La sezione raccoglie contributi autorali, realizzati da professionisti specializzati nella materia, che intendono fare il punto sugli aspetti più critici e delicati del nuovo impianto legislativo emerso con l’introduzione del GDPR.

di Simona Loprete "Il consenso, perché sia considerato valido, deve essere preventivo, specifico, libero, informato, manifestato inequivocabilmente, reso o documentato per iscritto e sempre revocabile. La sussistenza di tutte queste caratteristiche è necessaria se la ricerca scientifica si basa sulla espressione del consenso da parte degli interessati".

di Ariella Fonsi "La sola alternativa del pagamento di un canone di servizio che include il trattamento a fini di pubblicità comportamentale non dovrebbe essere la soluzione predefinita dei titolari del trattamento che, al contrario, dovrebbero prendere in considerazione la possibilità di fornire agli interessati una alternativa che non comporti il pagamento di un corrispettivo o il trattamento dei dati per finalità di pubblicità comportamentale".

di Fabiola Iraci Gambazza "La CGUE conclude affermando che i dati devono essere conservati in modo tale che non vi sia una combinazione tra questi capace di comportare un’ingerenza nella vita privata del soggetto, sulla base di modalità tecniche specifiche".

di Jacopo Purificati "L’approccio più “commerciale” alla materia privacy proprio degli Stati Uniti si evince in particolare nella sezione dell’APRA dedicata ai “consumer controls over covered data”, che contiene i correlativi dei diritti dell’interessato di cui agli artt. 14 e ss. del GDPR, pur se tali facoltà sono conferite ai consumatori (e solo se residenti negli Stati Uniti)".

di Simona Loprete "Il trattamento di dati biometrici è consentito in ambito lavorativo solo quando il trattamento sia necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato".

di Simona Loprete "L’interessato non deve giustificare le proprie intenzioni quando esercita il diritto di accesso e, allo stesso tempo, il titolare del trattamento, nel valutare la richiesta, non deve analizzare la finalità come precondizione per l’esercizio del diritto di accesso ma limitarsi all’oggetto della richiesta".

di Ariella Fonsi "Il CNIL ricorda che la protezione dei dati dovrebbe essere integrata nei processi decisionali dell’organizzazione, inserendola nei momenti chiave in cui si decidono i budget e i progetti da implementare. In particolare, le organizzazioni dovrebbero definire un framework per gli utenti che quotidianamente utilizzano gli strumenti IT che tenga in considerazione i reali bisogni degli utenti e li guidi nella gestione pratica della sicurezza".

di Piera Di Stefano "Nella prova per presunzioni non è richiesta una sorta di 'rigidità causale' tra fatto noto e ignoto, '(...) essendo sufficiente che il fatto da provare sia desumibile dal fatto noto come conseguenza ragionevolmente possibile, secondo un criterio di normalità, ovvero che il rapporto di dipendenza logica tra il fatto noto e quello ignoto sia accertato alla stregua di canoni di probabilità, la cui sequenza e ricorrenza possano verificarsi secondo regole di esperienza'".

di Jacopo Purificati "La nozione di dato personale include ogni tipo di informazioni, tanto oggettive quanto soggettive, anche sotto forma di pareri o valutazioni, a condizione che esse 'riguardino' l’interessato. (...) l’interessato è una persona identificabile anche indirettamente, quindi attraverso il collegamento di più informazioni tra di loro; informazioni che, oltretutto, potrebbero provenire da fonti diverse, non essendo necessario che le stesse siano raccolte direttamente dal titolare del trattamento".

di Fabiola Iraci Gambazza "L’intervento si allinea alle precedenti posizioni del Garante italiano, soprattutto in merito all’interpretazione ampia del concetto di dato relativo alla salute che, difatti, coinvolge anche solo indirettamente l’informazione relativa ad una condizione patologica".

di Simona Loprete "La certezza dei tempi entro i quali l’autorità deve iniziare (con la comunicazione della contestazione all’interessato, avviando così il contraddittorio) e poi concludere il procedimento, è requisito fondamentale per il rispetto del diritto di difesa".

di Jacopo Purificati "La rivoluzione del tracciamento online nel settore del digital marketing, di cui forse l’approccio “cookieless” è solo un primo step, sembra sostanzialmente volta ad assicurare una piena compliance delle aziende del settore alle puntuali regole del legislatore europeo e delle autorità preposte al loro enforcement".

di Annalisa Spedicato "Rivolgersi all’Autorità di controllo è diventato molto più semplice rispetto al passato [...], di fatto, chiunque si trovi in una situazione di presunta violazione, può procedere da sé per tutelare i propri diritti in materia di privacy".

di Ariella Fonsi "Nonostante le numerose misure adottate dalla Società in ottemperanza delle prescrizioni del Garante, quest’ultimo ha comunque deciso di notificare ad OpenAI un atto di violazione del Regolamento UE 679/2016. La notizia, invero, non sorprende se si pensa all’attenzione che le autorità europee stanno ponendo sull’algoritmo sviluppato dall’ormai celebre società statunitense".

di Fabiola Iraci Gambazza "Spetta al titolare del trattamento, sulla base del predetto principio di responsabilizzazione, scegliere quali siano le misure adeguate atte garantire un livello di sicurezza e tali da dimostrare la conformità al GDPR, seguendo un approccio improntato al rischio e all’analisi precipua dei trattamenti posti in essere".

di Simona Loprete "Il medico è tenuto a tutelare la riservatezza dei dati personali e della documentazione in suo possesso e ad assicurare la non identificabilità dei soggetti coinvolti nelle pubblicazioni scientifiche di dati clinici o di osservazione relative a singole persone".

di Ariella Fonsi "L’obiettivo generale del diritto di accesso è quello di garantire all’interessato informazioni sufficienti, trasparenti e facilmente accessibili sul trattamento dei suoi dati personali, in modo che possa essere consapevole e verificare la legittimità del trattamento e l’accuratezza dei dati trattati".

di Jacopo Purificati "Le Linee Guida sono rivolte alle imprese e alle amministrazioni che, in qualità di titolari o responsabili del trattamento, conservano sui propri sistemi le password dei propri utenti, con l’obiettivo di raccomandare le funzioni crittografiche ritenute attualmente più sicure per la conservazione delle credenziali".

di Piera Di Stefano "La Corte sottolinea che, allo stato, a fronte della legittima aspettativa dell’interessato che non rivesta la qualità di personaggio pubblico, noto a livello nazionale, di essere dimenticato rispetto ad una vicenda del passato nel quale è stato coinvolto, la deindicizzazione dei contenuti presenti sul web, ab initio lecitamente pubblicati, rappresenta l’effettiva soluzione intermedia per garantire l’equilibro tra gli interessi in gioco, rispetto alle due estreme, quali, da una parte, “lasciare tutto com’è” e, dall’altra, rimuovere i contenuti in questione dai siti sorgente".

di Fabiola Iraci Gambazza "Il titolare del trattamento è tenuto a notificare un evento nei confronti dell’Autorità garante entro le 72 ore dal momento in cui ne ha “conoscenza”. (...) La ratio di un periodo così breve per effettuare la notifica coincide con la necessità di effettuare il più rapidamente possibile le analisi".

di Jacopo Purificati "L’art. 15 del GDPR conferisce all’interessato un vero e proprio diritto a ricevere una copia dei dati personali oggetto di trattamento. Ne consegue che l’addebito di “un contributo spese ragionevole in caso di ulteriori copie richieste dall’interessato” può avvenire unicamente qualora l’interessato abbia già ricevuto, a titolo gratuito, una prima copia dei suoi dati e ne faccia nuovamente richiesta".

di Simona Loprete "L’applicazione del GDPR e della normativa nazionale in materia di protezione dei dati presuppone una idea chiara in merito alla nozione di “dato relativo alla salute” ed alla sua ampiezza interpretativa".

di Simona Loprete "Può essere considerato titolare del trattamento qualsiasi persona fisica o giuridica che influisce, per il perseguimento di propri obiettivi, sul trattamento di dati personali e che, pertanto, partecipa alla determinazione delle finalità e dei mezzi del trattamento".

di Ariella Fonsi "L’utilizzo di sistemi di videosorveglianza da parte di persone fisiche nelle aree inerenti al proprio domicilio e le sue pertinenze è da ritenersi escluso dall’ombrello applicativo del Regolamento, a condizione che: (i) l’ambito di comunicazione dei dati non ecceda la sfera familiare del titolare; (ii) il trattamento non si estenda a luoghi aperti al pubblico o ad aree di pertinenza di terzi".

di Jacopo Purificati "E' il titolare a dover attuare un sistema organizzativo e gestionale contraddistinto da misure effettive ed efficaci di protezione dei dati. Ciò non solo attraverso la puntuale predisposizione della “modulistica privacy” (informative, registro ex art. 30 GDPR, DPA, DPIA, etc.), ma soprattutto attraverso l’implementazione di procedure e prassi organizzative atte a conformare i relativi trattamenti al medesimo GDPR".