Sette siti web su dieci dei principali organismi dell’Unione Europea ispezionati dal Garante Europeo per la Protezione dei Dati personali (GEPD) non sono conformi alla normativa sulla protezione dei dati personali. Questo il bilancio portato alla luce nei giorni scorsi dallo stesso GEPD dopo la prima ondata di verifiche partite nell’agosto 2018. Le verifiche sono state effettuate ai sensi del Regolamento Ue 2018/1725 sulla protezione dei dati personali delle persone fisiche per le istituzioni, gli organi e gli organismi dell’Unione Europea in linea, per quanto possibile, da quanto già previsto dal Gdpr.
In ragione di una generale armonizzazione della normativa sulla protezione dei dati personali, le disposizioni ed i principi dei due regolamenti sono spesso coincidenti ed in tal caso devono essere interpretati in modo omogeneo, in considerazione del fatto che il regime del regolamento Ue 2018/1725 dovrebbe essere inteso come equivalente a quello del regolamento (UE) 2016/ 679.
Indice degli argomenti
Il ruolo del Garante europeo
Il Garante europeo ha avuto un ruolo centrale di controllo e di guida efficace fornendo tempestivamente indicazioni alle Istituzioni interessate su come risolvere i problemi rilevati in sede di ispezione a livello di implementazione delle misure tecniche ed organizzative sulla base della riduzione del rischio per i diritti e le libertà dei visitatori dei siti internet in questione, in conformità con la generale normativa sulla protezione dei dati personali.
Ma non solo: il GEPD ha anche offerto un pratico esempio di “accountability”, principio cardine della normativa sulla privacy, dando ufficialmente il via alle verifiche partendo “da casa propria”, ovvero, ispezionando il sito web del Garante europeo della Protezione dei dati personali per poi proseguire con il controllo dei siti gestiti dalle maggiori istituzioni ed organismi dell’UE tra cui il sito del Parlamento Europeo, quello del Consiglio europeo e del Consiglio dell’Unione europea, quello della Commissione europea, della Corte di giustizia dell’UE, Europol e dell’Autorità bancaria europea oltre quelli dell’European Data Protection Board (EDPB) ed infine quello della Conferenza internazionale dei garanti della privacy e della protezione dei dati (ICDPPC 2018).
Le criticità riscontrate
Infatti, conformemente al principio di responsabilizzazione introdotto dal legislatore europeo per cui nessuno, meglio del titolare, possa individuare le criticità ed i relativi sistemi di protezione idonei a garantire la sicurezza dei dati, il GEPD ha dato dimostrazione dell’attività di monitoraggio e di rendicontazione che ogni titolare dovrebbe effettuare regolarmente all’interno della propria realtà al fine di identificare le problematicità e poterle correggere adottando le misure tecniche e organizzative idonee al caso di specie. Le ispezioni dei siti internet da parte del GEPD sono state effettuate attraverso l’uso di uno specifico programma automatizzato che ha permesso di raccogliere le informazioni sul trattamento dei dati personali effettuati dai siti web analizzati mediante la verifica dell’uso di cookie, web beacon, elementi di pagine caricate da terze parti e la sicurezza delle connessioni crittografate (HTTPS).
Il risultato non è stato dei migliori in quanto sono emerse criticità diffuse sotto la maggior parte degli aspetti analizzati mettendo così in luce come anche i siti web di importanti istituzioni europee siano rimasti fermi alla vecchia normativa sulla privacy, risultando evidente l’assenza di un sistema di trattamento dei dati personali progettato sin dall’origine di ogni attività e nel rispetto dei principi cardine del Regolamento Ue 2018/1725 oltre che del Gdpr. Questo dato risulta ancora più sconfortante se si entra nel merito delle problematiche rilevate in sede di ispezione.
Infatti, tra le maggiori criticità emerse nei siti web in questione, vi è senza dubbio il tracciamento dei dati da parte di terze parti senza il previo consenso dei visitatori del sito web soprattutto nei casi di profilazione e targeting comportamentale dei soggetti interessati in violazione dell’art. 24 Reg. Ue 18/1725 che sancisce il divieto di tutti i processi decisionali completamente automatizzati (compresa la profilazione) che incidano sulla persona fisica. Inoltre è necessario chiedersi il motivo per cui importanti siti internet istituzionali dell’Unione Europea permettano a terze parti di profilare e targettizzare i visitatori delle proprie pagine web non essendo presente la reale necessità di utilizzare tale pratica e non ricorrendo, nel caso di specie, le eccezioni al generale divieto di profilazione previste dal comma 2 dell’art. 24 Reg. Ue 18/1725. Ma non è il solo caso di violazione emerso dalle verifiche: l’assenza del consenso esplicito dell’interessato è stata ravvisata anche nel caso di utilizzo dei tracker per l’analisi dei dati web dei visitatori con cui si monitora la navigazione in internet permettendo di identificare anche la posizione geografica. Questo problema però ha una portata molto diffusa in quanto spesso si ignora che il consenso sia necessario non solo in caso di profilazione di terze parti, ma anche quando venga utilizzata una qualsiasi piattaforma di analisi statistica di dati personali raccolti durante la navigazione che non siano previamente anonimizzati.
Altra grave falla che è stata rilevata durante le ispezioni condotte dal GEPD ma facilmente ravvisabile in altri siti internet, è stata sicuramente quella della rilevazione di connessioni non sicure (non crittografate) attraverso le quali venivano raccolti e trasmessi dati personali mediante la compilazione di moduli web. Tale criticità purtroppo è spesso riscontrabile anche in molti siti di Pubbliche Amministrazioni nostrane che ad un anno dall’entrata in vigore del Gdpr, si trovano ancora indietro con il processo di adeguamento al Regolamento Ue 16/679.
Le conseguenze
Ancora una volta sembra doversi attendere – e forse augurarsi – l’intervento sanzionatorio delle Autorità Garanti per la protezione dei dati personali perché vengano attuate misure di adeguamento concrete idonee a garantire la sicurezza e la privacy dei soggetti interessati, non solo dai privati, ma anche e soprattutto dalle P.A. che dovrebbero essere le prime ad essere conformi al Gdpr.
In attesa che il GEPD continui con le ispezioni preannunciate nei mesi a seguire concentrandosi sui siti web più visitati delle istituzioni e degli organismi dell’UE, non resta che auspicarsi che questi primi risultati fungano da esempio anche per le istituzioni nazionali che, in un’ottica di responsabilizzazione, assumano un atteggiamento proattivo per la verifica della conformità dei propri siti web al GDPR, non aspettando l’applicazione di importanti sanzioni da parte dell’Autorità Garante per la protezione dei dati personali ma mobilitandosi al fine di evitarle o limitarle.
La risposta delle istituzioni dell’UE responsabili dei siti web oggetto di ispezione è stata comunque confortante avendo tempestivamente messo in atto le raccomandazioni fornite dal GEPD in termini di misure tecniche e organizzative idonee a ridurre significativamente i rischi per la sicurezza e la privacy dei visitatori, impegnandosi da subito a fornire connessioni HTTPS sicure e riducendo significativamente il numero dei trackers e di terze parti sui loro siti web. Augurandosi che tali raccomandazioni fornite dal GEPD possano tramutarsi in precedenti di riferimento, restiamo in attesa delle ispezioni ai siti web delle istituzioni nazionali da parte della nostra Aurorità Garante per la Protezione dei dati personali e di conoscerne i risultati ed i relativi effetti.
