I bollettini di House of Data Imperiali

I bollettini sono estratti del Servizio di Informazione Giuridica (SIG) – a cura dell’Avv. Rosario Imperiali d’Afflitto –  fruibile tramite abbonamento.

Data Governance Act “DGA”

La proposta della Commissione UE di regolamento sulla governance dei dati è stata pubblicata nel novembre del 2020 ed ha concluso il suo iter, divenendo legge europea (Regolamento UE 2022/868) con la pubblicazione sulla Gazzetta Ufficiale UE del 3 giugno 2022. La figura che segue

Leggi di più »

Calcolo delle sanzioni amministrative GDPR -1

Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022.  Il regolamento generale ha innovato significativamente in materia di sanzioni amministrative che la direttiva 95/46/CE, invece, demandava

Leggi di più »

FAQ su clausole contrattuali standard

Il 25 maggio 2022 la Commissione europea ha pubblicato una raccolta di domande e risposte sulle clausole contrattuali standard: (1) quelle nei rapporti tra i titolari e i responsabili del trattamento (art. 28 GDPR) e (2) quelle per i trasferimenti di dati verso paesi terzi

Leggi di più »

Spazio europeo dei dati sanitari

Nell’ambito della strategia europea sui dati, la Commissione UE ha lanciato la prima proposta di uno spazio dati europeo in un settore specifico, incentrata sui dati sanitari, in particolare sui dati sanitari elettronici. Queste le principali direttrici di questa iniziativa: Permettere una maggiore trasparenza, disponibilità

Leggi di più »

EDPB Annual Report 2021

Intorno a maggio-giugno di ogni anno le autorità di controllo divulgano il proprio rapporto annuale per le attività svolte nell’esercizio precedente: vi ha già provveduto tra le altre il CNIL (versione per la stampa) e, analogamente, ha fatto l’EDPB, mentre si attende a breve la

Leggi di più »

Accesso “privacy” come potere di controllo

Sempre più il legislatore, sia sovranazionale che locale, riconosce un diritto di accesso al singolo a informazioni detenute da terzi che in qualche modo lo riguardano oppure che sono funzionali all’esercizio di diritti che gli vengono riconosciuti dall’ordinamento. Non fa eccezione il GDPR che attribuisce

Leggi di più »

Ricorsi contro violazioni GDPR

I numerosi ricorsi promossi verso autorità di controllo nazionali, da parte di onlus internazionali come NoyB, La Quadrature du Net, Privacy International e altri, sono testimonianza pratica del disposto dell’articolo 80, paragrafo 1, del GDPR che consente all’interessato di esercitare i propri mezzi di ricorso

Leggi di più »

Data sharing

L’economia dei dati si basa sul “data sharing” cioè la condivisione degli stessi con terze parti. La strategia UE sull’economia dei dati, finalizzata a incentivarne lo sviluppo e a eliminare le barriere che vi si frappongono, ha promosso una serie di atti legislativi, per lo

Leggi di più »

Registro Pubblico delle Opposizioni – 2

Riprendiamo l’analisi della riforma del Registro Pubblico delle Opposizioni, completata con la pubblicazione in Gazzetta del regolamento attuativo (DPR n. 26/2022), sostitutivo del precedente DPR n. 178/2010. Nel frattempo, il Ministero dello sviluppo economico ha avviato la consultazione pubblica dei principali operatori, dal 5 aprile

Leggi di più »

One Stop Shop

Lo EDPB ha rilasciato le linee guida 02/2022 sull’applicazione dell’articolo 60 del GDPR, cioè sulle modalità procedurali del meccanismo di cooperazione, noto come “one-stop-shop”. Il documento, a primo acchito, sembrerebbe indirizzato prevalentemente alle autorità di supervisione ma offre spunti di riflessione e takeaways utili per

Leggi di più »

Riforma del Registro Pubblico delle Opposizioni – 1

La gazzetta ufficiale del 29 marzo 2022 (n. 74) – l’organo editoriale che pubblica con valenza ufficiale le norme della Repubblica italiana – ha pubblicato l’atteso regolamento del sistema “Do Not Call” italiano, ossia Il Registro Pubblico delle Opposizioni (“RPO”).  Il RPO è nato nel

Leggi di più »

Flussi dati UE-USA: accordo politico

A margine degli incontri a livello europeo e globale tenutisi a Bruxelles, nella conferenza stampa congiunta del presidente degli Stati Uniti e della presidente della Commissione UE del 25 marzo 2022 è stata data la notizia del raggiungimento dell’accordo “di principio” tra le parti sui

Leggi di più »

Caso Clearview – Takeaways

Il business della società americana – consistente nel web scraping delle immagini degli utenti internet, nella correlazione con metadati identificativi dei soggetti di riferimento e nella comparazione con foto fornite dai clienti dell’applicazione per ottenerne l’identificazione – è stato oggetto di scrutinio da parte di

Leggi di più »

Intelligenza artificiale nel GDPR

Strategia UE sui dati La proposta di regolamento sull’intelligenza artificiale si colloca all’interno della più ampia strategia UE sui dati che ha già prodotto numerosi atti normativi volti alla creazione di un mercato unico europeo dei dati:   il Data Governance Act e il Data Act,

Leggi di più »

Esercizio dei diritti

Le linee guida 01/2022 dell’EDPB relative al diritto di accesso “privacy” contengono indicazioni che sono applicabili in via generale, anche riguardo all’esercizio degli altri diritti del GDPR. In questa tornata, ad esempio, affronteremo due aspetti comuni all’esercizio di qualsiasi diritto previsto dal regolamento: il tema

Leggi di più »

Data Act

La Commissione europea ha pubblicato l’attesa proposta di regolamento sulla legge dei dati (“Data Act”). Si tratta, dopo il Data Governance Act, del secondo più rilevante intervento normativo di carattere orizzontale cioè che attraversa tutti i settori, della Strategia UE sui dati, (v. Bollettino del 22/7,

Leggi di più »

Il baratto dei dati

Se è vero che i dati – e quelli “personali” in particolare – sono la linfa dell’economia digitale, è altrettanto vero che la loro disponibilità è essenziale per lo svolgimento di qualsiasi tipo di attività, di natura sia commerciale che senza scopo di lucro. Entrare

Leggi di più »

Autorità belga c. IAB Europe

Giunge al termine, con un provvedimento sanzionatorio adottato dall’autorità belga per 250.000 euro, una complessa indagine relativa alla conformità al GDPR della piattaforma Transparent and Consent Framework della federazione IAB Europe che riunisce portatori di interesse nell’ambito della pubblicità comportamentale. Provvedimento dell’autorità belga Il voluminoso

Leggi di più »

Linee guida EDPB sul diritto di accesso

Il Comitato europeo ha rilasciato le linee guida 1/2022 sul diritto di accesso sottoponendole, come consuetudine, a consultazione pubblica; eventuali commenti potranno essere trasmessi entro l’11 marzo 2022. Le linee guida contengono un diagramma di flusso esplicativo di cui ci avvarremo per meglio descrivere il

Leggi di più »

CNIL c. Google

Continua la striscia di contenziosi tra l’autorità di supervisione francese e il colosso californiano, per presunte violazioni della disciplina europea sulla protezione dei dati personali e sulla privacy nelle comunicazioni elettroniche. Il 31 dicembre 2021 il CNIL ha irrogato sanzioni per complessivi 150 milioni di

Leggi di più »

Sanzione per telemarketing e non solo

L’Autorità di controllo italiana è intervenuta nuovamente in merito ad attività di telemarketing non conforme alla disciplina applicabile, irrogando una delle maggiori sanzioni pecuniarie: 26,5 milioni di euro. Il provvedimento – che ha riguardato anche violazioni di altra natura – è stato emesso a conclusione

Leggi di più »

Provvedimento sanzionatorio Grindr

La vicenda che ha visto l’autorità di controllo norvegese (Datatilsynet) sanzionare l’azienda americana fornitrice dell’app omonima di social networking per appuntamenti tra soggetti di analogo orientamento sessuale offre elementi di considerazione sia sotto il profilo della strategia per efficaci azioni di controllo della conformità sia

Leggi di più »

Controlli difensivi: ultime da Cassazione

In relazione alla disciplina sui controlli a distanza dell’attività dei lavoratori, sancita dall’articolo 4 dello Statuto, la giurisprudenza della Corte di Cassazione ha sviluppato la tesi dei cosiddetti “controlli difensivi” per sottrarre alla procedura dell’accordo sindacale o dell’autorizzazione amministrativa, quei controlli tramite apparecchiature, effettuati dal

Leggi di più »

Ruoli privacy dell’operatore pubblicitario

Torniamo sul tema dell’identificazione dei ruoli soggettivi privacy nel contesto dell’attuazione di campagne pubblicitarie, con specifico riferimento al ruolo assunto dall’operatore pubblicitario, ingaggiato da un cliente e che realizza la campagna utilizzando anagrafiche che sono nel suo esclusivo possesso. Nel precedente bollettino del 18 novembre

Leggi di più »

Data Governance Act – 2

Tra i principali atti normativi della strategia UE sui dati vi è la proposta del Data Governance Act. Nella puntata dell’Alert dell’11/11/2021 ne abbiamo descritto gli aspetti generali; in questa, ci soffermiamo sui relativi impatti che essa determina sulla disciplina dettata dal GDPR, in particolare,

Leggi di più »

Dati relativi a condanne penali e reati

I dati relativi a condanne penali e reati ricevono dal GDPR un’accentuata protezione a causa della delicatezza delle informazioni che ne sono oggetto e dell’elevato impatto che esse possono produrre sui diritti e le libertà degli interessati. Secondo la CGUE, questo tipo di informazioni «possono

Leggi di più »

Veicoli connessi

Il 9 marzo 2021 il Comitato europeo (EDPB), a seguito della fase di consultazione pubblica, ha adottato la versione finale (v.2.0) delle linee guida 01/2020 sul trattamento di dati personali nell’ambito dei veicoli connessi e delle applicazioni relative alla mobilità. Considerata l’ampiezza del contesto di

Leggi di più »

Strategia UE sui dati – 3

La strategia dell’Unione europea sui dati prende forma tramite un complesso articolato di atti normativi, alcuni già promulgati ed altri in fase di completamento del processo legislativo tra le istituzioni europee.   Norme UE per la condivisione dei dati     Una volta stabilizzato il

Leggi di più »

Pubblicità mirata verso utenti social

Il 13 aprile 2021 il Comitato europeo per la protezione dei dati (EPDB) ha adottato la versione finale (v. 2.0) delle linee guida 8/2020 sul targeting degli utenti dei social media a seguito della conclusione della fase di consultazione pubblica.  Successivamente, il 7 luglio 2021

Leggi di più »

Creazione dei leads

Riprendiamo l’approfondimento della “lead generation” cioè di quella fase preliminare delle campagne pubblicitarie consistente nella sollecitazione promozionale finalizzata alla raccolta di nominativi di consumatori che manifestano il proprio interesse in via generale per quel particolare prodotto o servizio che si intende promuovere.   Sollecitazioni dei

Leggi di più »

DGA -1

Nella strategia sui dati dell’Unione europea, un tassello importante è la proposta di regolamento nota come Data Governance Act o DGA. Essa affianca altre iniziative che mirano a realizzare condizioni di sviluppo per la data economy nel rispetto della piattaforma di garanzie e tutele per

Leggi di più »

Responsabilità del Rappresentante UE

Nel caso in cui un’organizzazione soggetta alla giurisdizione di un Paese terzo rispetto alla UE/SEE effettua un trattamento di dati personali che ricade nell’ambito applicativo del GDPR e non ha un proprio stabilimento nella UE, deve designare per iscritto un Rappresentante stabilito sul territorio dell’Unione

Leggi di più »

Social engineering

Con l’espressione “social engineering”, nel dominio della sicurezza delle informazioni, sono solitamente raggruppate tutte quelle casistiche di artifizi e raggiri volti a manipolare l’umana predisposizione alla fiducia. Diversamente da quanto potrebbe apparire a prima vista, infatti, l’essere umano è portato ad avere un approccio di

Leggi di più »

I. A. tra aspettative e dubbi – seconda parte

Anticipato dai lavori dell’High-Level Expert Group on AI (Ethics Guidelines for Trustworthy AI dell’aprile 2019 e Policy and Investment Recommendations for Trustworthy AI del giugno 2019) e dal White Paper on AI della stessa Commissione UE (19/2/2020), la proposta di regolamento “Artificial Intelligence Act” (AIA)

Leggi di più »

Garanzie supplementari nei trasferimenti di dati personali

Il 18 giugno 2021 il Comitato europeo ha rilasciato la versione aggiornata (v.2.0) della Raccomandazione 1/2020 sulle garanzie supplementari da adottare nel caso in cui quelle previste dall’articolo 46 del GDPR per legittimare i trasferimenti di dati verso paesi terzi, non risultassero sufficienti a seguito

Leggi di più »

Green pass, green privacy

La pandemia da Covid ci ha costretto ad un difficile esercizio di taratura di sempre nuovi equilibri tra diritti e libertà fondamentali, alcuni sinergici – come salute pubblica e privata nonchè tutela dei dati personali – altri dove maggiore era l’evidenza di un arretramento in

Leggi di più »

Rapporti tra diritto interno e diritto europeo

Spesso, anche nel corso di questa pandemia da Covid-19, abbiamo assistito ad incertezze del legislatore dei singoli Stati membri dell’Unione nell’individuare modalità di intervento su temi e diritti già disciplinati dal diritto europeo. Soprattutto nel campo della protezione dei dati personali ancora ci si meraviglia

Leggi di più »

Rappresentante UE

L’adempimento della designazione del Rappresentante UE scatta nel caso in cui l’impresa in questione sia soggetta al diritto di un Paese terzo rispetto agli Stati membri dell’Unione e solo in  presenza di determinate circostanze e condizioni.   Sintesi     Come stabilire se si deve

Leggi di più »

Strategia UE sui dati – 2

Riprendiamo l’analisi della strategia europea sui dati e sul principale obiettivo di agevolare lo sviluppo di un’economia dell’unione “data driven”.  Nella scorsa puntata dell’Alert del 22 luglio 2021 si è sottolineato il valore strategico del “dato” ed è stato esaminato il posizionamento delle economie dei

Leggi di più »

Codice di condotta sulle informazioni commerciali

Dopo due anni dall’approvazione del 12 giugno 2019 (v. Editoriale del 27/6/2019), il 27 maggio 2021 è entrato in vigore in Italia il “Codice di condotta predisposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic)” (di seguito “Codice sulle

Leggi di più »

Clausole tipo tra titolari e responsabili – 2

Come di consueto, il Servizio di Informazione Giuridica sospende l’attività per il mese di agosto e riprenderà con il bollettino di giovedì 2 settembre.   Completiamo l’analisi della decisione 2021/915 che adotta le clausole tipo tra titolari e responsabili del trattamento considerando in questa tornata

Leggi di più »

Strategia UE sui dati – 1

La Commissione europea, con la pubblicazione del documento “Strategia europea per i dati” del 2020, ha lanciato il piano strategico quinquennale per la creazione dello spazio comune europeo dei dati e l’economia digitale basata sui dati. Il piano parte dall’osservazione che i due maggiori “player”

Leggi di più »

Cookie: nuove linee guida del Garante

Il Garante privacy – a seguito della consultazione pubblica completatasi nel 2020, ha rilasciato le nuove linee guida sui cookie che aggiornano quelle del 2014 a seguito delle modifiche apportate dal GDPR. Sebbene esse escono nel pieno del negoziato del trilogo tra le istituzioni legislative

Leggi di più »

La Commissione UE ha adottato le nuove SCC – 2

Torniamo a esaminare le nuove clausole tipo adottate dalla Commissione UE volte a legittimare il trasferimento di dati personali verso paesi terzi (v. Alert del 10/6/2021). Il trasferimento di dati personali verso un paese terzo (cioè nè appartenente all’UE nè al SEE) che non sia

Leggi di più »

Il Consiglio di Stato su AGCM c. Facebook – 2

La sentenza del 29 marzo 2021 del Consiglio di Stato – che ha concluso il primo filone degli addebiti mossi dall’AGCM a Facebook per le pratiche commerciali scorrette compiute in relazione all’uso dei dati personali dei propri utenti – contiene alcune importanti valutazioni giuridiche che

Leggi di più »

Data breach: moduli di notifica

C’è un aforisma nel mondo della information security che recita “non ti chiedere se ti capiterà mai un data breach, ma piuttosto quando sarà il tuo turno”. Nel dominio della protezione dei dati personali, la sicurezza dei dati è principio di liceità del loro uso,

Leggi di più »

Clausole tipo tra titolari e responsabili – 1

Contemporaneamente all’adozione delle più note SCC, vale a dire delle clausole tipo per il trasferimento di dati personali verso paesi terzi, la Commissione UE ha pubblicato l’ulteriore decisione 2021/915 che adotta le clausole tipo tra titolari e responsabili del trattamento. Sintesi SCC (artt. 46.1, c)

Leggi di più »

La Commissione UE ha adottato le nuove SCC – 1

Dopo grande attesa, enfatizzata da ultimo dalla decisione della CGUE sul caso Schrems II (C-311/18), il 4 giugno 2021 la Commissione UE ha adottato la nuova versione delle Standard Contractual Clauses o modello di clausole contrattuali, quali garanzie adeguate per il trasferimento di dati personali

Leggi di più »

I.A. tra aspettative e dubbi – prima parte

La gazzetta ufficiale dell’Unione europea ha pubblicato la proposta di regolamento della Commissione UE sull’intelligenza artificiale detto anche “AIA” (Artificial Intelligence Act). L’iniziativa è un ulteriore tassello della strategia dell’UE sul digitale e rappresenta il primo esempio internazionale di disciplina orizzontale della materia, cioè scollegato

Leggi di più »

Base giuridica dei trattamenti nei controlli a distanza

Vi è una norma dello Statuto dei lavoratori (art. 4) che disciplina il controllo meccanico dell’attività dei lavoratori. Tale attività si svolge tramite operazioni che essendo totalmente o parzialmente automatizzate sono inquadrabili come “trattamenti” in base al GDPR e hanno come contenuto informazioni suscettibili di

Leggi di più »

Basta un pixel e scatta il GDPR

L’autorità di supervisione norvegese (il “Datatilsynet”) ha reso nota l’intenzione di sanzionare una società americana che ha utilizzato un widget per il tracciamento online di utenti norvegesi a fini di pubblicità comportamentale senza rispettare le prescrizioni normative; apparentemente l’azienda sarebbe caduta nell’errore di ritenere il

Leggi di più »

Titolarità nelle campagne pubblicitarie

Il tessuto normativo – composto dalla legge, dalle decisioni della CtGUE, dalle linee guida dell’EDPB e dai provvedimenti delle autorità di supervisione – indica che la titolarità si individua in chi effettivamente esercita un potere decisionale sulla finalità e sugli strumenti del trattamento. Pertanto, «non

Leggi di più »

Email inviata per errore è un data breach

La violazione di dati personali, comunemente detta “data breach”, non è esattamente un “data breach” tecnico. La definizione operata dal legislatore [art. 4, 11), GDPR] ci dice che la violazione di dati personali è una “violazione di sicurezza” con effetti avversi sui dati personali. Pertanto,

Leggi di più »

Inutilizzabilità dei dati personali

Una delle maggiori conseguenze giuridiche derivanti dalla violazione delle prescrizioni a protezione dei dati personali è l’inutilizzabilità degli stessi. L’inutilizzabilità, nel dominio dei beni giuridici, è il parallelo di quello che per atti e rapporti giuridici è la nullità. “Quod nullum est, nullum producit effectum”

Leggi di più »

Diritto di cancellazione dei dati

L’autorità di supervisione spagnola ha sanzionato una banca di quel paese per l’importo di € 100.000 per aver mal gestito l’esercizio del diritto di cancellazione operato da un interessato ex-cliente. Il diritto di cancellazione, spesso confuso con il diritto di de-indicizzazione dai motori di ricerca

Leggi di più »

Il Consiglio di Stato su AGCM c. Facebook – 1

Il primo filone degli addebiti mossi dall’antitrust italiana contro Facebook, avviato il 6 aprile 2018 a contestazione di presunte pratiche commerciali scorrette da questa attuate nell’uso dei dati personali dei propri utenti/consumatori, è giunto a conclusione. Il Consiglio di Stato (“CdS”) si è pronunciato con

Leggi di più »

Dispositivi e documenti persi o rubati

Lo smarrimento o perdita di dispositivi portatili costituisce una delle casistiche maggiormente frequenti di violazione di dati personali: in tal caso, la valutazione del rischio conseguente deriva essenzialmente dalla possibilità di determinare la natura dei dati che vi erano custoditi nonchè dalla valutazione delle misure

Leggi di più »

Antitrust e Facebook: nuova sanzione per i dati – 2

Torniamo sul confronto tra l’AGCM e Facebook sulle presunte violazioni di quest’ultima in materia di tutela del consumatore con l’irrogazione di una nuova sanzione complessiva di € 7 milioni nei confronti di Facebook Ireland Ltd. e Facebook Inc. in solido tra loro. La vicenda non

Leggi di più »

PIA LIA TIA

Non è uno scioglilingua nè una nuova favola delle tre fatine, bensì tre acronimi della disciplina sulla protezione dei dati personali che sarebbe opportuno riuscire prontamente a distinguere e altrettanto prontamente a mettere in atto allorquando si utilizzano dati personali. PIA, LIA e TIA sono

Leggi di più »

Incidenti da fonti umane interne

Il fattore umano, tradizionalmente, è stato da sempre una delle maggiori fonti di incidenti di sicurezza, sia per errori involontari sia per comportamenti intenzionali (ad esempio, per ritorsione riguardo a situazioni ritenute ingiustamente penalizzanti o per infedeltà e comportamenti illeciti). Con la pandemia si è

Leggi di più »

Lead generation – 2

Riprendiamo l’approfondimento di alcuni aspetti del settore pubblicitario; più precisamente, nell’ambito del direct marketing, quello dell’impatto data protection della pubblicità svolta per conto di terzi, che solleva interrogativi non del tutto chiariti. Ci si riferisce, in particolare, a quella fase preliminare consistente nell’utilizzo di anagrafiche

Leggi di più »

Cookie “banner”, “barrier” e “wall”

La proposta della Commissione non faceva esplicito riferimento alle circostanze che la prassi ha identificato con i termini di “cookie banner”, “cookie barrier” e “cookie wall”. La versione del Parlamento approvata dalla commissione LIBE prevede la proibizione dei “cookie wall” sulla scia di quanto indicato

Leggi di più »

Esfiltrazione di dati

La seconda tipologia di casi di data breach affrontati nelle linee guida EDPB 01/2021 è quella della esfiltrazione di dati da parte di un attaccante. Come nella puntata dell’Alert del 28/1/2021, riportiamo in sintesi:  gli elementi salienti di ciascun incidente le ripercussioni in termini di

Leggi di più »

Pseudonimizzazione

L’Agenzia europea per la sicurezza (ENISA) ha rilasciato un nuovo documento sulla pseudonimizzazione la quale, grazie al GDPR, ha acquisito rilevanza sia come misura di sicurezza sia come strumento di salvaguardia per i diritti e le libertà degli individui, riguardo all’uso dei propri dati personali.

Leggi di più »

EDPB: casi di data breach

Il Comitato europeo ha rilasciato in consultazione pubblica le linee guida 01/2021 contenenti esempi di data breach, conseguenti valutazione dei rischi ed azioni correttive e di mitigazione.  L’approccio, meno teorico e maggiormente operativo, segue le osservazioni evidenziate nella prima relazione della Commissione a due anni

Leggi di più »

Il settore pubblicitario – 1

L’attività pubblicitaria individuale o promozione “diretta”, in senso lato, è quella operazione promozionale che indirizza il messaggio pubblicitario direttamente al cliente potenziale (perciò detta anche “direct marketing”); questo aspetto la distingue dalla pubblicità generalista che, invece, è rivolta a un pubblico generico e indeterminato: tipici

Leggi di più »

ePrivacy: la proposta portoghese

Con il passaggio di testimone della presidenza del Consiglio UE tra Germania e Portogallo, è stata diffusa la proposta della presidenza portoghese della versione del Consiglio sul Regolamento ePrivacy. Nonostante sia l’ennesima versione e non è detto che sia l’ultima, riteniamo sia utile esaminarla perchè

Leggi di più »

Algoritmo discriminatorio

La decisione del Tribunale di Bologna, sezione lavoro, del 31 dicembre 2020 – relativa al sistema di prenotazione delle consegne a domicilio di Deliveroo e interessante per molteplici aspetti – affronta anche il tema della potenzialità discriminatoria che può originare da algoritmi non correttamente impostati.

Leggi di più »

Data breach: tool di valutazione del Garante

Il Garante – che nel frattempo ha lanciato anche un restyling del proprio brand – ha reso disponibile sul proprio sito web istituzionale un utile strumento esplicativo della gestione delle violazioni di dati personali (“data breach”). Figura 1 – La pagina web del Garante per

Leggi di più »

By default

Il Comitato europeo, nelle linee guida 04/2019 pubblicate il 20/10/2020 dopo la consultazione pubblica nella definitiva versione 2.0, si è soffermato anche sul concetto di protezione dei dati personali “per impostazione predefinita” o, nella locuzione inglese, “by default”. Il concetto non è di agevole “presa”

Leggi di più »

Dark patterns

Il codice civile li chiama “artifici e raggiri”, il mondo online “dark patterns” o modelli oscuri. Il California Private Rights Act del 2020 definisce “Dark pattern” come “un’interfaccia utente progettata o manipolata con l’effetto sostanziale di sovvertire o compromettere l’autonomia, il processo decisionale o la

Leggi di più »

Videosorveglianza: le faq del Garante

Il Garante ha pubblicato a dicembre sedici domande frequenti (“faq”) sulla videosorveglianza aggiornando, di fatto, il proprio provvedimento del 2010 (doc. web n. 1712680) sulla scia delle modifiche intervenute a seguito del GDPR e delle conseguenti linee guida 3/2019 adottate dall’EDPB. Ne riportiamo di seguito

Leggi di più »

Flussi esteri di dati: garanzie essenziali

Il Comitato europeo (EDPB) con la sua raccomandazione 02/2020 del 10 novembre 2020 ha indicato le garanzie essenziali del diritto europeo che devono essere rispettate al fine di poter giustificare le interferenze con i diritti fondamentali alla riservatezza e alla protezione dei dati personali ad

Leggi di più »

By design e by default – seconda parte

Le linee guida n. 04/2019 sull’articolo 25 del GDPR affrontano il tema della protezione dei dati personali sin dalle fase di progettazione (by design) e per impostazione predefinita (by default). In questa seconda parte esaminiamo in maggior dettaglio i criteri di valutazione dell’adeguatezza delle misure

Leggi di più »

Flussi esteri di dati: le nuove SCC

Nel giro di pochi giorni sono state date risposte, ancorchè non definitive, alle stringenti attese che hanno fatto seguito alla decisione della CGUE sul caso Schrems II. La decisione della Corte, come noto, ha invalidato l’accordo del Privacy Shield e ha ritenuto le clausole contrattuali

Leggi di più »

By design e by default – Prima parte

Il Comitato europeo (EDPB), trascorso il periodo di consultazione pubblica, ha adottato il 20 ottobre 2020 in via definitiva le linee guida n. 04/2019 sull’articolo 25 del GDPR. Questa disposizione disciplina il tema della protezione dei dati personali sin dalle fase di progettazione (by design) e

Leggi di più »

Per oltre 4 anni un malware indisturbato

Che un malware possa agire indisturbato all’interno di un network aziendale per oltre quattro anni la dice lunga sulla capacità di un gruppo internazionale in termini di incident prevention e incident detection. Purtroppo non si tratta di un caso isolato, come si è visto dall’analisi

Leggi di più »

ENISA Scenario delle minacce

L’Agenzia sulla cyber sicurezza dell’UE (ENISA) ha pubblicato lo scenario delle minacce 2019-2020. Si tratta dell’ottava edizione ma anche la prima dopo l’entrata in vigore del Cybersecurity Act che ha rinforzato il ruolo e le competenze dell’agenzia conferendole un mandato permanente. Tra i punti di

Leggi di più »

ICO riduce la sanzione a British Airways

A seguito di un importante incidente di sicurezza che aveva causato la violazione di delicati dati personali di oltre 400.000 individui (passeggeri), l’Information Commissioner inglese (“ICO”)  l’08/07/2019 aveva comunicato alla compagnia aerea l’intenzione di sanzionarla per la significativa cifra di 183,39 milioni di sterline (€204M)

Leggi di più »

Monitoraggio dei lavoratori e sanzioni

La vicenda che ha riguardato la casa di abbigliamento svedese H&M è di particolare gravità tale da configurarsi come un caso di spionaggio – piuttosto che di monitoraggio – della vita dei propri dipendenti. La casa madre è corsa immediatamente ai ripari ed ha fattivamente cooperato con

Leggi di più »

Le principali regole riguardo ai cookie

Le regole riferite ai cookie, in realtà, si estendono a qualsiasi tecnologia o metodo che determina l’accesso o l’inserimento alle informazioni presenti nel dispositivo dell’utente oppure che realizza il tracciamento della navigazione in rete; come i “Local Shared Objects” (chiamati anche “Flash cookies”), “local storage”

Leggi di più »

Contitolarità

Uno dei profili su cui il Comitato europeo (EDPB) si è maggiormente intrattenuto nelle sue linee guida 07/2020 e 08/2020 è stato quella della contitolarità. Sebbene i documenti citati siano tuttora sottoposti a consultazione pubblica, riteniamo che i concetti ivi espressi possano considerarsi definitivi e

Leggi di più »

Linee guida 07/2020: rilievi sul titolare

Le linee guida dell’EDPB n. 07/2020 contengono interessanti spunti sui ruoli di titolare, responsabile e contitolare, insieme alle coeve n. 08/2020 che affrontano nello specifico le attività di targeting svolte sui social media.  In questa tornata riportiamo alcuni passi in relazione al ruolo di titolare

Leggi di più »

EDPB sui ruoli privacy, gli impatti dei social e di Schrems II

Nella trentasettesima riunione del 2 settembre il Comitato ha adottato importanti linee guida sui concetti dei ruoli legali di titolare, contitolare e responsabile del trattamento nonchè linee guida rivolte agli utenti che utilizzano social media. L’EDPB si è anche interessato – a seguito degli esiti della sentenza della CGUE Schrems

Leggi di più »

Legge privacy in Brasile

210 milioni di brasiliani si aggiungono alle centinaia di milioni che sul globo sono già tutelati da una legge sui dati personali. Promulgata nel 2018 sarebbe dovuta entrare in vigore dopo 18 mesi, ma ha subito proroghe. Ieri (26/8) il Senato ha respinto l’ultimo emendamento

Leggi di più »

Esercizio dei diritti privacy

I provvedimenti delle autorità di supervisione, insieme a linee guida e pareri dell’EDPB, se letti in filigrana consentono di desumere importanti indicazioni su come operare nelle organizzazioni al fine di rispondere adeguatamente al principio di accountability. Gli ultimi interventi sanzionatori del Garante privacy sono ricchi

Leggi di più »

Schrems II

Il 16 luglio 2020 la Corte di Giustizia dell’Unione Europea ha emesso l’attesa decisione sulla pronuncia pregiudiziale nel caso noto come Schrems II (C-311/18) che ha ritenuto invalido lo strumento del Privacy Shield, con effetto immediato ed ha chiarito alcuni aspetti riguardo all’ambito di validità

Leggi di più »

Commissione UE: Prima relazione sul GDPR

In adempimento all’articolo 97 del regolamento, la Commissione dell’Unione europea ha pubblicato la prima relazione sull’esito dei suoi primi due anni di applicazione. La relazione tiene in considerazione anche i contributi dei co-legislatori europei (Consiglio e Parlamento), dell’EDPB, delle autorità di controllo, del gruppo multilaterale

Leggi di più »

Corte dà ragione al Bundeskartellamt contro Fb

L’Antitrust tedesco aveva considerato con propria decisione, un abuso di posizione dominante la pratica di Facebook consistente nel vincolare alla registrazione dell’account alla propria piattaforma, il consenso all’uso da parte sua dei dati dei propri utenti anche se generati da attività da essi svolte su

Leggi di più »

Sanzione a Unicredit a seguito di data breach

La vicenda oggetto dell’ordinanza ingiunzione del Garante privacy riguarda un fatto avvenuto prima della piena applicazione del GDPR, per cui ad esso trova applicazione il codice privacy previgente. Dopo una complessa istruttoria, attraverso la quale sono state rilevate violazioni all’adozione delle misure minime di sicurezza

Leggi di più »

GDPR: reclami e azioni civili

Il soggetto cui si riferiscono i dati personali (interessato) può agire, sia dinanzi all’autorità di controllo, sia di fronte al giudice ordinario; in questa seconda ipotesi anche per risarcimento dei danni causati dal trattamento; l’interessato può anche dare mandato a una onlus di presentare un

Leggi di più »

Privacy e consumo

La disciplina sulla protezione dei dati personali non è l’unica a regolare l’uso dei dati personali. Quando viene preso in considerazione il valore economico insito nelle informazioni personali può entrare in gioco anche il codice del consumo. GDPR e consumo Il regolamento generale sulla protezione

Leggi di più »

Consenso e “scrolling”

Le linee guida 5/2020 dell’EDPB sostituiscono le precedenti wp258 rev.01 sul consenso, emesse dal Gruppo di lavoro dell’articolo 29, anche se abbastanza recenti e già fatte proprie dal Comitato. Operazione chirurgica quasi più di stampo politico che giuridico, un “mettere le mani avanti”, considerato che

Leggi di più »

L’indagine app COVID-19 di House of Data Imperiali

L’indagine app COVID-19 di House of Data Imperiali Secondo un campione di esperti servono garanzie su app e utilizzo dei dati Poca affidabilità e rischi. Ecco cosa emerge dall’indagine su un gruppo di esperti realizzata dall’Osservatorio Data Protection riguardo al sistema pubblico che gestirà i

Leggi di più »

OdV231 autorizzato al trattamento?

In risposta a una specifica richiesta circa il ruolo soggettivo da assegnare all’Organismo di Vigilanza 231 in base alla disciplina sulla protezione dei dati personali, il Garante privacy ha rilasciato un parere in data 12 maggio 2020, pervenendo a conclusioni che suscitano perplessità. Sintesi La

Leggi di più »

Il conflitto d’interessi del DPO interno

Una delle regole fondanti per l’indipendenza del Responsabile per la protezione dei dati (DPO) è che esso non sia in conflitto d’interessi. Le linee guida wp243 rev.01 hanno precisato che il conflitto sussiste se e nei limiti in cui il DPO adotti decisioni in merito

Leggi di più »

Data breach: costi ed esperienze

Garante e IBM hanno prodotto due documenti riguardanti i data breach che forniscono interessanti suggerimenti tratti da esperienze ed offrono valutazioni degli impatti economici che conseguono alle violazioni di dati. La scheda informativa del Garante si concentra sul ransomware – «il programma che prende “in

Leggi di più »

Linee guida EDPB su app e localizzazione

L’emergenza COVID-19 ha concentrato su questo tema anche le attività del Comitato europeo che, nello spazio di pochi giorni: ha rilasciato il 14 aprile un proprio parere alla Commissione in merito al progetto di Linee-guida in materia di app a supporto della lotta contro la

Leggi di più »

App anti-COVID secondo la UE

Molto si discute sull’uso delle applicazioni mobili a supporto delle misure anti-contagio da COVID-19 e già sono state annunciate iniziative a livello sia nazionale (Immuni) sia regionale (AllertaLOM della regione Lombardia). Le app sono particolarmente rilevanti specie nella cosiddetta “fase 2”, man mano che sempre

Leggi di più »

App anti-COVID in salsa UE

Vi è un grande discutere in ambito nazionale e internazionale sull’uso della tecnologia in funzione anti-contagio da COVID-19. La tecnologia svolge una molteplicità di funzioni di supporto. Vi è quella a fini repressivi, al fine di verificare il rispetto delle limitazioni di movimento e il

Leggi di più »

Le 6 regole per il data breach

Nell’Alert di settimana scorsa si è visto che l’opportunismo degli hacker si avvantaggia delle emergenze, come si registra in questi tempi di Coronavirus. Molti sono i profili di aumentata vulnerabilità in questo frangente: lavorare fuori dal contesto aziendale, dove il livello di protezione – fisico

Leggi di più »

Sicurezza delle informazioni nell’emergenza COVID-19

L’emergenza è una minaccia in sè per la sicurezza delle informazioni e dei dati personali per diverse ragioni: perchè il tasso di attenzione collettiva è appannaggio degli effetti e delle cause dell’emergenza, perchè gli hacker – da buoni opportunisti – approfittano di queste situazioni di

Leggi di più »

COVID-19 non è l’unica minaccia

Immaginate una famiglia con più figli, i maggiori di età sono robusti, determinati; il più giovane, invece, è più accondiscendente, si fa da parte quando gli altri fanno valere le proprie ragioni ma la sua non è remissività perchè comunque egli è attento a che

Leggi di più »

Whistleblowing: prima sanzione del Garante

A seguito di una notifica per data breach dovuta alla temporanea potenziale visibilità in Internet dei nominativi di due segnalanti che si erano avvalsi del canale riservato di comunicazione per le denunce di illeciti, il Garante ha sanzionato un’Università titolare del trattamento, per omesse misure

Leggi di più »

Il back end del GDPR

I provvedimenti dell’autorità, si sa, fanno rumore soprattutto se, tramite essi, vengono irrogate sanzioni di ingente importo. Spesso, tuttavia, essi sono ricchi di indicazioni che, se letti in filigrana, possono offrire importanti insegnamenti riguardo ai comportamenti virtuosi  da parte delle imprese per un’adeguata applicazione delle

Leggi di più »

EDPB: documenti e indicazioni dalla 17a plenaria

La 17a sessione plenaria dell’EDPB ha rilasciato linee guida, pareri e documenti rilevanti nella materia della protezione dei dati personali. Linee guida Le linee guida riguardano: le linee guida 3/2019 sulle apparecchiature di videosorveglianza, in versione finale a completamento della procedura di consultazione pubblica il

Leggi di più »

Responsabilità tra titolare e responsabile

La seconda sanzione milionaria irrogata dall’autorità di supervisione nazionale contiene anch’essa numerosi profili di compliance che meritano di essere esaminati. Sintesi Il Garante privacy italiano ha reso noto un ulteriore provvedimento col quale è stata irrogata una sanzione amministrativa di circa 28 milioni di euro

Leggi di più »

Antitrust e Facebook: secondo round

Nel novembre 2018 l’Antitrust italiana (AGCM) ha sanzionato Facebook per un importo complessivo di 10 milioni di Euro per pratica scorretta avendo indotto la propria clientela (gli utenti del social) a ritenere che il relativo servizio fosse a titolo gratuito anzichè di natura commerciale, in

Leggi di più »

Le sanzioni GDPR del Garante fanno rumore

Il Garante privacy ha diffuso con un comunicato stampa la notizia di due significative sanzioni irrogate applicando le pertinenti prescrizioni del GDPR. Si tratta di violazioni compiute in tema di telemarketing e teleselling indesiderato (provv. n. 232 dell’11/12/2019, doc. web n. 9244365) e contratti non

Leggi di più »

L’intricata vicenda sui cookies

Si può sostenere con fondamento che non vi sia operatore, economico o meno, privato o pubblico, che non abbia un proprio sito web, di tipo istituzionale o per l’erogazione di servizi in rete. Di conseguenza, la disciplina sui cookie e su analoghi strumenti di tracciamento,

Leggi di più »

Whistleblowing: direttiva UE e parere Garante

In una delle ultime puntate dell’anno appena concluso ci eravamo intrattenuti sulle nuove linee dell’ANAC e si era data notizia della nuova direttiva UE sul tema. Oggi torniamo su questo importante argomento perchè nel frattempo la direttiva è stata pubblicata sulla gazzetta ufficiale dell’Unione, entrando

Leggi di più »

Best of 2019: tra apprensioni e aspettative

Cosa è stato il 2019 per la protezioone dei dati personali? Un anno importante in cui ha preso le mosse, di fatto, la piena applicazione del GDPR. Sintesi GDPR: la legge dell’anno Il 2019 è stato l’anno di prima applicazione del Regolamento europeo noto come

Leggi di più »