La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Ariella Fonsi "Per motivi di trasparenza, è essenziale che il titolare non si limiti a identificare solo i primi sub-responsabili, ma che abbia visibilità su tutta la catena. In altre parole, un titolare del trattamento non può limitarsi a un controllo superficiale, ma deve avere informazioni complete su tutti i soggetti che trattano i dati personali, dalle prime fasi fino alla fase finale".

di Jacopo Purificati "Il relatore della CNIL ha chiarito che la criticità non risiede nel fatto che un medico possa accedere ai dati attraverso i servizi telematici suddetti e trasmetterli nella cartella informatizzata del paziente, ma nella circostanza per cui, al momento della trasmissione da parte del medico, tali informazioni sono trasmesse in automatico alla Società, e vengono conservati nella cartella clinica informatizzata di Crossway per ben 12 mesi. Non è quindi possibile, per il sanitario, consultare tali dati senza che gli stessi siano ogni volta estratti in automatico tramite Crossway".

di Simona Loprete "Lo svolgimento della prestazione lavorativa da parte della ricorrente implica il trattamento di dati personali e (...) la mancata accettazione di una nomina quale autorizzato al trattamento non può che avere conseguenze negative sul rapporto di lavoro".

di Fabiola Iraci Gambazza "I Giudici hanno ritenuto - nel bilanciamento degli interessi in gioco - il diritto di difendersi in giudizio “prevalente sui diritti dell’interessato al trattamento dei dati personali”, in forza di quanto disposto dall’art. 17, par. 3, lett. e) e dell’art. 21 del GDPR".

di Annalisa Spedicato "E' possibile per un competitor agire in giudizio davanti al giudice civile per questioni legate alla privacy, facendo leva sulla disciplina in materia di pratiche commerciali sleali, (...) ciò rientra tra i principi e gli obiettivi del Regolamento n. 679/2016".

di Piera Di Stefano "L’ICO evidenzia come la raccolta di dati tramite web-scraping sia un'attività di "elaborazione invisibile", in cui le persone non sono consapevoli che i loro dati personali vengono elaborati in questo modo, il che comporta la difficoltà delle stesse di avere il controllo su come e quali organizzazioni elaborano i loro dati personali e di esercitare i loro diritti".

di Ariella Fonsi "In Italia, il CSIRT è l’organo preposto alla gestione degli incidenti informatici a livello nazionale (con un focus particolare sulla protezione delle infrastrutture critiche del Paese) ed è stato istituito a seguito della Direttiva 2016/1148 (meglio nota come Direttiva NIS), recepita in Italia con il Decreto legislativo n. 65/2018".

di Jacopo Purificati "L’Autorità ha osservato come i dati contenuti nel messaggio di posta elettronica, benché non direttamente riconducibili alle particolari categorie di cui all’art. 9 del GDPR, avessero comunque natura “sensibile”, poiché la loro diffusione può provocare danni e pregiudizi immediati all’interessato (es. dati su comunicazioni private, numeri di identificazione nazionali o dati aventi natura finanziaria)".

di Simona Loprete "Questa peculiare configurazione del rapporto lavorativo come può essere gestita in termini di adempimenti in materia di protezione dei dati personali dei lavoratori? Quali i ruoli privacy assunti dai soggetti coinvolti nel rapporto di somministrazione?".

di Fabiola Iraci Gambazza "L’Avvocato Generale, diversamente da precedenti interpretazioni, propone un’applicazione più restrittiva del concetto di 'dato relativo alla salute' che, se accolta nella sentenza della Corte di Giustizia, potrebbe dare origine ad un nuovo orientamento in materia".

di Ariella Fonsi "Nell’ambito del rapporto di lavoro il consenso manifestato dai dipendenti non può essere considerato idoneo presupposto di liceità, ciò alla luce dell’asimmetria tra le rispettive parti del rapporto di lavoro".

di Annalisa Spedicato "Il solo fatto di essere una persona fisica o di non operare come professionista (non avere quindi una partita iva), non svincola l’influencer dal rispetto delle disposizioni previste dal GDPR quando tratta dati personali riferiti alle persone".

di Ariella Fonsi "I sistemi di rilevamento biometrico trovano (...) descrizione nel Documento di lavoro sulla biometria adottato il 1° agosto 2003, in cui il WP29 (...) ha descritto tali sistemi come quelle applicazioni di tecnologie biometriche che permettono l’identificazione e/o l’autenticazione o la verifica automatica di un individuo attraverso l’estrazione di determinate informazioni relative a un individuo (per esempio, la foto del volto) necessarie per elaborare un modello biometrico".

di Jacopo Purificati "Il Provvedimento del Garante ribadisce e, in qualche modo, sottolinea la necessità di una effettiva responsabilizzazione dei datori di lavoro, i quali non possono concentrarsi esclusivamente sui temi più impattanti (si pensi alla videosorveglianza o ad altre forme più “palesi” di illecito trattamento), ma dovranno altresì considerare l’intero ciclo di vita del dato e tutti i molteplici coni di visibilità dello stesso".

di Simona Loprete "Il consenso, perché sia considerato valido, deve essere preventivo, specifico, libero, informato, manifestato inequivocabilmente, reso o documentato per iscritto e sempre revocabile. La sussistenza di tutte queste caratteristiche è necessaria se la ricerca scientifica si basa sulla espressione del consenso da parte degli interessati".

di Ariella Fonsi "La sola alternativa del pagamento di un canone di servizio che include il trattamento a fini di pubblicità comportamentale non dovrebbe essere la soluzione predefinita dei titolari del trattamento che, al contrario, dovrebbero prendere in considerazione la possibilità di fornire agli interessati una alternativa che non comporti il pagamento di un corrispettivo o il trattamento dei dati per finalità di pubblicità comportamentale".

di Fabiola Iraci Gambazza "La CGUE conclude affermando che i dati devono essere conservati in modo tale che non vi sia una combinazione tra questi capace di comportare un’ingerenza nella vita privata del soggetto, sulla base di modalità tecniche specifiche".

di Jacopo Purificati "L’approccio più “commerciale” alla materia privacy proprio degli Stati Uniti si evince in particolare nella sezione dell’APRA dedicata ai “consumer controls over covered data”, che contiene i correlativi dei diritti dell’interessato di cui agli artt. 14 e ss. del GDPR, pur se tali facoltà sono conferite ai consumatori (e solo se residenti negli Stati Uniti)".

di Simona Loprete "Il trattamento di dati biometrici è consentito in ambito lavorativo solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato".

di Simona Loprete "L’interessato non deve giustificare le proprie intenzioni quando esercita il diritto di accesso e, allo stesso tempo, il titolare del trattamento, nel valutare la richiesta, non deve analizzare la finalità come precondizione per l’esercizio del diritto di accesso ma limitarsi all’oggetto della richiesta".

di Ariella Fonsi "Il CNIL ricorda che la protezione dei dati dovrebbe essere integrata nei processi decisionali dell’organizzazione, inserendola nei momenti chiave in cui si decidono i budget e i progetti da implementare. In particolare, le organizzazioni dovrebbero definire un framework per gli utenti che quotidianamente utilizzano gli strumenti IT che tenga in considerazione i reali bisogni degli utenti e li guidi nella gestione pratica della sicurezza".

di Piera Di Stefano "Nella prova per presunzioni non è richiesta una sorta di 'rigidità causale' tra fatto noto e ignoto, '(...) essendo sufficiente che il fatto da provare sia desumibile dal fatto noto come conseguenza ragionevolmente possibile, secondo un criterio di normalità, ovvero che il rapporto di dipendenza logica tra il fatto noto e quello ignoto sia accertato alla stregua di canoni di probabilità, la cui sequenza e ricorrenza possano verificarsi secondo regole di esperienza'".

di Jacopo Purificati "La nozione di dato personale include ogni tipo di informazioni, tanto oggettive quanto soggettive, anche sotto forma di pareri o valutazioni, a condizione che esse 'riguardino' l’interessato. (...) l’interessato è una persona identificabile anche indirettamente, quindi attraverso il collegamento di più informazioni tra di loro; informazioni che, oltretutto, potrebbero provenire da fonti diverse, non essendo necessario che le stesse siano raccolte direttamente dal titolare del trattamento".

di Fabiola Iraci Gambazza "L’intervento si allinea alle precedenti posizioni del Garante italiano, soprattutto in merito all’interpretazione ampia del concetto di dato relativo alla salute che, difatti, coinvolge anche solo indirettamente l’informazione relativa ad una condizione patologica".

di Simona Loprete "La certezza dei tempi entro i quali l’autorità deve iniziare (con la comunicazione della contestazione all’interessato, avviando così il contraddittorio) e poi concludere il procedimento, è requisito fondamentale per il rispetto del diritto di difesa".