La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Paola Limatola "L’obbligo di informare i lavoratori non si esaurisce con l’informativa sul trattamento dei dati personali; quando il controllo riguarda gli strumenti utilizzati dei lavoratori per rendere la prestazione lavorativa, il datore di lavoro deve definire una serie di regole all’interno delle quali egli stesso e la forza lavoro devono muoversi".

di Simone Bonavita "Il mancato rispetto dei principi di privacy by design – ed, in generale, di un processo di trattamento correttamente strutturato – si traduce molto spesso nell’assenza di tempi di trattamento corretti".

di Piera Di Stefano "Il requisito di proporzionalità, in virtù del quale le deroghe alla protezione dei dati personali e le limitazioni di quest'ultima devono compiersi entro i limiti dello stretto necessario, sarà ritenuto rispettato soltanto nei casi in cui le autorità nazionali competenti effettivamente siano in grado di garantire che non solo la categoria o le categorie di dati, ma anche la durata per la quale è richiesto l'accesso a questi ultimi, siano limitate a quanto strettamente necessario ai fini dell'indagine in questione".

di Paola Limatola "Un efficace processo di anonimizzazione deve necessariamente tener conto di alcune fondamentali caratteristiche del “mondo digitale” a cui ormai tutti apparteniamo: da un lato, gli strumenti tecnologici sono in continua evoluzione e la potenza elaborativa a disposizione degli individui e delle imprese sono in constante aumento; dall’altro, i dati personali sono un asset sempre più importante per le aziende, che possono fare previsioni più accurate su comportamenti e preferenze dei consumatori, prendere decisioni che li riguardano o personalizzare messaggi pubblicitari facendo anche leva su fragilità o bisogni inespressi degli individui".

di Francesco Nesta "Il medico competente è figura centrale nella gestione dell’emergenza epidemiologica in quanto svolge un ruolo di raccordo tra il sistema sanitario nazionale e regionale e lo specifico contesto lavorativo, anche e soprattutto con riguardo alla vaccinazione sui luoghi di lavoro svolta dal datore di lavoro direttamente per il tramite del medico competente o ricorrendo alla collaborazione di altre figure di professionisti sanitari".

di Paola Limatola "La complessità della materia, i suoi riflessi sulle diverse dimensioni aziendali (organizzative, tecnologiche, legali, informatiche) e la stessa strutturazione dell’impianto normativo non permettono un’attuazione della norma meccanica e burocratica, ma richiedono, invece, consapevolezza e discernimento".

di Annalisa Spedicato "Tanto più aumentano le funzionalità del dispositivo, tanto maggiore è il numero di informazioni che esso può trattare con il rischio per l’utente, spesso inconsapevole, di perdere il controllo sui propri dati personali, rischi questi che aumentano quando le informazioni raccolte vengono combinate con altri dati ricavati da altri dispositivi che vengono collegati all’oggetto interconnesso".

di Francesco Nesta "Per quanto riguarda la sicurezza e il trattamento dei dati personali sia aziendali che riferiti allo smart worker, occorre tenere presente che il datore di lavoro deve minimizzare i rischi di esposizione a violazione dei dati per l’effetto dello svolgimento della prestazione lavorativa attraverso il collegamento da remoto".

di Diego Padovan "Affinché l’ente possa raggiungere la definizione dello schema di responsabilizzazione più confacente alla propria specifica situazione, è necessario che sia intrapreso un percorso di conformità basato proprio sul principio di responsabilizzazione".

di Annalisa Spedicato "Nel caso del microchip ad essere trattati non sono necessariamente dati biometrici o dati appartenenti alla categoria particolare ... con il chip, infatti, possono essere gestiti dati personali comuni e categorie particolari di dati personali, come quelli sanitari e anche dati biometrici in una maniera che implica necessariamente la partecipazione del corpo umano. In questo caso, in effetti, il dato trattato non sempre appartiene alla categoria particolare dei dati personali, dipende dal tipo di informazioni trasmesse dall’applicazione, per cosa è costruita e quali informazioni consente di conservare o a cui consente di accedere".

di Paola Limatola "Il rapporto che si instaura con il cliente può avere molte “sfumature”; se il venditore raccoglie le preferenze del cliente per alcuni prodotti, ne valuta le abitudini di consumo e la propensione a spendere per sottoporgli offerte mirate in linea con le preferenze - dichiarate o dedotte sulla base dei suoi acquisti - effettua un trattamento di dati personali che ha un rilievo dal punto di vista normativo".

di Diego Padovan "Il fatto che il responsabile della protezione dei dati non possa essere rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l'adempimento dei suoi compiti, non vuol dire che esso sia, in qualche maniera, esonerato dall’aderenza alle regole dell’azienda stessa".

di Piera Di Stefano "Accanto ai danni economici diretti derivanti da una violazione di dati, l’organizzazione subisce inevitabilmente anche danni alla propria reputazione, quali, in primis, la perdita di fiducia da parte di clienti e degli stakeholders".

di Diego Padovan "Se una decisione individuata come economicamente sostenibile non ha considerato i vincoli normativi, può non esserlo più se in un secondo momento questi vengono introdotti tra le variabili decisionali, conseguentemente viene individuata la sussistenza di un rischio (di sanzione) privacy concreto".

di Paola Limatola "Quando un’organizzazione subisce una violazione, il Titolare deve valutare quante e quali caratteristiche fondamentali dei dati sono compromesse e verificare se le misure di sicurezza preventivamente adottate consentono il loro ripristino".

di Diego Padovan "La condivisione di risorse importanti per raggiungere una capacità elevata di offerta di servizi digitali al cittadino diviene un’alternativa percorribile, proprio grazie ad un’impostazione oculata del principio di privacy-by-default".

di Piera Di Stefano "E’ pacifico, nella giurisprudenza di legittimità, che la capacità di essere titolari dell'onore sociale e di essere soggetti passivi del reato non può essere esclusa nei confronti di entità giuridiche collettive o di fatto, in quanto rappresentative di un interesse collettivo unitario ed indivisibile in relazione alla finalità perseguita, oltrechè degli interessi dei singoli componenti".

di Diego Padovan "L’introduzione di nuove tecnologie, fortemente innovative, può portare a nuovi ritorni per l’azienda, anche di tipo qualitativi. La gestione degli adempimenti relativi al Regolamento (UE) 2016/679 si concretizza, fra gli altri, in una valutazione d’impatto privacy".

di Paola Limatola "L’attività di videosorveglianza e quella di monitoraggio possono essere svolte direttamente dal Titolare o essere affidate ad un soggetto esterno; in questo caso, il soggetto esterno è un Responsabile del trattamento, con il quale il Titolare deve sottoscrivere uno specifico accordo".

di Diego Padovan "Il trattamento dei dati personali riamane ... parte integrante ed essenziale di molte start-up. È importante dunque bilanciare la necessità di conformità con la limitatezza delle risorse a disposizione".

di Paola Limatola "Le SCC sono uno strumento adeguato, vista l’invalidazione del Privacy Shield, per vincolare Titolare e Responsabile in merito al rispetto degli obblighi normativi, ma, da sole, non sono risolutive. Nonostante la buona volontà dimostrata da alcuni grandi player statunitensi (fornitori dei prodotti più diffusi e comuni), che hanno migliorato la propria informativa, garantendo una maggiore trasparenza in merito alle richieste delle autorità governative USA, le SCC sono insufficienti a garantire la conformità dei trattamenti".

di Diego Padovan "Il binomio privacy e security esalta la necessità di una molteplicità di politiche di gestione, che in ambito telecomunicazioni è difficilmente scindibile".

di Piera Di Stefano "Qualora i soggetti coinvolti siano personaggi pubblici, che hanno ricoperto cariche pubbliche o di rilevanza pubblica, le maglie del diritto all’oblio tendono a restringersi notevolmente, divenendo il fattore tempo elemento più che trascurabile a fronte di un interesse pubblico all’informazione la cui attualità si ritiene cristallizzata, nonostante il decorso, anche considerevole, del tempo stesso".

di Paola Limatola "È consentito profilare dati personali nel caso in cui l’interessato abbia fornito il proprio consenso ovvero il trattamento sia funzionale al perseguimento di interessi legittimi del Titolare o di terzi".

di Diego Padovan "Il SGDP è lo strumento che consente di efficientare proprio l’attività di conformità al Regolamento europeo. Esso funge da modello di governo, cioè strumento di coordinamento e controllo proporzionato alla Organizzazione cui viene applicato".