La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Fabiola Iraci Gambazza "Secondo il TAR, l’interesse giuridicamente rilevante che legittima l’accesso può consistere anche in un’esigenza istruttoria preliminare alla proposizione della domanda giudiziale, e non richiede che i documenti richiesti abbiano necessariamente valore di prova diretta".

di Annalisa Spedicato "Installare sistemi di videosorveglianza all’interno di una struttura ricettiva, come un BB o una casa vacanza, è un legittimo diritto del titolare o proprietario. Altrettanto vero è però che tale diritto non deve intaccare il diritto alla riservatezza e al mantenimento della privacy degli ospiti della struttura stessa".

di Jacopo Purificati "L’elemento più importante desumibile dal provvedimento de quo è il rispetto dei principi di privacy-by-design, privacy-by-default e accountability. I datori di lavoro, cioè, sono sempre e comunque tenuti a compiere attente valutazioni circa ogni aspetto del trattamento dei dati personali dei lavoratori, determinando, innanzitutto, l’applicabilità o meno delle regole di protezione dei dati a specifici processi di elaborazione, l’inquadramento dei quali come operazioni di trattamento di dati personali non è, ad oggi, così agevole e/o immediato".

di Ariella Fonsi "I dati personali pubblicati sui social network o comunque disponibili online non possono essere utilizzati indiscriminatamente per qualsiasi finalità, solo in ragione della loro accessibilità".

di Jacopo Purificati "La proposta di modifica del GDPR ha costituito elemento di discussione, in particolare, tra gli esperti del settore della data protection. Le opinioni a riguardo sono contrastanti, pur se – almeno tendenzialmente – i commentatori sono d’accordo nel ritenere poco efficaci le modifiche proposte, soprattutto se lette in prospettiva degli obiettivi perseguiti dal Legislatore europeo".

di Simona Loprete "Il provvedimento nei confronti della Regione Lombardia ha palesato bruscamente che il tema della gestione dei metadati della posta elettronica dei lavoratori non può più essere trascurato dalle organizzazioni e che il ricorso alle impostazioni di default da parte del fornitore del servizio non esonera dalle responsabilità il datore di lavoro".

di Fabiola Iraci Gambazza "Quando è in gioco un segreto commerciale, il bilanciamento tra diritti ed interessi deve essere condotto caso per caso da parte dell’Autorità di controllo o dal Giudice Competente. A tal proposito, la Corte richiama la pronuncia SCHUFA, sottolineando che non è consentito ad uno Stato membro di stabilire a priori l’esito della ponderazione dei diritti e degli interessi in gioco derivanti dal diritto dell’UE".

di Simona Loprete "Il controllo a distanza dell’attività lavorativa mediante l’utilizzo di strumentazione tecnologica da parte del datore di lavoro è permessa, sempre fatte salve le procedure di garanzia previste, soltanto incidentalmente, ossia in occasione del perseguimento di tali legittime finalità previste espressamente dalla legge (organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale' in maniera indiretta e preterintenzionale".

di Ariella Fonsi "La pseudonimizzazione è da considerarsi una misura di sicurezza che riduce il rischio di reidentificazione, ma non elimina tale rischio in modo assoluto. I dati pseudonimizzati restano, per la normativa europea, dati personali, a meno che non sia dimostrabile in modo credibile e oggettivo che la reidentificazione sia praticamente impossibile".

di Simona Loprete "Gli Amministratori di sistema nelle loro consuete attività sono, in molti casi, concretamente incaricati di operazioni che possono comportare elevate criticità in termini di protezione dei dati personali. Questo aspetto, che si aggiunge alla particolare capacità di azione e alla natura fiduciaria delle relative mansioni affidate all’Amministratore di sistema, rende questo ruolo particolarmente delicato e importante".

di Fabiola Iraci Gambazza "La vicenda ha origine nel 2023, quando Meta introduceva il modello del “pay or consent” per l’accesso ai propri servizi online. Nello specifico, l’utente di Facebook e/o Instagram potevano scegliere tra il prestare il consenso al trattamento dei propri dati per la pubblicità personalizzata o, alternativamente, pagare un abbonamento mensile".

di Simona Loprete "I dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti, salvo che il titolare acquisisca uno specifico e informato consenso dell’interessato".

di Ariella Fonsi "Capire le specificità e i requisiti della NIS2, del DORA, del GDPR è essenziale per le organizzazioni che operano nell'UE, soprattutto per quelle soggette a più framework. Identificando le aree di sovrapposizione e sfruttando le sinergie tra queste normative, le organizzazioni possono rendere più efficienti i loro sforzi di conformità".

di Piera Di Stefano "La giurisprudenza amministrativa ha riconosciuto esplicitamente il fenomeno della 'patrimonializzazione' del dato personale, tipico delle nuove economie dei mercati digitali, e la conseguente applicabilità della disciplina consumeristica, asserendo che 'il patrimonio informativo costituito dai dati degli utenti e la profilazione degli utenti medesimi a uso commerciale e per finalità di marketing (…) acquista proprio in ragione di tale uso, un valore economico idoneo (…) a configurare l’esistenza di un rapporto di consumo tra il professionista e l’utente'".

di Jacopo Purificati "Il capo VIII del GDPR non osta a normative nazionali che, senza comprimere i poteri delle autorità di controllo e i mezzi di ricorso per gli interessati del trattamento, conferiscono ai concorrenti la legittimazione attiva per violazioni di norme, come il GDPR, che possono costituire pratiche commerciali sleali".

di Simona Loprete "Lo strumento della telemedicina preoccupa soprattutto con riferimento alle possibili violazioni di riservatezza che possono occorrere colpendo i dati sanitari dei pazienti. In questo senso assume una centralità imprescindibile la valutazione di impatto sulla protezione dei dati ai sensi dell’articolo 35, da svolgere preliminarmente all’inizio dei trattamenti".

di Fabiola Iraci Gambazza "Sebbene la normativa sulla privacy abbia un carattere trasversale, applicandosi a tutti i settori dell'ordinamento giuridico, non è specificamente tesa a tutelare la libertà economica del consumatore. Nelle pratiche commerciali scorrette - come quelle nel caso in esame - la normativa sulla privacy si configura come una normativa settoriale che, così come altre, non prevale su quella in materia di concorrenza".

di Jacopo Purificati "L’esigenza di fondo è quella di comprendere fino a che punto la raccolta e il trattamento di dati personali ai fini di addestramento di modelli di IA possa dirsi legittima in base al perseguimento di un interesse che il titolare decide autonomamente di perseguire, e che - inaudita altera parte - egli stesso dichiara essere legittimo e prevalente su interessi, diritti e libertà fondamentali dei soggetti interessati".

di Simona Loprete "Oltre alla tutela della riservatezza del lavoratore, il datore di lavoro, quale Titolare del trattamento, è tenuto ad osservare tutti i principi di cui all’articolo 5 del GDPR che impongono innanzitutto trattamenti di dati personali leciti, corretti e trasparenti. Ciò comporta la necessità di gestire e regolamentare l’uso di tutti i mezzi elettronici di lavoro utilizzati perché capaci di ricostruire puntualmente e analizzare l’attività prestata dal lavoratore".

di Jacopo Purificati "Nel caso di specie, Spielmann ha affrontato il tema dell’identificabilità degli interessati con riguardo a dati pseudonimizzati trasferiti a un destinatario (...) il parere fornito dall’Avvocato Generale contiene preziosi criteri ermeneutici che possono essere molto utili nel dibattito, molto aperto, relativo all’identificabilità di persone fisiche nel contesto di dati pseudonimizzati".

di Fabiola Iraci Gambazza "Rispetto alla base giuridica dell’esecuzione del contratto, il trattamento dei dati deve essere necessario in quanto oggettivamente indispensabile per realizzare una finalità che è “parte integrante della prestazione contrattuale destinata all’interessato”. Ne consegue che è necessario dimostrare in che modo l’oggetto principale del contratto - o, al più, di elementi distinti dei servizi, oggetto del contratto stesso - non potrebbero essere conseguiti, in assenza di quel trattamento di dati".

di Simona Loprete "Il paziente che esercita il diritto di accesso alla propria cartella clinica ai sensi dell’articolo 15 del GDPR ha diritto di ottenere copia dell’intera cartella clinica oppure ha diritto di ottenere copia dei dati personali oggetto di trattamento contenuti all’interno della cartella clinica stessa?".

di Ariella Fonsi "Secondo il Board, affinché un modello di IA possa essere considerato anonimo occorre verificare la probabilità di estrazione di dati personali utilizzati per addestrare il modello, nonché la probabilità di ottenere, intenzionalmente o meno, tali dati personali tramite interrogazioni".

di Simona Loprete "L’acquisizione di un consenso degli interessati alla trasmissione via e-mail dei referti “in formato pfd senza l’utilizzo di password” non è idoneo a sollevare il titolare del trattamento dall’obbligo di garantire costantemente nel tempo un adeguato livello di sicurezza che tenga anche conto dello sviluppo tecnologico e dei nuovi rischi connessi al trattamento per i diritti e le libertà degli interessati".

di Ariella Fonsi "Dopo aver chiarito che le attività di sviluppo dei software gestionali devono essere improntate al rispetto dei principi di privacy by design e by default di cui all’art. 25 del GDPR, il Codice chiarisce che i Produttori devono effettuare la valutazione dei rischi dei trattamenti dei dati personali cui il software è preordinato".