La guida

Privacy, tra norme e smart working: com’è andato il 2020 nel report del Garante europeo

L’EDPS, il Garante privacy europeo, nel suo report annuale sull’andamento del 2020 nell’ambito della data protection ha rilevato l’impatto che la pandemia ha avuto nell’accelerazione al ricorso alla digitalizzazione: una situazione che ha comportato anche rischi per diritti e libertà

27 Apr 2021
C
Vittorio Colomba

Avvocato esperto di diritto delle nuove tecnologie - SC Avvocati Associati

La diffusione del coronavirus nel 2020 ha stressato e accelerato, spesso oltre i principi della cautela, il delicato processo di transizione al digitale che già caratterizzava tanto il settore privato quanto le pubbliche amministrazioni. Si è trattato di una rincorsa funzionale a garantire la sopravvivenza stessa di tutte quelle realtà che, in tempi rapidissimi, hanno dovuto fare i conti con il venire meno della presenza fisica dei lavoratori, dei clienti e degli utenti, tutti tristemente confinati dalla pandemia all’interno delle proprie mura domestiche.

È quanto emerge dal report annuale dell’EDPS, in cui si rileva che ci sono diritti e libertà che hanno rischiato – e rischiano – di pagare il costo di questa sfrenata spinta all’efficientamento dei processi.

La task force dell’EDPS

In questo contesto, l’EDPS ha tempestivamente istituito una task force dedicata ai problemi creati da Covid-19, nel tentativo di coordinare ed intraprendere proattivamente ogni iniziativa necessaria all’interazione tra privacy e pandemia.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Gli sforzi che il gruppo di esperti ha profuso in questi mesi si sono concentrati nel monitoraggio dei cambiamenti in atto e nel tentativo di intervenire, ove necessario, di fronte al pericolo che l’equilibrio tra esigenze produttive e diritti degli interessati venisse irrimediabilmente alterato.

Passaporto vaccinale e GDPR: il parere delle istituzioni europee

In un contesto così dinamico, difatti, perfino le iniziative di contrasto all’emergenza sanitaria avrebbero potuto concorrere alla creazione di flussi di dati non adeguatamente controllati, non sempre necessari, e potenzialmente privi delle necessarie garanzie per i diritti delle persone coinvolte.

Si tratta di un rischio che l’EDPS ha correttamente intercettato, dedicando parte delle proprie iniziative 2020, per esempio, all’analisi degli applicativi sviluppati nell’ambito delle attività di contact tracing oltre che alla redazione di linee guida sulle modalità di rilevazione della temperatura.

Le conseguenze della sentenza Schrems II

Schrems II e la conseguente caduta del Privacy Shield hanno obbligato gli uffici del Garante Europeo ad intervenire su più fronti, approvando una “Strategia per le istituzioni, gli uffici e gli organismi dell’Unione, per ottemperare alla sentenza Schrems II”.

Quello sulla regolamentazione dei flussi tra UE e Stati Uniti, tuttavia, per quanto rivesta carattere di assoluta importanza ed urgenza, è un tavolo di lavoro ancora piuttosto distante dal potersi definire concluso.

Il dilemma: la definizione di “trattamento su larga scala”

Anche nel 2020, l’attività dell’EDPS non ha potuto fare a meno di concentrarsi, in chiave interpretativa, su alcuni concetti che le norme di riferimento considerano chiaramente di fondamentale importanza, ma che non hanno racchiuso in perimetri ben delimitati e definizioni chiare.

A distanza di circa tre anni dal momento in cui è stata coniata, per esempio, l’espressione che definisce i trattamenti “su larga scala”, desta ancora più di un interrogativo.

Ecco, quindi, che l’EDPS si è trovata nelle condizioni di dover promuovere una “consultazione informale” proprio su questo tema. A parere del Garante Europeo, sono due i fattori determinanti per potere definire un trattamento di dati “su larga scala”:

  • la proporzione della popolazione coinvolta, così come individuata anche dall’Article 29 Data Protection Working Party nelle proprie Linee Guida sui DPO, all’interno delle quali sono presenti espressi riferimenti al numero delle persone interessate;
  • la natura dei dati personali trattati e dei rischi connessi, con riferimento ad un non esaustivo elenco di operazioni che possono comportare un rischio elevato per gli interessati, secondo quanto previsto dall’art. 35 e dal Considerando 91 del GDPR.

Ancora oltre, sempre nel 2020, l’EDPS ha avviato due indagini/sondaggi. La prima, risalente al febbraio 2020, ha avuto ad oggetto le modalità attraverso le quali le istituzioni, gli uffici, gli organi e le agenzie dell’UE (EUI) hanno implementato gli strumenti DPIA.

L’esito della verifica, con risultati sostanzialmente positivi, è stato pubblicato nel luglio 2020, unitamente ai suggerimenti offerti dell’autorità per conseguire ulteriori miglioramenti. La seconda indagine, invece, ha considerato le operazioni e gli strumenti IT implementati durante la pandemia, risale al dicembre 2020, ed il suo esito non è ancora noto.

Crescono le notifiche di data breach

Una parte interessante del report diffuso dall’EDPS, inoltre, è stata comprensibilmente dedicata ai data breach rilevati, segnale dell’eventuale sviluppo patologico del rapporto tra evoluzione e sicurezza. Ai sensi dell’articolo 34 del regolamento (UE) 2018/1725, tutte le EUI hanno il dovere di segnalare le violazioni dei dati personali subite, a meno che risulti improbabile che dalla violazione possa sorgere un rischio per i diritti e le libertà delle persone coinvolte.

Ogni EUI deve provvedere tempestivamente ad inviare la segnalazione, comunque al più tardi entro 72 ore dal momento in cui venga a conoscenza della violazione e, nei casi più gravi, deve notificare l’accaduto anche alle persone fisiche coinvolte. Ai sensi Regolamento (UE) 2016/794, obblighi simili si applicano anche a Europol.

In questo contesto normativo, nel 2020 l’EDPS ha ricevuto e valutato 121 nuove notifiche di violazione dei dati personali ai sensi del regolamento (UE) 2018/1725. Nel complesso, ha registrato un incremento del 20% rispetto alle segnalazioni ricevute nel 2019.

La natura delle violazioni

Una violazione di dati personali può definirsi tale quando sono compromesse la riservatezza, l’integrità o la disponibilità dei dati coinvolti. Nel 2020, il 93% delle segnalazioni ha avuto ad oggetto il profilo della riservatezza, mentre l’errore umano è rimasto la causa principale delle violazioni notificate, anche se rispetto al passato si è registrato un significativo aumento degli incidenti provocati da attacchi esterni.

Gli errori tecnici, dal canto loro, sono semplicemente raddoppiati rispetto all’anno precedente. Per quel che riguarda l’impatto di queste violazioni, l’EDPS ha rilevato come all’incirca il 50% abbia coinvolto un numero di individui compreso tra 1 e 10, mentre solo 8 delle 121 notifiche inviate, per fortuna, sembrerebbe aver compromesso i dati di più di 1000 interessati. Il 23% delle violazioni, peraltro, ha avuto un impatto su categorie particolari di dati, sanitari o giudiziari.

In 45 casi, inoltre, si è reso necessario procedere anche all’invio della comunicazione agli interessati, che l’art. 35 del Regolamento (EU) 2018/1725 prevede come obbligatoria qualora la violazione esponga i loro diritti e libertà a possibili gravi rischi.

L’impatto dello smart working

Una parte dell’incremento registrato nel 2020 rispetto al 2019 si deve senz’altro all’intensificarsi dell’uso di procedure di smart working.

Nel report diffuso dall’Authority, non a caso, si legge testualmente “l’EDPS ha registrato alcuni casi di incidenti di sicurezza principalmente dovuti ad errore umano, come conseguenza del telelavoro, poiché l’impossibilità per il personale EUI di accedere ai propri strumenti di automatizzazione dei processi, disponibili solo in loco, ha comportato la necessità di deviare dalle procedure standard”.

Alcune violazioni si sono verificate anche nell’ambito delle attività di contact tracing. È capitato, difatti, che l’identità di individui affetti da Covid-19 sia stata accidentalmente comunicata ai loro stretti contatti, o che l’identità di uno stretto contatto sia stata rivelata agli altri.

Conclusione

In definitiva, dal report delle attività 2020, emerge chiaramente come anche per l’EDPS si sia trattato di un anno extra-ordinario in un contesto evolutivo, tuttavia, che anche al netto del terremoto Covid-19, prevedibilmente imporrà alle istituzioni impegnate nella data protection un impegno sempre crescente.

L’analisi comparata dei report annuali diffusi dalle Autorità di controllo (nazionali, prima ancora che europee) mostra chiaramente come nuove minacce siano continuamente in fase di sviluppo, si stia allargando la base di trattamenti effettuati e, di conseguenza, stia proporzionalmente aumentando il numero degli incidenti.

Si tratta di analisi da leggere con grande attenzione, poiché è solo dalla loro lettura critica che sarà possibile avvedersi di quanto la “società dei dati” si svilupperà secondo dinamiche fisiologiche.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr