Sanzione del Garante Belga: DPO e conflitti di interesse nel contesto aziendale

2020-05-19T11:48:56+02:0014 Mag 2020|Categorie: Articolo, In evidenza|Tag: , , , |

In data 28 aprile 2020, l'Autorità belga per la protezione dei dati personali (l’"Autorità Garante Belga" o l’”Autorità”) ha irrogato una sanzione pari a 50 mila Euro nei confronti di una azienda belga (l’”Azienda”) per violazione dei requisiti di indipendenza necessari per lo svolgimento della funzione di “Data Protection Officer” (“DPO”) e conseguente sussistenza di un conflitto di interessi in capo al DPO, come previsto dall’art. 38, co. 6 del Regolamento UE 679/2016 (“GDPR”). Normativa di riferimento applicabile al DPO Al fine di meglio inquadrare il caso di specie, si precisa che gli artt. 37 -39 del GDPR disciplinano la figura del DPO, specificando i casi in cui è necessario nominarlo, le modalità, le sue funzioni, nonché i requisiti necessari per ricoprire tale ruolo in conformità con la normativa. Tra le disposizioni previste, rileva l’art. 37, co. 6 del GDPR, il quale prevede che gli enti possano nominare tanto un dipendente, quanto un soggetto esterno che svolga le sue funzioni in base ad un contratto di servizi. Inoltre, l’art. 38, co. 6 del GDPR precisa che il DPO possa svolgere altri compiti e funzioni ma, in questo caso, è necessario che il titolare del trattamento garantisca un’assoluta mancanza di conflitto [...]

Continua a leggere

Dossier COVID-19

2020-04-08T11:36:44+02:0031 Mar 2020|Categorie: In evidenza|Tag: , , |

La Task Force dello Studio Legale Morri Rossetti dedicata all'emergenza Coronavirus ha pubblicato il Dossier COVID-19, un articolato vademecum sempre aggiornato, che analizza le disposizioni emanate dal Governo e fornisce indicazioni e risposte pragmatiche ai dubbi di imprenditori e manager. Il Dossier COVID-19, nella sua versione aggiornata, comprende tutte le novità introdotte fino al 31 marzo 2020 ed è consultabile qui. Inoltre, nel Dossier COVID-19 è presente una sezione interamente dedicata al trattamento dei dati personali nel contesto emergenziale aggiornata ai provvedimenti emanati sia a livello nazionale che europeo, ivi inclusi quelli del Garante Privacy, del Comitato Europeo per la protezione dei dati personali nonchè delle diverse autorità di controllo degli Stati Membri. Sono altresì previste delle raccomandazioni al datore di lavoro per prevenire la diffusione del COVID-19 nel rispetto della privacy del dipendente e dei terzi nonchè in materia di smart working e utilizzo di dispositivi aziendali e app.

Continua a leggere

L’EDPB interviene sul tema Covid-19: in situazioni di emergenza non è necessario il consenso al trattamento dei dati personali

2020-03-17T15:25:08+01:0016 Mar 2020|Categorie: In evidenza|Tag: , , |

In data 16 marzo 2020, anche l’European Data Protection Board (“EDPB”) è intervenuto sul tema Covid-19 e trattamento dei dati personali. In particolare, l’EDPB ha sottolineato come, dal momento che le misure d’emergenza adottate dai governi europei per contenere la pandemia implicano il trattamento dei dati personali, tale trattamento si fonderà su basi giuridiche diverse rispetto al consenso degli interessati. Come dichiarato dall’EDPB, il Regolamento UE 679/2016 (“GDPR”) non rappresenta un ostacolo per le misure adottate nella lotta contro il Covid-19 in quanto lo stesso, avendo ampia portata, contempla regole da applicarsi anche in situazioni emergenziali, come quella attualmente in corso. In questi casi, dunque, per consentire ai datori di lavoro e alle autorità sanitarie pubbliche competenti di trattare i dati personali, il GDPR prevede, ex artt. 6 e 9, basi giuridiche specifiche, quali (i) l’interesse pubblico nel settore della sanità pubblica, (ii) la salvaguardia di interessi vitali degli interessati e (iii) l’adempimento di un obbligo legale, che legittimano il trattamento dei dati personali senza la necessità di ottenere il consenso della persona interessata. Con riferimento, invece, al trattamento dei dati relativi alle comunicazioni elettroniche e, in particolare, dei dati di geolocalizzazione, si devono considerare ulteriori disposizioni. L’EDPB ha infatti [...]

Continua a leggere

Coronavirus: Garante Privacy, no a iniziative “fai da te” nella raccolta dei dati di soggetti pubblici e privati

2020-03-06T11:22:08+01:0002 Mar 2020|Categorie: In evidenza|Tag: , , |

A seguito dell’emergenza “Coronavirus”, l'Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha ricevuto numerosi quesiti da parte di soggetti, sia pubblici che privati, in merito alla possibilità di raccogliere, all’atto della registrazione di visitatori e utenti, informazioni circa la presenza di sintomi da Coronavirus e notizie sugli ultimi spostamenti, come misura di prevenzione dal contagio. I datori di lavoro hanno altresì richiesto di poter raccogliere un’autodichiarazione dei dipendenti, nella quale affermano di non avere sintomi influenzali. In particolare, il Garante Privacy segnala che la normativa d’urgenza, adottata nelle ultime settimane, prevede che chiunque negli ultimi 14 giorni abbia soggiornato nelle zone a rischio epidemiologico, nonché nei comuni individuati dalle più recenti disposizioni normative, sia tenuto a comunicarlo, anche per il tramite del medico di base, alla azienda sanitaria territoriale, la quale provvederà agli accertamenti previsti come, ad esempio, l’isolamento fiduciario. Pertanto, il Garante Privacy precisa che i datori di lavoro devono astenersi dal raccogliere informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa. Tale raccolta, infatti, risulterebbe sistematica e generalizzata e permetterebbe al datore di lavoro di effettuare indagini non consentite. La finalità di [...]

Continua a leggere

Garante Privacy: Piano ispettivo per il primo semestre del 2020

2020-03-02T16:29:58+01:0018 Feb 2020|Categorie: In evidenza|

L’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) ha approvato il piano ispettivo per il periodo gennaio-giugno 2020, che sarà svolto anche con l’ausilio del Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di Finanza. In particolare, l’attività ispettiva del Garante Privacy riguarderà: trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. “medicina di iniziativa”; trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario; trattamento di dati personali effettuati nel quadro dei servizi bancari on-line; trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing); trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica; trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR; trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell'ambito del servizio di call center; trattamenti di dati personali effettuati da società per attività di marketing; trattamenti di dati personali effettuati da società che svolgono attività di profilazione degli interessati aderenti a carte di fidelizzazione; trattamenti di dati personali effettuati da società [...]

Continua a leggere

ENISA: uno strumento per la valutazione del rischio di sicurezza

2020-03-02T15:10:31+01:0010 Feb 2020|Categorie: In evidenza|Tag: |

In occasione della Giornata della protezione dei dati personali, il 28 gennaio 2020, l’Agenzia europea per la cyber sicurezza (“ENISA”) ha reso disponibile uno strumento di valutazione del rischio di sicurezza (“Tool”), ai sensi dell'art. 32 del Regolamento UE 679/2016 (“GDPR”), elaborato da un gruppo di lavoro cui ha partecipato anche l’Autorità Garante per la protezione dei dati personali (“Garante Privacy”). Background normativo L’art. 32 GDPR impone ai titolari e ai responsabili del trattamento di garantire la sicurezza del trattamento dei dati personali, mettendo in atto misure tecniche e organizzative volte ad assicurare un livello di sicurezza adeguato al rischio connesso alle attività da loro svolte (i.e. distruzione, perdita, ecc.). Scopo del Tool Lo scopo del Tool è quello di fornire uno strumento pratico per effettuare la valutazione del rischio di sicurezza del trattamento dei dati personali, individuando le migliori misure tecniche e organizzative da adottare. In nessun modo questo Tool può sostituire il Data Protection Impact Assessment (“DPIA”), il quale, invece, è una valutazione da effettuarsi solo nel caso in cui il trattamento, svolto mediante l’utilizzo di nuove tecnologie, presenti un rischio elevato per i diritti e le libertà delle persone fisiche (i.e. videosorveglianza, profilazione, etc.). Chi può utilizzare [...]

Continua a leggere

Marketing: il Garante privacy sanziona Tim S.p.A. per 27 milioni e 800 mila Euro

2020-03-06T11:21:26+01:0002 Feb 2020|Categorie: In evidenza|Tag: , , , |

L'Autorità Garante per la protezione dei dati personali (il “Garante Privacy”) ha irrogato una sanzione pari a 27 milioni e 800 mila Euro nei confronti di TIM S.p.A. (“TIM” o la “Società”) a seguito di numerosi trattamenti effettuati, nell’ambito di attività di marketing, in violazione delle norme del Regolamento UE 679/2016 (“GDPR”), in considerazione, altresì, dell’elevato numero di soggetti coinvolti. SEGNALAZIONI E RECLAMI Nel periodo compreso tra gennaio 2017 e i primi mesi del 2019, il Garante Privacy ha ricevuto numerose segnalazioni e reclami relativi a: chiamate indesiderate effettuate (i) senza il consenso degli interessati; (ii) nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni; e (iii) anche a seguito dell’esercizio del diritto di opposizione nei confronti di TIM; mancato riscontro alle richieste di esercizio, in particolare, dei diritti di accesso e di opposizione al trattamento per finalità promozionali formulate dagli interessati; mancata richiesta del consenso per finalità di marketing (il cui rilascio è obbligatorio) in sede di attivazione del programma “TIM Party”; raccolta di un consenso unico e indistinto per i trattamenti di dati effettuati per diverse finalità (quali, a titolo esemplificativo, finalità statistiche, di profilazione e di marketing). ATTIVITÀ ISTRUTTORIA DEL GARANTE PRIVACY A seguito delle segnalazioni [...]

Continua a leggere

Case of Lopez, Ribalda and others v. Spain (Applications nos. 1874-13 and 8567-13)

2020-05-20T12:24:36+02:0017 Ott 2019|Categorie: Articolo, In evidenza|Tag: |

La Corte Europea dei Diritti dell’Uomo (di seguito, la "Corte") ha stabilito, con provvedimento del 17 ottobre 2019, che l’utilizzo delle telecamere nascoste nei luoghi di lavoro, ove ricorrano determinati presupposti,  non viola la privacy dei dipendenti. La Corte si è pronunciata in merito al ricorso presentato da cinque cassieri di una catena di supermercati spagnola, che erano stati licenziati dopo essere stati ripresi mentre rubavano alcune merci. La Corte ha rilevato, in particolare, che i tribunali spagnoli avevano attentamente bilanciato i diritti dei ricorrenti - dipendenti della catena di supermercati sospettati di furto - e quelli del datore di lavoro, e avevano effettuato un esame approfondito della base giuridica sottesa alla videosorveglianza. Un argomento chiave addotto dai ricorrenti era che non erano stati informati preventivamente in merito alla presenza di telecamere, nonostante l’obbligo previsto dalla legge. Tuttavia la Corte ha ritenuto che tale misura fosse chiaramente giustificata da un ragionevole sospetto di condotte scorrette e dalle perdite subite, tenuto conto dell'entità e delle conseguenze della misura. Pertanto, i giudici nazionali non hanno ecceduto il loro potere discrezionale (il c.d. “margine di discrezionalità”) nel ritenere il controllo effettuato tramite telecamere nascoste, proporzionato e legittimo. In ogni caso, occorre evidenziare che [...]

Continua a leggere

Le Autorizzazioni generali: trattamento di categorie particolari di dati nel rapporto di lavoro

2019-10-03T23:14:21+02:0030 Set 2019|Categorie: Articolo, In evidenza|Tag: |

Il Garante per la protezione dei dati personali (il “Garante”), in data 13 dicembre 2018, ha adottato il Provvedimento Generale n. 497, nel quale si è sancita la compatibilità con il Regolamento (UE) 2016/679 (“GDPR”) delle sole prescrizioni contenute nelle autorizzazioni relative a: trattamenti di categorie particolari di dati nei rapporti di lavoro (Autorizzazione generale 1/2016); trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (Autorizzazione generale 3/2016); trattamenti di categorie particolari di dati da parte degli investigatori privati (Autorizzazione generale 6/2016); trattamenti di dati genetici (Autorizzazione generale 8/2016); trattamenti di dati personali effettuati per scopi di ricerca scientifica (Autorizzazione generale 9/2016). Le Autorizzazioni generali n. 2/2016, 4/2016, 5/2016 e 7/2016, considerate non più compatibili con la nuova normativa in materia di protezione dati, hanno cessato di produrre i propri effetti. Il Provvedimento n. 497 è stato successivamente posto in consultazione pubblica al fine di recepire eventuali osservazioni e/o proposte da parte di soggetti interessati, associazioni di categoria e organizzazioni rappresentative dei settori di riferimento. In seguito alla conclusione della predetta fase, il 29 luglio 2019 è stato pubblicato in Gazzetta Ufficiale (GU. Serie Generale n. 176 [...]

Continua a leggere

Mercato unico digitale: le linee guida sulla circolazione dei dati non personali

2019-07-08T17:47:43+02:0026 Giu 2019|Categorie: Articolo, In evidenza|

Un framework normativo completo, che ora con la pubblicazione di adeguate linee guida permette di chiarire gli aspetti legati alla circolazione dei dati non personali relativamente al mercato unico digitale. L’entrata in vigore, lo scorso 28 maggio 2019, del Regolamento UE 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea – così detto Free Flow Data Regulation (di seguito il “Regolamento FFD”), ha segnato – come è stato osservato dalla Commissaria europea responsabile per l’Economia e le società digitali Mariya Gabriel – il completamento di “un quadro completo per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea”. Vediamo di che cosa tratta. Regolamento FFD e linee guida Il Regolamento FFD – emanato alla fine dell’iter normativo iniziato con la proposta della Commissione del 19 settembre 2017 – mira infatti a contribuire: alla formazione di un contesto giuridico ed economico stabile in tema di trattamento e circolazione di dati; all’abbattimento delle barriere in materia di mobilità dei dati per le imprese, le amministrazioni pubbliche e i cittadini; ad un migliore sfruttamento del potenziale dell’economia europea dei dati  (c.d. data economy) e alla creazione [...]

Continua a leggere

Implementazione del GDPR nel settore sportivo: lo stato dell’arte

2019-06-11T10:27:49+02:0011 Giu 2019|Categorie: Articolo, In evidenza|

1.     Introduzione Dal 25 maggio 2018 è divenuto pienamente efficace il Regolamento (UE) 2016/679 sulla protezione dei dati personali e sulla loro circolazione (il “Regolamento” o “GDPR”) che ha imposto un radicale cambio di approccio al trattamento e alla protezione dei dati personali delle persone fisiche rispetto alla precedente normativa applicabile in materia all’interno dei singoli Stati membri. Con l’introduzione del principio di “Accountability” di cui agli artt. 5 e 24, il GDPR “responsabilizza” i soggetti attivi del trattamento – in particolare i titolari e i responsabili del trattamento – ponendo in capo a questi ultimi una serie di obblighi generali a cui devono attenersi, dovendo garantire (e ponendosi nelle condizioni di dimostrarlo) che i trattamenti di dati personali da essi svolti rispettino la vigente normativa in materia di protezione dei dati personali. Il rispetto della predetta normativa è, tuttavia, fondamentale, non solo in un’ottica di compliance, ma anche – come vedremo meglio – in una prospettiva di “valorizzazione” dei dati personali trattati sotto ulteriori profili (ad esempio, per l’utilizzo delle proprie banche dati per finalità di natura commerciale, promozionale o per finalità di sviluppo dei propri servizi). Già da quanto sopra illustrato, appare evidente che la riforma introdotta dal [...]

Continua a leggere

Privacy Sweep: servono ancora sforzi per il pieno rispetto dell’accountability

2019-05-13T11:27:08+02:0009 Mag 2019|Categorie: Articolo, In evidenza|

A partire da settembre 2018, il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ha dato il via al cosiddetto “Privacy Sweep”, ossia una “indagine a tappeto” dedicata, quest’anno, al principio di responsabilizzazione (o “accountability”), introdotto dal GDPR. L’indagine ha carattere internazionale e, infatti, è stata condotta – non solo dall’Autorità italiana ma anche – da diciotto delle altre autorità garanti per la protezione dei dati personali facenti parte del GPEN (“Global Privacy Enforcement Network”)[1]. Dall’indagine è emerso che la maggior parte delle imprese e degli enti pubblici analizzati dalle Autorità garanti per la protezione dei dati personali mostrano una buona comprensione dei concetti base legati al più generale principio di responsabilizzazione. Tuttavia permangono carenze significative in merito alla concreta attuazione di politiche e programmi specifici a tutela della privacy. Ogni Autorità coinvolta ha scelto autonomamente lo specifico settore di analisi, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni. Il Garante italiano ha analizzato Regioni e Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico. Le risultanze raccolte dalle autorità garanti hanno fatto emergere un quadro ancora non soddisfacente in merito alla compliance [...]

Continua a leggere

Algocrazia: Search Neutrality e trasparenza quali possibili soluzioni contro il “potere dell’algoritmo”?

2019-05-11T13:18:41+02:0005 Mag 2019|Categorie: Articolo, In evidenza|

1. Introduzione: il concetto di algoritmo Una sequenza di ordini e istruzioni chiamate a descrivere nel dettaglio un processo volto, a partire da un input (dati in ingresso) e passando per l'esecuzione di un determinato calcolo (elaborazione), a produrre uno specifico output (dati in uscita o risultato). Questa potrebbe essere in estrema sintesi la definizione di che cosa sia un algoritmo. Nel campo dell’informatica – e, più specificamente, in quello della programmazione – gli algoritmi costituiscono la “logica” di un programma, intesa quale insieme di istruzioni attraverso le quali un programma potrà produrre il risultato (output) per il quale il programma stesso è stato creato, a partire da specifici dati di partenza (input) e attraverso l’elaborazione di tali dati. Gli algoritmi, quindi, rappresentano parte fondamentale, anche se non immediatamente percepibile, di ogni programma eseguito da un elaboratore. 2. Algoritmi ed elaborazione dei dati Tuttavia, con il crescere del numero di società che raccolgono – in particolare sul web – ed elaborano enormi quantità di dati anche personali (cd. Big Data), il concetto di “algoritmo” ha acquisito un significato più specifico e, se vogliamo, circoscritto. In tale contesto, infatti, il concetto di algoritmo non viene più inteso – in maniera ampia [...]

Continua a leggere

EDPB: parere sull’interazione tra direttiva e-Privacy e GDPR

2019-05-07T18:22:39+02:0020 Mar 2019|Categorie: Articolo, In evidenza|

In data 12.03.19, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato un parere sull'interazione tra la Direttiva UE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“Direttiva e-Privacy”) e il regolamento generale sulla protezione dei dati personali (“GDPR”). Il suddetto parere era stato richiesto dall'Autorità belga per la protezione dei dati per avere dei chiarimenti rispettivamente in merito a: competenza, compiti e poteri delle Autorità di controllo per la protezione dei dati personali (le “Autorità”); applicabilità dei meccanismi di cooperazione e coerenza del GDPR nei casi in cui al trattamento dei dati personali si applichi sia il GDPR che la Direttiva e-Privacy. Il parere affronta le seguenti tematiche: (I) l’ambito di applicazione materiale della Direttiva e-Privacy e del GDPR; (II) l’interazione tra le due; (III) la competenza, i compiti e i poteri delle Autorità; e (IV) l’applicabilità ai casi in questione dei meccanismi di cooperazione e coerenza del GDPR. I. Attività di trattamento nell'ambito di applicazione materiale sia della Direttiva e-Privacy che del GDPR. Il parere rileva che vi sono molti esempi di attività di trattamento dei dati che rientrano nell’ambito di applicazione materiale sia della Direttiva e-Privacy [...]

Continua a leggere

CNIL sanziona Google per violazione delle disposizioni del GDPR

2019-05-07T18:10:42+02:0007 Feb 2019|Categorie: Articolo, In evidenza|Tag: , , |

Il 21 gennaio 2019, il Garante Privacy francese (“CNIL”) ha comminato una sanzione di 50 milioni di euro nei confronti della società GOOGLE LLC. Per la prima volta il CNIL ha applicato i nuovi limiti di sanzioni previsti dal GDPR. L'importo deciso e la pubblicità della sanzione sono stati giustificati dal CNIL per la gravità delle violazioni individuate riguardo ai principi essenziali del GDPR: trasparenza, informativa e consenso. Il 25 e il 28 maggio 2018, le associazioni No of Your Business (“NOYB”) e La Quadrature Du Net (“LQDN”) hanno presentato al CNIL due reclami contro GOOGLE, sottolineando la mancanza di una valida base giuridica per il trattamento dei dati personali degli utenti per scopi di targeting pubblicitario. CNIL ha prontamente verificato la conformità delle operazioni di trattamento implementate da GOOGLE con il French Data Protection Act e il GDPR analizzando il modello di navigazione di un utente e i documenti a cui può accedere, quando crea un account GOOGLE, usando Android. Sulla base delle ispezioni effettuate, il CNIL ha individuato due tipi di violazioni del GDPR: Violazione degli obblighi di trasparenza e informativa Le informazioni fornite da GOOGLE non sono facilmente accessibili per gli utenti in quanto le informazioni essenziali [...]

Continua a leggere