Liceità del trattamento dei dati, funzionalità delle notifiche push e misure supplementari alle Standard Contractual Clauses

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – L’utilizzo di notifiche push a contenuto generico, per informare gli utenti della ricezione di un messaggio all’interno di un’App (nel caso di specie, dell’AppIO) può ritenersi una misura adeguata, ove accompagnata da modalità di attivazione dei servizi con il meccanismo di opt-in, per consentire agli utenti anche di scegliere quelli da cui ricevere le predette notifiche.

Massima (2) – In caso di trasferimento di dati personali verso Paesi terzi, la sottoscrizione di Standard Contractual Clauses non esime l’esportatore dall’adottare comunque misure supplementari, nel caso in cui la legge del Paese terzo impedisca all’importatore di rispettare le garanzie contenute nelle clausole stesse. In ogni caso è necessario valutare l’adeguatezza del livello di protezione delle persone fisiche, che deve essere assicurato ai sensi degli artt. 44 ss. GDPR, anche sulla base della nuova versione delle “Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE”.

Provvedimento: GPDP, Docweb n. 9670061 del 16 giugno 2021

Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9670061

Keywords: liceità, notifiche push, opt-in, standard contractual clauses, trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, App IO

Riferimenti normativi: (1) artt. 5 e 6 GDPR; (2) artt. 44, 46 GDPR e 122 d.lgs. n. 196 del 2003.

Data del commento: 19 ottobre 2021

Massime e Commento di Cristina Chilin

1. Il caso

Con il presente provvedimento, l’Autorità Garante ha verificato se le misure adottate da PagoPA S.p.A. a seguito dell’emissione del provvedimento n. 230 del 9 giugno 2021 (Docweb n. 9668051), fossero adeguate e conformi al GDPR.

Difatti, tra le altre cose, l’Autorità imponeva con il predetto provvedimento a PagoPA S.p.A. la limitazione provvisoria dei trattamenti dei dati effettuati attraverso l’App IO, che prevedevano l’interazione con i servizi Google LLC e che non permettevano, quindi, all’utente di poter scegliere liberamente ed esplicitamente quale funzionalità attivare per ogni singolo servizio e per l’effetto, quindi, il Garante ingiungeva a PagoPA S.p.A. di adottare misure tecniche e organizzative che fossero in grado di permettere all’utente di modificare in autonomia la modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, in modo da garantire a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio.

PagoPA informava, quindi, con note dell’11, 14 e 15 giugno 2021, l’Autorità Garante di aver adottato, a seguito del già menzionato provvedimento, alcune misure che prevedono, al momento dell’installazione dell’App IO, la funzionalità delle notifiche push a contenuto generico.

Inoltre, nel provvedimento di cui si tratta il Garante, a seguito della comunicazione di PagoPA di trasferimento dei dati in Paesi extra EU e della predisposizione di nuove Standard Contractual Clauses con i fornitori, precisa la necessità di adottare adeguate misure supplementari.

2. Le questioni

Le questioni che il caso solleva ruotano attorno in primis (a) alla verifica del rispetto della liceità del trattamento dei dati da parte dell’App IO nell’utilizzo della funzionalità delle notifiche push per informare gli utenti della ricezione di un messaggio, (b) nonché, in secondo luogo, all’adeguatezza delle garanzie contenute nelle Standard Contractual Clauses e alla necessità di adottare misure supplementari nel caso in cui la legge del Paese terzo impedisca all’importatore di rispettare le predette garanzie.

2.1. La notifica push generica preliminare all’attuazione della modalità opt-in

Sulla prima questione il Garante, con il provvedimento in esame, ha chiarito che l’utilizzo da parte di PagoPA S.p.A. di notifiche push per informare gli utenti della ricezione di un messaggio all’interno dell’App IO comporta inevitabilmente il trattamento dei dati personali da parte dei gestori dei sistemi operativi (Google e Apple).

Per comprendere se si tratta di un trattamento lecito, trasparente, corretto e limitato alle finalità ex art. 5, par. 1 GDPR, è opportuno distinguere tra attivazione di notifiche push con modalità predefinita o su base volontaria dell’utente.

Nel primo caso, il trattamento non può dirsi conforme alle norme del GDPR e del Codice della privacy, perché l’utente non viene posto nella condizione di poter scegliere liberamente, esplicitamente e specificamente gli enti e i servizi per i quali ricevere le predette notifiche (c.d. modalità opt-in).

L’abilitazione dell’App IO – per come era stata strutturata inizialmente – comportava l’attivazione automatica di tutti i servizi esistenti all’interno della stessa, consentendo al cittadino di disabilitare solamente successivamente all’attivazione i singoli servizi di cui non aveva interesse (c.d. modalità opt-out). Tale App, quindi, non era dotata di alcun meccanismo di opt-in.

Il Garante in vari provvedimenti (cfr. GPDP, provv. del 12 giugno 2020, Docweb n. 9367375, par. 5.2; GPDP, provv. del 9 giugno 2021, Docweb n. 9668051) ha sottolineato la necessità che il titolare renda edotto l’interessato non solo delle modalità di disattivazione di tali notifiche push sul proprio dispositivo, ma anche della disattivazione dei trattamenti effettuati in caso di attivazione delle notifiche push.

Anche in tale occasione, il Garante ha statuito che l’«utilizzo di notifiche push a contenuto generico, (…) può ritenersi una misura adeguata, nelle more dell’introduzione di nuove modalità di attivazione dei servizi con il citato meccanismo di opt-in (da adottarsi entro il 9 luglio 2021), che consentirà agli utenti anche di scegliere quelli da cui ricevere le predette notifiche» (GPDP, provv. del 16 giugno 2021, Docweb n. 9670061, in commento)

Si deve cioè ritenere che l’utilizzo delle notifiche push a contenuto generico siano consentite, nell’ambito di un’App, qualora associate a meccanismi di opt-in che permettano agli utenti di selezionare solamente i servizi di proprio interesse (in relazione ai quali si desidera ottenere le notifiche push).

2.2. L’adozione di misure supplementari nel caso in cui la legge del Paese terzo impedisca all’importatore di rispettare le garanzie contenute nelle Standard Contractual Clauses

Inoltre, nel provvedimento che si commenta il Garante ha rimarcato che, nella realizzazione dell’App IO, «il ricorso ai servizi offerti da Google, Mixpanel e Instabug, che a loro volta si avvalgono di numerosi fornitori stabiliti fuori dall’Unione europea, comporta inevitabilmente il trasferimento dei dati sopra descritti verso Paesi terzi (es. Stati Uniti, India, Australia), in relazione ai quali» va «comprovata (…) l’adozione di garanzie adeguate ai sensi degli artt. 44 e ss. del Regolamento. Ciò, tenuto conto anche che, indipendentemente dal luogo in cui sono ubicati i sistemi informatici su cui conservati i dati personali degli utenti dell’App IO, l’accesso remoto a tali sistemi di trattamento, da parte di soggetti stabiliti al di fuori dell’Unione europea, configura comunque un trasferimento di dati verso Paesi terzi (cfr., sul punto, le “Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati”, adottate dal Comitato europeo per la protezione dei dati il 10 novembre 2020, spec. note 22 e 27)».

Il titolare del trattamento dei dati, dunque, deve individuare specifiche garanzie a tutela degli interessati in caso di trasferimento in paesi extra UE e quindi fuori dello Spazio Economico Europeo.

Generalmente il trattamento dei dati con trasferimento degli stessi in un Paese extra UE è vietato, salvo che, a cascata, sussista almeno una delle seguenti garanzie: a) vi sia una decisione di adeguatezza da parte della Commissione Europea ex artt. 45 GDPR; b) in assenza della decisione di adeguatezza, il titolare deve fornire agli interessati garanzie adeguate exartt. 46 e ss. GDPR, tra le quali rientra lo strumento delle Standard Contractual Clauses (SCC); c) in assenza della sussistenza dei punti a) e b) il trasferimento è ammesso soltanto nelle ipotesi derogatorie di cui all’art. 49 GDPR.

Con particolare riferimento all’adozione di Standard Contractual Clauses, come precisato anche dal Comitato Europeo per la Protezione dei Dati (EDPB), tale strumento deve essere efficace e ciò significa che «i dati personali trasferiti godono nel paese terzo di un livello di protezione sostanzialmente equivalente a quello garantito nel SEE» (EDPB, Raccomandazioni 01/2020); in mancanza di efficacia l’esportatore, in collaborazione con l’importatore, dovrà valutare l’esigenza di misure supplementari in grado di garantire nel Paese terzo un grado di tutela di protezione dei dati personali equipollente a quello degli Stati membri.

L’autorità Garante, nel provvedimento in commento, ha sottolineato, a tal riguardo, che «la sottoscrizione di tali nuove clausole non esime l’esportatore dall’adottare comunque misure supplementari, nel caso in cui la legge del Paese terzo impedisca all’importatore di rispettare le garanzie contenute nelle clausole stesse, e che l’Autorità, in ogni caso, ritiene necessario riservarsi di valutare l’adeguatezza del livello di protezione delle persone fisiche che deve essere assicurato ai sensi degli artt. 44 ss. del Regolamento».

A tal fine l’EDPB nelle Raccomandazioni 01/2020 individua un elenco non esaustivo di misure supplementari, ripartendole tra misure tecniche, organizzative e contrattuali supplementari. Con riguardo a tale ultima misura, questa non deve in alcun modo contraddire, direttamente o indirettamente, le Standard Contractual Clauses, né limitarne i diritti e gli obblighi (cfr. Considerando n. 109), ma è volta unicamente a integrare e rafforzare il vincolo già prescritto tra le parti. L’EDPB a tal proposito ritiene che «le misure contrattuali e organizzative, da sole, non riescono in genere a evitare l’accesso ai dati personali da parte delle autorità pubbliche del paese terzo (qualora ciò interferisca ingiustificatamente con gli obblighi dell’importatore di dati di garantire la sostanziale equivalenza)» (Racc. 01/2020 cit., par. 48) e, pertanto, tali misure dovranno essere in genere combinate con le misure tecniche, in grado – precisa l’EDPB – di «impedire o rendere inefficace l’accesso ai dati personali da parte delle autorità pubbliche dei paesi terzi, in particolare a fini di sorveglianza».

L’EDPB ha rimarcato che «Vi saranno infatti situazioni in cui solo misure tecniche potrebbero impedire o rendere inefficace l’accesso ai dati personali da parte delle autorità pubbliche dei paesi terzi, in particolare a fini di sorveglianza. In tali situazioni, le misure contrattuali o organizzative possono integrare le misure tecniche e rafforzare il livello generale di protezione dei dati, ad esempio creando ostacoli ai tentativi delle autorità pubbliche di accedere ai dati in modo non conforme alle norme dell’Unione» (Racc. 01/2020 cit., par. 48).

Un esempio di misure supplementari contrattuali può consistere proprio nella predisposizione di una clausola, aggiuntiva alle Standard Contractual Clauses, volta a garantire che anche l’importatore, come l’esportatore, si impegni a mettere in atto le misure tecniche necessarie ad assicurare un livello di protezione dei dati personali. Tra gli esempi di misure tecniche supplementari sono invece rinvenibili nella cifratura con chiave robusta e nella pseudonimizzazione dei dati (ved., amplius, Allegato n. 2 delle Racc. 01/2020 dell’EDPB).

3. Precedenti

Con riferimento alla funzionalità delle notifiche push generiche, sempre relative al funzionamento dell’App IO, si veda il parere del Garante del 12 giugno 2020, Docweb n. 9367375; il provvedimento del 9 giugno 2021, Docweb n. 9668051; il provvedimento del Garante del 12 giugno 2021, Docweb n. 9367375.

Sempre sull’App IO, l’Autorità si è poi pronunciata con i provvedimenti del 16 giugno 2021, Docweb n. 9670061, con cui ha affrontato il tema della limitazione provvisoria dei trattamenti, e del 17 giugno 2021, Docweb n. 9670670, con cui ha affrontato delle modalità di utilizzo dell’App IO per il recupero delle certificazioni verdi Covid-19.

Con riferimento all’adozione delle misure supplementari alle Contractual Standard Clauses si richiamano le autorizzazioni rese dal Garante, ex art. 44, comma 1, lett. b) del Codice, e il 10 ottobre 2001, con deliberazione n. 35, Docweb n. 42156, il 9 giugno 2005, con deliberazione n. 12, Docweb n. 1214121 e il 27 maggio 2010, con deliberazione n. 35, Docweb n. 1728496.

Di interesse è anche il provvedimento del Garante del 15 novembre 2012, Docweb n. 2191156, reso in tema di clausole contrattuali tipo e trasferimento dei dati all’estero tramite responsabile stabilito in UE.

4. Bibliografia

Sulla liceità del trattamento si veda F. Bravo, Le condizioni di liceità del trattamento di dati personali, in G. Finocchiaro(a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, pp. 110 ss.; G. Malgieri, Comm. Art. 5, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, pp. 179 ss.; D. Poletti, Comm. Art. 6, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 202 ss.; F. Resta, Comm. Art. 6. Principio di liceità, in G. M. Riccio- G. Scorza-E. Belisario (a cura di), GDPR e normativa privacy. Commentario al Regolamento (UE) 2016/679, Milano, 2018, p. 63 ss.

Sulle modalità opt-in si veda GDPR, Linee Guida in materia di attività promozionale e contrasto allo spam, 4 luglio 2013, Docweb n. 2542348; GDPR, Linee Guida in Linee guida cookie e altri strumenti di tracciamento, 10 giugno 2021, Docweb n. 9677876.

Sulle Contractual Standard Clauses si veda EDPB, Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, 10 novembre 2020; P. Piroddi, Comm. art. 46, in R. D’Orazio-G. Finocchiario-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, cit., pp. 646 ss.; R. Panetta, Il trasferimento all’estero dei dati personali, in N. Zorzi Galgano (a cura di), Persona e Mercato dei dati. Riflessioni sul GDPR, Milano, 2019, pp. 367 ss.