Garante Privacy: Attività Ispettive per luglio-dicembre 2019

L'Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’"Autorità") ha reso pubblico il piano ispettivo per il secondo semestre del 2019, ossia il periodo da luglio a dicembre 2019. L’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche tramite la Guardia di finanza riguarderà: accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di trattamenti di dati personali effettuati: mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing); da Istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti; da intermediari per la fatturazione elettronica; da società per attività di marketing; da Enti pubblici, con riferimento a banche dati di notevoli dimensioni; da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione; da società rientranti nel settore del “Food Delivery”; da parte di società private in ambito sanitario. controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee relativamente a: presupposti di liceità del trattamento; condizioni per il consenso qualora il trattamento sia basato su tale presupposto; obbligo dell’informativa; durata della conservazione dei dati. L’Autorità, inoltre, presterà anche specifica attenzione a profili sostanziali del trattamento che comportano significativi effetti sugli [...]

2019-10-29T19:04:50+01:0029 Ott 2019|Categorie: Articolo|

Garante Privacy: attività ispettive per il periodo luglio-dicembre 2019

L'Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’"Autorità") ha reso pubblico il Piano Ispettivo per il secondo semestre del 2019, ossia il periodo da luglio a dicembre 2019. L’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche tramite la Guardia di finanza riguarderà: accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di trattamenti di dati personali effettuati: mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing); da istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti; da intermediari per la fatturazione elettronica; da società per attività di marketing; da Enti pubblici, con riferimento a banche dati di notevoli dimensioni; da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione; da società rientranti nel settore del “Food Delivery”; da parte di società private in ambito sanitario. controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee relativamente a: presupposti di liceità del trattamento; condizioni per il consenso qualora il trattamento sia basato su tale presupposto; obbligo dell’informativa; durata della conservazione dei dati. L’Autorità, inoltre, presterà anche specifica attenzione a profili sostanziali del trattamento che comportano significativi effetti sugli [...]

2019-10-29T19:11:31+01:0028 Ott 2019|Categorie: Articolo, In evidenza|Tag: |

Case of Lopez, Ribalda and others v. Spain (Applications nos. 1874-13 and 8567-13)

La Corte Europea dei Diritti dell’Uomo ha stabilito, con provvedimento del 17 ottobre 2019, che l’utilizzo delle telecamere nascoste nei luoghi di lavoro, ove ricorrano determinati presupposti,  non viola la privacy dei dipendenti. La Corte si è pronunciata in merito al ricorso presentato da cinque cassieri di una catena di supermercati spagnola, che erano stati licenziati dopo essere stati ripresi mentre rubavano alcune merci. La Corte ha rilevato, in particolare, che i tribunali spagnoli avevano attentamente bilanciato i diritti dei ricorrenti - dipendenti della catena di supermercati sospettati di furto - e quelli del datore di lavoro, e avevano effettuato un esame approfondito della base giuridica sottesa alla videosorveglianza. Un argomento chiave addotto dai ricorrenti era che non erano stati informati preventivamente in merito alla presenza di telecamere, nonostante l’obbligo previsto dalla legge. Tuttavia la Corte ha ritenuto che tale misura fosse chiaramente giustificata da un ragionevole sospetto di condotte scorrette e dalle perdite subite, tenuto conto dell'entità e delle conseguenze della misura. Pertanto, i giudici nazionali non hanno ecceduto il loro potere discrezionale (il c.d. “margine di discrezionalità”) nel ritenere il controllo effettuato tramite telecamere nascoste, proporzionato e legittimo. In ogni caso, occorre evidenziare che la videosorveglianza occulta è [...]

2019-10-17T22:38:50+01:0017 Ott 2019|Categorie: Articolo, In evidenza|Tag: |

Le Autorizzazioni generali: trattamento di categorie particolari di dati nel rapporto di lavoro

Il Garante per la protezione dei dati personali (il “Garante”), in data 13 dicembre 2018, ha adottato il Provvedimento Generale n. 497, nel quale si è sancita la compatibilità con il Regolamento (UE) 2016/679 (“GDPR”) delle sole prescrizioni contenute nelle autorizzazioni relative a: trattamenti di categorie particolari di dati nei rapporti di lavoro (Autorizzazione generale 1/2016); trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (Autorizzazione generale 3/2016); trattamenti di categorie particolari di dati da parte degli investigatori privati (Autorizzazione generale 6/2016); trattamenti di dati genetici (Autorizzazione generale 8/2016); trattamenti di dati personali effettuati per scopi di ricerca scientifica (Autorizzazione generale 9/2016). Le Autorizzazioni generali n. 2/2016, 4/2016, 5/2016 e 7/2016, considerate non più compatibili con la nuova normativa in materia di protezione dati, hanno cessato di produrre i propri effetti. Il Provvedimento n. 497 è stato successivamente posto in consultazione pubblica al fine di recepire eventuali osservazioni e/o proposte da parte di soggetti interessati, associazioni di categoria e organizzazioni rappresentative dei settori di riferimento. In seguito alla conclusione della predetta fase, il 29 luglio 2019 è stato pubblicato in Gazzetta Ufficiale (GU. Serie Generale n. 176 [...]

2019-10-03T23:14:21+01:0030 Set 2019|Categorie: Articolo, In evidenza|Tag: |

Le Linee Guida sulla videosorveglianza dell’EDPB

Il Comitato Europeo per la protezione dei dati personali (l’”EDPB”) ha recentemente pubblicato le Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi di videosorveglianza (le “Linee guida”). Le Linee Guida hanno lo scopo di fornire orientamenti su come applicare il Regolamento UE 2016/679 (“GDPR”) in tutti i potenziali settori di utilizzo di dispositivi di videosorveglianza. Tra i punti di chiave delle Linee Guida, si segnalano i seguenti aspetti: Ambito di applicazione: l'uso di dispositivi per la videosorveglianza è soggetto all'applicazione del GDPR solo se: una persona può, attraverso il dispositivo di videosorveglianza, essere identificata direttamente o indirettamente; il trattamento non è effettuato dalle Autorità competenti dell’UE a fini di prevenzione, individuazione o perseguimento di reati o esecuzione di sanzioni penali (altrimenti il trattamento rientrerebbe nell'ambito di applicazione della Direttiva (UE) 2016/680); il trattamento non avviene nell’ambito di un’attività puramente personale o domestica. Se il trattamento viene effettuato nell’ambito di tale attività, si applica la cosiddetta “domestic exemption” che, tuttavia, deve sempre essere interpretata in modo restrittivo. Legittimità del trattamento: i titolari del trattamento (i “Titolari”) devono specificare le finalità del trattamento dei dati prima di utilizzare i dispositivi di videosorveglianza. In conformità con il principio di accountability ex [...]

2019-09-16T20:21:48+01:0016 Set 2019|Categorie: Articolo|Tag: |

Modello di notifica di Data Breach

Il Garante per la protezione dei dati personali ha pubblicato un modello da utilizzare per la notifica di violazione dei dati personali (c.d. data breach) prevista dall'art. 33 del GDPR, disponibile qui. I titolari di trattamento dei dati personali sono tenuti a notificare al Garante le violazioni dei dati personali che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell'ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati. La notifica deve essere inviata al Garante tramite posta elettronica all'indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest'ultimo caso la notifica deve essere presentata unitamente alla copia del documento d'identità del firmatario. L'oggetto del messaggio deve contenere obbligatoriamente la dicitura “notifica violazione dati personali” e opzionalmente la denominazione del titolare del trattamento.

2019-08-08T10:48:26+01:0006 Ago 2019|Categorie: Articolo|Tag: , , |

Mercato unico digitale: le linee guida sulla circolazione dei dati non personali

Un framework normativo completo, che ora con la pubblicazione di adeguate linee guida permette di chiarire gli aspetti legati alla circolazione dei dati non personali relativamente al mercato unico digitale. L’entrata in vigore, lo scorso 28 maggio 2019, del Regolamento UE 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea – così detto Free Flow Data Regulation (di seguito il “Regolamento FFD”), ha segnato – come è stato osservato dalla Commissaria europea responsabile per l’Economia e le società digitali Mariya Gabriel – il completamento di “un quadro completo per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea”. Vediamo di che cosa tratta. Regolamento FFD e linee guida Il Regolamento FFD – emanato alla fine dell’iter normativo iniziato con la proposta della Commissione del 19 settembre 2017 – mira infatti a contribuire: alla formazione di un contesto giuridico ed economico stabile in tema di trattamento e circolazione di dati; all’abbattimento delle barriere in materia di mobilità dei dati per le imprese, le amministrazioni pubbliche e i cittadini; ad un migliore sfruttamento del potenziale dell’economia europea dei dati  (c.d. data economy) e alla creazione [...]

2019-07-08T17:47:43+01:0026 Giu 2019|Categorie: Articolo, In evidenza|

Garante Privacy Spagnolo sanziona LaLiga

L’Autorità per la protezione dei dati personali spagnola (l'"Autorità") ha comminato la sanzione di Euro 250.000 alla Liga de Futbòl ("LaLiga"), società che gestisce il campionato di calcio spagnolo, per aver spiato il telefono cellulare di mezzo milione di utenti spagnoli attraverso la propria applicazione ufficiale utilizzando i microfoni remoti e il GPS per individuare i locali che trasmettono partite di calcio senza pagare le licenze corrispondenti. L’app, che richiede il consenso per utilizzare microfono e GPS, è in grado di captare l’audio ambientale così da rilevare se l’utente si trova in un locale che sta trasmettendo la partita, in possesso o meno di un valido abbonamento alla diffusione delle partite. Il modo in cui LaLiga ha informato i suoi utenti di questa procedura è stato considerato opaco e non trasparente dall’Autorità. Poiché, secondo l’Autorità, la funzione di spia dell'applicazione comporta la registrazione dell’audio ambientale, la quale implica la raccolta di dati personali, LaLiga avrebbe dovuto notificare all’utente l'informativa non solo durante l’installazione dell’applicazione, ma ogni volta che attivava questa funzione di raccolta dei dati. L’Autorità afferma che per la natura dei dispositivi mobili l’utente non può ricordare a cosa ha acconsentito e cosa no ogni volta che usa l’app. [...]

2019-07-08T16:54:18+01:0013 Giu 2019|Categorie: Articolo|Tag: |

Implementazione del GDPR nel settore sportivo: lo stato dell’arte

1.     Introduzione Dal 25 maggio 2018 è divenuto pienamente efficace il Regolamento (UE) 2016/679 sulla protezione dei dati personali e sulla loro circolazione (il “Regolamento” o “GDPR”) che ha imposto un radicale cambio di approccio al trattamento e alla protezione dei dati personali delle persone fisiche rispetto alla precedente normativa applicabile in materia all’interno dei singoli Stati membri. Con l’introduzione del principio di “Accountability” di cui agli artt. 5 e 24, il GDPR “responsabilizza” i soggetti attivi del trattamento – in particolare i titolari e i responsabili del trattamento – ponendo in capo a questi ultimi una serie di obblighi generali a cui devono attenersi, dovendo garantire (e ponendosi nelle condizioni di dimostrarlo) che i trattamenti di dati personali da essi svolti rispettino la vigente normativa in materia di protezione dei dati personali. Il rispetto della predetta normativa è, tuttavia, fondamentale, non solo in un’ottica di compliance, ma anche – come vedremo meglio – in una prospettiva di “valorizzazione” dei dati personali trattati sotto ulteriori profili (ad esempio, per l’utilizzo delle proprie banche dati per finalità di natura commerciale, promozionale o per finalità di sviluppo dei propri servizi). Già da quanto sopra illustrato, appare evidente che la riforma introdotta dal [...]

2019-06-11T10:27:49+01:0011 Giu 2019|Categorie: Articolo, In evidenza|

Manuale sul diritto europeo in materia di protezione dei dati

L’Agenzia dell’Unione Europea per i Diritti Fondamentali ha pubblicato la seconda edizione del “Manuale sul diritto europeo in materia di protezione dei dati”. Il Garante Privacy ha collaborato alla realizzazione della versione italiana (disponibile qui). Il Manuale fornisce una panoramica dell'attuale quadro giuridico applicabile a livello europeo in materia di protezione dei dati personali, tenendo conto degli ultimi rilevanti sviluppi normativi (GDPR e la Convenzione 108/81 rivista) nonché della giurisprudenza, ivi incluse le principali sentenze sia della Corte di giustizia dell'Unione europea che della Corte europea dei diritti dell'uomo.

2019-05-20T10:41:34+01:0020 Mag 2019|Categorie: Articolo|Tag: , |

Privacy Sweep: servono ancora sforzi per il pieno rispetto dell’accountability

A partire da settembre 2018, il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ha dato il via al cosiddetto “Privacy Sweep”, ossia una “indagine a tappeto” dedicata, quest’anno, al principio di responsabilizzazione (o “accountability”), introdotto dal GDPR. L’indagine ha carattere internazionale e, infatti, è stata condotta – non solo dall’Autorità italiana ma anche – da diciotto delle altre autorità garanti per la protezione dei dati personali facenti parte del GPEN (“Global Privacy Enforcement Network”)[1]. Dall’indagine è emerso che la maggior parte delle imprese e degli enti pubblici analizzati dalle Autorità garanti per la protezione dei dati personali mostrano una buona comprensione dei concetti base legati al più generale principio di responsabilizzazione. Tuttavia permangono carenze significative in merito alla concreta attuazione di politiche e programmi specifici a tutela della privacy. Ogni Autorità coinvolta ha scelto autonomamente lo specifico settore di analisi, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni. Il Garante italiano ha analizzato Regioni e Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico. Le risultanze raccolte dalle autorità garanti hanno fatto emergere un quadro ancora non soddisfacente in merito alla compliance [...]

2019-05-13T11:27:08+01:0009 Mag 2019|Categorie: Articolo, In evidenza|

Algocrazia: Search Neutrality e trasparenza quali possibili soluzioni contro il “potere dell’algoritmo”?

1. Introduzione: il concetto di algoritmo Una sequenza di ordini e istruzioni chiamate a descrivere nel dettaglio un processo volto, a partire da un input (dati in ingresso) e passando per l'esecuzione di un determinato calcolo (elaborazione), a produrre uno specifico output (dati in uscita o risultato). Questa potrebbe essere in estrema sintesi la definizione di che cosa sia un algoritmo. Nel campo dell’informatica – e, più specificamente, in quello della programmazione – gli algoritmi costituiscono la “logica” di un programma, intesa quale insieme di istruzioni attraverso le quali un programma potrà produrre il risultato (output) per il quale il programma stesso è stato creato, a partire da specifici dati di partenza (input) e attraverso l’elaborazione di tali dati. Gli algoritmi, quindi, rappresentano parte fondamentale, anche se non immediatamente percepibile, di ogni programma eseguito da un elaboratore. 2. Algoritmi ed elaborazione dei dati Tuttavia, con il crescere del numero di società che raccolgono – in particolare sul web – ed elaborano enormi quantità di dati anche personali (cd. Big Data), il concetto di “algoritmo” ha acquisito un significato più specifico e, se vogliamo, circoscritto. In tale contesto, infatti, il concetto di algoritmo non viene più inteso – in maniera ampia [...]

2019-05-11T13:18:41+01:0005 Mag 2019|Categorie: Articolo, In evidenza|

Applicabilità del GDPR ai dati personali dei defunti: la posizione del Garante Privacy

1.     Il contesto fattuale: la richiesta di accesso ai dati del paziente defunto In un parere reso ad una Azienda sanitaria in materia di accesso civico Il Garante per la protezione dei dati personali (il “Garante”) ha affermato il principio secondo il quale le tutele previste dalla normativa in materia di protezione dei dati personali si applicano anche ai dati personali dei soggetti defunti. In particolare, il parere era stato richiesto dal Responsabile della prevenzione, della corruzione e della trasparenza di una Azienda sanitaria, a fronte di una istanza di riesame di un provvedimento di diniego riguardante un accesso civico ai dati sanitari di un paziente deceduto. La richiesta di accesso era stata rivolta all’Azienda sanitaria da parte di una persona attraverso il cosiddetto “FOIA” e mirava ad avere accesso agli atti di audit clinico e agli approfondimenti condotti sul paziente deceduto. Particolarmente riservate le informazioni a cui il richiedente avrebbe potuto avere accesso e, in particolare: dati sul ricovero, sintomi, anamnesi, diagnosi, esami effettuati, alcuni particolarmente invasivi, terapia, farmaci somministrati, credo professato. 2.     Le considerazioni preliminari del Garante Il Garante, prima di affrontare il merito della questione posta, ha svolto alcune considerazioni preliminari. Nello specifico, l’Autorità rileva che il [...]

2019-05-11T12:56:39+01:0015 Apr 2019|Categorie: Articolo|

Il Garante Privacy boccia il braccialetto elettronico per gli operatori ecologici

Il Garante Privacy ha richiesto ad una società che si occupa della raccolta dei rifiuti per conto della municipalizzata di un comune toscano di individuare dispositivi elettronici alternativi che non ledano la dignità della persona e di conformare i trattamenti di dati relativi ai dipendenti ai principi applicabili in materia di protezione dei dati personali. La società aveva consegnato a più di 70 dipendenti addetti alla pulizia delle strade dei dispositivi indossabili dotati anche di un localizzatore gps, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini getta rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo. Lo scopo della società era quello di monitorare il lavoro svolto per l’azienda municipalizzata comunale. Tuttavia, solo in un secondo momento, ossia dopo l’avvio dell’istruttoria del Garante Privacy, la società aveva provveduto a stipulare un accordo sindacale nel quale si stabiliva, tra l’altro, la lettura quotidiana dei tag per ogni turno di lavoro e si limitava l’attivazione del gps al massimo ad un turno di lavoro a settimana, previa comunicazione al lavoratore. Il Garante Privacy, pur ritenendo tale configurazione non in contrasto con i principi di necessità e proporzionalità del Regolamento Ue rispetto alle finalità perseguite dalla società, [...]

2019-05-03T14:26:41+01:0026 Mar 2019|Categorie: Articolo|

Accordo tra Co.RE.Com e Garante Privacy per la tutela dei dati personali e cyberbullismo

In data 21.03.19, è stato firmato il protocollo d’intesa tra Garante Privacy e Co.Re.Com. del Piemonte per la prevenzione e contrasto del fenomeno del cyberbullismo. Il Co.Re.Com agirà quale sportello italiano territoriale per la tutela dei dati personali e il cyberbullismo. Per i primi tre anni, sarà il punto di riferimento a cui i minori potranno rivolgersi per la tutela dei propri diritti. Il protocollo prevede quanto segue: l’organizzazione di iniziative pubbliche che coinvolgano esperti, cittadini e istituzioni tramite corsi, convegni, incontri e momenti di confronto sul fenomeno del cyberbullismo e sulle più efficienti metodologie di prevenzione e di contrasto; diffusione di materiale divulgativo per contribuire al consolidamento della cultura della non violenza e del rispetto della persona mediante la conoscenza di dati documentati in riferimento al cyber bullismo; organizzazione di attività di ricerca; redazione e trasmissione di linee guida, best practices o vademecum, articoli o pubblicazioni scientifiche, con lo scopo di diffondere la cultura della legalità, dell’uso consapevole delle nuove tecnologie, della navigazione sicura e del contrasto al fenomeno del cyberbullismo. Inoltre, il Co.Re.Com, si impegna a veicolare, tramite il sito del Garante, le eventuali segnalazioni o reclami in materia di tutela dei minori e contrasto al cyberbullismo.

2019-05-03T14:26:48+01:0022 Mar 2019|Categorie: Articolo|

Firmata la convenzione tra Garante privacy e ACCREDIA

Sottoscritta da parte del Presidente del Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”), Antonello Soro, e dal Presidente di ACCREDIA[1], Giuseppe Rossi, la convenzione volta a definire i rapporti di collaborazione tra il Garante e ACCREDIA ai fini dello scambio di informazioni e aggiornamenti volti a favorire le attività di accreditamento e certificazione di cui agli artt. 42 e 43 GDPR (la “Convenzione”). Il GDPR, infatti, prevede e incoraggia l’istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità al GDPR dei trattamenti effettuati dai Titolari e dai Responsabili del trattamento. Tali certificazioni sono rilasciate dagli organismi di certificazione previsti dall’art. 43 GDPR (gli “Organismi di Certificazione”) che devono, tuttavia, come prescritto dalla predetta disposizione, essere accreditati dal Garante o da ACCREDIA, organismo nazionale di accreditamento designato dal governo italiano. ACCREDIA costituirà quindi l’organismo che certificherà la conformità di tali Organismi di certificazione alla normativa in materia di protezione dei dati personali. In particolare, ACCREDIA dovrà attestare, in base al parametro costituito dalla norma di accreditamento UNI CEI EN ISO/IEC 17065:2012 – integrata da “requisiti aggiuntivi” che saranno individuati dal Garante sulla base delle linee-guida [...]

2019-05-03T14:27:01+01:0022 Mar 2019|Categorie: Articolo|

EDPB: parere sull’interazione tra direttiva e-Privacy e GDPR

In data 12.03.19, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato un parere sull'interazione tra la Direttiva UE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“Direttiva e-Privacy”) e il regolamento generale sulla protezione dei dati personali (“GDPR”). Il suddetto parere era stato richiesto dall'Autorità belga per la protezione dei dati per avere dei chiarimenti rispettivamente in merito a: competenza, compiti e poteri delle Autorità di controllo per la protezione dei dati personali (le “Autorità”); applicabilità dei meccanismi di cooperazione e coerenza del GDPR nei casi in cui al trattamento dei dati personali si applichi sia il GDPR che la Direttiva e-Privacy. Il parere affronta le seguenti tematiche: (I) l’ambito di applicazione materiale della Direttiva e-Privacy e del GDPR; (II) l’interazione tra le due; (III) la competenza, i compiti e i poteri delle Autorità; e (IV) l’applicabilità ai casi in questione dei meccanismi di cooperazione e coerenza del GDPR. I. Attività di trattamento nell'ambito di applicazione materiale sia della Direttiva e-Privacy che del GDPR. Il parere rileva che vi sono molti esempi di attività di trattamento dei dati che rientrano nell’ambito di applicazione materiale sia della Direttiva e-Privacy [...]

2019-05-07T18:22:39+01:0020 Mar 2019|Categorie: Articolo, In evidenza|

Reddito di cittadinanza e le criticità sulla privacy dei dati dei cittadini

Nella memoria predisposta per la Commissione Permanente del Senato della Repubblica, il Garante Privacy ha evidenziato come alcune disposizioni del decreto-legge sul Reddito di cittadinanza (“Rdc”) e il relativo sito violino la normativa vigente sulla protezione dei dati personali. In particolare: il Rdc implica un trattamento su larga scala di dati personali, incluse categorie particolari di dati personali, riguardanti i richiedenti e i componenti del nucleo familiare, senza aver tenuto in debita considerazione i principi del GDPR quali il principio di trasparenza, minimizzazione dei dati, privacy by design e by default; le disposizioni del decreto-legge, volte alla verifica dei requisiti dei richiedenti il Rdc, prevedono degli accessi a vari archivi tra cui quello dell’INPS e dell’Anagrafe tributaria che implicano un ingente flusso di dati tra varie banche dati, senza però, individuare i soggetti pubblici coinvolti né le misure tecniche e organizzative volte a prevenire accessi indebiti e/o utilizzi fraudolenti dei dati raccolti; il monitoraggio centralizzato e sistematico sull’utilizzo della carta del Rdc e i relativi controlli sulle scelte di consumo sono condotti in assenza di una previa valutazione dei rischi e di criteri definiti; il sito web non soddisfa tutti i requisiti richiesti per l’informativa sul trattamento dei dati e [...]

2019-05-03T14:27:17+01:0011 Mar 2019|Categorie: Articolo|

Privacy, dati personali e sicurezza: rinnovato il protocollo d’intenti tra Garante per la protezione dei dati personali e Servizi segreti

Antonello Soro – presidente del Garante per la protezione dei dati personali – e Gennaro Vecchione – Direttore Generale del Dipartimento delle informazioni per la sicurezza (“DIS”) –, hanno sottoscritto in data 6 marzo 2018 un protocollo d’intenti che conferma e aggiorna le linee dell'intesa istituzionale sottoscritte per la prima volta nel 2013 e rinnovate nel 2017. Il documento è stato rivisto al fine di garantirne la conformità al GDPR e al Decreto Legislativo 18 maggio 2018 n. 51 (attuativo della direttiva 2016/680 relativa alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati”). Obiettivi della nuova versione del protocollo – si legge all’interno del comunicato stampa del Garante (testo integrale) – sono, in particolare, quelli di (i) garantire agevoli interlocuzioni tra Garante e servizi d’intelligence attraverso lo scambio di informazioni nonché (ii) di promuovere buone pratiche in materia di sicurezza cibernetica, frutto delle reciproche collaborazioni con il mondo accademico e della ricerca. A questo fine, il Garante condividerà con il DIS le informazioni concernenti violazioni di dati personali che rilevino [...]

2019-05-03T14:27:25+01:0007 Mar 2019|Categorie: Articolo|Tag: , |

CNIL sanziona Google per violazione delle disposizioni del GDPR

Il 21 gennaio 2019, il Garante Privacy francese (“CNIL”) ha comminato una sanzione di 50 milioni di euro nei confronti della società GOOGLE LLC. Per la prima volta il CNIL ha applicato i nuovi limiti di sanzioni previsti dal GDPR. L'importo deciso e la pubblicità della sanzione sono stati giustificati dal CNIL per la gravità delle violazioni individuate riguardo ai principi essenziali del GDPR: trasparenza, informativa e consenso. Il 25 e il 28 maggio 2018, le associazioni No of Your Business (“NOYB”) e La Quadrature Du Net (“LQDN”) hanno presentato al CNIL due reclami contro GOOGLE, sottolineando la mancanza di una valida base giuridica per il trattamento dei dati personali degli utenti per scopi di targeting pubblicitario. CNIL ha prontamente verificato la conformità delle operazioni di trattamento implementate da GOOGLE con il French Data Protection Act e il GDPR analizzando il modello di navigazione di un utente e i documenti a cui può accedere, quando crea un account GOOGLE, usando Android. Sulla base delle ispezioni effettuate, il CNIL ha individuato due tipi di violazioni del GDPR: Violazione degli obblighi di trasparenza e informativa Le informazioni fornite da GOOGLE non sono facilmente accessibili per gli utenti in quanto le informazioni essenziali [...]

2019-05-07T18:10:42+01:0007 Feb 2019|Categorie: Articolo, In evidenza|Tag: , , |

Data Breach Unicredit: interviene il Garante

1. Il Provvedimento Del Garante In Breve Il Garante per la Protezione dei Dati Personali (o il “Garante”) è intervenuto con il provvedimento n. 499 del 13 dicembre 2018 (o il “Provvedimento”) in merito alla violazione di dati personali (il “Data Breach”) conseguente ad un attacco informatico al sistema di online banking di Unicredit S.p.A. (o “Unicredit”). Il Data Breach ha interessato i REB code (codice identificativo personale per l’accesso al sistema di online banking) di 731.519 clienti della banca (o gli “Interessati”). A seguito del Data Breach il Garante ha ingiunto all’istituto bancario (i) di comunicare il Data Breach dei dati personali agli Interessati a cui non era ancora stata comunicata; (ii) di dare riscontro al Garante in merito a tale comunicazione nonché riguardo alle misure adottate per attenuare i possibili effetti negativi del Data Breach nei confronti degli Interessati. 2. Il contesto fattuale Il 22 ottobre 2018 Unicredit ha notificato al Garante un Data Breach di dati personali ai sensi dell’art. 33 del Regolamento (UE) n. 2016/679 (o il “GDPR”). In particolare il Garante veniva informata che il giorno precedente alla notifica (21 ottobre 2018) i sistemi di controllo interno di Unicredit avevano rilevato dei tentativi, provenienti dall’esterno, di [...]

2019-05-03T21:56:08+01:0002 Feb 2019|Categorie: Articolo|Tag: , , |

Presentate le linee guida del Comitato Consultivo della Convenzione 108/1981

Durante la "Giornata della Protezione dei dati 2019", il Comitato consultivo della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati personali (Convenzione 108/1981), ha fornito dei chiarimenti e suggerimenti sulle linee guida presentate sull’intelligenza artificiale e la protezione dei dati personali. Il Garante Privacy ha ampiamente contribuito alle linee guida e ai lavori del Comitato che presiede dal 2016. Le linee guida raccomandano una serie di misure generali sull’intelligenza artificiale (“IA”) da seguire per garantire che le applicazioni dell’IA non pregiudichino la dignità umana, i diritti umani e le libertà fondamentali di ogni individuo, in particolare per quanto riguarda il diritto alla protezione dei dati personali. Si evidenzia che ogni progetto basato sull’IA dovrebbe rispettare (i) la dignità umana e le libertà fondamentali, incluso il diritto alla protezione dei dati personali, nonché (ii) i principi base di liceità, correttezza, specificazione della finalità, proporzionalità del trattamento, privacy by design e by default, sicurezza dei dati e gestione dei rischi. Tra le indicazioni contenute nelle linee guida si sottolinea che è necessario: adottare un approccio fondato sulla preventiva valutazione dell’impatto che sistemi, software e dispositivi basati sull’IA possono avere sui diritti fondamentali; minimizzare i relativi rischi per i soggetti interessati [...]

2019-05-11T11:45:22+01:0001 Feb 2019|Categorie: Articolo|

Garante per la protezione dei dati personali: la fatturazione elettronica va rivista

Con provvedimento del 15 novembre 2018 n. 9059949, l’Autorità Garante per la protezione dei dati personali (il "Garante") ha avvisato l’Agenzia delle entrate (l'"Agenzia") che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica presentano numerose criticità rispetto alla conformità alla normativa vigente. Alla luce di ciò, il Garante ha chiesto all’Agenzia di essere informato con urgenza sulle modalità con cui quest’ultima intenda rendere la fatturazione elettronica compliant alla normativa applicabile in materia di protezione dei dati personali. Stando a quanto riferito dal Garante, l’obbligo di fatturazione elettronica – che, a partire dal 1 gennaio 2019, verrà esteso anche alle operazioni effettuate tra operatori IVA e alle operazioni tra operatori IVA e consumatori – presenterebbe nell'attuale formulazione un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi ad ogni aspetto della vita quotidiana della totalità della popolazione, e pertanto non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito. È possibile visualizzare il provvedimento del Garante in versione integrale al seguente link. Di seguito, per comodità, si riassumono alcune delle principali criticità rilevate dal Garante: i provvedimenti del [...]

2019-05-03T14:26:03+01:0030 Nov 2018|Categorie: Articolo|Tag: |

DPIA: il parere dell’EDPB sulla bozza dell’elenco del Garante Privacy

In data 3 ottobre 2018 il Comitato europeo per la protezione dei dati personali (“EDPB” o il “Comitato”) ha pubblicato l’“Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment” in riferimento all’elenco sottoposto dal Garante per la protezione dei dati personali con riguardo alle tipologie di trattamento soggette all’esecuzione di una Valutazione d’impatto sulla protezione dei dati personali (“DPIA”) ai sensi dell’art. 35 GDPR. Il Comitato ha il compito di esaminare e armonizzare gli elenchi, al fine di evitare incongruenze che potrebbero incidere sulla protezione equivalente dei soggetti interessati nei vari Stati membri. Pertanto, il Comitato fornisce indicazioni alle Autorità di Controllo al fine di: includere alcune tipologie di trattamento nei loro elenchi; rimuovere alcuni criteri non considerati idonei a presentare un rischio elevato per gli interessati; e infine usare alcuni criteri in modo armonizzato. Il Comitato ha, altresì, indicato nel parere in oggetto, quali correzioni e/o miglioramenti apportare alla lista, riassunti qui di seguito: natura dell’elenco e linee guida WP248 del WP29 sulla DPIA: indicare che la lista è a titolo esemplificativo e far riferimento alle linee guida sulla DPIA del [...]

2019-05-03T14:26:04+01:0030 Nov 2018|Categorie: Articolo|Tag: , , |

Primi risultati dell’indagine conoscitiva sui Big Data

DPIA: il parere dell’EDPB sulla bozza dell’elenco del Garante Privacy A poco più di un anno dall’avvio dell’indagine conoscitiva sui Big Data, l’Autorità Garante della Concorrenza e del Mercato, l’Autorità per le Garanzie nelle Comunicazioni e il Garante per la Protezione dei Dati Personali (le “Autorità”) hanno fornito un’informativa preliminare sulle attività di approfondimento condotte e sulle evidenze emerse. Scopo dell’analisi è quello di comprendere l’impatto economico dell’utilizzo dei Big Data sul mercato, approfondendo il rapporto tra le imprese che forniscono i propri servizi su determinati mercati anche attraverso l’analisi e lo sfruttamento di questi enormi insiemi di dati e gli utenti/consumatori che forniscono i propri dati personali. In particolare, le Autorità hanno indagato la propensione degli utenti a consentire l’uso dei propri dati a fronte dell’erogazione di servizi, affrontando tre questioni principali: (i) il grado di consapevolezza degli utenti delle piattaforme digitali in relazione alla cessione e all’utilizzo dei propri dati individuali; (ii) la disponibilità degli utenti a cedere i propri dati personali come forma di pagamento dei servizi online; (iii) la portabilità dei dati da una piattaforma all’altra. I risultati mostrano che circa 6 utenti su 10 sono consapevoli del fatto che le loro azioni online generano dati [...]

2019-05-03T14:26:04+01:0030 Set 2018|Categorie: Articolo|Tag: , |

Il TAR conferma il profilo eminentemente giuridico del DPO

Con la sentenza n. 287 del 13/09/2018 il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia si è espresso sui requisiti che il Responsabile della Protezione dei dati personali (ormai noto anche come Data Protection Officer o “DPO”) – ovvero la nuova figura prevista dall’art. 37 del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (comunemente denominato anche “GDPR”) – deve possedere per poter partecipare ai processi d selezione indetti dalle pubbliche amministrazioni. In particolare, il TAR ha accolto l’impugnazione del ricorrente che contestava l’individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura di selezione. In primo luogo, il Tribunale amministrativo ha sostenuto che la suddetta non può costituire titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di DPO ai sensi del GDPR, dovendosi altresì considerare che la norma ISO 27001 si applica principalmente con riferimento all’attività di impresa. In secondo luogo ha precisato che la medesima norma, “per quanto possa essere potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; [...]

2019-05-03T14:26:04+01:0030 Set 2018|Categorie: Articolo|Tag: |

Garante Privacy: no al controllo indiscriminato delle email aziendali

Il Garante privacy italiano, con provvedimento n. 53 del 1 febbraio 2018, è intervenuto sul tema del trattamento di dati personali effettuato sugli account di posta elettronica aziendale, stabilendo che le società non possono effettuare un controllo massivo e una conservazione illimitata delle email aziendali dei propri dipendenti. La società, come precisato dal Garante, deve limitarsi a conservare informazioni ai soli fini della tutela dei diritti in un eventuale giudizio pendente. Nel caso di specie l’Autorità si è pronunciata su un reclamo presentato da un dipendente di una società che – a seguito di un provvedimento disciplinare comminatogli, cui era seguito il licenziamento – ha segnalato al Garante che la società in questione accedeva ai dati personali contenuti nelle email, anche di natura privata, scambiate dal reclamante con alcuni colleghi. La società, infatti, conservava sui server aziendali tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai propri dipendenti per l’intera durata del rapporto di lavoro e anche successivamente all’interruzione dello stesso, in vista dell’accesso al contenuto delle stesse materialmente effettuato da parte di soggetti di volta in volta dalla stessa autorizzati. La società è stata ritenuta responsabile di gravi violazioni dall’Autorità, non solo per non aver comunicato ai [...]

2019-05-03T14:27:42+01:0031 Mag 2018|Categorie: Articolo|Tag: , |

WhatsApp si adegua al GDPR: vietato l’accesso per i minori di 16 anni

Anche WhatsApp si è adeguato alla nuova normativa europea in materia di protezione dei dati personali: è stata introdotta l’opportunità di avere accesso alle informazioni raccolte dalla app, cancellando dati e contestando l’analisi di alcune informazioni. Inoltre è stata alzata da 13 a 16 anni l’età minima per l’utilizzo del suo servizio di messaggistica istantanea all’interno dell’Unione europea, in ossequio all’art. 8 GDPR, il quale dispone che il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Il tetto dei 16 anni è applicabile solo all’interno dell’Unione europea, mentre a livello internazionale è mantenuta l’età minima di 13 anni. Sono previste alcune differenze anche per quanto riguarda il responsabile del trattamento dei dati, che si diversifica a seconda che le informazioni vengano gestite nell’area UE o extra UE. Anche la risoluzione dei contenziosi è demandata a diverse sedi e a diverse leggi applicabili a seconda dell’ubicazione, intra o extra UE, dell’utente del servizio. Vi è peraltro da chiedersi se il suddetto divieto legato all’età sia inderogabile: del resto l’applicazione è stata sinora utilizzata anche dagli utenti più piccoli. WhatsApp ha comunque consentito l’accesso al servizio da parte di minori di 16 anni in presenza [...]

2019-05-03T14:27:52+01:0031 Mag 2018|Categorie: Articolo|Tag: |