La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Paola Limatola "Il rischio zero non esiste e bisogna esserne consapevoli; tuttavia, una progettazione attenta delle misure di sicurezza, l’effettuazione periodica di controlli sulla loro efficacia, la cultura del pronto intervento ad ogni anomalia possono consentire di mitigarlo".

di Jacopo Purificati "L’Executive Order pone sin da subito in evidenza la necessità che si rispettino due principi generali che, storicamente, costituiscono lo zoccolo duro del diritto alla protezione dei dati negli ordinamenti europei. Le attività di SIGINT, invero, dovranno essere necessarie per perseguire priorità di intelligence convalidate, e proporzionate a quanto consentito e autorizzato".

di Simona Loprete "La certificazione in sé non è una prova di conformità, bensì rappresenta uno strumento volontario di accountability importante per dimostrare la conformità delle operazioni di trattamento al GDPR al fine ultimo di realizzarne una coerente applicazione".

di Jacopo Purificati "La pubblicazione, sul sito Internet dell’autorità pubblica incaricata di raccogliere le dichiarazioni di interessi privati e di controllarne il contenuto, di dati personali idonei a divulgare indirettamente l’orientamento sessuale di una persona fisica costituisce un trattamento di categorie particolari di dati personali".

di Simona Loprete "L’analisi del Decreto ci permette di notare (...) come per la medesima violazione, il datore di lavoro, che ai sensi della normativa sulla protezione dei dati personali assume la qualifica di Titolare del trattamento, rischia di rispondere due volte, una ai sensi delle previsioni del Decreto Trasparenza ed un’altra ai sensi della normativa sulla privacy".

di Ariella Fonsi "Ancora più perplessità hanno suscitato le previsioni relative all’accesso ai dati, soprattutto per quanto concerne l’art. 4, par. 1, della proposta, ai sensi del quale i “professionisti sanitari” devono avere accesso ai dati elettronici dei pazienti sotto il loro trattamento (indipendentemente dallo Stato membro di appartenenza), nonché assicurarsi che detti dati siano aggiornati".

di Ariella Fonsi "Il Considerando n. 50 del GDPR - in caso di trattamenti ulteriori fondati sulla liceità del trattamento originario - impone al titolare non solo di verificare che detto trattamento soddisfi tutti i requisiti del Regolamento, ma anche che la base giuridica possa in concreto supportare gli ulteriori trattamenti".

di Fabiola Iraci Gambazza "La ratio delle certificazioni è difatti quella indicata al Considerando n. 100 del GDPR, nel quale si chiarisce che queste devono essere incoraggiate dagli Stati membri al fine di migliorare la trasparenza e il rispetto del GDPR".

di Piera Di Stefano "Il Metaverso può favorire pratiche pubblicitarie ingannevoli, violazioni della normativa sulla protezione dei dati personali e problemi di sicurezza informatica. Si pensi al furto di identità del proprio avatar o alla difficoltà oggettiva non solo di raccogliere il consenso dell’utente al trattamento, ma anche di verificare che effettivamente e correttamente tale consenso sia stato prestato".

di Simona Loprete "Ciò che si chiede al titolare del trattamento che esporta i dati non è un generico adeguamento, bensì una specifica valutazione per determinare se le garanzie previste dallo strumento scelto tra quelli previsti dall’articolo 46 del GDPR possano essere nella pratica rispettose del livello di protezione dei dati personali dell’Unione europea".

di Jacopo Purificati "Quello del legittimo interesse è un “concetto aperto e flessibile”, come tale non limitato a quanto tassativamente previsto per legge. La verifica sulla legittimità, quindi, va condotta in negativo: il titolare potrà perseguire qualsiasi interesse, ma questo non deve confliggere con la legge".

di Fabiola Iraci Gambazza "Tutta l’attività di intermediazione è compiuta da parte dell’istituto di credito in assenza di un potere decisionale autonomo e quindi di una vera e propria titolarità dei dati. I mezzi e le finalità del trattamento sono, dunque, decisi dalle imprese assicuratrici nelle operazioni di raccolta dei dati".

di Simona Loprete "Qualsiasi trattamento di dati personali [in attuazione del Data Act] deve essere conforme al GDPR e gli obblighi a cui sono sottoposti i terzi non sono soltanto quelli relativi ai diritti degli interessati, ma quelli previsti da tutta la normativa applicabile in materia di protezione dei dati personali".

di Ariella Fonsi "Un soggetto che trasferisce dati al di fuori dell’Unione europea (sia esso un titolare o un responsabile) è tenuto a fornire garanzie adeguate ad assicurare una protezione dei dati equivalente a quelle previste dal GDPR".

di Simona Loprete "Con il Data Act si sancisce la possibilità di accedere e di trasferire tutti i dati, personali e non, generati dagli oggetti, dalle macchine e dai dispositivi intelligenti a favore degli utenti e delle imprese, attraverso un diritto rafforzato alla portabilità dei dati".

di Jacopo Purificati "Il monito di fondo è di discernere con attenzione i rischi e le garanzie poste nel caso concreto: il riconoscimento facciale utilizzato dall’utente sul dispositivo personale ai fini di autenticazione e uso di un’applicazione o di un servizio dedicato, ad esempio, non porrà i medesimi rischi dell’impiego indiscriminato di FRT da parte di un’autorità di pubblica sicurezza per effettuare un monitoraggio costante in una determinata area".

di Simona Loprete "La proposta da parte della Commissione europea del “Digital Services Act” nasce in questo contesto per rispondere ad una duplice esigenza: rendere lo spazio digitale più equo e sicuro tutelando i diritti fondamentali degli utenti e, allo stesso tempo, creare delle condizioni di parità per le imprese dell’Unione Europea supportandone l’innovazione e la crescita".

di Fabiola Iraci Gambazza "Il GDPR non contiene né una definizione né una disciplina dell’anonimizzazione. Anche la disciplina italiana sulla protezione dei dati e contenuta in parte nel D.Lgs. n. 196/2003, come modificato dal D.Lgs. n. 101/2018 (Codice Privacy), non prevede alcuna disposizione in materia di anonimizzazione".

di Paola Limatola "Prima di qualunque trattamento di dati personali, è necessario individuarne la base di liceità; ai sensi dell’articolo 6 del GDPR, con l’esclusione del caso in cui il trattamento poggi sul consenso dell’interessato, è stabilito che il trattamento debba essere “necessario” per il perseguimento di una determinata finalità, sia essa legata all’esecuzione di un contratto, all’adempimento di un obbligo di legge, alla salvaguardia di interessi vitali, oppure all’esecuzione di un compito di interesse pubblico o connesso o all’esercizio di pubblici poteri".

di Annalisa Spedicato "Una data retention policy risulta una misura necessaria che permette al titolare del trattamento di tenere traccia dei termini entro i quali i dati personali trattati devono essere cancellati o anonimizzati perché la finalità del trattamento ad essi connessa è scaduta".

di Ariella Fonsi "L’ampliamento dell’utilizzo dell’FSE comporterà nuove sfide per la tutela dei dati personali dei cittadini. Proprio al fine di affrontare tali sfide, la legge in commento ha altresì rafforzato il ruolo dell’Agenzia Nazionale per i Servizi Sanitari Regionali (Agenas), che è ora chiamata ad individuare le linee guida per il corretto trattamento dei dati in tutto il loro ciclo di vita, dalla raccolta allo scambio con i vari enti del sistema sanitario".

di Simona Loprete "L’eventuale controllo sull’uso degli strumenti elettronici operato dal datore di lavoro deve ispirarsi ai principi di pertinenza e non eccedenza affinché non vi sia una interferenza ingiustificata sui diritti e sulle libertà fondamentali dei lavoratori e dei soggetti esterni che ricevono o inviano comunicazioni elettroniche".

di Jacopo Purificati "Alcuni pattern possono violare anche regole e principi posti a tutela dei consumatori, che allo stesso modo pongono obblighi di trasparenza e di correttezza nei confronti della parte “debole” del rapporto giuridico".

di Simona Loprete "Una delle peculiarità del codice di condotta che è destinato a fungere da strumento di trasferimento dei dati è il fatto che esso può essere invocato da titolari o da responsabili del trattamento soggetti al GDPR (gli esportatori dei dati) per rispettare i propri obblighi di conformità al GDPR in caso di trasferimenti verso Paesi terzi, senza la necessità che essi stessi aderiscano a tale codice".

di Annalisa Spedicato "Una domanda di oscuramento di dati personali non può provenire da una persona giuridica; è la sola persona fisica, in quanto “interessato” che può richiedere l’oscuramento dei propri dati personali".