Dati relativi alle comunicazioni elettroniche: la CGUE esclude la possibilità di trattamenti generalizzati e indiscriminati da parte dello Stato

2020-11-04T10:43:10+01:0030 Ott 2020|Categorie: Articolo, In evidenza|Tag: , , , , , , |

Lo scorso 6 ottobre, la Corte di Giustizia dell’Unione europea (“CGUE” o “Corte”) si è pronunciata nella causa Privacy International (C-623/17), nonché nelle cause riunite La Quadrature du Net and Others (C-511/18), French Data Network and Others (C-512/18), Ordre des barreaux francophones et germanophone and Others (C-520/18) (congiuntamente, le “Pronunce”), in relazione alla liceità delle normative di taluni Stati membri, che prevedono l’obbligo in capo ai fornitori di servizi di comunicazione elettronica (“Fornitori” o “Provider”) di trasmettere i dati relativi al traffico[1] e all’ubicazione[2] delle persone fisiche che utilizzano un servizio di comunicazione elettronica[3] accessibile al pubblico (“Utenti”) a un’autorità pubblica e/o di conservare tali dati in modo generale o indiscriminato. Le Pronunce si inseriscono all’interno di un filone giurisprudenziale della Corte ormai costante, che negli ultimi anni si è espressa più volte sul tema della conservazione e dell’accesso ai dati personali nel settore delle comunicazioni elettroniche, per tali intendendosi ogni informazione scambiata o trasmessa tra un numero finito di soggetti per mezzo di segnali elettronici[4] (e.g., su reti di telecomunicazioni o di teleradiodiffusione). In particolare, già nella sentenza Tele2 Sverige and Watson and Others del 21 dicembre 2016, la CGUE aveva stabilito che gli Stati membri UE non possono [...]

Il Garante Privacy interviene sulla qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza

2020-05-26T10:52:54+02:0026 Mag 2020|Categorie: Articolo|Tag: , , , |

Il D.Lgs. 231/2001 (il “Decreto”) disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, prevedendo la responsabilità in capo all’ente per i reati commessi nel suo interesse o a suo vantaggio (i) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; (ii) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto (i). Ai sensi dell’art. 6, commi 1 e 2 del Decreto, l’ente non sarà responsabile dei reati commessi dai soggetti di cui al punto (i) qualora riesca a dimostrare che: l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; il compito di vigilare sul funzionamento e l'osservanza dei modelli e il compito di curare il loro aggiornamento sono stati affidati a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo; le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione [...]

La Corte europea dei diritti dell’uomo e la protezione dei dati personali – Case law

2020-05-22T18:35:25+02:0022 Mag 2020|Categorie: Articolo|Tag: , , |

La Corte europea dei diritti dell’uomo (“Corte EDU” o “Corte”) è un organo giurisdizionale internazionale, istituito nel 1959 dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (“CEDU” o “Convenzione”). La Corte EDU svolge principalmente due diverse funzioni: funzione contenziosa, nell’ambito delle controversie presentate sia con ricorsi individuali sia con ricorsi da parte degli Stati contraenti nei quali si lamenti la violazione di una delle disposizioni della CEDU o dei suoi protocolli addizionali. Svolge in tale contesto un ruolo sussidiario rispetto agli organi giudiziari nazionali, dal momento che le domande sono ammissibili solo una volta esaurite le vie di ricorso interne, nel rispetto delle previsioni della CEDU nonché delle norme di diritto internazionale generalmente riconosciute; funzione consultiva, attraverso il rilascio di pareri consultivi forniti su richiesta e inerenti a questioni giuridiche riguardanti l’interpretazione della CEDU e dei suoi protocolli addizionali. Nell’esercizio delle sue funzioni, la Corte EDU svolge un ruolo fondamentale al fine di meglio comprendere la portata di limitazioni e tutele nonché nell’identificazione dei criteri idonei ad effettuare un corretto ed equo bilanciamento tra i diritti tutelati dalla CEDU e gli interessi di volta in volta in gioco. Nell’ambito della salvaguardia dei diritti dell’uomo e [...]

IMMUNI: l’app italiana di contact tracing

2020-05-04T13:31:01+02:0030 Apr 2020|Categorie: Articolo|Tag: , , , , |

In data 29 aprile 2020, il Garante per la protezione dei dati personali (il “Garante Privacy”) ha espresso parere favorevole in merito alla proposta normativa per l’introduzione di una applicazione volta al tracciamento dei contagi da COVID-19, ritenendola conforme ai criteri indicati dalle Linee guida del Comitato europeo per la protezione a proposito dei sistemi di contact tracing. A seguito del via libera del Garante Privacy, il Governo, con il D.L. n. 28 del 30 aprile 2020 (“DL”), recante, inter alia, le misure urgenti per l'introduzione del sistema di allerta COVID-19, ha individuato, all’art. 6, le condizioni per il funzionamento del sistema di tracciamento dei contatti e dei contagi per prevenire la diffusione dei contagi. Tale norma prevede che venga istituita presso il Ministero della Salute una piattaforma informatica per il tracciamento di coloro che, su base volontaria, installeranno sul proprio smartphone l’applicazione “Immuni”, un’app italiana di contact tracing (l’”Immuni” o l’”App”) ideata per combattere il COVID-19 e per permettere gradualmente alla popolazione di tornare alla normalità. In particolare, Immuni, da un lato, traccerà gli spostamenti degli utenti attraverso dei segnali Bluetooth, dall’altro, prevederà la tenuta di un diario clinico, compilato e inserito dallo stesso utente. Con riferimento al tracciamento, [...]

Processo penale da remoto: lettera del Garante Privacy al Ministro della Giustizia

2020-04-30T18:41:40+02:0022 Apr 2020|Categorie: Articolo|Tag: , , |

Il presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, a seguito di alcuni quesiti presentati da parte dell’Unione delle Camere Penali in merito alle procedure adottate dal Ministero della Giustizia (“Ministero”) per lo svolgimento delle udienze penali da remoto nel rispetto di quanto previsto dai D.L. n. 11 e n.18 del 2020, ha pubblicato una lettera rivolta al Ministro della Giustizia, On. Alfonso Buonafede (“Ministro”), in cui ha sollevato alcune perplessità rispetto alle garanzie di tale procedura. In particolare, l’Unione delle Camere Penali ha chiesto ulteriori chiarimenti in merito a: le caratteristiche delle piattaforme indicate dalla Direzione Generale per i Sistemi Informativi Automatizzati (“DGSIA”), tra cui Microsoft Teams, al fine della celebrazione delle udienze penali da remoto; la scelta di Microsoft Corporation quale fornitore del servizio predetto, alla luce del fatto che, essendo il fornitore stabilito negli USA , lo stesso è soggetto tra l’altro all’applicazione delle norme del Cloud Act (normativa che attribuisce alle autorità statunitensi di contrasto un ampio potere acquisitivo di dati e informazioni); la tipologia di dati personali eventualmente memorizzati da Microsoft Corporation per finalità proprie, del servizio o commerciali; i soggetti legittimati all’accesso ai metadati delle sessioni e, in particolare, [...]

Commissione UE: guida sulle app per la lotta contro il COVID-19 e protezione dei dati personali

2020-05-07T17:25:31+02:0018 Apr 2020|Categorie: Articolo|Tag: , , , , |

La Commissione europea (la "Commissione UE") ha pubblicato la guida “Guidance on Apps supporting the fight against COVID-19 pandemic in relation to data protection” (la “Guida”) che segue alla recente pubblicazione della raccomandazione su un approccio comune dell’Unione europea per l’uso di applicazioni mobili e di dati da dispositivi mobili e accompagna il c.d. “toolbox UE” sulle applicazioni di contact tracing. La Guida mira ad offrire il quadro di riferimento necessario per garantire ai cittadini una sufficiente protezione dei loro dati personali e la limitazione di misure invasive nell’uso delle applicazioni mobili di contact tracing (“App”). Il Comitato europeo per la protezione dei dati personali è stato consultato sulla Guida e ha espresso le proprie considerazioni in una lettera pubblicata in data 14 aprile 2020. La Guida si concentra sulle App basate su adesione volontaria con una o più delle seguenti funzionalità: informazioni accurate per gli utenti sul COVID-19; questionari per l’autovalutazione e una guida per gli utenti (i.e. funzionalità di verifica dei sintomi); avvisi per gli utenti che si sono trovati in prossimità di una persona infetta per sottoporsi al test o per l’autoisolamento (i.e. funzionalità di tracciamento dei contatti e di avviso); un forum di comunicazione tra i [...]

Lettera dell’EDPB alla Commissione UE sulle linee guida per le app di contact tracing

2020-05-07T17:24:47+02:0015 Apr 2020|Categorie: Articolo|Tag: , , , |

A seguito di una richiesta di consultazione da parte della Commissione europea, il Comitato europeo per la protezione dei dati (“EDPB”) ha pubblicato una lettera - di cui è stato relatore anche l’Autorità Garante per la protezione dei dati personali – nella quale sostiene con favore il progetto della Commissione europea di sviluppare un approccio comune europeo nella lotta contro il COVID-19 tramite app di contact tracing. Andrea Jelinek, Presidente dell'EDPB, ha dichiarato: “L’EDPB accoglie con favore l'iniziativa della Commissione di sviluppare un approccio paneuropeo e coordinato, poiché ciò contribuirà a garantire lo stesso livello di protezione dei dati per ogni cittadino europeo, indipendentemente dal luogo in cui vive”. L’EDPB ha altresì formulato le seguenti raccomandazioni: l’adesione alle app di contact tracing deve essere volontaria e non obbligatoria ed in quanto tale non basata sul consenso degli utenti ma legittimata dall’adempimento di un compito nell’interesse pubblico, necessario al trattamento stesso; lo sviluppo delle app di contact tracing deve avvenire secondo criteri di responsabilizzazione, documentando attraverso una valutazione di impatto sulla protezione dei dati tutti i meccanismi messi in atto alla luce dei principi di privacy by design e by default; le app di contact tracing non necessitano di geolocalizzare i [...]

Commissione UE: un approccio europeo per le app nell’ambito del COVID-19

2020-05-07T17:26:09+02:0010 Apr 2020|Categorie: Articolo|Tag: , , |

In data 8 aprile 2020, la Commissione europea ("Commissione UE") ha pubblicato una raccomandazione “on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymised mobility data” al fine di sviluppare un approccio comune europeo rispetto all’utilizzo di applicazioni mobili e di dati di localizzazione da dispositivi mobili nell’ambito dell’emergenza da COVID-19 (“Raccomandazione”). A tal fine, la Raccomandazione definisce un processo attraverso il quale gli Stati membri dell’UE (“Stati Membri”) possono adottare diverse misure, con particolare attenzione alle seguenti priorità: un approccio europeo e coordinato all’uso di applicazioni mobili che consentano ai cittadini di adottare misure di social distancing efficaci e più mirate, per contribuire a limitare la propagazione del COVID-19; un approccio comune all’utilizzo di dati di localizzazione da dispositivi mobili, in forma anonima e aggregata per (i) modellare e prevedere l’evoluzione del COVID-19; (ii) monitorare l’efficacia delle misure di contenimento della diffusione del COVID-19, come il social distancing e il confinamento; e (3) contribuire a sviluppare una strategia coordinata per il futuro, compreso l’alleggerimento delle misure di contenimento. Introduzione Gli strumenti digitali sono cruciali al fine di superare l’attuale [...]

Audizione informale del Presidente del Garante Privacy sull’uso delle nuove tecnologie e della rete nell’ambito del COVID-19

2020-05-07T17:16:59+02:0010 Apr 2020|Categorie: Articolo|Tag: , , , |

In data 8 aprile 2020 si è tenuta l’audizione informale del presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, alla Camera dei Deputati sull’uso delle nuove tecnologie e della rete per contrastare la diffusione del COVID-19. In particolare, l’intervento del Garante Privacy si è concentrato sui seguenti aspetti: deroghe e misure limitative della protezione dei dati personali; misure relative alla raccolta dei dati sull’ubicazione o sull’interazione dei dispositivi mobili dei soggetti risultati positivi, con altri dispositivi, al fine di analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi, tramite gps, bluetooth e droni; contact tracing. In riferimento alle diverse misure ipotizzabili per il monitoraggio dei soggetti risultati positivi, il Garante Privacy raccomanda di privilegiare un criterio di gradualità al fine di valutare misure meno invasive ma sufficienti per la prevenzione epidemiologica. Sarebbe, altresì, preferibile il ricorso a sistemi fondati sulla volontaria adesione dei singoli, quale un’app bluetooth, che permettano il tracciamento della propria posizione, purché il consenso al trattamento dei dati non risulti in alcun modo condizionato (pertanto, non connesso all’erogazione di servizi ma alla tutela della salute). Con riferimento alla conservazione dei dati rilevati, in vista del loro eventuale, successivo utilizzo per allertare [...]

Garante Privacy: parere sulle modalità di consegna della ricetta medica elettronica

2020-03-24T16:36:29+01:0024 Mar 2020|Categorie: Articolo|Tag: , , , |

Nell’ambito dell’emergenza epidemiologica da COVID-19, il Garante Privacy ha espresso parere favorevole sullo schema di decreto trasmesso dal Ministero dell’Economia e delle Finanze (“MEF”) da adottare di concerto con il Ministero della salute, relativo alle modalità di consegna al paziente del promemoria dematerializzato della ricetta medica da parte del medico. Quadro normativo In particolare: con nota del 26 febbraio 2020, il MEF ha trasmesso, ai sensi dell’art. 36, par. 4 del Regolamento generale sulla protezione dei dati personali 679/2016 (“GDPR”), uno schema di decreto che modifica il D.M. 2 novembre 2011 (“Decreto del MEF”), estendendo la disciplina relativa alla dematerializzazione delle ricette mediche ad ulteriori categorie di prescrizioni. con nota del 17 marzo 2020, il MEF ha trasmesso una nuova versione dello schema di decreto che individua i canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica, le cui modalità attuative saranno stabilite in un successivo decreto del medesimo dicastero da adottarsi di concerto con il Ministero della salute, sentito il Garante Privacy. Le due versioni di schemi di decreto trasmesse al Garante Privacy sono state predisposte anche sulla base dei rilievi e delle indicazioni fornite dallo stesso nel corso di alcune riunioni e interlocuzioni, aventi anche carattere d’urgenza, [...]

Autorità di controllo svedese sanziona Google per violazione del diritto alla cancellazione

2020-03-20T10:18:28+01:0020 Mar 2020|Categorie: Articolo|Tag: , , |

L’Autorità di controllo svedese (“Autorità di controllo”) ha irrogato una sanzione amministrativa di 75 milioni di corone svedesi (circa 7 milioni di Euro) a Google, in qualità di operatore di motore di ricerca, per non aver adempiuto agli obblighi previsti dal Regolamento generale UE sulla protezione dei dati personali 679/2016 (“GDPR”) in materia di diritto alla cancellazione, e più specificamente, alla deindicizzazione (c.d. delisting), ossia il diritto dei soggetti interessati a chiedere e ottenere la rimozione dai risultati di ricerca ove le informazioni che li riguardano non siano più aggiornate, accurate o rilevanti. L’Autorità di controllo ha condotto rispettivamente due indagini sulle modalità tramite cui Google gestisce il diritto dei soggetti interessati alla rimozione dei risultati di ricerca. Nel 2017, l’Autorità di controllo ha rilevato che diversi risultati delle ricerche su Google dovevano essere eliminati e ha pertanto ingiunto a Google di rimuoverli. Nel 2018, a seguito di alcune segnalazioni di cittadini svedesi in base alle quali Google non aveva pienamente  rispettato l’ingiunzione emessa in quanto la rimozione dall’elenco dei risultati di ricerca non era stata effettuata in due casi, l’Autorità di controllo ha avviato una seconda indagine, asserendo la violazione dell’art. 17 GDPR da parte di Google. L’Autorità di [...]

Autorità di controllo croata: sanziona un istituto di credito per violazione del diritto di accesso dei soggetti interessati

2020-03-29T12:40:36+02:0018 Mar 2020|Categorie: Articolo|Tag: , , , |

L’autorità croata per la protezione dei dati personali (“AZOP”) ha irrogato una sanzione amministrativa di 20 milioni di Euro ad un istituto di credito per aver negato il diritto di accesso dei soggetti interessati, riconosciuto loro dall’art. 15 del Regolamento UE 679/2016 (“GDPR”). A partire da ottobre 2018, l’AZOP ha ricevuto numerosi reclami da parte di soggetti interessati riguardanti uno degli istituti di credito croati con sede a Zagabria. Attraverso questi reclami, i soggetti interessati chiedevano all’istituto di credito di ricevere una copia dei loro dati personali. Tale richiesta, però, veniva sempre respinta. Ai sensi dell'articolo 15, paragrafi 1 e 3 del GDPR, i soggetti interessati possono esercitare il diritto di accesso ai propri dati personali, richiedendo la copia della documentazione di credito relativa alle carte contabili, i piani di rimborso e la revisione delle variazioni dei tassi di interesse nell’ambito dei prestiti bancari, ovvero tutti documenti contenenti dati personali dell’interessato. Ciò nonostante, l’istituto di credito ha deciso di non dare seguito alla richiesta di accesso ai dati personali avanzata dai soggetti interessati, affermando che, ai sensi della legge sul credito al consumo e di altri regolamenti specifici, non vi era alcun obbligo di fornire l’accesso a tale documentazione dato [...]

Torna in cima