La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Fabiola Iraci Gambazza "Spetta al titolare del trattamento, sulla base del predetto principio di responsabilizzazione, scegliere quali siano le misure adeguate atte garantire un livello di sicurezza e tali da dimostrare la conformità al GDPR, seguendo un approccio improntato al rischio e all’analisi precipua dei trattamenti posti in essere".

di Simona Loprete "Il medico è tenuto a tutelare la riservatezza dei dati personali e della documentazione in suo possesso e ad assicurare la non identificabilità dei soggetti coinvolti nelle pubblicazioni scientifiche di dati clinici o di osservazione relative a singole persone".

di Ariella Fonsi "L’obiettivo generale del diritto di accesso è quello di garantire all’interessato informazioni sufficienti, trasparenti e facilmente accessibili sul trattamento dei suoi dati personali, in modo che possa essere consapevole e verificare la legittimità del trattamento e l’accuratezza dei dati trattati".

di Jacopo Purificati "Le Linee Guida sono rivolte alle imprese e alle amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, con l’obiettivo di raccomandare le funzioni crittografiche ritenute attualmente più sicure per la conservazione delle credenziali".

di Piera Di Stefano "La Corte sottolinea che, allo stato, a fronte della legittima aspettativa dell’interessato che non rivesta la qualità di personaggio pubblico, noto a livello nazionale, di essere dimenticato rispetto ad una vicenda del passato nel quale è stato coinvolto, la deindicizzazione dei contenuti presenti sul web, ab initio lecitamente pubblicati, rappresenta l’effettiva soluzione intermedia per garantire l’equilibro tra gli interessi in gioco, rispetto alle due estreme, quali, da una parte, “lasciare tutto com’è” e, dall’altra, rimuovere i contenuti in questione dai siti sorgente".

di Fabiola Iraci Gambazza "Il titolare del trattamento è tenuto a notificare un evento nei confronti dell’Autorità garante entro le 72 ore dal momento in cui ne ha “conoscenza”. (...) La ratio di un periodo così breve per effettuare la notifica coincide con la necessità di effettuare il più rapidamente possibile le analisi".

di Jacopo Purificati "L’art. 15 del GDPR conferisce all’interessato un vero e proprio diritto a ricevere una copia dei dati personali oggetto di trattamento. Ne consegue che l’addebito di “un contributo spese ragionevole in caso di ulteriori copie richieste dall’interessato” può avvenire unicamente qualora l’interessato abbia già ricevuto, a titolo gratuito, una prima copia dei suoi dati e ne faccia nuovamente richiesta".

di Simona Loprete "L’applicazione del GDPR e della normativa nazionale in materia di protezione dei dati presuppone una idea chiara in merito alla nozione di “dato relativo alla salute” ed alla sua ampiezza interpretativa".

di Simona Loprete "Può essere considerato titolare del trattamento qualsiasi persona fisica o giuridica che influisce, per il perseguimento di propri obiettivi, sul trattamento di dati personali e che, pertanto, partecipa alla determinazione delle finalità e dei mezzi del trattamento".

di Ariella Fonsi "L’utilizzo di sistemi di videosorveglianza da parte di persone fisiche nelle aree inerenti al proprio domicilio e le sue pertinenze è da ritenersi escluso dall’ombrello applicativo del Regolamento, a condizione che: (i) l’ambito di comunicazione dei dati non ecceda la sfera familiare del titolare; (ii) il trattamento non si estenda a luoghi aperti al pubblico o ad aree di pertinenza di terzi".

di Jacopo Purificati "E' il titolare a dover attuare un sistema organizzativo e gestionale contraddistinto da misure effettive ed efficaci di protezione dei dati. Ciò non solo attraverso la puntuale predisposizione della “modulistica privacy” (informative, registro ex art. 30 GDPR, DPA, DPIA, etc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo GDPR".

di Simona Loprete "Non sussiste alcun dubbio sul fatto che un sistema centralizzato a livello nazionale attraverso il quale si realizzano servizi sanitari con strumenti di IA, implichi un tipo di trattamento che presenta un rischio elevato per i diritti e le libertà degli interessati e che, pertanto, richiede una preliminare valutazione di impatto sulla protezione dei dati ai sensi dell’articolo 35 del GDPR".

di Fabiola Iraci Gambazza "L’argomentazione portante della Cassazione poggiava sull’adeguata conoscenza del soggetto, al momento dell’utilizzo dell’algoritmo sulle modalità e finalità del trattamento dei suoi dati e, di conseguenza, che il consenso prestato fosse consapevole ed informato".

di Paola Limatola "Progettare, addestrare, migliorare e far funzionare questi sistemi costa molti soldi, che si ripagano con le informazioni desumibili dai dati raccolti e, in un futuro non molto lontano, con la possibilità di vendere servizi più raffinati e performanti basati su questi strumenti (...). È business, ovviamente, e merita il nostro rispetto, ma deve avvenire nel rispetto della legge".

di Ariella Fonsi "Nel fornire informazioni sui luoghi sorvegliati, i titolari del trattamento possono seguire un approccio “scalare”, fornendo le informazioni più importanti su un segnale di avvertimento (informativa di primo livello) e gli ulteriori dettagli con altri mezzi (informativa di secondo livello)".

di Piera Di Stefano "Nella valutazione di un’istanza di riconoscimento del diritto all’oblio, occorre far riferimento non solo all’elemento costituito dal trascorrere del tempo, ma anche ad ulteriori criteri espressamente individuati nelle “Linee Guida 2014”, nonché delle più recenti Linee Guida n. 5/2019, adottate dallo European Data Protection Board (EDPB) il 7 luglio 2020".

di Simona Loprete "Il dato effettivamente anonimizzato non è soggetto alla disciplina in materia di protezione dei dati personali, tuttavia il Garante sottolinea che, come evidenziato anche dal Comitato europeo per la protezione dei dati, l’anonimizzazione in se costituisce un trattamento di dati personali che deve essere conforme alla normativa vigente in materia di protezione dei dati personali".

di Fabiola Iraci Gambazza "Il caso in questione presenta una situazione pressoché inusuale quanto critica, ossia quella dell’illecita e totalmente non giustificabile condivisione pubblica (quasi pubblicitaria) di tali dati verso un’ampia sfera di soggetti non autorizzati".

di Paola Limatola "Questo tipo di tecnologia si propone di affiancare o sostituire gli esseri umani nel prendere decisioni; la capacità di elaborare grandissime quantità di dati in un tempo relativamente breve la rende veramente preziosa in moltissimi campi. (...) Esistono tuttavia campi e situazioni in cui sembra difficile immaginare che il risultato più probabile di una serie di calcoli e funzioni sia una base sufficiente per prendere una decisione".

di Simona Loprete "L’EDPB ritiene che l’identificazione biometrica a distanza di individui in spazi accessibili al pubblico comporti un elevato rischio di intrusione nella vita privata delle persone e, comportando una sorveglianza di massa, non possa trovare posto in una società democratica".

di Jacopo Purificati "Nella Legge indiana, il soggetto cui si riferiscono i dati è indicato come un vero e proprio Principal, incaricato di presiedere, di dirigere i trattamenti dei suoi dati personali. Non solo diritti, quindi, ma altresì doveri dell’interessato (...), soprattutto con riguardo alle modalità di esercizio dei diritti o di fornitura dei propri dati personali (...)".

di Paola Limatola "Un sistema di IA, per funzionare, (...) ha bisogno di essere addestrato “divorando” una grandissima quantità di informazioni, cioè di dati, e lavora sulla base di informazioni che possono provenire dall’esterno o essere a disposizione, in forma organizzata, all’interno del programma; ha obiettivi e vincoli e può essere in grado di adattarsi agli stimoli esterni, modificando, in base a questi, i propri comportamenti e le proprie decisioni".

di Ariella Fonsi "Per anonimizzazione si intende un’operazione volta a rimuovere ogni elemento personale e ogni possibilità di poter identificare direttamente ed indirettamente l’interessato, talché i dati non possano più essere considerati personali".

di Fabiola Iraci Gambazza "Dagli audit condotti, l’IMY ha confermato che, sulla stessa linea delle altre Autorità europee, lo strumento Google Analytics comporta il trasferimento dei dati i quali consentono, in quanto personali, di identificare univocamente l’interessato".

di Simona Loprete "Una delle tematiche rilevanti nell’ambito dei trattamenti effettuati per i programmi di fidelizzazione è costituita dall’identificazione dei tempi di conservazione che devono essere determinati secondo il principio di proporzionalità per ciascuna delle finalità perseguite".