La privacy inclusiva deroga agli standard di sicurezza
La privacy inclusiva deroga agli standard di sicurezza. Ma deve trattarsi di eccezioni con il consenso degli interessati, per i cui dati personali si abbassa il livello delle misure tecniche a protezione delle informazioni, previste dal regolamento (Ue) sulla privacy n. 2016/679 (cosiddetto “Gdpr”).
È quanto si desume da un provvedimento di un tribunale tedesco (decisione rubricata con il numero S39 AS517/23, pubblicata il 30 giugno 2023), che ha stabilito che una persona disabile ha diritto di accedere ai propri dati personali in un formato adatto alla sua particolare condizione, anche se ciò richiede un abbassamento degli standard tecnici e organizzativi ai sensi dell'articolo 32 del Gdpr.
In sostanza le imprese devono realizzare sistemi di sicurezza privacy, prevedendo anche un corridoio speciale inclusivo per le persone appartenenti a particolari categorie, come i disabili. (Per approfondimenti sul tema vedasi anche "Il 98% dei siti web non tiene conto dei diritti privacy degli utenti svantaggiati")
I principi espressi dal giudice tedesco devono essere studiati e valutati anche in Italia, considerato che il Gdpr ha applicazione diretta in tutti gli stati appartenenti all'Unione europea.
In effetti, la decisione è una delle prime note, se non la prima in assoluto, che applica il principio della possibilità, su richiesta dell'interessato, di una deroga peggiorativa rispetto agli standard di sicurezza.
E si tratta di un principio molto rilevante, considerato che in base al Gdpr il mancato rispetto degli standard di sicurezza nel trattamento di dati è passibile di sanzione amministrativa, tra l'altro, molto pesante, potendo raggiungere nel massimo i 10 milioni di euro.
I titolari del trattamento potrebbero ora, sulla base della decisione tedesca, maturare l'aspettativa di non essere sanzionati nel caso ricorra l'ipotesi della minore sicurezza necessaria per una maggiore inclusività di soggetti appartenenti a determinate categorie.
Peraltro, dal principio applicato dalla sentenza, basato sulla richiesta dell'interessato, possono sorgere problemi di coordinamento tra Gdpr e diritto italiano: ciò perché la legge generale sulle sanzioni amministrative (legge 689/1981) non prevede il consenso dell'avente diritto quale causa di esonero della responsabilità amministrativa (articolo 4 della legge 689/1981 richiamato dall'articolo 166 del decreto legislativo n. 196/2003, Codice della privacy).
Ma vediamo di analizzare tutti i profili della questione.
La sentenza tedesca - Nel caso tedesco, una persona ha presentato, ai sensi del diritto amministrativo tedesco, una richiesta di accesso ad un ente, competente in materia di sicurezza sociale.
Essendo cieco, l'interessato ha richiesto i propri dati personali in formato “pdf”, poiché questo era l'unico formato compatibile con un particolare software utilizzabile per poter leggere documenti digitali.
Per fare come richiesto, l'ente coinvolto avrebbe dovuto inviare i documenti tramite un'e-mail non crittografata. L'ente si è, però, rifiutato di farlo adducendo motivi di sicurezza dei dati, soprattutto considerando che il trasferimento riguardava dati sanitari. L'ente ha proposto all'interessato di aprire un account con un fornitore di servizi di posta elettronica abilitato alla apertura di messaggi crittografati. La persona interessata ha obiettato che tale soluzione era costosa e, date le sue condizioni, ciò avrebbe comportato un'ulteriore barriera all'accesso.
Il titolare del trattamento, allora, ha offerto anche altri canali di comunicazione, come l'accesso a servizi specifici sul sito web istituzionale dell'ente. Sfortunatamente, nessuna di queste opzioni poteva essere una valida alternativa per l'interessato, poiché il software utilizzato da quest'ultimo non era in grado di leggere i formati offerti dall'ente.
A questo punto l'interessato ha proposto ricorso all'autorità giudiziaria e il Tribunale sociale di Amburgo (Sozialgericht Hamburg – SG Hamburg) ha accolto la sua domanda.
Secondo il tribunale, le preoccupazioni sulla sicurezza dei dati avanzate dal titolare del trattamento erano infondate.
Il giudice ha messo in evidenza il fatto che lo stesso interessato ha acconsentito e, anzi, ha esplicitamente richiesto la comunicazione dei dati.
Il titolare del trattamento non poteva, quindi, invocare l'articolo 32, paragrafo 1, del Gdpr per rifiutarsi di dare seguito alla richiesta.
Secondo il giudice, i soli rischi potenziali relativi alla sicurezza della comunicazione tra il titolare del trattamento e la persona interessata non potevano prevalere sull'interesse di quest'ultimo a non essere discriminato nell'ottenere l'accesso ai suoi dati.
Il tribunale ha, inoltre, esaminato un documento del Garante della privacy federale tedesco, che affronta il tema della possibilità di derogare a misure tecniche e organizzative ai sensi dell'articolo 32 del Gdpr.
Il giudice ha osservato come in questo documento il Garante federale tedesco abbia subordinato la deroga alla sicurezza alla presenza di tre requisiti principali: in primo luogo, la richiesta di misure meno protettive, sotto il profilo della sicurezza privacy, deve provenire dall'interessato; in secondo luogo, devono sussistere motivi specifici per cui viene richiesta la deroga; in terzo luogo, la deroga deve essere eccezionale e non strutturale.
Poiché tutte queste condizioni erano soddisfatte nel caso specifico, il giudice ha ordinato al titolare del trattamento di fornire all'interessato tutti i dati nel formato richiesto.
Sicurezza ispirata all'inclusività - La sentenza tedesca introduce un livello di sicurezza ispirato all'inclusività. Detto altrimenti la protezione dei dati non è un diritto assoluto e sempre prevalente su qualsiasi altro interesse; la protezione dei dati, infatti, deve fare un passo indietro rispetto all'interesse all'emancipazione di persone appartenenti a categorie deboli.
Avendo a mente questo bilanciamento, dal principio della sentenza in commento deriva che imprese e pubbliche amministrazioni, nella loro qualità di titolari del trattamento, devono scrivere la loro analisi dei rischi e le valutazioni di impatto privacy tenendo conto anche dell'eventualità di dover rispondere a richieste come quella del non vedente della vicenda tedesca.
L'ambito della sicurezza privacy inclusiva può estendersi ad altre categorie di soggetti più o meno vulnerabili e questo ambito può allargarsi ancor di più per enti che hanno rapporti sistematici e regolari con soggetti diversamente abili o con soggetti appartenenti a fasce deboli.
Se per queste persone la sicurezza può essere posizionata su un livello inferiore a quello standard, anche queste deroghe non possono certo essere improvvisate, ma devono essere attentamente pianificate.
Ogni diminuzione del livello di sicurezza significa l'aumento del livello di rischio e, quindi, non si deve esagerare con la deroga.
In questo quadro di deroga calibrata, devono attivarsi i consulenti privacy, i tecnici informatici e i responsabili della protezione dei dati di aziende ed enti pubblici.
Tre condizioni per la deroga allo standard di sicurezza. La sentenza tedesca dichiara ammissibile la deroga allo standard di sicurezza a tre condizioni:
1) consenso dell'interessato;
2) ragioni oggettive;
3) eccezionalità.
Tutte questi tre parametri devono essere illustrati nei documenti privacy delle aziende e delle pubbliche amministrazioni.
A riguardo della richiesta consenziente dell'interessato, si deve considerare una spinosa questione giuridica e cioè se si tratti di elemento che possa neutralizzare le sanzioni amministrative previste per la violazione degli adempimenti relativi alla sicurezza.
La deroga alla sicurezza è oggettivamente una sicurezza sottosoglia di adeguatezza e, quindi, di per sé è una violazione delle disposizioni del Gdpr sulla sicurezza (articolo 32), con conseguente rischio di sanzione amministrativa (articolo 83).
Non a caso l'ente tedesco, parte nella sentenza in commento, si era rifiutato di accondiscendere alla richiesta dell'interessato di scendere sottosoglia e ciò proprio per non vedersi addebitata una violazione amministrativa.
Il problema è rilevante soprattutto nell'ordinamento italiano, il quale non prevede il consenso dell'avente diritto quale causa di esclusione della responsabilità amministrativa.
Più in generale, peraltro, ci si potrebbe chiedere se la richiesta consenziente dell'interessato di diminuzione della sicurezza non possa essere presa in considerazione per tutti gli interessati, e non solo per appartenenti a particolari categorie, ovviamente in situazioni meritevoli di apprezzamento.
Questo però porterebbe all'introduzione generalizzata della deroga su richiesta di parte alle misure di sicurezza privacy in mancanza di una norma del Gdpr che espressamente lo preveda.
di Antonio Ciccia Messina (Fonte Italia Oggi)