Dopo sette anni di ambiguità sulla legge tedesca sulla conservazione dei dati, la Corte costituzionale federale tedesca l’ha dichiarata inapplicabile e incompatibile con il diritto dell’UE. La Corte non ha accettato le disposizioni della legge tedesca sulle telecomunicazioni e del codice di procedura penale che prevedevano la conservazione dei dati relativi al traffico e all’ubicazione senza un motivo specifico. La sentenza conferma la posizione della Corte di giustizia dell’UE del 20 settembre 2022, secondo cui la legge tedesca sulla conservazione dei dati non ha più alcun effetto legale e non può più essere applicata. La norma invalidata prevedeva la conservazione di tutti i dati delle chiamate, dei messaggi di testo e degli indirizzi IP, comprese le informazioni sulla posizione dell’intera popolazione. Negli ultimi anni, in tutta Europa ci sono stati diversi tentativi di implementare regimi di sorveglianza per conservare tali dati per le indagini delle forze dell’ordine o per motivi di sicurezza interna. Questi tentativi sono stati regolarmente respinti dai tribunali europei, in quanto, alla luce della Carta dei diritti fondamentali dell’UE, la pratica colpisce in modo sproporzionato il diritto alla privacy delle persone estranee alle indagini. “Con la sua sentenza, la Corte Costituzionale Federale conferma e ribadisce la giurisprudenza della Corte di Giustizia Europea in materia di conservazione dei dati e chiarisce che la legge tedesca non prevede alcun margine di manovra per continuare ad applicare la conservazione dei dati senza alcuna ragione”, ha dichiarato Konstantin Macher di Digitalcourage, un’organizzazione che si occupa della questione dal 2002. “Chiediamo ai politici di accettare finalmente la fine della conservazione dei dati”, ha aggiunto Macher. Con la sentenza del 2022, la CGUE ha chiarito che la conservazione generalizzata dei dati di connessione costituisce sempre una grave violazione dei diritti fondamentali delle persone interessate. Pertanto, la conservazione dei dati senza un motivo specifico è incompatibile con i diritti fondamentali dell’Europa.
La maggior parte dei lavoratori in smartworking potrebbe non avere così tanta privacy come si potrebbe pensare. All’inizio della pandemia, quando praticamente tutti i dipendenti sono stati mandati a casa dagli uffici, molti datori di lavoro hanno investito in software di monitoraggio per tenere traccia di ogni loro spostamento, per evitare che si dedicassero ad attività personali mentre erano in servizio. Tre anni dopo, secondo un’indagine condotta da ResumeBuilder.com su 1.000 aziende, il monitoraggio dei dipendenti attraverso strumenti come i feed video e il software di monitoraggio dei tasti è di fatto la norma, mentre prima della pandemia esso interessava solo il 10% delle aziende. La forma più invasiva di monitoraggio è rappresentata da una trasmissione video in diretta, sempre attiva, alla quale ricorre più di un datore di lavoro su tre (37%), anche se solo pochi datori di lavoro – poco più del 5% – tengono d’occhio questi feed video per tutto il giorno. Sono però più comuni altre forme di controllo, come il tracciamento dell’attività di navigazione sul web e dell’uso delle app da parte dei lavoratori (62%) o la limitazione dell’accesso dei lavoratori a determinati siti web o applicazioni come le piattaforme di streaming video (49%). Inoltre, le aziende tengono traccia dell’attenzione dei lavoratori utilizzando la biometria, catturando schermate casuali e registrando i tasti premuti, che in teoria possono rivelare se i lavoratori sono impegnati in attività lavorative o personali. Secondo ResumeBuilder.com, quasi il 70% delle aziende ha dichiarato di aver avuto dipendenti che si sono licenziati per problemi di monitoraggio. Di questo gruppo, il 35% afferma che l’azienda ha perso da sei a dieci dipendenti a causa della sorveglianza indesiderata. Oltre il 70% delle aziende, inoltre, ha anche utilizzato i dati raccolti attraverso il monitoraggio per licenziare i lavoratori ritenuti improduttivi.
L’Information Commissioner’s Office (ICO) ha ammonito l’NHS Highland per aver violato i dati di alcuni pazienti che usufruiscono di servizi HIV. Il consiglio sanitario aveva inserito in chiaro le mail di 37 persone, così da rendere visibile a tutti i destinatari gli indirizzi personali degli altri che le ricevevano. L’ICO ha dichiarato che il mancato utilizzo di CCN nelle mail è una delle forme di data breach più comuni, con quasi 1.000 incidenti segnalati dal 2019 e ha pertanto chiesto di apportare miglioramenti alle misure tecniche e organizzative di protezione dei dati. Stephen Bonner, vicecommissario per la supervisione normativa, ha dichiarato: “Quello che abbiamo visto al NHS Highland è stata una grave violazione della riservatezza e fiducia di coloro che accedono a servizi vitali come quello per l’HIV”. Le raccomandazioni dell’ICO sono state incluse nel piano d’azione per la governance delle informazioni dell’NHS Highland, che entro giugno dovrà adeguare le proprie misure di sicurezza. Secondo le leggi sulla protezione dei dati, le organizzazioni devono infatti disporre di sistemi in grado di garantire che i dati personali, tanto più quelli appartenenti alle categorie particolari (art.9 Gdpr) siano al sicuro.
English version
After seven years of ambiguity surrounding the German Data Retention Act, the German Federal Constitutional Court declared it inapplicable and incompatible with EU law. The Court did not accept the provisions of the German Telecommunications Act and the Code of Criminal Procedure that provided for the retention of traffic and location data without a specific reason. The ruling confirms the EU Court of Justice’s position of 20 September 2022 that the German Data Retention Act no longer has any legal effect and can no longer be applied. The invalidated rule provided for the retention of all call data, text messages and IP addresses, including the location information of the entire population. In recent years, there have been several attempts across Europe to implement surveillance schemes to retain such data for law enforcement investigations or internal security purposes. These attempts have been routinely rejected by the European courts on the grounds that, in light of the EU Charter of Fundamental Rights, the practice disproportionately affects the right to privacy of persons unconnected with investigations. “With its ruling, the Federal Constitutional Court confirms and reaffirms the jurisprudence of the European Court of Justice on data retention and makes it clear that German law does not provide any leeway to continue to apply data retention for no reason,” said Konstantin Macher of Digitalcourage, an organisation that has been working on the issue since 2002. ‘We call on politicians to finally accept the end of data retention,’ Macher added. In its 2022 judgment, the CJEU made it clear that the generalised retention of connection data always constitutes a serious violation of the fundamental rights of the persons concerned. Therefore, the retention of data without a specific reason is incompatible with Europe’s fundamental rights.
Most smartworking employees may not have as much privacy as one might think. At the beginning of the pandemic, when virtually all employees were sent home from their offices, many employers invested in monitoring software to keep track of their every move, to prevent them from engaging in personal activities while on the job. Three years later, according to a survey of 1,000 companies conducted by ResumeBuilder.com, employee monitoring through tools such as video feeds and keystroke monitoring software is in fact the norm, whereas before the pandemic it affected only 10% of companies. The most invasive form of monitoring is a live, always-on video feed, which is used by more than one in three employers (37%), although only a few employers – just over 5% – keep an eye on these video feeds throughout the day. However, other forms of monitoring are more common, such as tracking workers’ web browsing activity and app usage (62%) or restricting workers’ access to certain websites or apps such as video streaming platforms (49%). In addition, companies track workers’ attention using biometrics, capturing random screenshots and recording keystrokes, which in theory can reveal whether workers are engaged in work or personal activities. According to ResumeBuilder.com, nearly 70 per cent of companies said they had employees who quit because of monitoring problems. Of this group, 35% stated that the company lost six to ten employees due to unwanted surveillance. In addition, more than 70% of the companies also used the data collected through monitoring to dismiss workers deemed unproductive.
The Information Commissioner’s Office (ICO) has admonished NHS Highland for hacking into the data of some patients using HIV services. The health board had unencrypted the emails of 37 people, making the personal addresses of others who received them visible to all recipients. The ICO said that failure to use CCN in emails is one of the most common forms of data breach, with almost 1,000 incidents reported since 2019, and therefore called for improvements to technical and organisational data protection measures. Stephen Bonner, deputy commissioner for regulatory oversight, said: ‘What we saw at NHS Highland was a serious breach of the confidentiality and trust of those accessing vital services such as HIV services. The ICO’s recommendations have been included in NHS Highland’s information governance action plan, which will have to adapt its security measures by June. According to data protection laws, organisations must in fact have systems in place to ensure that personal data, especially those in special categories (Art. 9 GDPR), are secure.
