Home

Rapporto annuale CNIL 2022: testimonianza di una regolamentazione multidimensionale

14 Settembre 2023

A quasi quattro anni dall'effettiva applicabilità del GDPR, la maggior parte delle imprese e dei servizi pubblici si sono mobilitati per rispondere alle sfide legate alla protezione dei dati personali, in presenza di un pubblico sempre più familiare e consapevole rispetto al nuovo quadro normativo e, soprattutto, ai propri diritti. Dal canto suo, la Commission Nationale de l'Informatique et des Libertés (CNIL) ha riadattato la propria posizione giuridica, mettendo in campo competenze tecnologiche e conferendo maggiore credibilità alla propria politica sanzionatoria.

Rendiconto 2022: tra multidisciplinarietà e interrelazione regolatoria

Il 2022 ha rappresentato un anno cruciale durante il quale la CNIL ha portato a termine le riforme necessarie per potenziare l'attuazione del GDPR e ne ha avviate di ulteriori per fronteggiare la futura governance europea dei dati, dettata dall'emergenza di nuove prospettive tecnologiche. L'anno appena passato ha, da un lato, formalizzato l'adozione di nuovi metodi di lavoro volti a rispondere al meglio alle esigenze del GDPR e ha segnato, dall'altro, una svolta importante dal punto di vista della garanzia relativa all'esercizio dei diritti degli interessati e dell'efficacia della politica repressiva, sia qualitativamente che quantitativamente.

Parallelamente, la CNIL ha, altresì, contribuito all'evoluzione del proprio posizionamento, acquisendo competenze sempre maggiori in ambito economico, sociale ed etico, dal momento che la sola dimensione tecnico-giuridica non appariva sufficiente all'attuazione di una regolamentazione efficace. Tali adattamenti sono risultati necessari proprio al fine di sviluppare un nuovo savoir-faire al servizio di una società in cui diritto alla protezione della vita privata, innovazione, servizio pubblico ed economia coesistono tra loro in maniera equilibrata.

Da ultimo, oltre all'adozione di un approccio multidisciplinare, il Garante francese ha intensificato le - già regolari - collaborazioni con altre autorità operanti al di fuori dell'ambito data protection, nell'ottica di affrontare coerentemente e approfonditamente varie tematiche riconducibili alla sfera digitale. Tali scambi si sono, perlopiù, concretizzati in azioni, quali ad esempio l'analisi condivisa di casi e l'intervento congiunto in occasione di eventi e manifestazioni.

Informazione e garanzie

Tra i quattro principali assi di intervento della CNIL si cita, in primo luogo, l'instaurazione di un dialogo con i protagonisti della società civile - sia pubblici sia privati - diretto a rinforzare la consapevolezza e la sensibilità di tali soggetti in materia di protezione dei dati personali e di incentivare l'esercizio dei relativi diritti, alla luce di eventuali violazioni.

In primo luogo, per raggiungere tali obiettivi la CNIL ha consolidato il proprio ruolo educativo, registrando sul proprio sito web il record di 11 milioni di visite. L'ulteriore presenza sui social network ha permesso una “volgarizzazione” della normativa privacy, grazie anche alla produzione di contenuti visivamente intuitivi, tra cui infografiche e schede pratiche, che hanno facilitato il coinvolgimento di soggetti non addetti ai lavori.

In ogni caso, al canale digitale si affiancano anche il tradizionale servizio telefonico di relazioni con il pubblico, la rete postale ed il canale radiofonico.

Parallelamente a tali iniziative divulgative, destinate al grande pubblico, la CNIL ha dedicato altresì programmi pedagogici a specifiche categorie di soggetti. Particolare attenzione è stata rivolta ai minori, ai quali sono stati proposti piani ludico-formativi ad hoc (ad esempio, giochi di società, poster, quiz ecc.), con l'obiettivo di trasmettere le nozioni base ed alcune indicazioni comportamentali da attuare, soprattutto, online. 

In secondo luogo, la CNIL ha ricoperto un ruolo fondamentale nella protezione degli individui, fungendo da interlocutore per gli interessati in caso di mancato rispetto della normativa privacy o, ancora, in caso di esercizio di diritti da parte di questi ultimi. Per migliorare il servizio di gestione dei reclami, è stata implementata una piattaforma per un'agevole e sicura consultazione dello stato della pratica da parte del segnalante.

Nonostante una lieve diminuzione dei reclami ricevuti - 12.193 rispetto ai 14.143 del 2021 - l'Autorità di controllo francese ha continuato a vedersi recapitare, come ogni anno, numerose istanze legate perlopiù alle problematiche riscontrate dagli utenti nelle attività quotidiane relative alla sfera digitale, tra cui, in via principale:

  • l'utilizzo di Internet e le esigenze di rimozione di contenuti precedentemente pubblicati, di anonimizzazione e di deindicizzazione;
  • l'implementazione di cookie e altri strumenti di tracciamento;
  • la ricezione di comunicazioni di natura commerciale.

Sono state, altresì, registrate numerose segnalazioni riguardanti temi più tradizionali quali:

  • misure di monitoraggio illecite, sulla base del GDPR e/o della Loi Informatique et Libertés, attuate nei confronti di dipendenti;
  • difficoltà di esercizio del diritto di accesso ai dati personali, nell'ambito di rapporti commerciali, di lavoro e sanitari;
  • iscrizione di soggetti all'interno di banche dati in ambito creditizio, da parte degli istituti bancari.

Nel contesto dei trasferimenti transfrontalieri è frequente che la CNIL - in applicazione del meccanismo dello “sportello unico”, previsto ai Capi VI e VII del GDPR - riceva reclami inerenti a trattamenti posti in essere da organizzazioni stabilite in un altro Stato membro dell'UE. In tal caso, il reclamo ricevuto necessita di essere trasmesso all'autorità di controllo “capofila” competente, ossia l'autorità dello stabilimento principale o unico nell'UE del titolare o del responsabile del trattamento.

Prima di procedere con la trasmissione della segnalazione, la CNIL ha comunque la possibilità di contattare l'organizzazione in questione per verificare il luogo dell'effettivo stabilimento della stessa e/o per ottenere informazioni utili per la fase istruttoria.

La CNIL può, altresì, trovarsi nella situazione di dover ricoprire il ruolo di autorità “capofila” qualora riceva reclami, per il tramite dei propri omologhi europei, nei confronti di titolari o responsabili stabiliti unicamente o principalmente in Francia. In tali circostanze, è la CNIL a dover condurre le opportune indagini ai fini dell'adozione di una decisione, cooperando eventualmente con le autorità coinvolte.

Nel 2022 tale meccanismo ha trovato più volte applicazione, dal momento che la CNIL ha adottato 13 decisioni in qualità di autorità “capofila” a seguito di una preliminare fase cooperativa europea. 

La CNIL al servizio della compliance normativa e a supporto degli addetti ai lavori

Missione centrale del 2022 è stata anche quella di fornire supporto agli addetti ai lavori nel raggiungimento di un elevato livello di conformità, tramite la predisposizione di materiale operativo, tra cui raccomandazioni, schede pratiche, modelli e linee guida. Nell'ottica di favorire il dialogo e la diffusione di best practise, raggiungendo il maggior numero di soggetti coinvolti - indipendentemente dal settore di provenienza - è stato organizzato un programma di incontri ufficiali (“Journeées RGPD”) su tutto il territorio francese, laboratori online e webinar.

Tuttavia, con riguardo a particolari settori è risultato necessario approfondire il livello di tutela offerto ai dati personali, prevedendo interventi più incisivi. Si citano, nello specifico:

  1. il settore sanitario;
  2. il monitoraggio su larga scala tramite telecamere “aumentate”;
  3. il settore dell'impiego, della solidarietà e dello sport;
  4. la sicurezza informatica.

a) Settore sanitario

In primo luogo, nel settore sanitario:

  • al silenzio legislativo sulla possibilità per gli enti che offrono servizi di assicurazione sanitaria complementare di trattare dati personali ha fatto seguito il coinvolgimento del Ministro della Sanità e della Prevenzione e del Governo per sollecitare un intervento chiarificatore;
  • sono stati determinati due nuovi parametri per consentire ai laboratori farmaceutici di effettuare trattamenti di dati personali necessari;
  • sono state aggiornate ed integrate, a seguito di consultazione pubblica, due metodologie di riferimento relative ai trattamenti di dati a fini di ricerca, di studio o di valutazione;
  • è stato adottato, a seguito di consultazione pubblica, un sistema di riferimento relativo alle modalità di applicazione dei principi data protection ai trattamenti normalmente svolti dalle farmacie.

b) Monitoraggio su larga scala tramite telecamere “aumentate”

In secondo luogo, ha costituito oggetto di dibattito l'eventuale installazione di telecamere “aumentate” negli spazi pubblici. Difatti, tali strumenti si collocano nell'alveo dei dispositivi significativamente impattanti sulla vita privata degli individui, in quanto basati sull'uso di software di elaborazione automatica delle immagini che permettono, non solo di filmare le persone, ma anche di analizzarle automaticamente per dedurre determinate informazioni o identificare particolari caratteristiche e/o comportamenti.

A tal riguardo, la CNIL ha rilevato come il ricorso a tale tecnologia presenti nuovi profili di pericolo per i diritti e le libertà delle persone. Un utilizzo generalizzato di tali dispositivi comporterebbe, infatti, un rischio di monitoraggio costante degli spazi pubblici e, di conseguenza, un cambiamento delle abitudini delle persone, limitando la loro libertà di autodeterminazione. Il tema si era presentato con l'adozione del disegno di legge relativo alle Olimpiadi e Paraolimpiadi del 2024, il quale prevedeva la possibilità di installare - in via sperimentale - sistemi di videosorveglianza “aumentati”.

c) Settore dell'impiego, della solidarietà e dello sport

La CNIL ha, inoltre, deciso di finalizzare l'aggiornamento - avviato nel 2020 - della propria dottrina nel contesto del recruiting e, più in generale, del rapporto di lavoro. Sono stati elaborati nuovi materiali da consultare tra cui, una guida completa dei principi fondamentali della normativa privacy e le best practise da seguire, un questionario di autovalutazione in merito alla conformità al GDPR, delle schede destinate alle imprese e ai candidati, al fine di adottare i buoni riflessi - lato privacy - durante la fase di selezione, e schede tematiche dedicate alle organizzazioni sindacali.

In ambito sportivo, sono stati messi a punto tre strumenti formativi: una presentazione delle nozioni chiave; delle FAQ e un documento di autovalutazione inerente alle principali attività di trattamento effettuate nella pratica sportiva.

d) Sicurezza informatica

Quanto alla cybersecurity, intesa quale misura idonea a prevenire i rischi per gli individui, i cui dati sono oggetto di trattamento, la CNIL ha rilevato la necessità di attuare una serie di presidi a tutela dei dati personali, in modo tale da ridurre drasticamente il numero di data breach, alla luce dell'elevato numero di notifiche (4088) registrate nel 2022.

In tale ottica, laddove non siano implementati sistemi di autenticazione a più fattori, un accorgimento fondamentale da porre in essere ha riguardato l'adeguatezza delle password. Nel periodo in esame la CNIL ha pertanto provveduto alla revisione delle proprie raccomandazioni in materia di chiavi di accesso ai fini del recepimento delle evoluzioni delle tecniche e delle prassi.

In generale, per restare al passo con le innovazioni tecnologiche, la CNIL ha partecipato a numerosi gruppi di lavoro, intensificando, così, le relazioni con l'ecosistema cyber.

Monitoraggio e innovazione tecnologica

Un ulteriore campo di azione della CNIL è stato rappresentato dalla partecipazione a dibattiti sulla sorte dei dati personali nell'atmosfera digitale e dal contributo nello sviluppo di soluzioni tecnologiche che proteggano la vita privata. In particolare, per il tramite del Laboratoire d'Innovation Numérique de la CNIL (LINC):

  • è stato valutato, sulla base del principio di minimizzazione, l'impatto ed il costo della protezione dei dati personali sulla tutela ambientale;
  • sono stati esaminati i costi e i benefici della compliance, ma anche quelli della non conformità normativa;
  • sono state individuate, oltre all'esercizio dei diritti privacy, le strategie - attive e passive - adottate dagli interessati per evitare il trattamento dei propri dati personali;
  • sono state analizzate le modalità con cui le nuove tecnologie captano nuovi tipi di dati (cd. dati inferiti) relativi agli utilizzatori delle stesse.

La comprensione dei meccanismi sottostanti alle nuove tecnologie permette di identificare eventuali nuovi rischi e di soddisfare le esigenze del GDPR, soprattutto quelle legate al requisito della protezione dei dati personali fin dalla progettazione (privacy by design).

Nel corso del 2022 le principali tematiche tecnologiche al cuore del dibattito sono state le seguenti:

  • strumenti di intelligenza artificiale (IA) - basati su algoritmi “affamati” di dati - che hanno richiesto un controllo in merito all'osservanza di specifiche precauzioni;
  • applicazioni mobili, considerate ad oggi uno dei principali mezzi di accesso alla realtà digitale, che hanno portato la CNIL all'attuazione di un piano diretto al raggiungimento della conformità di tali strumenti e alla verifica dei dati a cui le app possono accedere;  
  • cookie e strumenti di tracciamento online, rispetto a cui è stato analizzato il fenomeno dei dark patterns, la pratica del cd. “cookie wall”, il design dei cookie banner e il tasso di rilascio del consenso.

Politica repressiva della CNIL: ispezioni e sanzioni

L'approccio repressivo del Garante francese si sostanzia principalmente in due fasi: una ispettiva e una sanzionatoria.

Le ispezioni, che possono svolgersi in loco, online o ancora tramite richieste documentali, permettono alla CNIL di verificare l'effettiva applicazione della normativa in materia di dati personali. La decisione di procedere ad un controllo è presa in funzione dei reclami ricevuti e del programma annuale elaborato sulla base di tematiche prioritarie rispetto alle quali è emersa una questione di tutela dei dati.

Nel 2022 la CNIL ha effettuato 345 controlli privilegiando, come prima della pandemia, i controlli in loco (41%). La navigazione sui website (ad esempio, siti di e-commerce) più visitati dalla popolazione francese e sulle applicazioni mobili maggiormente scaricate ha costituito la seconda modalità di controllo più utilizzata (37%).

Le priorità definite per il 2022 hanno riguardato:

  1. la prospezione commerciale;
  2. il monitoraggio nel contesto dello smartworking;
  3. l'utilizzo di strumenti cloud da parte del settore pubblico.

a) Con riguardo all'attività di ricerca dei prospect, sono state rilevate in via generale numerose lacune dal punto di vista della conformità normativa tra cui, la mancata raccolta del consenso al trattamento dei dati per finalità commerciali, la mancanza di un'adeguata informazione nei confronti dell'interessato rispetto alla trasmissione dei propri dati ad altri partner commerciali e l'inadempienza a fronte di richieste di revoca del consenso e di opposizione al trattamento.

b) Relativamente al controllo a distanza dei lavoratori, la CNIL ha identificato ed analizzato alcuni software. Da tali verifiche è emerso come, nella maggior parte dei casi, il monitoraggio fosse realizzato deliberatamente senza previa comunicazione ai lavoratori.

c) Da ultimo, nel quadro di attuazione coordinata (CEF – Coordinated Enforcement Framework) adottato dall'EDPB nel mese di ottobre 2020, al fine di potenziare le attività di enforcement e cooperazione fra le autorità di controllo, la CNIL ha intrapreso alcune indagini in merito all'adozione del cloud computing nel settore pubblico. In Francia, sono stati interpellati diversi ministeri al fine di ottenere maggiori dettagli sulla scelta dei fornitori del servizio di cloud, sull'inquadramento contrattuale, sull'eventuale trasferimento di dati al di fuori dello Spazio Economico Europeo (SEE) e sulle misure di sicurezza implementate per prevenire eventuali accessi ai dati localizzati nello SEE da parte di autorità straniere. I riscontri forniti dai ministeri hanno, tuttavia, evidenziato un buon livello di adeguamento alla normativa privacy.

In aggiunta a tali tematiche, sono stati altresì effettuati controlli:

  • sul trattamento dei dati da parte dello Stato (Dogane e Ministero dell'Interno);
  • sulla categorizzazione dei dati bancari;
  • sull'utilizzo dei pixel di tracciamento;
  • sul trattamento di dati relativi alla salute;
  • sulla sicurezza informatica e sull'implementazione di misure di sicurezza sui siti web.

Dal punto di vista sanzionatorio, la CNIL ha, secondo le previsioni, incrementato la propria attività repressiva attraverso la comminazione di numerose sanzioni amministrative pecuniarie. In via principale, sono state censurate le seguenti pratiche illecite:

  • la raccolta e il trattamento di circa 20 miliardi di immagini in assenza di un'idonea base giuridica (sanzione pari a 20 milioni di euro);
  • la mancata implementazione di misure di sicurezza, da cui è derivata la compromissione della disponibilità di dati sanitari di circa 500.000 interessati (sanzione pari a 1,5 milioni di euro);
  • l'erronea configurazione del cookie banner a fini di raccolta del consenso all'utilizzo dei cookie e altri strumenti di tracciamento e di modifica delle preferenze precedentemente espresse (sanzioni pari a 60, 8, 5 e 3 milioni di euro).

In conclusione

La progressiva digitalizzazione della vita economica e sociale e l'insorgere della pandemia hanno aggravato i rischi per la tutela della sfera privata. In questo contesto, i dati personali sono diventati più che mai il filo conduttore della nostra quotidianità digitale. In considerazione di quanto rendicontato al termine del 2022 (v. Rapporto annuale CNIL 2022), è possibile asserire come gli orientamenti strategici della CNIL per il periodo 2022-2024 aderiscano alla dinamica orientata alla costruzione di una società digitale sempre più sostenibile ed affidabile.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Sommario
Rendiconto 2022: tra multidisciplinarietà e interrelazione regolatoria