La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Jacopo Purificati "E' necessario il consenso dell’interessato per qualsiasi comunicazione di marketing diretto trattando i suoi dati di contatto; invece, il consenso non è necessario per l’invio, mediante coordinate di posta elettronica, ottenute nel contesto della precedente vendita di prodotti o servizi, di comunicazioni che promuovono prodotti o servizi analoghi a quelli venduti".

di Annalisa Spedicato "Per utilizzare i cookie di retargeting o comunque per effettuare campagne di retargeting è doveroso informare l’utente di quello che si sta andando a compiere mediante i suoi dati di navigazione; (...) nell’informativa privacy occorre precisare la logica con cui l’operazione avviene e la finalità per cui avviene, in modo che l’utente sia consapevole di quello che accadrà ai suoi dati personali, e naturalmente rendere noto anche quali informazioni personali l’operazione andrà a raccogliere e conservare".

di Simona Loprete "Il controllo sulle attività dei lavoratori deve rispettare i principi della finalità legittima (il controllo nelle sue varie forme deve essere giustificato da gravi motivi) e della proporzionalità (il datore di lavoro è tenuto a scegliere i mezzi e le modalità di controllo meno intrusivi)".

di Ariella Fonsi "La DPIA è il presidio imprescindibile ogni volta che l’uso dell’Intelligenza Artificiale Generativa può comportare rischi elevati per i diritti e le libertà degli interessati. E con la GenAI, il rischio non è mai solo teorico".

di Fabiola Iraci Gambazza "La richiesta di presentarsi fisicamente a fronte di un’istanza formulata per via telematica, tramite lo stesso canale di comunicazione utilizzato dal titolare, integra una limitazione ingiustificata all’esercizio del diritto e si pone in contrasto con l’obbligo, sancito dall’art. 12 GDPR, di facilitare l’esercizio dei diritti dell’interessato".

di Annalisa Spedicato "Le conversazioni telefoniche con un servizio clienti rientrano nell’ambito di tutela della disciplina in materia di privacy, conseguentemente non fornire le informazioni richieste relative ad una conversazione telefonica con un servizio clienti in maniera esauriente, significa violare il diritto di accesso ai dati personali dell’interessato".

di Ariella Fonsi "La sentenza della Corte di Giustizia rappresenta una svolta nel trattamento dei dati pseudonimizzati, imponendo un abbandono definitivo di automatismi e presunzioni assolute a favore di una valutazione oggettiva, concreta e caso per caso del rischio di reidentificazione sia dal punto di vista del titolare sia da quello del destinatario".

di Fabiola Iraci Gambazza "La chiusura del banner mediante “X” deve essere interpretata come una manifestazione di volontà a non prestare il consenso, comportando la permanenza delle impostazioni di default (ossia l’uso esclusivo di cookie tecnici), e precludendo la riproposizione del banner per almeno sei mesi, salvo modifiche significative nelle condizioni del trattamento".

di Simona Loprete "Resta fermo, in ogni caso, il rispetto dell’autonomia e del potere decisionale dell’uomo e delle libertà democratiche a tutela della sovranità dello Stato nonché dei diritti fondamentale di ogni cittadino riconosciuti dagli ordinamenti nazionale ed europeo".

di Simona Loprete "Acquisire e conservare dati che contengono (o possono contenere) simili informazioni comporta già l’integrazione della condotta vietata, anche se i dati non sono successivamente utilizzati".

di Jacopo Purificati "La necessità principale (...) è quella di disciplinare in modo ragionevole un delicato sinallagma, dove, al momento, la circolazione del dato è ancora troppo spesso favorita rispetto alla protezione dello stesso".

di Simona Loprete "Per l’Europa, il Data Use and Access Act (“DUAA”) può senz’altro rappresentare uno spunto di riflessione, anche per i tanti punti di contatto che esistono tra le rispettive normative applicabili in materia di protezione dei dati personali".

di Fabiola Iraci Gambazza "Secondo il TAR, l’interesse giuridicamente rilevante che legittima l’accesso può consistere anche in un’esigenza istruttoria preliminare alla proposizione della domanda giudiziale, e non richiede che i documenti richiesti abbiano necessariamente valore di prova diretta".

di Annalisa Spedicato "Installare sistemi di videosorveglianza all’interno di una struttura ricettiva, come un BB o una casa vacanza, è un legittimo diritto del titolare o proprietario. Altrettanto vero è però che tale diritto non deve intaccare il diritto alla riservatezza e al mantenimento della privacy degli ospiti della struttura stessa".

di Jacopo Purificati "L’elemento più importante desumibile dal provvedimento de quo è il rispetto dei principi di privacy-by-design, privacy-by-default e accountability. I datori di lavoro, cioè, sono sempre e comunque tenuti a compiere attente valutazioni circa ogni aspetto del trattamento dei dati personali dei lavoratori, determinando, innanzitutto, l’applicabilità o meno delle regole di protezione dei dati a specifici processi di elaborazione, l’inquadramento dei quali come operazioni di trattamento di dati personali non è, ad oggi, così agevole e/o immediato".

di Ariella Fonsi "I dati personali pubblicati sui social network o comunque disponibili online non possono essere utilizzati indiscriminatamente per qualsiasi finalità, solo in ragione della loro accessibilità".

di Jacopo Purificati "La proposta di modifica del GDPR ha costituito elemento di discussione, in particolare, tra gli esperti del settore della data protection. Le opinioni a riguardo sono contrastanti, pur se – almeno tendenzialmente – i commentatori sono d’accordo nel ritenere poco efficaci le modifiche proposte, soprattutto se lette in prospettiva degli obiettivi perseguiti dal Legislatore europeo".

di Simona Loprete "Il provvedimento nei confronti della Regione Lombardia ha palesato bruscamente che il tema della gestione dei metadati della posta elettronica dei lavoratori non può più essere trascurato dalle organizzazioni e che il ricorso alle impostazioni di default da parte del fornitore del servizio non esonera dalle responsabilità il datore di lavoro".

di Fabiola Iraci Gambazza "Quando è in gioco un segreto commerciale, il bilanciamento tra diritti ed interessi deve essere condotto caso per caso da parte dell’Autorità di controllo o dal Giudice Competente. A tal proposito, la Corte richiama la pronuncia SCHUFA, sottolineando che non è consentito ad uno Stato membro di stabilire a priori l’esito della ponderazione dei diritti e degli interessi in gioco derivanti dal diritto dell’UE".

di Simona Loprete "Il controllo a distanza dell’attività lavorativa mediante l’utilizzo di strumentazione tecnologica da parte del datore di lavoro è permessa, sempre fatte salve le procedure di garanzia previste, soltanto incidentalmente, ossia in occasione del perseguimento di tali legittime finalità previste espressamente dalla legge (organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale' in maniera indiretta e preterintenzionale".

di Ariella Fonsi "La pseudonimizzazione è da considerarsi una misura di sicurezza che riduce il rischio di reidentificazione, ma non elimina tale rischio in modo assoluto. I dati pseudonimizzati restano, per la normativa europea, dati personali, a meno che non sia dimostrabile in modo credibile e oggettivo che la reidentificazione sia praticamente impossibile".

di Simona Loprete "Gli Amministratori di sistema nelle loro consuete attività sono, in molti casi, concretamente incaricati di operazioni che possono comportare elevate criticità in termini di protezione dei dati personali. Questo aspetto, che si aggiunge alla particolare capacità di azione e alla natura fiduciaria delle relative mansioni affidate all’Amministratore di sistema, rende questo ruolo particolarmente delicato e importante".

di Fabiola Iraci Gambazza "La vicenda ha origine nel 2023, quando Meta introduceva il modello del “pay or consent” per l’accesso ai propri servizi online. Nello specifico, l’utente di Facebook e/o Instagram potevano scegliere tra il prestare il consenso al trattamento dei propri dati per la pubblicità personalizzata o, alternativamente, pagare un abbonamento mensile".

di Simona Loprete "I dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti, salvo che il titolare acquisisca uno specifico e informato consenso dell’interessato".

di Ariella Fonsi "Capire le specificità e i requisiti della NIS2, del DORA, del GDPR è essenziale per le organizzazioni che operano nell'UE, soprattutto per quelle soggette a più framework. Identificando le aree di sovrapposizione e sfruttando le sinergie tra queste normative, le organizzazioni possono rendere più efficienti i loro sforzi di conformità".