di Simona Loprete "Non sussiste alcun dubbio sul fatto che un sistema centralizzato a livello nazionale attraverso il quale si realizzano servizi sanitari con strumenti di IA, implichi un tipo di trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e che, pertanto, richiede una preliminare valutazione di impatto sulla protezione dei dati ai sensi dell’articolo 35 del GDPR".

di Claudia Dierna La Corte di Giustizia europea è stata chiamata a pronunciarsi in merito a questioni pregiudiziali sollevate dal giudice del rinvio tedesco, che in una causa vertente sulla responsabilità di una società immobiliare per omessa cancellazione dei dati personali dei locatari non più necessari, in violazione della privacy, ha chiesto alla Corte di determinare se una sanzione amministrativa pecuniaria potesse essere inflitta a una persona giuridica, nella sua qualità di titolare del trattamento, solo a condizione che la violazione fosse stata previamente imputata a una persona fisica identificata (come prevista dal diritto interno) e se fosse necessario accertare che il titolare del trattamento, persona giuridica e impresa, avesse commesso una violazione dolosa o colposa (come previsto dal GDPR). Decisivo è stato interpretare le norme del GDPR relative ai poteri correttivi delle autorità di controllo e alle condizioni generali per infliggere sanzioni amministrative pecuniarie, nonché l'accertamento della presenza di un margine di discrezionalità degli Stati membri nell'applicarle.