Parere del Garante Privacy relativo alle Linee Guida sulla conservazione dei documenti digitali: necessarie maggiori tutele

2020-07-30T18:06:56+02:0030 Lug 2020|Categorie: Articolo|Tag: , |

Nell’ambito della predisposizione da parte dell’Agenzia per l’Italia digitale (di seguito “AgID”) della bozza di “Linee guida per la stesura del piano di cessazione del servizio di conservazione” (“Linee Guida”), le quali si inseriscono nel processo di attuazione del Codice per l’Amministrazione Digitale (“CAD”), il documento è stato sottoposto al parere dell’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”). Le Linee Guida sono volte a implementare la gestione digitale dei procedimenti amministrativi, garantendo la corretta amministrazione dei documenti dalla produzione alla conservazione degli stessi. Il documento si inserisce, infatti, nel più ampio processo di digitalizzazione che vede coinvolta la pubblica amministrazione, i soggetti privati e, in generale, tutto il Paese. In particolare, la bozza di Linee Guida, che si compone di 6 allegati tecnici, individua le regole tecniche e di indirizzo che consentono al soggetto accreditato (“Soggetto Accreditato” o “Conservatore”) di porre in essere una corretta conservazione dei documenti informatici, quali a titolo esemplificativo, i documenti contabili e le dichiarazioni fiscali, e di predisporre un piano per la corretta migrazione dei dati che eviti perdite di informazioni, sia in caso di cessazione del servizio di conservazione sia in caso di revoca dell’accreditamento da parte dell’AgID nei confronti [...]

Operatori telefonici e trattamenti per finalità promozionali: il Garante Privacy sanziona Wind Tre S.p.A. per 17 milioni di Euro

2020-07-30T18:04:08+02:0030 Lug 2020|Categorie: Articolo|Tag: , , , |

L’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”), nell’ambito dello svolgimento della sua attività di controllo e a seguito di numerose segnalazioni e reclami da parte degli interessati, con il provvedimento n. 143 del 9 luglio 2020 (il “Provvedimento”), ha irrogato nei confronti della società Wind Tre S.p.A. (la “Società” o “Wind Tre”) una sanzione pari a circa 17 milioni di Euro per trattamenti illeciti di dati personali posti in essere dalla stessa, legati prevalentemente, ma non esclusivamente, ad attività promozionali.   In aggiunta, il Provvedimento ha comportato la determinazione della sanzione nei confronti della Società anche alla luce di alcuni trattamenti illeciti effettuati da quest’ultima emersi a seguito di un secondo e parallelo procedimento istruttorio, avviato a seguito di segnalazioni pervenute all’Autorità, inerente alcuni aspetti delle attività promozionali poste in essere per conto della stessa dalla filiera di subagenti e partner commerciali della Società (il “Procedimento Parallelo”). Il Procedimento Parallelo ha determinato l’irrogazione di una sanzione pari a 200 mila Euro – nonché il conseguente divieto di utilizzo dei dati raccolti e trattati – nei confronti di uno dei partner di Wind Tre, il quale aveva sub-affidato intere fasi dei trattamenti effettuati ad alcuni [...]

Two years of application of the GDPR: the European Commission’s evaluation report

2020-07-16T15:31:19+02:0030 Giu 2020|Categorie: Articolo|

On June 26, 2020, the European Commission (the “Commission” or the "EC") published an evaluation report (“Report”) regarding the two years of application of the General Data Protection Regulation 679/2016 (“GDPR”). The Report, entitled “Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition”, shows that the GDPR has achieved most of its objectives, in particular by guaranteeing EU citizens a solid set of rights and a better control over their personal data, which are processed for a legitimate purpose, in a lawful, fair and transparent way; by creating a new European system of governance based on stronger and harmonised enforcement powers provided to the independent data protection authorities (“DPAs”) and by strengthening the companies operating within the internal market in a context of an economy increasingly based on the processing of data, including personal data. Moreover, the GDPR has also proved to be a flexible tool in supporting digital solutions in unforeseen circumstances such as the Covid-19 crisis while still ensuring a high level of protection of personal data. This article provides a brief summary of some aspects of particular interest arisen from the Report concerning both the achieved objectives and the identified [...]

Data breach di Unicredit S.p.A.: il Garante Privacy irroga una sanzione pari a 600 mila Euro

2020-07-13T11:53:15+02:0020 Giu 2020|Categorie: Articolo|Tag: , , |

Con ordinanza ingiunzione del 10 giugno 2020, a conclusione di una complessa attività istruttoria avviata a seguito di un data breach subìto e notificato da UniCredit S.p.A. (la “Banca” o “UniCredit”), l’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”) ha inflitto nei confronti della Banca una sanzione pari a 600 mila Euro in ragione degli accertati accessi abusivi ai dati personali superiore a 760 mila clienti. Gli accessi abusivi rilevati in due momenti temporalmente distinti, tra l’aprile del 2016 e il luglio del 2017, sono stati posti in essere utilizzando le utenze di alcuni dipendenti della società Penta Finanziamenti Italia S.r.l. (mandataria di UniCredit per il prodotto di cessione del quinto dello stipendio) attraverso un applicativo denominato “Speedy Arena”. La violazione riscontrata ha riguardato dati personali di tipo anagrafico e di contatto, dati relativi alla professione lavorativa e al livello di studio, estremi identificativi di documenti di riconoscimento, nonché informazioni dell’interessato relative al proprio datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban. ATTIVITA’ ISPETTIVA DEL GARANTE A seguito della notifica del data breach da parte della Banca, il Garante Privacy ha avviato un’istruttoria, terminata [...]

La pronuncia del Garante Privacy sul “nuovo” Processo Amministrativo Telematico

2020-07-13T12:28:26+02:0010 Giu 2020|Categorie: Articolo|Tag: , |

Il Decreto Legge 30 aprile 2020, n. 28, recante "Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l'introduzione del sistema di allerta Covid-19" (c.d. “Decreto Giustizia”), convertito, con modificazioni, dalla legge 25 giugno 2020, n. 70, ha rivoluzionato la fonte normativa delle regole tecniche del Processo Amministrativo Telematico (“PAT”). L’art. 4 del Decreto Giustizia ha infatti stabilito che “le regole tecnico-operative per la sperimentazione e la graduale applicazione degli aggiornamenti del processo amministrativo telematico” saranno disciplinate tramite Decreto del Presidente del Consiglio di Stato e non più tramite Decreto del Presidente del Consiglio dei Ministri. In applicazione di detto articolo (i) in data 22 maggio 2020 è stato pubblicato il Decreto del Presidente del Consiglio di Stato n. 134 (il “DPCS”) e (ii) è stato abrogato il DPCM 40/2016, prima base normativa per le regole del PAT. L’impulso di tale modifica di fonte regolatoria è sorto – dato il noto periodo emergenziale da COVID-19 – dall’esigenza di regolare velocemente, affidandone il compito ad un organo “interno” della Giustizia amministrativa, [...]

Il Garante Privacy interviene sulla qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza

2020-05-26T10:52:54+02:0026 Mag 2020|Categorie: Articolo|Tag: , , , |

Il D.Lgs. 231/2001 (il “Decreto”) disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, prevedendo la responsabilità in capo all’ente per i reati commessi nel suo interesse o a suo vantaggio (i) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; (ii) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto (i). Ai sensi dell’art. 6, commi 1 e 2 del Decreto, l’ente non sarà responsabile dei reati commessi dai soggetti di cui al punto (i) qualora riesca a dimostrare che: l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; il compito di vigilare sul funzionamento e l'osservanza dei modelli e il compito di curare il loro aggiornamento sono stati affidati a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo; le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione [...]

La Corte europea dei diritti dell’uomo e la protezione dei dati personali – Case law

2020-05-22T18:35:25+02:0022 Mag 2020|Categorie: Articolo|Tag: , , |

La Corte europea dei diritti dell’uomo (“Corte EDU” o “Corte”) è un organo giurisdizionale internazionale, istituito nel 1959 dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (“CEDU” o “Convenzione”). La Corte EDU svolge principalmente due diverse funzioni: funzione contenziosa, nell’ambito delle controversie presentate sia con ricorsi individuali sia con ricorsi da parte degli Stati contraenti nei quali si lamenti la violazione di una delle disposizioni della CEDU o dei suoi protocolli addizionali. Svolge in tale contesto un ruolo sussidiario rispetto agli organi giudiziari nazionali, dal momento che le domande sono ammissibili solo una volta esaurite le vie di ricorso interne, nel rispetto delle previsioni della CEDU nonché delle norme di diritto internazionale generalmente riconosciute; funzione consultiva, attraverso il rilascio di pareri consultivi forniti su richiesta e inerenti a questioni giuridiche riguardanti l’interpretazione della CEDU e dei suoi protocolli addizionali. Nell’esercizio delle sue funzioni, la Corte EDU svolge un ruolo fondamentale al fine di meglio comprendere la portata di limitazioni e tutele nonché nell’identificazione dei criteri idonei ad effettuare un corretto ed equo bilanciamento tra i diritti tutelati dalla CEDU e gli interessi di volta in volta in gioco. Nell’ambito della salvaguardia dei diritti dell’uomo e [...]

Primo provvedimento sanzionatorio dell’Autorità irlandese per la protezione dei dati personali

2020-05-20T17:06:46+02:0020 Mag 2020|Categorie: Articolo|

L’Autorità irlandese per la protezione dei dati personali (di seguito, l’”Autorità”) ha comminato la sua prima sanzione dall’entrata in vigore del Regolamento UE 679/2016 (il “GDPR”), pari a 75 mila Euro, nei confronti di Tusla, l’agenzia di stato per l’infanzia e la famiglia (di seguito, l’”Agenzia”) a seguito di un’indagine condotta dall’Autorità, che ha visto coinvolti tre diversi casi di divulgazione di dati personali di minori a soggetti non autorizzati. I casi esaminati dall’Autorità riguardavano l’erronea divulgazione: nel primo caso, di dati relativi al contatto e all'ubicazione di una madre e di un bambino vittima di un abuso, i quali erano stati divulgati a un soggetto ritenuto un presunto maltrattatore; negli altri due casi, di dati personali di bambini in affidamento presso alcune famiglie, i quali erano stati rivelati impropriamente ai parenti di sangue, e, in un caso, anche al padre del bambino che si trovava in stato di detenzione. Il deposito del provvedimento dell’Autorità presso il Tribunale Circondariale ha confermato la sanzione. Si ricorda che, ai sensi dell’articolo 83 del GDPR, le autorità nazionali possono infliggere sanzioni pecuniarie fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se [...]

Sanzione del Garante Belga: DPO e conflitti di interesse nel contesto aziendale

2020-07-06T10:21:14+02:0014 Mag 2020|Categorie: Articolo, In evidenza|Tag: , , , |

In data 28 aprile 2020, l'Autorità belga per la protezione dei dati personali (l’"Autorità Garante Belga" o l’”Autorità”) ha irrogato una sanzione pari a 50 mila Euro nei confronti di una azienda belga (l’”Azienda”) per violazione dei requisiti di indipendenza necessari per lo svolgimento della funzione di “Data Protection Officer” (“DPO”) e conseguente sussistenza di un conflitto di interessi in capo al DPO, come previsto dall’art. 38, co. 6 del Regolamento UE 679/2016 (“GDPR”). Normativa di riferimento applicabile al DPO Al fine di meglio inquadrare il caso di specie, si precisa che gli artt. 37 -39 del GDPR disciplinano la figura del DPO, specificando i casi in cui è necessario nominarlo, le modalità, le sue funzioni, nonché i requisiti necessari per ricoprire tale ruolo in conformità con la normativa. Tra le disposizioni previste, rileva l’art. 37, co. 6 del GDPR, il quale prevede che gli enti possano nominare tanto un dipendente, quanto un soggetto esterno che svolga le sue funzioni in base ad un contratto di servizi. Inoltre, l’art. 38, co. 6 del GDPR precisa che il DPO possa svolgere altri compiti e funzioni ma, in questo caso, è necessario che il titolare del trattamento garantisca un’assoluta mancanza di conflitto [...]

IMMUNI: l’app italiana di contact tracing

2020-05-04T13:31:01+02:0030 Apr 2020|Categorie: Articolo|Tag: , , , , |

In data 29 aprile 2020, il Garante per la protezione dei dati personali (il “Garante Privacy”) ha espresso parere favorevole in merito alla proposta normativa per l’introduzione di una applicazione volta al tracciamento dei contagi da COVID-19, ritenendola conforme ai criteri indicati dalle Linee guida del Comitato europeo per la protezione a proposito dei sistemi di contact tracing. A seguito del via libera del Garante Privacy, il Governo, con il D.L. n. 28 del 30 aprile 2020 (“DL”), recante, inter alia, le misure urgenti per l'introduzione del sistema di allerta COVID-19, ha individuato, all’art. 6, le condizioni per il funzionamento del sistema di tracciamento dei contatti e dei contagi per prevenire la diffusione dei contagi. Tale norma prevede che venga istituita presso il Ministero della Salute una piattaforma informatica per il tracciamento di coloro che, su base volontaria, installeranno sul proprio smartphone l’applicazione “Immuni”, un’app italiana di contact tracing (l’”Immuni” o l’”App”) ideata per combattere il COVID-19 e per permettere gradualmente alla popolazione di tornare alla normalità. In particolare, Immuni, da un lato, traccerà gli spostamenti degli utenti attraverso dei segnali Bluetooth, dall’altro, prevederà la tenuta di un diario clinico, compilato e inserito dallo stesso utente. Con riferimento al tracciamento, [...]

Processo penale da remoto: lettera del Garante Privacy al Ministro della Giustizia

2020-04-30T18:41:40+02:0022 Apr 2020|Categorie: Articolo|Tag: , , |

Il presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, a seguito di alcuni quesiti presentati da parte dell’Unione delle Camere Penali in merito alle procedure adottate dal Ministero della Giustizia (“Ministero”) per lo svolgimento delle udienze penali da remoto nel rispetto di quanto previsto dai D.L. n. 11 e n.18 del 2020, ha pubblicato una lettera rivolta al Ministro della Giustizia, On. Alfonso Buonafede (“Ministro”), in cui ha sollevato alcune perplessità rispetto alle garanzie di tale procedura. In particolare, l’Unione delle Camere Penali ha chiesto ulteriori chiarimenti in merito a: le caratteristiche delle piattaforme indicate dalla Direzione Generale per i Sistemi Informativi Automatizzati (“DGSIA”), tra cui Microsoft Teams, al fine della celebrazione delle udienze penali da remoto; la scelta di Microsoft Corporation quale fornitore del servizio predetto, alla luce del fatto che, essendo il fornitore stabilito negli USA , lo stesso è soggetto tra l’altro all’applicazione delle norme del Cloud Act (normativa che attribuisce alle autorità statunitensi di contrasto un ampio potere acquisitivo di dati e informazioni); la tipologia di dati personali eventualmente memorizzati da Microsoft Corporation per finalità proprie, del servizio o commerciali; i soggetti legittimati all’accesso ai metadati delle sessioni e, in particolare, [...]

Commissione UE: guida sulle app per la lotta contro il COVID-19 e protezione dei dati personali

2020-05-07T17:25:31+02:0018 Apr 2020|Categorie: Articolo|Tag: , , , , |

La Commissione europea (la "Commissione UE") ha pubblicato la guida “Guidance on Apps supporting the fight against COVID-19 pandemic in relation to data protection” (la “Guida”) che segue alla recente pubblicazione della raccomandazione su un approccio comune dell’Unione europea per l’uso di applicazioni mobili e di dati da dispositivi mobili e accompagna il c.d. “toolbox UE” sulle applicazioni di contact tracing. La Guida mira ad offrire il quadro di riferimento necessario per garantire ai cittadini una sufficiente protezione dei loro dati personali e la limitazione di misure invasive nell’uso delle applicazioni mobili di contact tracing (“App”). Il Comitato europeo per la protezione dei dati personali è stato consultato sulla Guida e ha espresso le proprie considerazioni in una lettera pubblicata in data 14 aprile 2020. La Guida si concentra sulle App basate su adesione volontaria con una o più delle seguenti funzionalità: informazioni accurate per gli utenti sul COVID-19; questionari per l’autovalutazione e una guida per gli utenti (i.e. funzionalità di verifica dei sintomi); avvisi per gli utenti che si sono trovati in prossimità di una persona infetta per sottoporsi al test o per l’autoisolamento (i.e. funzionalità di tracciamento dei contatti e di avviso); un forum di comunicazione tra i [...]

Lettera dell’EDPB alla Commissione UE sulle linee guida per le app di contact tracing

2020-05-07T17:24:47+02:0015 Apr 2020|Categorie: Articolo|Tag: , , , |

A seguito di una richiesta di consultazione da parte della Commissione europea, il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato una lettera - di cui è stato relatore anche l’Autorità Garante per la protezione dei dati personali – nella quale sostiene con favore il progetto della Commissione europea di sviluppare un approccio comune europeo nella lotta contro il COVID-19 tramite app di contact tracing. Andrea Jelinek, Presidente dell'EDPB, ha dichiarato: “L’EDPB accoglie con favore l'iniziativa della Commissione di sviluppare un approccio paneuropeo e coordinato, poiché ciò contribuirà a garantire lo stesso livello di protezione dei dati per ogni cittadino europeo, indipendentemente dal luogo in cui vive”. L’EDPB ha altresì formulato le seguenti raccomandazioni: l’adesione alle app di contact tracing deve essere volontaria e non obbligatoria ed in quanto tale non basata sul consenso degli utenti ma legittimata dall’adempimento di un compito nell’interesse pubblico, necessario al trattamento stesso; lo sviluppo delle app di contact tracing deve avvenire secondo criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default; le app di contact tracing non necessitano di geolocalizzare i [...]

Commissione UE: un approccio europeo per le app nell’ambito del COVID-19

2020-05-07T17:26:09+02:0010 Apr 2020|Categorie: Articolo|Tag: , , |

In data 8 aprile 2020, la Commissione europea ("Commissione UE") ha pubblicato una raccomandazione “on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data” al fine di sviluppare un approccio comune europeo rispetto all’utilizzo di applicazioni mobili e di dati di localizzazione da dispositivi mobili nell’ambito dell’emergenza da COVID-19 (“Raccomandazione”). A tal fine, la Raccomandazione definisce un processo attraverso il quale gli Stati membri dell’UE (“Stati Membri”) possono adottare diverse misure, con particolare attenzione alle seguenti priorità: un approccio europeo e coordinato all’uso di applicazioni mobili che consentano ai cittadini di adottare misure di social distancing efficaci e più mirate, per contribuire a limitare la propagazione del COVID-19; un approccio comune all’utilizzo di dati di localizzazione da dispositivi mobili, in forma anonima e aggregata per (i) modellare e prevedere l’evoluzione del COVID-19; (ii) monitorare l’efficacia delle misure di contenimento della diffusione del COVID-19, come il social distancing e il confinamento; e (3) contribuire a sviluppare una strategia coordinata per il futuro, compreso l’alleggerimento delle misure di contenimento. Introduzione Gli strumenti digitali sono cruciali al fine di superare l’attuale [...]

Audizione informale del Presidente del Garante Privacy sull’uso delle nuove tecnologie e della rete nell’ambito del COVID-19

2020-05-07T17:16:59+02:0010 Apr 2020|Categorie: Articolo|Tag: , , , |

In data 8 aprile 2020 si è tenuta l’audizione informale del presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, alla Camera dei Deputati sull’uso delle nuove tecnologie e della rete per contrastare la diffusione del COVID-19. In particolare, l’intervento del Garante Privacy si è concentrato sui seguenti aspetti: deroghe e misure limitative della protezione dei dati personali; misure relative alla raccolta dei dati sull’ubicazione o sull’interazione dei dispositivi mobili dei soggetti risultati positivi, con altri dispositivi, al fine di analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi, tramite gps, bluetooth e droni; contact tracing. In riferimento alle diverse misure ipotizzabili per il monitoraggio dei soggetti risultati positivi, il Garante Privacy raccomanda di privilegiare un criterio di gradualità al fine di valutare misure meno invasive ma sufficienti per la prevenzione epidemiologica. Sarebbe, altresì, preferibile il ricorso a sistemi fondati sulla volontaria adesione dei singoli, quale un’app bluetooth, che permettano il tracciamento della propria posizione, purché il consenso al trattamento dei dati non risulti in alcun modo condizionato (pertanto, non connesso all’erogazione di servizi ma alla tutela della salute). Con riferimento alla conservazione dei dati rilevati, in vista del loro eventuale, successivo utilizzo per allertare [...]

Garante Privacy: parere sulle modalità di consegna della ricetta medica elettronica

2020-03-24T16:36:29+01:0024 Mar 2020|Categorie: Articolo|Tag: , , , |

Nell’ambito dell’emergenza epidemiologica da COVID-19, il Garante Privacy ha espresso parere favorevole sullo schema di decreto trasmesso dal Ministero dell’Economia e delle Finanze (“MEF”) da adottare di concerto con il Ministero della salute, relativo alle modalità di consegna al paziente del promemoria dematerializzato della ricetta medica da parte del medico. Quadro normativo In particolare: con nota del 26 febbraio 2020, il MEF ha trasmesso, ai sensi dell’art. 36, par. 4 del Regolamento generale sulla protezione dei dati personali 679/2016 (“GDPR”), uno schema di decreto che modifica il D.M. 2 novembre 2011 (“Decreto del MEF”), estendendo la disciplina relativa alla dematerializzazione delle ricette mediche ad ulteriori categorie di prescrizioni. con nota del 17 marzo 2020, il MEF ha trasmesso una nuova versione dello schema di decreto che individua i canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica, le cui modalità attuative saranno stabilite in un successivo decreto del medesimo dicastero da adottarsi di concerto con il Ministero della salute, sentito il Garante Privacy. Le due versioni di schemi di decreto trasmesse al Garante Privacy sono state predisposte anche sulla base dei rilievi e delle indicazioni fornite dallo stesso nel corso di alcune riunioni e interlocuzioni, aventi anche carattere d’urgenza, [...]

Autorità di controllo svedese sanziona Google per violazione del diritto alla cancellazione

2020-03-20T10:18:28+01:0020 Mar 2020|Categorie: Articolo|Tag: , , |

L’Autorità di controllo svedese (“Autorità di controllo”) ha irrogato una sanzione amministrativa di 75 milioni di corone svedesi (circa 7 milioni di Euro) a Google, in qualità di operatore di motore di ricerca, per non aver adempiuto agli obblighi previsti dal Regolamento generale UE sulla protezione dei dati personali 679/2016 (“GDPR”) in materia di diritto alla cancellazione, e più specificamente, alla deindicizzazione (c.d. delisting), ossia il diritto dei soggetti interessati a chiedere e ottenere la rimozione dai risultati di ricerca ove le informazioni che li riguardano non siano più aggiornate, accurate o rilevanti. L’Autorità di controllo ha condotto rispettivamente due indagini sulle modalità tramite cui Google gestisce il diritto dei soggetti interessati alla rimozione dei risultati di ricerca. Nel 2017, l’Autorità di controllo ha rilevato che diversi risultati delle ricerche su Google dovevano essere eliminati e ha pertanto ingiunto a Google di rimuoverli. Nel 2018, a seguito di alcune segnalazioni di cittadini svedesi in base alle quali Google non aveva pienamente  rispettato l’ingiunzione emessa in quanto la rimozione dall’elenco dei risultati di ricerca non era stata effettuata in due casi, l’Autorità di controllo ha avviato una seconda indagine, asserendo la violazione dell’art. 17 GDPR da parte di Google. L’Autorità di [...]

Autorità di controllo croata: sanziona un istituto di credito per violazione del diritto di accesso dei soggetti interessati

2020-03-29T12:40:36+02:0018 Mar 2020|Categorie: Articolo|Tag: , , , |

L’autorità croata per la protezione dei dati personali (“AZOP”) ha irrogato una sanzione amministrativa di 20 milioni di Euro ad un istituto di credito per aver negato il diritto di accesso dei soggetti interessati, riconosciuto loro dall’art. 15 del Regolamento UE 679/2016 (“GDPR”). A partire da ottobre 2018, l’AZOP ha ricevuto numerosi reclami da parte di soggetti interessati riguardanti uno degli istituti di credito croati con sede a Zagabria. Attraverso questi reclami, i soggetti interessati chiedevano all’istituto di credito di ricevere una copia dei loro dati personali. Tale richiesta, però, veniva sempre respinta. Ai sensi dell'articolo 15, paragrafi 1 e 3 del GDPR, i soggetti interessati possono esercitare il diritto di accesso ai propri dati personali, richiedendo la copia della documentazione di credito relativa alle carte contabili, i piani di rimborso e la revisione delle variazioni dei tassi di interesse nell’ambito dei prestiti bancari, ovvero tutti documenti contenenti dati personali dell’interessato. Ciò nonostante, l’istituto di credito ha deciso di non dare seguito alla richiesta di accesso ai dati personali avanzata dai soggetti interessati, affermando che, ai sensi della legge sul credito al consumo e di altri regolamenti specifici, non vi era alcun obbligo di fornire l’accesso a tale documentazione dato [...]

Protocollo Covid-19 negli ambienti di lavoro

2020-03-24T16:32:56+01:0014 Mar 2020|Categorie: Articolo|Tag: , |

E' stato sottoscritto il "Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro" su invito del Presidente del Consiglio dei ministri, del Ministro dell’economia, del Ministro del lavoro e delle politiche sociali, del Ministro dello sviluppo economico e del Ministro della salute a seguito dell'intesa con i sindacati e Confindustria. Il documento, tenuto conto di quanto emanato dal Ministero della Salute, contiene linee guida condivise per agevolare le imprese nell’adozione di protocolli di sicurezza anti-contagio. Tra di esse, si segnalano gli aspetti legati al trattamento dei dati personali. E' stata infatti confermata la possibilità di poter rilevare la temperatura corporea agli ingressi in azienda in quanto legittimata da idonea base giuridica per l'adempimento di un obbligo di legge (i.e. protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020). Ciò a condizione che il trattamento del dato relativo alla febbre oltre 37,5 sia stato supportato da idonea informativa (anche con modalità semplificata o fornita oralmente) ed il dato non conservato (tranne ove finalizzato a documentare l’impedimento dell’accesso in azienda). Necessaria l’adozione di adeguate misure di sicurezza, tecniche ed organizzative nonché [...]

Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Ospedaliera Universitaria Integrata di Verona

2020-03-06T11:12:27+01:0002 Mar 2020|Categorie: Articolo|

L’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), con il Provvedimento n. 18 del 23 gennaio 2020, ha irrogato una sanzione pari a 30 mila Euro nei confronti dell’Azienda Ospedaliera Universitaria Integrata di Verona (l’”Azienda”) a seguito di tre episodi di violazione di dati personali avvenuti all’interno dell’Azienda e comunicati dalla stessa al Garante Privacy. L’Azienda, nell’ambito di controlli periodici interni, aveva infatti riscontrato il verificarsi di condotte illegittime da parte di alcuni dipendenti i quali, in mancanza di necessaria autorizzazione, avevano avuto accesso ai dossier sanitari di colleghi/e che, al tempo stesso, erano anche pazienti in cura presso l’Azienda.   NOTIFICHE AL GARANTE PRIVACY L’Azienda aveva prontamente notificato al Garante Privacy, ex art. 33 del Regolamento UE 679/2016 (“GDPR”), le condotte di cui sopra attraverso tre comunicazioni: la prima, in data 6 maggio 2019, nella quale aveva denunciato “un accesso improprio a sei dossier di pazienti che sono al tempo stesso dipendenti aziendali nel ruolo di ostetriche”, risultando lo stesso ingiustificato dal momento che “non vi era motivo che un medico della (…) Unità Operativa di Ostetrica e Ginecologia (…) facesse accesso ai dati clinici di pazienti non in carico, alcune delle quali per di più a [...]

Garante Privacy: sanziona l’Università degli Studi di Roma “La Sapienza” per la divulgazione dei dati personali dei segnalanti di condotte illecite-23 gennaio 2020

2020-03-06T11:36:02+01:0020 Feb 2020|Categorie: Articolo|Tag: , , , |

Il caso sottoposto all’esame dell’Autorità Garante per la protezione dei dati personali: Nel dicembre 2018 l’Università degli Studi di Roma La Sapienza (“Ateneo”) notificava all’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) l’avvenuta diffusione di dati personali trattati per il tramite della piattaforma che l’Ateneo utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi nell’ambito della disciplina del c.d. whistleblowing. In particolare, si dichiarava che era intervenuta una dispersione di dati personali comuni – nome, cognome, sede, telefono, e-mail del segnalante, data della segnalazione - relativi a due segnalanti che avevano utilizzato la piattaforma whistleblowing. Inoltre, tali dati erano stati indicizzati da alcuni motori di ricerca fintanto che l’Ateneo, edotto del problema, era intervenuto per farli deindicizzare e cancellare le relative copie cache.   Le risultanze dell’attività istruttoria: A seguito dell’attività istruttoria emergeva che l’Ateneo aveva correttamente notificato la violazione dei dati personali al Garante Privacy entro le 72 ore dal momento in cui veniva a conoscenza del fatto e che i dati personali interessati dal data breach non rientravano nell’ambito di categorie particolari di dati trattandosi di dati personali comuni, mentre il contenuto delle segnalazioni non veniva in [...]

Sanzione del Garante Privacy contro Eni Gas e Luce S.p.A.

2020-03-06T14:51:45+01:0023 Gen 2020|Categorie: Articolo|Tag: , , , |

L'Autorità Garante per la protezione dei dati personali (il "Garante Privacy") ha irrogato due sanzioni, per complessivi 11,5 milioni di Euro, nei confronti di Eni Gas e Luce S.p.A (“Eni”) a seguito di violazioni commesse nell'ambito di attività promozionali e della conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Nella determinazione delle sanzioni, sono stati considerati i criteri indicati nel Regolamento UE 679/2016 (il “GDPR”), quali l’elevato numero dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione e le condizioni economiche di Eni. Telemarketing e teleselling La prima sanzione di 8,5 milioni di Euro concerne trattamenti illeciti nelle attività di telemarketing e teleselling. Tali attività sono state svolte da Eni mediante una rete di agenzie, nominate responsabili del trattamento dei dati personali le quali contattavano telefonicamente gli interessati, utilizzando delle liste di anagrafiche presenti nella customer base societaria, ovvero acquistate da list provider (che a loro volta potevano acquisirle da soggetti terzi denominati “editori”), oppure auto-generate tramite la compilazione, da parte degli stessi interessati, di appositi form presenti sul sito di Eni. Le liste acquistate dai list provider/editori includevano sia numeri presenti nel Database Unico degli abbonati ai servizi di telefonia fissa [...]

Bozza di posizione del Consiglio dell’Unione Europea sull’applicazione del GDPR

2020-03-06T15:08:08+01:0021 Gen 2020|Categorie: Articolo|Tag: , , |

Recentemente i membri delle Rappresentanze permanenti degli Stati membri dell’UE presso il Consiglio dell’Unione europea (il “Consiglio”) hanno pubblicato una bozza di posizione sull'applicazione del Regolamento UE 679/2016 (il “GDPR”). Dopo che tale progetto sarà stato formalmente adottato dal Consiglio, sarà trasmesso alla Commissione Europea (la “Commissione”). Ciò fa parte del processo di valutazione del GDPR ai sensi dell'articolo 97 dello stesso, che prevede che la Commissione pubblichi una relazione sulla valutazione e la revisione del GDPR entro il 25 maggio 2020. La bozza di posizione riconosce che il GDPR ha rafforzato la protezione dei dati personali, ma ritiene che vi siano ancora alcune questioni che richiedono un miglioramento, anche nei seguenti settori: ambito di applicazione della revisione del GDPR: sebbene l'articolo 97, paragrafo 2, del GDPR imponga alla Commissione di esaminare in particolare le questioni GDPR relative ai trasferimenti internazionali di dati e al meccanismo di cooperazione e coerenza tra le autorità di controllo, il Consiglio invita la Commissione a condurre una revisione più completa del GDPR al di là di quanto specificamente menzionato nell'articolo 97; consenso dei minori: il margine lasciato agli Stati membri dell’UE per stabilire le proprie norme in relazione all'età del consenso dei minori ha [...]

TAR LAZIO: lo scambio di dati personali con un’App configura un contratto

2020-03-06T15:12:18+01:0010 Gen 2020|Categorie: Articolo|Tag: |

La recente sentenza del Tar, n. 261/2020, pubblicata il 10 gennaio 2020, ha stabilito che il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili dai suoi dati potranno essere usate per fini commerciali e, in quanto tali, dovranno considerarsi la “contro-prestazione” dei servizi offerti su internet. Nel caso di specie, l’AGCM aveva avviato un procedimento istruttorio nei confronti di Facebook Inc e Facebook Ireland Ltd. (congiuntamente “Facebook”) in relazione a presunte pratiche commerciali scorrette, per violazione degli art. 21 (pratiche commerciali ingannevoli) e 22 (pratiche commerciali aggressive) del D.Lgs. 206/2005 (“Codice del Consumo”). Il Tar, interpellato sulla questione, ha ritenuto sussistente solo la violazione dell’art. 21 del Codice del Consumo, ritenendo Facebook responsabile di aver posto in essere condotte ingannevoli nei confronti degli utenti iscritti alla piattaforma. Ai sensi dell’art. 20 del Codice del Consumo, una pratica commerciale è considerata “scorretta” se: (i) è contraria alla diligenza professionale; (ii) è falsa o idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio. In particolare, ai sensi dell’art. 21 del Codice del Consumo, una pratica è considerata “ingannevole” se: (i) contiene informazioni non rispondenti al vero; o [...]

Garante Privacy: Attività Ispettive per luglio-dicembre 2019

2020-03-06T15:16:46+01:0029 Ott 2019|Categorie: Articolo|

L'Autorità Garante per la protezione dei dati personali (il “Garante Privacy”) ha reso pubblico il piano ispettivo per il secondo semestre del 2019, ossia il periodo da luglio a dicembre 2019. L’attività ispettiva di iniziativa curata dall’Ufficio del Garante Privacy, anche tramite la Guardia di Finanza riguarderà: accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di trattamenti di dati personali effettuati: mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing); da Istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti; da intermediari per la fatturazione elettronica; da società per attività di marketing; da Enti pubblici, con riferimento a banche dati di notevoli dimensioni; da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione; da società rientranti nel settore del “Food Delivery”; da parte di società private in ambito sanitario; controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee relativamente a: presupposti di liceità del trattamento; condizioni per il consenso qualora il trattamento sia basato su tale presupposto; obbligo dell’informativa; durata della conservazione dei dati. Il Garante Privacy, inoltre, presterà anche specifica attenzione a profili sostanziali del trattamento che comportano significativi effetti [...]

Case of Lopez, Ribalda and others v. Spain (Applications nos. 1874-13 and 8567-13)

2020-05-20T12:24:36+02:0017 Ott 2019|Categorie: Articolo, In evidenza|Tag: |

La Corte Europea dei Diritti dell’Uomo (di seguito, la "Corte") ha stabilito, con provvedimento del 17 ottobre 2019, che l’utilizzo delle telecamere nascoste nei luoghi di lavoro, ove ricorrano determinati presupposti,  non viola la privacy dei dipendenti. La Corte si è pronunciata in merito al ricorso presentato da cinque cassieri di una catena di supermercati spagnola, che erano stati licenziati dopo essere stati ripresi mentre rubavano alcune merci. La Corte ha rilevato, in particolare, che i tribunali spagnoli avevano attentamente bilanciato i diritti dei ricorrenti - dipendenti della catena di supermercati sospettati di furto - e quelli del datore di lavoro, e avevano effettuato un esame approfondito della base giuridica sottesa alla videosorveglianza. Un argomento chiave addotto dai ricorrenti era che non erano stati informati preventivamente in merito alla presenza di telecamere, nonostante l’obbligo previsto dalla legge. Tuttavia la Corte ha ritenuto che tale misura fosse chiaramente giustificata da un ragionevole sospetto di condotte scorrette e dalle perdite subite, tenuto conto dell'entità e delle conseguenze della misura. Pertanto, i giudici nazionali non hanno ecceduto il loro potere discrezionale (il c.d. “margine di discrezionalità”) nel ritenere il controllo effettuato tramite telecamere nascoste, proporzionato e legittimo. In ogni caso, occorre evidenziare che [...]

Le Autorizzazioni generali: trattamento di categorie particolari di dati nel rapporto di lavoro

2019-10-03T23:14:21+02:0030 Set 2019|Categorie: Articolo, In evidenza|Tag: |

Il Garante per la protezione dei dati personali (il “Garante”), in data 13 dicembre 2018, ha adottato il Provvedimento Generale n. 497, nel quale si è sancita la compatibilità con il Regolamento (UE) 2016/679 (“GDPR”) delle sole prescrizioni contenute nelle autorizzazioni relative a: trattamenti di categorie particolari di dati nei rapporti di lavoro (Autorizzazione generale 1/2016); trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (Autorizzazione generale 3/2016); trattamenti di categorie particolari di dati da parte degli investigatori privati (Autorizzazione generale 6/2016); trattamenti di dati genetici (Autorizzazione generale 8/2016); trattamenti di dati personali effettuati per scopi di ricerca scientifica (Autorizzazione generale 9/2016). Le Autorizzazioni generali n. 2/2016, 4/2016, 5/2016 e 7/2016, considerate non più compatibili con la nuova normativa in materia di protezione dati, hanno cessato di produrre i propri effetti. Il Provvedimento n. 497 è stato successivamente posto in consultazione pubblica al fine di recepire eventuali osservazioni e/o proposte da parte di soggetti interessati, associazioni di categoria e organizzazioni rappresentative dei settori di riferimento. In seguito alla conclusione della predetta fase, il 29 luglio 2019 è stato pubblicato in Gazzetta Ufficiale (GU. Serie Generale n. 176 [...]

Le Linee Guida sulla videosorveglianza dell’EDPB

2019-09-16T20:21:48+02:0016 Set 2019|Categorie: Articolo|Tag: |

Il Comitato Europeo per la protezione dei dati personali (l’”EDPB”) ha recentemente pubblicato le Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi di videosorveglianza (le “Linee guida”). Le Linee Guida hanno lo scopo di fornire orientamenti su come applicare il Regolamento UE 2016/679 (“GDPR”) in tutti i potenziali settori di utilizzo di dispositivi di videosorveglianza. Tra i punti di chiave delle Linee Guida, si segnalano i seguenti aspetti: Ambito di applicazione: l'uso di dispositivi per la videosorveglianza è soggetto all'applicazione del GDPR solo se: una persona può, attraverso il dispositivo di videosorveglianza, essere identificata direttamente o indirettamente; il trattamento non è effettuato dalle Autorità competenti dell’UE a fini di prevenzione, individuazione o perseguimento di reati o esecuzione di sanzioni penali (altrimenti il trattamento rientrerebbe nell'ambito di applicazione della Direttiva (UE) 2016/680); il trattamento non avviene nell’ambito di un’attività puramente personale o domestica. Se il trattamento viene effettuato nell’ambito di tale attività, si applica la cosiddetta “domestic exemption” che, tuttavia, deve sempre essere interpretata in modo restrittivo. Legittimità del trattamento: i titolari del trattamento (i “Titolari”) devono specificare le finalità del trattamento dei dati prima di utilizzare i dispositivi di videosorveglianza. In conformità con il principio di accountability ex [...]

Modello di notifica di Data Breach

2019-08-08T10:48:26+02:0006 Ago 2019|Categorie: Articolo|Tag: , , |

Il Garante per la protezione dei dati personali ha pubblicato un modello da utilizzare per la notifica di violazione dei dati personali (c.d. data breach) prevista dall'art. 33 del GDPR, disponibile qui. I titolari di trattamento dei dati personali sono tenuti a notificare al Garante le violazioni dei dati personali che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell'ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati. La notifica deve essere inviata al Garante tramite posta elettronica all'indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest'ultimo caso la notifica deve essere presentata unitamente alla copia del documento d'identità del firmatario. L'oggetto del messaggio deve contenere obbligatoriamente la dicitura “notifica violazione dati personali” e opzionalmente la denominazione del titolare del trattamento.

Mercato unico digitale: le linee guida sulla circolazione dei dati non personali

2019-07-08T17:47:43+02:0026 Giu 2019|Categorie: Articolo, In evidenza|

Un framework normativo completo, che ora con la pubblicazione di adeguate linee guida permette di chiarire gli aspetti legati alla circolazione dei dati non personali relativamente al mercato unico digitale. L’entrata in vigore, lo scorso 28 maggio 2019, del Regolamento UE 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea – così detto Free Flow Data Regulation (di seguito il “Regolamento FFD”), ha segnato – come è stato osservato dalla Commissaria europea responsabile per l’Economia e le società digitali Mariya Gabriel – il completamento di “un quadro completo per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea”. Vediamo di che cosa tratta. Regolamento FFD e linee guida Il Regolamento FFD – emanato alla fine dell’iter normativo iniziato con la proposta della Commissione del 19 settembre 2017 – mira infatti a contribuire: alla formazione di un contesto giuridico ed economico stabile in tema di trattamento e circolazione di dati; all’abbattimento delle barriere in materia di mobilità dei dati per le imprese, le amministrazioni pubbliche e i cittadini; ad un migliore sfruttamento del potenziale dell’economia europea dei dati  (c.d. data economy) e alla creazione [...]

Garante Privacy Spagnolo sanziona LaLiga

2019-07-08T16:54:18+02:0013 Giu 2019|Categorie: Articolo|Tag: |

L’Autorità per la protezione dei dati personali spagnola (l'"Autorità") ha comminato la sanzione di Euro 250.000 alla Liga de Futbòl ("LaLiga"), società che gestisce il campionato di calcio spagnolo, per aver spiato il telefono cellulare di mezzo milione di utenti spagnoli attraverso la propria applicazione ufficiale utilizzando i microfoni remoti e il GPS per individuare i locali che trasmettono partite di calcio senza pagare le licenze corrispondenti. L’app, che richiede il consenso per utilizzare microfono e GPS, è in grado di captare l’audio ambientale così da rilevare se l’utente si trova in un locale che sta trasmettendo la partita, in possesso o meno di un valido abbonamento alla diffusione delle partite. Il modo in cui LaLiga ha informato i suoi utenti di questa procedura è stato considerato opaco e non trasparente dall’Autorità. Poiché, secondo l’Autorità, la funzione di spia dell'applicazione comporta la registrazione dell’audio ambientale, la quale implica la raccolta di dati personali, LaLiga avrebbe dovuto notificare all’utente l'informativa non solo durante l’installazione dell’applicazione, ma ogni volta che attivava questa funzione di raccolta dei dati. L’Autorità afferma che per la natura dei dispositivi mobili l’utente non può ricordare a cosa ha acconsentito e cosa no ogni volta che usa l’app. [...]

Implementazione del GDPR nel settore sportivo: lo stato dell’arte

2019-06-11T10:27:49+02:0011 Giu 2019|Categorie: Articolo, In evidenza|

1.     Introduzione Dal 25 maggio 2018 è divenuto pienamente efficace il Regolamento (UE) 2016/679 sulla protezione dei dati personali e sulla loro circolazione (il “Regolamento” o “GDPR”) che ha imposto un radicale cambio di approccio al trattamento e alla protezione dei dati personali delle persone fisiche rispetto alla precedente normativa applicabile in materia all’interno dei singoli Stati membri. Con l’introduzione del principio di “Accountability” di cui agli artt. 5 e 24, il GDPR “responsabilizza” i soggetti attivi del trattamento – in particolare i titolari e i responsabili del trattamento – ponendo in capo a questi ultimi una serie di obblighi generali a cui devono attenersi, dovendo garantire (e ponendosi nelle condizioni di dimostrarlo) che i trattamenti di dati personali da essi svolti rispettino la vigente normativa in materia di protezione dei dati personali. Il rispetto della predetta normativa è, tuttavia, fondamentale, non solo in un’ottica di compliance, ma anche – come vedremo meglio – in una prospettiva di “valorizzazione” dei dati personali trattati sotto ulteriori profili (ad esempio, per l’utilizzo delle proprie banche dati per finalità di natura commerciale, promozionale o per finalità di sviluppo dei propri servizi). Già da quanto sopra illustrato, appare evidente che la riforma introdotta dal [...]

Manuale sul diritto europeo in materia di protezione dei dati

2019-05-20T10:41:34+02:0020 Mag 2019|Categorie: Articolo|Tag: , |

L’Agenzia dell’Unione Europea per i Diritti Fondamentali ha pubblicato la seconda edizione del “Manuale sul diritto europeo in materia di protezione dei dati”. Il Garante Privacy ha collaborato alla realizzazione della versione italiana (disponibile qui). Il Manuale fornisce una panoramica dell'attuale quadro giuridico applicabile a livello europeo in materia di protezione dei dati personali, tenendo conto degli ultimi rilevanti sviluppi normativi (GDPR e la Convenzione 108/81 rivista) nonché della giurisprudenza, ivi incluse le principali sentenze sia della Corte di giustizia dell'Unione europea che della Corte europea dei diritti dell'uomo.

Privacy Sweep: servono ancora sforzi per il pieno rispetto dell’accountability

2019-05-13T11:27:08+02:0009 Mag 2019|Categorie: Articolo, In evidenza|

A partire da settembre 2018, il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ha dato il via al cosiddetto “Privacy Sweep”, ossia una “indagine a tappeto” dedicata, quest’anno, al principio di responsabilizzazione (o “accountability”), introdotto dal GDPR. L’indagine ha carattere internazionale e, infatti, è stata condotta – non solo dall’Autorità italiana ma anche – da diciotto delle altre autorità garanti per la protezione dei dati personali facenti parte del GPEN (“Global Privacy Enforcement Network”)[1]. Dall’indagine è emerso che la maggior parte delle imprese e degli enti pubblici analizzati dalle Autorità garanti per la protezione dei dati personali mostrano una buona comprensione dei concetti base legati al più generale principio di responsabilizzazione. Tuttavia permangono carenze significative in merito alla concreta attuazione di politiche e programmi specifici a tutela della privacy. Ogni Autorità coinvolta ha scelto autonomamente lo specifico settore di analisi, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni. Il Garante italiano ha analizzato Regioni e Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico. Le risultanze raccolte dalle autorità garanti hanno fatto emergere un quadro ancora non soddisfacente in merito alla compliance [...]

Algocrazia: Search Neutrality e trasparenza quali possibili soluzioni contro il “potere dell’algoritmo”?

2019-05-11T13:18:41+02:0005 Mag 2019|Categorie: Articolo, In evidenza|

1. Introduzione: il concetto di algoritmo Una sequenza di ordini e istruzioni chiamate a descrivere nel dettaglio un processo volto, a partire da un input (dati in ingresso) e passando per l'esecuzione di un determinato calcolo (elaborazione), a produrre uno specifico output (dati in uscita o risultato). Questa potrebbe essere in estrema sintesi la definizione di che cosa sia un algoritmo. Nel campo dell’informatica – e, più specificamente, in quello della programmazione – gli algoritmi costituiscono la “logica” di un programma, intesa quale insieme di istruzioni attraverso le quali un programma potrà produrre il risultato (output) per il quale il programma stesso è stato creato, a partire da specifici dati di partenza (input) e attraverso l’elaborazione di tali dati. Gli algoritmi, quindi, rappresentano parte fondamentale, anche se non immediatamente percepibile, di ogni programma eseguito da un elaboratore. 2. Algoritmi ed elaborazione dei dati Tuttavia, con il crescere del numero di società che raccolgono – in particolare sul web – ed elaborano enormi quantità di dati anche personali (cd. Big Data), il concetto di “algoritmo” ha acquisito un significato più specifico e, se vogliamo, circoscritto. In tale contesto, infatti, il concetto di algoritmo non viene più inteso – in maniera ampia [...]

Applicabilità del GDPR ai dati personali dei defunti: la posizione del Garante Privacy

2019-05-11T12:56:39+02:0015 Apr 2019|Categorie: Articolo|

1.     Il contesto fattuale: la richiesta di accesso ai dati del paziente defunto In un parere reso ad una Azienda sanitaria in materia di accesso civico Il Garante per la protezione dei dati personali (il “Garante”) ha affermato il principio secondo il quale le tutele previste dalla normativa in materia di protezione dei dati personali si applicano anche ai dati personali dei soggetti defunti. In particolare, il parere era stato richiesto dal Responsabile della prevenzione, della corruzione e della trasparenza di una Azienda sanitaria, a fronte di una istanza di riesame di un provvedimento di diniego riguardante un accesso civico ai dati sanitari di un paziente deceduto. La richiesta di accesso era stata rivolta all’Azienda sanitaria da parte di una persona attraverso il cosiddetto “FOIA” e mirava ad avere accesso agli atti di audit clinico e agli approfondimenti condotti sul paziente deceduto. Particolarmente riservate le informazioni a cui il richiedente avrebbe potuto avere accesso e, in particolare: dati sul ricovero, sintomi, anamnesi, diagnosi, esami effettuati, alcuni particolarmente invasivi, terapia, farmaci somministrati, credo professato. 2.     Le considerazioni preliminari del Garante Il Garante, prima di affrontare il merito della questione posta, ha svolto alcune considerazioni preliminari. Nello specifico, l’Autorità rileva che il [...]

Il Garante Privacy boccia il braccialetto elettronico per gli operatori ecologici

2019-05-03T14:26:41+02:0026 Mar 2019|Categorie: Articolo|

Il Garante Privacy ha richiesto ad una società che si occupa della raccolta dei rifiuti per conto della municipalizzata di un comune toscano di individuare dispositivi elettronici alternativi che non ledano la dignità della persona e di conformare i trattamenti di dati relativi ai dipendenti ai principi applicabili in materia di protezione dei dati personali. La società aveva consegnato a più di 70 dipendenti addetti alla pulizia delle strade dei dispositivi indossabili dotati anche di un localizzatore gps, con i quali effettuare la lettura delle etichette elettroniche collocate sui cestini getta rifiuti e segnalare l’eventuale spostamento di quelli non ancorati al suolo. Lo scopo della società era quello di monitorare il lavoro svolto per l’azienda municipalizzata comunale. Tuttavia, solo in un secondo momento, ossia dopo l’avvio dell’istruttoria del Garante Privacy, la società aveva provveduto a stipulare un accordo sindacale nel quale si stabiliva, tra l’altro, la lettura quotidiana dei tag per ogni turno di lavoro e si limitava l’attivazione del gps al massimo ad un turno di lavoro a settimana, previa comunicazione al lavoratore. Il Garante Privacy, pur ritenendo tale configurazione non in contrasto con i principi di necessità e proporzionalità del Regolamento Ue rispetto alle finalità perseguite dalla società, [...]

Accordo tra Co.RE.Com e Garante Privacy per la tutela dei dati personali e cyberbullismo

2019-05-03T14:26:48+02:0022 Mar 2019|Categorie: Articolo|

In data 21.03.19, è stato firmato il protocollo d’intesa tra Garante Privacy e Co.Re.Com. del Piemonte per la prevenzione e contrasto del fenomeno del cyberbullismo. Il Co.Re.Com agirà quale sportello italiano territoriale per la tutela dei dati personali e il cyberbullismo. Per i primi tre anni, sarà il punto di riferimento a cui i minori potranno rivolgersi per la tutela dei propri diritti. Il protocollo prevede quanto segue: l’organizzazione di iniziative pubbliche che coinvolgano esperti, cittadini e istituzioni tramite corsi, convegni, incontri e momenti di confronto sul fenomeno del cyberbullismo e sulle più efficienti metodologie di prevenzione e di contrasto; diffusione di materiale divulgativo per contribuire al consolidamento della cultura della non violenza e del rispetto della persona mediante la conoscenza di dati documentati in riferimento al cyber bullismo; organizzazione di attività di ricerca; redazione e trasmissione di linee guida, best practices o vademecum, articoli o pubblicazioni scientifiche, con lo scopo di diffondere la cultura della legalità, dell’uso consapevole delle nuove tecnologie, della navigazione sicura e del contrasto al fenomeno del cyberbullismo. Inoltre, il Co.Re.Com, si impegna a veicolare, tramite il sito del Garante, le eventuali segnalazioni o reclami in materia di tutela dei minori e contrasto al cyberbullismo.

Firmata la convenzione tra Garante privacy e ACCREDIA

2019-05-03T14:27:01+02:0022 Mar 2019|Categorie: Articolo|

Sottoscritta da parte del Presidente del Garante per la protezione dei dati personali (il “Garante” o l’”Autorità”), Antonello Soro, e dal Presidente di ACCREDIA[1], Giuseppe Rossi, la convenzione volta a definire i rapporti di collaborazione tra il Garante e ACCREDIA ai fini dello scambio di informazioni e aggiornamenti volti a favorire le attività di accreditamento e certificazione di cui agli artt. 42 e 43 GDPR (la “Convenzione”). Il GDPR, infatti, prevede e incoraggia l’istituzione di meccanismi per la certificazione della protezione dei dati personali, nonché di sigilli e marchi, allo scopo di dimostrare la conformità al GDPR dei trattamenti effettuati dai Titolari e dai Responsabili del trattamento. Tali certificazioni sono rilasciate dagli organismi di certificazione previsti dall’art. 43 GDPR (gli “Organismi di Certificazione”) che devono, tuttavia, come prescritto dalla predetta disposizione, essere accreditati dal Garante o da ACCREDIA, organismo nazionale di accreditamento designato dal governo italiano. ACCREDIA costituirà quindi l’organismo che certificherà la conformità di tali Organismi di certificazione alla normativa in materia di protezione dei dati personali. In particolare, ACCREDIA dovrà attestare, in base al parametro costituito dalla norma di accreditamento UNI CEI EN ISO/IEC 17065:2012 – integrata da “requisiti aggiuntivi” che saranno individuati dal Garante sulla base delle linee-guida [...]

EDPB: parere sull’interazione tra direttiva e-Privacy e GDPR

2019-05-07T18:22:39+02:0020 Mar 2019|Categorie: Articolo, In evidenza|

In data 12.03.19, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato un parere sull'interazione tra la Direttiva UE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“Direttiva e-Privacy”) e il regolamento generale sulla protezione dei dati personali (“GDPR”). Il suddetto parere era stato richiesto dall'Autorità belga per la protezione dei dati per avere dei chiarimenti rispettivamente in merito a: competenza, compiti e poteri delle Autorità di controllo per la protezione dei dati personali (le “Autorità”); applicabilità dei meccanismi di cooperazione e coerenza del GDPR nei casi in cui al trattamento dei dati personali si applichi sia il GDPR che la Direttiva e-Privacy. Il parere affronta le seguenti tematiche: (I) l’ambito di applicazione materiale della Direttiva e-Privacy e del GDPR; (II) l’interazione tra le due; (III) la competenza, i compiti e i poteri delle Autorità; e (IV) l’applicabilità ai casi in questione dei meccanismi di cooperazione e coerenza del GDPR. I. Attività di trattamento nell'ambito di applicazione materiale sia della Direttiva e-Privacy che del GDPR. Il parere rileva che vi sono molti esempi di attività di trattamento dei dati che rientrano nell’ambito di applicazione materiale sia della Direttiva e-Privacy [...]

Reddito di cittadinanza e le criticità sulla privacy dei dati dei cittadini

2019-05-03T14:27:17+02:0011 Mar 2019|Categorie: Articolo|

Nella memoria predisposta per la Commissione Permanente del Senato della Repubblica, il Garante Privacy ha evidenziato come alcune disposizioni del decreto-legge sul Reddito di cittadinanza (“Rdc”) e il relativo sito violino la normativa vigente sulla protezione dei dati personali. In particolare: il Rdc implica un trattamento su larga scala di dati personali, incluse categorie particolari di dati personali, riguardanti i richiedenti e i componenti del nucleo familiare, senza aver tenuto in debita considerazione i principi del GDPR quali il principio di trasparenza, minimizzazione dei dati, privacy by design e by default; le disposizioni del decreto-legge, volte alla verifica dei requisiti dei richiedenti il Rdc, prevedono degli accessi a vari archivi tra cui quello dell’INPS e dell’Anagrafe tributaria che implicano un ingente flusso di dati tra varie banche dati, senza però, individuare i soggetti pubblici coinvolti né le misure tecniche e organizzative volte a prevenire accessi indebiti e/o utilizzi fraudolenti dei dati raccolti; il monitoraggio centralizzato e sistematico sull’utilizzo della carta del Rdc e i relativi controlli sulle scelte di consumo sono condotti in assenza di una previa valutazione dei rischi e di criteri definiti; il sito web non soddisfa tutti i requisiti richiesti per l’informativa sul trattamento dei dati e [...]

Privacy, dati personali e sicurezza: rinnovato il protocollo d’intenti tra Garante per la protezione dei dati personali e Servizi segreti

2019-05-03T14:27:25+02:0007 Mar 2019|Categorie: Articolo|Tag: , |

Antonello Soro – presidente del Garante per la protezione dei dati personali – e Gennaro Vecchione – Direttore Generale del Dipartimento delle informazioni per la sicurezza (“DIS”) –, hanno sottoscritto in data 6 marzo 2018 un protocollo d’intenti che conferma e aggiorna le linee dell'intesa istituzionale sottoscritte per la prima volta nel 2013 e rinnovate nel 2017. Il documento è stato rivisto al fine di garantirne la conformità al GDPR e al Decreto Legislativo 18 maggio 2018 n. 51 (attuativo della direttiva 2016/680 relativa alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati”). Obiettivi della nuova versione del protocollo – si legge all’interno del comunicato stampa del Garante (testo integrale) – sono, in particolare, quelli di (i) garantire agevoli interlocuzioni tra Garante e servizi d’intelligence attraverso lo scambio di informazioni nonché (ii) di promuovere buone pratiche in materia di sicurezza cibernetica, frutto delle reciproche collaborazioni con il mondo accademico e della ricerca. A questo fine, il Garante condividerà con il DIS le informazioni concernenti violazioni di dati personali che rilevino [...]

CNIL sanziona Google per violazione delle disposizioni del GDPR

2019-05-07T18:10:42+02:0007 Feb 2019|Categorie: Articolo, In evidenza|Tag: , , |

Il 21 gennaio 2019, il Garante Privacy francese (“CNIL”) ha comminato una sanzione di 50 milioni di euro nei confronti della società GOOGLE LLC. Per la prima volta il CNIL ha applicato i nuovi limiti di sanzioni previsti dal GDPR. L'importo deciso e la pubblicità della sanzione sono stati giustificati dal CNIL per la gravità delle violazioni individuate riguardo ai principi essenziali del GDPR: trasparenza, informativa e consenso. Il 25 e il 28 maggio 2018, le associazioni No of Your Business (“NOYB”) e La Quadrature Du Net (“LQDN”) hanno presentato al CNIL due reclami contro GOOGLE, sottolineando la mancanza di una valida base giuridica per il trattamento dei dati personali degli utenti per scopi di targeting pubblicitario. CNIL ha prontamente verificato la conformità delle operazioni di trattamento implementate da GOOGLE con il French Data Protection Act e il GDPR analizzando il modello di navigazione di un utente e i documenti a cui può accedere, quando crea un account GOOGLE, usando Android. Sulla base delle ispezioni effettuate, il CNIL ha individuato due tipi di violazioni del GDPR: Violazione degli obblighi di trasparenza e informativa Le informazioni fornite da GOOGLE non sono facilmente accessibili per gli utenti in quanto le informazioni essenziali [...]

Data Breach Unicredit: interviene il Garante

2019-05-03T21:56:08+02:0002 Feb 2019|Categorie: Articolo|Tag: , , |

1. Il Provvedimento Del Garante In Breve Il Garante per la Protezione dei Dati Personali (o il “Garante”) è intervenuto con il provvedimento n. 499 del 13 dicembre 2018 (o il “Provvedimento”) in merito alla violazione di dati personali (il “Data Breach”) conseguente ad un attacco informatico al sistema di online banking di Unicredit S.p.A. (o “Unicredit”). Il Data Breach ha interessato i REB code (codice identificativo personale per l’accesso al sistema di online banking) di 731.519 clienti della banca (o gli “Interessati”). A seguito del Data Breach il Garante ha ingiunto all’istituto bancario (i) di comunicare il Data Breach dei dati personali agli Interessati a cui non era ancora stata comunicata; (ii) di dare riscontro al Garante in merito a tale comunicazione nonché riguardo alle misure adottate per attenuare i possibili effetti negativi del Data Breach nei confronti degli Interessati. 2. Il contesto fattuale Il 22 ottobre 2018 Unicredit ha notificato al Garante un Data Breach di dati personali ai sensi dell’art. 33 del Regolamento (UE) n. 2016/679 (o il “GDPR”). In particolare il Garante veniva informata che il giorno precedente alla notifica (21 ottobre 2018) i sistemi di controllo interno di Unicredit avevano rilevato dei tentativi, provenienti dall’esterno, di [...]

Presentate le linee guida del Comitato Consultivo della Convenzione 108/1981

2019-05-11T11:45:22+02:0001 Feb 2019|Categorie: Articolo|

Durante la "Giornata della Protezione dei dati 2019", il Comitato consultivo della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati personali (Convenzione 108/1981), ha fornito dei chiarimenti e suggerimenti sulle linee guida presentate sull’intelligenza artificiale e la protezione dei dati personali. Il Garante Privacy ha ampiamente contribuito alle linee guida e ai lavori del Comitato che presiede dal 2016. Le linee guida raccomandano una serie di misure generali sull’intelligenza artificiale (“IA”) da seguire per garantire che le applicazioni dell’IA non pregiudichino la dignità umana, i diritti umani e le libertà fondamentali di ogni individuo, in particolare per quanto riguarda il diritto alla protezione dei dati personali. Si evidenzia che ogni progetto basato sull’IA dovrebbe rispettare (i) la dignità umana e le libertà fondamentali, incluso il diritto alla protezione dei dati personali, nonché (ii) i principi base di liceità, correttezza, specificazione della finalità, proporzionalità del trattamento, privacy by design e by default, sicurezza dei dati e gestione dei rischi. Tra le indicazioni contenute nelle linee guida si sottolinea che è necessario: adottare un approccio fondato sulla preventiva valutazione dell’impatto che sistemi, software e dispositivi basati sull’IA possono avere sui diritti fondamentali; minimizzare i relativi rischi per i soggetti interessati [...]

Garante per la protezione dei dati personali: la fatturazione elettronica va rivista

2019-05-03T14:26:03+02:0030 Nov 2018|Categorie: Articolo|Tag: |

Con provvedimento del 15 novembre 2018 n. 9059949, l’Autorità Garante per la protezione dei dati personali (il "Garante") ha avvisato l’Agenzia delle entrate (l'"Agenzia") che i trattamenti di dati personali effettuati nell’ambito della fatturazione elettronica presentano numerose criticità rispetto alla conformità alla normativa vigente. Alla luce di ciò, il Garante ha chiesto all’Agenzia di essere informato con urgenza sulle modalità con cui quest’ultima intenda rendere la fatturazione elettronica compliant alla normativa applicabile in materia di protezione dei dati personali. Stando a quanto riferito dal Garante, l’obbligo di fatturazione elettronica – che, a partire dal 1 gennaio 2019, verrà esteso anche alle operazioni effettuate tra operatori IVA e alle operazioni tra operatori IVA e consumatori – presenterebbe nell'attuale formulazione un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento obbligatorio, generalizzato e di dettaglio di dati personali, anche ulteriori rispetto a quelli necessari a fini fiscali, relativi ad ogni aspetto della vita quotidiana della totalità della popolazione, e pertanto non proporzionato all’obiettivo di interesse pubblico, pur legittimo, perseguito. È possibile visualizzare il provvedimento del Garante in versione integrale al seguente link. Di seguito, per comodità, si riassumono alcune delle principali criticità rilevate dal Garante: i provvedimenti del [...]

DPIA: il parere dell’EDPB sulla bozza dell’elenco del Garante Privacy

2019-05-03T14:26:04+02:0030 Nov 2018|Categorie: Articolo|Tag: , , |

In data 3 ottobre 2018 il Comitato europeo per la protezione dei dati personali (“EDPB” o il “Comitato”) ha pubblicato l’“Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment” in riferimento all’elenco sottoposto dal Garante per la protezione dei dati personali con riguardo alle tipologie di trattamento soggette all’esecuzione di una Valutazione d’impatto sulla protezione dei dati personali (“DPIA”) ai sensi dell’art. 35 GDPR. Il Comitato ha il compito di esaminare e armonizzare gli elenchi, al fine di evitare incongruenze che potrebbero incidere sulla protezione equivalente dei soggetti interessati nei vari Stati membri. Pertanto, il Comitato fornisce indicazioni alle Autorità di Controllo al fine di: includere alcune tipologie di trattamento nei loro elenchi; rimuovere alcuni criteri non considerati idonei a presentare un rischio elevato per gli interessati; e infine usare alcuni criteri in modo armonizzato. Il Comitato ha, altresì, indicato nel parere in oggetto, quali correzioni e/o miglioramenti apportare alla lista, riassunti qui di seguito: natura dell’elenco e linee guida WP248 del WP29 sulla DPIA: indicare che la lista è a titolo esemplificativo e far riferimento alle linee guida sulla DPIA del [...]

Primi risultati dell’indagine conoscitiva sui Big Data

2019-05-03T14:26:04+02:0030 Set 2018|Categorie: Articolo|Tag: , |

DPIA: il parere dell’EDPB sulla bozza dell’elenco del Garante Privacy A poco più di un anno dall’avvio dell’indagine conoscitiva sui Big Data, l’Autorità Garante della Concorrenza e del Mercato, l’Autorità per le Garanzie nelle Comunicazioni e il Garante per la Protezione dei Dati Personali (le “Autorità”) hanno fornito un’informativa preliminare sulle attività di approfondimento condotte e sulle evidenze emerse. Scopo dell’analisi è quello di comprendere l’impatto economico dell’utilizzo dei Big Data sul mercato, approfondendo il rapporto tra le imprese che forniscono i propri servizi su determinati mercati anche attraverso l’analisi e lo sfruttamento di questi enormi insiemi di dati e gli utenti/consumatori che forniscono i propri dati personali. In particolare, le Autorità hanno indagato la propensione degli utenti a consentire l’uso dei propri dati a fronte dell’erogazione di servizi, affrontando tre questioni principali: (i) il grado di consapevolezza degli utenti delle piattaforme digitali in relazione alla cessione e all’utilizzo dei propri dati individuali; (ii) la disponibilità degli utenti a cedere i propri dati personali come forma di pagamento dei servizi online; (iii) la portabilità dei dati da una piattaforma all’altra. I risultati mostrano che circa 6 utenti su 10 sono consapevoli del fatto che le loro azioni online generano dati [...]

Il TAR conferma il profilo eminentemente giuridico del DPO

2019-05-03T14:26:04+02:0030 Set 2018|Categorie: Articolo|Tag: |

Con la sentenza n. 287 del 13/09/2018 il Tribunale Amministrativo Regionale per il Friuli Venezia Giulia si è espresso sui requisiti che il Responsabile della Protezione dei dati personali (ormai noto anche come Data Protection Officer o “DPO”) – ovvero la nuova figura prevista dall’art. 37 del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (comunemente denominato anche “GDPR”) – deve possedere per poter partecipare ai processi d selezione indetti dalle pubbliche amministrazioni. In particolare, il TAR ha accolto l’impugnazione del ricorrente che contestava l’individuazione della certificazione di Auditor/Lead Auditor ISO/IEC/27001 quale requisito di ammissione alla procedura di selezione. In primo luogo, il Tribunale amministrativo ha sostenuto che la suddetta non può costituire titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di DPO ai sensi del GDPR, dovendosi altresì considerare che la norma ISO 27001 si applica principalmente con riferimento all’attività di impresa. In secondo luogo ha precisato che la medesima norma, “per quanto possa essere potenzialmente estensibile all’attività delle pubbliche amministrazioni, fa pur sempre salva l’applicazione delle disposizioni speciali (euro-unitarie e nazionali) in materia di tutela dei dati personali e della riservatezza (punto 18 “conformità” della citata norma ISO; [...]

Garante Privacy: no al controllo indiscriminato delle email aziendali

2019-05-03T14:27:42+02:0031 Mag 2018|Categorie: Articolo|Tag: , |

Il Garante privacy italiano, con provvedimento n. 53 del 1 febbraio 2018, è intervenuto sul tema del trattamento di dati personali effettuato sugli account di posta elettronica aziendale, stabilendo che le società non possono effettuare un controllo massivo e una conservazione illimitata delle email aziendali dei propri dipendenti. La società, come precisato dal Garante, deve limitarsi a conservare informazioni ai soli fini della tutela dei diritti in un eventuale giudizio pendente. Nel caso di specie l’Autorità si è pronunciata su un reclamo presentato da un dipendente di una società che – a seguito di un provvedimento disciplinare comminatogli, cui era seguito il licenziamento – ha segnalato al Garante che la società in questione accedeva ai dati personali contenuti nelle email, anche di natura privata, scambiate dal reclamante con alcuni colleghi. La società, infatti, conservava sui server aziendali tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai propri dipendenti per l’intera durata del rapporto di lavoro e anche successivamente all’interruzione dello stesso, in vista dell’accesso al contenuto delle stesse materialmente effettuato da parte di soggetti di volta in volta dalla stessa autorizzati. La società è stata ritenuta responsabile di gravi violazioni dall’Autorità, non solo per non aver comunicato ai [...]

Carica altri articoli
Torna in cima