La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Ariella Fonsi "Vista l’ingente quantità di esposti che quotidianamente vengono trasmessi alle diverse filiali della Banca d’Italia, quest’ultima ha ritenuto opportuno dotarsi di strumenti di intelligenza artificiale (IA) e tecnologie correlate, al fine supportare l’attività di analisi degli esposti".

di Ariella Fonsi "Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica".

di Piera Di Stefano "La deindicizzazione ha riguardo all’identità digitale del soggetto e ciò in quanto l’elenco dei risultati che compare in corrispondenza del nome della persona fornisce una rappresentazione dell’identità che quella persona ha in internet".

di Jacopo Purificati "Ai fini della contestazione di un illecito amministrativo, non sarà sufficiente che il Garante abbia ricevuto una comunicazione dalla quale emergano semplici indizi o dichiarazioni in merito a un’asserita contravvenzione, dovendo l’Autorità completare le dovute attività di indagine e accertarsi che si configuri un’effettiva violazione della normativa applicabile".

di Jacopo Purificati "E' opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, implementando misure adeguate e rivolte non solo alla sicurezza dei dati trattati, ma altresì alla prevenzione di errori e rischi derivanti da inesattezze dei dati, nonché di fenomeni discriminatori nei confronti delle persone fisiche".

di Annalisa Spedicato "La portata penalmente rilevante del trattamento illecito di dati personali effettuato senza il consenso dell’interessato è stata dunque ampiamente ridotta; con l’ingresso del Regolamento n. 679/2016 il legislatore europeo ha dato infatti ampio spazio agli illeciti amministrativi".

di Giulia Cordaro "Tale tecnica [il riconoscimento facciale] è oggi impiegata sia per scopi di sicurezza (avendo, quale “vocazione”, quella di strumento a servizio delle forze dell’ordine), sia a fini commerciali e dunque in molti altri ambiti della nostra vita quotidiana.

di Simona Loprete "La profilazione nel GDPR implica una qualche forma di valutazione o giudizio in merito ad una persona che si basa sull’utilizzo di dati personali provenienti da varie fonti".

di Fabiola Iraci Gambazza "L’invio di comunicazioni commerciali mediante posta cartacea o mediante telefono, o con modalità diverse da quelle indicate dall'art. 130 co. 1 e 2, è da considerarsi lecito anche su basi giuridiche diverse dal consenso ed individuate dal Considerando 47 del Regolamento, ossia nei legittimi interessi di un titolare del trattamento, a condizione che non prevalgano gli interessi e i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento".

di Simona Loprete "All’interessato è riconosciuta la facoltà di chiedere a qualsiasi ente pubblico o organizzazione privata se sono trattati dati personali che lo riguardano e di poter accedere a tali dati per verificarli".

di Ariella Fonsi "Il GDPR e il Codice del consumo si pongono in termini di complementarietà, imponendo obblighi informativi specifici, “in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole”".

di Paola Limatola "Il Protocollo attribuisce una grande importanza alle attività di formazione e informazione dei lavoratori agili; noi ci permettiamo di aggiungere che formazione e informazione sono elementi imprescindibili di un sistema di protezione dei dati efficace".

di Simona Loprete "Quando ci troviamo nelle ipotesi in cui si applica l’articolo 3, paragrafo 2, del GDPR, il titolare del trattamento o il responsabile del trattamento potrebbero essere soggetti a normative che comprometterebbero la protezione fornita dal GDPR. Questo rischio è compensato proprio dalle disposizioni del Capo V che integrano le disposizioni sull’applicazione territoriale del GDPR".

di Jacopo Purificati "La mancanza dello scopo di lucro, e quindi di intenti “commerciali”, non esonera tali organizzazioni dall’adempimento di ogni obbligo promanante dal generale principio di accountability. Tanto più se l’ETS in questione è di dimensioni e portata internazionali e opera trattamenti di dati personali su larga scala, oggetto di trasferimenti al di fuori e all’interno dello Spazio Economico Europeo".

di Piera Di Stefano "In sede di adattamento all’ordinamento interno di uno strumento di particolare complessità, qual è il Regolamento n. 679/2016/UE, il legislatore delegato, pertanto, era per legge dotato di quella discrezionalità necessaria non solo “(…) ad integrare e introdurre opportuni raccordi con la nuova disciplina dotata di un’immediata efficacia diretta, [ma] anche coordinare quest’ultima a quella preesistente, mediante disposizioni vòlte a regolare la transizione dall’uno all’altro assetto normativo".

di Annalisa Spedicato "Si rende (...) opportuno, nel rispetto del Regolamento (UE) n. 679/2016, in particolare per onorare il principio di accontability e come misura organizzativa di sicurezza, prevedere un regolamento interno sulla gestione dei CV da rendere noto a tutti coloro che possono, in qualsiasi modo, entrare in contatto con curriculum vitae trasmessi all’azienda/studio".

di Fabiola Iraci Gambazza "Il principio generale in ambito di trasferimenti previsto dal GDPR è quello per il quale il trasferimento dei dati possa aversi solo qualora siano incontrate determinate condizioni, espressamente disciplinate dal Capo V".

di Ariella Fonsi "Ai sensi della normativa applicabile, il consenso non può riguardare tutte le attività di trattamento poste in essere dal titolare, ma dovrebbe essere richiesto per ogni singola finalità".

di Fabiola Iraci Gambazza "Il soggetto preposto al trattamento dei dati da parte del titolare assume e mantiene il ruolo di responsabile non solo per il vincolo contrattuale e il relativo conferimento dell’incarico, ma anche, e necessariamente, in ragione dell’espletamento dell’incarico secondo le istruzioni impartitegli dal titolare nell’esercizio del suo potere decisionale ed entro i limiti e con le modalità da questi dettate per l’esecuzione del trattamento dei dati".

di Simona Loprete "Nell’esercizio di bilanciamento tra diritti fondamentali, sono i principi dello stesso articolo 5 del GDPR a dover guidare gli Stati che dovranno assicurarsi di aver rispettato, nel prevedere delle restrizioni ai sensi dell’articolo 23 del GDPR, i requisiti di cui all’articolo 52, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea".

di Simona Loprete "La prima caratteristica di un valido consenso porta ad escludere che il silenzio, l’inattività o una casella preselezionata possano considerarsi espressione di consenso da parte dell’utente, il quale al contrario dovrà attivamente manifestare la propria scelta, per esempio selezionando un’apposita casella del sito web".

di Alessia Zeppieri "Porre un limite preciso al tempo di conservazione dei dati personali che formano oggetto di trattamento in stretta aderenza alle finalità della raccolta, vuol dire dare attuazione ad un principio fondamentale che da un lato si basa sul riconoscimento di un 'ciclo di vita del dato' oltre il quale se ne intende perduta l’utilità, ma dall’altro definisce il perimetro stesso della tutela delle persone fisiche e dei diritti dalle stesse azionabili".

di Jacopo Purificati "L’innovazione più rilevante della riforma riguarda però l’inserimento, tra le finalità per cui è consentito l’impiego autorizzato di sistemi di controllo, della 'tutela del patrimonio aziendale'".

di Piera Di Stefano "Ma qual è la tecnica che impedisce non solo l’identificazione, ma anche l’identificabilità di una persona fisica? È l’anonimizzazione, una misura che la Corte europea dei diritti dell'uomo ha ritenuto compatibile con il diritto alla libertà di espressione e, in particolare, con la libertà di stampa in relazione ad un articolo presente nell’archivio on line di una testata giornalistica".

di Jacopo Purificati "L’art. 9 del Decreto Capienze non si limita ad ampliare i poteri di queste ultime [pubbliche amministrazioni], (...) ma ridimensiona altresì le possibilità di ingerenza dell’Autorità garante per la protezione dei dati personali (cosiddetto “Garante Privacy”) nei confronti delle stesse".