Mercato unico digitale: le linee guida sulla circolazione dei dati non personali

Un framework normativo completo, che ora con la pubblicazione di adeguate linee guida permette di chiarire gli aspetti legati alla circolazione dei dati non personali relativamente al mercato unico digitale. L’entrata in vigore, lo scorso 28 maggio 2019, del Regolamento UE 2018/1807 del Parlamento europeo e del Consiglio del 14 novembre 2018 relativo a un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea – così detto Free Flow Data Regulation (di seguito il “Regolamento FFD”), ha segnato – come è stato osservato dalla Commissaria europea responsabile per l’Economia e le società digitali Mariya Gabriel – il completamento di “un quadro completo per uno spazio comune europeo dei dati e per la libera circolazione di tutti i dati all’interno dell’Unione europea”. Vediamo di che cosa tratta. Regolamento FFD e linee guida Il Regolamento FFD – emanato alla fine dell’iter normativo iniziato con la proposta della Commissione del 19 settembre 2017 – mira infatti a contribuire: alla formazione di un contesto giuridico ed economico stabile in tema di trattamento e circolazione di dati; all’abbattimento delle barriere in materia di mobilità dei dati per le imprese, le amministrazioni pubbliche e i cittadini; ad un migliore sfruttamento del potenziale dell’economia europea dei dati  (c.d. data economy) e alla creazione [...]

2019-07-08T17:47:43+02:0026 Giu 2019|Categorie: Articolo, In evidenza|

Implementazione del GDPR nel settore sportivo: lo stato dell’arte

1.     Introduzione Dal 25 maggio 2018 è divenuto pienamente efficace il Regolamento (UE) 2016/679 sulla protezione dei dati personali e sulla loro circolazione (il “Regolamento” o “GDPR”) che ha imposto un radicale cambio di approccio al trattamento e alla protezione dei dati personali delle persone fisiche rispetto alla precedente normativa applicabile in materia all’interno dei singoli Stati membri. Con l’introduzione del principio di “Accountability” di cui agli artt. 5 e 24, il GDPR “responsabilizza” i soggetti attivi del trattamento – in particolare i titolari e i responsabili del trattamento – ponendo in capo a questi ultimi una serie di obblighi generali a cui devono attenersi, dovendo garantire (e ponendosi nelle condizioni di dimostrarlo) che i trattamenti di dati personali da essi svolti rispettino la vigente normativa in materia di protezione dei dati personali. Il rispetto della predetta normativa è, tuttavia, fondamentale, non solo in un’ottica di compliance, ma anche – come vedremo meglio – in una prospettiva di “valorizzazione” dei dati personali trattati sotto ulteriori profili (ad esempio, per l’utilizzo delle proprie banche dati per finalità di natura commerciale, promozionale o per finalità di sviluppo dei propri servizi). Già da quanto sopra illustrato, appare evidente che la riforma introdotta dal [...]

2019-06-11T10:27:49+02:0011 Giu 2019|Categorie: Articolo, In evidenza|

Privacy Sweep: servono ancora sforzi per il pieno rispetto dell’accountability

A partire da settembre 2018, il Garante per la protezione dei dati personali (il “Garante” o l’“Autorità”) ha dato il via al cosiddetto “Privacy Sweep”, ossia una “indagine a tappeto” dedicata, quest’anno, al principio di responsabilizzazione (o “accountability”), introdotto dal GDPR. L’indagine ha carattere internazionale e, infatti, è stata condotta – non solo dall’Autorità italiana ma anche – da diciotto delle altre autorità garanti per la protezione dei dati personali facenti parte del GPEN (“Global Privacy Enforcement Network”)[1]. Dall’indagine è emerso che la maggior parte delle imprese e degli enti pubblici analizzati dalle Autorità garanti per la protezione dei dati personali mostrano una buona comprensione dei concetti base legati al più generale principio di responsabilizzazione. Tuttavia permangono carenze significative in merito alla concreta attuazione di politiche e programmi specifici a tutela della privacy. Ogni Autorità coinvolta ha scelto autonomamente lo specifico settore di analisi, dal turismo alla salute, dalla pubblica amministrazione alle telecomunicazioni. Il Garante italiano ha analizzato Regioni e Province autonome, nonché le rispettive società controllate che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico. Le risultanze raccolte dalle autorità garanti hanno fatto emergere un quadro ancora non soddisfacente in merito alla compliance [...]

2019-05-13T11:27:08+02:0009 Mag 2019|Categorie: Articolo, In evidenza|

Algocrazia: Search Neutrality e trasparenza quali possibili soluzioni contro il “potere dell’algoritmo”?

1. Introduzione: il concetto di algoritmo Una sequenza di ordini e istruzioni chiamate a descrivere nel dettaglio un processo volto, a partire da un input (dati in ingresso) e passando per l'esecuzione di un determinato calcolo (elaborazione), a produrre uno specifico output (dati in uscita o risultato). Questa potrebbe essere in estrema sintesi la definizione di che cosa sia un algoritmo. Nel campo dell’informatica – e, più specificamente, in quello della programmazione – gli algoritmi costituiscono la “logica” di un programma, intesa quale insieme di istruzioni attraverso le quali un programma potrà produrre il risultato (output) per il quale il programma stesso è stato creato, a partire da specifici dati di partenza (input) e attraverso l’elaborazione di tali dati. Gli algoritmi, quindi, rappresentano parte fondamentale, anche se non immediatamente percepibile, di ogni programma eseguito da un elaboratore. 2. Algoritmi ed elaborazione dei dati Tuttavia, con il crescere del numero di società che raccolgono – in particolare sul web – ed elaborano enormi quantità di dati anche personali (cd. Big Data), il concetto di “algoritmo” ha acquisito un significato più specifico e, se vogliamo, circoscritto. In tale contesto, infatti, il concetto di algoritmo non viene più inteso – in maniera ampia [...]

2019-05-11T13:18:41+02:0005 Mag 2019|Categorie: Articolo, In evidenza|

EDPB: parere sull’interazione tra direttiva e-Privacy e GDPR

In data 12.03.19, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato un parere sull'interazione tra la Direttiva UE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“Direttiva e-Privacy”) e il regolamento generale sulla protezione dei dati personali (“GDPR”). Il suddetto parere era stato richiesto dall'Autorità belga per la protezione dei dati per avere dei chiarimenti rispettivamente in merito a: competenza, compiti e poteri delle Autorità di controllo per la protezione dei dati personali (le “Autorità”); applicabilità dei meccanismi di cooperazione e coerenza del GDPR nei casi in cui al trattamento dei dati personali si applichi sia il GDPR che la Direttiva e-Privacy. Il parere affronta le seguenti tematiche: (I) l’ambito di applicazione materiale della Direttiva e-Privacy e del GDPR; (II) l’interazione tra le due; (III) la competenza, i compiti e i poteri delle Autorità; e (IV) l’applicabilità ai casi in questione dei meccanismi di cooperazione e coerenza del GDPR. I. Attività di trattamento nell'ambito di applicazione materiale sia della Direttiva e-Privacy che del GDPR. Il parere rileva che vi sono molti esempi di attività di trattamento dei dati che rientrano nell’ambito di applicazione materiale sia della Direttiva e-Privacy [...]

2019-05-07T18:22:39+02:0020 Mar 2019|Categorie: Articolo, In evidenza|

CNIL sanziona Google per violazione delle disposizioni del GDPR

Il 21 gennaio 2019, il Garante Privacy francese (“CNIL”) ha comminato una sanzione di 50 milioni di euro nei confronti della società GOOGLE LLC. Per la prima volta il CNIL ha applicato i nuovi limiti di sanzioni previsti dal GDPR. L'importo deciso e la pubblicità della sanzione sono stati giustificati dal CNIL per la gravità delle violazioni individuate riguardo ai principi essenziali del GDPR: trasparenza, informativa e consenso. Il 25 e il 28 maggio 2018, le associazioni No of Your Business (“NOYB”) e La Quadrature Du Net (“LQDN”) hanno presentato al CNIL due reclami contro GOOGLE, sottolineando la mancanza di una valida base giuridica per il trattamento dei dati personali degli utenti per scopi di targeting pubblicitario. CNIL ha prontamente verificato la conformità delle operazioni di trattamento implementate da GOOGLE con il French Data Protection Act e il GDPR analizzando il modello di navigazione di un utente e i documenti a cui può accedere, quando crea un account GOOGLE, usando Android. Sulla base delle ispezioni effettuate, il CNIL ha individuato due tipi di violazioni del GDPR: Violazione degli obblighi di trasparenza e informativa Le informazioni fornite da GOOGLE non sono facilmente accessibili per gli utenti in quanto le informazioni essenziali [...]

2019-05-07T18:10:42+02:0007 Feb 2019|Categorie: Articolo, In evidenza|Tag: , , |