Garante Privacy: attività ispettive per il periodo luglio-dicembre 2019

L'Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’"Autorità") ha reso pubblico il Piano Ispettivo per il secondo semestre del 2019, ossia il periodo da luglio a dicembre 2019. L’attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche tramite la Guardia di finanza riguarderà: accertamenti in riferimento a profili di interesse generale per categorie di interessati nell’ambito di trattamenti di dati personali effettuati: mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing); da istituti bancari, con particolare riferimento ai flussi verso l’anagrafe dei conti; da intermediari per la fatturazione elettronica; da società per attività di marketing; da Enti pubblici, con riferimento a banche dati di notevoli dimensioni; da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione; da società rientranti nel settore del “Food Delivery”; da parte di società private in ambito sanitario. controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee relativamente a: presupposti di liceità del trattamento; condizioni per il consenso qualora il trattamento sia basato su tale presupposto; obbligo dell’informativa; durata della conservazione dei dati. L’Autorità, inoltre, presterà anche specifica attenzione a profili sostanziali del trattamento che comportano significativi effetti sugli [...]

2019-10-29T19:11:31+01:0028 Ott 2019|Categorie: Articolo, In evidenza|Tag: |

Case of Lopez, Ribalda and others v. Spain (Applications nos. 1874-13 and 8567-13)

La Corte Europea dei Diritti dell’Uomo ha stabilito, con provvedimento del 17 ottobre 2019, che l’utilizzo delle telecamere nascoste nei luoghi di lavoro, ove ricorrano determinati presupposti,  non viola la privacy dei dipendenti. La Corte si è pronunciata in merito al ricorso presentato da cinque cassieri di una catena di supermercati spagnola, che erano stati licenziati dopo essere stati ripresi mentre rubavano alcune merci. La Corte ha rilevato, in particolare, che i tribunali spagnoli avevano attentamente bilanciato i diritti dei ricorrenti - dipendenti della catena di supermercati sospettati di furto - e quelli del datore di lavoro, e avevano effettuato un esame approfondito della base giuridica sottesa alla videosorveglianza. Un argomento chiave addotto dai ricorrenti era che non erano stati informati preventivamente in merito alla presenza di telecamere, nonostante l’obbligo previsto dalla legge. Tuttavia la Corte ha ritenuto che tale misura fosse chiaramente giustificata da un ragionevole sospetto di condotte scorrette e dalle perdite subite, tenuto conto dell'entità e delle conseguenze della misura. Pertanto, i giudici nazionali non hanno ecceduto il loro potere discrezionale (il c.d. “margine di discrezionalità”) nel ritenere il controllo effettuato tramite telecamere nascoste, proporzionato e legittimo. In ogni caso, occorre evidenziare che la videosorveglianza occulta è [...]

2019-10-17T22:38:50+01:0017 Ott 2019|Categorie: Articolo, In evidenza|Tag: |

Le Autorizzazioni generali: trattamento di categorie particolari di dati nel rapporto di lavoro

Il Garante per la protezione dei dati personali (il “Garante”), in data 13 dicembre 2018, ha adottato il Provvedimento Generale n. 497, nel quale si è sancita la compatibilità con il Regolamento (UE) 2016/679 (“GDPR”) delle sole prescrizioni contenute nelle autorizzazioni relative a: trattamenti di categorie particolari di dati nei rapporti di lavoro (Autorizzazione generale 1/2016); trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (Autorizzazione generale 3/2016); trattamenti di categorie particolari di dati da parte degli investigatori privati (Autorizzazione generale 6/2016); trattamenti di dati genetici (Autorizzazione generale 8/2016); trattamenti di dati personali effettuati per scopi di ricerca scientifica (Autorizzazione generale 9/2016). Le Autorizzazioni generali n. 2/2016, 4/2016, 5/2016 e 7/2016, considerate non più compatibili con la nuova normativa in materia di protezione dati, hanno cessato di produrre i propri effetti. Il Provvedimento n. 497 è stato successivamente posto in consultazione pubblica al fine di recepire eventuali osservazioni e/o proposte da parte di soggetti interessati, associazioni di categoria e organizzazioni rappresentative dei settori di riferimento. In seguito alla conclusione della predetta fase, il 29 luglio 2019 è stato pubblicato in Gazzetta Ufficiale (GU. Serie Generale n. 176 [...]

2019-10-03T23:14:21+01:0030 Set 2019|Categorie: Articolo, In evidenza|Tag: |

Mercato unico digitale: le linee guida sulla circolazione dei dati non personali

Un framework normativo completo, che ora con la pubblicazione di adeguate linee guida permette di chiarire gli aspetti legati alla circolazione dei dati non personali relativamente al mercato unico digitale. L’entrata in vigore, lo scorso 28 maggio 2019, del Regolamento UE 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea – così detto Free Flow Data Regulation (di seguito il “Regolamento FFD”), ha segnato – come è stato osservato dalla Commissaria europea responsabile per l’Economia e le società digitali Mariya Gabriel – il completamento di “un quadro completo per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea”. Vediamo di che cosa tratta. Regolamento FFD e linee guida Il Regolamento FFD – emanato alla fine dell’iter normativo iniziato con la proposta della Commissione del 19 settembre 2017 – mira infatti a contribuire: alla formazione di un contesto giuridico ed economico stabile in tema di trattamento e circolazione di dati; all’abbattimento delle barriere in materia di mobilità dei dati per le imprese, le amministrazioni pubbliche e i cittadini; ad un migliore sfruttamento del potenziale dell’economia europea dei dati  (c.d. data economy) e alla creazione [...]

2019-07-08T17:47:43+01:0026 Giu 2019|Categorie: Articolo, In evidenza|

Implementazione del GDPR nel settore sportivo: lo stato dell’arte

1.     Introduzione Dal 25 maggio 2018 è divenuto pienamente efficace il Regolamento (UE) 2016/679 sulla protezione dei dati personali e sulla loro circolazione (il “Regolamento” o “GDPR”) che ha imposto un radicale cambio di approccio al trattamento e alla protezione dei dati personali delle persone fisiche rispetto alla precedente normativa applicabile in materia all’interno dei singoli Stati membri. Con l’introduzione del principio di “Accountability” di cui agli artt. 5 e 24, il GDPR “responsabilizza” i soggetti attivi del trattamento – in particolare i titolari e i responsabili del trattamento – ponendo in capo a questi ultimi una serie di obblighi generali a cui devono attenersi, dovendo garantire (e ponendosi nelle condizioni di dimostrarlo) che i trattamenti di dati personali da essi svolti rispettino la vigente normativa in materia di protezione dei dati personali. Il rispetto della predetta normativa è, tuttavia, fondamentale, non solo in un’ottica di compliance, ma anche – come vedremo meglio – in una prospettiva di “valorizzazione” dei dati personali trattati sotto ulteriori profili (ad esempio, per l’utilizzo delle proprie banche dati per finalità di natura commerciale, promozionale o per finalità di sviluppo dei propri servizi). Già da quanto sopra illustrato, appare evidente che la riforma introdotta dal [...]

2019-06-11T10:27:49+01:0011 Giu 2019|Categorie: Articolo, In evidenza|

Privacy Sweep: servono ancora sforzi per il pieno rispetto dell’accountability

A partire da settembre 2018, il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ha dato il via al cosiddetto “Privacy Sweep”, ossia una “indagine a tappeto” dedicata, quest’anno, al principio di responsabilizzazione (o “accountability”), introdotto dal GDPR. L’indagine ha carattere internazionale e, infatti, è stata condotta – non solo dall’Autorità italiana ma anche – da diciotto delle altre autorità garanti per la protezione dei dati personali facenti parte del GPEN (“Global Privacy Enforcement Network”)[1]. Dall’indagine è emerso che la maggior parte delle imprese e degli enti pubblici analizzati dalle Autorità garanti per la protezione dei dati personali mostrano una buona comprensione dei concetti base legati al più generale principio di responsabilizzazione. Tuttavia permangono carenze significative in merito alla concreta attuazione di politiche e programmi specifici a tutela della privacy. Ogni Autorità coinvolta ha scelto autonomamente lo specifico settore di analisi, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni. Il Garante italiano ha analizzato Regioni e Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico. Le risultanze raccolte dalle autorità garanti hanno fatto emergere un quadro ancora non soddisfacente in merito alla compliance [...]

2019-05-13T11:27:08+01:0009 Mag 2019|Categorie: Articolo, In evidenza|

Algocrazia: Search Neutrality e trasparenza quali possibili soluzioni contro il “potere dell’algoritmo”?

1. Introduzione: il concetto di algoritmo Una sequenza di ordini e istruzioni chiamate a descrivere nel dettaglio un processo volto, a partire da un input (dati in ingresso) e passando per l'esecuzione di un determinato calcolo (elaborazione), a produrre uno specifico output (dati in uscita o risultato). Questa potrebbe essere in estrema sintesi la definizione di che cosa sia un algoritmo. Nel campo dell’informatica – e, più specificamente, in quello della programmazione – gli algoritmi costituiscono la “logica” di un programma, intesa quale insieme di istruzioni attraverso le quali un programma potrà produrre il risultato (output) per il quale il programma stesso è stato creato, a partire da specifici dati di partenza (input) e attraverso l’elaborazione di tali dati. Gli algoritmi, quindi, rappresentano parte fondamentale, anche se non immediatamente percepibile, di ogni programma eseguito da un elaboratore. 2. Algoritmi ed elaborazione dei dati Tuttavia, con il crescere del numero di società che raccolgono – in particolare sul web – ed elaborano enormi quantità di dati anche personali (cd. Big Data), il concetto di “algoritmo” ha acquisito un significato più specifico e, se vogliamo, circoscritto. In tale contesto, infatti, il concetto di algoritmo non viene più inteso – in maniera ampia [...]

2019-05-11T13:18:41+01:0005 Mag 2019|Categorie: Articolo, In evidenza|

EDPB: parere sull’interazione tra direttiva e-Privacy e GDPR

In data 12.03.19, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato un parere sull'interazione tra la Direttiva UE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“Direttiva e-Privacy”) e il regolamento generale sulla protezione dei dati personali (“GDPR”). Il suddetto parere era stato richiesto dall'Autorità belga per la protezione dei dati per avere dei chiarimenti rispettivamente in merito a: competenza, compiti e poteri delle Autorità di controllo per la protezione dei dati personali (le “Autorità”); applicabilità dei meccanismi di cooperazione e coerenza del GDPR nei casi in cui al trattamento dei dati personali si applichi sia il GDPR che la Direttiva e-Privacy. Il parere affronta le seguenti tematiche: (I) l’ambito di applicazione materiale della Direttiva e-Privacy e del GDPR; (II) l’interazione tra le due; (III) la competenza, i compiti e i poteri delle Autorità; e (IV) l’applicabilità ai casi in questione dei meccanismi di cooperazione e coerenza del GDPR. I. Attività di trattamento nell'ambito di applicazione materiale sia della Direttiva e-Privacy che del GDPR. Il parere rileva che vi sono molti esempi di attività di trattamento dei dati che rientrano nell’ambito di applicazione materiale sia della Direttiva e-Privacy [...]

2019-05-07T18:22:39+01:0020 Mar 2019|Categorie: Articolo, In evidenza|

CNIL sanziona Google per violazione delle disposizioni del GDPR

Il 21 gennaio 2019, il Garante Privacy francese (“CNIL”) ha comminato una sanzione di 50 milioni di euro nei confronti della società GOOGLE LLC. Per la prima volta il CNIL ha applicato i nuovi limiti di sanzioni previsti dal GDPR. L'importo deciso e la pubblicità della sanzione sono stati giustificati dal CNIL per la gravità delle violazioni individuate riguardo ai principi essenziali del GDPR: trasparenza, informativa e consenso. Il 25 e il 28 maggio 2018, le associazioni No of Your Business (“NOYB”) e La Quadrature Du Net (“LQDN”) hanno presentato al CNIL due reclami contro GOOGLE, sottolineando la mancanza di una valida base giuridica per il trattamento dei dati personali degli utenti per scopi di targeting pubblicitario. CNIL ha prontamente verificato la conformità delle operazioni di trattamento implementate da GOOGLE con il French Data Protection Act e il GDPR analizzando il modello di navigazione di un utente e i documenti a cui può accedere, quando crea un account GOOGLE, usando Android. Sulla base delle ispezioni effettuate, il CNIL ha individuato due tipi di violazioni del GDPR: Violazione degli obblighi di trasparenza e informativa Le informazioni fornite da GOOGLE non sono facilmente accessibili per gli utenti in quanto le informazioni essenziali [...]

2019-05-07T18:10:42+01:0007 Feb 2019|Categorie: Articolo, In evidenza|Tag: , , |