La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Paola Limatola "È consentito profilare dati personali nel caso in cui l’interessato abbia fornito il proprio consenso ovvero il trattamento sia funzionale al perseguimento di interessi legittimi del Titolare o di terzi".

di Diego Padovan "Il SGDP è lo strumento che consente di efficientare proprio l’attività di conformità al Regolamento europeo. Esso funge da modello di governo, cioè strumento di coordinamento e controllo proporzionato alla Organizzazione cui viene applicato".

di Paola Limatola "Può essere difficile dimostrare, proprio a causa del rapporto di “dipendenza” dei lavoratori nei confronti del datore di lavoro, che il consenso sia stato prestato in modo effettivamente libero e che sia liberamente revocabile ... Eppure, anche all’interno del rapporto di lavoro, possono esistere situazioni in cui il datore di lavoro ha bisogno di chiedere il consenso dei lavoratori per trattare i loro dati".

di Piera Di Stefano "Il Garante per la protezione dei dati personali, che recentemente ha dedicato una sezione informativa del proprio sito istituzionale al phishing, ha chiarito che l’offensività della condotta del phisher consiste nel furto dei dati riservati dell’utente finalizzato alla commissione di ulteriori reati a danno di terzi o dell’utente stesso".

di Diego Padovan "La conformità al Regolamento (UE) 2016/679, se non affrontata debitamente e per tempo da parte dell’organizzazione, può essere in effetti un ostacolo, proprio per la necessità di ridurre al minimo il time-to-market delle nuove APP".

di Paola Limatola "Al momento dell’approvazione del Regolamento, la storia dei singoli paesi europei in materia di protezione dei dati personali era molto diversa; ad esempio, non tutti gli Stati avevano istituito un’autorità di controllo dedicata al tema della protezione dei dati e non tutte le autorità di controllo esistenti avevano gli stessi poteri e compiti. Ma ormai questa è storia, perché con l’entrata in vigore della normativa europea le cose sono cambiate".

di Diego Padovan "Nel settore delle telecomunicazioni (...), visto il particolare assetto di mercato (es., barriere in ingresso), il regolatore opta per soluzioni in grado di fornire ai provider di telecomunicazione la capacità di 'sviluppare' connettività e accesso ad altissima capacità, con un rapporto prezzo/qualità/sicurezza favorevole ai consumatori".

di Marta Moretti "In base al GDPR, spetta al titolare del trattamento valutare se il diritto del Paese terzo di destinazione garantisce una protezione adeguata agli standard europei dei dati personali trasferiti sulla base di SCC. In caso contrario, le SCC possono essere utilizzate a condizione che siano adottate “garanzie supplementari” - rispetto a quelle previste dalle clausole - idonee a garantire il rispetto del livello di protezione richiesto dal diritto dell’UE. Ove ciò non sia possibile, il titolare del trattamento nell’Unione deve - a seconda dei casi - evitare, sospendere o cessare il trasferimento di dati personali verso quel Paese terzo, nonché richiedere la restituzione o la distruzione dei dati già trasferiti".

di Paola Limatola "La protezione dei dati personali è un tema che attraversa l’intera organizzazione aziendale; dovrebbe essere ormai chiaro che gli aspetti legali, quelli organizzativi e quelli informatici sono ugualmente importanti per prendere decisioni in merito alle misure di sicurezza tecniche e organizzative. Tutte le funzioni aziendali devono quindi collaborare all’adozione e alla manutenzione del sistema di gestione dei dati personali".

di Paola Limatola "I laboratori (...), guidati dal principio di accountability, devono organizzarsi per gestire correttamente i dati personali degli interessati: informative, eventuali moduli per la richiesta del consenso, politiche e procedure interne, registro delle attività di trattamento, contratti con i responsabili del trattamento, analisi del rischio – solo per citare alcuni aspetti fondamentali della conformità – devono essere disponibili e correttamente inseriti in un contesto organizzativo adeguato".

di Paola Limatola "L’informazione sulle iniziative dell’associazione, sotto forma di newsletter periodica o attraverso messaggi personali, è in un certo senso insita nel rapporto associativo: si può presumere che gli iscritti o i soci siano interessati a ricevere informazioni su eventi e iniziative intraprese dall’associazione. Il rapporto tra socio/iscritto ed ente associativo è assimilabile ad un contratto e l’invio di informazioni è parte della relazione contrattuale che intercorre tra le parti".

di Annalisa Spedicato "Quando il gestore di una struttura ricettiva o extraricettiva o il proprietario di un immobile locato per fini turistici raccoglie le generalità dei propri ospiti con lo scopo di identificarli per adempiere agli obblighi previsti dal TULPS ed inviare i dati raccolti in Questura, deve tenere a mente le norme del GDPR e rispettarle".

di Paola Limatola "La diffusione non autorizzata, anche involontaria, di dati relativi allo stato di salute dell’interessato potrebbe avere significative conseguenze sugli interessati (discriminazione, diffamazione, persecuzioni) e potrebbe esporre il titolare del trattamento a sanzioni; è bene quindi che, indipendentemente dalla modalità scelta per la loro trasmissione, le istruzioni alle persone autorizzate al trattamento siano chiare e dettagliate".

di Paola Limatola "Il GDPR ha spostato il focus: sono i titolari e i responsabili del trattamento a doversi assumere la piena responsabilità delle decisioni in merito ai trattamenti e ai dati personali gestiti e dell’adozione di misure tecniche e organizzative adeguate a tutelarne la sicurezza".

di Annalisa Spedicato "Avendo il Titolare del trattamento una responsabilità generale del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, è su di lui che grava l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili".

di Paola Limatola "L’obbligo di agire in conformità alle norme esistenti riguarda infatti tutte e due le parti in causa – quella che delega, in tutto o in parte, i propri trattamenti e quella che li effettua – e il responsabile del trattamento (sia esso un fornitore, un partner commerciale o un consulente) deve sapere che, in assenza di un apposito atto giuridico, non gli è consentito trattare i dati personali gestiti dal titolare del trattamento".

di Alessandra Titone e Michele Defidio "Sono emerse, non solo alcune specifiche violazioni del GDPR (come quelle relative all’ottenimento dei consensi per finalità di marketing nonché del rispetto dei diritti degli utenti in generale), ma, più in generale, un’evidente difficoltà del titolare del trattamento di dimostrare che le attività di trattamento fossero svolte in conformità con la normativa applicabile, nonché, in generale, di dare evidenza delle misure di sicurezza, tecniche ed organizzative, applicate ai trattamenti".

di Annalisa Spedicato "L’interessato ha il diritto di opporsi al trattamento in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano basato sul legittimo interesse del titolare del trattamento, compresa la profilazione".

di Duilio Cortassa Il concetto di «profilazione» espresso dal n. 4 dell’articolo 4 del GDPR come trattamento automatizzato di dati personali finalizzato a valutare determinati “aspetti personali relativi a una persona fisica” non si esaurisce in realtà affatto nell'utilizzo di questi per analizzare o prevedere aspetti riguardanti gli interessi, la situazione economica, le preferenze personali o i gusti del consumatore, ma ricomprende l’analisi e la previsione del comportamento e del rendimento professionale, dell'affidabilità, in una parola della serietà professionale della persona fisica"

di Duilio Cortassa Fatto salvo che un eventuale registro completo delle condanne penali non potrà che essere tenuto sotto il controllo dell'autorità pubblica, quale privato e per quali finalità potrebbe essere autorizzato dall'autorità pubblica al trattamento dei dati personali relativi a condanne penali e reati (che non equivalga, tuttavia, a tenere un "registro completo delle condanne penali"), senza il consenso, volta per volta, dell’interessato?.

di Annalisa Spedicato "Per effettuare una valutazione del rischio è possibile adottare un proprio modello, una procedura personalizzata, l’importante è dimostrare che si sia adottato un approccio basato sul rischio idoneo al tipo di organizzazione e rispettoso dei principi e delle disposizioni del Regolamento".

di Marta Cogode e Martina Petrucci "L'ENISA - Agenzia dell’UE per la cybersecurity - sarà la protagonista indiscussa nel contrasto alle cyber-minacce, qualificandosi quale centro d’informazione, di sensibilizzazione e di consulenza per istituzioni, organi dell’Unione e Stati membri sulle esigenze e le priorità in materia di ricerca nel campo della cyber-sicurezza".

di Duilio Cortassa Il diritto all’oblio previsto dal GDPR non è del tutto una novità, ma è una (grossa) novità il sentiment, diffuso tra gli operatori del diritto e tra i soggetti economici, che il diritto di opposizione, o diritto alla cancellazione, o diritto all’oblio, sia ora un elemento non trascurabile, come forse invece era stato nel recente passato, del gioco delle parti sul tavolo della nostra società.

di Anna Maria Lorito "Le novità che caratterizzano la Legge n. 5/2018 non sono di poco conto: in primo luogo, grazie ad essa gli interessati potranno iscrivere al RPO, anche contemporaneamente, tutte le utenze telefoniche a loro intestate, sia fisse che mobili, anche non iscritte negli elenchi. Inoltre, le numerazioni fisse non pubblicate negli elenchi telefonici (cd. "numerazioni riservate") verranno inserite in automatico nel Registro".

di Chiara Benvenuto "Per trasferimento deve intendersi una comunicazione dei dati personali tra le figure soggettive previste dal Regolamento dall’interno dell’Unione Europea all’esterno della stessa. Dunque, nella definizione di trasferimento, è possibile ricomprendere qualsiasi divulgazione o propagazione di dati personali da un soggetto a un altro, indipendentemente dal tipo di mezzo utilizzato (sia esso informatico o meno), quando tali dati sono destinati al trattamento in un paese terzo o in un’organizzazione internazionale".