La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Paola Limatola "La diffusione non autorizzata, anche involontaria, di dati relativi allo stato di salute dell’interessato potrebbe avere significative conseguenze sugli interessati (discriminazione, diffamazione, persecuzioni) e potrebbe esporre il titolare del trattamento a sanzioni; è bene quindi che, indipendentemente dalla modalità scelta per la loro trasmissione, le istruzioni alle persone autorizzate al trattamento siano chiare e dettagliate".

di Paola Limatola "Il GDPR ha spostato il focus: sono i titolari e i responsabili del trattamento a doversi assumere la piena responsabilità delle decisioni in merito ai trattamenti e ai dati personali gestiti e dell’adozione di misure tecniche e organizzative adeguate a tutelarne la sicurezza".

di Annalisa Spedicato "Avendo il Titolare del trattamento una responsabilità generale del trattamento che egli abbia posto in essere direttamente o che altri abbia effettuato per suo conto, è su di lui che grava l’onere di attuare un sistema organizzativo e gestionale contraddistinto da misure reali ed efficaci di protezione dei dati nonché comprovabili".

di Paola Limatola "L’obbligo di agire in conformità alle norme esistenti riguarda infatti tutte e due le parti in causa – quella che delega, in tutto o in parte, i propri trattamenti e quella che li effettua – e il responsabile del trattamento (sia esso un fornitore, un partner commerciale o un consulente) deve sapere che, in assenza di un apposito atto giuridico, non gli è consentito trattare i dati personali gestiti dal titolare del trattamento".

di Alessandra Titone e Michele Defidio "Sono emerse, non solo alcune specifiche violazioni del GDPR (come quelle relative all’ottenimento dei consensi per finalità di marketing nonché del rispetto dei diritti degli utenti in generale), ma, più in generale, un’evidente difficoltà del titolare del trattamento di dimostrare che le attività di trattamento fossero svolte in conformità con la normativa applicabile, nonché, in generale, di dare evidenza delle misure di sicurezza, tecniche ed organizzative, applicate ai trattamenti".

di Annalisa Spedicato "L’interessato ha il diritto di opporsi al trattamento in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano basato sul legittimo interesse del titolare del trattamento, compresa la profilazione".

di Duilio Cortassa Il concetto di «profilazione» espresso dal n. 4 dell’articolo 4 del GDPR come trattamento automatizzato di dati personali finalizzato a valutare determinati “aspetti personali relativi a una persona fisica” non si esaurisce in realtà affatto nell'utilizzo di questi per analizzare o prevedere aspetti riguardanti gli interessi, la situazione economica, le preferenze personali o i gusti del consumatore, ma ricomprende l’analisi e la previsione del comportamento e del rendimento professionale, dell'affidabilità, in una parola della serietà professionale della persona fisica"

di Duilio Cortassa Fatto salvo che un eventuale registro completo delle condanne penali non potrà che essere tenuto sotto il controllo dell'autorità pubblica, quale privato e per quali finalità potrebbe essere autorizzato dall'autorità pubblica al trattamento dei dati personali relativi a condanne penali e reati (che non equivalga, tuttavia, a tenere un "registro completo delle condanne penali"), senza il consenso, volta per volta, dell’interessato?.

di Annalisa Spedicato "Per effettuare una valutazione del rischio è possibile adottare un proprio modello, una procedura personalizzata, l’importante è dimostrare che si sia adottato un approccio basato sul rischio idoneo al tipo di organizzazione e rispettoso dei principi e delle disposizioni del Regolamento".

di Marta Cogode e Martina Petrucci "L'ENISA - Agenzia dell’UE per la cybersecurity - sarà la protagonista indiscussa nel contrasto alle cyber-minacce, qualificandosi quale centro d’informazione, di sensibilizzazione e di consulenza per istituzioni, organi dell’Unione e Stati membri sulle esigenze e le priorità in materia di ricerca nel campo della cyber-sicurezza".

di Duilio Cortassa Il diritto all’oblio previsto dal GDPR non è del tutto una novità, ma è una (grossa) novità il sentiment, diffuso tra gli operatori del diritto e tra i soggetti economici, che il diritto di opposizione, o diritto alla cancellazione, o diritto all’oblio, sia ora un elemento non trascurabile, come forse invece era stato nel recente passato, del gioco delle parti sul tavolo della nostra società.

di Anna Maria Lorito "Le novità che caratterizzano la Legge n. 5/2018 non sono di poco conto: in primo luogo, grazie ad essa gli interessati potranno iscrivere al RPO, anche contemporaneamente, tutte le utenze telefoniche a loro intestate, sia fisse che mobili, anche non iscritte negli elenchi. Inoltre, le numerazioni fisse non pubblicate negli elenchi telefonici (cd. "numerazioni riservate") verranno inserite in automatico nel Registro".

di Chiara Benvenuto "Per trasferimento deve intendersi una comunicazione dei dati personali tra le figure soggettive previste dal Regolamento dall’interno dell’Unione Europea all’esterno della stessa. Dunque, nella definizione di trasferimento, è possibile ricomprendere qualsiasi divulgazione o propagazione di dati personali da un soggetto a un altro, indipendentemente dal tipo di mezzo utilizzato (sia esso informatico o meno), quando tali dati sono destinati al trattamento in un paese terzo o in un’organizzazione internazionale".

di Marta Moretti "I trattamenti dei dati sulla salute sono soggetti alle norme contenute nel GDPR, integrate da quelle emanate dal legislatore nazionale, le quali possono attribuire al Garante il potere di adottare dei provvedimenti che regolano questioni specifiche. Le norme e i provvedimenti nazionali devono essere compatibili con il GDPR. Il Codice della privacy demanda al Garante l’individuazione delle “misure di garanzia” per il trattamento dei dati sulla salute, quali, ad esempio, le misure di sicurezza e di minimizzazione, specifiche modalità per l’accesso selettivo ai dati e per rendere l’informativa agli interessati, nonché eventuali misure necessarie a garantire i diritti degli interessati".

di Annalisa Spedicato "La disciplina sul trattamento dei dati personali di cui al Regolamento UE n. 679 si applica a tutti i trattamenti di dati personali di cittadini europei salvo che le operazioni di trattamento non vengano effettuate per ragioni connesse alla vita privata o domestica, quindi gli obblighi da esso previsti si applicano anche ai trattamenti di dati effettuato mediante sistemi di messaggistica istantanea quali Whatsapp, ma anche Facebook Messenger, Skype e altri."

di Annalisa Spedicato "Il titolare/responsabile del trattamento, in caso di violazione dovrà verificare che siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione previste dall'organizzazione e informare tempestivamente il Garante e, se necessario, l’interessato non appena viene a conoscenza di un’avvenuta violazione dei dati personali".

di Pietro Maria Mascolo "Concordemente con i capisaldi della privacy by design e della privacy by default posti alla base del Regolamento, nonché con le previsioni di cui all’art. 32 del GDPR, il Comitato dei Ministri sottolinea che i dati relativi alla salute dovrebbero essere protetti da adeguate misure di sicurezza che tengano conto degli ultimi sviluppi tecnologici, della natura "sensibile" dei dati in questione e della valutazione dei potenziali rischi connessi ad un trattamento così delicato".

di Angela Tavaglione "E' possibile imbattersi in informative ex articolo 13 del Regolamento UE n. 2016/679 che evidenziano la scelta - da parte di alcuni titolari del trattamento - di considerare il legittimo interesse quale base giuridica del trattamento dei dati personali per finalità di direct marketing. Questa scelta è con ogni probabilità dettata dal fatto che nel Regolamento possiamo leggere, al Considerando 47, l'espressione "Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto".

di Laura Mastrocicco "Per dimostrare di conformarsi al GDPR, il titolare o il responsabile del trattamento devono tenere un registro delle attività di trattamento, effettuate sotto la loro responsabilità. Il registro dei trattamenti deve essere tenuto in forma scritta, anche in formato elettronico e, ove richiesto, deve essere messo a disposizione dell’Autorità di controllo".

di Fabiola d’Alessio "Nell’ambito del dibattito riguardante le implicazioni etico-giuridiche dell’intelligenza artificiale, è risultato particolarmente rilevante il tema del trattamento dei dati personali, in quanto, l’attuale disciplina privacy, ossia il Regolamento UE n. 679/2016, forse meglio conosciuto con l’acronimo GDPR, non fornisce una definizione espressa di "intelligenza artificiale", nonostante in diversi punti (considerando 71, 72 e negli articoli 4, 13 e 22) si occupi delle decisioni automatizzate".

di Giulia Sala "Quando si parla di attività di marketing, è fondamentale che gli strumenti che si utilizzano garantiscano determinati risultati (i cd. "KPI"), con il minor rischio possibile per l’operatore. Come si sposa questa esigenza con la normativa in materia di dati personali?".

di Marta Cogode "Se, da un lato, la digitalizzazione è un’opportunità per il settore assicurativo, tanto per le compagnie, quanto per i clienti, dall’altro, apre la strada a discriminazioni e a possibili problemi di privacy".

di Annalisa Spedicato "Quello che il GDPR chiede a tutti coloro che trattano dati personali di cittadini europei nel contesto che qui interessa, ovvero per finalità di marketing, è analizzare i dati detenuti e usati per tali scopi e capire se al momento della raccolta di quell’informazione personale, l’interessato, ovvero il soggetto cui i dati si riferiscono, era stato informato del fatto che i suoi dati sarebbero stati utilizzati, oltre che per dare esecuzione alla prestazione da lui richiesta, come fornirgli il servizio o il prodotto acquistato, anche per finalità pubblicitarie o promozionali e se, in quell’occasione o anche in seguito, aveva espresso il consenso al trattamento per questa specifica finalità, tenendo presente che il consenso è doveroso anche se il contatto è stato raccolto da un elenco telefonico".

di Annalisa Spedicato "Se la finalità del trattamento dei dati personali è ad esempio quella di consentire ad un utente/consumatore (nella sua qualità di interessato ai sensi della normativa in materia di trattamento dati personali) di acquistare un prodotto/servizio dal soggetto che risulta titolare del trattamento, i dati richiesti all’interessato dovranno essere unicamente quelli che consentono di eseguire la prestazione richiesta".

di Annalisa Spedicato "Le operazioni di marketing diretto sono diventate negli ultimi anni bersaglio di provvedimenti, sentenze e interventi normativi tesi a limitare la particolare invasività di tali operazioni e a bilanciare gli interessi in gioco, da un lato l’interesse a non ricevere messaggi pubblicitari non richiesti, l’interesse alla tutela della vita privata e della libertà di scelta dell’utente, dall’altro l’interesse delle aziende a fare profitto".