio dell’EDPS pare un po’ grezzo nella sua euristica.

Circa i destinatari dei dati, i risultati non sono più positivi: in alcuni casi si indicavano solo gli interni come possibili destinatari. Invece indicando gli esterni le istituzioni sono state spesso generiche e vaghe, oppure si sono indicati fornitori di diritto statunitense e di Paesi terzi senza fornire chiare indicazioni soprattutto sulle misure di salvaguardia e basi di trasferimento dei dati, oltre che sui Paesi di destinazione dei dati. Cosa non da poco in tempi post-Schrems II: In un caso si riportava che i dati potessero essere trasferiti a un fornitore di diritto USA e da questi “in qualsiasi parte del mondo”.

Una newsletter è per sempre

Quanto alla qualità dei dati l’EDPS ha trovato un miglior approccio, mirato non solo all’indicazione delle tempistiche di conservazione/cancellazione dei dati ma anche nel fornire strumenti di aggiornamento dei dati (ad es. chiedendo una verifica e aggiornamento entro un termine, in mancanza cancellando l’iscrizione e i dati) oltre che di cancellazione nel caso di email non più attive.

Detto ciò, l’autorità comunque ha rilevato in alcune informative l’indicazione di data retention generiche, potenzialmente a tempo indeterminato, magari limitandosi solo a offrire un’opzione di disiscrizione. In un caso pare – dal tenore dell’informativa – che non fosse possibile nemmeno disiscriversi e che i dati sarebbero stati mantenuti comunque per 12 mesi.

In un caso l’EDPS ha provato un link per cancellare l’iscrizione alla newsletter ricevendo solo un messaggio di errore tecnico.

Bene, invece, per l’elencazione dei diritti spettanti agli interessati, solitamente completa e puntuale. Fa eccezione l’esempio già riportato sopra in cui l’istituzione rimandava all’informativa di diritto USA del fornitore, non certo completa rispetto agli standard europei.

Conclusioni

L’ente conclude in qualche modo cercando di rassicurare, precisando che moltissime delle istituzioni hanno corretto i punti dolenti anche prima che l’EDPS comunicasse i propri rilievi e che progressi sono stati fatti dopo i rilievi dell’EDPS.

Si trattava, come si può evincere da quanto descritto sopra, di magagne facili da redimere, a costo zero o quasi, richiedendo più che altro una seria motivazione nell’attuare le correzioni.

Tuttavia dopo aver letto il report dell’EDPS sono almeno tre i quesiti allarmanti che sorgono spontanei:

  1. Le istituzioni comunitarie sono in grado davvero di dare il buon esempio e meritarsi la fiducia dei cittadini? Rammentiamo che tra le istituzioni comunitarie possiamo trovare il Parlamento Europeo, la Commissione Europea, ecc. – qualcuno potrebbe facilmente usare questi cattivi esempi per portare acqua al mulino del qualunquista “se non lo fanno loro allora perché devo farlo io?”
  2. Se questi sono gli errori visibili, pur di piccolo cabotaggio, quali sono gli errori non visibili e non auditati dall’EDPS che possono essere in corso e di quale gravità?
  3. La P.A e persino le stesse autorità di controllo sono in regola con quanto evidenziato dall’EDPS (ad es. quanto al basis shopping)?

Onore al merito all’EDPS nella sua attività di sorvegliante che non esita nella sua attività pur avendo di fronte anche importanti istituzioni (potenzialmente le stesse che hanno presieduto alla nascita della stessa EDPS).

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3