La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Diego Padovan "Il fatto che il responsabile della protezione dei dati non possa essere rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei suoi compiti, non vuol dire che esso sia, in qualche maniera, esonerato dall’aderenza alle regole dell’azienda stessa".

di Piera Di Stefano "Accanto ai danni economici diretti derivanti da una violazione di dati, l’organizzazione subisce inevitabilmente anche danni alla propria reputazione, quali, in primis, la perdita di fiducia da parte di clienti e degli stakeholders".

di Diego Padovan "Se una decisione individuata come economicamente sostenibile non ha considerato i vincoli normativi, può non esserlo più se in un secondo momento questi vengono introdotti tra le variabili decisionali, conseguentemente viene individuata la sussistenza di un rischio (di sanzione) privacy concreto".

di Paola Limatola "Quando un’organizzazione subisce una violazione, il Titolare deve valutare quante e quali caratteristiche fondamentali dei dati sono compromesse e verificare se le misure di sicurezza preventivamente adottate consentono il loro ripristino".

di Diego Padovan "La condivisione di risorse importanti per raggiungere una capacità elevata di offerta di servizi digitali al cittadino diviene un’alternativa percorribile, proprio grazie ad un’impostazione oculata del principio di privacy-by-default".

di Piera Di Stefano "E’ pacifico, nella giurisprudenza di legittimità, che la capacità di essere titolari dell'onore sociale e di essere soggetti passivi del reato non può essere esclusa nei confronti di entità giuridiche collettive o di fatto, in quanto rappresentative di un interesse collettivo unitario ed indivisibile in relazione alla finalità perseguita, oltrechè degli interessi dei singoli componenti".

di Diego Padovan "L’introduzione di nuove tecnologie, fortemente innovative, può portare a nuovi ritorni per l’azienda, anche di tipo qualitativi. La gestione degli adempimenti relativi al Regolamento (UE) 2016/679 si concretizza, fra gli altri, in una valutazione d’impatto privacy".

di Paola Limatola "L’attività di videosorveglianza e quella di monitoraggio possono essere svolte direttamente dal Titolare o essere affidate ad un soggetto esterno; in questo caso, il soggetto esterno è un Responsabile del trattamento, con il quale il Titolare deve sottoscrivere uno specifico accordo".

di Diego Padovan "Il trattamento dei dati personali riamane ... parte integrante ed essenziale di molte start-up. È importante dunque bilanciare la necessità di conformità con la limitatezza delle risorse a disposizione".

di Paola Limatola "Le SCC sono uno strumento adeguato, vista l’invalidazione del Privacy Shield, per vincolare Titolare e Responsabile in merito al rispetto degli obblighi normativi, ma, da sole, non sono risolutive. Nonostante la buona volontà dimostrata da alcuni grandi player statunitensi (fornitori dei prodotti più diffusi e comuni), che hanno migliorato la propria informativa, garantendo una maggiore trasparenza in merito alle richieste delle autorità governative USA, le SCC sono insufficienti a garantire la conformità dei trattamenti".

di Diego Padovan "Il binomio privacy e security esalta la necessità di una molteplicità di politiche di gestione, che in ambito telecomunicazioni è difficilmente scindibile".

di Piera Di Stefano "Qualora i soggetti coinvolti siano personaggi pubblici, che hanno ricoperto cariche pubbliche o di rilevanza pubblica, le maglie del diritto all’oblio tendono a restringersi notevolmente, divenendo il fattore tempo elemento più che trascurabile a fronte di un interesse pubblico all’informazione la cui attualità si ritiene cristallizzata, nonostante il decorso, anche considerevole, del tempo stesso".

di Paola Limatola "È consentito profilare dati personali nel caso in cui l’interessato abbia fornito il proprio consenso ovvero il trattamento sia funzionale al perseguimento di interessi legittimi del Titolare o di terzi".

di Diego Padovan "Il SGDP è lo strumento che consente di efficientare proprio l’attività di conformità al Regolamento europeo. Esso funge da modello di governo, cioè strumento di coordinamento e controllo proporzionato alla Organizzazione cui viene applicato".

di Paola Limatola "Può essere difficile dimostrare, proprio a causa del rapporto di “dipendenza” dei lavoratori nei confronti del datore di lavoro, che il consenso sia stato prestato in modo effettivamente libero e che sia liberamente revocabile ... Eppure, anche all’interno del rapporto di lavoro, possono esistere situazioni in cui il datore di lavoro ha bisogno di chiedere il consenso dei lavoratori per trattare i loro dati".

di Piera Di Stefano "Il Garante per la protezione dei dati personali, che recentemente ha dedicato una sezione informativa del proprio sito istituzionale al phishing, ha chiarito che l’offensività della condotta del phisher consiste nel furto dei dati riservati dell’utente finalizzato alla commissione di ulteriori reati a danno di terzi o dell’utente stesso".

di Diego Padovan "La conformità al Regolamento (UE) 2016/679, se non affrontata debitamente e per tempo da parte dell’organizzazione, può essere in effetti un ostacolo, proprio per la necessità di ridurre al minimo il time-to-market delle nuove APP".

di Paola Limatola "Al momento dell’approvazione del Regolamento, la storia dei singoli paesi europei in materia di protezione dei dati personali era molto diversa; ad esempio, non tutti gli Stati avevano istituito un’autorità di controllo dedicata al tema della protezione dei dati e non tutte le autorità di controllo esistenti avevano gli stessi poteri e compiti. Ma ormai questa è storia, perché con l’entrata in vigore della normativa europea le cose sono cambiate".

di Diego Padovan "Nel settore delle telecomunicazioni (...), visto il particolare assetto di mercato (es., barriere in ingresso), il regolatore opta per soluzioni in grado di fornire ai provider di telecomunicazione la capacità di 'sviluppare' connettività e accesso ad altissima capacità, con un rapporto prezzo/qualità/sicurezza favorevole ai consumatori".

di Marta Moretti "In base al GDPR, spetta al titolare del trattamento valutare se il diritto del Paese terzo di destinazione garantisce una protezione adeguata agli standard europei dei dati personali trasferiti sulla base di SCC. In caso contrario, le SCC possono essere utilizzate a condizione che siano adottate “garanzie supplementari” - rispetto a quelle previste dalle clausole - idonee a garantire il rispetto del livello di protezione richiesto dal diritto dell’UE. Ove ciò non sia possibile, il titolare del trattamento nell’Unione deve - a seconda dei casi - evitare, sospendere o cessare il trasferimento di dati personali verso quel Paese terzo, nonché richiedere la restituzione o la distruzione dei dati già trasferiti".

di Paola Limatola "La protezione dei dati personali è un tema che attraversa l’intera organizzazione aziendale; dovrebbe essere ormai chiaro che gli aspetti legali, quelli organizzativi e quelli informatici sono ugualmente importanti per prendere decisioni in merito alle misure di sicurezza tecniche e organizzative. Tutte le funzioni aziendali devono quindi collaborare all’adozione e alla manutenzione del sistema di gestione dei dati personali".

di Paola Limatola "I laboratori (...), guidati dal principio di accountability, devono organizzarsi per gestire correttamente i dati personali degli interessati: informative, eventuali moduli per la richiesta del consenso, politiche e procedure interne, registro delle attività di trattamento, contratti con i responsabili del trattamento, analisi del rischio – solo per citare alcuni aspetti fondamentali della conformità – devono essere disponibili e correttamente inseriti in un contesto organizzativo adeguato".

di Paola Limatola "L’informazione sulle iniziative dell’associazione, sotto forma di newsletter periodica o attraverso messaggi personali, è in un certo senso insita nel rapporto associativo: si può presumere che gli iscritti o i soci siano interessati a ricevere informazioni su eventi e iniziative intraprese dall’associazione. Il rapporto tra socio/iscritto ed ente associativo è assimilabile ad un contratto e l’invio di informazioni è parte della relazione contrattuale che intercorre tra le parti".

di Annalisa Spedicato "Quando il gestore di una struttura ricettiva o extraricettiva o il proprietario di un immobile locato per fini turistici raccoglie le generalità dei propri ospiti con lo scopo di identificarli per adempiere agli obblighi previsti dal TULPS ed inviare i dati raccolti in Questura, deve tenere a mente le norme del GDPR e rispettarle".

di Paola Limatola "La diffusione non autorizzata, anche involontaria, di dati relativi allo stato di salute dell’interessato potrebbe avere significative conseguenze sugli interessati (discriminazione, diffamazione, persecuzioni) e potrebbe esporre il titolare del trattamento a sanzioni; è bene quindi che, indipendentemente dalla modalità scelta per la loro trasmissione, le istruzioni alle persone autorizzate al trattamento siano chiare e dettagliate".