Introduzione: excursus della Brexit Il percorso di uscita del Regno Unito (di seguito, “Regno Unito” o “UK”) dall’Unione europea (di seguito, “UE”), c.d. Brexit, è iniziato con il referendum del 23 luglio 2016, attraverso il quale i cittadini inglesi esprimevano la volontà di lasciare l’UE, notificata nel 2017 dal governo inglese al Consiglio europeo. Contestualmente, si avviava quindi sia la procedura di recesso volontario e unilaterale di cui all’art. 50 del Trattato sull’Unione europea sia la negoziazione dell’accordo volto a disciplinare i termini e le condizioni dell’uscita del Regno Unito dall’UE. Nel 2019 veniva stipulato il c.d. “Withdrawal Agreement”, entrato in vigore nel febbraio 2020, il quale prevedeva un periodo di transizione durante il quale i diritti e gli obblighi stabiliti a livello europeo continuavano ad applicarsi al Regno Unito fino al 31 dicembre 2020. Quando ormai il periodo di transazione stava per giungere al termine e il no-deal Brexit sembrava poter essere l’unica opzione, il 24 dicembre 2020, la Commissione europea (“Commissione UE”) comunicava di aver raggiunto un accordo con il Regno Unito sui termini della loro futura cooperazione, il c.d. “Trade and Cooperation Agreement” (l’“Accordo”). Considerando che l’Accordo regola i molteplici settori contemplati dal diritto dell’UE, il presente [...]

Con la sentenza pubblicata lo scorso 16 luglio 2020 (c.d. “Schrems II”), la Corte di giustizia dell’Unione europea ("CGUE"), da un lato, ha statuito l’invalidità della decisione di adeguatezza adottata dalla Commissione europea ai sensi dell’art. 45 del Regolamento (UE) 2016/679 (“GDPR”) relativa al Privacy Shield, dall'altro, ha ritenuto valida la decisione della Commissione europea relativa alle Standard Contractual Clauses (“SCC”). Vista la complessità giuridica e le implicazioni economiche della summenzionata sentenza, le autorità e le istituzioni europee hanno pubblicato chiarimenti sul quadro dei trasferimenti di dati personali in Paesi extra-UE, nonchè provvedimenti volti a modificare la normativa applicabile alla luce dei principi enunciati nella sentenza Schrems II. Per maggiori approfondimenti, si consiglia di prendere visione del memorandum riepilogativo dei suddetti chiarimenti e provvedimenti, disponibile al seguente link: Trasferimento di dati personali in Paesi extra-UE_nuovi chiarimenti e provvedimenti a seguito della sentenza Schrems II

L’Autorità garante per la protezione dei dati personali (“Garante privacy” o “Autorità”), a seguito di una segnalazione che lamentava la diffusione di dati personali di candidati a un concorso pubblico, con il provvedimento n. 160 del 17 settembre 2020 ha irrogato all’azienda ospedaliera “A. Cardarelli” di Napoli (“Azienda” o “Committente”) una sanzione pecuniaria pari ad 80.000,00 euro per illecito trattamento di dati personali. Parimenti, con il provvedimento n. 161 del 17 settembre 2020, il Garante privacy ha altresì comminato una sanzione di 60.000,00 euro alla società Scanshare S.r.l. (“Società” o “Outsourcer”), affidataria del servizio di gestione delle domande online e della fase di preselezione informatica dei partecipanti al concorso. La segnalazione e l’attività istruttoria condotta dall’Autorità La segnalazione pervenuta all’Autorità rappresentava che, collegandosi alla piattaforma per la gestione delle domande ai concorsi indetti dall’Azienda, era possibile per chiunque visualizzare il codice di iscrizione dei candidati a uno specifico concorso, associato ad un collegamento ipertestuale che permetteva l’accesso a un’area del portale nella quale erano contenuti alcuni documenti presentati dai candidati. Ciò consentiva, da un lato, di visualizzare i predetti documenti (contenenti dati comuni e dati relativi alla salute) e, dall’altro, di modificare i dati inseriti dai candidati. Sul punto, l’Azienda [...]

Un framework normativo completo, che ora con la pubblicazione di adeguate linee guida permette di chiarire gli aspetti legati alla circolazione dei dati non personali relativamente al mercato unico digitale. L’entrata in vigore, lo scorso 28 maggio 2019, del Regolamento UE 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea – così detto Free Flow Data Regulation (di seguito il “Regolamento FFD”), ha segnato – come è stato osservato dalla Commissaria europea responsabile per l’Economia e le società digitali Mariya Gabriel – il completamento di “un quadro completo per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea”. Vediamo di che cosa tratta. Regolamento FFD e linee guida Il Regolamento FFD – emanato alla fine dell’iter normativo iniziato con la proposta della Commissione del 19 settembre 2017 – mira infatti a contribuire: alla formazione di un contesto giuridico ed economico stabile in tema di trattamento e circolazione di dati; all’abbattimento delle barriere in materia di mobilità dei dati per le imprese, le amministrazioni pubbliche e i cittadini; ad un migliore sfruttamento del potenziale dell’economia europea dei dati  (c.d. data economy) e alla creazione [...]

1.     Introduzione Dal 25 maggio 2018 è divenuto pienamente efficace il Regolamento (UE) 2016/679 sulla protezione dei dati personali e sulla loro circolazione (il “Regolamento” o “GDPR”) che ha imposto un radicale cambio di approccio al trattamento e alla protezione dei dati personali delle persone fisiche rispetto alla precedente normativa applicabile in materia all’interno dei singoli Stati membri. Con l’introduzione del principio di “Accountability” di cui agli artt. 5 e 24, il GDPR “responsabilizza” i soggetti attivi del trattamento – in particolare i titolari e i responsabili del trattamento – ponendo in capo a questi ultimi una serie di obblighi generali a cui devono attenersi, dovendo garantire (e ponendosi nelle condizioni di dimostrarlo) che i trattamenti di dati personali da essi svolti rispettino la vigente normativa in materia di protezione dei dati personali. Il rispetto della predetta normativa è, tuttavia, fondamentale, non solo in un’ottica di compliance, ma anche – come vedremo meglio – in una prospettiva di “valorizzazione” dei dati personali trattati sotto ulteriori profili (ad esempio, per l’utilizzo delle proprie banche dati per finalità di natura commerciale, promozionale o per finalità di sviluppo dei propri servizi). Già da quanto sopra illustrato, appare evidente che la riforma introdotta dal [...]

A partire da settembre 2018, il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ha dato il via al cosiddetto “Privacy Sweep”, ossia una “indagine a tappeto” dedicata, quest’anno, al principio di responsabilizzazione (o “accountability”), introdotto dal GDPR. L’indagine ha carattere internazionale e, infatti, è stata condotta – non solo dall’Autorità italiana ma anche – da diciotto delle altre autorità garanti per la protezione dei dati personali facenti parte del GPEN (“Global Privacy Enforcement Network”)[1]. Dall’indagine è emerso che la maggior parte delle imprese e degli enti pubblici analizzati dalle Autorità garanti per la protezione dei dati personali mostrano una buona comprensione dei concetti base legati al più generale principio di responsabilizzazione. Tuttavia permangono carenze significative in merito alla concreta attuazione di politiche e programmi specifici a tutela della privacy. Ogni Autorità coinvolta ha scelto autonomamente lo specifico settore di analisi, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni. Il Garante italiano ha analizzato Regioni e Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico. Le risultanze raccolte dalle autorità garanti hanno fatto emergere un quadro ancora non soddisfacente in merito alla compliance [...]

1. Introduzione: il concetto di algoritmo Una sequenza di ordini e istruzioni chiamate a descrivere nel dettaglio un processo volto, a partire da un input (dati in ingresso) e passando per l'esecuzione di un determinato calcolo (elaborazione), a produrre uno specifico output (dati in uscita o risultato). Questa potrebbe essere in estrema sintesi la definizione di che cosa sia un algoritmo. Nel campo dell’informatica – e, più specificamente, in quello della programmazione – gli algoritmi costituiscono la “logica” di un programma, intesa quale insieme di istruzioni attraverso le quali un programma potrà produrre il risultato (output) per il quale il programma stesso è stato creato, a partire da specifici dati di partenza (input) e attraverso l’elaborazione di tali dati. Gli algoritmi, quindi, rappresentano parte fondamentale, anche se non immediatamente percepibile, di ogni programma eseguito da un elaboratore. 2. Algoritmi ed elaborazione dei dati Tuttavia, con il crescere del numero di società che raccolgono – in particolare sul web – ed elaborano enormi quantità di dati anche personali (cd. Big Data), il concetto di “algoritmo” ha acquisito un significato più specifico e, se vogliamo, circoscritto. In tale contesto, infatti, il concetto di algoritmo non viene più inteso – in maniera ampia [...]

In data 12.03.19, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato un parere sull'interazione tra la Direttiva UE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“Direttiva e-Privacy”) e il regolamento generale sulla protezione dei dati personali (“GDPR”). Il suddetto parere era stato richiesto dall'Autorità belga per la protezione dei dati per avere dei chiarimenti rispettivamente in merito a: competenza, compiti e poteri delle Autorità di controllo per la protezione dei dati personali (le “Autorità”); applicabilità dei meccanismi di cooperazione e coerenza del GDPR nei casi in cui al trattamento dei dati personali si applichi sia il GDPR che la Direttiva e-Privacy. Il parere affronta le seguenti tematiche: (I) l’ambito di applicazione materiale della Direttiva e-Privacy e del GDPR; (II) l’interazione tra le due; (III) la competenza, i compiti e i poteri delle Autorità; e (IV) l’applicabilità ai casi in questione dei meccanismi di cooperazione e coerenza del GDPR. I. Attività di trattamento nell'ambito di applicazione materiale sia della Direttiva e-Privacy che del GDPR. Il parere rileva che vi sono molti esempi di attività di trattamento dei dati che rientrano nell’ambito di applicazione materiale sia della Direttiva e-Privacy [...]