La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Fabiola Iraci Gambazza "Sebbene la normativa sulla privacy abbia un carattere trasversale, applicandosi a tutti i settori dell'ordinamento giuridico, non è specificamente tesa a tutelare la libertà economica del consumatore. Nelle pratiche commerciali scorrette - come quelle nel caso in esame - la normativa sulla privacy si configura come una normativa settoriale che, così come altre, non prevale su quella in materia di concorrenza".

di Jacopo Purificati "L’esigenza di fondo è quella di comprendere fino a che punto la raccolta e il trattamento di dati personali ai fini di addestramento di modelli di IA possa dirsi legittima in base al perseguimento di un interesse che il titolare decide autonomamente di perseguire, e che - inaudita altera parte - egli stesso dichiara essere legittimo e prevalente su interessi, diritti e libertà fondamentali dei soggetti interessati".

di Simona Loprete "Oltre alla tutela della riservatezza del lavoratore, il datore di lavoro, quale Titolare del trattamento, è tenuto ad osservare tutti i principi di cui all’articolo 5 del GDPR che impongono innanzitutto trattamenti di dati personali leciti, corretti e trasparenti. Ciò comporta la necessità di gestire e regolamentare l’uso di tutti i mezzi elettronici di lavoro utilizzati perché capaci di ricostruire puntualmente e analizzare l’attività prestata dal lavoratore".

di Jacopo Purificati "Nel caso di specie, Spielmann ha affrontato il tema dell’identificabilità degli interessati con riguardo a dati pseudonimizzati trasferiti a un destinatario (...) il parere fornito dall’Avvocato Generale contiene preziosi criteri ermeneutici che possono essere molto utili nel dibattito, molto aperto, relativo all’identificabilità di persone fisiche nel contesto di dati pseudonimizzati".

di Fabiola Iraci Gambazza "Rispetto alla base giuridica dell’esecuzione del contratto, il trattamento dei dati deve essere necessario in quanto oggettivamente indispensabile per realizzare una finalità che è “parte integrante della prestazione contrattuale destinata all’interessato”. Ne consegue che è necessario dimostrare in che modo l’oggetto principale del contratto - o, al più, di elementi distinti dei servizi, oggetto del contratto stesso - non potrebbero essere conseguiti, in assenza di quel trattamento di dati".

di Simona Loprete "Il paziente che esercita il diritto di accesso alla propria cartella clinica ai sensi dell’articolo 15 del GDPR ha diritto di ottenere copia dell’intera cartella clinica oppure ha diritto di ottenere copia dei dati personali oggetto di trattamento contenuti all’interno della cartella clinica stessa?".

di Ariella Fonsi "Secondo il Board, affinché un modello di IA possa essere considerato anonimo occorre verificare la probabilità di estrazione di dati personali utilizzati per addestrare il modello, nonché la probabilità di ottenere, intenzionalmente o meno, tali dati personali tramite interrogazioni".

di Simona Loprete "L’acquisizione di un consenso degli interessati alla trasmissione via e-mail dei referti “in formato pfd senza l’utilizzo di password” non è idoneo a sollevare il titolare del trattamento dall’obbligo di garantire costantemente nel tempo un adeguato livello di sicurezza che tenga anche conto dello sviluppo tecnologico e dei nuovi rischi connessi al trattamento per i diritti e le libertà degli interessati".

di Ariella Fonsi "Dopo aver chiarito che le attività di sviluppo dei software gestionali devono essere improntate al rispetto dei principi di privacy by design e by default di cui all’art. 25 del GDPR, il Codice chiarisce che i Produttori devono effettuare la valutazione dei rischi dei trattamenti dei dati personali cui il software è preordinato".

di Piera Di Stefano "Una problematica affatto trascurabile che di certo si porrà, tra le altre, rispetto alla “cessione” dell’archivio e alla comunicazione a OPEN AI degli articoli pubblicati dal Gruppo Gedi riguarda l’effettività del diritto all’oblio, nella specifica declinazione del cd. diritto alla deindicizzazione dai motori di ricerca".

di Simona Loprete "La scelta del mezzo appropriato e necessario spetta all’Autorità di controllo che deve fare tale scelta prendendo in considerazione tutte le circostanze del caso concreto e assolvendo al suo compito di vigilare sul pieno rispetto del GDPR con tutta la diligenza richiesta".

di Ariella Fonsi "Quando un interessato è coinvolto in una decisione automatizzata ai sensi dell’art. 22 del GDPR, le “informazioni significative sulla logica coinvolta” a cui tale persona ha diritto di accesso riguardano il metodo e i criteri utilizzati dal titolare del trattamento per tale decisione automatizzata".

di Fabiola Iraci Gambazza "La CGUE ritiene che, a contrario da quanto sostenuto dall’Autorità garante dei Paesi Bassi, può sussistere interesse legittimo commerciale, consistente nella promozione e nella vendita di spazi pubblicitari ai fini di marketing, purché tale interesse non sia contrario alla legge".

di Jacopo Purificati "Il legittimo interesse non dovrebbe essere considerato una soluzione di ultima istanza per situazioni rare o impreviste o quando altre basi giuridiche non sono applicabili. Allo stesso modo, non dovrebbe essere scelto automaticamente o esteso impropriamente, nella convinzione che sia meno restrittivo di altre basi giuridiche".

di Simona Loprete "Il trattamento di informazioni personali non attinenti alla prestazione di lavoro, come per esempio lo stato di salute, anche se con il consenso del lavoratore, non è lecito a meno che non si tratti di caratteristiche che incidono sulle modalità di svolgimento della attività lavorativa o che costituiscono un requisito essenziale e determinante ai fini dello svolgimento dell'attività lavorativa".

di Ariella Fonsi "Per motivi di trasparenza, è essenziale che il titolare non si limiti a identificare solo i primi sub-responsabili, ma che abbia visibilità su tutta la catena. In altre parole, un titolare del trattamento non può limitarsi a un controllo superficiale, ma deve avere informazioni complete su tutti i soggetti che trattano i dati personali, dalle prime fasi fino alla fase finale".

di Jacopo Purificati "Il relatore della CNIL ha chiarito che la criticità non risiede nel fatto che un medico possa accedere ai dati attraverso i servizi telematici suddetti e trasmetterli nella cartella informatizzata del paziente, ma nella circostanza per cui, al momento della trasmissione da parte del medico, tali informazioni sono trasmesse in automatico alla Società, e vengono conservati nella cartella clinica informatizzata di Crossway per ben 12 mesi. Non è quindi possibile, per il sanitario, consultare tali dati senza che gli stessi siano ogni volta estratti in automatico tramite Crossway".

di Simona Loprete "Lo svolgimento della prestazione lavorativa da parte della ricorrente implica il trattamento di dati personali e (...) la mancata accettazione di una nomina quale autorizzato al trattamento non può che avere conseguenze negative sul rapporto di lavoro".

di Fabiola Iraci Gambazza "I Giudici hanno ritenuto - nel bilanciamento degli interessi in gioco - il diritto di difendersi in giudizio “prevalente sui diritti dell’interessato al trattamento dei dati personali”, in forza di quanto disposto dall’art. 17, par. 3, lett. e) e dell’art. 21 del GDPR".

di Annalisa Spedicato "E' possibile per un competitor agire in giudizio davanti al giudice civile per questioni legate alla privacy, facendo leva sulla disciplina in materia di pratiche commerciali sleali, (...) ciò rientra tra i principi e gli obiettivi del Regolamento n. 679/2016".

di Piera Di Stefano "L’ICO evidenzia come la raccolta di dati tramite web-scraping sia un'attività di "elaborazione invisibile", in cui le persone non sono consapevoli che i loro dati personali vengono elaborati in questo modo, il che comporta la difficoltà delle stesse di avere il controllo su come e quali organizzazioni elaborano i loro dati personali e di esercitare i loro diritti".

di Ariella Fonsi "In Italia, il CSIRT è l’organo preposto alla gestione degli incidenti informatici a livello nazionale (con un focus particolare sulla protezione delle infrastrutture critiche del Paese) ed è stato istituito a seguito della Direttiva 2016/1148 (meglio nota come Direttiva NIS), recepita in Italia con il Decreto legislativo n. 65/2018".

di Jacopo Purificati "L’Autorità ha osservato come i dati contenuti nel messaggio di posta elettronica, benché non direttamente riconducibili alle particolari categorie di cui all’art. 9 del GDPR, avessero comunque natura “sensibile”, poiché la loro diffusione può provocare danni e pregiudizi immediati all’interessato (es. dati su comunicazioni private, numeri di identificazione nazionali o dati aventi natura finanziaria)".

di Simona Loprete "Questa peculiare configurazione del rapporto lavorativo come può essere gestita in termini di adempimenti in materia di protezione dei dati personali dei lavoratori? Quali i ruoli privacy assunti dai soggetti coinvolti nel rapporto di somministrazione?".

di Fabiola Iraci Gambazza "L’Avvocato Generale, diversamente da precedenti interpretazioni, propone un’applicazione più restrittiva del concetto di 'dato relativo alla salute' che, se accolta nella sentenza della Corte di Giustizia, potrebbe dare origine ad un nuovo orientamento in materia".