La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Annalisa Spedicato "Se la finalità del trattamento dei dati personali è ad esempio quella di consentire ad un utente/consumatore (nella sua qualità di interessato ai sensi della normativa in materia di trattamento dati personali) di acquistare un prodotto/servizio dal soggetto che risulta titolare del trattamento, i dati richiesti all’interessato dovranno essere unicamente quelli che consentono di eseguire la prestazione richiesta".

di Annalisa Spedicato "Le operazioni di marketing diretto sono diventate negli ultimi anni bersaglio di provvedimenti, sentenze e interventi normativi tesi a limitare la particolare invasività di tali operazioni e a bilanciare gli interessi in gioco, da un lato l’interesse a non ricevere messaggi pubblicitari non richiesti, l’interesse alla tutela della vita privata e della libertà di scelta dell’utente, dall’altro l’interesse delle aziende a fare profitto".

di Annalisa Spedicato "I vari trattamenti posti in essere dalle due realtà imprenditoriali, possono sembrare scollegati, come se ognuno avesse una finalità differente, però in verità si esegue un "insieme di operazioni" che perseguono una finalità comune o che si avvalgono di strumenti stabiliti congiuntamente".

di Valeria Cerocchi "Sebbene la normativa sia variegata ed abbia necessità di ulteriori specifiche, ad oggi è chiaro che la figura del Data Protection Officer (DPO) è obbligatoria come specificato nell’art. 37 del Regolamento in presenza di specifiche condizioni. In generale si ritiene che "se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati" ai sensi dell’art. 9 del Regolamento, questi dovranno procedere alla nomina di un DPO. Sul punto, il Garante ritiene che l’obbligo in tal senso sussiste per i soggetti di natura pubblica (art. 37, lett. a) e che, in merito ai privati, l’attività debba valutarsi in base al criterio di "larga scala".

di Maria Vittoria Aprigliano "L’esigenza di utilizzare l’IA per scopi clinici trova la sua ragion d’essere nella capacità di tali sistemi di effettuare un massivo trattamento dei dati, cosa sicuramente impossibile per qualsiasi mente umana. Il fisiologico esito di un trattamento del genere è la datificazione digitale di una vastissima quantità di dati di diversa natura".

di Alessandra Titone "Secondo il GEPD, ci sono svariati trattamenti di dati personali che implicano l’applicazione sia della Direttiva e-Privacy che del Regolamento: un chiaro esempio, nonché quello che sarà analizzato nel prosieguo, è quello dell’utilizzo dei cookie".

di Martina Petrucci "Il cyber risk costituisce una preoccupazione crescente per le istituzioni, gli individui e i mercati finanziari e in meno di cinque anni, si è collocato in cima alla lista dei rischi globali per le imprese. La Commissione europea, nello svolgimento della sua attività istituzionale, ha pianificato una strategia di sicurezza informatica per l’Unione europea, definendone la visione e le azioni necessarie".

di Maria Vittoria Aprigliano "Nell'ordinamento italiano, esistono delle categorie di responsabilità extracontrattuale che prescindono l’elemento psicologico, ossia la c.d. responsabilità oggettiva. Seguendo questo schema, ossia quello che prevede l’allocazione della responsabilità in capo a produttori o programmatori o, ancora, utilizzatori dei sistemi di IA, allora la soluzione sembrerebbe essere a portata di mano".

di Chiara Benvenuto "Alla luce dei casi tipici di trattamento ad alto rischio enucleati dalla norma, anche gli operatori del settore FinTech potrebbero essere tenuti ad eseguire la valutazione d'impattp: il Regolamento, infatti, fa riferimento al caso della valutazione sistematica e globale di aspetti personali attraverso una procedura automatizzata".

di Annalisa Spedicato "Al B&B si applica la disciplina in materia di trattamento dati personali, pertanto anche il proprietario del B&B - ovvero, in tal caso il soggetto persona fisica che risulta come gestore del B&B nella comunicazione amministrativa inviata al comune competente - rientra nella qualifica di titolare del trattamento che tratta i dati dei suoi ospiti per finalità di natura turistica per fornire alloggio e colazione".

di Annalisa Spedicato "La regola generale, dunque, è quella che per inviare una newsletter è necessario ricevere il consenso preventivo. Esiste però un’eccezione, un caso in cui il titolare può inviare la newsletter senza consenso dell’utente."