Il Garante Privacy interviene sulla qualificazione soggettiva ai fini privacy dell’Organismo di Vigilanza

2020-05-26T10:52:54+02:0026 Mag 2020|Categorie: Articolo|Tag: , , , |

Il D.Lgs. 231/2001 (il “Decreto”) disciplina la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, prevedendo la responsabilità in capo all’ente per i reati commessi nel suo interesse o a suo vantaggio (i) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; (ii) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto (i). Ai sensi dell’art. 6, commi 1 e 2 del Decreto, l’ente non sarà responsabile dei reati commessi dai soggetti di cui al punto (i) qualora riesca a dimostrare che: l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; il compito di vigilare sul funzionamento e l'osservanza dei modelli e il compito di curare il loro aggiornamento sono stati affidati a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo; le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione [...]

Sanzione del Garante Belga: DPO e conflitti di interesse nel contesto aziendale

2020-05-19T11:48:56+02:0014 Mag 2020|Categorie: Articolo, In evidenza|Tag: , , , |

In data 28 aprile 2020, l'Autorità belga per la protezione dei dati personali (l’"Autorità Garante Belga" o l’”Autorità”) ha irrogato una sanzione pari a 50 mila Euro nei confronti di una azienda belga (l’”Azienda”) per violazione dei requisiti di indipendenza necessari per lo svolgimento della funzione di “Data Protection Officer” (“DPO”) e conseguente sussistenza di un conflitto di interessi in capo al DPO, come previsto dall’art. 38, co. 6 del Regolamento UE 679/2016 (“GDPR”). Normativa di riferimento applicabile al DPO Al fine di meglio inquadrare il caso di specie, si precisa che gli artt. 37 -39 del GDPR disciplinano la figura del DPO, specificando i casi in cui è necessario nominarlo, le modalità, le sue funzioni, nonché i requisiti necessari per ricoprire tale ruolo in conformità con la normativa. Tra le disposizioni previste, rileva l’art. 37, co. 6 del GDPR, il quale prevede che gli enti possano nominare tanto un dipendente, quanto un soggetto esterno che svolga le sue funzioni in base ad un contratto di servizi. Inoltre, l’art. 38, co. 6 del GDPR precisa che il DPO possa svolgere altri compiti e funzioni ma, in questo caso, è necessario che il titolare del trattamento garantisca un’assoluta mancanza di conflitto [...]

Processo penale da remoto: lettera del Garante Privacy al Ministro della Giustizia

2020-04-30T18:41:40+02:0022 Apr 2020|Categorie: Articolo|Tag: , , |

Il presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, a seguito di alcuni quesiti presentati da parte dell’Unione delle Camere Penali in merito alle procedure adottate dal Ministero della Giustizia (“Ministero”) per lo svolgimento delle udienze penali da remoto nel rispetto di quanto previsto dai D.L. n. 11 e n.18 del 2020, ha pubblicato una lettera rivolta al Ministro della Giustizia, On. Alfonso Buonafede (“Ministro”), in cui ha sollevato alcune perplessità rispetto alle garanzie di tale procedura. In particolare, l’Unione delle Camere Penali ha chiesto ulteriori chiarimenti in merito a: le caratteristiche delle piattaforme indicate dalla Direzione Generale per i Sistemi Informativi Automatizzati (“DGSIA”), tra cui Microsoft Teams, al fine della celebrazione delle udienze penali da remoto; la scelta di Microsoft Corporation quale fornitore del servizio predetto, alla luce del fatto che, essendo il fornitore stabilito negli USA , lo stesso è soggetto tra l’altro all’applicazione delle norme del Cloud Act (normativa che attribuisce alle autorità statunitensi di contrasto un ampio potere acquisitivo di dati e informazioni); la tipologia di dati personali eventualmente memorizzati da Microsoft Corporation per finalità proprie, del servizio o commerciali; i soggetti legittimati all’accesso ai metadati delle sessioni e, in particolare, [...]

Audizione informale del Presidente del Garante Privacy sull’uso delle nuove tecnologie e della rete nell’ambito del COVID-19

2020-05-07T17:16:59+02:0010 Apr 2020|Categorie: Articolo|Tag: , , , |

In data 8 aprile 2020 si è tenuta l’audizione informale del presidente dell’Autorità Garante per la protezione dei dati personali (“Garante Privacy”), Antonello Soro, alla Camera dei Deputati sull’uso delle nuove tecnologie e della rete per contrastare la diffusione del COVID-19. In particolare, l’intervento del Garante Privacy si è concentrato sui seguenti aspetti: deroghe e misure limitative della protezione dei dati personali; misure relative alla raccolta dei dati sull’ubicazione o sull’interazione dei dispositivi mobili dei soggetti risultati positivi, con altri dispositivi, al fine di analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi, tramite gps, bluetooth e droni; contact tracing. In riferimento alle diverse misure ipotizzabili per il monitoraggio dei soggetti risultati positivi, il Garante Privacy raccomanda di privilegiare un criterio di gradualità al fine di valutare misure meno invasive ma sufficienti per la prevenzione epidemiologica. Sarebbe, altresì, preferibile il ricorso a sistemi fondati sulla volontaria adesione dei singoli, quale un’app bluetooth, che permettano il tracciamento della propria posizione, purché il consenso al trattamento dei dati non risulti in alcun modo condizionato (pertanto, non connesso all’erogazione di servizi ma alla tutela della salute). Con riferimento alla conservazione dei dati rilevati, in vista del loro eventuale, successivo utilizzo per allertare [...]

Garante Privacy: parere sulle modalità di consegna della ricetta medica elettronica

2020-03-24T16:36:29+01:0024 Mar 2020|Categorie: Articolo|Tag: , , , |

Nell’ambito dell’emergenza epidemiologica da COVID-19, il Garante Privacy ha espresso parere favorevole sullo schema di decreto trasmesso dal Ministero dell’Economia e delle Finanze (“MEF”) da adottare di concerto con il Ministero della salute, relativo alle modalità di consegna al paziente del promemoria dematerializzato della ricetta medica da parte del medico. Quadro normativo In particolare: con nota del 26 febbraio 2020, il MEF ha trasmesso, ai sensi dell’art. 36, par. 4 del Regolamento generale sulla protezione dei dati personali 679/2016 (“GDPR”), uno schema di decreto che modifica il D.M. 2 novembre 2011 (“Decreto del MEF”), estendendo la disciplina relativa alla dematerializzazione delle ricette mediche ad ulteriori categorie di prescrizioni. con nota del 17 marzo 2020, il MEF ha trasmesso una nuova versione dello schema di decreto che individua i canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica, le cui modalità attuative saranno stabilite in un successivo decreto del medesimo dicastero da adottarsi di concerto con il Ministero della salute, sentito il Garante Privacy. Le due versioni di schemi di decreto trasmesse al Garante Privacy sono state predisposte anche sulla base dei rilievi e delle indicazioni fornite dallo stesso nel corso di alcune riunioni e interlocuzioni, aventi anche carattere d’urgenza, [...]

Garante Privacy: sanziona l’Università degli Studi di Roma “La Sapienza” per la divulgazione dei dati personali dei segnalanti di condotte illecite-23 gennaio 2020

2020-03-06T11:36:02+01:0020 Feb 2020|Categorie: Articolo|Tag: , , , |

Il caso sottoposto all’esame dell’Autorità Garante per la protezione dei dati personali: Nel dicembre 2018 l’Università degli Studi di Roma La Sapienza (“Ateneo”) notificava all’Autorità Garante per la protezione dei dati personali (“Garante Privacy”) l’avvenuta diffusione di dati personali trattati per il tramite della piattaforma che l’Ateneo utilizzava per l’acquisizione e la gestione delle segnalazioni di illeciti da parte dei propri dipendenti e di soggetti terzi nell’ambito della disciplina del c.d. whistleblowing. In particolare, si dichiarava che era intervenuta una dispersione di dati personali comuni – nome, cognome, sede, telefono, e-mail del segnalante, data della segnalazione - relativi a due segnalanti che avevano utilizzato la piattaforma whistleblowing. Inoltre, tali dati erano stati indicizzati da alcuni motori di ricerca fintanto che l’Ateneo, edotto del problema, era intervenuto per farli deindicizzare e cancellare le relative copie cache.   Le risultanze dell’attività istruttoria: A seguito dell’attività istruttoria emergeva che l’Ateneo aveva correttamente notificato la violazione dei dati personali al Garante Privacy entro le 72 ore dal momento in cui veniva a conoscenza del fatto e che i dati personali interessati dal data breach non rientravano nell’ambito di categorie particolari di dati trattandosi di dati personali comuni, mentre il contenuto delle segnalazioni non veniva in [...]