L'Osservatorio sulle novità legali in materia di protezione dei dati personali, tecnologia, media e telecomunicazioni

Articoli

Brexit, la Commissione europea pubblica due bozze di decisioni di adeguatezza

Lo scorso 19 febbraio 2021, la Commissione europea ha pubblicato due bozze di decisioni di adeguatezza per i trasferimenti di dati personali dall’Unione europea verso il Regno Unito, la prima ai sensi del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“GDPR”) e la seconda ai sensi della Direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati (“Direttiva LED“).

MONTHLY ROUNDUP | I principali aggiornamenti in materia di TMT & Data Protection del mese di maggio 2021

I principali aggiornamenti in materia di TMT & Data Protection del mese di Maggio 2021:

• Qual è la tutela giuridica offerta dalle app per dispositivi mobili, il cui ritmo di sviluppo è davvero vertiginoso?
• Garante privacy: no al controllo indiscriminato dei lavoratori
• The European Commission adopts new tools for safe transfers of personal data

Monthly Roundup | Maggio ’21

Il Garante Privacy sanziona Glovo per 2,6 milioni di Euro per l’utilizzo di un algoritmo discriminatorio

Lo scorso 10 giugno 2021, l’Autorità garante per la protezione dei dati personali (il “Garante Privacy” o l’“Autorità”) ha irrogato una sanzione pecuniaria pari a 2,6 milioni di Euro alla società Foodinho S.r.l. (la “Società” o “Foodinho”), controllata da GlovoApp23, per aver trattato in modo illecito dati personali dei rider anche attraverso l’utilizzo di un algoritmo discriminatorio.

Qual è la tutela giuridica offerta dalle app per dispositivi mobili, il cui ritmo di sviluppo è davvero vertiginoso?

Ne abbiamo parlato su RiskManagment360, analizzando due pronunce della Sezione specializzata in materia di impresa del Tribunale di Milano (caso Business Competence vs Facebook e caso Satispay vs Sisal), in cui i giudici hanno condannato Facebook per violazione dei diritti d’autore e sia Facebook che Sisal per atti di concorrenza sleale parassitaria.

Per maggiori info: https://www.riskmanagement360.it/analisti-ed-esperti/app-mobili-la-tutela-giuridica-caso-business-competence-contro-facebook/ e https://www.riskmanagement360.it/analisti-ed-esperti/app-mobili-la-tutela-giuridica-parte-ii-il-caso-satispay-contro-sisal/

The European Commission adopts new tools for safe transfers of personal data

Pursuant to Article 46(1) lett. c) of the General Data Protection Regulation no. 2016/679 (“GDPR”), the European Commission (“EC”) may adopt standard contractual clauses (“SCCs”) which provide appropriate safeguards for the transfer of personal data to a third country or an international organisation in compliance with the GDPR requirements.

Considering the above, on 4 June 2021, the EC adopted a set of SCCs for the transfer of personal data to third countries.

Garante privacy: no al controllo indiscriminato dei lavoratori

Non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa vigente in materia di privacy e protezione dei dati personali.

È quanto affermato dal Garante Privacy in un provvedimento sanzionatorio emesso nei confronti del Comune di Bolzano (“Comune”), a conclusione di un’istruttoria avviata sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato (“Provvedimento”).

MONTHLY ROUNDUP | I principali aggiornamenti in materia di TMT & Data Protection del mese di Aprile 2021

I principali aggiornamenti in materia di TMT & Data Protection del mese di Aprile 2021:

  • Vaccinazione nei luoghi di lavoro: Documento di Indirizzo del Garante Privacy
  • Riconoscimento facciale: Sari Real Time non è conforme alla normativa sulla privacy
  • Ordinanza Ingiunzione del Garante Privacy per il trattamento di dati personali attraverso un sistema informatico non conforme all’informativa ex art 13 del GDPR.

Vaccinazione nei luoghi di lavoro: Documento di Indirizzo del Garante Privacy

Lo scorso 13 maggio 2021, l’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha adottato un documento di indirizzo sulla vaccinazione dei luoghi di lavoro (“Documento di Indirizzo”), finalizzato alla fornitura di indicazioni generali sul trattamento dei dati personali in tale contesto, in attesa di un definitivo assetto regolatorio.

L’intervento del Garante Privacy si è reso necessario a seguito della sottoscrizione del “Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro” il quale prevede la realizzazione dei piani vaccinali finalizzati all’attivazione di punti straordinari di vaccinazione anti Covid-19 nei luoghi di lavoro.

Riconoscimento facciale: Sari Real Time non è conforme alla normativa sulla privacy

S.A.R.I., cosa è e come funziona

Il Dipartimento di pubblica sicurezza del Ministero dell’Interno (il “Ministero”), nell’ambito delle attività di gestione dell’ordine e mantenimento della sicurezza pubblica, ha proposto l’utilizzo del sistema “S.A.R.I. Real Time” (cd. Sistema Automatico Riconoscimento Immagini, di seguito il “Sistema”) che consente, attraverso una serie di telecamere installate in un’area geografica predeterminata e delimitata, di analizzare in tempo reale i volti dei soggetti ivi ripresi, confrontandoli con una banca dati predefinita per lo specifico servizio (cd.

Ordinanza Ingiunzione del Garante Privacy per il trattamento di dati personali attraverso un sistema informatico non conforme all’informativa ex art 13 del GDPR

In data 15 aprile 2021, l’Autorità garante per la protezione dei dati personali (“Garante Privacy” o “Autorità”), al termine di un procedimento istruttorio condotto dalla stessa, ha emesso un’ordinanza ingiunzione nei confronti della Società Proma S.S.A. S.r.l. (la “Società”) a fronte di un reclamo presentato da Fiom Cgil Molise, su mandato di undici lavoratori dipendenti, nel quale venivano lamentate presunte violazioni della normativa in materia di protezione dei dati personali nell’ambito dell’utilizzo del sistema informatico PPMS (Proma Productivity Management System) da parte della Società (il “Sistema Informatico”).

Direttiva DAC 7: I gestori delle piattaforme online diventeranno collaboratori del Fisco

Lo scorso 25 marzo è stato pubblicato nella Gazzetta Ufficiale dell’UE la direttiva n. 2021/514 (c.d. direttiva “DAC 7”), la quale altro non rappresenta che la sesta modifica all’ormai nota direttiva n. 2011/16/UE sulla cooperazione amministrativa nel settore fiscale tra gli Stati membri.

L’obiettivo dichiarato dell’Unione è quello di migliorare la collaborazione tra i vari Paesi europei nella lotta alla pianificazione fiscale aggressiva di tipo transfrontaliero, per un verso, estendendo la nuova disciplina alle grandi piattaforme digitali e, per altro verso, rafforzando le disposizioni già presenti relative allo scambio di informazioni e alla cooperazione amministrativa.

Palinsesti dei Paesi tuoi: perché l’Europa blocca la liberalizzazione dell’audiovisivo

Quali sono i passi compiuti a livello europeo in tema di mercato unico digitale e, in particolare, di GeoBlocking? Perché l’esclusione dall’ambito di applicazione del regolamento dei contenuti digitali protetti da diritto d’autore?

L’articolo è riportato integralmente sulla rivista “Agenda Digitale” ed è disponibile qui.

La proposta del Digital Green Certificate della Commissione europea e le regole per il trattamento dei dati personali ivi contenuti

Nell’attuale contesto emergenziale causato dalla pandemia da Covid-19, la libertà di circolazione delle persone fisiche all’interno dell’Unione europea non è più immediata, ma condizionata dal rispetto di specifiche misure di sicurezza istituite da ciascun Stato membro per limitare la diffusione del virus, tra le quali la richiesta di certificati medici, i risultati di test diagnostici o le auto-dichiarazioni.

Le differenti misure adottate dagli Stati membri e l’inesistenza di documenti standardizzati validi e riconosciuti su tutto il territorio dell’Unione, hanno generato altresì diversi problemi connessi agli spostamenti dei cittadini, senza contare il ricorso sempre più frequente all’utilizzo di documenti falsi.

Telemarketing aggressivo e illecito trattamento di dati personali: il Garante Privacy interviene nuovamente e sanziona Fastweb per oltre 4 milioni e 500 mila Euro

Continua l’azione dell’Autorità garante per la protezione dei dati personali (“Garante Privacy” o “Autorità”) nei confronti degli operatori di telecomunicazioni contro il fenomeno delle chiamate promozionali indesiderate.

A seguito dei provvedimenti adottati e delle sanzioni irrogate (per un importo complessivo di circa 70 milioni di euro) nel corso del 2020 nei confronti di Eni Gas e Luce, Tim, Wind Tre, Iliad Italia e Vodafone, in data 25 marzo 2021, il Garante Privacy ha adottato un provvedimento nei confronti di Fastweb S.p.A.

La Corte europea dei diritti dell’uomo e le nuove tecnologie – Case law

La Corte europea dei diritti dell’uomo (la “Corte”) è un organo giurisdizionale internazionale, istituito nel 1959 dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (“CEDU” o “Convenzione”). La Corte svolge principalmente due diverse funzioni:

  1. una funzione contenziosa, nell’ambito delle controversie presentate sia con ricorsi individuali sia con ricorsi da parte degli Stati contraenti nei quali si lamenti la violazione di una delle disposizioni della CEDU o dei suoi protocolli addizionali.

FAQ del Garante Privacy in materia di trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo

In data 17 febbraio 2021, l’Autorità garante per la protezione dei dati personali (l’”Autorità” o il “Garante Privacy”) ha pubblicato sul proprio sito internet le FAQ inerenti il trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo (le “FAQ”), disponibili in lingua italiana e inglese.

Attraverso la pubblicazione delle FAQ, il Garante Privacy ha voluto rispondere ad alcune domande frequenti in merito al trattamento di dati personali relativi alla salute, con specifico riferimento ai dati relativi alla vaccinazione anti Covid-19, svolto in ambito lavorativo al fine, in particolare, di:

  • fornire indicazioni utili ad imprese, enti e amministrazioni pubbliche affinché le stesse possano applicare correttamente la disciplina sulla protezione dei dati personali nel contesto emergenziale, anche al fine di prevenire possibili trattamenti illeciti di dati personali e di evitare inutili costi di gestione o possibili effetti discriminatori;
  • fare chiarezza in merito alle misure che possono e non possono essere adottate dai datori di lavoro.

Brexit, la Commissione europea pubblica due bozze di decisioni di adeguatezza

Lo scorso 19 febbraio 2021, la Commissione europea ha pubblicato due bozze di decisioni di adeguatezza per i trasferimenti di dati personali dall’Unione europea verso il Regno Unito, la prima ai sensi del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“GDPR”) e la seconda ai sensi della Direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati (“Direttiva LED“).

Prodotti di lusso e vendite on line: il caso Shiseido vs Amazon

Con l’ordinanza del 19 ottobre 2020, la Sezione Specializzata in Materia di Impresa del Tribunale di Milano è tornata a pronunciarsi in tema di distribuzione selettiva e vendite on line di prodotti di lusso effettuate da Amazon.

Prospettive e criticità della web tax italiana

Nel solco della Legge di Bilancio 2019 (L. n. 145/2018) è stata introdotta l’imposta sui servizi digitali, la quale – almeno nelle intenzioni del legislatore – si è posta il difficile obiettivo di individuare appropriati criteri di imposizione nei confronti dei big player dell’economia digitale.

La disciplina italiana (prevista dai commi da 35 a 50 dell’art. 1 della predetta Legge di Bilancio) è entrata in vigore il primo gennaio del 2020, dopo essere stata in parte rivista dall’art.

Deal Brexit: raggiunto l’accordo di commercio e cooperazione

  1. Introduzione: excursus della Brexit

Il percorso di uscita del Regno Unito (di seguito, “Regno Unito” o “UK”) dall’Unione europea (di seguito, “UE”), c.d. Brexit, è iniziato con il referendum del 23 luglio 2016, attraverso il quale i cittadini inglesi esprimevano la volontà di lasciare l’UE, notificata nel 2017 dal governo inglese al Consiglio europeo.

Il Tribunale di Bologna condanna Deliveroo per l’utilizzo di un algoritmo discriminatorio

Lo scorso 31 dicembre 2020, la sezione lavoro del Tribunale di Bologna ha condannato la società Deliveroo Italia S.r.l. (“Deliveroo” o la “Società”), convenuta in giudizio dalle associazioni sindacali FILMCAS CGIL, NIDIL CGIL, FILT CGIL (i “Sindacati”) per la natura discriminatoria delle condizioni di accesso alle sezioni di lavoro tramite la piattaforma digitale della Società.

Data Breach: il Garante lancia un nuovo servizio online per semplificare gli adempimenti

La violazione dei dati personali  espressamente disciplinata dal Regolamento UE 2016/679 (“GDPR” o il “Regolamento”), consiste in una violazione di sicurezza subìta dal titolare o dal responsabile del trattamento, che comporta, in modo illecito o accidentalmente, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, compromettendo la riservatezza, l’integrità o la disponibilità dei dati personali[1].

Le nuove linee guida del Garante Privacy sull’utilizzo dei cookie e di altri strumenti di tracciamento

Introduzione

Il 10 dicembre 2020, l’Autorità garante per la protezione dei dati personali (“Garante Privacy” o l’”Autorità”) ha avviato una consultazione pubblica sulle “Linee Guida sull’utilizzo dei cookie e di altri strumenti di tracciamento” (“Linee Guida”), destinata a concludersi il prossimo 11 gennaio 2021.

La stessa Autorità era già intervenuta sul tema “cookie” con il Provvedimento n.

FAQ dell’Autorità Garante per la protezione dei dati personali in materia di videosorveglianza e protezione dei dati personali

Videosorveglianza e trattamento di dati personali

Ai sensi dell’art. 4, comma 1, n. 1 e 2 del Regolamento UE 2016/679 (“GDPR”), è considerato “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile ed è considerato un “trattamento” la raccolta, la registrazione e la conservazione di un dato personale e dunque, l’utilizzo delle immagini configura come un trattamento di dati personali.

Transfer of personal data to third countries: clarifications and new measures after the “Schrems II” judgement


With the judgment published on 16 July 2020 (s.c. “Schrems II”), the Court of Justice of the European Union has invalidated the Decision 2016/1250 adopted by the European Commission pursuant to Article 45 of the GDPR on the adequacy of the protection provided by the EU-U.S. Privacy Shield.

Given the legal complexity and economic implications of the aforementioned judgment, the European authorities and institutions have recently published clarifications on the legal framework regarding transfers of personal data to third countries, as well as measures to amend the applicable legislation in the light of the principles set out in the Schrems II judgment.

Telemarketing e illecito trattamento di dati personali: il Garante Privacy sanziona Vodafone per oltre 12 milioni di euro

L’Autorità garante per la protezione dei dati personali (“Garante Privacy” o “Autorità”) – con il provvedimento n. 224 del 12 novembre 2020 – ha irrogato a Vodafone Italia S.p.A. (“Vodafone” o “Società”) una sanzione pecuniaria pari a 12.251.601 euro per aver trattato in modo illecito i dati personali di milioni di utenti a fini di telemarketing.

Industria 4.0: benefici fiscali prorogati fino al 2023

La bozza di legge di bilancio per l’anno 2021 proroga per le imprese residenti in Italia, che effettuano investimenti in beni strumentali nuovi, il credito d’imposta – introdotto dalla legge di bilancio 2020 – con aliquota che varia a seconda dell’investimento.

In particolare, per gli investimenti in:

  • beni materiali nuovi, effettuati tra il 16.11.2020 e il 31.12.2021, è previsto un credito del 10% del costo, nel limite di spesa di € 2 milioni; per quelli effettuati tra il 1.01.2022 e il 31.12.2022, è previsto un credito del 6% del costo, nel limite di spesa di € 2 milioni;
  • beni materiali di cui all’allegato A della legge n.

Trasferimento di dati personali in Paesi extra-UE: nuovi chiarimenti e provvedimenti a seguito della sentenza “Schrems II”

Con la sentenza pubblicata lo scorso 16 luglio 2020 (c.d. “Schrems II”), la Corte di giustizia dell’Unione europea (“CGUE“), da un lato, ha statuito l’invalidità della decisione di adeguatezza adottata dalla Commissione europea ai sensi dell’art. 45 del Regolamento (UE) 2016/679 (“GDPR”) relativa al Privacy Shield, dall’altro, ha ritenuto valida la decisione della Commissione europea relativa alle Standard Contractual Clauses (“SCC”).

Diritto all’oblio: il Garante Privacy conferma la possibilità di ottenere la deindicizzazione per coloro che sono estranei a vicende giudiziarie

Il 15 ottobre 2020, l’Autorità garante per la protezione dei dati personali (“Garante” o l’ “Autorità”) ha ribadito, con due distinti provvedimenti, il principio per il quale una persona ha diritto a vedere deindicizzati dai motori di ricerca gli articoli che riportano vicende giudiziarie risalenti nel tempo alle quali è poi risultata estranea.

Il diritto all’oblio

Giova premettere che per “diritto all’oblio” si intende il diritto ad essere dimenticati e a non vedere il proprio nome associato a fatti o vicende ormai lontane nel tempo.

ICO sanziona Marriott International per 18.4 milioni di sterline

Il 30 ottobre 2020, l’Information Commissioner’s Office (“ICO”), ossia l’Autorità inglese per la protezione dei dati personali, ha sanzionato la catena alberghiera Marriott International (“Marriott”) per 18.4 milioni di sterline (pari circa a 20.4 milioni di euro) per non aver protetto i dati personali di milioni di clienti.

La sanzione si riferisce all’attacco informatico ai sistemi IT di Starwood Hotels (“Starwood”) – società poi acquisita da Marriott subìto nel 2014 e che, provenendo da una fonte sconosciuta, non era stato scoperto sino a settembre 2018.

Dati relativi alle comunicazioni elettroniche: la CGUE esclude la possibilità di trattamenti generalizzati e indiscriminati da parte dello Stato

Lo scorso 6 ottobre, la Corte di Giustizia dell’Unione europea (“CGUE” o “Corte”) si è pronunciata nella causa Privacy International (C-623/17), nonché nelle cause riunite La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18), Ordre des barreaux francophones et germanophone and Others (C-520/18) (congiuntamente, le “Pronunce”), in relazione alla liceità delle normative di taluni Stati membri, che prevedono l’obbligo in capo ai fornitori di servizi di comunicazione elettronica (“Fornitori” o “Provider”) di trasmettere i dati relativi al traffico[1] e all’ubicazione[2] delle persone fisiche che utilizzano un servizio di comunicazione elettronica[3] accessibile al pubblico (“Utenti”) a un’autorità pubblica e/o di conservare tali dati in modo generale o indiscriminato.

Dati relativi alle comunicazioni elettroniche: la CGUE esclude la possibilità di trattamenti generalizzati e indiscriminati da parte dello Stato

Lo scorso 6 ottobre, la Corte di Giustizia dell’Unione europea (“CGUE” o “Corte”) si è pronunciata nella causa Privacy International (C-623/17), nonché nelle cause riunite La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18), Ordre des barreaux francophones et germanophone and Others (C-520/18) (congiuntamente, le “Pronunce”), in relazione alla liceità delle normative di taluni Stati membri, che prevedono l’obbligo in capo ai fornitori di servizi di comunicazione elettronica (“Fornitori” o “Provider”) di trasmettere i dati relativi al traffico[1] e all’ubicazione[2] delle persone fisiche che utilizzano un servizio di comunicazione elettronica[3] accessibile al pubblico (“Utenti”) a un’autorità pubblica e/o di conservare tali dati in modo generale o indiscriminato.

Illecito trattamento di dati personali di partecipanti a un concorso pubblico: il Garante privacy sanziona l’ospedale “A. Caldarelli” di Napoli e la società fornitrice della piattaforma dedicata ai concorsi

L’Autorità garante per la protezione dei dati personali (“Garante privacy” o “Autorità”), a seguito di una segnalazione che lamentava la diffusione di dati personali di candidati a un concorso pubblico, con il provvedimento n. 160 del 17 settembre 2020 ha irrogato all’azienda ospedaliera “A. Cardarelli” di Napoli (“Azienda” o “Committente”) una sanzione pecuniaria pari ad 80.000,00 euro per illecito trattamento di dati personali.

Vendite Delivery: esonero dall’obbligo di certificazione telematica dei corrispettivi

L’Agenzia delle Entrate, con la Risposta a istanza di interpello del 28 settembre 2020,  n. 416 cha chiarito che in caso di “Vendite Delivery”, che rientrano nel c.d. “commercio elettronico indiretto” (cessione a distanza di beni materiali), poiché le fasi di ordinazione, pagamento dei beni da acquistare e, quindi, stipula del contratto di vendita, sono interamente gestite telematicamente tramite app o sito internet, mentre la relativa consegna fisica dei beni avviene mediante modalità tradizionali, si ha l’esonero dall’obbligo di certificazione, anche telematica, dei corrispettivi.

Profilazione illecita: H&M multata per 35 milioni di euro per raccolta di informazioni sulla vita privata dei propri dipendenti

Il 1° ottobre 2020, la Commissione per la protezione dei dati e la libertà di informazione di Amburgo (l’“Autorità”) ha comminato una sanzione pari a circa 35 milioni di euro nei confronti della nota società di moda H&M Hennes & Mauritz Online Shop A.B. & Co KG (la “Società” o “H&M”) per aver monitorato e profilato diverse centinaia di dipendenti, dando luogo quindi a una grave violazione dei diritti dei dipendenti stessi.

Strategia UE per il fintech: la Commissione europea propone un nuovo quadro regolamentare per la resilienza operativa digitale

Lo scorso 24 settembre, la Commissione europea ha pubblicato una proposta di regolamento sulla resilienza operativa digitale nel settore dei servizi finanziari nell’Unione europea, che sostituirà e armonizzerà le disposizioni attualmente esistenti in materia di management dei rischi ICT.

Perimetrazione dei poteri dell’Agcom in tema di telefonia fissa e mobile: il Consiglio di Stato emette un’ordinanza di rinvio alla CGUE

Di recente, il Consiglio di Stato (“Consiglio di Stato” o “Consiglio”) è stato chiamato a pronunciarsi in relazione ai poteri regolatori dell’Autorità per le garanzie nelle comunicazioni (“Agcom”) in tema di telefonia mobile e fissa, esercitati mediante l’adozione di misure relative al periodo di fatturazione e alla conoscibilità, per l’utente, del credito residuo sulla propria SIM.

Piano transazione 4.0.: credito di imposta per le imprese che scommettono su digitalizzazione, investimenti green, R&S, formazione 4.0.

Alle aziende che decidono di effettuare investimenti nell’innovazione nel periodo d’imposta 2020 è riconosciuto un credito d’imposta di vario ammontare a seconda del tipo di investimento realizzato. In particolare, per gli investimenti in beni materiali e immateriali il credito d’imposta è così modulato: 1) beni materiali Industria 4.0: 40% del costo, fino a 2,5 milioni e 20% per investimenti di ammontare superiore a 2,5 milioni di euro e fino a 10 milioni di euro; 2) beni immateriali Industria 4.0 (i.e.

La Cassazione: il danno per violazione della normativa privacy non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”

Con la sentenza n. 17383 del 20 agosto 2020, la Cassazione si è pronunciata sul risarcimento del danno non patrimoniale per violazione dei dati personali ai sensi degli ormai abrogati articoli 11 e 15 del D. Lgs. 196/2003 (“Codice Privacy”), i quali prevedevano la risarcibilità del danno, anche di natura non patrimoniale, cagionato per effetto del trattamento illegittimo dei dati personali.

Casella di posta elettronica dell’ex dipendente: sanzionabile il datore di lavoro che non la elimina

 

Introduzione

L’utilizzo della posta elettronica e di internet sul posto di lavoro è disciplinato dalle “Linee guida del Garante per posta elettronica e internet (“Linee Guida”) pubblicate nel 2007 dall’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”).

Le Linee Guida forniscono indicazioni pratiche ai datori di lavoro sulla gestione della posta elettronica e della rete Internet messe a disposizione ai dipendenti per lo svolgimento delle mansioni loro affidate e hanno lo scopo di contemperare le legittime aspettative di un ordinato svolgimento dell’attività lavorativa con la prevenzione di possibili intrusioni nella sfera personale dei lavoratori, nonché di violazioni della disciplina sull’eventuale segretezza della corrispondenza.

Orientations from the EDPS: body temperature checks by EU institutions in the context of the COVID-19 crisis

INTRODUCTION

To prevent the spread of the Covid-19 contamination, the European Union Institutions (“EUIs”) have implemented, among other necessary health and safety measures (such as masks provision, disinfecting gel, contact tracing by health authorities, etc.), body temperature checks for the EUIs’ staff and visitors.

Due to the fact that such checks can be implemented through a variety of devices and processes and, in some case, they may constitute an interference into individuals’ rights to private life and/or personal data protection, on the 1st September 2020, the European Data Protection Supervisor (“EDPS”) issued orientations on the use of body temperature checks by EUIs (“Guidelines”).

Trasferimenti dei dati personali verso gli Stati Uniti: la sentenza Schrems II

La Corte di Giustizia dell’Unione europea (“CGUE”), con la sentenza del 16 luglio 2020, ha invalidato la decisione 2016/1250 della Commissione UE, la quale considerava “adeguato” il livello di protezione assicurato dal Privacy Shield, meccanismo utilizzato dalle aziende statunitensi e volto a certificare il rispetto di specifici standard nel trattamento dei dati ricevuti dall’Unione europea (“UE”).

Ma chi è l’autore? Dalle opere eseguite dagli allievi, a quelle eseguite dagli artigiani, a quelle create dall’intelligenza artificiale

Una domanda che mi sono fatta tante volte è quella se e in quale misura l’artigiano che esegue materialmente un’opera d’arte per conto dell’artista possa in qualche misura essere considerato coautore della stessa. I più forse considereranno la risposta scontata, mentre altri penseranno trattarsi di mero onanismo giuridico. In realtà trovo l’argomento leggermente più complicato del previsto e comunque carico di conseguenze giuridiche.

MA CHI È L’AUTORE? L’ARTE AL TEMPO DELL’INTELLIGENZA ARTIFICIALE (E NON SOLO)

Una domanda che mi sono fatta tante volte è quella se e in quale misura l’artigiano che esegue materialmente un’opera d’arte per conto dell’artista possa in qualche misura essere considerato coautore della stessa. I più forse considereranno la risposta scontata, mentre altri penseranno trattarsi di mero onanismo giuridico. In realtà trovo l’argomento leggermente più complicato del previsto e comunque carico di conseguenze giuridiche.

Parere del Garante Privacy relativo alle Linee Guida sulla conservazione dei documenti digitali: necessarie maggiori tutele

Nell’ambito della predisposizione da parte dell’Agenzia per l’Italia digitale (di seguito “AgID”) della bozza di “Linee guida per la stesura del piano di cessazione del servizio di conservazione” (“Linee Guida”), le quali si inseriscono nel processo di attuazione del Codice per l’Amministrazione Digitale (“CAD”), il documento è stato sottoposto al parere dell’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”).

Operatori telefonici e trattamenti per finalità promozionali: il Garante Privacy sanziona Wind Tre S.p.A. per 17 milioni di Euro

L’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”), nell’ambito dello svolgimento della sua attività di controllo e a seguito di numerose segnalazioni e reclami da parte degli interessati, con il provvedimento n. 143 del 9 luglio 2020 (il “Provvedimento”), ha irrogato nei confronti della società Wind Tre S.p.A. (la “Società” o “Wind Tre”) una sanzione pari a circa 17 milioni di Euro per trattamenti illeciti di dati personali posti in essere dalla stessa, legati prevalentemente, ma non esclusivamente, ad attività promozionali.

Piattaforme online: nuove regole in materia di trasparenza ed equità nei rapporti B2B a partire dal 12 luglio 2020 con l’applicazione del Regolamento (UE) 2019/1150

A partire dal 12 luglio 2020 si applicherà il Regolamento (UE) 2019/1150 (il “Regolamento”), il quale si pone come obiettivo quello di promuovere la trasparenza e l’equità nei rapporti e nelle condizioni contrattuali tra gli utenti commerciali e i fornitori di servizi di intermediazione online, quali piattaforme online e marketplace digitali, nonché tra gli utenti titolari di siti web aziendali e i motori di ricerca online (i cosiddetti rapporti “B2B” o “Business to Business”).

Two years of application of the GDPR: the European Commission’s evaluation report

On June 26, 2020, the European Commission (the “Commission” or the “EC“) published an evaluation report (“Report”) regarding the two years of application of the General Data Protection Regulation 679/2016 (“GDPR”).

The Report, entitled “Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition”, shows that the GDPR has achieved most of its objectives, in particular by guaranteeing EU citizens a solid set of rights and a better control over their personal data, which are processed for a legitimate purpose, in a lawful, fair and transparent way; by creating a new European system of governance based on stronger and harmonised enforcement powers provided to the independent data protection authorities (“DPAs”) and by strengthening the companies operating within the internal market in a context of an economy increasingly based on the processing of data, including personal data.

L’Autorità spagnola per la protezione dei dati personali sanziona Glovo per mancata nomina del DPO

L’Autorità spagnola per la protezione dei dati personali (di seguito, l’”Autorità”) ha comminato una sanzione pari a 25 mila Euro nei confronti della società spagnola Glovoapp23 SL (la “Società”) famosa per aver sviluppato l’app di consegne a domicilio Glovo (l”’App”) ormai largamente diffusa e utilizzata in tutto il mondo.

La sanzione, comminata a seguito di un’attività istruttoria condotta dall’Autorità, sollecitata a sua volta da numerosi reclami inviati all’Autorità da parte degli utenti dell’App, è stata irrogata per violazione dell’articolo 37 del Regolamento UE 679/2016 (il “GDPR”).

Data breach di Unicredit S.p.A.: il Garante Privacy irroga una sanzione pari a 600 mila Euro

Con ordinanza ingiunzione del 10 giugno 2020, a conclusione di una complessa attività istruttoria avviata a seguito di un data breach subìto e notificato da UniCredit S.p.A. (la “Banca” o “UniCredit”), l’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”) ha inflitto nei confronti della Banca una sanzione pari a 600 mila Euro in ragione degli accertati accessi abusivi ai dati personali superiore a 760 mila clienti.

La pronuncia del Garante Privacy sul “nuovo” Processo Amministrativo Telematico

Il Decreto Legge 30 aprile 2020, n. 28, recante “Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l’introduzione del sistema di allerta Covid-19” (c.d. “Decreto Giustizia”), convertito, con modificazioni, dalla legge 25 giugno 2020, n.

Il Garante Privacy interviene sulla qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza

Il D.Lgs. 231/2001 (il “Decreto”) disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, prevedendo la responsabilità in capo all’ente per i reati commessi nel suo interesse o a suo vantaggio (i) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; (ii) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto (i).

La Corte europea dei diritti dell’uomo e la protezione dei dati personali – Case law

La Corte europea dei diritti dell’uomo (“Corte EDU” o “Corte”) è un organo giurisdizionale internazionale, istituito nel 1959 dalla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali (“CEDU” o “Convenzione”). La Corte EDU svolge principalmente due diverse funzioni:

  1. funzione contenziosa, nell’ambito delle controversie presentate sia con ricorsi individuali sia con ricorsi da parte degli Stati contraenti nei quali si lamenti la violazione di una delle disposizioni della CEDU o dei suoi protocolli addizionali.

Primo provvedimento sanzionatorio dell’Autorità irlandese per la protezione dei dati personali

L’Autorità irlandese per la protezione dei dati personali (di seguito, l’”Autorità”) ha comminato la sua prima sanzione dall’entrata in vigore del Regolamento UE 679/2016 (il “GDPR”), pari a 75 mila Euro, nei confronti di Tusla, l’agenzia di stato per l’infanzia e la famiglia (di seguito, l’”Agenzia”) a seguito di un’indagine condotta dall’Autorità, che ha visto coinvolti tre diversi casi di divulgazione di dati personali di minori a soggetti non autorizzati.

Sanzione del Garante Belga: DPO e conflitti di interesse nel contesto aziendale

In data 28 aprile 2020, l’Autorità belga per la protezione dei dati personali (l’”Autorità Garante Belga” o l’”Autorità”) ha irrogato una sanzione pari a 50 mila Euro nei confronti di una azienda belga (l’”Azienda”) per violazione dei requisiti di indipendenza necessari per lo svolgimento della funzione di “Data Protection Officer” (“DPO”) e conseguente sussistenza di un conflitto di interessi in capo al DPO, come previsto dall’art.

Processo penale da remoto: lettera del Garante Privacy al Ministro della Giustizia

Il presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, a seguito di alcuni quesiti presentati da parte dell’Unione delle Camere Penali in merito alle procedure adottate dal Ministero della Giustizia (“Ministero”) per lo svolgimento delle udienze penali da remoto nel rispetto di quanto previsto dai D.L. n. 11 e n.18 del 2020, ha pubblicato una lettera rivolta al Ministro della Giustizia, On.

Commissione UE: guida sulle app per la lotta contro il COVID-19 e protezione dei dati personali

La Commissione europea (la “Commissione UE“) ha pubblicato la guida “Guidance on Apps supporting the fight against COVID-19 pandemic in relation to data protection” (la “Guida”) che segue alla recente pubblicazione della raccomandazione su un approccio comune dell’Unione europea per l’uso di applicazioni mobili e di dati da dispositivi mobili e accompagna il c.d. “toolbox UE” sulle applicazioni di contact tracing.

Lettera dell’EDPB alla Commissione UE sulle linee guida per le app di contact tracing

A seguito di una richiesta di consultazione da parte della Commissione europea, il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato una lettera – di cui è stato relatore anche l’Autorità Garante per la protezione dei dati personali – nella quale sostiene con favore il progetto della Commissione europea di sviluppare un approccio comune europeo nella lotta contro il COVID-19 tramite app di contact tracing.

Commissione UE: un approccio europeo per le app nell’ambito del COVID-19

In data 8 aprile 2020, la Commissione europea (“Commissione UE“) ha pubblicato una raccomandazione on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data al fine di sviluppare un approccio comune europeo rispetto all’utilizzo di applicazioni mobili e di dati di localizzazione da dispositivi mobili nell’ambito dell’emergenza da COVID-19 (“Raccomandazione”).

Audizione informale del Presidente del Garante Privacy sull’uso delle nuove tecnologie e della rete nell’ambito del COVID-19

In data 8 aprile 2020 si è tenuta l’audizione informale del presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, alla Camera dei Deputati sull’uso delle nuove tecnologie e della rete per contrastare la diffusione del COVID-19.

In particolare, l’intervento del Garante Privacy si è concentrato sui seguenti aspetti:

  • deroghe e misure limitative della protezione dei dati personali;
  • misure relative alla raccolta dei dati sull’ubicazione o sull’interazione dei dispositivi mobili dei soggetti risultati positivi, con altri dispositivi, al fine di analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi, tramite gps, bluetooth e droni;
  • contact tracing.

Dossier COVID-19

La Task Force dello Studio Legale Morri Rossetti dedicata all’emergenza Coronavirus ha pubblicato il Dossier COVID-19, un articolato vademecum sempre aggiornato, che analizza le disposizioni emanate dal Governo e fornisce indicazioni e risposte pragmatiche ai dubbi di imprenditori e manager.

Il Dossier COVID-19, nella sua versione aggiornata, comprende tutte le novità introdotte fino al 31 marzo 2020 ed è consultabile qui.

Garante Privacy: parere sulle modalità di consegna della ricetta medica elettronica

Nell’ambito dell’emergenza epidemiologica da COVID-19, il Garante Privacy ha espresso parere favorevole sullo schema di decreto trasmesso dal Ministero dell’Economia e delle Finanze (“MEF”) da adottare di concerto con il Ministero della salute, relativo alle modalità di consegna al paziente del promemoria dematerializzato della ricetta medica da parte del medico.

Quadro normativo

In particolare:

  • con nota del 26 febbraio 2020, il MEF ha trasmesso, ai sensi dell’art.

Autorità di controllo svedese sanziona Google per violazione del diritto alla cancellazione

L’Autorità di controllo svedese (“Autorità di controllo”) ha irrogato una sanzione amministrativa di 75 milioni di corone svedesi (circa 7 milioni di Euro) a Google, in qualità di operatore di motore di ricerca, per non aver adempiuto agli obblighi previsti dal Regolamento generale UE sulla protezione dei dati personali 679/2016 (“GDPR”) in materia di diritto alla cancellazione, e più specificamente, alla deindicizzazione (c.d.

Autorità di controllo croata: sanziona un istituto di credito per violazione del diritto di accesso dei soggetti interessati

L’autorità croata per la protezione dei dati personali (“AZOP”) ha irrogato una sanzione amministrativa di 20 milioni di Euro ad un istituto di credito per aver negato il diritto di accesso dei soggetti interessati, riconosciuto loro dall’art. 15 del Regolamento UE 679/2016 (“GDPR”).

A partire da ottobre 2018, l’AZOP ha ricevuto numerosi reclami da parte di soggetti interessati riguardanti uno degli istituti di credito croati con sede a Zagabria.

L’EDPB interviene sul tema Covid-19: in situazioni di emergenza non è necessario il consenso al trattamento dei dati personali

In data 16 marzo 2020, anche l’European Data Protection Board (“EDPB”) è intervenuto sul tema Covid-19 e trattamento dei dati personali. In particolare, l’EDPB ha sottolineato come, dal momento che le misure d’emergenza adottate dai governi europei per contenere la pandemia implicano il trattamento dei dati personali, tale trattamento si fonderà su basi giuridiche diverse rispetto al consenso degli interessati.

Protocollo Covid-19 negli ambienti di lavoro

E’ stato sottoscritto il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro” su invito del Presidente del Consiglio dei ministri, del Ministro dell’economia, del Ministro del lavoro e delle politiche sociali, del Ministro dello sviluppo economico e del Ministro della salute a seguito dell’intesa con i sindacati e Confindustria.

Coronavirus: Garante Privacy, no a iniziative “fai da te” nella raccolta dei dati di soggetti pubblici e privati

A seguito dell’emergenza “Coronavirus”, l’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha ricevuto numerosi quesiti da parte di soggetti, sia pubblici che privati, in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio.

Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Ospedaliera Universitaria Integrata di Verona

L’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), con il Provvedimento n. 18 del 23 gennaio 2020, ha irrogato una sanzione pari a 30 mila Euro nei confronti dell’Azienda Ospedaliera Universitaria Integrata di Verona (l’”Azienda”) a seguito di tre episodi di violazione di dati personali avvenuti all’interno dell’Azienda e comunicati dalla stessa al Garante Privacy.

Garante Privacy: sanziona l’Università degli Studi di Roma “La Sapienza” per la divulgazione dei dati personali dei segnalanti di condotte illecite-23 gennaio 2020

Il caso sottoposto all’esame dell’Autorità Garante per la protezione dei dati personali:

Nel dicembre 2018 l’Università degli Studi di Roma La Sapienza (“Ateneo”) notificava all’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) l’avvenuta diffusione di dati personali trattati per il tramite della piattaforma che l’Ateneo utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi nell’ambito della disciplina del c.d.

Garante Privacy: Piano ispettivo per il primo semestre del 2020

L’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha approvato il piano ispettivo per il periodo gennaio-giugno 2020, che sarà svolto anche con l’ausilio del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza.

In particolare, l’attività ispettiva del Garante Privacy riguarderà:

  • trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. “medicina di iniziativa”;
  • trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario;
  • trattamento di dati personali effettuati nel quadro dei servizi bancari on-line;
  • trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d.

ENISA: uno strumento per la valutazione del rischio di sicurezza

In occasione della Giornata della protezione dei dati personali, il 28 gennaio 2020, l’Agenzia europea per la cyber sicurezza (“ENISA”) ha reso disponibile uno strumento di valutazione del rischio di sicurezza (“Tool”), ai sensi dell’art. 32 del Regolamento UE 679/2016 (“GDPR”), elaborato da un gruppo di lavoro cui ha partecipato anche l’Autorità Garante per la protezione dei dati personali (“Garante Privacy”).

Marketing: il Garante privacy sanziona Tim S.p.A. per 27 milioni e 800 mila Euro

L’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”) ha irrogato una sanzione pari a 27 milioni e 800 mila Euro nei confronti di TIM S.p.A. (“TIM” o la “Società”) a seguito di numerosi trattamenti effettuati, nell’ambito di attività di marketing, in violazione delle norme del Regolamento UE 679/2016 (“GDPR”), in considerazione, altresì, dell’elevato numero di soggetti coinvolti.

Sanzione del Garante Privacy contro Eni Gas e Luce S.p.A.

L’Autorità Garante per la protezione dei dati personali (il “Garante Privacy“) ha irrogato due sanzioni, per complessivi 11,5 milioni di Euro, nei confronti di Eni Gas e Luce S.p.A (“Eni”) a seguito di violazioni commesse nell’ambito di attività promozionali e della conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas.

Nella determinazione delle sanzioni, sono stati considerati i criteri indicati nel Regolamento UE 679/2016 (il “GDPR”), quali l’elevato numero dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione e le condizioni economiche di Eni.

Bozza di posizione del Consiglio dell’Unione Europea sull’applicazione del GDPR

Recentemente i membri delle Rappresentanze permanenti degli Stati membri dell’UE presso il Consiglio dell’Unione europea (il “Consiglio”) hanno pubblicato una bozza di posizione sull’applicazione del Regolamento UE 679/2016 (il “GDPR”). Dopo che tale progetto sarà stato formalmente adottato dal Consiglio, sarà trasmesso alla Commissione Europea (la “Commissione”). Ciò fa parte del processo di valutazione del GDPR ai sensi dell’articolo 97 dello stesso, che prevede che la Commissione pubblichi una relazione sulla valutazione e la revisione del GDPR entro il 25 maggio 2020.

TAR LAZIO: lo scambio di dati personali con un’App configura un contratto

La recente sentenza del Tar, n. 261/2020, pubblicata il 10 gennaio 2020, ha stabilito che il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili dai suoi dati potranno essere usate per fini commerciali e, in quanto tali, dovranno considerarsi la “contro-prestazione” dei servizi offerti su internet.

Nel caso di specie, l’AGCM aveva avviato un procedimento istruttorio nei confronti di Facebook Inc e Facebook Ireland Ltd.

ICO sanziona una farmacia per l’archiviazione imprudente dei dati dei clienti

Il Garante Privacy inglese (l’”ICO”) ha multato Doorstep Dispensaree Ltd. (“Doorstep”), una farmacia con sede a Londra, con una sanzione di 275 mila Sterline per non aver garantito la sicurezza di categorie particolari di dati e per non aver informato adeguatamente i soggetti interessati.

In particolare, sono stati violati rispettivamente i seguenti articoli del Regolamento UE 679/ 2016 (“GDPR“):

  • artt.

Garante Privacy: Attività Ispettive per luglio-dicembre 2019

L’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”) ha reso pubblico il piano ispettivo per il secondo semestre del 2019, ossia il periodo da luglio a dicembre 2019.

L’attività ispettiva di iniziativa curata dall’Ufficio del Garante Privacy, anche tramite la Guardia di Finanza riguarderà:

  1. accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di trattamenti di dati personali effettuati:
    • mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d.

Case of Lopez, Ribalda and others v. Spain (Applications nos. 1874-13 and 8567-13)

La Corte Europea dei Diritti dell’Uomo (di seguito, la “Corte“) ha stabilito, con provvedimento del 17 ottobre 2019, che l’utilizzo delle telecamere nascoste nei luoghi di lavoro, ove ricorrano determinati presupposti,  non viola la privacy dei dipendenti.

La Corte si è pronunciata in merito al ricorso presentato da cinque cassieri di una catena di supermercati spagnola, che erano stati licenziati dopo essere stati ripresi mentre rubavano alcune merci.

Le Autorizzazioni generali: trattamento di categorie particolari di dati nel rapporto di lavoro

Il Garante per la protezione dei dati personali (il “Garante”), in data 13 dicembre 2018, ha adottato il Provvedimento Generale n. 497, nel quale si è sancita la compatibilità con il Regolamento (UE) 2016/679 (“GDPR”) delle sole prescrizioni contenute nelle autorizzazioni relative a:

  • trattamenti di categorie particolari di dati nei rapporti di lavoro (Autorizzazione generale 1/2016);
  • trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (Autorizzazione generale 3/2016);
  • trattamenti di categorie particolari di dati da parte degli investigatori privati (Autorizzazione generale 6/2016);
  • trattamenti di dati genetici (Autorizzazione generale 8/2016);
  • trattamenti di dati personali effettuati per scopi di ricerca scientifica (Autorizzazione generale 9/2016).

Modello di notifica di Data Breach

Il Garante per la protezione dei dati personali ha pubblicato un modello da utilizzare per la notifica di violazione dei dati personali (c.d. data breach) prevista dall’art. 33 del GDPR, disponibile qui.

I titolari di trattamento dei dati personali sono tenuti a notificare al Garante le violazioni dei dati personali che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi,
conservati o comunque trattati, anche nell’ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.

Mercato unico digitale: le linee guida sulla circolazione dei dati non personali

Un framework normativo completo, che ora con la pubblicazione di adeguate linee guida permette di chiarire gli aspetti legati alla circolazione dei dati non personali relativamente al mercato unico digitale.

L’entrata in vigore, lo scorso 28 maggio 2019, del Regolamento UE 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea – così detto Free Flow Data Regulation (di seguito il “Regolamento FFD”), ha segnato – come è stato osservato dalla Commissaria europea responsabile per l’Economia e le società digitali Mariya Gabriel – il completamento di “un quadro completo per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea”.

Garante Privacy Spagnolo sanziona LaLiga

L’Autorità per la protezione dei dati personali spagnola (l'”Autorità“) ha comminato la sanzione di Euro 250.000 alla Liga de Futbòl (“LaLiga“), società che gestisce il campionato di calcio spagnolo, per aver spiato il telefono cellulare di mezzo milione di utenti spagnoli attraverso la propria applicazione ufficiale utilizzando i microfoni remoti e il GPS per individuare i locali che trasmettono partite di calcio senza pagare le licenze corrispondenti.

Implementazione del GDPR nel settore sportivo: lo stato dell’arte

1.     Introduzione

Dal 25 maggio 2018 è divenuto pienamente efficace il Regolamento (UE) 2016/679 sulla protezione dei dati personali e sulla loro circolazione (il “Regolamento” o “GDPR”) che ha imposto un radicale cambio di approccio al trattamento e alla protezione dei dati personali delle persone fisiche rispetto alla precedente normativa applicabile in materia all’interno dei singoli Stati membri.

Manuale sul diritto europeo in materia di protezione dei dati

L’Agenzia dell’Unione Europea per i Diritti Fondamentali ha pubblicato la seconda edizione del “Manuale sul diritto europeo in materia di protezione dei dati”. Il Garante Privacy ha collaborato alla realizzazione della versione italiana (disponibile qui).

Il Manuale fornisce una panoramica dell’attuale quadro giuridico applicabile a livello europeo in materia di protezione dei dati personali, tenendo conto degli ultimi rilevanti sviluppi normativi (GDPR e la Convenzione 108/81 rivista) nonché della giurisprudenza, ivi incluse le principali sentenze sia della Corte di giustizia dell’Unione europea che della Corte europea dei diritti dell’uomo.

Privacy Sweep: servono ancora sforzi per il pieno rispetto dell’accountability

A partire da settembre 2018, il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ha dato il via al cosiddetto “Privacy Sweep”, ossia una “indagine a tappeto” dedicata, quest’anno, al principio di responsabilizzazione (o “accountability”), introdotto dal GDPR. L’indagine ha carattere internazionale e, infatti, è stata condotta – non solo dall’Autorità italiana ma anche – da diciotto delle altre autorità garanti per la protezione dei dati personali facenti parte del GPEN (“Global Privacy Enforcement Network”)[1].

Algocrazia: Search Neutrality e trasparenza quali possibili soluzioni contro il “potere dell’algoritmo”?

1. Introduzione: il concetto di algoritmo

Una sequenza di ordini e istruzioni chiamate a descrivere nel dettaglio un processo volto, a partire da un input (dati in ingresso) e passando per l’esecuzione di un determinato calcolo (elaborazione), a produrre uno specifico output (dati in uscita o risultato). Questa potrebbe essere in estrema sintesi la definizione di che cosa sia un algoritmo.

Applicabilità del GDPR ai dati personali dei defunti: la posizione del Garante Privacy

1.     Il contesto fattuale: la richiesta di accesso ai dati del paziente defunto

In un parere reso ad una Azienda sanitaria in materia di accesso civico Il Garante per la protezione dei dati personali (il “Garante”) ha affermato il principio secondo il quale le tutele previste dalla normativa in materia di protezione dei dati personali si applicano anche ai dati personali dei soggetti defunti.

Il Garante Privacy boccia il braccialetto elettronico per gli operatori ecologici

Il Garante Privacy ha richiesto ad una società che si occupa della raccolta dei rifiuti per conto della municipalizzata di un comune toscano di individuare dispositivi elettronici alternativi che non ledano la dignità della persona e di conformare i trattamenti di dati relativi ai dipendenti ai principi applicabili in materia di protezione dei dati personali.

La società aveva consegnato a più di 70 dipendenti addetti alla pulizia delle strade dei dispositivi indossabili dotati anche di un localizzatore gps, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini getta rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo.

Accordo tra Co.RE.Com e Garante Privacy per la tutela dei dati personali e cyberbullismo

In data 21.03.19, è stato firmato il protocollo d’intesa tra Garante Privacy e Co.Re.Com. del Piemonte per la prevenzione e contrasto del fenomeno del cyberbullismo. Il Co.Re.Com agirà quale sportello italiano territoriale per la tutela dei dati personali e il cyberbullismo. Per i primi tre anni, sarà il punto di riferimento a cui i minori potranno rivolgersi per la tutela dei propri diritti.

Firmata la convenzione tra Garante privacy e ACCREDIA

Sottoscritta da parte del Presidente del Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”), Antonello Soro, e dal Presidente di ACCREDIA[1], Giuseppe Rossi, la convenzione volta a definire i rapporti di collaborazione tra il Garante e ACCREDIA ai fini dello scambio di informazioni e aggiornamenti volti a favorire le attività di accreditamento e certificazione di cui agli artt.

EDPB: parere sull’interazione tra direttiva e-Privacy e GDPR

In data 12.03.19, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato un parere sull’interazione tra la Direttiva UE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“Direttiva e-Privacy”) e il regolamento generale sulla protezione dei dati personali (“GDPR”).

Il suddetto parere era stato richiesto dall’Autorità belga per la protezione dei dati per avere dei chiarimenti rispettivamente in merito a:

  • competenza, compiti e poteri delle Autorità di controllo per la protezione dei dati personali (le “Autorità”);
  • applicabilità dei meccanismi di cooperazione e coerenza del GDPR nei casi in cui al trattamento dei dati personali si applichi sia il GDPR che la Direttiva e-Privacy.

Reddito di cittadinanza e le criticità sulla privacy dei dati dei cittadini

Nella memoria predisposta per la Commissione Permanente del Senato della Repubblica, il Garante Privacy ha evidenziato come alcune disposizioni del decreto-legge sul Reddito di cittadinanza (“Rdc”) e il relativo sito violino la normativa vigente sulla protezione dei dati personali.

In particolare:

  1. il Rdc implica un trattamento su larga scala di dati personali, incluse categorie particolari di dati personali, riguardanti i richiedenti e i componenti del nucleo familiare, senza aver tenuto in debita considerazione i principi del GDPR quali il principio di trasparenza, minimizzazione dei dati, privacy by design e by default;
  2. le disposizioni del decreto-legge, volte alla verifica dei requisiti dei richiedenti il Rdc, prevedono degli accessi a vari archivi tra cui quello dell’INPS e dell’Anagrafe tributaria che implicano un ingente flusso di dati tra varie banche dati, senza però, individuare i soggetti pubblici coinvolti né le misure tecniche e organizzative volte a prevenire accessi indebiti e/o utilizzi fraudolenti dei dati raccolti;
  3. il monitoraggio centralizzato e sistematico sull’utilizzo della carta del Rdc e i relativi controlli sulle scelte di consumo sono condotti in assenza di una previa valutazione dei rischi e di criteri definiti;
  4. il sito web non soddisfa tutti i requisiti richiesti per l’informativa sul trattamento dei dati e presenta alcune carenze nelle modalità tecniche della sua implementazione, permettendo un’indebita e non trasparente comunicazione a terzi dei dati di navigazione dei visitatori del sito;
  5. la disciplina sul rilascio delle attestazioni ISEE non garantisce la sicurezza dei dati contenuti nell’Anagrafe Tributaria e nell’archivio dei rapporti finanziari dell’Agenzia delle entrate, stante la mancata previsione di idonee misure tecniche e organizzative.

Privacy, dati personali e sicurezza: rinnovato il protocollo d’intenti tra Garante per la protezione dei dati personali e Servizi segreti

Antonello Soro – presidente del Garante per la protezione dei dati personali – e Gennaro Vecchione – Direttore Generale del Dipartimento delle informazioni per la sicurezza (“DIS”) –, hanno sottoscritto in data 6 marzo 2018 un protocollo d’intenti che conferma e aggiorna le linee dell’intesa istituzionale sottoscritte per la prima volta nel 2013 e rinnovate nel 2017.

Il documento è stato rivisto al fine di garantirne la conformità al GDPR e al Decreto Legislativo 18 maggio 2018 n.

CNIL sanziona Google per violazione delle disposizioni del GDPR

Il 21 gennaio 2019, il Garante Privacy francese (“CNIL”) ha comminato una sanzione di 50 milioni di euro nei confronti della società GOOGLE LLC.

Per la prima volta il CNIL ha applicato i nuovi limiti di sanzioni previsti dal GDPR. L’importo deciso e la pubblicità della sanzione sono stati giustificati dal CNIL per la gravità delle violazioni individuate riguardo ai principi essenziali del GDPR: trasparenza, informativa e consenso.

Data Breach Unicredit: interviene il Garante

1. Il Provvedimento Del Garante In Breve

Il Garante per la Protezione dei Dati Personali (o il “Garante”) è intervenuto con il provvedimento n. 499 del 13 dicembre 2018 (o il “Provvedimento”) in merito alla violazione di dati personali (il “Data Breach”) conseguente ad un attacco informatico al sistema di online banking di Unicredit S.p.A.

Presentate le linee guida del Comitato Consultivo della Convenzione 108/1981

Durante la “Giornata della Protezione dei dati 2019“, il Comitato consultivo della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati personali (Convenzione 108/1981), ha fornito dei chiarimenti e suggerimenti sulle linee guida presentate sull’intelligenza artificiale e la protezione dei dati personali. Il Garante Privacy ha ampiamente contribuito alle linee guida e ai lavori del Comitato che presiede dal 2016.

Garante per la protezione dei dati personali: la fatturazione elettronica va rivista

Con provvedimento del 15 novembre 2018 n. 9059949, l’Autorità Garante per la protezione dei dati personali (il “Garante“) ha avvisato l’Agenzia delle entrate (l'”Agenzia“) che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica presentano numerose criticità rispetto alla conformità alla normativa vigente. Alla luce di ciò, il Garante ha chiesto all’Agenzia di essere informato con urgenza sulle modalità con cui quest’ultima intenda rendere la fatturazione elettronica compliant alla normativa applicabile in materia di protezione dei dati personali.

DPIA: il parere dell’EDPB sulla bozza dell’elenco del Garante Privacy

In data 3 ottobre 2018 il Comitato europeo per la protezione dei dati personali (“EDPB” o il “Comitato”) ha pubblicato l’“Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment” in riferimento all’elenco sottoposto dal Garante per la protezione dei dati personali con riguardo alle tipologie di trattamento soggette all’esecuzione di una Valutazione d’impatto sulla protezione dei dati personali (“DPIA”) ai sensi dell’art.

Primi risultati dell’indagine conoscitiva sui Big Data

DPIA: il parere dell’EDPB sulla bozza dell’elenco del Garante Privacy

A poco più di un anno dall’avvio dell’indagine conoscitiva sui Big Data, l’Autorità Garante della Concorrenza e del Mercato, l’Autorità per le Garanzie nelle Comunicazioni e il Garante per la Protezione dei Dati Personali (le “Autorità”) hanno fornito un’informativa preliminare sulle attività di approfondimento condotte e sulle evidenze emerse.

Scopo dell’analisi è quello di comprendere l’impatto economico dell’utilizzo dei Big Data sul mercato, approfondendo il rapporto tra le imprese che forniscono i propri servizi su determinati mercati anche attraverso l’analisi e lo sfruttamento di questi enormi insiemi di dati e gli utenti/consumatori che forniscono i propri dati personali.

Il TAR conferma il profilo eminentemente giuridico del DPO

Con la sentenza n. 287 del 13/09/2018 il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia si è espresso sui requisiti che il Responsabile della Protezione dei dati personali (ormai noto anche come Data Protection Officer o “DPO”) – ovvero la nuova figura prevista dall’art. 37 del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (comunemente denominato anche “GDPR”) – deve possedere per poter partecipare ai processi d selezione indetti dalle pubbliche amministrazioni.

Garante Privacy: no al controllo indiscriminato delle email aziendali

Il Garante privacy italiano, con provvedimento n. 53 del 1 febbraio 2018, è intervenuto sul tema del trattamento di dati personali effettuato sugli account di posta elettronica aziendale, stabilendo che le società non possono effettuare un controllo massivo e una conservazione illimitata delle email aziendali dei propri dipendenti. La società, come precisato dal Garante, deve limitarsi a conservare informazioni ai soli fini della tutela dei diritti in un eventuale giudizio pendente.

WhatsApp si adegua al GDPR: vietato l’accesso per i minori di 16 anni

Anche WhatsApp si è adeguato alla nuova normativa europea in materia di protezione dei dati personali: è stata introdotta l’opportunità di avere accesso alle informazioni raccolte dalla app, cancellando dati e contestando l’analisi di alcune informazioni. Inoltre è stata alzata da 13 a 16 anni l’età minima per l’utilizzo del suo servizio di messaggistica istantanea all’interno dell’Unione europea, in ossequio all’art.