La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Jacopo Purificati "La mancanza dello scopo di lucro, e quindi di intenti “commerciali”, non esonera tali organizzazioni dall’adempimento di ogni obbligo promanante dal generale principio di accountability. Tanto più se l’ETS in questione è di dimensioni e portata internazionali e opera trattamenti di dati personali su larga scala, oggetto di trasferimenti al di fuori e all’interno dello Spazio Economico Europeo".

di Piera Di Stefano "In sede di adattamento all’ordinamento interno di uno strumento di particolare complessità, qual è il Regolamento n. 679/2016/UE, il legislatore delegato, pertanto, era per legge dotato di quella discrezionalità necessaria non solo “(…) ad integrare e introdurre opportuni raccordi con la nuova disciplina dotata di un’immediata efficacia diretta, [ma] anche coordinare quest’ultima a quella preesistente, mediante disposizioni vòlte a regolare la transizione dall’uno all’altro assetto normativo".

di Annalisa Spedicato "Si rende (...) opportuno, nel rispetto del Regolamento (UE) n. 679/2016, in particolare per onorare il principio di accontability e come misura organizzativa di sicurezza, prevedere un regolamento interno sulla gestione dei CV da rendere noto a tutti coloro che possono, in qualsiasi modo, entrare in contatto con curriculum vitae trasmessi all’azienda/studio".

di Fabiola Iraci Gambazza "Il principio generale in ambito di trasferimenti previsto dal GDPR è quello per il quale il trasferimento dei dati possa aversi solo qualora siano incontrate determinate condizioni, espressamente disciplinate dal Capo V".

di Ariella Fonsi "Ai sensi della normativa applicabile, il consenso non può riguardare tutte le attività di trattamento poste in essere dal titolare, ma dovrebbe essere richiesto per ogni singola finalità".

di Fabiola Iraci Gambazza "Il soggetto preposto al trattamento dei dati da parte del titolare assume e mantiene il ruolo di responsabile non solo per il vincolo contrattuale e il relativo conferimento dell’incarico, ma anche, e necessariamente, in ragione dell’espletamento dell’incarico secondo le istruzioni impartitegli dal titolare nell’esercizio del suo potere decisionale ed entro i limiti e con le modalità da questi dettate per l’esecuzione del trattamento dei dati".

di Simona Loprete "Nell’esercizio di bilanciamento tra diritti fondamentali, sono i principi dello stesso articolo 5 del GDPR a dover guidare gli Stati che dovranno assicurarsi di aver rispettato, nel prevedere delle restrizioni ai sensi dell’articolo 23 del GDPR, i requisiti di cui all’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea".

di Simona Loprete "La prima caratteristica di un valido consenso porta ad escludere che il silenzio, l’inattività o una casella preselezionata possano considerarsi espressione di consenso da parte dell’utente, il quale al contrario dovrà attivamente manifestare la propria scelta, per esempio selezionando un’apposita casella del sito web".

di Alessia Zeppieri "Porre un limite preciso al tempo di conservazione dei dati personali che formano oggetto di trattamento in stretta aderenza alle finalità della raccolta, vuol dire dare attuazione ad un principio fondamentale che da un lato si basa sul riconoscimento di un 'ciclo di vita del dato' oltre il quale se ne intende perduta l’utilità, ma dall’altro definisce il perimetro stesso della tutela delle persone fisiche e dei diritti dalle stesse azionabili".

di Jacopo Purificati "L’innovazione più rilevante della riforma riguarda però l’inserimento, tra le finalità per cui è consentito l’impiego autorizzato di sistemi di controllo, della 'tutela del patrimonio aziendale'".

di Piera Di Stefano "Ma qual è la tecnica che impedisce non solo l’identificazione, ma anche l’identificabilità di una persona fisica? È l’anonimizzazione, una misura che la Corte europea dei diritti dell'uomo ha ritenuto compatibile con il diritto alla libertà di espressione e, in particolare, con la libertà di stampa in relazione ad un articolo presente nell’archivio on line di una testata giornalistica".

di Jacopo Purificati "L’art. 9 del Decreto Capienze non si limita ad ampliare i poteri di queste ultime [pubbliche amministrazioni], (...) ma ridimensiona altresì le possibilità di ingerenza dell’Autorità garante per la protezione dei dati personali (cosiddetto “Garante Privacy”) nei confronti delle stesse".

di Paola Limatola "Grazie al censimento, l’impresa potrebbe scoprire che sul proprio sito sono presenti cookie di cui non sospettava nemmeno l’esistenza; può capitare, soprattutto se lo sviluppo è stato fatto da esterni. Avere un quadro chiaro dei cookie attivi e dello scopo per il quale sono installati è una precisa responsabilità dell’impresa e anche un suo primario interesse".

di Ariella Fonsi "Il trattamento effettuato nell’ambito delle verifiche del Green Pass ha come finalità adempiere agli obblighi imposti dal Decreto e, pertanto, i dati raccolti in tale contesto potranno essere conservati dal datore di lavoro unicamente per il periodo necessario ad adempiere a detti obblighi e, in ogni caso, fino alla cessazione dello stato di emergenza".

di Paola Limatola "L’obbligo di informare i lavoratori non si esaurisce con l’informativa sul trattamento dei dati personali; quando il controllo riguarda gli strumenti utilizzati dei lavoratori per rendere la prestazione lavorativa, il datore di lavoro deve definire una serie di regole all’interno delle quali egli stesso e la forza lavoro devono muoversi".

di Simone Bonavita "Il mancato rispetto dei principi di privacy by design – ed, in generale, di un processo di trattamento correttamente strutturato – si traduce molto spesso nell’assenza di tempi di trattamento corretti".

di Piera Di Stefano "Il requisito di proporzionalità, in virtù del quale le deroghe alla protezione dei dati personali e le limitazioni di quest'ultima devono compiersi entro i limiti dello stretto necessario, sarà ritenuto rispettato soltanto nei casi in cui le autorità nazionali competenti effettivamente siano in grado di garantire che non solo la categoria o le categorie di dati, ma anche la durata per la quale è richiesto l'accesso a questi ultimi, siano limitate a quanto strettamente necessario ai fini dell'indagine in questione".

di Paola Limatola "Un efficace processo di anonimizzazione deve necessariamente tener conto di alcune fondamentali caratteristiche del “mondo digitale” a cui ormai tutti apparteniamo: da un lato, gli strumenti tecnologici sono in continua evoluzione e la potenza elaborativa a disposizione degli individui e delle imprese sono in constante aumento; dall’altro, i dati personali sono un asset sempre più importante per le aziende, che possono fare previsioni più accurate su comportamenti e preferenze dei consumatori, prendere decisioni che li riguardano o personalizzare messaggi pubblicitari facendo anche leva su fragilità o bisogni inespressi degli individui".

di Francesco Nesta "Il medico competente è figura centrale nella gestione dell’emergenza epidemiologica in quanto svolge un ruolo di raccordo tra il sistema sanitario nazionale e regionale e lo specifico contesto lavorativo, anche e soprattutto con riguardo alla vaccinazione sui luoghi di lavoro svolta dal datore di lavoro direttamente per il tramite del medico competente o ricorrendo alla collaborazione di altre figure di professionisti sanitari".

di Paola Limatola "La complessità della materia, i suoi riflessi sulle diverse dimensioni aziendali (organizzative, tecnologiche, legali, informatiche) e la stessa strutturazione dell’impianto normativo non permettono un’attuazione della norma meccanica e burocratica, ma richiedono, invece, consapevolezza e discernimento".

di Annalisa Spedicato "Tanto più aumentano le funzionalità del dispositivo, tanto maggiore è il numero di informazioni che esso può trattare con il rischio per l’utente, spesso inconsapevole, di perdere il controllo sui propri dati personali, rischi questi che aumentano quando le informazioni raccolte vengono combinate con altri dati ricavati da altri dispositivi che vengono collegati all’oggetto interconnesso".

di Francesco Nesta "Per quanto riguarda la sicurezza e il trattamento dei dati personali sia aziendali che riferiti allo smart worker, occorre tenere presente che il datore di lavoro deve minimizzare i rischi di esposizione a violazione dei dati per l’effetto dello svolgimento della prestazione lavorativa attraverso il collegamento da remoto".

di Diego Padovan "Affinché l’ente possa raggiungere la definizione dello schema di responsabilizzazione più confacente alla propria specifica situazione, è necessario che sia intrapreso un percorso di conformità basato proprio sul principio di responsabilizzazione".

di Annalisa Spedicato "Nel caso del microchip ad essere trattati non sono necessariamente dati biometrici o dati appartenenti alla categoria particolare ... con il chip, infatti, possono essere gestiti dati personali comuni e categorie particolari di dati personali, come quelli sanitari e anche dati biometrici in una maniera che implica necessariamente la partecipazione del corpo umano. In questo caso, in effetti, il dato trattato non sempre appartiene alla categoria particolare dei dati personali, dipende dal tipo di informazioni trasmesse dall’applicazione, per cosa è costruita e quali informazioni consente di conservare o a cui consente di accedere".

di Paola Limatola "Il rapporto che si instaura con il cliente può avere molte “sfumature”; se il venditore raccoglie le preferenze del cliente per alcuni prodotti, ne valuta le abitudini di consumo e la propensione a spendere per sottoporgli offerte mirate in linea con le preferenze - dichiarate o dedotte sulla base dei suoi acquisti - effettua un trattamento di dati personali che ha un rilievo dal punto di vista normativo".