La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Ariella Fonsi "Un soggetto che trasferisce dati al di fuori dell’Unione europea (sia esso un titolare o un responsabile) è tenuto a fornire garanzie adeguate ad assicurare una protezione dei dati equivalente a quelle previste dal GDPR".

di Simona Loprete "Con il Data Act si sancisce la possibilità di accedere e di trasferire tutti i dati, personali e non, generati dagli oggetti, dalle macchine e dai dispositivi intelligenti a favore degli utenti e delle imprese, attraverso un diritto rafforzato alla portabilità dei dati".

di Jacopo Purificati "Il monito di fondo è di discernere con attenzione i rischi e le garanzie poste nel caso concreto: il riconoscimento facciale utilizzato dall’utente sul dispositivo personale ai fini di autenticazione e uso di un’applicazione o di un servizio dedicato, ad esempio, non porrà i medesimi rischi dell’impiego indiscriminato di FRT da parte di un’autorità di pubblica sicurezza per effettuare un monitoraggio costante in una determinata area".

di Simona Loprete "La proposta da parte della Commissione europea del “Digital Services Act” nasce in questo contesto per rispondere ad una duplice esigenza: rendere lo spazio digitale più equo e sicuro tutelando i diritti fondamentali degli utenti e, allo stesso tempo, creare delle condizioni di parità per le imprese dell’Unione Europea supportandone l’innovazione e la crescita".

di Fabiola Iraci Gambazza "Il GDPR non contiene né una definizione né una disciplina dell’anonimizzazione. Anche la disciplina italiana sulla protezione dei dati e contenuta in parte nel D.Lgs. n. 196/2003, come modificato dal D.Lgs. n. 101/2018 (Codice Privacy), non prevede alcuna disposizione in materia di anonimizzazione".

di Paola Limatola "Prima di qualunque trattamento di dati personali, è necessario individuarne la base di liceità; ai sensi dell’articolo 6 del GDPR, con l’esclusione del caso in cui il trattamento poggi sul consenso dell’interessato, è stabilito che il trattamento debba essere “necessario” per il perseguimento di una determinata finalità, sia essa legata all’esecuzione di un contratto, all’adempimento di un obbligo di legge, alla salvaguardia di interessi vitali, oppure all’esecuzione di un compito di interesse pubblico o connesso o all’esercizio di pubblici poteri".

di Annalisa Spedicato "Una data retention policy risulta una misura necessaria che permette al titolare del trattamento di tenere traccia dei termini entro i quali i dati personali trattati devono essere cancellati o anonimizzati perché la finalità del trattamento ad essi connessa è scaduta".

di Ariella Fonsi "L’ampliamento dell’utilizzo dell’FSE comporterà nuove sfide per la tutela dei dati personali dei cittadini. Proprio al fine di affrontare tali sfide, la legge in commento ha altresì rafforzato il ruolo dell’Agenzia Nazionale per i Servizi Sanitari Regionali (Agenas), che è ora chiamata ad individuare le linee guida per il corretto trattamento dei dati in tutto il loro ciclo di vita, dalla raccolta allo scambio con i vari enti del sistema sanitario".

di Simona Loprete "L’eventuale controllo sull’uso degli strumenti elettronici operato dal datore di lavoro deve ispirarsi ai principi di pertinenza e non eccedenza affinché non vi sia una interferenza ingiustificata sui diritti e sulle libertà fondamentali dei lavoratori e dei soggetti esterni che ricevono o inviano comunicazioni elettroniche".

di Jacopo Purificati "Alcuni pattern possono violare anche regole e principi posti a tutela dei consumatori, che allo stesso modo pongono obblighi di trasparenza e di correttezza nei confronti della parte “debole” del rapporto giuridico".

di Simona Loprete "Una delle peculiarità del codice di condotta che è destinato a fungere da strumento di trasferimento dei dati è il fatto che esso può essere invocato da titolari o da responsabili del trattamento soggetti al GDPR (gli esportatori dei dati) per rispettare i propri obblighi di conformità al GDPR in caso di trasferimenti verso Paesi terzi, senza la necessità che essi stessi aderiscano a tale codice".

di Annalisa Spedicato "Una domanda di oscuramento di dati personali non può provenire da una persona giuridica; è la sola persona fisica, in quanto “interessato” che può richiedere l’oscuramento dei propri dati personali".

di Ariella Fonsi "Vista l’ingente quantità di esposti che quotidianamente vengono trasmessi alle diverse filiali della Banca d’Italia, quest’ultima ha ritenuto opportuno dotarsi di strumenti di intelligenza artificiale (IA) e tecnologie correlate, al fine supportare l’attività di analisi degli esposti".

di Ariella Fonsi "Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica".

di Piera Di Stefano "La deindicizzazione ha riguardo all’identità digitale del soggetto e ciò in quanto l’elenco dei risultati che compare in corrispondenza del nome della persona fornisce una rappresentazione dell’identità che quella persona ha in internet".

di Jacopo Purificati "Ai fini della contestazione di un illecito amministrativo, non sarà sufficiente che il Garante abbia ricevuto una comunicazione dalla quale emergano semplici indizi o dichiarazioni in merito a un’asserita contravvenzione, dovendo l’Autorità completare le dovute attività di indagine e accertarsi che si configuri un’effettiva violazione della normativa applicabile".

di Jacopo Purificati "E' opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, implementando misure adeguate e rivolte non solo alla sicurezza dei dati trattati, ma altresì alla prevenzione di errori e rischi derivanti da inesattezze dei dati, nonché di fenomeni discriminatori nei confronti delle persone fisiche".

di Annalisa Spedicato "La portata penalmente rilevante del trattamento illecito di dati personali effettuato senza il consenso dell’interessato è stata dunque ampiamente ridotta; con l’ingresso del Regolamento n. 679/2016 il legislatore europeo ha dato infatti ampio spazio agli illeciti amministrativi".

di Giulia Cordaro "Tale tecnica [il riconoscimento facciale] è oggi impiegata sia per scopi di sicurezza (avendo, quale “vocazione”, quella di strumento a servizio delle forze dell’ordine), sia a fini commerciali e dunque in molti altri ambiti della nostra vita quotidiana.

di Simona Loprete "La profilazione nel GDPR implica una qualche forma di valutazione o giudizio in merito ad una persona che si basa sull’utilizzo di dati personali provenienti da varie fonti".

di Fabiola Iraci Gambazza "L’invio di comunicazioni commerciali mediante posta cartacea o mediante telefono, o con modalità diverse da quelle indicate dall'art. 130 co. 1 e 2, è da considerarsi lecito anche su basi giuridiche diverse dal consenso ed individuate dal Considerando 47 del Regolamento, ossia nei legittimi interessi di un titolare del trattamento, a condizione che non prevalgano gli interessi e i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento".

di Simona Loprete "All’interessato è riconosciuta la facoltà di chiedere a qualsiasi ente pubblico o organizzazione privata se sono trattati dati personali che lo riguardano e di poter accedere a tali dati per verificarli".

di Ariella Fonsi "Il GDPR e il Codice del consumo si pongono in termini di complementarietà, imponendo obblighi informativi specifici, “in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole”".

di Paola Limatola "Il Protocollo attribuisce una grande importanza alle attività di formazione e informazione dei lavoratori agili; noi ci permettiamo di aggiungere che formazione e informazione sono elementi imprescindibili di un sistema di protezione dei dati efficace".

di Simona Loprete "Quando ci troviamo nelle ipotesi in cui si applica l’articolo 3, paragrafo 2, del GDPR, il titolare del trattamento o il responsabile del trattamento potrebbero essere soggetti a normative che comprometterebbero la protezione fornita dal GDPR. Questo rischio è compensato proprio dalle disposizioni del Capo V che integrano le disposizioni sull’applicazione territoriale del GDPR".