Deal Brexit: raggiunto l’accordo di commercio e cooperazione

2021-01-12T12:44:30+01:0031 Dic 2020|Categorie: Articolo, In evidenza|

Introduzione: excursus della Brexit Il percorso di uscita del Regno Unito (di seguito, “Regno Unito” o “UK”) dall’Unione europea (di seguito, “UE”), c.d. Brexit, è iniziato con il referendum del 23 luglio 2016, attraverso il quale i cittadini inglesi esprimevano la volontà di lasciare l’UE, notificata nel 2017 dal governo inglese al Consiglio europeo. Contestualmente, si avviava quindi sia la procedura di recesso volontario e unilaterale di cui all’art. 50 del Trattato sull’Unione europea sia la negoziazione dell’accordo volto a disciplinare i termini e le condizioni dell’uscita del Regno Unito dall’UE. Nel 2019 veniva stipulato il c.d. “Withdrawal Agreement”, entrato in vigore nel febbraio 2020, il quale prevedeva un periodo di transizione durante il quale i diritti e gli obblighi stabiliti a livello europeo continuavano ad applicarsi al Regno Unito fino al 31 dicembre 2020. Quando ormai il periodo di transazione stava per giungere al termine e il no-deal Brexit sembrava poter essere l’unica opzione, il 24 dicembre 2020, la Commissione europea (“Commissione UE”) comunicava di aver raggiunto un accordo con il Regno Unito sui termini della loro futura cooperazione, il c.d. “Trade and Cooperation Agreement” (l’“Accordo”). Considerando che l’Accordo regola i molteplici settori contemplati dal diritto dell’UE, il presente [...]

Il Tribunale di Bologna condanna Deliveroo per l’utilizzo di un algoritmo discriminatorio

2021-01-18T11:26:38+01:0031 Dic 2020|Categorie: Articolo|

Lo scorso 31 dicembre 2020, la sezione lavoro del Tribunale di Bologna ha condannato la società Deliveroo Italia S.r.l. (“Deliveroo” o la “Società”), convenuta in giudizio dalle associazioni sindacali FILMCAS CGIL, NIDIL CGIL, FILT CGIL (i “Sindacati”) per la natura discriminatoria delle condizioni di accesso alle sezioni di lavoro tramite la piattaforma digitale della Società. La decisione del Giudice Deliveroo è una società multinazionale attiva nel settore del food delivery che, per lo svolgimento delle proprie attività, si avvale di un modello organizzativo basato su una rete di rider i quali, installando un’apposita app sul proprio smartphone, possono prenotare una determinata sezione di lavoro (cd. “slot di lavoro”). Il sistema di prenotazione delle sezioni di lavoro, ormai non più utilizzato dalla Società, si fondava su un punteggio attribuito a ciascun rider da un algoritmo basato su un ranking reputazionale, elaborato sui parametri dell’affidabilità e della partecipazione del rider (cd. algoritmo “Frank”). I valori dei due indici venivano determinati rispettivamente: dal numero delle occasioni in cui il rider, pur avendo prenotato una sessione, non vi avesse partecipato, ossia non si fosse “loggato” nei 15 minuti prima dell’inizio della sessione (cd. “Indice di Affidabilità”); dal numero di volte in cui il rider [...]

Data Breach: il Garante lancia un nuovo servizio online per semplificare gli adempimenti

2021-01-21T14:24:31+01:0027 Dic 2020|Categorie: Articolo|

La violazione dei dati personali  espressamente disciplinata dal Regolamento UE 2016/679 (“GDPR” o il “Regolamento”), consiste in una violazione di sicurezza subìta dal titolare o dal responsabile del trattamento, che comporta, in modo illecito o accidentalmente, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, compromettendo la riservatezza, l’integrità o la disponibilità dei dati personali[1]. A titolo esemplificativo e non esaustivo, un data breach può verificarsi nel caso di accesso o acquisizione dei dati da parte di terzi non autorizzati, oppure in caso di furto o perdita di dispositivi informatici contenenti dati personali, nonché qualora si verificasse l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware. Considerato quanto sopra, gli artt. 33 e 34 del GDPR rubricati, rispettivamente, “Notifica di una violazione dei dati personali all’autorità di controllo” e “Comunicazione di una violazione dei dati personali all’interessato”, prevedono rispettivamente l’obbligo per i titolari del trattamento di: notificare la violazione dei dati personali eventualmente subìta all’Autorità di controllo nazionale competente (oppure, in caso di violazione transfrontaliera, all’Autorità capofila); nonché in alcuni casi, specificatamente individuati dalla norma, comunicare la violazione alle singole persone fisiche i cui [...]

Le nuove linee guida del Garante Privacy sull’utilizzo dei cookie e di altri strumenti di tracciamento

2021-01-19T12:17:29+01:0020 Dic 2020|Categorie: Articolo|

Introduzione Il 10 dicembre 2020, l’Autorità garante per la protezione dei dati personali (“Garante Privacy” o l’”Autorità”) ha avviato una consultazione pubblica sulle “Linee Guida sull’utilizzo dei cookie e di altri strumenti di tracciamento” (“Linee Guida”), destinata a concludersi il prossimo 11 gennaio 2021. La stessa Autorità era già intervenuta sul tema “cookie” con il Provvedimento n. 229 dell’8 maggio 2014, denominato “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” (“Provvedimento Cookie”). Tuttavia, a seguito dell’entrata in vigore del Regolamento UE 2016/679 (“GDPR” o il “Regolamento”), nonché delle novità e dei chiarimenti in tema di consenso forniti dall’European Data Protection Board (“EDPB”) con le Linee Guida 5/2020 sul consenso[1], il Garante Privacy ha ritenuto necessario aggiornare il precedente Provvedimento Cookie adottando le Linee Guida, le quali hanno lo scopo di specificare sia le modalità di acquisizione, ove necessario, del consenso online degli interessati per l’installazione dei cookie, sia le informazioni relative all’utilizzo dei cookie che dovranno essere comunicate agli interessati ex art. 13 del GDPR. Il presente contributo analizzerà quindi: le novità in merito all’acquisizione del consenso online per l’installazione dei cookie; l’applicazione del principio di privacy by design e privacy by default ai [...]

FAQ dell’Autorità Garante per la protezione dei dati personali in materia di videosorveglianza e protezione dei dati personali

2020-12-17T11:09:06+01:0030 Nov 2020|Categorie: Articolo|

Videosorveglianza e trattamento di dati personali Ai sensi dell’art. 4, comma 1, n. 1 e 2 del Regolamento UE 2016/679 (“GDPR”), è considerato “dato personale” qualsiasi informazione riguardante una persona fisica identificata o identificabile ed è considerato un “trattamento” la raccolta, la registrazione e la conservazione di un dato personale e dunque, l’utilizzo delle immagini configura come un trattamento di dati personali. La Corte di Cassazione[1] è concorde nel considerare l’immagine di una persona quale dato personale in quanto si tratta di un dato immediatamente idoneo a identificare una persona a prescindere dalla sua notorietà. Nello stesso senso, la Corte di Giustizia dell’Unione europea, pronunciandosi sulla causa C-212/13 (Ryneš vs. Ufficio per la tutela dei dati personali), ha affermato che l’immagine di una persona registrata da una telecamera costituisce un dato personale se e in quanto consente di identificare la persona interessata e che una sorveglianza effettuata mediante registrazione video delle persone e immagazzinata in un dispositivo di registrazione, costituisce un trattamento automatizzato di dati personali. Considerata la varietà di trattamenti di dati personali derivanti dall’attività di videosorveglianza e le ripercussioni che tale attività potrebbe avere sulla sfera personale e privata degli individui ripresi, il Garante Privacy, il 5 dicembre [...]

Transfer of personal data to third countries: clarifications and new measures after the “Schrems II” judgement


2020-11-24T10:59:32+01:0024 Nov 2020|Categorie: Articolo|

With the judgment published on 16 July 2020 (s.c. “Schrems II”), the Court of Justice of the European Union has invalidated the Decision 2016/1250 adopted by the European Commission pursuant to Article 45 of the GDPR on the adequacy of the protection provided by the EU-U.S. Privacy Shield. Given the legal complexity and economic implications of the aforementioned judgment, the European authorities and institutions have recently published clarifications on the legal framework regarding transfers of personal data to third countries, as well as measures to amend the applicable legislation in the light of the principles set out in the Schrems II judgment. For further details, please refer to the memorandum summarising said clarifications and measures, available at the following link: Transfer of personal data to third countries: clarifications and new measures after the “Schrems II” judgement

Telemarketing e illecito trattamento di dati personali: il Garante Privacy sanziona Vodafone per oltre 12 milioni di euro

2020-11-23T10:04:07+01:0023 Nov 2020|Categorie: Articolo, In evidenza|Tag: , , , , , , |

L’Autorità garante per la protezione dei dati personali (“Garante Privacy” o “Autorità”) - con il provvedimento n. 224 del 12 novembre 2020 - ha irrogato a Vodafone Italia S.p.A. (“Vodafone” o “Società”) una sanzione pecuniaria pari a 12.251.601 euro per aver trattato in modo illecito i dati personali di milioni di utenti a fini di telemarketing. La sanzione è stata comminata all’esito di una complessa istruttoria avviata dal Garante Privacy a seguito di centinaia di segnalazioni e reclami inviati da interessati, che lamentavano continui contatti telefonici indesiderati effettuati dalla Società per promuovere i propri servizi di telefonia e internet. Gli accertamenti svolti dall’Autorità hanno evidenziato importanti criticità “di sistema”, che riguardano la violazione di numerose previsioni del Regolamento (UE) 2016/679 (“Regolamento” o “GDPR”), tra cui i principi di privacy by design (art. 25, GDPR)[1] e di responsabilizzazione (art. 24, GDPR)[2], nonché l’obbligo di adottare idonee misure di sicurezza (art. 32, GDPR)[3]. In particolare, nel corso dell’istruttoria è emerso che la Società non ha implementato controlli sulla filiera dei dati personali acquisiti nella fase di promozione dei servizi, idonei a escludere contatti provenienti da numerazioni sconosciute (riconducibili al “sottobosco” dei call center abusivi) e, in generale, a garantire la correttezza dell’attività [...]

Trasferimento di dati personali in Paesi extra-UE: nuovi chiarimenti e provvedimenti a seguito della sentenza “Schrems II”

2020-11-24T10:43:05+01:0017 Nov 2020|Categorie: Articolo, In evidenza|

Con la sentenza pubblicata lo scorso 16 luglio 2020 (c.d. “Schrems II”), la Corte di giustizia dell’Unione europea ("CGUE"), da un lato, ha statuito l’invalidità della decisione di adeguatezza adottata dalla Commissione europea ai sensi dell’art. 45 del Regolamento (UE) 2016/679 (“GDPR”) relativa al Privacy Shield, dall'altro, ha ritenuto valida la decisione della Commissione europea relativa alle Standard Contractual Clauses (“SCC”). Vista la complessità giuridica e le implicazioni economiche della summenzionata sentenza, le autorità e le istituzioni europee hanno pubblicato chiarimenti sul quadro dei trasferimenti di dati personali in Paesi extra-UE, nonchè provvedimenti volti a modificare la normativa applicabile alla luce dei principi enunciati nella sentenza Schrems II. Per maggiori approfondimenti, si consiglia di prendere visione del memorandum riepilogativo dei suddetti chiarimenti e provvedimenti, disponibile al seguente link: Trasferimento di dati personali in Paesi extra-UE_nuovi chiarimenti e provvedimenti a seguito della sentenza Schrems II

Diritto all’oblio: il Garante Privacy conferma la possibilità di ottenere la deindicizzazione per coloro che sono estranei a vicende giudiziarie

2020-12-17T10:46:10+01:0015 Nov 2020|Categorie: Articolo|

Il 15 ottobre 2020, l’Autorità garante per la protezione dei dati personali (“Garante” o l’ “Autorità”) ha ribadito, con due distinti provvedimenti, il principio per il quale una persona ha diritto a vedere deindicizzati dai motori di ricerca gli articoli che riportano vicende giudiziarie risalenti nel tempo alle quali è poi risultata estranea. Il diritto all’oblio Giova premettere che per “diritto all’oblio” si intende il diritto ad essere dimenticati e a non vedere il proprio nome associato a fatti o vicende ormai lontane nel tempo. Tale diritto, espressamente riconosciuto dalla Corte di Giustizia dell’Unione europea (“CGUE”) con la sentenza del 13 maggio 2014 nel caso Google Spain (causa C-131/12) a seguito di un lungo percorso giurisprudenziale, è considerato un diritto di “nuova generazione” in quanto strettamente connesso all’evoluzione della tecnologia e, in particolare, alle esigenze di tutela della riservatezza e dell’identità personale sorte con l’avvento di Internet. In generale, si può parlare di diritto all’oblio in tre diverse accezioni: in senso tradizionale e dunque prima dell’avvento di Internet, quale diritto di un soggetto a non vedere nuovamente pubblicate notizie relative a vicende, in passato legittimamente diffuse, quando è ormai trascorso un notevole lasso di tempo tra la prima e la [...]

ICO sanziona Marriott International per 18.4 milioni di sterline

2020-11-18T15:39:40+01:0030 Ott 2020|Categorie: Articolo|

Il 30 ottobre 2020, l’Information Commissioner’s Office (“ICO”), ossia l’Autorità inglese per la protezione dei dati personali, ha sanzionato la catena alberghiera Marriott International (“Marriott”) per 18.4 milioni di sterline (pari circa a 20.4 milioni di euro) per non aver protetto i dati personali di milioni di clienti. La sanzione si riferisce all’attacco informatico ai sistemi IT di Starwood Hotels (“Starwood”) – società poi acquisita da Marriott – subìto nel 2014 e che, provenendo da una fonte sconosciuta, non era stato scoperto sino a settembre 2018. In particolare, stando a quanto indicato nel provvedimento dell’ICO, l’analisi dell’attacco hacker ha rivelato che la rete di Starwood era stata compromessa (i) dall’installazione di un malware che ha permesso ad un hacker di accedere da remoto ai sistemi IT della società in qualità di “priviledged user”, nonché (ii) dall’installazione di ulteriori tools che hanno permesso allo stesso di venire a conoscenza delle credenziali di accesso di alcuni utenti alla predetta rete. Attraverso tali credenziali, era stato dunque hackerato il database di Starwood contenente i dati di prenotazione dei clienti con la conseguente esportazione degli stessi al di fuori del perimetro IT della società. Sebbene Marriott, venuta a conoscenza dell’attacco, abbia coinvolto tempestivamente l’ICO [...]

Dati relativi alle comunicazioni elettroniche: la CGUE esclude la possibilità di trattamenti generalizzati e indiscriminati da parte dello Stato

2020-11-04T10:43:10+01:0030 Ott 2020|Categorie: Articolo, In evidenza|Tag: , , , , , , |

Lo scorso 6 ottobre, la Corte di Giustizia dell’Unione europea (“CGUE” o “Corte”) si è pronunciata nella causa Privacy International (C-623/17), nonché nelle cause riunite La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18), Ordre des barreaux francophones et germanophone and Others (C-520/18) (congiuntamente, le “Pronunce”), in relazione alla liceità delle normative di taluni Stati membri, che prevedono l’obbligo in capo ai fornitori di servizi di comunicazione elettronica (“Fornitori” o “Provider”) di trasmettere i dati relativi al traffico[1] e all’ubicazione[2] delle persone fisiche che utilizzano un servizio di comunicazione elettronica[3] accessibile al pubblico (“Utenti”) a un’autorità pubblica e/o di conservare tali dati in modo generale o indiscriminato. Le Pronunce si inseriscono all’interno di un filone giurisprudenziale della Corte ormai costante, che negli ultimi anni si è espressa più volte sul tema della conservazione e dell’accesso ai dati personali nel settore delle comunicazioni elettroniche, per tali intendendosi ogni informazione scambiata o trasmessa tra un numero finito di soggetti per mezzo di segnali elettronici[4] (e.g., su reti di telecomunicazioni o di teleradiodiffusione). In particolare, già nella sentenza Tele2 Sverige and Watson and Others del 21 dicembre 2016, la CGUE aveva stabilito che gli Stati membri UE non possono [...]

Illecito trattamento di dati personali di partecipanti a un concorso pubblico: il Garante privacy sanziona l’ospedale “A. Caldarelli” di Napoli e la società fornitrice della piattaforma dedicata ai concorsi

2020-10-21T10:33:50+02:0021 Ott 2020|Categorie: Articolo, In evidenza|

L’Autorità garante per la protezione dei dati personali (“Garante privacy” o “Autorità”), a seguito di una segnalazione che lamentava la diffusione di dati personali di candidati a un concorso pubblico, con il provvedimento n. 160 del 17 settembre 2020 ha irrogato all’azienda ospedaliera “A. Cardarelli” di Napoli (“Azienda” o “Committente”) una sanzione pecuniaria pari ad 80.000,00 euro per illecito trattamento di dati personali. Parimenti, con il provvedimento n. 161 del 17 settembre 2020, il Garante privacy ha altresì comminato una sanzione di 60.000,00 euro alla società Scanshare S.r.l. (“Società” o “Outsourcer”), affidataria del servizio di gestione delle domande online e della fase di preselezione informatica dei partecipanti al concorso. La segnalazione e l’attività istruttoria condotta dall’Autorità La segnalazione pervenuta all’Autorità rappresentava che, collegandosi alla piattaforma per la gestione delle domande ai concorsi indetti dall’Azienda, era possibile per chiunque visualizzare il codice di iscrizione dei candidati a uno specifico concorso, associato ad un collegamento ipertestuale che permetteva l’accesso a un’area del portale nella quale erano contenuti alcuni documenti presentati dai candidati. Ciò consentiva, da un lato, di visualizzare i predetti documenti (contenenti dati comuni e dati relativi alla salute) e, dall’altro, di modificare i dati inseriti dai candidati. Sul punto, l’Azienda [...]

Profilazione illecita: H&M multata per 35 milioni di euro per raccolta di informazioni sulla vita privata dei propri dipendenti

2020-10-12T10:44:44+02:0030 Set 2020|Categorie: Articolo, In evidenza|Tag: , , , |

Il 1° ottobre 2020, la Commissione per la protezione dei dati e la libertà di informazione di Amburgo (l'“Autorità”) ha comminato una sanzione pari a circa 35 milioni di euro nei confronti della nota società di moda H&M Hennes & Mauritz Online Shop A.B. & Co KG (la “Società” o “H&M”) per aver monitorato e profilato diverse centinaia di dipendenti, dando luogo quindi a una grave violazione dei diritti dei dipendenti stessi. I FATTI CONTESTATI   A partire dal 2014, la Società ha avviato un’operazione di raccolta di informazioni relative alla vita privata dei dipendenti, finalizzata alla creazione di profili personali ben dettagliati da utilizzare o tenere in considerazione sia per la valutazione della performance lavorativa dei dipendenti, sia nell’ambito di decisioni riguardanti il loro impiego. La Società ha ottenuto tali informazioni attraverso le cd. “Welcome back talks” con i dipendenti, organizzate dalla stessa a seguito di vacanze o assenze per motivi di salute in occasione delle quali i dipendenti erano chiamati a condividere con i propri referenti aziendali dettagli della loro vita privata, come ad esempio racconti delle vacanze e delle esperienze ivi vissute o informazioni inerenti al proprio stato di salute e quindi eventuali sintomi e diagnosi di [...]

La Cassazione: il danno per violazione della normativa privacy non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno”

2020-10-15T16:09:08+02:0015 Set 2020|Categorie: Articolo|

Con la sentenza n. 17383 del 20 agosto 2020, la Cassazione si è pronunciata sul risarcimento del danno non patrimoniale per violazione dei dati personali ai sensi degli ormai abrogati articoli 11 e 15 del D. Lgs. 196/2003 (“Codice Privacy”), i quali prevedevano la risarcibilità del danno, anche di natura non patrimoniale, cagionato per effetto del trattamento illegittimo dei dati personali. In questa sentenza, la Suprema Corte ha ribadito un principio già espresso in precedenza: il danno non patrimoniale derivante dalla violazione dell’art. 15 del Codice Privacy può essere risarcito solo qualora venga provata la gravità della lesione e la serietà del danno. La questione da ultimo sottoposta alla Cassazione nasceva dalla presentazione di una domanda di risarcimento del danno da parte di uno studio associato nei confronti di un istituto bancario, per avere quest’ultimo, a detta dello studio, violato il dovere di segretezza delle informazioni bancarie, avendo la banca inviato una raccomandata, priva di busta e ripiegata su sé stessa, contenente la revoca degli affidamenti concessi allo studio. In primo grado il Tribunale di Roma rigettava la domanda per difetto di prova sia dell’evento lesivo (la lettura del testo della raccomandata da parte di terzi) sia del danno conseguenza [...]

Casella di posta elettronica dell’ex dipendente: sanzionabile il datore di lavoro che non la elimina

2020-10-15T17:44:41+02:0010 Set 2020|Categorie: Articolo|

  Introduzione L’utilizzo della posta elettronica e di internet sul posto di lavoro è disciplinato dalle “Linee guida del Garante per posta elettronica e internet” (“Linee Guida”) pubblicate nel 2007 dall’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”). Le Linee Guida forniscono indicazioni pratiche ai datori di lavoro sulla gestione della posta elettronica e della rete Internet messe a disposizione ai dipendenti per lo svolgimento delle mansioni loro affidate e hanno lo scopo di contemperare le legittime aspettative di un ordinato svolgimento dell’attività lavorativa con la prevenzione di possibili intrusioni nella sfera personale dei lavoratori, nonché di violazioni della disciplina sull’eventuale segretezza della corrispondenza. A tal fine, le Linee Guida impongono al datore di lavoro l’onere di indicare, con riferimento ad ogni specifico caso, in modo chiaro e particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione ritenute corrette e se, in che misura e con quali modalità vengano effettuati controlli. Il caso Mapei S.p.A. Con un’ordinanza ingiunzione del 2 luglio 2020, il Garante Privacy ha sanzionato Mapei S.p.A. (“Società”) per aver mantenuto attivo l’account di posta elettronica di un dipendente che aveva presentato le sue dimissioni nel 2017. In particolare, l’ex [...]

Orientations from the EDPS: body temperature checks by EU institutions in the context of the COVID-19 crisis

2020-09-14T09:59:09+02:0031 Ago 2020|Categorie: Articolo, In evidenza|Tag: , |

INTRODUCTION To prevent the spread of the Covid-19 contamination, the European Union Institutions (“EUIs”) have implemented, among other necessary health and safety measures (such as masks provision, disinfecting gel, contact tracing by health authorities, etc.), body temperature checks for the EUIs’ staff and visitors. Due to the fact that such checks can be implemented through a variety of devices and processes and, in some case, they may constitute an interference into individuals’ rights to private life and/or personal data protection, on the 1st September 2020, the European Data Protection Supervisor (“EDPS”) issued orientations on the use of body temperature checks by EUIs (“Guidelines”). The Guidelines may also be useful for the legal assessment required by the GDPR, with particular regard to the lawfulness of the processing, automated individual decision-making as well as technical and organisational measures to be implemented also by private entities for carrying out body temperature checks. THE GUIDELINES The EDPS distinguishes between those body temperature checks that are subject to the Regulation (EU) 2018/1725 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data (the “Regulation”) and [...]

Trasferimenti dei dati personali verso gli Stati Uniti: la sentenza Schrems II

2020-09-14T19:38:33+02:0020 Ago 2020|Categorie: Articolo|Tag: , , , , , , |

La Corte di Giustizia dell’Unione europea (“CGUE”), con la sentenza del 16 luglio 2020, ha invalidato la decisione 2016/1250 della Commissione UE, la quale considerava “adeguato” il livello di protezione assicurato dal Privacy Shield, meccanismo utilizzato dalle aziende statunitensi e volto a certificare il rispetto di specifici standard nel trattamento dei dati ricevuti dall’Unione europea (“UE”). A seguito di tale pronuncia, quindi, il trasferimento di dati personali dall’UE verso gli Stati Uniti (“USA”) per fini commerciali non può più verificarsi sulla base del Privacy Shield. Le motivazioni poste alla base di detta sentenza sono individuate (i) nell’esistenza di programmi di sorveglianza di massa che consentono al Governo americano di utilizzare i dati personali per scopi di sicurezza e difesa nazionale senza che venga rispettato il principio di proporzionalità e (ii) nell’assenza di un effettivo strumento di tutela per gli interessati. Al contempo, la CGUE ha ritenuto valida la decisione 2010/87 della Commissione UE, la quale legittima il trasferimento dei dati personali di cittadini europei verso gli USA sulla base di clausole contrattuali tipo (cd. Standard Contractual Clauses). La vicenda Schrems La vicenda Schrems trae origine dalle rilevazioni di Edward Snowden – ex collaboratore della National Security Agency (NSA) – in [...]

Parere del Garante Privacy relativo alle Linee Guida sulla conservazione dei documenti digitali: necessarie maggiori tutele

2020-07-30T18:06:56+02:0030 Lug 2020|Categorie: Articolo|Tag: , |

Nell’ambito della predisposizione da parte dell’Agenzia per l’Italia digitale (di seguito “AgID”) della bozza di “Linee guida per la stesura del piano di cessazione del servizio di conservazione” (“Linee Guida”), le quali si inseriscono nel processo di attuazione del Codice per l’Amministrazione Digitale (“CAD”), il documento è stato sottoposto al parere dell’Autorità Garante per la protezione dei dati personali (il “Garante Privacy”). Le Linee Guida sono volte a implementare la gestione digitale dei procedimenti amministrativi, garantendo la corretta amministrazione dei documenti dalla produzione alla conservazione degli stessi. Il documento si inserisce, infatti, nel più ampio processo di digitalizzazione che vede coinvolta la pubblica amministrazione, i soggetti privati e, in generale, tutto il Paese. In particolare, la bozza di Linee Guida, che si compone di 6 allegati tecnici, individua le regole tecniche e di indirizzo che consentono al soggetto accreditato (“Soggetto Accreditato” o “Conservatore”) di porre in essere una corretta conservazione dei documenti informatici, quali a titolo esemplificativo, i documenti contabili e le dichiarazioni fiscali, e di predisporre un piano per la corretta migrazione dei dati che eviti perdite di informazioni, sia in caso di cessazione del servizio di conservazione sia in caso di revoca dell’accreditamento da parte dell’AgID nei confronti [...]

Operatori telefonici e trattamenti per finalità promozionali: il Garante Privacy sanziona Wind Tre S.p.A. per 17 milioni di Euro

2020-07-30T18:04:08+02:0030 Lug 2020|Categorie: Articolo|Tag: , , , |

L’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”), nell’ambito dello svolgimento della sua attività di controllo e a seguito di numerose segnalazioni e reclami da parte degli interessati, con il provvedimento n. 143 del 9 luglio 2020 (il “Provvedimento”), ha irrogato nei confronti della società Wind Tre S.p.A. (la “Società” o “Wind Tre”) una sanzione pari a circa 17 milioni di Euro per trattamenti illeciti di dati personali posti in essere dalla stessa, legati prevalentemente, ma non esclusivamente, ad attività promozionali.   In aggiunta, il Provvedimento ha comportato la determinazione della sanzione nei confronti della Società anche alla luce di alcuni trattamenti illeciti effettuati da quest’ultima emersi a seguito di un secondo e parallelo procedimento istruttorio, avviato a seguito di segnalazioni pervenute all’Autorità, inerente alcuni aspetti delle attività promozionali poste in essere per conto della stessa dalla filiera di subagenti e partner commerciali della Società (il “Procedimento Parallelo”). Il Procedimento Parallelo ha determinato l’irrogazione di una sanzione pari a 200 mila Euro – nonché il conseguente divieto di utilizzo dei dati raccolti e trattati – nei confronti di uno dei partner di Wind Tre, il quale aveva sub-affidato intere fasi dei trattamenti effettuati ad alcuni [...]

Two years of application of the GDPR: the European Commission’s evaluation report

2020-07-16T15:31:19+02:0030 Giu 2020|Categorie: Articolo|

On June 26, 2020, the European Commission (the “Commission” or the "EC") published an evaluation report (“Report”) regarding the two years of application of the General Data Protection Regulation 679/2016 (“GDPR”). The Report, entitled “Data protection as a pillar of citizens’ empowerment and the EU’s approach to the digital transition”, shows that the GDPR has achieved most of its objectives, in particular by guaranteeing EU citizens a solid set of rights and a better control over their personal data, which are processed for a legitimate purpose, in a lawful, fair and transparent way; by creating a new European system of governance based on stronger and harmonised enforcement powers provided to the independent data protection authorities (“DPAs”) and by strengthening the companies operating within the internal market in a context of an economy increasingly based on the processing of data, including personal data. Moreover, the GDPR has also proved to be a flexible tool in supporting digital solutions in unforeseen circumstances such as the Covid-19 crisis while still ensuring a high level of protection of personal data. This article provides a brief summary of some aspects of particular interest arisen from the Report concerning both the achieved objectives and the identified [...]

Data breach di Unicredit S.p.A.: il Garante Privacy irroga una sanzione pari a 600 mila Euro

2020-07-13T11:53:15+02:0020 Giu 2020|Categorie: Articolo|Tag: , , |

Con ordinanza ingiunzione del 10 giugno 2020, a conclusione di una complessa attività istruttoria avviata a seguito di un data breach subìto e notificato da UniCredit S.p.A. (la “Banca” o “UniCredit”), l’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”) ha inflitto nei confronti della Banca una sanzione pari a 600 mila Euro in ragione degli accertati accessi abusivi ai dati personali superiore a 760 mila clienti. Gli accessi abusivi rilevati in due momenti temporalmente distinti, tra l’aprile del 2016 e il luglio del 2017, sono stati posti in essere utilizzando le utenze di alcuni dipendenti della società Penta Finanziamenti Italia S.r.l. (mandataria di UniCredit per il prodotto di cessione del quinto dello stipendio) attraverso un applicativo denominato “Speedy Arena”. La violazione riscontrata ha riguardato dati personali di tipo anagrafico e di contatto, dati relativi alla professione lavorativa e al livello di studio, estremi identificativi di documenti di riconoscimento, nonché informazioni dell’interessato relative al proprio datore di lavoro, salario, importo del prestito, stato del pagamento, “approssimazione della classificazione creditizia del cliente” e codice Iban. ATTIVITA’ ISPETTIVA DEL GARANTE A seguito della notifica del data breach da parte della Banca, il Garante Privacy ha avviato un’istruttoria, terminata [...]

La pronuncia del Garante Privacy sul “nuovo” Processo Amministrativo Telematico

2020-07-13T12:28:26+02:0010 Giu 2020|Categorie: Articolo|Tag: , |

Il Decreto Legge 30 aprile 2020, n. 28, recante "Misure urgenti per la funzionalità dei sistemi di intercettazioni di conversazioni e comunicazioni, ulteriori misure urgenti in materia di ordinamento penitenziario, nonché disposizioni integrative e di coordinamento in materia di giustizia civile, amministrativa e contabile e misure urgenti per l'introduzione del sistema di allerta Covid-19" (c.d. “Decreto Giustizia”), convertito, con modificazioni, dalla legge 25 giugno 2020, n. 70, ha rivoluzionato la fonte normativa delle regole tecniche del Processo Amministrativo Telematico (“PAT”). L’art. 4 del Decreto Giustizia ha infatti stabilito che “le regole tecnico-operative per la sperimentazione e la graduale applicazione degli aggiornamenti del processo amministrativo telematico” saranno disciplinate tramite Decreto del Presidente del Consiglio di Stato e non più tramite Decreto del Presidente del Consiglio dei Ministri. In applicazione di detto articolo (i) in data 22 maggio 2020 è stato pubblicato il Decreto del Presidente del Consiglio di Stato n. 134 (il “DPCS”) e (ii) è stato abrogato il DPCM 40/2016, prima base normativa per le regole del PAT. L’impulso di tale modifica di fonte regolatoria è sorto – dato il noto periodo emergenziale da COVID-19 – dall’esigenza di regolare velocemente, affidandone il compito ad un organo “interno” della Giustizia amministrativa, [...]

Il Garante Privacy interviene sulla qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza

2020-05-26T10:52:54+02:0026 Mag 2020|Categorie: Articolo|Tag: , , , |

Il D.Lgs. 231/2001 (il “Decreto”) disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, prevedendo la responsabilità in capo all’ente per i reati commessi nel suo interesse o a suo vantaggio (i) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; (ii) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto (i). Ai sensi dell’art. 6, commi 1 e 2 del Decreto, l’ente non sarà responsabile dei reati commessi dai soggetti di cui al punto (i) qualora riesca a dimostrare che: l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; il compito di vigilare sul funzionamento e l'osservanza dei modelli e il compito di curare il loro aggiornamento sono stati affidati a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo; le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione [...]

La Corte europea dei diritti dell’uomo e la protezione dei dati personali – Case law

2020-05-22T18:35:25+02:0022 Mag 2020|Categorie: Articolo|Tag: , , |

La Corte europea dei diritti dell’uomo (“Corte EDU” o “Corte”) è un organo giurisdizionale internazionale, istituito nel 1959 dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (“CEDU” o “Convenzione”). La Corte EDU svolge principalmente due diverse funzioni: funzione contenziosa, nell’ambito delle controversie presentate sia con ricorsi individuali sia con ricorsi da parte degli Stati contraenti nei quali si lamenti la violazione di una delle disposizioni della CEDU o dei suoi protocolli addizionali. Svolge in tale contesto un ruolo sussidiario rispetto agli organi giudiziari nazionali, dal momento che le domande sono ammissibili solo una volta esaurite le vie di ricorso interne, nel rispetto delle previsioni della CEDU nonché delle norme di diritto internazionale generalmente riconosciute; funzione consultiva, attraverso il rilascio di pareri consultivi forniti su richiesta e inerenti a questioni giuridiche riguardanti l’interpretazione della CEDU e dei suoi protocolli addizionali. Nell’esercizio delle sue funzioni, la Corte EDU svolge un ruolo fondamentale al fine di meglio comprendere la portata di limitazioni e tutele nonché nell’identificazione dei criteri idonei ad effettuare un corretto ed equo bilanciamento tra i diritti tutelati dalla CEDU e gli interessi di volta in volta in gioco. Nell’ambito della salvaguardia dei diritti dell’uomo e [...]

Primo provvedimento sanzionatorio dell’Autorità irlandese per la protezione dei dati personali

2020-05-20T17:06:46+02:0020 Mag 2020|Categorie: Articolo|

L’Autorità irlandese per la protezione dei dati personali (di seguito, l’”Autorità”) ha comminato la sua prima sanzione dall’entrata in vigore del Regolamento UE 679/2016 (il “GDPR”), pari a 75 mila Euro, nei confronti di Tusla, l’agenzia di stato per l’infanzia e la famiglia (di seguito, l’”Agenzia”) a seguito di un’indagine condotta dall’Autorità, che ha visto coinvolti tre diversi casi di divulgazione di dati personali di minori a soggetti non autorizzati. I casi esaminati dall’Autorità riguardavano l’erronea divulgazione: nel primo caso, di dati relativi al contatto e all'ubicazione di una madre e di un bambino vittima di un abuso, i quali erano stati divulgati a un soggetto ritenuto un presunto maltrattatore; negli altri due casi, di dati personali di bambini in affidamento presso alcune famiglie, i quali erano stati rivelati impropriamente ai parenti di sangue, e, in un caso, anche al padre del bambino che si trovava in stato di detenzione. Il deposito del provvedimento dell’Autorità presso il Tribunale Circondariale ha confermato la sanzione. Si ricorda che, ai sensi dell’articolo 83 del GDPR, le autorità nazionali possono infliggere sanzioni pecuniarie fino a 20 milioni di Euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se [...]

Sanzione del Garante Belga: DPO e conflitti di interesse nel contesto aziendale

2020-07-06T10:21:14+02:0014 Mag 2020|Categorie: Articolo, In evidenza|Tag: , , , |

In data 28 aprile 2020, l'Autorità belga per la protezione dei dati personali (l’"Autorità Garante Belga" o l’”Autorità”) ha irrogato una sanzione pari a 50 mila Euro nei confronti di una azienda belga (l’”Azienda”) per violazione dei requisiti di indipendenza necessari per lo svolgimento della funzione di “Data Protection Officer” (“DPO”) e conseguente sussistenza di un conflitto di interessi in capo al DPO, come previsto dall’art. 38, co. 6 del Regolamento UE 679/2016 (“GDPR”). Normativa di riferimento applicabile al DPO Al fine di meglio inquadrare il caso di specie, si precisa che gli artt. 37 -39 del GDPR disciplinano la figura del DPO, specificando i casi in cui è necessario nominarlo, le modalità, le sue funzioni, nonché i requisiti necessari per ricoprire tale ruolo in conformità con la normativa. Tra le disposizioni previste, rileva l’art. 37, co. 6 del GDPR, il quale prevede che gli enti possano nominare tanto un dipendente, quanto un soggetto esterno che svolga le sue funzioni in base ad un contratto di servizi. Inoltre, l’art. 38, co. 6 del GDPR precisa che il DPO possa svolgere altri compiti e funzioni ma, in questo caso, è necessario che il titolare del trattamento garantisca un’assoluta mancanza di conflitto [...]

IMMUNI: l’app italiana di contact tracing

2020-05-04T13:31:01+02:0030 Apr 2020|Categorie: Articolo|Tag: , , , , |

In data 29 aprile 2020, il Garante per la protezione dei dati personali (il “Garante Privacy”) ha espresso parere favorevole in merito alla proposta normativa per l’introduzione di una applicazione volta al tracciamento dei contagi da COVID-19, ritenendola conforme ai criteri indicati dalle Linee guida del Comitato europeo per la protezione a proposito dei sistemi di contact tracing. A seguito del via libera del Garante Privacy, il Governo, con il D.L. n. 28 del 30 aprile 2020 (“DL”), recante, inter alia, le misure urgenti per l'introduzione del sistema di allerta COVID-19, ha individuato, all’art. 6, le condizioni per il funzionamento del sistema di tracciamento dei contatti e dei contagi per prevenire la diffusione dei contagi. Tale norma prevede che venga istituita presso il Ministero della Salute una piattaforma informatica per il tracciamento di coloro che, su base volontaria, installeranno sul proprio smartphone l’applicazione “Immuni”, un’app italiana di contact tracing (l’”Immuni” o l’”App”) ideata per combattere il COVID-19 e per permettere gradualmente alla popolazione di tornare alla normalità. In particolare, Immuni, da un lato, traccerà gli spostamenti degli utenti attraverso dei segnali Bluetooth, dall’altro, prevederà la tenuta di un diario clinico, compilato e inserito dallo stesso utente. Con riferimento al tracciamento, [...]

Processo penale da remoto: lettera del Garante Privacy al Ministro della Giustizia

2020-04-30T18:41:40+02:0022 Apr 2020|Categorie: Articolo|Tag: , , |

Il presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, a seguito di alcuni quesiti presentati da parte dell’Unione delle Camere Penali in merito alle procedure adottate dal Ministero della Giustizia (“Ministero”) per lo svolgimento delle udienze penali da remoto nel rispetto di quanto previsto dai D.L. n. 11 e n.18 del 2020, ha pubblicato una lettera rivolta al Ministro della Giustizia, On. Alfonso Buonafede (“Ministro”), in cui ha sollevato alcune perplessità rispetto alle garanzie di tale procedura. In particolare, l’Unione delle Camere Penali ha chiesto ulteriori chiarimenti in merito a: le caratteristiche delle piattaforme indicate dalla Direzione Generale per i Sistemi Informativi Automatizzati (“DGSIA”), tra cui Microsoft Teams, al fine della celebrazione delle udienze penali da remoto; la scelta di Microsoft Corporation quale fornitore del servizio predetto, alla luce del fatto che, essendo il fornitore stabilito negli USA , lo stesso è soggetto tra l’altro all’applicazione delle norme del Cloud Act (normativa che attribuisce alle autorità statunitensi di contrasto un ampio potere acquisitivo di dati e informazioni); la tipologia di dati personali eventualmente memorizzati da Microsoft Corporation per finalità proprie, del servizio o commerciali; i soggetti legittimati all’accesso ai metadati delle sessioni e, in particolare, [...]

Commissione UE: guida sulle app per la lotta contro il COVID-19 e protezione dei dati personali

2020-05-07T17:25:31+02:0018 Apr 2020|Categorie: Articolo|Tag: , , , , |

La Commissione europea (la "Commissione UE") ha pubblicato la guida “Guidance on Apps supporting the fight against COVID-19 pandemic in relation to data protection” (la “Guida”) che segue alla recente pubblicazione della raccomandazione su un approccio comune dell’Unione europea per l’uso di applicazioni mobili e di dati da dispositivi mobili e accompagna il c.d. “toolbox UE” sulle applicazioni di contact tracing. La Guida mira ad offrire il quadro di riferimento necessario per garantire ai cittadini una sufficiente protezione dei loro dati personali e la limitazione di misure invasive nell’uso delle applicazioni mobili di contact tracing (“App”). Il Comitato europeo per la protezione dei dati personali è stato consultato sulla Guida e ha espresso le proprie considerazioni in una lettera pubblicata in data 14 aprile 2020. La Guida si concentra sulle App basate su adesione volontaria con una o più delle seguenti funzionalità: informazioni accurate per gli utenti sul COVID-19; questionari per l’autovalutazione e una guida per gli utenti (i.e. funzionalità di verifica dei sintomi); avvisi per gli utenti che si sono trovati in prossimità di una persona infetta per sottoporsi al test o per l’autoisolamento (i.e. funzionalità di tracciamento dei contatti e di avviso); un forum di comunicazione tra i [...]

Lettera dell’EDPB alla Commissione UE sulle linee guida per le app di contact tracing

2020-05-07T17:24:47+02:0015 Apr 2020|Categorie: Articolo|Tag: , , , |

A seguito di una richiesta di consultazione da parte della Commissione europea, il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato una lettera - di cui è stato relatore anche l’Autorità Garante per la protezione dei dati personali – nella quale sostiene con favore il progetto della Commissione europea di sviluppare un approccio comune europeo nella lotta contro il COVID-19 tramite app di contact tracing. Andrea Jelinek, Presidente dell'EDPB, ha dichiarato: “L’EDPB accoglie con favore l'iniziativa della Commissione di sviluppare un approccio paneuropeo e coordinato, poiché ciò contribuirà a garantire lo stesso livello di protezione dei dati per ogni cittadino europeo, indipendentemente dal luogo in cui vive”. L’EDPB ha altresì formulato le seguenti raccomandazioni: l’adesione alle app di contact tracing deve essere volontaria e non obbligatoria ed in quanto tale non basata sul consenso degli utenti ma legittimata dall’adempimento di un compito nell’interesse pubblico, necessario al trattamento stesso; lo sviluppo delle app di contact tracing deve avvenire secondo criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default; le app di contact tracing non necessitano di geolocalizzare i [...]

Commissione UE: un approccio europeo per le app nell’ambito del COVID-19

2020-05-07T17:26:09+02:0010 Apr 2020|Categorie: Articolo|Tag: , , |

In data 8 aprile 2020, la Commissione europea ("Commissione UE") ha pubblicato una raccomandazione “on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data” al fine di sviluppare un approccio comune europeo rispetto all’utilizzo di applicazioni mobili e di dati di localizzazione da dispositivi mobili nell’ambito dell’emergenza da COVID-19 (“Raccomandazione”). A tal fine, la Raccomandazione definisce un processo attraverso il quale gli Stati membri dell’UE (“Stati Membri”) possono adottare diverse misure, con particolare attenzione alle seguenti priorità: un approccio europeo e coordinato all’uso di applicazioni mobili che consentano ai cittadini di adottare misure di social distancing efficaci e più mirate, per contribuire a limitare la propagazione del COVID-19; un approccio comune all’utilizzo di dati di localizzazione da dispositivi mobili, in forma anonima e aggregata per (i) modellare e prevedere l’evoluzione del COVID-19; (ii) monitorare l’efficacia delle misure di contenimento della diffusione del COVID-19, come il social distancing e il confinamento; e (3) contribuire a sviluppare una strategia coordinata per il futuro, compreso l’alleggerimento delle misure di contenimento. Introduzione Gli strumenti digitali sono cruciali al fine di superare l’attuale [...]

Audizione informale del Presidente del Garante Privacy sull’uso delle nuove tecnologie e della rete nell’ambito del COVID-19

2020-05-07T17:16:59+02:0010 Apr 2020|Categorie: Articolo|Tag: , , , |

In data 8 aprile 2020 si è tenuta l’audizione informale del presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, alla Camera dei Deputati sull’uso delle nuove tecnologie e della rete per contrastare la diffusione del COVID-19. In particolare, l’intervento del Garante Privacy si è concentrato sui seguenti aspetti: deroghe e misure limitative della protezione dei dati personali; misure relative alla raccolta dei dati sull’ubicazione o sull’interazione dei dispositivi mobili dei soggetti risultati positivi, con altri dispositivi, al fine di analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi, tramite gps, bluetooth e droni; contact tracing. In riferimento alle diverse misure ipotizzabili per il monitoraggio dei soggetti risultati positivi, il Garante Privacy raccomanda di privilegiare un criterio di gradualità al fine di valutare misure meno invasive ma sufficienti per la prevenzione epidemiologica. Sarebbe, altresì, preferibile il ricorso a sistemi fondati sulla volontaria adesione dei singoli, quale un’app bluetooth, che permettano il tracciamento della propria posizione, purché il consenso al trattamento dei dati non risulti in alcun modo condizionato (pertanto, non connesso all’erogazione di servizi ma alla tutela della salute). Con riferimento alla conservazione dei dati rilevati, in vista del loro eventuale, successivo utilizzo per allertare [...]

Garante Privacy: parere sulle modalità di consegna della ricetta medica elettronica

2020-03-24T16:36:29+01:0024 Mar 2020|Categorie: Articolo|Tag: , , , |

Nell’ambito dell’emergenza epidemiologica da COVID-19, il Garante Privacy ha espresso parere favorevole sullo schema di decreto trasmesso dal Ministero dell’Economia e delle Finanze (“MEF”) da adottare di concerto con il Ministero della salute, relativo alle modalità di consegna al paziente del promemoria dematerializzato della ricetta medica da parte del medico. Quadro normativo In particolare: con nota del 26 febbraio 2020, il MEF ha trasmesso, ai sensi dell’art. 36, par. 4 del Regolamento generale sulla protezione dei dati personali 679/2016 (“GDPR”), uno schema di decreto che modifica il D.M. 2 novembre 2011 (“Decreto del MEF”), estendendo la disciplina relativa alla dematerializzazione delle ricette mediche ad ulteriori categorie di prescrizioni. con nota del 17 marzo 2020, il MEF ha trasmesso una nuova versione dello schema di decreto che individua i canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica, le cui modalità attuative saranno stabilite in un successivo decreto del medesimo dicastero da adottarsi di concerto con il Ministero della salute, sentito il Garante Privacy. Le due versioni di schemi di decreto trasmesse al Garante Privacy sono state predisposte anche sulla base dei rilievi e delle indicazioni fornite dallo stesso nel corso di alcune riunioni e interlocuzioni, aventi anche carattere d’urgenza, [...]

Autorità di controllo svedese sanziona Google per violazione del diritto alla cancellazione

2020-03-20T10:18:28+01:0020 Mar 2020|Categorie: Articolo|Tag: , , |

L’Autorità di controllo svedese (“Autorità di controllo”) ha irrogato una sanzione amministrativa di 75 milioni di corone svedesi (circa 7 milioni di Euro) a Google, in qualità di operatore di motore di ricerca, per non aver adempiuto agli obblighi previsti dal Regolamento generale UE sulla protezione dei dati personali 679/2016 (“GDPR”) in materia di diritto alla cancellazione, e più specificamente, alla deindicizzazione (c.d. delisting), ossia il diritto dei soggetti interessati a chiedere e ottenere la rimozione dai risultati di ricerca ove le informazioni che li riguardano non siano più aggiornate, accurate o rilevanti. L’Autorità di controllo ha condotto rispettivamente due indagini sulle modalità tramite cui Google gestisce il diritto dei soggetti interessati alla rimozione dei risultati di ricerca. Nel 2017, l’Autorità di controllo ha rilevato che diversi risultati delle ricerche su Google dovevano essere eliminati e ha pertanto ingiunto a Google di rimuoverli. Nel 2018, a seguito di alcune segnalazioni di cittadini svedesi in base alle quali Google non aveva pienamente  rispettato l’ingiunzione emessa in quanto la rimozione dall’elenco dei risultati di ricerca non era stata effettuata in due casi, l’Autorità di controllo ha avviato una seconda indagine, asserendo la violazione dell’art. 17 GDPR da parte di Google. L’Autorità di [...]

Autorità di controllo croata: sanziona un istituto di credito per violazione del diritto di accesso dei soggetti interessati

2020-03-29T12:40:36+02:0018 Mar 2020|Categorie: Articolo|Tag: , , , |

L’autorità croata per la protezione dei dati personali (“AZOP”) ha irrogato una sanzione amministrativa di 20 milioni di Euro ad un istituto di credito per aver negato il diritto di accesso dei soggetti interessati, riconosciuto loro dall’art. 15 del Regolamento UE 679/2016 (“GDPR”). A partire da ottobre 2018, l’AZOP ha ricevuto numerosi reclami da parte di soggetti interessati riguardanti uno degli istituti di credito croati con sede a Zagabria. Attraverso questi reclami, i soggetti interessati chiedevano all’istituto di credito di ricevere una copia dei loro dati personali. Tale richiesta, però, veniva sempre respinta. Ai sensi dell'articolo 15, paragrafi 1 e 3 del GDPR, i soggetti interessati possono esercitare il diritto di accesso ai propri dati personali, richiedendo la copia della documentazione di credito relativa alle carte contabili, i piani di rimborso e la revisione delle variazioni dei tassi di interesse nell’ambito dei prestiti bancari, ovvero tutti documenti contenenti dati personali dell’interessato. Ciò nonostante, l’istituto di credito ha deciso di non dare seguito alla richiesta di accesso ai dati personali avanzata dai soggetti interessati, affermando che, ai sensi della legge sul credito al consumo e di altri regolamenti specifici, non vi era alcun obbligo di fornire l’accesso a tale documentazione dato [...]

Protocollo Covid-19 negli ambienti di lavoro

2020-03-24T16:32:56+01:0014 Mar 2020|Categorie: Articolo|Tag: , |

E' stato sottoscritto il "Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro" su invito del Presidente del Consiglio dei ministri, del Ministro dell’economia, del Ministro del lavoro e delle politiche sociali, del Ministro dello sviluppo economico e del Ministro della salute a seguito dell'intesa con i sindacati e Confindustria. Il documento, tenuto conto di quanto emanato dal Ministero della Salute, contiene linee guida condivise per agevolare le imprese nell’adozione di protocolli di sicurezza anti-contagio. Tra di esse, si segnalano gli aspetti legati al trattamento dei dati personali. E' stata infatti confermata la possibilità di poter rilevare la temperatura corporea agli ingressi in azienda in quanto legittimata da idonea base giuridica per l'adempimento di un obbligo di legge (i.e. protocolli di sicurezza anti-contagio ai sensi dell’art. art. 1, n. 7, lett. d) del DPCM 11 marzo 2020). Ciò a condizione che il trattamento del dato relativo alla febbre oltre 37,5 sia stato supportato da idonea informativa (anche con modalità semplificata o fornita oralmente) ed il dato non conservato (tranne ove finalizzato a documentare l’impedimento dell’accesso in azienda). Necessaria l’adozione di adeguate misure di sicurezza, tecniche ed organizzative nonché [...]

Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Ospedaliera Universitaria Integrata di Verona

2020-03-06T11:12:27+01:0002 Mar 2020|Categorie: Articolo|

L’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), con il Provvedimento n. 18 del 23 gennaio 2020, ha irrogato una sanzione pari a 30 mila Euro nei confronti dell’Azienda Ospedaliera Universitaria Integrata di Verona (l’”Azienda”) a seguito di tre episodi di violazione di dati personali avvenuti all’interno dell’Azienda e comunicati dalla stessa al Garante Privacy. L’Azienda, nell’ambito di controlli periodici interni, aveva infatti riscontrato il verificarsi di condotte illegittime da parte di alcuni dipendenti i quali, in mancanza di necessaria autorizzazione, avevano avuto accesso ai dossier sanitari di colleghi/e che, al tempo stesso, erano anche pazienti in cura presso l’Azienda.   NOTIFICHE AL GARANTE PRIVACY L’Azienda aveva prontamente notificato al Garante Privacy, ex art. 33 del Regolamento UE 679/2016 (“GDPR”), le condotte di cui sopra attraverso tre comunicazioni: la prima, in data 6 maggio 2019, nella quale aveva denunciato “un accesso improprio a sei dossier di pazienti che sono al tempo stesso dipendenti aziendali nel ruolo di ostetriche”, risultando lo stesso ingiustificato dal momento che “non vi era motivo che un medico della (…) Unità Operativa di Ostetrica e Ginecologia (…) facesse accesso ai dati clinici di pazienti non in carico, alcune delle quali per di più a [...]

Garante Privacy: sanziona l’Università degli Studi di Roma “La Sapienza” per la divulgazione dei dati personali dei segnalanti di condotte illecite-23 gennaio 2020

2020-03-06T11:36:02+01:0020 Feb 2020|Categorie: Articolo|Tag: , , , |

Il caso sottoposto all’esame dell’Autorità Garante per la protezione dei dati personali: Nel dicembre 2018 l’Università degli Studi di Roma La Sapienza (“Ateneo”) notificava all’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) l’avvenuta diffusione di dati personali trattati per il tramite della piattaforma che l’Ateneo utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi nell’ambito della disciplina del c.d. whistleblowing. In particolare, si dichiarava che era intervenuta una dispersione di dati personali comuni – nome, cognome, sede, telefono, e-mail del segnalante, data della segnalazione - relativi a due segnalanti che avevano utilizzato la piattaforma whistleblowing. Inoltre, tali dati erano stati indicizzati da alcuni motori di ricerca fintanto che l’Ateneo, edotto del problema, era intervenuto per farli deindicizzare e cancellare le relative copie cache.   Le risultanze dell’attività istruttoria: A seguito dell’attività istruttoria emergeva che l’Ateneo aveva correttamente notificato la violazione dei dati personali al Garante Privacy entro le 72 ore dal momento in cui veniva a conoscenza del fatto e che i dati personali interessati dal data breach non rientravano nell’ambito di categorie particolari di dati trattandosi di dati personali comuni, mentre il contenuto delle segnalazioni non veniva in [...]

Sanzione del Garante Privacy contro Eni Gas e Luce S.p.A.

2020-03-06T14:51:45+01:0023 Gen 2020|Categorie: Articolo|Tag: , , , |

L'Autorità Garante per la protezione dei dati personali (il "Garante Privacy") ha irrogato due sanzioni, per complessivi 11,5 milioni di Euro, nei confronti di Eni Gas e Luce S.p.A (“Eni”) a seguito di violazioni commesse nell'ambito di attività promozionali e della conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Nella determinazione delle sanzioni, sono stati considerati i criteri indicati nel Regolamento UE 679/2016 (il “GDPR”), quali l’elevato numero dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione e le condizioni economiche di Eni. Telemarketing e teleselling La prima sanzione di 8,5 milioni di Euro concerne trattamenti illeciti nelle attività di telemarketing e teleselling. Tali attività sono state svolte da Eni mediante una rete di agenzie, nominate responsabili del trattamento dei dati personali le quali contattavano telefonicamente gli interessati, utilizzando delle liste di anagrafiche presenti nella customer base societaria, ovvero acquistate da list provider (che a loro volta potevano acquisirle da soggetti terzi denominati “editori”), oppure auto-generate tramite la compilazione, da parte degli stessi interessati, di appositi form presenti sul sito di Eni. Le liste acquistate dai list provider/editori includevano sia numeri presenti nel Database Unico degli abbonati ai servizi di telefonia fissa [...]

Bozza di posizione del Consiglio dell’Unione Europea sull’applicazione del GDPR

2020-03-06T15:08:08+01:0021 Gen 2020|Categorie: Articolo|Tag: , , |

Recentemente i membri delle Rappresentanze permanenti degli Stati membri dell’UE presso il Consiglio dell’Unione europea (il “Consiglio”) hanno pubblicato una bozza di posizione sull'applicazione del Regolamento UE 679/2016 (il “GDPR”). Dopo che tale progetto sarà stato formalmente adottato dal Consiglio, sarà trasmesso alla Commissione Europea (la “Commissione”). Ciò fa parte del processo di valutazione del GDPR ai sensi dell'articolo 97 dello stesso, che prevede che la Commissione pubblichi una relazione sulla valutazione e la revisione del GDPR entro il 25 maggio 2020. La bozza di posizione riconosce che il GDPR ha rafforzato la protezione dei dati personali, ma ritiene che vi siano ancora alcune questioni che richiedono un miglioramento, anche nei seguenti settori: ambito di applicazione della revisione del GDPR: sebbene l'articolo 97, paragrafo 2, del GDPR imponga alla Commissione di esaminare in particolare le questioni GDPR relative ai trasferimenti internazionali di dati e al meccanismo di cooperazione e coerenza tra le autorità di controllo, il Consiglio invita la Commissione a condurre una revisione più completa del GDPR al di là di quanto specificamente menzionato nell'articolo 97; consenso dei minori: il margine lasciato agli Stati membri dell’UE per stabilire le proprie norme in relazione all'età del consenso dei minori ha [...]

TAR LAZIO: lo scambio di dati personali con un’App configura un contratto

2020-03-06T15:12:18+01:0010 Gen 2020|Categorie: Articolo|Tag: |

La recente sentenza del Tar, n. 261/2020, pubblicata il 10 gennaio 2020, ha stabilito che il valore economico dei dati dell’utente impone al professionista di comunicare al consumatore che le informazioni ricavabili dai suoi dati potranno essere usate per fini commerciali e, in quanto tali, dovranno considerarsi la “contro-prestazione” dei servizi offerti su internet. Nel caso di specie, l’AGCM aveva avviato un procedimento istruttorio nei confronti di Facebook Inc e Facebook Ireland Ltd. (congiuntamente “Facebook”) in relazione a presunte pratiche commerciali scorrette, per violazione degli art. 21 (pratiche commerciali ingannevoli) e 22 (pratiche commerciali aggressive) del D.Lgs. 206/2005 (“Codice del Consumo”). Il Tar, interpellato sulla questione, ha ritenuto sussistente solo la violazione dell’art. 21 del Codice del Consumo, ritenendo Facebook responsabile di aver posto in essere condotte ingannevoli nei confronti degli utenti iscritti alla piattaforma. Ai sensi dell’art. 20 del Codice del Consumo, una pratica commerciale è considerata “scorretta” se: (i) è contraria alla diligenza professionale; (ii) è falsa o idonea a falsare in misura apprezzabile il comportamento economico, in relazione al prodotto, del consumatore medio. In particolare, ai sensi dell’art. 21 del Codice del Consumo, una pratica è considerata “ingannevole” se: (i) contiene informazioni non rispondenti al vero; o [...]

Garante Privacy: Attività Ispettive per luglio-dicembre 2019

2020-03-06T15:16:46+01:0029 Ott 2019|Categorie: Articolo|

L'Autorità Garante per la protezione dei dati personali (il “Garante Privacy”) ha reso pubblico il piano ispettivo per il secondo semestre del 2019, ossia il periodo da luglio a dicembre 2019. L’attività ispettiva di iniziativa curata dall’Ufficio del Garante Privacy, anche tramite la Guardia di Finanza riguarderà: accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di trattamenti di dati personali effettuati: mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing); da Istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti; da intermediari per la fatturazione elettronica; da società per attività di marketing; da Enti pubblici, con riferimento a banche dati di notevoli dimensioni; da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione; da società rientranti nel settore del “Food Delivery”; da parte di società private in ambito sanitario; controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee relativamente a: presupposti di liceità del trattamento; condizioni per il consenso qualora il trattamento sia basato su tale presupposto; obbligo dell’informativa; durata della conservazione dei dati. Il Garante Privacy, inoltre, presterà anche specifica attenzione a profili sostanziali del trattamento che comportano significativi effetti [...]

Case of Lopez, Ribalda and others v. Spain (Applications nos. 1874-13 and 8567-13)

2020-05-20T12:24:36+02:0017 Ott 2019|Categorie: Articolo, In evidenza|Tag: |

La Corte Europea dei Diritti dell’Uomo (di seguito, la "Corte") ha stabilito, con provvedimento del 17 ottobre 2019, che l’utilizzo delle telecamere nascoste nei luoghi di lavoro, ove ricorrano determinati presupposti,  non viola la privacy dei dipendenti. La Corte si è pronunciata in merito al ricorso presentato da cinque cassieri di una catena di supermercati spagnola, che erano stati licenziati dopo essere stati ripresi mentre rubavano alcune merci. La Corte ha rilevato, in particolare, che i tribunali spagnoli avevano attentamente bilanciato i diritti dei ricorrenti - dipendenti della catena di supermercati sospettati di furto - e quelli del datore di lavoro, e avevano effettuato un esame approfondito della base giuridica sottesa alla videosorveglianza. Un argomento chiave addotto dai ricorrenti era che non erano stati informati preventivamente in merito alla presenza di telecamere, nonostante l’obbligo previsto dalla legge. Tuttavia la Corte ha ritenuto che tale misura fosse chiaramente giustificata da un ragionevole sospetto di condotte scorrette e dalle perdite subite, tenuto conto dell'entità e delle conseguenze della misura. Pertanto, i giudici nazionali non hanno ecceduto il loro potere discrezionale (il c.d. “margine di discrezionalità”) nel ritenere il controllo effettuato tramite telecamere nascoste, proporzionato e legittimo. In ogni caso, occorre evidenziare che [...]

Le Autorizzazioni generali: trattamento di categorie particolari di dati nel rapporto di lavoro

2019-10-03T23:14:21+02:0030 Set 2019|Categorie: Articolo, In evidenza|Tag: |

Il Garante per la protezione dei dati personali (il “Garante”), in data 13 dicembre 2018, ha adottato il Provvedimento Generale n. 497, nel quale si è sancita la compatibilità con il Regolamento (UE) 2016/679 (“GDPR”) delle sole prescrizioni contenute nelle autorizzazioni relative a: trattamenti di categorie particolari di dati nei rapporti di lavoro (Autorizzazione generale 1/2016); trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (Autorizzazione generale 3/2016); trattamenti di categorie particolari di dati da parte degli investigatori privati (Autorizzazione generale 6/2016); trattamenti di dati genetici (Autorizzazione generale 8/2016); trattamenti di dati personali effettuati per scopi di ricerca scientifica (Autorizzazione generale 9/2016). Le Autorizzazioni generali n. 2/2016, 4/2016, 5/2016 e 7/2016, considerate non più compatibili con la nuova normativa in materia di protezione dati, hanno cessato di produrre i propri effetti. Il Provvedimento n. 497 è stato successivamente posto in consultazione pubblica al fine di recepire eventuali osservazioni e/o proposte da parte di soggetti interessati, associazioni di categoria e organizzazioni rappresentative dei settori di riferimento. In seguito alla conclusione della predetta fase, il 29 luglio 2019 è stato pubblicato in Gazzetta Ufficiale (GU. Serie Generale n. 176 [...]

Le Linee Guida sulla videosorveglianza dell’EDPB

2019-09-16T20:21:48+02:0016 Set 2019|Categorie: Articolo|Tag: |

Il Comitato Europeo per la protezione dei dati personali (l’”EDPB”) ha recentemente pubblicato le Linee Guida 3/2019 sul trattamento dei dati personali attraverso dispositivi di videosorveglianza (le “Linee guida”). Le Linee Guida hanno lo scopo di fornire orientamenti su come applicare il Regolamento UE 2016/679 (“GDPR”) in tutti i potenziali settori di utilizzo di dispositivi di videosorveglianza. Tra i punti di chiave delle Linee Guida, si segnalano i seguenti aspetti: Ambito di applicazione: l'uso di dispositivi per la videosorveglianza è soggetto all'applicazione del GDPR solo se: una persona può, attraverso il dispositivo di videosorveglianza, essere identificata direttamente o indirettamente; il trattamento non è effettuato dalle Autorità competenti dell’UE a fini di prevenzione, individuazione o perseguimento di reati o esecuzione di sanzioni penali (altrimenti il trattamento rientrerebbe nell'ambito di applicazione della Direttiva (UE) 2016/680); il trattamento non avviene nell’ambito di un’attività puramente personale o domestica. Se il trattamento viene effettuato nell’ambito di tale attività, si applica la cosiddetta “domestic exemption” che, tuttavia, deve sempre essere interpretata in modo restrittivo. Legittimità del trattamento: i titolari del trattamento (i “Titolari”) devono specificare le finalità del trattamento dei dati prima di utilizzare i dispositivi di videosorveglianza. In conformità con il principio di accountability ex [...]

Modello di notifica di Data Breach

2019-08-08T10:48:26+02:0006 Ago 2019|Categorie: Articolo|Tag: , , |

Il Garante per la protezione dei dati personali ha pubblicato un modello da utilizzare per la notifica di violazione dei dati personali (c.d. data breach) prevista dall'art. 33 del GDPR, disponibile qui. I titolari di trattamento dei dati personali sono tenuti a notificare al Garante le violazioni dei dati personali che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, anche nell'ambito delle comunicazioni elettroniche, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati. La notifica deve essere inviata al Garante tramite posta elettronica all'indirizzo protocollo@pec.gpdp.it e deve essere sottoscritta digitalmente (con firma elettronica qualificata/firma digitale) ovvero con firma autografa. In quest'ultimo caso la notifica deve essere presentata unitamente alla copia del documento d'identità del firmatario. L'oggetto del messaggio deve contenere obbligatoriamente la dicitura “notifica violazione dati personali” e opzionalmente la denominazione del titolare del trattamento.

Mercato unico digitale: le linee guida sulla circolazione dei dati non personali

2019-07-08T17:47:43+02:0026 Giu 2019|Categorie: Articolo, In evidenza|

Un framework normativo completo, che ora con la pubblicazione di adeguate linee guida permette di chiarire gli aspetti legati alla circolazione dei dati non personali relativamente al mercato unico digitale. L’entrata in vigore, lo scorso 28 maggio 2019, del Regolamento UE 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea – così detto Free Flow Data Regulation (di seguito il “Regolamento FFD”), ha segnato – come è stato osservato dalla Commissaria europea responsabile per l’Economia e le società digitali Mariya Gabriel – il completamento di “un quadro completo per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea”. Vediamo di che cosa tratta. Regolamento FFD e linee guida Il Regolamento FFD – emanato alla fine dell’iter normativo iniziato con la proposta della Commissione del 19 settembre 2017 – mira infatti a contribuire: alla formazione di un contesto giuridico ed economico stabile in tema di trattamento e circolazione di dati; all’abbattimento delle barriere in materia di mobilità dei dati per le imprese, le amministrazioni pubbliche e i cittadini; ad un migliore sfruttamento del potenziale dell’economia europea dei dati  (c.d. data economy) e alla creazione [...]

Garante Privacy Spagnolo sanziona LaLiga

2019-07-08T16:54:18+02:0013 Giu 2019|Categorie: Articolo|Tag: |

L’Autorità per la protezione dei dati personali spagnola (l'"Autorità") ha comminato la sanzione di Euro 250.000 alla Liga de Futbòl ("LaLiga"), società che gestisce il campionato di calcio spagnolo, per aver spiato il telefono cellulare di mezzo milione di utenti spagnoli attraverso la propria applicazione ufficiale utilizzando i microfoni remoti e il GPS per individuare i locali che trasmettono partite di calcio senza pagare le licenze corrispondenti. L’app, che richiede il consenso per utilizzare microfono e GPS, è in grado di captare l’audio ambientale così da rilevare se l’utente si trova in un locale che sta trasmettendo la partita, in possesso o meno di un valido abbonamento alla diffusione delle partite. Il modo in cui LaLiga ha informato i suoi utenti di questa procedura è stato considerato opaco e non trasparente dall’Autorità. Poiché, secondo l’Autorità, la funzione di spia dell'applicazione comporta la registrazione dell’audio ambientale, la quale implica la raccolta di dati personali, LaLiga avrebbe dovuto notificare all’utente l'informativa non solo durante l’installazione dell’applicazione, ma ogni volta che attivava questa funzione di raccolta dei dati. L’Autorità afferma che per la natura dei dispositivi mobili l’utente non può ricordare a cosa ha acconsentito e cosa no ogni volta che usa l’app. [...]

Implementazione del GDPR nel settore sportivo: lo stato dell’arte

2019-06-11T10:27:49+02:0011 Giu 2019|Categorie: Articolo, In evidenza|

1.     Introduzione Dal 25 maggio 2018 è divenuto pienamente efficace il Regolamento (UE) 2016/679 sulla protezione dei dati personali e sulla loro circolazione (il “Regolamento” o “GDPR”) che ha imposto un radicale cambio di approccio al trattamento e alla protezione dei dati personali delle persone fisiche rispetto alla precedente normativa applicabile in materia all’interno dei singoli Stati membri. Con l’introduzione del principio di “Accountability” di cui agli artt. 5 e 24, il GDPR “responsabilizza” i soggetti attivi del trattamento – in particolare i titolari e i responsabili del trattamento – ponendo in capo a questi ultimi una serie di obblighi generali a cui devono attenersi, dovendo garantire (e ponendosi nelle condizioni di dimostrarlo) che i trattamenti di dati personali da essi svolti rispettino la vigente normativa in materia di protezione dei dati personali. Il rispetto della predetta normativa è, tuttavia, fondamentale, non solo in un’ottica di compliance, ma anche – come vedremo meglio – in una prospettiva di “valorizzazione” dei dati personali trattati sotto ulteriori profili (ad esempio, per l’utilizzo delle proprie banche dati per finalità di natura commerciale, promozionale o per finalità di sviluppo dei propri servizi). Già da quanto sopra illustrato, appare evidente che la riforma introdotta dal [...]

Manuale sul diritto europeo in materia di protezione dei dati

2019-05-20T10:41:34+02:0020 Mag 2019|Categorie: Articolo|Tag: , |

L’Agenzia dell’Unione Europea per i Diritti Fondamentali ha pubblicato la seconda edizione del “Manuale sul diritto europeo in materia di protezione dei dati”. Il Garante Privacy ha collaborato alla realizzazione della versione italiana (disponibile qui). Il Manuale fornisce una panoramica dell'attuale quadro giuridico applicabile a livello europeo in materia di protezione dei dati personali, tenendo conto degli ultimi rilevanti sviluppi normativi (GDPR e la Convenzione 108/81 rivista) nonché della giurisprudenza, ivi incluse le principali sentenze sia della Corte di giustizia dell'Unione europea che della Corte europea dei diritti dell'uomo.

Carica altri articoli
Torna in cima