La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

  • Privacy - Rapporto di lavoro

Geolocalizzazione e controllo diretto del lavoratore: non basta l’accordo sindacale per renderlo lecito

18 giugno 2025

di Simona Loprete "Il controllo a distanza dell’attività lavorativa mediante l’utilizzo di strumentazione tecnologica da parte del datore di lavoro è permessa, sempre fatte salve le procedure di garanzia previste, soltanto incidentalmente, ossia in occasione del perseguimento di tali legittime finalità previste espressamente dalla legge (organizzative e produttive, di sicurezza del lavoro e di tutela del patrimonio aziendale' in maniera indiretta e preterintenzionale".
  • Privacy - Obblighi del titolare, del responsabile e dell’incaricato del trattamento

Dati pseudonimizzati, obbligo di informazione e principio di reidentificabilità: profili giuridici nella controversia tra il Garante europeo e il Comitato di risoluzione unico

11 giugno 2025

di Ariella Fonsi "La pseudonimizzazione è da considerarsi una misura di sicurezza che riduce il rischio di reidentificazione, ma non elimina tale rischio in modo assoluto. I dati pseudonimizzati restano, per la normativa europea, dati personali, a meno che non sia dimostrabile in modo credibile e oggettivo che la reidentificazione sia praticamente impossibile".
  • Privacy - Data protection by design e by default

Tracciabilità degli accessi e amministratori di sistema: ribadita l’attualità del provvedimento del 2008 del Garante privacy

4 giugno 2025

di Simona Loprete "Gli Amministratori di sistema nelle loro consuete attività sono, in molti casi, concretamente incaricati di operazioni che possono comportare elevate criticità in termini di protezione dei dati personali. Questo aspetto, che si aggiunge alla particolare capacità di azione e alla natura fiduciaria delle relative mansioni affidate all’Amministratore di sistema, rende questo ruolo particolarmente delicato e importante".
  • Privacy - Aspetti generali

Illiceità del modello “pay or consent” alla luce del DMA: la Commissione europea sanziona Meta

28 maggio 2025

di Fabiola Iraci Gambazza "La vicenda ha origine nel 2023, quando Meta introduceva il modello del “pay or consent” per l’accesso ai propri servizi online. Nello specifico, l’utente di Facebook e/o Instagram potevano scegliere tra il prestare il consenso al trattamento dei propri dati per la pubblicità personalizzata o, alternativamente, pagare un abbonamento mensile".
  • Privacy - Dati sanitari

Necessario il consenso dei pazienti in ambito di propaganda elettorale: il Garante lo ricorda in due recenti provvedimenti

21 maggio 2025

di Simona Loprete "I dati personali raccolti nell’ambito dell’attività di tutela della salute da parte di esercenti la professione sanitaria e di organismi sanitari non sono utilizzabili per fini di propaganda elettorale e connessa comunicazione politica. Tale finalità non è infatti riconducibile agli scopi legittimi per i quali i dati sono stati raccolti, salvo che il titolare acquisisca uno specifico e informato consenso dell’interessato".
  • Privacy - Data protection by design e by default

Gestione dei fornitori nell'era della compliance integrata: tra GDPR, NIS 2 e DORA

14 maggio 2025

di Ariella Fonsi "Capire le specificità e i requisiti della NIS2, del DORA, del GDPR è essenziale per le organizzazioni che operano nell'UE, soprattutto per quelle soggette a più framework. Identificando le aree di sovrapposizione e sfruttando le sinergie tra queste normative, le organizzazioni possono rendere più efficienti i loro sforzi di conformità".
  • Privacy - Basi giuridiche del trattamento dei dati

Meta tra due fuochi: AGCM e Procura della Repubblica di Milano

7 maggio 2025

di Piera Di Stefano "La giurisprudenza amministrativa ha riconosciuto esplicitamente il fenomeno della 'patrimonializzazione' del dato personale, tipico delle nuove economie dei mercati digitali, e la conseguente applicabilità della disciplina consumeristica, asserendo che 'il patrimonio informativo costituito dai dati degli utenti e la profilazione degli utenti medesimi a uso commerciale e per finalità di marketing (…) acquista proprio in ragione di tale uso, un valore economico idoneo (…) a configurare l’esistenza di un rapporto di consumo tra il professionista e l’utente'".
  • Privacy - Dati sanitari

Violazioni del GDPR come pratica commerciale scorretta: la CGUE apre alla legittimazione attiva dei concorrenti

16 aprile 2025

di Jacopo Purificati "Il capo VIII del GDPR non osta a normative nazionali che, senza comprimere i poteri delle autorità di controllo e i mezzi di ricorso per gli interessati del trattamento, conferiscono ai concorrenti la legittimazione attiva per violazioni di norme, come il GDPR, che possono costituire pratiche commerciali sleali".
  • Privacy - Dati sanitari

Il Garante privacy esprime il proprio parere favorevole alla Piattaforma Nazionale di Telemedicina: quali suggerimenti trarre?

9 aprile 2025

di Simona Loprete "Lo strumento della telemedicina preoccupa soprattutto con riferimento alle possibili violazioni di riservatezza che possono occorrere colpendo i dati sanitari dei pazienti. In questo senso assume una centralità imprescindibile la valutazione di impatto sulla protezione dei dati ai sensi dell’articolo 35, da svolgere preliminarmente all’inizio dei trattamenti".
  • Privacy - Aspetti generali

Sulla patrimonializzazione dei dati e sulla competenza delle Autorità garanti di settore: ultima pronuncia del Consiglio di Stato

2 aprile 2025

di Fabiola Iraci Gambazza "Sebbene la normativa sulla privacy abbia un carattere trasversale, applicandosi a tutti i settori dell'ordinamento giuridico, non è specificamente tesa a tutelare la libertà economica del consumatore. Nelle pratiche commerciali scorrette - come quelle nel caso in esame - la normativa sulla privacy si configura come una normativa settoriale che, così come altre, non prevale su quella in materia di concorrenza".
  • Privacy - Intelligenza artificiale

L’EDPB su modelli di intelligenza artificiale e protezione dei dati personali: cosa dice  (e cosa non dice) l'Opinion 28/2024

19 marzo 2025

di Jacopo Purificati "L’esigenza di fondo è quella di comprendere fino a che punto la raccolta e il trattamento di dati personali ai fini di addestramento di modelli di IA possa dirsi legittima in base al perseguimento di un interesse che il titolare decide autonomamente di perseguire, e che - inaudita altera parte - egli stesso dichiara essere legittimo e prevalente su interessi, diritti e libertà fondamentali dei soggetti interessati".
  • Privacy - Rapporto di lavoro

Controlli difensivi del datore di lavoro sulla posta elettronica del lavoratore: leciti solo se successivi all’insorgenza del sospetto di un illecito

12 marzo 2025

di Simona Loprete "Oltre alla tutela della riservatezza del lavoratore, il datore di lavoro, quale Titolare del trattamento, è tenuto ad osservare tutti i principi di cui all’articolo 5 del GDPR che impongono innanzitutto trattamenti di dati personali leciti, corretti e trasparenti. Ciò comporta la necessità di gestire e regolamentare l’uso di tutti i mezzi elettronici di lavoro utilizzati perché capaci di ricostruire puntualmente e analizzare l’attività prestata dal lavoratore".
  • Privacy - Obblighi del titolare, del responsabile e dell’incaricato del trattamento

Dati pseudonimizzati e identificabilità delle persone fisiche: il parere dell’Avvocato Generale Spielmann

5 marzo 2025

di Jacopo Purificati "Nel caso di specie, Spielmann ha affrontato il tema dell’identificabilità degli interessati con riguardo a dati pseudonimizzati trasferiti a un destinatario (...) il parere fornito dall’Avvocato Generale contiene preziosi criteri ermeneutici che possono essere molto utili nel dibattito, molto aperto, relativo all’identificabilità di persone fisiche nel contesto di dati pseudonimizzati".
  • Privacy - Basi giuridiche del trattamento dei dati

È necessario conoscere l’identità di genere per l’acquisto dei biglietti del treno? La recente pronuncia del Corte di Giustizia europea

26 febbraio 2025

di Fabiola Iraci Gambazza "Rispetto alla base giuridica dell’esecuzione del contratto, il trattamento dei dati deve essere necessario in quanto oggettivamente indispensabile per realizzare una finalità che è “parte integrante della prestazione contrattuale destinata all’interessato”. Ne consegue che è necessario dimostrare in che modo l’oggetto principale del contratto - o, al più, di elementi distinti dei servizi, oggetto del contratto stesso - non potrebbero essere conseguiti, in assenza di quel trattamento di dati".
  • Privacy - Data protection by design e by default

Trattamento di dati nell’ambito dei modelli di IA: l’opinion dell’EDPB

5 febbraio 2025

di Ariella Fonsi "Secondo il Board, affinché un modello di IA possa essere considerato anonimo occorre verificare la probabilità di estrazione di dati personali utilizzati per addestrare il modello, nonché la probabilità di ottenere, intenzionalmente o meno, tali dati personali tramite interrogazioni".
  • Privacy - Dati sanitari

Le conferme del Garante privacy in tema di referto sanitario inviato al paziente tramite e-mail

29 gennaio 2025

di Simona Loprete "L’acquisizione di un consenso degli interessati alla trasmissione via e-mail dei referti “in formato pfd senza l’utilizzo di password” non è idoneo a sollevare il titolare del trattamento dall’obbligo di garantire costantemente nel tempo un adeguato livello di sicurezza che tenga anche conto dello sviluppo tecnologico e dei nuovi rischi connessi al trattamento per i diritti e le libertà degli interessati".
  • Privacy - Data protection by design e by default

Il Garante privacy adotta il Codice di condotta sullo sviluppo e produzione di software gestionale

22 gennaio 2025

di Ariella Fonsi "Dopo aver chiarito che le attività di sviluppo dei software gestionali devono essere improntate al rispetto dei principi di privacy by design e by default di cui all’art. 25 del GDPR, il Codice chiarisce che i Produttori devono effettuare la valutazione dei rischi dei trattamenti dei dati personali cui il software è preordinato".
  • Privacy - Diritto all’oblio

L’Accordo Open AI - GEDI Gruppo Editoriale: il Garante Privacy “avverte”  sui rischi di violazione della privacy degli interessati

15 gennaio 2025

di Piera Di Stefano "Una problematica affatto trascurabile che di certo si porrà, tra le altre, rispetto alla “cessione” dell’archivio e alla comunicazione a OPEN AI degli articoli pubblicati dal Gruppo Gedi riguarda l’effettività del diritto all’oblio, nella specifica declinazione del cd. diritto alla deindicizzazione dai motori di ricerca".
  • Privacy - Dati bancari e finanziari

Secondo la CGUE a una violazione di dati personali non deve necessariamente conseguire una sanzione amministrativa pecuniaria da parte dell’Autorità di controllo

8 gennaio 2025

di Simona Loprete "La scelta del mezzo appropriato e necessario spetta all’Autorità di controllo che deve fare tale scelta prendendo in considerazione tutte le circostanze del caso concreto e assolvendo al suo compito di vigilare sul pieno rispetto del GDPR con tutta la diligenza richiesta".
  • Privacy - Processi decisionali automatizzati e profilazione

Il diritto di accesso e la protezione dei dati personali: equilibrio tra trasparenza e segreti commerciali nelle decisioni automatizzate

18 dicembre 2024

di Ariella Fonsi "Quando un interessato è coinvolto in una decisione automatizzata ai sensi dell’art. 22 del GDPR, le “informazioni significative sulla logica coinvolta” a cui tale persona ha diritto di accesso riguardano il metodo e i criteri utilizzati dal titolare del trattamento per tale decisione automatizzata".
  • Privacy - Basi giuridiche del trattamento dei dati

Sul legittimo interesse per finalità commerciale: la recente pronuncia della Corte di Giustizia dell’UE

11 dicembre 2024

di Fabiola Iraci Gambazza "La CGUE ritiene che, a contrario da quanto sostenuto dall’Autorità garante dei Paesi Bassi, può sussistere interesse legittimo commerciale, consistente nella promozione e nella vendita di spazi pubblicitari ai fini di marketing, purché tale interesse non sia contrario alla legge".
  • Privacy - Basi giuridiche del trattamento dei dati

Le linee guida n. 1/2024 del Comitato europeo per la protezione dei dati: approfondimenti sull’interesse legittimo

4 dicembre 2024

di Jacopo Purificati "Il legittimo interesse non dovrebbe essere considerato una soluzione di ultima istanza per situazioni rare o impreviste o quando altre basi giuridiche non sono applicabili. Allo stesso modo, non dovrebbe essere scelto automaticamente o esteso impropriamente, nella convinzione che sia meno restrittivo di altre basi giuridiche".
  • Privacy - Dati sanitari

L’oblio oncologico nei rapporti di lavoro: le regole del Garante privacy per il datore di lavoro

27 novembre 2024

di Simona Loprete "Il trattamento di informazioni personali non attinenti alla prestazione di lavoro, come per esempio lo stato di salute, anche se con il consenso del lavoratore, non è lecito a meno che non si tratti di caratteristiche che incidono sulle modalità di svolgimento della attività lavorativa o che costituiscono un requisito essenziale e determinante ai fini dello svolgimento dell'attività lavorativa".
  • Privacy - Obblighi del titolare, del responsabile e dell’incaricato del trattamento

Responsabilità e trasparenza nella gestione di responsabili del trattamento: un’analisi dell’Opinion 22/2024 dell’EDPB

20 novembre 2024

di Ariella Fonsi "Per motivi di trasparenza, è essenziale che il titolare non si limiti a identificare solo i primi sub-responsabili, ma che abbia visibilità su tutta la catena. In altre parole, un titolare del trattamento non può limitarsi a un controllo superficiale, ma deve avere informazioni complete su tutti i soggetti che trattano i dati personali, dalle prime fasi fino alla fase finale".