NEWS

Forniture imprese, serve la clausola sulla privacy by design

Forniture in linea con la privacy. I prodotti/servizi forniti a imprese e p.a. devono essere progettati e configurati in base ai principi della privacy fin dalla progettazione («by design») e privacy come impostazione predefinita («by default»). Lo impone il regolamento Ue sulla privacy (2016/679, operativo dal 25 maggio 2018). In caso contrario il Garante può ordinare di aggiornare funzioni e modalità di funzionamento direttamente al fornitore. Come è successo a un fornitore di sistemi Gps, raggiunto dall'ordine di aggiornare la versione del sistema venduto a una impresa (provvedimento n. 396 del 28 giugno 2018).

A questo punto, in un contesto più ampio, si apre il ventaglio delle ricadute, che sono: contrattuali, anche negli appalti pubblici (clausole con specifiche delle forniture); sui costi degli adeguamenti; tecnici (prevedere funzioni cosiddette di default); informativi (integrare il manuale di uso).

Il caso. Una società fornisce un sistema di rilevazione satellitare dei veicoli. Il sistema ha diverse modalità di funzionamento. La versione standard raccoglie dati personali relativi alla posizione geografica accentuatamente dettagliati. In particolare risulta una periodizzazione temporale assai ravvicinata: 30, 60 o 120 secondi e una conservazione per un lungo periodo di tempo. Inoltre è disponibile dispositivo di disattivazione della rilevazione geografica durante le pause consentite dell'attività lavorativa, ma non risulta una spiegazione di questa opzione.

Il Garante della privacy ha esaminato la posizione del fornitore del sistema Gps assieme a quella dell'impresa utilizzatrice. Lo ha fatto per bocciare la condotta di quest'ultima, ma anche del fornitore. Ed è su questo aspetto che è necessario appuntare la propria attenzione. Che cosa fa il Garante della privacy? Ordina determinate prescrizioni al fornitore (nel caso specifico rivestiva la posizione di responsabile esterno del trattamento). Le prescrizioni sono due. La prima riguarda i fogli illustrativi del prodotto. La prescrizione consiste nell'obbligo del fornitore di informare i propri clienti circa la possibilità di modificare il sistema rispetto alla impostazione standard e questo per settare il prodotto così che risulti utilizzato in maniera corrispondente alle finalità perseguite.

Nel caso specifico la periodizzazione della raccolta dell'informazione sulla posizione del veicolo finiva per realizzare un monitoraggio costante e ininterrotto del lavoratore. L'altro punto da evidenziare nel manuale di uso è la possibilità di attivare la funzione che consente la disattivazione del dispositivo.

La seconda precauzione è di carattere tecnico e riguarda la caratteristiche del prodotto fornito. Riprendiamo le parole del garante della privacy: la versione standard dei servizi offerti attraverso il sistema di localizzazione deve essere configurato con modalità proporzionate rispetto al diritto alla riservatezza degli interessati, in particolare con riferimento alla periodizzazione temporale della rilevazione della posizione geografica, ai tempi di conservazione dei dati ed alla messa a disposizione delle mappe dei percorsi effettuati. Tradotto il prodotto deve essere tarato con una diversa temporizzazione della raccolta dei dati sulla localizzazione e non deve essere precaricato un tempo di conservazione eccessivo e così via.

Costi. Le prescrizioni del Garante sono una diretta applicazione dei principi sulle cosiddette «privacy by design» e «privacy by default» (regolamento Ue 2016/679, art. 25).

Da queste prescrizioni derivano oneri in più: sia surplus di adempimenti informativi sia aggiornamenti delle funzioni operative dei prodotti. Tutto ciò può riflettersi su costi di produzione e costi finali del prodotto. Non a caso il Garante si spinge ad accompagnare le prescrizioni con la seguente indicazione: gli aggiustamenti devono essere realizzati in relazione a tutte le modalità di abbonamento ai servizi «senza eccessivi costi aggiuntivi».
Da ciò emerge la consapevolezza che le prescrizioni hanno un costo. Il primo problema è quello della quantificazione di questi costi. Il Garante non può fare altro che prefigurare un percorso di correttezza e formula l'invito di non caricare «costi aggiuntivi eccessivi».

È il mercato che deve indicare il parametro di calcolo dei costi «privacy». Il regolamento Ue sulla privacy e tanto meno il Garante non hanno il compito di stendere il tariffario dei costi privacy. In questo vi è la consapevolezza che l'adeguamento privacy ha un valore di mercato. Anche qui, portando alle conseguenze il ragionamento, significa che la conformità privacy è, allo stato, un valore aggiunto che può fare la differenza. Si tratta, per il fornitore, di un elemento di distinzione concorrenziale, che può far valere per conservare o conquistare fette di mercato.
Di questo profilo di distinzione si giova anche l'acquirente del prodotto/servizio.

Ricadute contrattuali. La pronuncia del Garante spinge a considerare le clausole dei contratti tra fornitore e impresa acquirente. La strada che si consiglia è di inserire la descrizione delle caratteristiche dei prodotti tali da rispettare gli standard privacy. Opportuno una scheda in cui si dà conto delle scelte progettuali e delle funzioni predefinite, da cui possa risultare automatico o quasi il rispetto delle prescrizioni e dei principi del regolamento Ue 2016/679.Altro consiglio è quello di allegare valutazione di impatto privacy eventualmente redatta dal fornitore. Se il prodotto/servizio fornito è tale da costituire lo strumento con cui si realizzano trattamenti a rischio elevato, l'impresa acquirente deve preoccuparsi di stendere il documento di valutazione di impatto privacy (articolo 35 del Regolamento Ue).

Beninteso l'obbligo è a carico del titolare del trattamento. Il fornitore potrebbe aiutare l'impresa, sottoponendo a test di impatto privacy il prodotto/servizio. A questo punto il test di impatto privacy potrà essere utilizzato dall'impresa tra i documenti della propria valutazione di impatto privacy.

Appalti. Anche le p.a. sono titolari di trattamento e si servono di prodotti/servizi acquistati sul mercato delle forniture e dei servizi. Gli enti si premureranno di indicare nei bandi di gara la richiesta del rispetto delle caratteristiche privacy dei prodotti e servizi e di valorizzare tali elementi nel punteggio da assegnare.

Fonte: Italia Oggi del 6 agosto 2018 - Articolo a cura di Antonio Ciccia Messina

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Corte Ue: nei rinvii pregiudiziali il giudice nazionale deve anonimizzare i dati
Next Il Csm apre alla pubblicazione dei compensi ai professionisti

Il presidente di Federprivacy intervistato su Rai 4

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy