Con l’approvazione da parte del Consiglio Grande e Generale della Legge n. 171 del 21 dicembre 2018, anche la Repubblica di San Marino ha emanato la propria normativa privacy, parificandosi normativamente agli standard UE dettati dal Regolamento n. 679/2016 (GDPR) – ne parlammo qui.
La legge, in vigore dal 05 gennaio 2019, si pone come obiettivo quello di dotare la Repubblica sammarinese di una normativa efficace in materia di protezione dei dati personali, alla quale tutte le imprese del territorio del Titano sono obbligate ad adeguarsi.
Al fine di sorvegliare l’applicazione della predetta legge, con lo scopo di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali, è stata istituita l’Autorità Garante per la Protezione dei Dati Personali di San Marino.
In questi anni di attività i temi maggiormente portati all’attenzione del Garante per la privacy sono stati la violazione dei dati personali, il diritto all’oblio e problematiche relative alla videosorveglianza.
DATA BREACH: CONSEGUENZE E RIMEDI
La violazione dei dati personali è da intendersi quale violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Ai sensi dell’art. 33 comma 1 della L. 171/2018 spetta al titolare del trattamento e al responsabile, eventualmente designato, mettere in atto misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio della violazione dei dati personali. Tuttavia, in caso di violazione di dati personali, quando essa presenti un rischio per i diritti e le libertà delle persone fisiche, il titolare in ragione del principio di responsabilizzazione (accountability), deve notificare la violazione all’Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne sia venuto a conoscenza.
Dai numerosi provvedimenti emanati dal Garante della Repubblica di San Marino si evince come l’ingiustificato ritardo nella comunicazione di una violazione dei dati personali possa costituire oggetto di sanzione. Ciononostante, la notifica tempestivamente effettuata è soltanto uno degli adempimenti da osservare: infatti, tra i poteri spettanti al Garante vi è la facoltà di avanzare richiesta affinché il titolare valuti se il data breach abbia effettivamente presentato un rischio elevato per i diritti e le libertà delle persone fisiche. Può altresì richiedere che venga esibita la documentazione relativa alla violazione e alle circostanze a essa relative, con l’obbligo per il titolare del trattamento di redigere un apposito registro.
Il titolare dovrà inoltre attestare per sé e per il responsabile del trattamento coinvolto nella violazione dei dati personali l’adozione di misure tecniche e organizzative adeguate.
L’Autorità Garante in più occasioni ha concesso 30 giorni di tempo per permettere alle società interessate di fornire un puntuale riscontro a quanto espressamente richiesto. Tuttavia, dai provvedimenti è emerso che il mancato soddisfacimento delle richieste avanzate dal Garante sammarinese ha spesso e volentieri comportato l’emissione di ordinanze di ingiunzione al pagamento di una sanzione amministrativa pecuniaria. Dall’analisi dei provvedimenti emerge una indicazione molto interessante: la condotta del Titolare che, subito il data breach, ha poi adottato misure di sicurezza atte a ridurre gli effetti negativi per gli interessati, è stata tenuta in considerazione dal Garante nella quantificazione della sanzione (spesso al minimo edittale).
Tuttavia, anche se la sanzione non dovesse risultare eccessivamente onerosa dal punto di vista economico, potrebbe rivelarsi tale per quanto concerne la reputazione, poiché l’obbligo di notifica al Garante e agli interessati, i cui dati sono stati compromessi, potrebbe porre l’azienda in una situazione di criticità anche nei confronti degli investitori, i quali potrebbero prediligere una concorrenza più attenta alla gestione dei dati trattati.
DIRITTO ALL’OBLIO: IL GIUSTO COMPREMESSO TRA INFORMAZIONE E PRIVACY
Il diritto all’oblio, disciplinato all’art. 17 della L. 171/2018, si configura come il diritto dell’interessato ad ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.
Punto di svolta decisivo per l’esercizio di questo diritto si è ottenuto con la sentenza “Google Spain” del 13/05/2014 Causa C-131/12 della Corte di Giustizia Europea, la quale ha stabilito che il cittadino può chiedere la rimozione di informazioni inadeguate, non pertinenti o non più pertinenti ovvero eccessive in rapporto alle finalità per le quali sono state trattate e al tempo trascorso. In tal senso il Garante della privacy della Repubblica di San Marino si è adeguato, accogliendo numerosi reclami ex art. 66, stabilendo che nei casi di esercizio di diritto all’oblio occorre effettuare un corretto bilanciamento con il contrapposto diritto/dovere di informazione. Inoltre, in molteplici provvedimenti, ha stabilito, con particolare riguardo al diritto di cronaca e di informazione, che nei casi in cui l’interesse pubblico debba ritenersi prevalente a discapito dell’attività professionale, il diritto all’oblio abbia ragione di subire una compressione.
Ciononostante, non sono mancate le sanzioni comminate a seguito di inadempimenti, da parte di titolari del trattamento dei dati personali, rispetto a quanto già ordinatogli con provvedimenti monitori. A tal proposito, esemplare è il provvedimento n. 13 del 29 maggio 2020 con il quale il Garante sammarinese ha comminato ad un giornale online, in persona del suo Direttore pro tempore, una sanzione pecuniaria, poiché aveva ottemperato solo in parte alla richiesta di cancellazione di un nominativo dall’URL del sito del quotidiano.
Grande attenzione viene posta in merito ai requisiti formali dei reclami presentati all’Autorità Garante di San Marino, in mancanza dei quali il reclamo sarà sicuramente dichiarato inammissibile.
VIDEOSOVERGLIANZA: COME EVITARE LE SANZIONI DEL GARANTE
Un altro tema di spiccata importanza che ha interessato i provvedimenti del Garante della Repubblica di San Marino è quello concernente la videosorveglianza.
L’art. 1, comma 2, della Legge n. 171/2018 dispone che il trattamento dei dati personali si deve svolgere nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato con particolare riguardo alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Da quanto si evince dal testo di legge, il titolare del trattamento è pertanto tenuto al rispetto del principio di responsabilizzazione, nonché, al riguardo delle condizioni di liceità del trattamento.
Un ulteriore obbligo incombente sulle attività del titolare è quello di informare le persone in modo dettagliato nei luoghi in cui la videosorveglianza è in funzione, pertanto, tutti gli accessi devono essere dotati dell’informativa di area di videosorveglianza. Al fine di evitare provvedimenti di natura sanzionatoria da parte del Garante sammarinese è obbligatorio conformarsi al disposto di Legge in materia di videosorveglianza, secondo il quale tutte le informazioni relative all’attività di vigilanza tramite strumenti tecnici quali telecamere, devono essere rese disponibili in un luogo facilmente accessibile all’interessato. Inoltre, anche la distribuzione di tali dispositivi deve seguire regole ben precise, valutando la vastità dell’area e le modalità in cui avvengono le riprese, il titolare sarà tenuto all’installazione di più cartelli in posizioni strategiche rispetto al raggio di ripresa, tenendo altresì conto che eventuali telecamere esterne non debbano riprendere aree pubbliche o di accesso al pubblico, strade o spazi condivisi.
Queste linee guida vengono riportate anche nei provvedimenti emanati dal Garante della Repubblica di San Marino, il quale fornisce ulteriori indicazioni circa il divieto di installazione di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori, ribadendo che non sono altresì consentite riprese stabili e continuative del personale dipendente.
Inoltre, si rammenta il diritto dell’interessato a richiedere l’accesso ai dati che lo riguardano, di verificarne le finalità, le modalità e la logica del trattamento e di ottenere l’interruzione del trattamento illecito. A tal proposito il Garante, in conformità alla legge, nei provvedimenti riporta indicazioni anche in merito alla durata del periodo di conservazione delle immagini da parte del titolare del trattamento, affermando che tale lasso di tempo non deve superare le 96 ore.
L’Autorità Garante della Repubblica di San Marino ha fornito indicazioni ben precise circa il tema così dibattuto della videosorveglianza, prevendendo sanzioni qualora i titolari del trattamento decidessero di non adeguarsi o di non rispettare quanto previsto dalla Legge.
In conclusione, dai provvedimenti emanati si evince come la tutela dei dati personali rappresenti per la Repubblica di San Marino una fondamentale garanzia di libertà, assicurata dal diritto alla riservatezza, dal quale emerge l’assoluta necessità di controllo e intervento di un’Autorità preposta a salvaguardia e a tutela della sfera privata del singolo individuo che deve poter avere il controllo su tutte le informazioni e i dati riguardanti gli aspetti privati della sua vita.
In tal senso fondamentale risulta un’adeguata formazione atta a ridurre i rischi legati al trattamento dei dati personali e a prevenire la violazione di norme in materia di privacy, al fine di evitare sanzioni comminate dall’Autorità Garante.
Con l’approvazione da parte del Consiglio Grande e Generale della Legge n. 171 del 21 dicembre 2018, anche la Repubblica di San Marino ha emanato la propria normativa privacy, parificandosi normativamente agli standard UE dettati dal Regolamento n. 679/2016 (GDPR) – ne parlammo qui.
La legge, in vigore dal 05 gennaio 2019, si pone come obiettivo quello di dotare la Repubblica sammarinese di una normativa efficace in materia di protezione dei dati personali, alla quale tutte le imprese del territorio del Titano sono obbligate ad adeguarsi.
Al fine di sorvegliare l’applicazione della predetta legge, con lo scopo di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento dei dati personali, è stata istituita l’Autorità Garante per la Protezione dei Dati Personali di San Marino.
In questi anni di attività i temi maggiormente portati all’attenzione del Garante per la privacy sono stati la violazione dei dati personali, il diritto all’oblio e problematiche relative alla videosorveglianza.
DATA BREACH: CONSEGUENZE E RIMEDI
La violazione dei dati personali è da intendersi quale violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Ai sensi dell’art. 33 comma 1 della L. 171/2018 spetta al titolare del trattamento e al responsabile, eventualmente designato, mettere in atto misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio della violazione dei dati personali. Tuttavia, in caso di violazione di dati personali, quando essa presenti un rischio per i diritti e le libertà delle persone fisiche, il titolare in ragione del principio di responsabilizzazione (accountability), deve notificare la violazione all’Autorità Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne sia venuto a conoscenza.
Dai numerosi provvedimenti emanati dal Garante della Repubblica di San Marino si evince come l’ingiustificato ritardo nella comunicazione di una violazione dei dati personali possa costituire oggetto di sanzione. Ciononostante, la notifica tempestivamente effettuata è soltanto uno degli adempimenti da osservare: infatti, tra i poteri spettanti al Garante vi è la facoltà di avanzare richiesta affinché il titolare valuti se il data breach abbia effettivamente presentato un rischio elevato per i diritti e le libertà delle persone fisiche. Può altresì richiedere che venga esibita la documentazione relativa alla violazione e alle circostanze a essa relative, con l’obbligo per il titolare del trattamento di redigere un apposito registro.
Il titolare dovrà inoltre attestare per sé e per il responsabile del trattamento coinvolto nella violazione dei dati personali l’adozione di misure tecniche e organizzative adeguate.
L’Autorità Garante in più occasioni ha concesso 30 giorni di tempo per permettere alle società interessate di fornire un puntuale riscontro a quanto espressamente richiesto. Tuttavia, dai provvedimenti è emerso che il mancato soddisfacimento delle richieste avanzate dal Garante sammarinese ha spesso e volentieri comportato l’emissione di ordinanze di ingiunzione al pagamento di una sanzione amministrativa pecuniaria. Dall’analisi dei provvedimenti emerge una indicazione molto interessante: la condotta del Titolare che, subito il data breach, ha poi adottato misure di sicurezza atte a ridurre gli effetti negativi per gli interessati, è stata tenuta in considerazione dal Garante nella quantificazione della sanzione (spesso al minimo edittale).
Tuttavia, anche se la sanzione non dovesse risultare eccessivamente onerosa dal punto di vista economico, potrebbe rivelarsi tale per quanto concerne la reputazione, poiché l’obbligo di notifica al Garante e agli interessati, i cui dati sono stati compromessi, potrebbe porre l’azienda in una situazione di criticità anche nei confronti degli investitori, i quali potrebbero prediligere una concorrenza più attenta alla gestione dei dati trattati.
DIRITTO ALL’OBLIO: IL GIUSTO COMPREMESSO TRA INFORMAZIONE E PRIVACY
Il diritto all’oblio, disciplinato all’art. 17 della L. 171/2018, si configura come il diritto dell’interessato ad ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.
Punto di svolta decisivo per l’esercizio di questo diritto si è ottenuto con la sentenza “Google Spain” del 13/05/2014 Causa C-131/12 della Corte di Giustizia Europea, la quale ha stabilito che il cittadino può chiedere la rimozione di informazioni inadeguate, non pertinenti o non più pertinenti ovvero eccessive in rapporto alle finalità per le quali sono state trattate e al tempo trascorso. In tal senso il Garante della privacy della Repubblica di San Marino si è adeguato, accogliendo numerosi reclami ex art. 66, stabilendo che nei casi di esercizio di diritto all’oblio occorre effettuare un corretto bilanciamento con il contrapposto diritto/dovere di informazione. Inoltre, in molteplici provvedimenti, ha stabilito, con particolare riguardo al diritto di cronaca e di informazione, che nei casi in cui l’interesse pubblico debba ritenersi prevalente a discapito dell’attività professionale, il diritto all’oblio abbia ragione di subire una compressione.
Ciononostante, non sono mancate le sanzioni comminate a seguito di inadempimenti, da parte di titolari del trattamento dei dati personali, rispetto a quanto già ordinatogli con provvedimenti monitori. A tal proposito, esemplare è il provvedimento n. 13 del 29 maggio 2020 con il quale il Garante sammarinese ha comminato ad un giornale online, in persona del suo Direttore pro tempore, una sanzione pecuniaria, poiché aveva ottemperato solo in parte alla richiesta di cancellazione di un nominativo dall’URL del sito del quotidiano.
Grande attenzione viene posta in merito ai requisiti formali dei reclami presentati all’Autorità Garante di San Marino, in mancanza dei quali il reclamo sarà sicuramente dichiarato inammissibile.
VIDEOSOVERGLIANZA: COME EVITARE LE SANZIONI DEL GARANTE
Un altro tema di spiccata importanza che ha interessato i provvedimenti del Garante della Repubblica di San Marino è quello concernente la videosorveglianza.
L’art. 1, comma 2, della Legge n. 171/2018 dispone che il trattamento dei dati personali si deve svolgere nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato con particolare riguardo alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Da quanto si evince dal testo di legge, il titolare del trattamento è pertanto tenuto al rispetto del principio di responsabilizzazione, nonché, al riguardo delle condizioni di liceità del trattamento.
Un ulteriore obbligo incombente sulle attività del titolare è quello di informare le persone in modo dettagliato nei luoghi in cui la videosorveglianza è in funzione, pertanto, tutti gli accessi devono essere dotati dell’informativa di area di videosorveglianza. Al fine di evitare provvedimenti di natura sanzionatoria da parte del Garante sammarinese è obbligatorio conformarsi al disposto di Legge in materia di videosorveglianza, secondo il quale tutte le informazioni relative all’attività di vigilanza tramite strumenti tecnici quali telecamere, devono essere rese disponibili in un luogo facilmente accessibile all’interessato. Inoltre, anche la distribuzione di tali dispositivi deve seguire regole ben precise, valutando la vastità dell’area e le modalità in cui avvengono le riprese, il titolare sarà tenuto all’installazione di più cartelli in posizioni strategiche rispetto al raggio di ripresa, tenendo altresì conto che eventuali telecamere esterne non debbano riprendere aree pubbliche o di accesso al pubblico, strade o spazi condivisi.
Queste linee guida vengono riportate anche nei provvedimenti emanati dal Garante della Repubblica di San Marino, il quale fornisce ulteriori indicazioni circa il divieto di installazione di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori, ribadendo che non sono altresì consentite riprese stabili e continuative del personale dipendente.
Inoltre, si rammenta il diritto dell’interessato a richiedere l’accesso ai dati che lo riguardano, di verificarne le finalità, le modalità e la logica del trattamento e di ottenere l’interruzione del trattamento illecito. A tal proposito il Garante, in conformità alla legge, nei provvedimenti riporta indicazioni anche in merito alla durata del periodo di conservazione delle immagini da parte del titolare del trattamento, affermando che tale lasso di tempo non deve superare le 96 ore.
L’Autorità Garante della Repubblica di San Marino ha fornito indicazioni ben precise circa il tema così dibattuto della videosorveglianza, prevendendo sanzioni qualora i titolari del trattamento decidessero di non adeguarsi o di non rispettare quanto previsto dalla Legge.
In conclusione, dai provvedimenti emanati si evince come la tutela dei dati personali rappresenti per la Repubblica di San Marino una fondamentale garanzia di libertà, assicurata dal diritto alla riservatezza, dal quale emerge l’assoluta necessità di controllo e intervento di un’Autorità preposta a salvaguardia e a tutela della sfera privata del singolo individuo che deve poter avere il controllo su tutte le informazioni e i dati riguardanti gli aspetti privati della sua vita.
In tal senso fondamentale risulta un’adeguata formazione atta a ridurre i rischi legati al trattamento dei dati personali e a prevenire la violazione di norme in materia di privacy, al fine di evitare sanzioni comminate dall’Autorità Garante.