La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Annalisa Spedicato "Una data retention policy risulta una misura necessaria che permette al titolare del trattamento di tenere traccia dei termini entro i quali i dati personali trattati devono essere cancellati o anonimizzati perché la finalità del trattamento ad essi connessa è scaduta".

di Ariella Fonsi "L’ampliamento dell’utilizzo dell’FSE comporterà nuove sfide per la tutela dei dati personali dei cittadini. Proprio al fine di affrontare tali sfide, la legge in commento ha altresì rafforzato il ruolo dell’Agenzia Nazionale per i Servizi Sanitari Regionali (Agenas), che è ora chiamata ad individuare le linee guida per il corretto trattamento dei dati in tutto il loro ciclo di vita, dalla raccolta allo scambio con i vari enti del sistema sanitario".

di Simona Loprete "L’eventuale controllo sull’uso degli strumenti elettronici operato dal datore di lavoro deve ispirarsi ai principi di pertinenza e non eccedenza affinché non vi sia una interferenza ingiustificata sui diritti e sulle libertà fondamentali dei lavoratori e dei soggetti esterni che ricevono o inviano comunicazioni elettroniche".

di Jacopo Purificati "Alcuni pattern possono violare anche regole e principi posti a tutela dei consumatori, che allo stesso modo pongono obblighi di trasparenza e di correttezza nei confronti della parte “debole” del rapporto giuridico".

di Simona Loprete "Una delle peculiarità del codice di condotta che è destinato a fungere da strumento di trasferimento dei dati è il fatto che esso può essere invocato da titolari o da responsabili del trattamento soggetti al GDPR (gli esportatori dei dati) per rispettare i propri obblighi di conformità al GDPR in caso di trasferimenti verso Paesi terzi, senza la necessità che essi stessi aderiscano a tale codice".

di Annalisa Spedicato "Una domanda di oscuramento di dati personali non può provenire da una persona giuridica; è la sola persona fisica, in quanto “interessato” che può richiedere l’oscuramento dei propri dati personali".

di Ariella Fonsi "Vista l’ingente quantità di esposti che quotidianamente vengono trasmessi alle diverse filiali della Banca d’Italia, quest’ultima ha ritenuto opportuno dotarsi di strumenti di intelligenza artificiale (IA) e tecnologie correlate, al fine supportare l’attività di analisi degli esposti".

di Ariella Fonsi "Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando saranno trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica".

di Piera Di Stefano "La deindicizzazione ha riguardo all’identità digitale del soggetto e ciò in quanto l’elenco dei risultati che compare in corrispondenza del nome della persona fornisce una rappresentazione dell’identità che quella persona ha in internet".

di Jacopo Purificati "Ai fini della contestazione di un illecito amministrativo, non sarà sufficiente che il Garante abbia ricevuto una comunicazione dalla quale emergano semplici indizi o dichiarazioni in merito a un’asserita contravvenzione, dovendo l’Autorità completare le dovute attività di indagine e accertarsi che si configuri un’effettiva violazione della normativa applicabile".

di Jacopo Purificati "E' opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, implementando misure adeguate e rivolte non solo alla sicurezza dei dati trattati, ma altresì alla prevenzione di errori e rischi derivanti da inesattezze dei dati, nonché di fenomeni discriminatori nei confronti delle persone fisiche".

di Annalisa Spedicato "La portata penalmente rilevante del trattamento illecito di dati personali effettuato senza il consenso dell’interessato è stata dunque ampiamente ridotta; con l’ingresso del Regolamento n. 679/2016 il legislatore europeo ha dato infatti ampio spazio agli illeciti amministrativi".

di Giulia Cordaro "Tale tecnica [il riconoscimento facciale] è oggi impiegata sia per scopi di sicurezza (avendo, quale “vocazione”, quella di strumento a servizio delle forze dell’ordine), sia a fini commerciali e dunque in molti altri ambiti della nostra vita quotidiana.

di Simona Loprete "La profilazione nel GDPR implica una qualche forma di valutazione o giudizio in merito ad una persona che si basa sull’utilizzo di dati personali provenienti da varie fonti".

di Fabiola Iraci Gambazza "L’invio di comunicazioni commerciali mediante posta cartacea o mediante telefono, o con modalità diverse da quelle indicate dall'art. 130 co. 1 e 2, è da considerarsi lecito anche su basi giuridiche diverse dal consenso ed individuate dal Considerando 47 del Regolamento, ossia nei legittimi interessi di un titolare del trattamento, a condizione che non prevalgano gli interessi e i diritti e le libertà fondamentali dell’interessato, tenuto conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento".

di Simona Loprete "All’interessato è riconosciuta la facoltà di chiedere a qualsiasi ente pubblico o organizzazione privata se sono trattati dati personali che lo riguardano e di poter accedere a tali dati per verificarli".

di Ariella Fonsi "Il GDPR e il Codice del consumo si pongono in termini di complementarietà, imponendo obblighi informativi specifici, “in un caso funzionali alla protezione del dato personale, inteso quale diritto fondamentale della personalità, e nell’altro alla corretta informazione da fornire al consumatore al fine di fargli assumere una scelta economica consapevole”".

di Paola Limatola "Il Protocollo attribuisce una grande importanza alle attività di formazione e informazione dei lavoratori agili; noi ci permettiamo di aggiungere che formazione e informazione sono elementi imprescindibili di un sistema di protezione dei dati efficace".

di Simona Loprete "Quando ci troviamo nelle ipotesi in cui si applica l’articolo 3, paragrafo 2, del GDPR, il titolare del trattamento o il responsabile del trattamento potrebbero essere soggetti a normative che comprometterebbero la protezione fornita dal GDPR. Questo rischio è compensato proprio dalle disposizioni del Capo V che integrano le disposizioni sull’applicazione territoriale del GDPR".

di Jacopo Purificati "La mancanza dello scopo di lucro, e quindi di intenti “commerciali”, non esonera tali organizzazioni dall’adempimento di ogni obbligo promanante dal generale principio di accountability. Tanto più se l’ETS in questione è di dimensioni e portata internazionali e opera trattamenti di dati personali su larga scala, oggetto di trasferimenti al di fuori e all’interno dello Spazio Economico Europeo".

di Piera Di Stefano "In sede di adattamento all’ordinamento interno di uno strumento di particolare complessità, qual è il Regolamento n. 679/2016/UE, il legislatore delegato, pertanto, era per legge dotato di quella discrezionalità necessaria non solo “(…) ad integrare e introdurre opportuni raccordi con la nuova disciplina dotata di un’immediata efficacia diretta, [ma] anche coordinare quest’ultima a quella preesistente, mediante disposizioni vòlte a regolare la transizione dall’uno all’altro assetto normativo".

di Annalisa Spedicato "Si rende (...) opportuno, nel rispetto del Regolamento (UE) n. 679/2016, in particolare per onorare il principio di accontability e come misura organizzativa di sicurezza, prevedere un regolamento interno sulla gestione dei CV da rendere noto a tutti coloro che possono, in qualsiasi modo, entrare in contatto con curriculum vitae trasmessi all’azienda/studio".

di Fabiola Iraci Gambazza "Il principio generale in ambito di trasferimenti previsto dal GDPR è quello per il quale il trasferimento dei dati possa aversi solo qualora siano incontrate determinate condizioni, espressamente disciplinate dal Capo V".

di Ariella Fonsi "Ai sensi della normativa applicabile, il consenso non può riguardare tutte le attività di trattamento poste in essere dal titolare, ma dovrebbe essere richiesto per ogni singola finalità".

di Fabiola Iraci Gambazza "Il soggetto preposto al trattamento dei dati da parte del titolare assume e mantiene il ruolo di responsabile non solo per il vincolo contrattuale e il relativo conferimento dell’incarico, ma anche, e necessariamente, in ragione dell’espletamento dell’incarico secondo le istruzioni impartitegli dal titolare nell’esercizio del suo potere decisionale ed entro i limiti e con le modalità da questi dettate per l’esecuzione del trattamento dei dati".