I bollettini di House of Data Imperiali
I bollettini sono estratti del Servizio di Informazione Giuridica (SIG) – a cura dell’Avv. Rosario Imperiali d’Afflitto – fruibile tramite abbonamento.
Data Governance Act “DGA”
La proposta della Commissione UE di regolamento sulla governance dei dati è stata pubblicata nel novembre del 2020 ed ha concluso il suo iter, divenendo legge europea (Regolamento UE 2022/868) con la pubblicazione sulla Gazzetta Ufficiale UE del 3 giugno 2022. La figura che segue
Calcolo delle sanzioni amministrative GDPR -1
Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022. Il regolamento generale ha innovato significativamente in materia di sanzioni amministrative che la direttiva 95/46/CE, invece, demandava
FAQ su clausole contrattuali standard
Il 25 maggio 2022 la Commissione europea ha pubblicato una raccolta di domande e risposte sulle clausole contrattuali standard: (1) quelle nei rapporti tra i titolari e i responsabili del trattamento (art. 28 GDPR) e (2) quelle per i trasferimenti di dati verso paesi terzi
Spazio europeo dei dati sanitari
Nell’ambito della strategia europea sui dati, la Commissione UE ha lanciato la prima proposta di uno spazio dati europeo in un settore specifico, incentrata sui dati sanitari, in particolare sui dati sanitari elettronici. Queste le principali direttrici di questa iniziativa: Permettere una maggiore trasparenza, disponibilità
EDPB Annual Report 2021
Intorno a maggio-giugno di ogni anno le autorità di controllo divulgano il proprio rapporto annuale per le attività svolte nell’esercizio precedente: vi ha già provveduto tra le altre il CNIL (versione per la stampa) e, analogamente, ha fatto l’EDPB, mentre si attende a breve la
Accesso “privacy” come potere di controllo
Sempre più il legislatore, sia sovranazionale che locale, riconosce un diritto di accesso al singolo a informazioni detenute da terzi che in qualche modo lo riguardano oppure che sono funzionali all’esercizio di diritti che gli vengono riconosciuti dall’ordinamento. Non fa eccezione il GDPR che attribuisce
Ricorsi contro violazioni GDPR
I numerosi ricorsi promossi verso autorità di controllo nazionali, da parte di onlus internazionali come NoyB, La Quadrature du Net, Privacy International e altri, sono testimonianza pratica del disposto dell’articolo 80, paragrafo 1, del GDPR che consente all’interessato di esercitare i propri mezzi di ricorso
Data sharing
L’economia dei dati si basa sul “data sharing” cioè la condivisione degli stessi con terze parti. La strategia UE sull’economia dei dati, finalizzata a incentivarne lo sviluppo e a eliminare le barriere che vi si frappongono, ha promosso una serie di atti legislativi, per lo
Registro Pubblico delle Opposizioni – 2
Riprendiamo l’analisi della riforma del Registro Pubblico delle Opposizioni, completata con la pubblicazione in Gazzetta del regolamento attuativo (DPR n. 26/2022), sostitutivo del precedente DPR n. 178/2010. Nel frattempo, il Ministero dello sviluppo economico ha avviato la consultazione pubblica dei principali operatori, dal 5 aprile
One Stop Shop
Lo EDPB ha rilasciato le linee guida 02/2022 sull’applicazione dell’articolo 60 del GDPR, cioè sulle modalità procedurali del meccanismo di cooperazione, noto come “one-stop-shop”. Il documento, a primo acchito, sembrerebbe indirizzato prevalentemente alle autorità di supervisione ma offre spunti di riflessione e takeaways utili per
Riforma del Registro Pubblico delle Opposizioni – 1
La gazzetta ufficiale del 29 marzo 2022 (n. 74) – l’organo editoriale che pubblica con valenza ufficiale le norme della Repubblica italiana – ha pubblicato l’atteso regolamento del sistema “Do Not Call” italiano, ossia Il Registro Pubblico delle Opposizioni (“RPO”). Il RPO è nato nel
Flussi dati UE-USA: accordo politico
A margine degli incontri a livello europeo e globale tenutisi a Bruxelles, nella conferenza stampa congiunta del presidente degli Stati Uniti e della presidente della Commissione UE del 25 marzo 2022 è stata data la notizia del raggiungimento dell’accordo “di principio” tra le parti sui
Caso Clearview – Takeaways
Il business della società americana – consistente nel web scraping delle immagini degli utenti internet, nella correlazione con metadati identificativi dei soggetti di riferimento e nella comparazione con foto fornite dai clienti dell’applicazione per ottenerne l’identificazione – è stato oggetto di scrutinio da parte di
Intelligenza artificiale nel GDPR
Strategia UE sui dati La proposta di regolamento sull’intelligenza artificiale si colloca all’interno della più ampia strategia UE sui dati che ha già prodotto numerosi atti normativi volti alla creazione di un mercato unico europeo dei dati: il Data Governance Act e il Data Act,
Esercizio dei diritti
Le linee guida 01/2022 dell’EDPB relative al diritto di accesso “privacy” contengono indicazioni che sono applicabili in via generale, anche riguardo all’esercizio degli altri diritti del GDPR. In questa tornata, ad esempio, affronteremo due aspetti comuni all’esercizio di qualsiasi diritto previsto dal regolamento: il tema
Data Act
La Commissione europea ha pubblicato l’attesa proposta di regolamento sulla legge dei dati (“Data Act”). Si tratta, dopo il Data Governance Act, del secondo più rilevante intervento normativo di carattere orizzontale cioè che attraversa tutti i settori, della Strategia UE sui dati, (v. Bollettino del 22/7,
Il baratto dei dati
Se è vero che i dati – e quelli “personali” in particolare – sono la linfa dell’economia digitale, è altrettanto vero che la loro disponibilità è essenziale per lo svolgimento di qualsiasi tipo di attività, di natura sia commerciale che senza scopo di lucro. Entrare
Autorità belga c. IAB Europe
Giunge al termine, con un provvedimento sanzionatorio adottato dall’autorità belga per 250.000 euro, una complessa indagine relativa alla conformità al GDPR della piattaforma Transparent and Consent Framework della federazione IAB Europe che riunisce portatori di interesse nell’ambito della pubblicità comportamentale. Provvedimento dell’autorità belga Il voluminoso
Linee guida EDPB sul diritto di accesso
Il Comitato europeo ha rilasciato le linee guida 1/2022 sul diritto di accesso sottoponendole, come consuetudine, a consultazione pubblica; eventuali commenti potranno essere trasmessi entro l’11 marzo 2022. Le linee guida contengono un diagramma di flusso esplicativo di cui ci avvarremo per meglio descrivere il
CNIL c. Google
Continua la striscia di contenziosi tra l’autorità di supervisione francese e il colosso californiano, per presunte violazioni della disciplina europea sulla protezione dei dati personali e sulla privacy nelle comunicazioni elettroniche. Il 31 dicembre 2021 il CNIL ha irrogato sanzioni per complessivi 150 milioni di
Sanzione per telemarketing e non solo
L’Autorità di controllo italiana è intervenuta nuovamente in merito ad attività di telemarketing non conforme alla disciplina applicabile, irrogando una delle maggiori sanzioni pecuniarie: 26,5 milioni di euro. Il provvedimento – che ha riguardato anche violazioni di altra natura – è stato emesso a conclusione
Provvedimento sanzionatorio Grindr
La vicenda che ha visto l’autorità di controllo norvegese (Datatilsynet) sanzionare l’azienda americana fornitrice dell’app omonima di social networking per appuntamenti tra soggetti di analogo orientamento sessuale offre elementi di considerazione sia sotto il profilo della strategia per efficaci azioni di controllo della conformità sia
Controlli difensivi: ultime da Cassazione
In relazione alla disciplina sui controlli a distanza dell’attività dei lavoratori, sancita dall’articolo 4 dello Statuto, la giurisprudenza della Corte di Cassazione ha sviluppato la tesi dei cosiddetti “controlli difensivi” per sottrarre alla procedura dell’accordo sindacale o dell’autorizzazione amministrativa, quei controlli tramite apparecchiature, effettuati dal
Ruoli privacy dell’operatore pubblicitario
Torniamo sul tema dell’identificazione dei ruoli soggettivi privacy nel contesto dell’attuazione di campagne pubblicitarie, con specifico riferimento al ruolo assunto dall’operatore pubblicitario, ingaggiato da un cliente e che realizza la campagna utilizzando anagrafiche che sono nel suo esclusivo possesso. Nel precedente bollettino del 18 novembre
Data Governance Act – 2
Tra i principali atti normativi della strategia UE sui dati vi è la proposta del Data Governance Act. Nella puntata dell’Alert dell’11/11/2021 ne abbiamo descritto gli aspetti generali; in questa, ci soffermiamo sui relativi impatti che essa determina sulla disciplina dettata dal GDPR, in particolare,
Dati relativi a condanne penali e reati
I dati relativi a condanne penali e reati ricevono dal GDPR un’accentuata protezione a causa della delicatezza delle informazioni che ne sono oggetto e dell’elevato impatto che esse possono produrre sui diritti e le libertà degli interessati. Secondo la CGUE, questo tipo di informazioni «possono
Veicoli connessi
Il 9 marzo 2021 il Comitato europeo (EDPB), a seguito della fase di consultazione pubblica, ha adottato la versione finale (v.2.0) delle linee guida 01/2020 sul trattamento di dati personali nell’ambito dei veicoli connessi e delle applicazioni relative alla mobilità. Considerata l’ampiezza del contesto di
Strategia UE sui dati – 3
La strategia dell’Unione europea sui dati prende forma tramite un complesso articolato di atti normativi, alcuni già promulgati ed altri in fase di completamento del processo legislativo tra le istituzioni europee. Norme UE per la condivisione dei dati Una volta stabilizzato il
Pubblicità mirata verso utenti social
Il 13 aprile 2021 il Comitato europeo per la protezione dei dati (EPDB) ha adottato la versione finale (v. 2.0) delle linee guida 8/2020 sul targeting degli utenti dei social media a seguito della conclusione della fase di consultazione pubblica. Successivamente, il 7 luglio 2021
Creazione dei leads
Riprendiamo l’approfondimento della “lead generation” cioè di quella fase preliminare delle campagne pubblicitarie consistente nella sollecitazione promozionale finalizzata alla raccolta di nominativi di consumatori che manifestano il proprio interesse in via generale per quel particolare prodotto o servizio che si intende promuovere. Sollecitazioni dei
DGA -1
Nella strategia sui dati dell’Unione europea, un tassello importante è la proposta di regolamento nota come Data Governance Act o DGA. Essa affianca altre iniziative che mirano a realizzare condizioni di sviluppo per la data economy nel rispetto della piattaforma di garanzie e tutele per
Responsabilità del Rappresentante UE
Nel caso in cui un’organizzazione soggetta alla giurisdizione di un Paese terzo rispetto alla UE/SEE effettua un trattamento di dati personali che ricade nell’ambito applicativo del GDPR e non ha un proprio stabilimento nella UE, deve designare per iscritto un Rappresentante stabilito sul territorio dell’Unione
Social engineering
Con l’espressione “social engineering”, nel dominio della sicurezza delle informazioni, sono solitamente raggruppate tutte quelle casistiche di artifizi e raggiri volti a manipolare l’umana predisposizione alla fiducia. Diversamente da quanto potrebbe apparire a prima vista, infatti, l’essere umano è portato ad avere un approccio di
I. A. tra aspettative e dubbi – seconda parte
Anticipato dai lavori dell’High-Level Expert Group on AI (Ethics Guidelines for Trustworthy AI dell’aprile 2019 e Policy and Investment Recommendations for Trustworthy AI del giugno 2019) e dal White Paper on AI della stessa Commissione UE (19/2/2020), la proposta di regolamento “Artificial Intelligence Act” (AIA)
Garanzie supplementari nei trasferimenti di dati personali
Il 18 giugno 2021 il Comitato europeo ha rilasciato la versione aggiornata (v.2.0) della Raccomandazione 1/2020 sulle garanzie supplementari da adottare nel caso in cui quelle previste dall’articolo 46 del GDPR per legittimare i trasferimenti di dati verso paesi terzi, non risultassero sufficienti a seguito
Green pass: Interazioni col connesso trattamento di dati personali – 2
La disciplina d’uso del green pass, così come indicata dai Dl 52/2021 e 127/2021 e come peraltro ribadito dal regolamento 2021/953, comporta inevitabilmente il trattamento di dati personali per cui, entro tali ambiti, si dovrà aver cura di conformarsi ad entrambe le discipline. Di seguito
Green pass, green privacy
La pandemia da Covid ci ha costretto ad un difficile esercizio di taratura di sempre nuovi equilibri tra diritti e libertà fondamentali, alcuni sinergici – come salute pubblica e privata nonchè tutela dei dati personali – altri dove maggiore era l’evidenza di un arretramento in
Rapporti tra diritto interno e diritto europeo
Spesso, anche nel corso di questa pandemia da Covid-19, abbiamo assistito ad incertezze del legislatore dei singoli Stati membri dell’Unione nell’individuare modalità di intervento su temi e diritti già disciplinati dal diritto europeo. Soprattutto nel campo della protezione dei dati personali ancora ci si meraviglia
Rappresentante UE
L’adempimento della designazione del Rappresentante UE scatta nel caso in cui l’impresa in questione sia soggetta al diritto di un Paese terzo rispetto agli Stati membri dell’Unione e solo in presenza di determinate circostanze e condizioni. Sintesi Come stabilire se si deve
Strategia UE sui dati – 2
Riprendiamo l’analisi della strategia europea sui dati e sul principale obiettivo di agevolare lo sviluppo di un’economia dell’unione “data driven”. Nella scorsa puntata dell’Alert del 22 luglio 2021 si è sottolineato il valore strategico del “dato” ed è stato esaminato il posizionamento delle economie dei
Codice di condotta sulle informazioni commerciali
Dopo due anni dall’approvazione del 12 giugno 2019 (v. Editoriale del 27/6/2019), il 27 maggio 2021 è entrato in vigore in Italia il “Codice di condotta predisposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic)” (di seguito “Codice sulle
Clausole tipo tra titolari e responsabili – 2
Come di consueto, il Servizio di Informazione Giuridica sospende l’attività per il mese di agosto e riprenderà con il bollettino di giovedì 2 settembre. Completiamo l’analisi della decisione 2021/915 che adotta le clausole tipo tra titolari e responsabili del trattamento considerando in questa tornata
Strategia UE sui dati – 1
La Commissione europea, con la pubblicazione del documento “Strategia europea per i dati” del 2020, ha lanciato il piano strategico quinquennale per la creazione dello spazio comune europeo dei dati e l’economia digitale basata sui dati. Il piano parte dall’osservazione che i due maggiori “player”
Cookie: nuove linee guida del Garante
Il Garante privacy – a seguito della consultazione pubblica completatasi nel 2020, ha rilasciato le nuove linee guida sui cookie che aggiornano quelle del 2014 a seguito delle modifiche apportate dal GDPR. Sebbene esse escono nel pieno del negoziato del trilogo tra le istituzioni legislative
La Commissione UE ha adottato le nuove SCC – 2
Torniamo a esaminare le nuove clausole tipo adottate dalla Commissione UE volte a legittimare il trasferimento di dati personali verso paesi terzi (v. Alert del 10/6/2021). Il trasferimento di dati personali verso un paese terzo (cioè nè appartenente all’UE nè al SEE) che non sia
Il Consiglio di Stato su AGCM c. Facebook – 2
La sentenza del 29 marzo 2021 del Consiglio di Stato – che ha concluso il primo filone degli addebiti mossi dall’AGCM a Facebook per le pratiche commerciali scorrette compiute in relazione all’uso dei dati personali dei propri utenti – contiene alcune importanti valutazioni giuridiche che
Data breach: moduli di notifica
C’è un aforisma nel mondo della information security che recita “non ti chiedere se ti capiterà mai un data breach, ma piuttosto quando sarà il tuo turno”. Nel dominio della protezione dei dati personali, la sicurezza dei dati è principio di liceità del loro uso,
Clausole tipo tra titolari e responsabili – 1
Contemporaneamente all’adozione delle più note SCC, vale a dire delle clausole tipo per il trasferimento di dati personali verso paesi terzi, la Commissione UE ha pubblicato l’ulteriore decisione 2021/915 che adotta le clausole tipo tra titolari e responsabili del trattamento. Sintesi SCC (artt. 46.1, c)
La Commissione UE ha adottato le nuove SCC – 1
Dopo grande attesa, enfatizzata da ultimo dalla decisione della CGUE sul caso Schrems II (C-311/18), il 4 giugno 2021 la Commissione UE ha adottato la nuova versione delle Standard Contractual Clauses o modello di clausole contrattuali, quali garanzie adeguate per il trasferimento di dati personali
I.A. tra aspettative e dubbi – prima parte
La gazzetta ufficiale dell’Unione europea ha pubblicato la proposta di regolamento della Commissione UE sull’intelligenza artificiale detto anche “AIA” (Artificial Intelligence Act). L’iniziativa è un ulteriore tassello della strategia dell’UE sul digitale e rappresenta il primo esempio internazionale di disciplina orizzontale della materia, cioè scollegato
Base giuridica dei trattamenti nei controlli a distanza
Vi è una norma dello Statuto dei lavoratori (art. 4) che disciplina il controllo meccanico dell’attività dei lavoratori. Tale attività si svolge tramite operazioni che essendo totalmente o parzialmente automatizzate sono inquadrabili come “trattamenti” in base al GDPR e hanno come contenuto informazioni suscettibili di
Linee di indirizzo sulla vaccinazione nei luoghi di lavoro e precisazioni per la protezione dei dati personali dei dipendenti
A seguito della sottoscrizione del “Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro”, firmato in data 6 aprile 2021 dal Governo e dalle parti sociali, il Garante privacy ha rilasciato alcune linee
Basta un pixel e scatta il GDPR
L’autorità di supervisione norvegese (il “Datatilsynet”) ha reso nota l’intenzione di sanzionare una società americana che ha utilizzato un widget per il tracciamento online di utenti norvegesi a fini di pubblicità comportamentale senza rispettare le prescrizioni normative; apparentemente l’azienda sarebbe caduta nell’errore di ritenere il
Titolarità nelle campagne pubblicitarie
Il tessuto normativo – composto dalla legge, dalle decisioni della CtGUE, dalle linee guida dell’EDPB e dai provvedimenti delle autorità di supervisione – indica che la titolarità si individua in chi effettivamente esercita un potere decisionale sulla finalità e sugli strumenti del trattamento. Pertanto, «non
Email inviata per errore è un data breach
La violazione di dati personali, comunemente detta “data breach”, non è esattamente un “data breach” tecnico. La definizione operata dal legislatore [art. 4, 11), GDPR] ci dice che la violazione di dati personali è una “violazione di sicurezza” con effetti avversi sui dati personali. Pertanto,
Inutilizzabilità dei dati personali
Una delle maggiori conseguenze giuridiche derivanti dalla violazione delle prescrizioni a protezione dei dati personali è l’inutilizzabilità degli stessi. L’inutilizzabilità, nel dominio dei beni giuridici, è il parallelo di quello che per atti e rapporti giuridici è la nullità. “Quod nullum est, nullum producit effectum”
Diritto di cancellazione dei dati
L’autorità di supervisione spagnola ha sanzionato una banca di quel paese per l’importo di € 100.000 per aver mal gestito l’esercizio del diritto di cancellazione operato da un interessato ex-cliente. Il diritto di cancellazione, spesso confuso con il diritto di de-indicizzazione dai motori di ricerca
Il Consiglio di Stato su AGCM c. Facebook – 1
Il primo filone degli addebiti mossi dall’antitrust italiana contro Facebook, avviato il 6 aprile 2018 a contestazione di presunte pratiche commerciali scorrette da questa attuate nell’uso dei dati personali dei propri utenti/consumatori, è giunto a conclusione. Il Consiglio di Stato (“CdS”) si è pronunciato con
Dispositivi e documenti persi o rubati
Lo smarrimento o perdita di dispositivi portatili costituisce una delle casistiche maggiormente frequenti di violazione di dati personali: in tal caso, la valutazione del rischio conseguente deriva essenzialmente dalla possibilità di determinare la natura dei dati che vi erano custoditi nonchè dalla valutazione delle misure
Antitrust e Facebook: nuova sanzione per i dati – 2
Torniamo sul confronto tra l’AGCM e Facebook sulle presunte violazioni di quest’ultima in materia di tutela del consumatore con l’irrogazione di una nuova sanzione complessiva di € 7 milioni nei confronti di Facebook Ireland Ltd. e Facebook Inc. in solido tra loro. La vicenda non
PIA LIA TIA
Non è uno scioglilingua nè una nuova favola delle tre fatine, bensì tre acronimi della disciplina sulla protezione dei dati personali che sarebbe opportuno riuscire prontamente a distinguere e altrettanto prontamente a mettere in atto allorquando si utilizzano dati personali. PIA, LIA e TIA sono
Incidenti da fonti umane interne
Il fattore umano, tradizionalmente, è stato da sempre una delle maggiori fonti di incidenti di sicurezza, sia per errori involontari sia per comportamenti intenzionali (ad esempio, per ritorsione riguardo a situazioni ritenute ingiustamente penalizzanti o per infedeltà e comportamenti illeciti). Con la pandemia si è
Lead generation – 2
Riprendiamo l’approfondimento di alcuni aspetti del settore pubblicitario; più precisamente, nell’ambito del direct marketing, quello dell’impatto data protection della pubblicità svolta per conto di terzi, che solleva interrogativi non del tutto chiariti. Ci si riferisce, in particolare, a quella fase preliminare consistente nell’utilizzo di anagrafiche
Antitrust e Facebook: nuova sanzione per i dati – 1
Anche il secondo round nel confronto tra l’AGCM e Facebook è giunto al termine con l’irrogazione di una nuova sanzione complessiva di € 7 milioni nei confronti di Facebook Ireland Ltd. e Facebook Inc. in solido tra loro. La vicenda è stata seguita nelle sue
Cookie “banner”, “barrier” e “wall”
La proposta della Commissione non faceva esplicito riferimento alle circostanze che la prassi ha identificato con i termini di “cookie banner”, “cookie barrier” e “cookie wall”. La versione del Parlamento approvata dalla commissione LIBE prevede la proibizione dei “cookie wall” sulla scia di quanto indicato
Esfiltrazione di dati
La seconda tipologia di casi di data breach affrontati nelle linee guida EDPB 01/2021 è quella della esfiltrazione di dati da parte di un attaccante. Come nella puntata dell’Alert del 28/1/2021, riportiamo in sintesi: gli elementi salienti di ciascun incidente le ripercussioni in termini di
Pseudonimizzazione
L’Agenzia europea per la sicurezza (ENISA) ha rilasciato un nuovo documento sulla pseudonimizzazione la quale, grazie al GDPR, ha acquisito rilevanza sia come misura di sicurezza sia come strumento di salvaguardia per i diritti e le libertà degli individui, riguardo all’uso dei propri dati personali.
EDPB: casi di data breach
Il Comitato europeo ha rilasciato in consultazione pubblica le linee guida 01/2021 contenenti esempi di data breach, conseguenti valutazione dei rischi ed azioni correttive e di mitigazione. L’approccio, meno teorico e maggiormente operativo, segue le osservazioni evidenziate nella prima relazione della Commissione a due anni
Il settore pubblicitario – 1
L’attività pubblicitaria individuale o promozione “diretta”, in senso lato, è quella operazione promozionale che indirizza il messaggio pubblicitario direttamente al cliente potenziale (perciò detta anche “direct marketing”); questo aspetto la distingue dalla pubblicità generalista che, invece, è rivolta a un pubblico generico e indeterminato: tipici
ePrivacy: la proposta portoghese
Con il passaggio di testimone della presidenza del Consiglio UE tra Germania e Portogallo, è stata diffusa la proposta della presidenza portoghese della versione del Consiglio sul Regolamento ePrivacy. Nonostante sia l’ennesima versione e non è detto che sia l’ultima, riteniamo sia utile esaminarla perchè
Algoritmo discriminatorio
La decisione del Tribunale di Bologna, sezione lavoro, del 31 dicembre 2020 – relativa al sistema di prenotazione delle consegne a domicilio di Deliveroo e interessante per molteplici aspetti – affronta anche il tema della potenzialità discriminatoria che può originare da algoritmi non correttamente impostati.
Data breach: tool di valutazione del Garante
Il Garante – che nel frattempo ha lanciato anche un restyling del proprio brand – ha reso disponibile sul proprio sito web istituzionale un utile strumento esplicativo della gestione delle violazioni di dati personali (“data breach”). Figura 1 – La pagina web del Garante per
By default
Il Comitato europeo, nelle linee guida 04/2019 pubblicate il 20/10/2020 dopo la consultazione pubblica nella definitiva versione 2.0, si è soffermato anche sul concetto di protezione dei dati personali “per impostazione predefinita” o, nella locuzione inglese, “by default”. Il concetto non è di agevole “presa”
Dark patterns
Il codice civile li chiama “artifici e raggiri”, il mondo online “dark patterns” o modelli oscuri. Il California Private Rights Act del 2020 definisce “Dark pattern” come “un’interfaccia utente progettata o manipolata con l’effetto sostanziale di sovvertire o compromettere l’autonomia, il processo decisionale o la
Videosorveglianza: le faq del Garante
Il Garante ha pubblicato a dicembre sedici domande frequenti (“faq”) sulla videosorveglianza aggiornando, di fatto, il proprio provvedimento del 2010 (doc. web n. 1712680) sulla scia delle modifiche intervenute a seguito del GDPR e delle conseguenti linee guida 3/2019 adottate dall’EDPB. Ne riportiamo di seguito
Flussi esteri di dati: garanzie essenziali
Il Comitato europeo (EDPB) con la sua raccomandazione 02/2020 del 10 novembre 2020 ha indicato le garanzie essenziali del diritto europeo che devono essere rispettate al fine di poter giustificare le interferenze con i diritti fondamentali alla riservatezza e alla protezione dei dati personali ad
By design e by default – seconda parte
Le linee guida n. 04/2019 sull’articolo 25 del GDPR affrontano il tema della protezione dei dati personali sin dalle fase di progettazione (by design) e per impostazione predefinita (by default). In questa seconda parte esaminiamo in maggior dettaglio i criteri di valutazione dell’adeguatezza delle misure
Flussi esteri di dati: le nuove SCC
Nel giro di pochi giorni sono state date risposte, ancorchè non definitive, alle stringenti attese che hanno fatto seguito alla decisione della CGUE sul caso Schrems II. La decisione della Corte, come noto, ha invalidato l’accordo del Privacy Shield e ha ritenuto le clausole contrattuali
By design e by default – Prima parte
Il Comitato europeo (EDPB), trascorso il periodo di consultazione pubblica, ha adottato il 20 ottobre 2020 in via definitiva le linee guida n. 04/2019 sull’articolo 25 del GDPR. Questa disposizione disciplina il tema della protezione dei dati personali sin dalle fase di progettazione (by design) e
Per oltre 4 anni un malware indisturbato
Che un malware possa agire indisturbato all’interno di un network aziendale per oltre quattro anni la dice lunga sulla capacità di un gruppo internazionale in termini di incident prevention e incident detection. Purtroppo non si tratta di un caso isolato, come si è visto dall’analisi
ENISA Scenario delle minacce
L’Agenzia sulla cyber sicurezza dell’UE (ENISA) ha pubblicato lo scenario delle minacce 2019-2020. Si tratta dell’ottava edizione ma anche la prima dopo l’entrata in vigore del Cybersecurity Act che ha rinforzato il ruolo e le competenze dell’agenzia conferendole un mandato permanente. Tra i punti di
ICO riduce la sanzione a British Airways
A seguito di un importante incidente di sicurezza che aveva causato la violazione di delicati dati personali di oltre 400.000 individui (passeggeri), l’Information Commissioner inglese (“ICO”) l’08/07/2019 aveva comunicato alla compagnia aerea l’intenzione di sanzionarla per la significativa cifra di 183,39 milioni di sterline (€204M)
Monitoraggio dei lavoratori e sanzioni
La vicenda che ha riguardato la casa di abbigliamento svedese H&M è di particolare gravità tale da configurarsi come un caso di spionaggio – piuttosto che di monitoraggio – della vita dei propri dipendenti. La casa madre è corsa immediatamente ai ripari ed ha fattivamente cooperato con
Le principali regole riguardo ai cookie
Le regole riferite ai cookie, in realtà, si estendono a qualsiasi tecnologia o metodo che determina l’accesso o l’inserimento alle informazioni presenti nel dispositivo dell’utente oppure che realizza il tracciamento della navigazione in rete; come i “Local Shared Objects” (chiamati anche “Flash cookies”), “local storage”
Contitolarità
Uno dei profili su cui il Comitato europeo (EDPB) si è maggiormente intrattenuto nelle sue linee guida 07/2020 e 08/2020 è stato quella della contitolarità. Sebbene i documenti citati siano tuttora sottoposti a consultazione pubblica, riteniamo che i concetti ivi espressi possano considerarsi definitivi e
Linee guida 07/2020: rilievi sul titolare
Le linee guida dell’EDPB n. 07/2020 contengono interessanti spunti sui ruoli di titolare, responsabile e contitolare, insieme alle coeve n. 08/2020 che affrontano nello specifico le attività di targeting svolte sui social media. In questa tornata riportiamo alcuni passi in relazione al ruolo di titolare
EDPB sui ruoli privacy, gli impatti dei social e di Schrems II
Nella trentasettesima riunione del 2 settembre il Comitato ha adottato importanti linee guida sui concetti dei ruoli legali di titolare, contitolare e responsabile del trattamento nonchè linee guida rivolte agli utenti che utilizzano social media. L’EDPB si è anche interessato – a seguito degli esiti della sentenza della CGUE Schrems
Legge privacy in Brasile
210 milioni di brasiliani si aggiungono alle centinaia di milioni che sul globo sono già tutelati da una legge sui dati personali. Promulgata nel 2018 sarebbe dovuta entrare in vigore dopo 18 mesi, ma ha subito proroghe. Ieri (26/8) il Senato ha respinto l’ultimo emendamento
Esercizio dei diritti privacy
I provvedimenti delle autorità di supervisione, insieme a linee guida e pareri dell’EDPB, se letti in filigrana consentono di desumere importanti indicazioni su come operare nelle organizzazioni al fine di rispondere adeguatamente al principio di accountability. Gli ultimi interventi sanzionatori del Garante privacy sono ricchi
Schrems II
Il 16 luglio 2020 la Corte di Giustizia dell’Unione Europea ha emesso l’attesa decisione sulla pronuncia pregiudiziale nel caso noto come Schrems II (C-311/18) che ha ritenuto invalido lo strumento del Privacy Shield, con effetto immediato ed ha chiarito alcuni aspetti riguardo all’ambito di validità
Commissione UE: Prima relazione sul GDPR
In adempimento all’articolo 97 del regolamento, la Commissione dell’Unione europea ha pubblicato la prima relazione sull’esito dei suoi primi due anni di applicazione. La relazione tiene in considerazione anche i contributi dei co-legislatori europei (Consiglio e Parlamento), dell’EDPB, delle autorità di controllo, del gruppo multilaterale
Corte dà ragione al Bundeskartellamt contro Fb
L’Antitrust tedesco aveva considerato con propria decisione, un abuso di posizione dominante la pratica di Facebook consistente nel vincolare alla registrazione dell’account alla propria piattaforma, il consenso all’uso da parte sua dei dati dei propri utenti anche se generati da attività da essi svolte su
Sanzione a Unicredit a seguito di data breach
La vicenda oggetto dell’ordinanza ingiunzione del Garante privacy riguarda un fatto avvenuto prima della piena applicazione del GDPR, per cui ad esso trova applicazione il codice privacy previgente. Dopo una complessa istruttoria, attraverso la quale sono state rilevate violazioni all’adozione delle misure minime di sicurezza
Sanzione di 50 milioni di euro del CNIL c. Google confermata
Aveva fatto scalpore la notizia della decisione dell’autorità di controllo francese del gennaio 2019 con cui il CNIL aveva irrogato una sanzione di 50 milioni di euro nei riguardi di Google LLC (cioè la casa madre di diritto statunitense) per violazioni del GDPR relative all’obbligo
GDPR: reclami e azioni civili
Il soggetto cui si riferiscono i dati personali (interessato) può agire, sia dinanzi all’autorità di controllo, sia di fronte al giudice ordinario; in questa seconda ipotesi anche per risarcimento dei danni causati dal trattamento; l’interessato può anche dare mandato a una onlus di presentare un
Privacy e consumo
La disciplina sulla protezione dei dati personali non è l’unica a regolare l’uso dei dati personali. Quando viene preso in considerazione il valore economico insito nelle informazioni personali può entrare in gioco anche il codice del consumo. GDPR e consumo Il regolamento generale sulla protezione
Consenso e “scrolling”
Le linee guida 5/2020 dell’EDPB sostituiscono le precedenti wp258 rev.01 sul consenso, emesse dal Gruppo di lavoro dell’articolo 29, anche se abbastanza recenti e già fatte proprie dal Comitato. Operazione chirurgica quasi più di stampo politico che giuridico, un “mettere le mani avanti”, considerato che
L’indagine app COVID-19 di House of Data Imperiali
L’indagine app COVID-19 di House of Data Imperiali Secondo un campione di esperti servono garanzie su app e utilizzo dei dati Poca affidabilità e rischi. Ecco cosa emerge dall’indagine su un gruppo di esperti realizzata dall’Osservatorio Data Protection riguardo al sistema pubblico che gestirà i
OdV231 autorizzato al trattamento?
In risposta a una specifica richiesta circa il ruolo soggettivo da assegnare all’Organismo di Vigilanza 231 in base alla disciplina sulla protezione dei dati personali, il Garante privacy ha rilasciato un parere in data 12 maggio 2020, pervenendo a conclusioni che suscitano perplessità. Sintesi La
Il conflitto d’interessi del DPO interno
Una delle regole fondanti per l’indipendenza del Responsabile per la protezione dei dati (DPO) è che esso non sia in conflitto d’interessi. Le linee guida wp243 rev.01 hanno precisato che il conflitto sussiste se e nei limiti in cui il DPO adotti decisioni in merito
Data breach: costi ed esperienze
Garante e IBM hanno prodotto due documenti riguardanti i data breach che forniscono interessanti suggerimenti tratti da esperienze ed offrono valutazioni degli impatti economici che conseguono alle violazioni di dati. La scheda informativa del Garante si concentra sul ransomware – «il programma che prende “in
Linee guida EDPB su app e localizzazione
L’emergenza COVID-19 ha concentrato su questo tema anche le attività del Comitato europeo che, nello spazio di pochi giorni: ha rilasciato il 14 aprile un proprio parere alla Commissione in merito al progetto di Linee-guida in materia di app a supporto della lotta contro la
App anti-COVID secondo la UE
Molto si discute sull’uso delle applicazioni mobili a supporto delle misure anti-contagio da COVID-19 e già sono state annunciate iniziative a livello sia nazionale (Immuni) sia regionale (AllertaLOM della regione Lombardia). Le app sono particolarmente rilevanti specie nella cosiddetta “fase 2”, man mano che sempre
App anti-COVID in salsa UE
Vi è un grande discutere in ambito nazionale e internazionale sull’uso della tecnologia in funzione anti-contagio da COVID-19. La tecnologia svolge una molteplicità di funzioni di supporto. Vi è quella a fini repressivi, al fine di verificare il rispetto delle limitazioni di movimento e il
Le 6 regole per il data breach
Nell’Alert di settimana scorsa si è visto che l’opportunismo degli hacker si avvantaggia delle emergenze, come si registra in questi tempi di Coronavirus. Molti sono i profili di aumentata vulnerabilità in questo frangente: lavorare fuori dal contesto aziendale, dove il livello di protezione – fisico
Sicurezza delle informazioni nell’emergenza COVID-19
L’emergenza è una minaccia in sè per la sicurezza delle informazioni e dei dati personali per diverse ragioni: perchè il tasso di attenzione collettiva è appannaggio degli effetti e delle cause dell’emergenza, perchè gli hacker – da buoni opportunisti – approfittano di queste situazioni di
COVID-19 non è l’unica minaccia
Immaginate una famiglia con più figli, i maggiori di età sono robusti, determinati; il più giovane, invece, è più accondiscendente, si fa da parte quando gli altri fanno valere le proprie ragioni ma la sua non è remissività perchè comunque egli è attento a che
Coronavirus e smart working: legittimità del controllo remoto
Il nostro paese è alle prese con l’epidemia da Corona virus e scopre di essere fragile riguardo a epidemie e fenomeni calamitosi. Questa epidemia registra la sua pericolosità non solo sotto il profilo sanitario ma anche su quelli indotti, derivanti da comportamenti improvvisati , posti
Whistleblowing: prima sanzione del Garante
A seguito di una notifica per data breach dovuta alla temporanea potenziale visibilità in Internet dei nominativi di due segnalanti che si erano avvalsi del canale riservato di comunicazione per le denunce di illeciti, il Garante ha sanzionato un’Università titolare del trattamento, per omesse misure
Il back end del GDPR
I provvedimenti dell’autorità, si sa, fanno rumore soprattutto se, tramite essi, vengono irrogate sanzioni di ingente importo. Spesso, tuttavia, essi sono ricchi di indicazioni che, se letti in filigrana, possono offrire importanti insegnamenti riguardo ai comportamenti virtuosi da parte delle imprese per un’adeguata applicazione delle
EDPB: documenti e indicazioni dalla 17a plenaria
La 17a sessione plenaria dell’EDPB ha rilasciato linee guida, pareri e documenti rilevanti nella materia della protezione dei dati personali. Linee guida Le linee guida riguardano: le linee guida 3/2019 sulle apparecchiature di videosorveglianza, in versione finale a completamento della procedura di consultazione pubblica il
Responsabilità tra titolare e responsabile
La seconda sanzione milionaria irrogata dall’autorità di supervisione nazionale contiene anch’essa numerosi profili di compliance che meritano di essere esaminati. Sintesi Il Garante privacy italiano ha reso noto un ulteriore provvedimento col quale è stata irrogata una sanzione amministrativa di circa 28 milioni di euro
Antitrust e Facebook: secondo round
Nel novembre 2018 l’Antitrust italiana (AGCM) ha sanzionato Facebook per un importo complessivo di 10 milioni di Euro per pratica scorretta avendo indotto la propria clientela (gli utenti del social) a ritenere che il relativo servizio fosse a titolo gratuito anzichè di natura commerciale, in
Le sanzioni GDPR del Garante fanno rumore
Il Garante privacy ha diffuso con un comunicato stampa la notizia di due significative sanzioni irrogate applicando le pertinenti prescrizioni del GDPR. Si tratta di violazioni compiute in tema di telemarketing e teleselling indesiderato (provv. n. 232 dell’11/12/2019, doc. web n. 9244365) e contratti non
L’intricata vicenda sui cookies
Si può sostenere con fondamento che non vi sia operatore, economico o meno, privato o pubblico, che non abbia un proprio sito web, di tipo istituzionale o per l’erogazione di servizi in rete. Di conseguenza, la disciplina sui cookie e su analoghi strumenti di tracciamento,
Whistleblowing: direttiva UE e parere Garante
In una delle ultime puntate dell’anno appena concluso ci eravamo intrattenuti sulle nuove linee dell’ANAC e si era data notizia della nuova direttiva UE sul tema. Oggi torniamo su questo importante argomento perchè nel frattempo la direttiva è stata pubblicata sulla gazzetta ufficiale dell’Unione, entrando
Best of 2019: tra apprensioni e aspettative
Cosa è stato il 2019 per la protezioone dei dati personali? Un anno importante in cui ha preso le mosse, di fatto, la piena applicazione del GDPR. Sintesi GDPR: la legge dell’anno Il 2019 è stato l’anno di prima applicazione del Regolamento europeo noto come