In relazione ai temi dello smart working e della didattica a distanza, resi centrali nel dibattito pubblico dall’emergenza Covid-19 soprattutto sotto i profili della privacy e della sicurezza informatica, il maggiore impatto sul trattamento dei dati personali si profila nell’utilizzo delle piattaforme di comunicazione a distanza: videochiamate e/o videoconferenze per motivi di lavoro o didattici.
Indice degli argomenti
Privacy e videoconferenze: il caso Zoom
L’emergenza ha colto impreparate la maggior parte delle aziende medio-piccole che non utilizzavano questi strumenti nell’attività lavorativa ordinaria ma che, con le restrizioni alla circolazione dei lavoratori, si sono trovate dall’oggi al domani a dover organizzare il lavoro “a distanza” per i propri dipendenti.
Durante il lockdown ci si avvale dei più disparati strumenti di comunicazione, che a loro volta si sono moltiplicati sulla scia della grande domanda di mercato (come detto, molte aziende si sono reinventate fornendo beni e servizi necessari in questo particolare periodo).
L’utilizzo massivo di qualunque piattaforma possa permettere una comunicazione rapida e facile da utilizzare, ha fatto passare in secondo piano la necessità di adottare quelle cautele che normalmente venivano utilizzate nella normale attività lavorativa: in nome di una nuova socialità virtuale, lavorativa e non, si è inconsciamente deciso di chiudere un occhio sulle necessarie “misure di sicurezza” che normalmente si sarebbero adottate in un normale contesto lavorativo e/o quotidiano.
I risultati di questa “leggerezza” non hanno tardato ad arrivare: Zoom, una delle piattaforme più utilizzate in questo periodo, scelta per la facilità di utilizzo e per la possibilità di collegare molti utenti in contemporanea, è stata ora accusata di diffondere illegalmente le informazioni personali degli utenti.
Pare che la piattaforma abbia raccolto i dati degli utenti per poi condividerli a loro insaputa con Facebook, secondo quanto risulta dalla causa pendente davanti alla Corte federale di San Jose, California (fonte).
Inoltre, su questa piattaforma (come su molte altre che spopolano in questo periodo), per entrare in una videochiamata, è sufficiente avere il link o il codice della chiamata; in questo modo, dallo screenshot di una conversazione (eseguibile da qualunque utente) è possibile leggere il codice univoco della chiamata e inserirsi immediatamente, senza aver bisogno di un invito.
Sono nati di conseguenza tantissimi profili Instagram, account di Twitter e forum, in cui migliaia di persone condividono link privati per far accedere gli intrusi e rovinare i meeting.
Ovviamente, basta inserire una password di accesso per proteggere la chiamata, ma non essendo un’impostazione di default, e sempre per la leggerezza di cui sopra, i “troll” non incontrano quasi mai resistenza.
Come sempre avviene in questi casi, tardivamente, tutte le grandi realtà multinazionali e non, dalla NASA a SpaceX fino al dipartimento della Pubblica Istruzione di New York, hanno vietato l’utilizzo di questa piattaforma, cercando di puntare invece su altre realtà che garantiscano un maggiore rispetto della privacy degli utenti, attraverso l’utilizzo di sistemi di sicurezza più elaborati e all’avanguardia.
Privacy e videoconferenze: la posizione del Garante privacy
Eppure il Garante italiano, in tempi non sospetti e molto precedenti al GDPR, metteva già in guardia sul trattamento dei dati personali mediante “apparecchi di telefonia dotati di videocamere” (Newsletter 10 – 23 gennaio 2005 – doc. web n. 1089812).
Il provvedimento sottolineava la “crescente facilità di registrare fotografie e filmati tramite diverse tecnologie di rete, comunicando e diffondendo immagini e suoni in tempo reale”.
Il Garante decise di intervenire perché le immagini e i suoni realizzati con videocamere potevano contenere “dati personali” relativi al chiamante, al chiamato o a terzi, che in alcuni casi potevano essere anche (ex) “sensibili”, riguardando lo stato di salute, la sfera politica, religiosa o sindacale o le abitudini sessuali. Inoltre, le immagini e i suoni ripresi per uso personale avrebbero potuto riguardare terzi ed essere comunicati sistematicamente, oppure diffusi attraverso Internet o comunque utilizzati per scopi diversi da quelli privati (o lavorativi).
Il Garante, inoltre, prendeva atto delle nascenti “comunità virtuali” di persone che possono essere contattate consensualmente con videochiamate da parte di utenti di siti web che mettono a disposizione appositi spazi sulla rete.
In tal caso, i fornitori di tali servizi avrebbero dovuto informare compiutamente anche on line gli utenti, in modo che risultasse chiaro, in particolare, l’ambito di conoscibilità dei dati registrati (ad esempio, il fatto che possano accedervi solo gli altri soggetti registrati e muniti di particolari codici personali).
La conservazione dei dati raccolti, inoltre, veniva consentita esclusivamente per il periodo di tempo strettamente necessario alla fornitura del servizio, prestando particolare attenzione ai profili di sicurezza, anche con riguardo alla gestione dei suddetti codici personali di accesso.
Privacy e videoconferenze: riferimenti normativi
Questa posizione del Garante del 2005 è totalmente compatibile con le disposizioni introdotte dal GDPR e, pertanto, ha trovato anche spazio, con le dovute modifiche dettate dalle innumerevoli innovazioni tecnologiche susseguitesi nell’ultimo decennio, nel D.lgs. 101/2018 che ha novellato il Codice Privacy (D.lgs. 196/2003) adeguandolo al GDPR.
In particolare, gli articoli dal 121 al 132-quater, definiscono ruoli e modalità di trattamento all’interno dei “servizi di comunicazione elettronica”, ovvero (art. 121) i servizi “consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti […], nei limiti previsti dall’articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002”.
L’art. 131 espressamente prevede che il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informi il contraente (se servizio soggetto a sottoscrizione/abbonamento) e, ove possibile, l’utente circa la sussistenza di situazioni che permettano di apprendere in modo non intenzionale il contenuto di comunicazioni o conversazioni da parte di soggetti ad esse estranei; allo stesso modo, un utente deve informare l’altro utente quando, nel corso della conversazione, sono utilizzati dispositivi che consentono l’ascolto della conversazione stessa da parte di altri soggetti.
L’art. 132-ter, introdotto dal D.lgs. 101/18, richiama esplicitamente il GDPR prevedendo che “nel rispetto di quanto disposto dall’articolo 32 del Regolamento, ai fornitori di servizi di comunicazione elettronica accessibili al pubblico si applicano le disposizioni del presente articolo”; pertanto, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico dovrà adottare, anche attraverso altri soggetti a cui sia affidata l’erogazione del servizio, misure tecniche e organizzative adeguate al rischio esistente.
I soggetti che operano sulle reti di comunicazione elettronica devono garantire che i dati personali siano accessibili soltanto al personale autorizzato per fini legalmente autorizzati e che le misure di cui sopra garantiscano l’attuazione di una politica di sicurezza e, soprattutto, la protezione dei dati relativi al traffico ed all’ubicazione e degli altri dati personali archiviati o trasmessi dalla distruzione anche accidentale, da perdita o alterazione anche accidentale e da archiviazione, trattamento, accesso o divulgazione non autorizzati o illeciti.
A chiusura di questo Capo del Codice dedicato in gran parte alle comunicazioni elettroniche, l’art. 132-quater (anch’esso introdotto dal D.lgs. 101/18) stabilisce che il fornitore di un servizio di comunicazione elettronica accessibile al pubblico debba informare gli abbonati e, ove possibile, gli utenti, mediante linguaggio chiaro, idoneo e adeguato rispetto alla categoria e alla fascia di età dell’interessato a cui siano fornite le suddette informazioni, con particolare attenzione in caso di minori di età, se sussiste un particolare rischio di violazione della sicurezza della rete, indicando tutti i possibili rimedi e i relativi costi presumibili.
Valgono i principi di privacy by design e by default
Alla luce di quanto previsto dal legislatore, è facile constatare come molte piattaforme non garantiscano quegli standard di sicurezza previsti per il trattamento dei dati personali; ma è al contempo evidente la scarsa attenzione da parte degli utenti che troppo spesso “accettano” meccanicamente, senza neanche leggere, condizioni d’uso poco chiare e a volte in netto contrasto con la normativa vigente, in cambio di sistemi di comunicazione rapidi e di facile utilizzo.
Per questo motivo il Garante, ai sensi dell’art. 57, par. 1, lett. b) e d) del Regolamento, che gli attribuisce il compito di promuovere la consapevolezza e di favorire la comprensione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, con particolare attenzione alle attività destinate specificamente ai minori, è dovuto intervenire sul tema della didattica a distanza (Provvedimento n. 64 del 26 marzo 2020 – Didattica a distanza: prime indicazioni).
Il Garante ha ribadito che tutte le scelte in questo campo dovranno conformarsi ai principi di privacy by design e by default tenendo conto, in particolare, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli interessati; tra i criteri che devono orientare la scelta degli strumenti da utilizzare sarà opportuno includere anche le garanzie offerte sul piano della protezione dei dati personali (artt. 5 e ss. del Regolamento).
Sarebbe pertanto inammissibile da parte dei gestori delle piattaforme, condizionare la fruizione dei servizi di didattica a distanza alla sottoscrizione di un contratto o alla prestazione – da parte dello studente o dei genitori – del consenso al trattamento dei dati connesso alla fornitura di ulteriori servizi on line, non necessari all’attività didattica. Il consenso non sarebbe, infatti, validamente prestato perché, appunto, “indebitamente condizionato al perseguimento di finalità ultronee rispetto a quelle proprie della didattica a distanza”.
Conclusioni
Appare subito evidente come questo provvedimento sia perfettamente aderente anche alla tematica dello smart working e più specificatamente ai mezzi di comunicazione a distanza.
Tutte le summenzionate disposizioni legislative e le indicazioni del Garante sanciscono chiaramente l’imprescindibilità del rispetto dei principi di privacy by design e by default nella scelta degli strumenti lavorativi a distanza, senza dimenticare mai i principi cardine del trattamento sanciti dal GDPR (artt. 5 e ss.) che garantiscono una maggiore tutela dei dati personali dei lavoratori.
Si raccomanda, pertanto, di leggere attentamente le condizioni d’uso dei servizi di comunicazione a distanza, prediligendo quelle che non permettano, ad esempio, ai singoli utenti di registrare e/o condividere la videochiamata o l’interazione con i social network e che utilizzino sistemi avanzati di crittografia end-to-end.
