[]

La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

  • Privacy - Processi decisionali automatizzati e profilazione

Il diritto di accesso e la protezione dei dati personali: equilibrio tra trasparenza e segreti commerciali nelle decisioni automatizzate

18 dicembre 2024

di Ariella Fonsi "Quando un interessato è coinvolto in una decisione automatizzata ai sensi dell’art. 22 del GDPR, le “informazioni significative sulla logica coinvolta” a cui tale persona ha diritto di accesso riguardano il metodo e i criteri utilizzati dal titolare del trattamento per tale decisione automatizzata".
  • Privacy - Basi giuridiche del trattamento dei dati

Sul legittimo interesse per finalità commerciale: la recente pronuncia della Corte di Giustizia dell’UE

11 dicembre 2024

di Fabiola Iraci Gambazza "La CGUE ritiene che, a contrario da quanto sostenuto dall’Autorità garante dei Paesi Bassi, può sussistere interesse legittimo commerciale, consistente nella promozione e nella vendita di spazi pubblicitari ai fini di marketing, purché tale interesse non sia contrario alla legge".
  • Privacy - Basi giuridiche del trattamento dei dati

Le linee guida n. 1/2024 del Comitato europeo per la protezione dei dati: approfondimenti sull’interesse legittimo

4 dicembre 2024

di Jacopo Purificati "Il legittimo interesse non dovrebbe essere considerato una soluzione di ultima istanza per situazioni rare o impreviste o quando altre basi giuridiche non sono applicabili. Allo stesso modo, non dovrebbe essere scelto automaticamente o esteso impropriamente, nella convinzione che sia meno restrittivo di altre basi giuridiche".
  • Privacy - Dati sanitari

L’oblio oncologico nei rapporti di lavoro: le regole del Garante privacy per il datore di lavoro

27 novembre 2024

di Simona Loprete "Il trattamento di informazioni personali non attinenti alla prestazione di lavoro, come per esempio lo stato di salute, anche se con il consenso del lavoratore, non è lecito a meno che non si tratti di caratteristiche che incidono sulle modalità di svolgimento della attività lavorativa o che costituiscono un requisito essenziale e determinante ai fini dello svolgimento dell'attività lavorativa".
  • Privacy - Obblighi del titolare, del responsabile e dell’incaricato del trattamento

Responsabilità e trasparenza nella gestione di responsabili del trattamento: un’analisi dell’Opinion 22/2024 dell’EDPB

20 novembre 2024

di Ariella Fonsi "Per motivi di trasparenza, è essenziale che il titolare non si limiti a identificare solo i primi sub-responsabili, ma che abbia visibilità su tutta la catena. In altre parole, un titolare del trattamento non può limitarsi a un controllo superficiale, ma deve avere informazioni complete su tutti i soggetti che trattano i dati personali, dalle prime fasi fino alla fase finale".
  • Privacy - Dati sanitari

La CNIL sanziona una società di software medici per l’illecita creazione di un c.d. Data Warehouse sanitario

13 novembre 2024

di Jacopo Purificati "Il relatore della CNIL ha chiarito che la criticità non risiede nel fatto che un medico possa accedere ai dati attraverso i servizi telematici suddetti e trasmetterli nella cartella informatizzata del paziente, ma nella circostanza per cui, al momento della trasmissione da parte del medico, tali informazioni sono trasmesse in automatico alla Società, e vengono conservati nella cartella clinica informatizzata di Crossway per ben 12 mesi. Non è quindi possibile, per il sanitario, consultare tali dati senza che gli stessi siano ogni volta estratti in automatico tramite Crossway".
  • Privacy - Aspetti generali

Prevalenza del diritto di difesa sulla tutela dei dati personali? Il sì della Cassazione sull’utilizzabilità in giudizio di registrazioni tra colleghi

30 ottobre 2024

di Fabiola Iraci Gambazza "I Giudici hanno ritenuto - nel bilanciamento degli interessi in gioco - il diritto di difendersi in giudizio “prevalente sui diritti dell’interessato al trattamento dei dati personali”, in forza di quanto disposto dall’art. 17, par. 3, lett. e) e dell’art. 21 del GDPR".
  • Privacy - Intelligenza artificiale

Web scraping, AI generativa e privacy

16 ottobre 2024

di Piera Di Stefano "L’ICO evidenzia come la raccolta di dati tramite web-scraping sia un'attività di "elaborazione invisibile", in cui le persone non sono consapevoli che i loro dati personali vengono elaborati in questo modo, il che comporta la difficoltà delle stesse di avere il controllo su come e quali organizzazioni elaborano i loro dati personali e di esercitare i loro diritti".
  • Privacy - Data breach

Incidenti di sicurezza informatica: l’Agenzia per la cybersicurezza nazionale fornisce una guida per le notifiche al CSIRT

9 ottobre 2024

di Ariella Fonsi "In Italia, il CSIRT è l’organo preposto alla gestione degli incidenti informatici a livello nazionale (con un focus particolare sulla protezione delle infrastrutture critiche del Paese) ed è stato istituito a seguito della Direttiva 2016/1148 (meglio nota come Direttiva NIS), recepita in Italia con il Decreto legislativo n. 65/2018".
  • Privacy - Sicurezza dei dati

E-mail e buste paga dei dipendenti: l’AEPD sanziona una nota azienda di abbigliamento

2 ottobre 2024

di Jacopo Purificati "L’Autorità ha osservato come i dati contenuti nel messaggio di posta elettronica, benché non direttamente riconducibili alle particolari categorie di cui all’art. 9 del GDPR, avessero comunque natura “sensibile”, poiché la loro diffusione può provocare danni e pregiudizi immediati all’interessato (es. dati su comunicazioni private, numeri di identificazione nazionali o dati aventi natura finanziaria)".
  • Privacy - Obblighi del titolare, del responsabile e dell’incaricato del trattamento

Ruoli privacy e relativi adempimenti nel rapporto di lavoro in somministrazione

25 settembre 2024

di Simona Loprete "Questa peculiare configurazione del rapporto lavorativo come può essere gestita in termini di adempimenti in materia di protezione dei dati personali dei lavoratori? Quali i ruoli privacy assunti dai soggetti coinvolti nel rapporto di somministrazione?".
  • Privacy - Dati genetici e biometrici

Sistemi di rilevamento biometrico: le considerazioni della Cassazione sul software Respondus utilizzato dall’Università Bocconi

17 luglio 2024

di Ariella Fonsi "I sistemi di rilevamento biometrico trovano (...) descrizione nel Documento di lavoro sulla biometria adottato il 1° agosto 2003, in cui il WP29 (...) ha descritto tali sistemi come quelle applicazioni di tecnologie biometriche che permettono l’identificazione e/o l’autenticazione o la verifica automatica di un individuo attraverso l’estrazione di determinate informazioni relative a un individuo (per esempio, la foto del volto) necessarie per elaborare un modello biometrico".
  • Privacy - Sicurezza dei dati

Metadati e posta elettronica nel contesto lavorativo: aggiornato il documento di indirizzo. Considerazioni pratiche sulle nuove indicazioni del Garante

10 luglio 2024

di Jacopo Purificati "Il Provvedimento del Garante ribadisce e, in qualche modo, sottolinea la necessità di una effettiva responsabilizzazione dei datori di lavoro, i quali non possono concentrarsi esclusivamente sui temi più impattanti (si pensi alla videosorveglianza o ad altre forme più “palesi” di illecito trattamento), ma dovranno altresì considerare l’intero ciclo di vita del dato e tutti i molteplici coni di visibilità dello stesso".
  • Privacy - Dati sanitari

Dati personali raccolti a fini di cura della salute trattati per ulteriori scopi di ricerca: le indicazioni del Garante privacy per gli IRCCS

3 luglio 2024

di Simona Loprete "Il consenso, perché sia considerato valido, deve essere preventivo, specifico, libero, informato, manifestato inequivocabilmente, reso o documentato per iscritto e sempre revocabile. La sussistenza di tutte queste caratteristiche è necessaria se la ricerca scientifica si basa sulla espressione del consenso da parte degli interessati".
  • Privacy - Basi giuridiche del trattamento dei dati

Commercio di dati personali sulle grandi piattaforme: l’opinione dell’EDPB sul modello “Pay or Consent”

19 giugno 2024

di Ariella Fonsi "La sola alternativa del pagamento di un canone di servizio che include il trattamento a fini di pubblicità comportamentale non dovrebbe essere la soluzione predefinita dei titolari del trattamento che, al contrario, dovrebbero prendere in considerazione la possibilità di fornire agli interessati una alternativa che non comporti il pagamento di un corrispettivo o il trattamento dei dati per finalità di pubblicità comportamentale".
  • Privacy - Aspetti generali

American Privacy Rights Act (APRA): approfondimenti sulla nuova proposta di legge organica federale in materia di privacy

22 maggio 2024

di Jacopo Purificati "L’approccio più “commerciale” alla materia privacy proprio degli Stati Uniti si evince in particolare nella sezione dell’APRA dedicata ai “consumer controls over covered data”, che contiene i correlativi dei diritti dell’interessato di cui agli artt. 14 e ss. del GDPR, pur se tali facoltà sono conferite ai consumatori (e solo se residenti negli Stati Uniti)".
  • Privacy - Dati genetici e biometrici

La proporzionalità nella scelta degli strumenti aziendali: il Garante privacy boccia i rilevatori biometrici del volto per controllare la presenza dei lavoratori

15 maggio 2024

di Simona Loprete "Il trattamento di dati biometrici è consentito in ambito lavorativo solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato".
  • Privacy - Rapporto di lavoro

Il rapporto inscindibile tra protezione dei dati personali e diritto del lavoro: garantito l’accesso al fascicolo personale del lavoratore

15 maggio 2024

di Simona Loprete "L’interessato non deve giustificare le proprie intenzioni quando esercita il diritto di accesso e, allo stesso tempo, il titolare del trattamento, nel valutare la richiesta, non deve analizzare la finalità come precondizione per l’esercizio del diritto di accesso ma limitarsi all’oggetto della richiesta".
  • Privacy - Sicurezza dei dati

Sicurezza dei dati e nuove tecnologie: la practice guide del CNIL su cloud computing, IA, mobile app e API

8 maggio 2024

di Ariella Fonsi "Il CNIL ricorda che la protezione dei dati dovrebbe essere integrata nei processi decisionali dell’organizzazione, inserendola nei momenti chiave in cui si decidono i budget e i progetti da implementare. In particolare, le organizzazioni dovrebbero definire un framework per gli utenti che quotidianamente utilizzano gli strumenti IT che tenga in considerazione i reali bisogni degli utenti e li guidi nella gestione pratica della sicurezza".