La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Piera Di Stefano "Il trattamento di un dato legittimamente inserito nel web, altrettanto lecitamente vi permane finchè perdurano le ragioni che ne giustificano la permanenza. Solo quando subentra un grado di obsolescenza tale da far venir meno la finalità della raccolta, scatta il diritto all’oscuramento".

di Ariella Fonsi "Il Digital Omnibus introduce un nuovo articolo 4a, che estende ai fornitori e agli utilizzatori di sistemi che non sono classificati come ad alto rischio la possibilità di trattare categorie particolari di dati personali (come definiti dal GDPR) ai fini della rilevazione e mitigazione dei bias".

di Maria Valeria Feraco "I modelli pay or ok, nella loro attuale configurazione, sollevano seri dubbi di compatibilità con i requisiti di libertà del consenso previsti dal GDPR. In particolare, il rischio di trasformare la protezione dei dati personali in un “servizio premium” riservato a chi può sostenere un costo economico appare difficilmente conciliabile con la qualificazione della protezione dei dati come diritto fondamentale".

di Annalisa Spedicato "Lo stesso Garante ha (...) rilevato come l’attuale design dell’ATT prompt potrebbe avere conseguenze su (i) l’effettiva comprensione da parte dell’utente del concetto di tracciamento e (ii) l’autonomia degli sviluppatori nella definizione dei mezzi e delle modalità del trattamento, in quanto l’ATT prompt è caratterizzato da scarse possibilità di personalizzazione da un punto di vista informativo".

di Jacopo Purificati "I due regimi di responsabilità devono agire in misura indipendente, senza che l’applicabilità o meno dell’uno interferisca con l’applicabilità o meno dell’altro".

di Annalisa Spedicato "Lo scopo legittimo per cui è ammesso installare un GPS su un’auto aziendale è (...) quello connesso a scopi organizzativi, produttivi o di sicurezza dell’azienda e del suo patrimonio, come anche quello di proteggere l’immagine aziendale".

di Ariella Fonsi "Tra le novità sicuramente più interessanti del Digital Omnibus si annoverano le modifiche all’art. 9 del GDPR e, in generale, alla possibilità di utilizzare particolari categorie di dati per finalità di training dei sistemi di IA, così come definiti dall’AI Act. Nello specifico, la Commissione propone di inserire un’ulteriore deroga al divieto di trattamento delle categorie particolari di dati per lo sviluppo e funzionamento di sistemi di IA".

di Jacopo Purificati "E' necessario il consenso dell’interessato per qualsiasi comunicazione di marketing diretto trattando i suoi dati di contatto; invece, il consenso non è necessario per l’invio, mediante coordinate di posta elettronica, ottenute nel contesto della precedente vendita di prodotti o servizi, di comunicazioni che promuovono prodotti o servizi analoghi a quelli venduti".

di Annalisa Spedicato "Per utilizzare i cookie di retargeting o comunque per effettuare campagne di retargeting è doveroso informare l’utente di quello che si sta andando a compiere mediante i suoi dati di navigazione; (...) nell’informativa privacy occorre precisare la logica con cui l’operazione avviene e la finalità per cui avviene, in modo che l’utente sia consapevole di quello che accadrà ai suoi dati personali, e naturalmente rendere noto anche quali informazioni personali l’operazione andrà a raccogliere e conservare".

di Simona Loprete "Il controllo sulle attività dei lavoratori deve rispettare i principi della finalità legittima (il controllo nelle sue varie forme deve essere giustificato da gravi motivi) e della proporzionalità (il datore di lavoro è tenuto a scegliere i mezzi e le modalità di controllo meno intrusivi)".

di Ariella Fonsi "La DPIA è il presidio imprescindibile ogni volta che l’uso dell’Intelligenza Artificiale Generativa può comportare rischi elevati per i diritti e le libertà degli interessati. E con la GenAI, il rischio non è mai solo teorico".

di Fabiola Iraci Gambazza "La richiesta di presentarsi fisicamente a fronte di un’istanza formulata per via telematica, tramite lo stesso canale di comunicazione utilizzato dal titolare, integra una limitazione ingiustificata all’esercizio del diritto e si pone in contrasto con l’obbligo, sancito dall’art. 12 GDPR, di facilitare l’esercizio dei diritti dell’interessato".

di Annalisa Spedicato "Le conversazioni telefoniche con un servizio clienti rientrano nell’ambito di tutela della disciplina in materia di privacy, conseguentemente non fornire le informazioni richieste relative ad una conversazione telefonica con un servizio clienti in maniera esauriente, significa violare il diritto di accesso ai dati personali dell’interessato".

di Ariella Fonsi "La sentenza della Corte di Giustizia rappresenta una svolta nel trattamento dei dati pseudonimizzati, imponendo un abbandono definitivo di automatismi e presunzioni assolute a favore di una valutazione oggettiva, concreta e caso per caso del rischio di reidentificazione sia dal punto di vista del titolare sia da quello del destinatario".

di Fabiola Iraci Gambazza "La chiusura del banner mediante “X” deve essere interpretata come una manifestazione di volontà a non prestare il consenso, comportando la permanenza delle impostazioni di default (ossia l’uso esclusivo di cookie tecnici), e precludendo la riproposizione del banner per almeno sei mesi, salvo modifiche significative nelle condizioni del trattamento".

di Simona Loprete "Resta fermo, in ogni caso, il rispetto dell’autonomia e del potere decisionale dell’uomo e delle libertà democratiche a tutela della sovranità dello Stato nonché dei diritti fondamentale di ogni cittadino riconosciuti dagli ordinamenti nazionale ed europeo".

di Simona Loprete "Acquisire e conservare dati che contengono (o possono contenere) simili informazioni comporta già l’integrazione della condotta vietata, anche se i dati non sono successivamente utilizzati".

di Jacopo Purificati "La necessità principale (...) è quella di disciplinare in modo ragionevole un delicato sinallagma, dove, al momento, la circolazione del dato è ancora troppo spesso favorita rispetto alla protezione dello stesso".

di Simona Loprete "Per l’Europa, il Data Use and Access Act (“DUAA”) può senz’altro rappresentare uno spunto di riflessione, anche per i tanti punti di contatto che esistono tra le rispettive normative applicabili in materia di protezione dei dati personali".

di Fabiola Iraci Gambazza "Secondo il TAR, l’interesse giuridicamente rilevante che legittima l’accesso può consistere anche in un’esigenza istruttoria preliminare alla proposizione della domanda giudiziale, e non richiede che i documenti richiesti abbiano necessariamente valore di prova diretta".

di Annalisa Spedicato "Installare sistemi di videosorveglianza all’interno di una struttura ricettiva, come un BB o una casa vacanza, è un legittimo diritto del titolare o proprietario. Altrettanto vero è però che tale diritto non deve intaccare il diritto alla riservatezza e al mantenimento della privacy degli ospiti della struttura stessa".

di Jacopo Purificati "L’elemento più importante desumibile dal provvedimento de quo è il rispetto dei principi di privacy-by-design, privacy-by-default e accountability. I datori di lavoro, cioè, sono sempre e comunque tenuti a compiere attente valutazioni circa ogni aspetto del trattamento dei dati personali dei lavoratori, determinando, innanzitutto, l’applicabilità o meno delle regole di protezione dei dati a specifici processi di elaborazione, l’inquadramento dei quali come operazioni di trattamento di dati personali non è, ad oggi, così agevole e/o immediato".

di Ariella Fonsi "I dati personali pubblicati sui social network o comunque disponibili online non possono essere utilizzati indiscriminatamente per qualsiasi finalità, solo in ragione della loro accessibilità".

di Jacopo Purificati "La proposta di modifica del GDPR ha costituito elemento di discussione, in particolare, tra gli esperti del settore della data protection. Le opinioni a riguardo sono contrastanti, pur se – almeno tendenzialmente – i commentatori sono d’accordo nel ritenere poco efficaci le modifiche proposte, soprattutto se lette in prospettiva degli obiettivi perseguiti dal Legislatore europeo".

di Simona Loprete "Il provvedimento nei confronti della Regione Lombardia ha palesato bruscamente che il tema della gestione dei metadati della posta elettronica dei lavoratori non può più essere trascurato dalle organizzazioni e che il ricorso alle impostazioni di default da parte del fornitore del servizio non esonera dalle responsabilità il datore di lavoro".