La necessità di “acculturamento” sull’IA acquisisce la dignità di specifica regolamentazione con l’avvento dell’AI Act, grazie all’articolo 4 intitolato “AI literacy”. L’AI literacy è considerata uno dei requisiti fondamentali per un’IA affidabile. L’articolo 4 dell’AI Act, insieme al correlato Considerando (20) e alla definizione dell’art.

Il tema degli incidenti di sicurezza, comunemente noto come “data breach”, è regolamentato da una complessa rete di norme che spaziano dal diritto dell’Unione Europea al diritto nazionale. Il GDPR impone obblighi stringenti ai titolari e ai responsabili del trattamento dei dati, in materia di

Il GDPR stabilisce tra i principi di liceità, quello di limitazione della conservazione. Tra le basi giuridiche che declinano questi principi, assume un ruolo significativo il consenso dell’interessato. Ci sono molte domande sulla conservazione dei dati e il consenso al trattamento, tra cui: Quanto tempo devono

Il Regolamento (UE) 2024/2847, noto come Cyber Resilience Act (CRA), delinea un percorso strutturato per i fabbricanti che desiderano commercializzare tali prodotti. Tale percorso può essere schematicamente riassunto in quattro fasi principali. Questi quattro passi rappresentano l’ossatura del processo che i fabbricanti di prodotti con elementi

Nella puntata dell’Editoriale del 25 gennaio 2025 abbiamo analizzato il concetto di “assetti adeguati” in ambito aziendale, specialmente per la cybersecurity e la protezione dei dati. Abbiamo visto come un’organizzazione ben strutturata, definita da assetti interni, ruoli, compiti, direttive, valutazioni, procedure e controlli, sia cruciale per l’efficienza e la conformità.

In questa puntata diamo evidenza di modalità operative per una corretta conformità al GDPR, spesso disattese. Diversi provvedimenti del Garante, riguardanti casistiche distinte, evidenziano le modalità operative da seguire per assicurare la conformità al Regolamento. Come illustrato successivamente, questi aspetti apparentemente secondari, influiscono significativamente sulla

Per una singolare coincidenza, il 5 marzo 2025 entrambe le gazzette ufficiali, quella dell’Unione e quella italiana, hanno pubblicato rispettivamente importanti atti normativi in merito alla condivisione dei dati sanitari: il Regolamento (UE) sullo spazio comune dei dati sanitari elettronici (“EHDS”), nell’Official Journal, e il decreto

Riprendiamo l’analisi delle principali norme sulla cibersicurezza. Nel corso dell’Alert del 10 ottobre 2024 si era fornita una panoramica delle principali caratteristiche delle norme sulla sicurezza cibernetica. In questa tornata affrontiamo l’ambito applicativo e i punti strategici di ciascuna norma. Ambito di applicazione delle norme sulla

Varato il primo spazio comune dei dati europeo. Il regolamento sullo spazio europeo dei dati sanitari, inclusivo dei dati genetici, è il Regolamento (UE) 2025/327(“EHDS”), dell’11 febbraio 2025 che ha per oggetto l’accesso e la condivisione dei dati sanitari elettronici, sia a livello nazionale che infra-unionale.

Il Cyber Resilience Act – regolamento (UE) 2024/2847 del 23 ottobre 2024 (“CRA”) – stabilisce requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali. In questa tornata esamineremo le prescrizioni relative alla dovuta diligenza e alla gestione delle vulnerabilità. In puntate successive, analizzeremo i passi del

Il tema della pseudonimizzazione sta acquistando rilevanza negli ultimi tempi. Il Comitato europeo ha rilasciato le linee guida 01/2025 insieme a un documento di sintesi su quando e come attuare la pseudonimizzazione, in consultazione pubblica sino al 14 marzo 2025. La sentenza del Tribunale europeo del 26 aprile 2023 (nella causa T-557/20) –

Nell’Alert del 9 gennaio 2025 abbiamo ripercorso una panoramica del Cyber Resilience Act (Reg. (UE) 2024/2847) del 23 ottobre 2024. In questa sessione esamineremo in dettaglio alcuni aspetti applicativi, come l’ambito di applicazione della legge, i principali obblighi degli operatori economici, i requisiti essenziali per la

Nell’Editoriale del 16 gennaio 2025 sono stati esaminati alcuni provvedimenti del Garante che si sono concentrati sul tema delle basi giuridiche in materia di telemarketing e teleselling. In questa puntata, riprendiamo il tema, in quanto nei casi Fastweb, Sky, Illumia ed E.ON, oggetto di recenti provvedimenti

Dal 2 febbraio 2025 decorre l’applicazione delle prime prescrizioni dell’AI Act: alfabetizzazione (art. 4) e sistemi IA proibiti (art. 5). Quindi, un divieto (i sistemi AI inaccettabili) e un obbligo (l’AI literacy). Sintesi Il regolamento sull’intelligenza artificiale (AI Act) rappresenta un pilastro fondamentale nella strategia

L’assetto organizzativo di un’impresa rappresenta un elemento cruciale per il raggiungimento di qualsiasi obiettivo imprenditoriale, sia esso legato alla conformità normativa o all’adozione di un approccio qualitativo agli affari. Un’organizzazione ben strutturata non solo contribuisce a migliorare l’efficienza operativa e la qualità dei servizi offerti,

Nel contesto della protezione dei dati personali, i provvedimenti adottati dal Garante non sempre contengono tutti gli elementi di interesse nella parte dispositiva del provvedimento stesso. Spesso, informazioni rilevanti a fini formativi si trovano nella descrizione dei fatti o nei riscontri forniti dalla parte coinvolta,

L’uso delle numerazioni per chiamate promozionali costituisce una comunicazione elettronica che interferisce con la riservatezza di utenti e contraenti e, in quanto tale, entra nell’ambito applicativo della cosiddetta direttiva ePrivacy e delle norme nazionali di recepimento. Il legislatore italiano ha recepito i principi della direttiva

La Gazzetta ufficiale dell’UE del 20 novembre 2024 ha pubblicato il Cyber Resilience Act (CRA o Regolamento sulla ciberresilienza), cioè, il regolamento 2024/2847 del 23 ottobre 2024 dell’Unione Europea. Questo è un altro passo importante nel quadro normativo dell’UE sulla cibersicurezza, basato sul Cyber Security Act e sulla direttiva

Il parere 22/2024 dell’EDPB del 9 ottobre 2024 risponde alle domande dell’autorità di controllo danese sugli obblighi derivanti dall’articolo 28 e dal capitolo V del GDPR sui trasferimenti di dati verso paesi terzi. In questa puntata conclusiva di analisi del documento esaminiamo gli aspetti relativi

Le attività delle consegne a domicilio tramite piattaforma di prenotazione online erano già state sotto la lente del Garante nel 2019, culminate nei provvedimenti contro Deliveroo (provv. del 22 luglio 2021, doc. web n. 9685994) e Foodinho. Nel caso Foodinho, il provvedimento n. 234 del

Nella scorsa puntata dell’Editoriale del 28 novembre 2024 è stato esaminato il parere 22/2024 dell’EDPB del 9 ottobre 2024 con cui il Comitato ha risposto alle domande poste dall’autorità di controllo danese sugli obblighi derivanti dall’articolo 28, in combinazione con il capitolo V del GDPR sui trasferimenti di

Le linee guida EDPB 1/2024 sul trattamento dei dati personali basato sull’Articolo 6(1)(f) GDPR, forniscono un quadro dettagliato per valutare quando il trattamento dei dati personali può essere giustificato da un interesse legittimo, assicurando al contempo la protezione dei diritti e delle libertà degli interessati.

Il Garante danese ha richiesto al Comitato Europeo per la Protezione dei Dati (EDPB) di fornire un’opinione sugli obblighi derivanti dall’Articolo 28, in combinazione con il Capitolo V del GDPR (Parere 22/2024). L’attenzione è rivolta ai doveri dei titolari che si affidano a responsabili e

La Commissione europea ha rilasciato in data 6 settembre 2024 un documento contenente una raccolta di domande frequenti riguardanti il Data Act (Regolamento (UE) 2023/2584), che stabilisce regole armonizzate per garantire l’equità nella distribuzione del valore generato dai dati tra gli attori del mercato, salvaguardando gli interessi di coloro

Nell’Editoriale del 21 marzo 2024 si era dato conto di tre pronunce della CGUE che hanno precisato alcuni importanti aspetti dei concetti generali di “trattamento” e di “dato personale”. Alcune delle considerazioni della Corte hanno valenza generale, altre vanno contestualizzate al caso sottoposto all’attenzione dei giudici del Lussemburgo.

Il caso C-446/21 presso la Corte di giustizia della UE vede come protagonisti Maximilian Schrems, noto attivista per la privacy, e Meta Platforms Ireland Ltd, la società responsabile delle operazioni di Facebook in Europa. Questa controversia rappresenta un momento rilevante nel dibattito continuo sul modello economico basato

La Cassazione, sezione lavoro, con ordinanza n. 15391/2024, è intervenuta su una vicenda lavorativa che ha comportato il licenziamento disciplinare di un lavoratore per presunti inadempimenti, comprovati anche tramite i dati desunti dal dispositivo telepass applicato all’auto aziendale, fornita dall’azienda in dotazione al dipendente per lo

Il Decreto Legislativo n. 144 del 2024, pubblicato il 10 ottobre 2024 e che entra in vigore il 25/10/2024, adegua la normativa italiana alle disposizioni del Regolamento (UE) 2022/868, noto come Data Governance Act (DGA).  Il regolamento DGA ha l’obiettivo di migliorare le condizioni per

Il 20 maggio 2024 il Governo ha presentato al Senato il disegno di legge AS 1146 di iniziativa governativa recante “Disposizioni e delega al Governo in materia di intelligenza artificiale”. Il DDL è attualmente in corso di esame in commissione. Il Garante è stato auditato

La nuova strategia per la sicurezza cibernetica della Ue – oggetto della Comunicazione della Commissione del settembre 1997 intitolata “Resilienza, deterrenza e difesa: verso una cibersicurezza forte per l’UE” – mira a rafforzare la resilienza degli Stati membri agli attacchi informatici e di creare un

Riprendiamo in questa tornata l’analisi delle contestazioni sollevate con il provvedimento dell’autorità del 6 giugno 2024 contro ENI Plenitude, in materia di telemarketing e teleselling (doc. web n. 10029424) aggiungendovi alcune riflessioni originate dal successivo provvedimento, sempre relativo al settore energetico, contro Hera Comm del

Nella newsletter n. 526 del 9 agosto 2024 (doc. web n. 10043752), il Garante dà notizia di due provvedimenti con cui l’autorità ha sanzionato una banca – per 1 milione di euro – e una società di leasing – per 250 mila euro – per

Il 20 maggio 2024 il Governo ha presentato al Senato il disegno di legge AS 1146 di iniziativa governativa recante “Disposizioni e delega al Governo in materia di intelligenza artificiale”. Il DDL è attualmente in corso di esame in commissione. Il Garante è stato auditato

La legge n. 193/2023 ha introdotto nel nostro ordinamento il diritto all’oblio oncologico, oggetto dell’Alert del 4 gennaio 2024 ed a cui si rinvia per una panoramica generale del nuovo istituto. Ritorniamo su questo tema per alcuni recenti aggiornamenti, sia esplicativi sia di integrazione normativa che interessano

Il 20 maggio 2024 il Governo ha presentato al Senato il disegno di legge AS 1146 di iniziativa governativa recante “Disposizioni e delega al Governo in materia di intelligenza artificiale”. Il DDL è attualmente in corso di esame in commissione. Il Garante è stato auditato

Il Comitato europeo per la protezione dei dati personali (“EDPB”) ha rilasciato, in data 16 luglio 2024, la dichiarazione 3/2024 sul ruolo delle autorità di protezione dei dati personali nel quadro dell’AI Act. Il regolamento (UE) 2024/1689 sull’intelligenza artificiale (“AI Act”), pubblicato sul GUCE del

I provvedimenti sanzionatori adottati dall’autorità nei confronti di ENI (già ENI Gas e Luce “EGL” e oggi ENI Plenitude) evidenziano alcuni aspetti di rilievo della disciplina anche di carattere generale e non solo in ambito telemarketing. Già nel 2019 EGL era stata destinataria di due

Nell’Alert del 30 maggio 2024 sono stati analizzati i primi articoli della Convenzione Quadro sull’IA del Consiglio d’Europa relativi a disposizioni e obblighi generali. La Convenzione sarà aperta alla firma degli Stati, in occasione della riunione di Vilnius (Lituania) il 5 settembre 2024. Proseguiamo con

Si conclude con questa puntata l’analisi sul principio di limitazione della conservazione esaminato secondo i seguenti diversi profili: Natura della conservazione dei dati personali e principio di riduzione della durata di conservazione al minimo necessario per il perseguimento della finalità lecita (Editoriale del 9 maggio

Nell’Editoriale del 22 febbraio 2024 era stato esaminato il documento di indirizzo del Garante divulgato con la newsletter del 6 febbraio 2024 in merito alla raccolta e conservazione dei metadati dei servizi di posta elettronica del personale aziendale. Successivamente l’Autorità, tornando sui propri passi, aveva

La complessa decisione (ben 260 pagine) della Gran Camera della Corte europea dei diritti umani (CtEDU) sul caso Verein Klimaseniorinnen Schweiz and others v. SWITZERLAND del 9 aprile 2024 costituisce una pietra miliare nel processo di integrazione della tutela ambientale e, nello specifico, delle misure

Il rapporto del Quadro di Applicazione Coordinata (CEF) sul DPO, promosso dall’EDPB e adottato il 16 gennaio 2024, aggrega le conclusioni delle autorità di controllo partecipanti, con particolare attenzione alle sfide identificate in questo ambito, come risorse insufficienti per i DPO, mancanza di conoscenze ed

Nelle precedenti puntate dell’Editoriale sono stati esaminati i seguenti profili in materia di conservazione dei dati personali: Inclusione della conservazione dei dati tra le operazioni di trattamento e la limitazione della conservazione per l’arco temporale minimo necessario al perseguimento della finalità dichiarata (Editoriale del 9

A seguito di due anni di lavori – arco di tempo abbastanza limitato per un trattato internazionale – il 17 maggio 2024, durante la riunione annuale del Comitato dei Ministri del Consiglio d’Europa, è stata approvata la convenzione sull’intelligenza artificiale (“IA”), primo trattato internazionale legalmente

L’Editoriale del 9 maggio 2024 ha ricordato che la conservazione è un’operazione di trattamento e che i dati personali vanno conservati per un tempo limitato, anzi, per l’arco temporale minimo necessario al perseguimento della finalità dichiarata. In questa tornata ci soffermiamo sul valore giuridico della

Il decreto-legge per l’attuazione del Piano nazionale di ripresa e resilienza (cosiddetto “Decreto PNRR” Dl. 2 marzo 2024 n. 19, convertito con modificazioni dalla legge n. 56/2024), ha disposto con l’articolo 44.1-bis, la modifica degli articoli 2-sexies e 110 del codice privacy. Entrambe le modifiche

In questa puntata affrontiamo uno degli aspetti più spinosi della disciplina sulla protezione dei dati personali: la conservazione dei dati e, in particolare, la limitazione dei tempi di conservazione dei dati personali.  Non è tanto il principio in sé a risultare complesso – secondo cui

Il Comitato europeo (EDPB) in data 17 aprile ha rilasciato l’atteso parere 08/2024 in merito alla conformità al GDPR della modalità “paga o acconsenti” all’uso dei dati personali per pubblicità comportamentale, cui da tempo fanno ricorso gestori di grandi piattaforme online e fornitori di media

Con la puntata odierna in materia di responsabilità completiamo l’analisi giuridica sulla triade adeguatezza, accountability e responsabilità, riguardo alla disciplina sulla protezione dei dati personali. Adeguatezza L’adeguatezza – come indicato nell’Editoriale del 25 gennaio 2024 – è l’elemento su cui si rapporta il livello di

La newsletter numero 520 del 28 Marzo 2024 del Garante rende noto l’emissione di ben 5 provvedimenti dell’autorità a carico di altrettante aziende che hanno riguardato la realizzazione e l’operatività di un impianto di riconoscimento facciale per rilevare le presenze sul posto di lavoro da

Il perimetro applicativo del principio di accountability non è quello della mera dimostrazione di quanto eventualmente affermato dal titolare del trattamento in termini di conformità al GDPR, infatti, l’accountability consiste in un duplice obbligo: Ottemperare ai principi generali («Il titolare (…) è competente per il

Nell’Alert del 29 febbraio 2024 si è data notizia del completamento del codice di condotta per le Agenzie per il Lavoro (“APL”) soffermandoci sulle basi giuridiche individuate per i trattamenti tipici dei dati del personale, in quanto esse possono fornire utili indicazioni a qualsiasi datore di lavoro che

Tre pronunce della CGUE hanno precisato alcuni importanti aspetti dei concetti generali di “trattamento” e di “dato personale”. Alcune delle considerazioni della Corte hanno valenza generale, altre vanno contestualizzate al caso sottoposto all’attenzione dei giudici del Lussemburgo. Le pronunce sono state tutte emesse il 7

L’argomento del Parere 04/2024, emesso dallo European Data Protection Board (EDPB) il 13 febbraio 2024, è la nozione dello stabilimento principale di un titolare del trattamento nell’Unione ai sensi dell’articolo 4(16)(a) del GDPR. È stata l’autorità di controllo francese (CNIL) a richiedere il parere all’EDPB;

Con comunicato stampa del 29 Febbraio 2024 il Garante privacy ha reso noto l’emissione di un proprio provvedimento sanzionatorio di oltre 79 milioni di euro contro Enel Energia per violazioni dei trattamenti a fini di telemarketing (doc web n. 9988710). Il valore della sanzione è il più

Nella newsletter del 14 febbraio 2024 il Garante privacy informa dell’approvazione del codice di condotta per le agenzie per il lavoro*. Come precisato nel comunicato, «il codice definisce le buone prassi per il corretto trattamento dei dati effettuato nell’ambito delle attività di intermediazione ricerca e

* Il Garante con successivo provvedimento ha sospeso gli effetti giuridici del documento di indirizzo, avviando una consultazione pubblica da concludersi entro 30 giorni. Ha suscitato clamore il documento di indirizzo del Garante divulgato con la newsletter del 6 febbraio 2024 in merito alla raccolta

Nel gennaio 2024 l’EDPB ha pubblicato il rapporto sulla designazione e la posizione dei DPO, come risultato dell’Azione Coordinata di Applicazione (Coordinated Enforcement Action “CEA”) svolta nel 2023, nell’ambito del Quadro Coordinato di Applicazione (Coordinated Enforcement Framework “CEF”) indetto nel 2022. In precedenza, lo stesso

Come noto, l’obiettivo del Data Act – precisato al Considerando (4) dello stesso – è quello di «stabilire un quadro armonizzato che specifichi chi ha il diritto di utilizzare i dati di un prodotto o di un servizio correlato, a quali condizioni e su quale

La newsletter del 24 gennaio 2024 dell’autorità di controllo italiana sulla protezione dei dati reca la notizia di tre provvedimenti con connesse ordinanze sanzionatorie contro altrettante ASL del Friuli. Il merito delle contestazioni è identico e riguarda un trattamento di stratificazione statistica di un set

Il termine “adeguatezza” e gli altri vocaboli con la medesima radice sono presenti 113 volte nel testo italiano del GDPR. L’adeguatezza è sinonimo di “proporzionalità” cioè, essere in giusta relazione con l’elemento di raffronto. L’adeguatezza del GDPR non è una caratteristica presente nel mondo materiale

Alcune decisioni della Corte di Giustizia UE forniscono ulteriori chiarimenti interpretativi sulla risarcibilità dei danni derivanti da trattamenti di dati personali, in base a quanto previsto dall’articolo 82 del GDPR. Articolo 82 del GDPR L’articolo 82, paragrafo 1, del GDPR così recita: «Chiunque subisca un

La Gazzetta ufficiale dell’Unione ha pubblicato l’atteso regolamento sui dati (“Data Act”). Dopo il Data Governance Act, il Data Act è il secondo più rilevante intervento normativo di carattere orizzontale cioè, applicabile a qualsiasi settore, della Strategia UE sui dati promossa dalla Commissione per il

Il 18 dicembre 2023 la gazzetta ufficiale ha pubblicato la legge n. 193/2023 che introduce nel nostro ordinamento il diritto all’oblio oncologico. Viene così a conclusione positiva un’iniziativa parlamentare promossa da più fonti, già nella trascorsa legislatura, e con il voto unanime delle forze politiche.

Con comunicato stampa del 12 dicembre 2023 l’Autorità ha reso noto l’adozione di linee guida sulle funzioni crittografiche realizzate insieme all’Agenzia per la cybersicurezza nazionale (ACN), in particolare, in materia di conservazione delle password. Le linee guida sono state adottate con provvedimento del Garante del

Il Comitato europeo (EDPB) ha reso pubblica la decisione vincolante d’urgenza adottata il 27 ottobre 2023 (DVU) con cui si dispone l’adozione di misure definitive nei riguardi di Meta IE in relazione ai trattamenti di dati personali per finalità di pubblicità comportamentale da questa operati

La newsletter del Garante del 27/11/2023 dà notizia del provvedimento del 26 ottobre (doc. web n. 9954881), interpretativo in materia di esercizio del diritto di accesso da parte degli eredi ai dati di soggetti deceduti. L’intervento del Garante, che opportunamente traccia il percorso normativo e

Riprendiamo l’analisi delle implicazioni che lo sviluppo di strumenti di intelligenza artificiale (“IA”) genera nell’ambito della protezione dei dati personali, proseguendo sulle direttrici tracciate nel corso del precedente Editoriale del 16 novembre 2023. L’acquisizione di un set di dati da parte dello sviluppatore, al fine di

Il 14 novembre 2023 l’EDPB ha pubblicato le linee guida 2/2023 sull’ambito applicativo della norma sulla protezione del terminale dell’utente o abbonato, di cui all’articolo 5, paragrafo 3, della direttiva 2002/58/CE. Come di consueto, le linee guida sono sottoposte a consultazione pubblica per un periodo

Gli strumenti di intelligenza artificiale (IA) sono al centro dell’attenzione generale, sia per le innumerevoli opportunità che offrono sia per gli impatti che possono causare sugli individui e sulla collettività. A vari livelli sono state proposte o sono già state emanate regole vincolanti o raccomandazioni

Si sa che i criminali approfittano delle condizioni favorevoli; la natura con le sue regole elementari ma intramontabili, ci insegna che l’animale predatore fa leva su due caratteristiche: destrezza e vulnerabilità. Lo stesso vale, al di fuori della metafora, per i criminali informatici. Durante la

Il decreto legislativo n. 24 del 2023, dando attuazione alla direttiva UE 2019/1937, ha attuato nell’ordinamento giuridico italiano una disciplina orizzontale delle segnalazioni di illeciti (c.d. whistleblowing) non più marcatamente scissa tra l’ambito pubblicistico – regolato all’interno del Testo unico per gli enti pubblici (D.lgs.

Il provvedimento del Garante del 14 settembre 2023 (doc. web n. 9936174) ha come oggetto il diritto di accesso previsto dal regolamento sulla protezione dei dati. Gli aspetti che sono stati toccati non sono nuovi ma offrono l’opportunità di meglio contestualizzare i diversi profili di

Con una recente decisione, la Cassazione si è pronunciata in tema di legittimità, riguardo a giudizi di merito relativi a casi aventi ad oggetto strumenti di intelligenza artificiale. Questa sentenza – a parere di chi scrive – evidenzia come l’approccio giurisprudenziale in questo ambito non

Nell’ultimo anno solare (ottobre 2022 – ottobre 2023) la Corte di giustizia UE (CGUE) ha emesso decisioni interpretative di numerosi passaggi del GDPR, dell’ePrivacy e della direttiva 2016/680.  Le pronunce della CGUE aiutano ad una lettura corretta delle prescrizioni normative, facendo chiarezza su aspetti che

Il decreto legislativo n. 24/2023 – attuativo della direttiva (UE) 2019/1937 – in materia di whistleblowing e le conseguenti linee guida ANAC per le procedure di presentazione e gestione delle segnalazioni esterne, in primo luogo, disciplinano il fenomeno delle segnalazioni di potenziali illeciti di cui

In questa legislatura, 2019-2024, l’Unione Europea si è contraddistinta per un notevole dinamismo nella definizione di atti legislativi direttamente o indirettamente collegati alla strategia dell’UE sui dati. Il panorama delle norme dell’Unione Europea in questo ambito è ampio e comprende atti che sono stati promulgati,

Il responsabile per la protezione dei dati (DPO) svolge un importante ruolo di vigilanza in merito al rispetto delle prescrizioni di legge e alle politiche sul tema eventualmente adottate dal soggetto che lo ha nominato, sia esso il titolare del trattamento o il responsabile del

Assetto normativo La direttiva (UE) 2019/1937 obbliga gli Stati membri ad adottare nei propri ordinamenti specifici principi direttivi per una regolamentazione orizzontale del fenomeno delle segnalazioni, denunce o divulgazioni pubbliche di situazioni contrarie alla legge di cui lavoratori e collaboratori vengono a conoscenza in occasione

Il nuovo accordo UE-USA sul trasferimento verso gli Stati Uniti di dati personali di soggetti UE – noto come Data Privacy Framework (“DPF”) – è stato oggetto della decisione di adeguatezza da parte della Commissione UE il 10 luglio 2023. Con questo atto della Commissione,

Riprendiamo e completiamo l’analisi dei provvedimenti del Garante annunciati nella newsletter del 28 giugno 2023 (doc. web n. 9903191) ricchi di spunti non solo in ambito marketing ma anche come occasione per ribadire o precisare regole generali applicabili in numerosi contesti operativi. La precedente puntata

Riprendiamo l’analisi di pronunce pregiudiziali della CGUE in materia di diritto di accesso, pubblicate nel primo semestre del 2023; nello specifico, emesse: Nella causa Crif, C-487/21, del 4 maggio 2023 sul diritto di accesso, sulla nozione di “copia” e su quella di “informazioni” da fornire

La newsletter del Garante del 28 giugno 2023 (doc. web n. 9903191) menziona alcuni provvedimenti adottati dall’Autorità ricchi di spunti non solo in ambito marketing ma anche come occasione per ribadire o precisare regole generali applicabili in numerosi contesti operativi. La lettura di questi provvedimenti

Il GDPR riconosce all’interessato specifici diritti per assicurargli il controllo sull’uso dei propri dati personali agli articoli da 15 a 22. Questi diritti, attribuiti all’interessato grazie alla previsione contenuta nel regolamento, vanno tenuti distinti dai diritti fondamentali che, viceversa, non necessitano di apposito conferimento in

La Corte di Giustizia della UE (CGUE) il 4 maggio 2023 ha emesso la sentenza sul rinvio pregiudiziale oggetto della causa C-60/22, UZ c. Bundesrepublik Deutschland. I quesiti posti alla CGUE hanno riguardato i seguenti aspetti del GDPR: Se l’omessa tenuta del registro delle attività

Il 24 maggio 2023 l’EDPB ha rilasciato la versione aggiornata delle linee guida 04/2022 – relative alle modalità di calcolo delle sanzioni pecuniarie amministrative – che recepiscono alcune indicazioni emerse dalla consultazione pubblica. Oltre a variazioni di natura meramente formale, la maggiore modifica riguarda: il

L’intelligenza artificiale (“IA” o “AI”, secondo l’acronimo inglese) ha assunto una tale rilevanza nel dibattito a livello globale che non passa giorno senza una molteplicità di articoli e interviste giornalistiche, rapporti scientifici, interventi di autorità e istituzioni pubbliche. Difficile districarsi tra questo profluvio informativo e

Il 25 maggio 2023 l’avvocato generale ha presentato le proprie conclusioni relative alla causa C-667/21 sulla domanda pregiudiziale inoltrata alla CGUE da parte della Corte federale tedesca del lavoro. Molte delle conclusioni si situano nel solco di precedenti pronunce della stessa Corte o rappresentano evoluzioni

Torniamo sulla decisione del Tribunale europeo del 26 aprile 2023 in merito alla controversia intervenuta tra l’agenzia europea (Comitato di risoluzione unico – CRU) e l’EDPS riguardo all’impugnazione di una decisione del Supervisore europeo contro lo stesso CRU per presunta violazione degli obblighi di informazione

Il 9 maggio 2023 la Camera della Corte Europea dei diritti umani (CtEDU) ha emesso una decisione nella causa n. 31172/19 che potrebbe porre fine a un contenzioso durato più di una decade che ha riguardato, da un lato, la comunità dei Testimoni di Geova

Il Tribunale incardinato nella Corte di giustizia dell’Unione europea, detto anche Tribunale europeo, ha deciso in data 26 aprile 2023 in merito a una controversia intervenuta tra un’agenzia europea (Comitato di risoluzione unico – CRU) e l’EDPS riguardo all’impugnazione di una decisione del Supervisore europeo

Il Comitato europeo (EDPB) ha rilasciato una guida di conformità al GDPR per le piccole e medie imprese. In essa merita essere sottolineata, per chiarezza di sintesi, la tabella dell’ambito applicativo dei diritti privacy in relazione alle basi giuridiche dei trattamenti di dati personali.  La

Con sentenza del 13 marzo 2023 n. 7214, la Corte di Cassazione ha deciso conclusivamente in merito a un contenzioso di natura bancaria che ha visto contrapposti un istituto finanziario e alcuni suoi correntisti in merito alla responsabilità per accesso abusivo a un conto corrente

Il codice di condotta (“cdc”) per telemarketing e teleselling approvato dal Garante con provvedimento n. 70 del 9 marzo 2023 (doc. web n. 9868813) attende, per l’entrata in vigore, l’accreditamento dell’Organismo di Monitoraggio (OdM) da parte dell’autorità e, a seguire, il decorso di 15 giorni

Profilazione, decisioni automatizzate, algoritmi e intelligenza artificiale presuppongono la disponibilità di grandi quantitativi di dati, personali e non. L’interrogativo principale di questa fase tecnologica, quindi, è la ricerca delle fonti di dati da cui attingere, fonti attendibili, accurate, facilmente disponibili. Le istituzioni europee, dopo aver

La stesura finale del codice di condotta per le attività di telemarketing e teleselling – dopo il 21 luglio 2022 – è stata sottoposta a consultazione pubblica e, di seguito, sottoposta all’approvazione del Garante, intervenuta con provvedimento n. 70 del 9 marzo 2023 (doc. web

Il 20 febbraio 2023 l’EDPB ha rilasciato il Digesto sul diritto di opposizione e di cancellazione, a firma del prof. Mantelero, cioè un compendio di evidenze tratte da decisioni adottate nell’ambito del meccanismo di cooperazione (“sportello unico” o “one-stop-shop”) e pubblicate sul pertinente Registro dell’EDPB.

Il 15 marzo 2023 il Comitato europeo sulla protezione dei dati personali ha lanciato la seconda azione di applicazione coordinata, dopo la precedente del 2022, relativa alla designazione e al posizionamento del DPO all’interno dell’organizzazione di aziende ed enti. Si vuole accertare, tramite la diffusione

Giorni orsono un amico mi chiedeva conferma del fatto che per la liceità del trattamento delle categorie particolari di dati personali – ma il tema riguarda anche i dati “giudiziari” dell’articolo 10 – fosse effettivamente necessario individuare anche una specifica base giuridica, in aggiunta alla

Il principio di accountability impone al titolare di dimostrare la propria conformità alle prescrizioni del GDPR, stabilendo una generale inversione dell’onere della prova. Questa conclusione è vera soprattutto nei rapporti tra titolare e autorità di supervisione e, in misura più contenuta, nelle interazioni tra titolare

A seguito della consultazione pubblica, il 14 febbraio 2023, l’EDPB ha rilasciato la versione 2 delle linee guida 03/2022 sui modelli di progettazione ingannevole nelle interfacce delle piattaforme di social media. Come di consueto, poche sono le modifiche intervenute rispetto alla versione 1, a partire

Un provvedimento dell’autorità danese sulla protezione dei dati personali, in merito alle operazioni effettuate da un data broker per finalità di marketing, ha affrontato aspetti innovativi e di interesse. In sintesi, il provvedimento ha risposto ai seguenti interrogativi: Se un data broker acquisisce dati personali

Numerose sono le prescrizioni di DGA, DMA, DSA e della proposta EHDS che intersecano quelle del GDPR venendo a realizzare su vari temi una disciplina composita, proveniente da più fonti. In questa tornata ci soffermiamo sulle novità in tema di: Minori Valutazione del rischio  Profilazione

La direttiva (UE) 2019/1937 sul whistleblowing – cioè in materia di segnalazioni ad opera di persone fisiche riguardanti violazioni di cui si è venuti a conoscenza nel contesto lavorativo – introduce una regolamentazione dell’istituto uniforme e armonizzata tra i vari settori. La direttiva doveva essere

Numerose sono le prescrizioni di DGA, DMA, DSA, e delle proposte di regolamento EHDS e AI Act che intersecano quelle del GDPR venendo a realizzare su vari temi una disciplina composita, proveniente da più fonti. In questa tornata ci soffermiamo sulle novità in tema di:

La International Organization for Standardization (ISO) ha reso noto che il 7 febbraio 2023 adotterà il principio “Privacy by design” – o protezione dei dati sin dalla progettazione – come standard ISO 31700.   Valutazione di conformità Inizialmente, l’ISO 31700 non sarà uno standard utilizzabile

I fenomeni dell’intelligenza artificiale (“AI”), dell’apprendimento automatico (“ML”), del metaverso sono tutti caratterizzati dalla necessità di una significativa quantità di dati: fenomeno detto big data. Più precisamente, AI, ML e metaverso sono applicazioni o contesti applicativi che presuppongono, come condizione essenziale di funzionamento, grandi quantità

Il controllo dell’attività lavorativa tramite strumenti automatizzati è uno di quei profili giuridici che maggiormente differenzia le impostazioni del diritto europeo rispetto a quello statunitense. Negli USA, volendo semplificare, si riconosce prevalenza al potere direttivo dell’imprenditore e alla tutela della proprietà aziendale.  Nei Paesi dell’Unione,

Numerose sono le prescrizioni di DGA, DMA, DSA e della proposta EHDS che intersecano quelle del GDPR venendo a realizzare su vari temi una disciplina composita, proveniente da più fonti.  In questa tornata ci soffermiamo sulle novità in tema di rappresentante UE, intermediazione dei dati,

Il provvedimento del Garante privacy su Clubhouse, col quale è stata irrogata una sanzione di € 2 milioni, è ricco di indicazioni utili per l’attuazione operativa degli obblighi del GDPR. Ne riportiamo di seguito una sintesi di quelli che sono sembrati maggiormente rilevanti.   Caratteristiche

Il 24 novembre 2022 si è tenuto il webinar “UK e UE tra economia del dato e tutela dei diritti: conflitti e opportunità” organizzato da Officine Dati. Il Regno Unito sta discutendo la riforma del UKGDPR, il recepimento nell’ordinamento nazionale del regolamento UE post Brexit.

Il 20 ottobre 2022 l’autorità di controllo italiana ha emesso un provvedimento sanzionatorio per 1.4 milioni di euro per trattamenti di dati personali per finalità di marketing non conformi alla disciplina del GDPR sotto molteplici profili.   Questo articolato provvedimento consente di ricavare alcune utili regole

Nelle precedenti puntate si è osservato come, per il diritto UE, non solo il diritto alla protezione dei dati personali sia un diritto fondamentale ma anche l’importanza degli ulteriori diritti fondamentali per la disciplina data protection (Editoriale del 6/10/2022 – Consultabile con abbonamento). Successivamente, si

Ha fatto scalpore la notizia dell’accordo siglato da Google e dal procuratore generale della Pennsylvania per chiudere un’inchiesta dei procuratori generali di 40 Stati statunitensi in merito alle pratiche aziendali sull’uso dei dati di localizzazione degli utenti, ritenute ingannevoli e scorrette.   Origini dell’inchiesta Le

La strategia UE sui dati ha molti punti di contatto con la disciplina sulla protezione dei dati personali e il GDPR.  In aggiunta al GDPR e alla Direttiva ePrivacy che è tuttora in fase di aggiornamento come Regolamento ePrivacy, oltre che alla direttiva di polizia

Il flusso di dati personali verso paesi terzi (cioè non appartenenti all’UE/SEE) è stato disciplinato dalla direttiva 95/46/CE al fine di evitare che il trasferimento possa vanificare le garanzie ed i diritti che la normativa comunitaria pone a tutela dei soggetti interessati. Il GDPR, in

Il Comitato europeo (EDPB) ha rilasciato in data 10 ottobre 2022 le linee guida 09/2022 sull’obbligo di notificazione del data breach all’autorità di supervisione, sottoponendole a una consultazione pubblica “mirata”. Queste linee guida riprendono e sostituiscono le precedenti wp250 rev.01 sullo stesso tema, emesse dal

Il 7 ottobre 2022 il presidente Biden ha firmato un executive order (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities – “EO”) riguardo alle nuove garanzie previste nell’ambito dell’accordo politico USA-UE per il trasferimento di dati personali e, in particolare, per gli

Il GDPR ha come obiettivo la protezione dei diritti fondamentali dell’individuo, in particolare, il diritto alla protezione dei dati personali. Il rispetto dei diritti fondamentali costituisce la condizione essenziale di liceità del trattamento per la conformità al principio di liceità sancito all’articolo 5(1)(a).  Diritti e

Negli Stati Uniti un Chief Security Officer (CSO) è stato ritenuto colpevole di un paio di reati per aver sottaciuto alla Federal Trade Commission che l’azienda di appartenenza aveva subito un data breach da parte di hackers.  Agli hackers, in seguito, era stato pagato un

La disciplina a protezione dei dati personali, tutela le persone tramite i diritti e le libertà fondamentali di queste ultime, in particolare il diritto alla protezione dei dati personali che li riguardano.   Il diritto alla protezione dei dati personali, in aggiunta alla natura di diritto

La pubblicazione della decisione vincolante dell’EDPB in merito alla composizione della controversia insorta tra l’autorità irlandese – in qualità di autorità capofila (LSA) – e alcune altre autorità di controllo interessate (CSA), insieme alla pubblicazione della decisione revisionata della LSA emessa in conformità alle osservazioni

Il decreto legislativo n. 104/2022 – che ha recepito in Italia la direttiva 2019/1152 in tema di obblighi informativi nei riguardi del lavoratore – ha introdotto una disposizione di nuovo conio (art. 1-bis) non prevista dalla direttiva europea e che obbliga il datore di lavoro

L’autorità di supervisione irlandese (Data Protection Commission “DPC”) il 2 settembre 2022 ha sanzionato la piattaforma di social media Instagram – del gruppo Facebook, ora denominato Meta – per 405 milioni di euro per violazioni del GDPR. Si tratta della maggiore sanzione inflitta da questa

Nel periodo estivo, la Gazzetta Ufficiale del 29 luglio 2022 ha pubblicato il decreto legislativo n. 104/2022 che attua nell’ordinamento italiano la direttiva (UE) 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili. La direttiva 2019/1152 estende gli obblighi informativi che il datore di lavoro

Ritorniamo sul tema della riforma del RPO, ultimando l’analisi con questa tornata: con la pubblicazione in Gazzetta Ufficiale del Decreto del Presidente della Repubblica (“DPR”) del 27 gennaio 2022, n. 26 relativo al funzionamento del RPO riformato e Decreto del 22/7/2022 del Ministero dello sviluppo

Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022.  Le linee guida suddividono il processo logico di determinazione delle sanzioni pecuniarie in fasi:   la prima, consistente

Riprendiamo l’analisi del Regolamento UE detto Data Governance Act, esaminando i servizi di intermediazione dei dati e di altruismo dei dati e le conseguenti implicazioni con la disciplina sulla protezione dei dati personali. Le precedenti puntate sono state pubblicate con gli Alert del 23 giugno

Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022. Le linee guida suddividono il processo logico di determinazione delle sanzioni pecuniarie in fasi: la prima, consistente

Riprendiamo l’analisi del Regolamento UE detto Data Governance Act, esaminando il servizio di riutilizzo dei dati detenuti da enti pubblici e le sue implicazioni con la disciplina sulla protezione dei dati personali. La precedente puntata è stata pubblicata con l’Alert del 23 giugno 2022 (consultabile

Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022. Le linee guida suddividono il processo logico di determinazione delle sanzioni pecuniarie in fasi: la prima, consistente

La proposta della Commissione UE di regolamento sulla governance dei dati è stata pubblicata nel novembre del 2020 ed ha concluso il suo iter, divenendo legge europea (Regolamento UE 2022/868) con la pubblicazione sulla Gazzetta Ufficiale UE del 3 giugno 2022. La figura che segue

Il Comitato europeo (EDPB) ha rilasciato le linee guida 04/2022 sul calcolo delle sanzioni amministrative in base al GDPR, sottoponendole a consultazione pubblica fino al 27 giugno 2022.  Il regolamento generale ha innovato significativamente in materia di sanzioni amministrative che la direttiva 95/46/CE, invece, demandava

Il 25 maggio 2022 la Commissione europea ha pubblicato una raccolta di domande e risposte sulle clausole contrattuali standard: (1) quelle nei rapporti tra i titolari e i responsabili del trattamento (art. 28 GDPR) e (2) quelle per i trasferimenti di dati verso paesi terzi

Nell’ambito della strategia europea sui dati, la Commissione UE ha lanciato la prima proposta di uno spazio dati europeo in un settore specifico, incentrata sui dati sanitari, in particolare sui dati sanitari elettronici. Queste le principali direttrici di questa iniziativa: Permettere una maggiore trasparenza, disponibilità

Intorno a maggio-giugno di ogni anno le autorità di controllo divulgano il proprio rapporto annuale per le attività svolte nell’esercizio precedente: vi ha già provveduto tra le altre il CNIL (versione per la stampa) e, analogamente, ha fatto l’EDPB, mentre si attende a breve la

Sempre più il legislatore, sia sovranazionale che locale, riconosce un diritto di accesso al singolo a informazioni detenute da terzi che in qualche modo lo riguardano oppure che sono funzionali all’esercizio di diritti che gli vengono riconosciuti dall’ordinamento. Non fa eccezione il GDPR che attribuisce

I numerosi ricorsi promossi verso autorità di controllo nazionali, da parte di onlus internazionali come NoyB, La Quadrature du Net, Privacy International e altri, sono testimonianza pratica del disposto dell’articolo 80, paragrafo 1, del GDPR che consente all’interessato di esercitare i propri mezzi di ricorso

L’economia dei dati si basa sul “data sharing” cioè la condivisione degli stessi con terze parti. La strategia UE sull’economia dei dati, finalizzata a incentivarne lo sviluppo e a eliminare le barriere che vi si frappongono, ha promosso una serie di atti legislativi, per lo

Riprendiamo l’analisi della riforma del Registro Pubblico delle Opposizioni, completata con la pubblicazione in Gazzetta del regolamento attuativo (DPR n. 26/2022), sostitutivo del precedente DPR n. 178/2010. Nel frattempo, il Ministero dello sviluppo economico ha avviato la consultazione pubblica dei principali operatori, dal 5 aprile

Lo EDPB ha rilasciato le linee guida 02/2022 sull’applicazione dell’articolo 60 del GDPR, cioè sulle modalità procedurali del meccanismo di cooperazione, noto come “one-stop-shop”. Il documento, a primo acchito, sembrerebbe indirizzato prevalentemente alle autorità di supervisione ma offre spunti di riflessione e takeaways utili per

La gazzetta ufficiale del 29 marzo 2022 (n. 74) – l’organo editoriale che pubblica con valenza ufficiale le norme della Repubblica italiana – ha pubblicato l’atteso regolamento del sistema “Do Not Call” italiano, ossia Il Registro Pubblico delle Opposizioni (“RPO”).  Il RPO è nato nel

A margine degli incontri a livello europeo e globale tenutisi a Bruxelles, nella conferenza stampa congiunta del presidente degli Stati Uniti e della presidente della Commissione UE del 25 marzo 2022 è stata data la notizia del raggiungimento dell’accordo “di principio” tra le parti sui

Il business della società americana – consistente nel web scraping delle immagini degli utenti internet, nella correlazione con metadati identificativi dei soggetti di riferimento e nella comparazione con foto fornite dai clienti dell’applicazione per ottenerne l’identificazione – è stato oggetto di scrutinio da parte di

Strategia UE sui dati La proposta di regolamento sull’intelligenza artificiale si colloca all’interno della più ampia strategia UE sui dati che ha già prodotto numerosi atti normativi volti alla creazione di un mercato unico europeo dei dati:   il Data Governance Act e il Data Act,

Le linee guida 01/2022 dell’EDPB relative al diritto di accesso “privacy” contengono indicazioni che sono applicabili in via generale, anche riguardo all’esercizio degli altri diritti del GDPR. In questa tornata, ad esempio, affronteremo due aspetti comuni all’esercizio di qualsiasi diritto previsto dal regolamento: il tema

La Commissione europea ha pubblicato l’attesa proposta di regolamento sulla legge dei dati (“Data Act”). Si tratta, dopo il Data Governance Act, del secondo più rilevante intervento normativo di carattere orizzontale cioè che attraversa tutti i settori, della Strategia UE sui dati, (v. Bollettino del 22/7,

Se è vero che i dati – e quelli “personali” in particolare – sono la linfa dell’economia digitale, è altrettanto vero che la loro disponibilità è essenziale per lo svolgimento di qualsiasi tipo di attività, di natura sia commerciale che senza scopo di lucro. Entrare

Giunge al termine, con un provvedimento sanzionatorio adottato dall’autorità belga per 250.000 euro, una complessa indagine relativa alla conformità al GDPR della piattaforma Transparent and Consent Framework della federazione IAB Europe che riunisce portatori di interesse nell’ambito della pubblicità comportamentale. Provvedimento dell’autorità belga Il voluminoso

Il Comitato europeo ha rilasciato le linee guida 1/2022 sul diritto di accesso sottoponendole, come consuetudine, a consultazione pubblica; eventuali commenti potranno essere trasmessi entro l’11 marzo 2022. Le linee guida contengono un diagramma di flusso esplicativo di cui ci avvarremo per meglio descrivere il

Continua la striscia di contenziosi tra l’autorità di supervisione francese e il colosso californiano, per presunte violazioni della disciplina europea sulla protezione dei dati personali e sulla privacy nelle comunicazioni elettroniche. Il 31 dicembre 2021 il CNIL ha irrogato sanzioni per complessivi 150 milioni di

L’Autorità di controllo italiana è intervenuta nuovamente in merito ad attività di telemarketing non conforme alla disciplina applicabile, irrogando una delle maggiori sanzioni pecuniarie: 26,5 milioni di euro. Il provvedimento – che ha riguardato anche violazioni di altra natura – è stato emesso a conclusione

La vicenda che ha visto l’autorità di controllo norvegese (Datatilsynet) sanzionare l’azienda americana fornitrice dell’app omonima di social networking per appuntamenti tra soggetti di analogo orientamento sessuale offre elementi di considerazione sia sotto il profilo della strategia per efficaci azioni di controllo della conformità sia

In relazione alla disciplina sui controlli a distanza dell’attività dei lavoratori, sancita dall’articolo 4 dello Statuto, la giurisprudenza della Corte di Cassazione ha sviluppato la tesi dei cosiddetti “controlli difensivi” per sottrarre alla procedura dell’accordo sindacale o dell’autorizzazione amministrativa, quei controlli tramite apparecchiature, effettuati dal

Torniamo sul tema dell’identificazione dei ruoli soggettivi privacy nel contesto dell’attuazione di campagne pubblicitarie, con specifico riferimento al ruolo assunto dall’operatore pubblicitario, ingaggiato da un cliente e che realizza la campagna utilizzando anagrafiche che sono nel suo esclusivo possesso. Nel precedente bollettino del 18 novembre

Tra i principali atti normativi della strategia UE sui dati vi è la proposta del Data Governance Act. Nella puntata dell’Alert dell’11/11/2021 ne abbiamo descritto gli aspetti generali; in questa, ci soffermiamo sui relativi impatti che essa determina sulla disciplina dettata dal GDPR, in particolare,

I dati relativi a condanne penali e reati ricevono dal GDPR un’accentuata protezione a causa della delicatezza delle informazioni che ne sono oggetto e dell’elevato impatto che esse possono produrre sui diritti e le libertà degli interessati. Secondo la CGUE, questo tipo di informazioni «possono

Il 9 marzo 2021 il Comitato europeo (EDPB), a seguito della fase di consultazione pubblica, ha adottato la versione finale (v.2.0) delle linee guida 01/2020 sul trattamento di dati personali nell’ambito dei veicoli connessi e delle applicazioni relative alla mobilità. Considerata l’ampiezza del contesto di

La strategia dell’Unione europea sui dati prende forma tramite un complesso articolato di atti normativi, alcuni già promulgati ed altri in fase di completamento del processo legislativo tra le istituzioni europee.   Norme UE per la condivisione dei dati     Una volta stabilizzato il

Il 13 aprile 2021 il Comitato europeo per la protezione dei dati (EPDB) ha adottato la versione finale (v. 2.0) delle linee guida 8/2020 sul targeting degli utenti dei social media a seguito della conclusione della fase di consultazione pubblica.  Successivamente, il 7 luglio 2021

Riprendiamo l’approfondimento della “lead generation” cioè di quella fase preliminare delle campagne pubblicitarie consistente nella sollecitazione promozionale finalizzata alla raccolta di nominativi di consumatori che manifestano il proprio interesse in via generale per quel particolare prodotto o servizio che si intende promuovere.   Sollecitazioni dei

Nella strategia sui dati dell’Unione europea, un tassello importante è la proposta di regolamento nota come Data Governance Act o DGA. Essa affianca altre iniziative che mirano a realizzare condizioni di sviluppo per la data economy nel rispetto della piattaforma di garanzie e tutele per

Nel caso in cui un’organizzazione soggetta alla giurisdizione di un Paese terzo rispetto alla UE/SEE effettua un trattamento di dati personali che ricade nell’ambito applicativo del GDPR e non ha un proprio stabilimento nella UE, deve designare per iscritto un Rappresentante stabilito sul territorio dell’Unione

Con l’espressione “social engineering”, nel dominio della sicurezza delle informazioni, sono solitamente raggruppate tutte quelle casistiche di artifizi e raggiri volti a manipolare l’umana predisposizione alla fiducia. Diversamente da quanto potrebbe apparire a prima vista, infatti, l’essere umano è portato ad avere un approccio di

Anticipato dai lavori dell’High-Level Expert Group on AI (Ethics Guidelines for Trustworthy AI dell’aprile 2019 e Policy and Investment Recommendations for Trustworthy AI del giugno 2019) e dal White Paper on AI della stessa Commissione UE (19/2/2020), la proposta di regolamento “Artificial Intelligence Act” (AIA)

Il 18 giugno 2021 il Comitato europeo ha rilasciato la versione aggiornata (v.2.0) della Raccomandazione 1/2020 sulle garanzie supplementari da adottare nel caso in cui quelle previste dall’articolo 46 del GDPR per legittimare i trasferimenti di dati verso paesi terzi, non risultassero sufficienti a seguito

La disciplina d’uso del green pass, così come indicata dai Dl 52/2021 e 127/2021 e come peraltro ribadito dal regolamento 2021/953, comporta inevitabilmente il trattamento di dati personali per cui, entro tali ambiti, si dovrà  aver cura di conformarsi ad entrambe le discipline. Di seguito

La pandemia da Covid ci ha costretto ad un difficile esercizio di taratura di sempre nuovi equilibri tra diritti e libertà fondamentali, alcuni sinergici – come salute pubblica e privata nonchè tutela dei dati personali – altri dove maggiore era l’evidenza di un arretramento in

Spesso, anche nel corso di questa pandemia da Covid-19, abbiamo assistito ad incertezze del legislatore dei singoli Stati membri dell’Unione nell’individuare modalità di intervento su temi e diritti già disciplinati dal diritto europeo. Soprattutto nel campo della protezione dei dati personali ancora ci si meraviglia

L’adempimento della designazione del Rappresentante UE scatta nel caso in cui l’impresa in questione sia soggetta al diritto di un Paese terzo rispetto agli Stati membri dell’Unione e solo in  presenza di determinate circostanze e condizioni.   Sintesi     Come stabilire se si deve

Riprendiamo l’analisi della strategia europea sui dati e sul principale obiettivo di agevolare lo sviluppo di un’economia dell’unione “data driven”.  Nella scorsa puntata dell’Alert del 22 luglio 2021 si è sottolineato il valore strategico del “dato” ed è stato esaminato il posizionamento delle economie dei

Dopo due anni dall’approvazione del 12 giugno 2019 (v. Editoriale del 27/6/2019), il 27 maggio 2021 è entrato in vigore in Italia il “Codice di condotta predisposto dall’Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito (Ancic)” (di seguito “Codice sulle

Come di consueto, il Servizio di Informazione Giuridica sospende l’attività per il mese di agosto e riprenderà con il bollettino di giovedì 2 settembre.   Completiamo l’analisi della decisione 2021/915 che adotta le clausole tipo tra titolari e responsabili del trattamento considerando in questa tornata

La Commissione europea, con la pubblicazione del documento “Strategia europea per i dati” del 2020, ha lanciato il piano strategico quinquennale per la creazione dello spazio comune europeo dei dati e l’economia digitale basata sui dati. Il piano parte dall’osservazione che i due maggiori “player”

Il Garante privacy – a seguito della consultazione pubblica completatasi nel 2020, ha rilasciato le nuove linee guida sui cookie che aggiornano quelle del 2014 a seguito delle modifiche apportate dal GDPR. Sebbene esse escono nel pieno del negoziato del trilogo tra le istituzioni legislative

Torniamo a esaminare le nuove clausole tipo adottate dalla Commissione UE volte a legittimare il trasferimento di dati personali verso paesi terzi (v. Alert del 10/6/2021). Il trasferimento di dati personali verso un paese terzo (cioè nè appartenente all’UE nè al SEE) che non sia

La sentenza del 29 marzo 2021 del Consiglio di Stato – che ha concluso il primo filone degli addebiti mossi dall’AGCM a Facebook per le pratiche commerciali scorrette compiute in relazione all’uso dei dati personali dei propri utenti – contiene alcune importanti valutazioni giuridiche che

C’è un aforisma nel mondo della information security che recita “non ti chiedere se ti capiterà mai un data breach, ma piuttosto quando sarà il tuo turno”. Nel dominio della protezione dei dati personali, la sicurezza dei dati è principio di liceità del loro uso,

Contemporaneamente all’adozione delle più note SCC, vale a dire delle clausole tipo per il trasferimento di dati personali verso paesi terzi, la Commissione UE ha pubblicato l’ulteriore decisione 2021/915 che adotta le clausole tipo tra titolari e responsabili del trattamento. Sintesi SCC (artt. 46.1, c)

Dopo grande attesa, enfatizzata da ultimo dalla decisione della CGUE sul caso Schrems II (C-311/18), il 4 giugno 2021 la Commissione UE ha adottato la nuova versione delle Standard Contractual Clauses o modello di clausole contrattuali, quali garanzie adeguate per il trasferimento di dati personali

La gazzetta ufficiale dell’Unione europea ha pubblicato la proposta di regolamento della Commissione UE sull’intelligenza artificiale detto anche “AIA” (Artificial Intelligence Act). L’iniziativa è un ulteriore tassello della strategia dell’UE sul digitale e rappresenta il primo esempio internazionale di disciplina orizzontale della materia, cioè scollegato

Vi è una norma dello Statuto dei lavoratori (art. 4) che disciplina il controllo meccanico dell’attività dei lavoratori. Tale attività si svolge tramite operazioni che essendo totalmente o parzialmente automatizzate sono inquadrabili come “trattamenti” in base al GDPR e hanno come contenuto informazioni suscettibili di

A seguito della sottoscrizione del “Protocollo nazionale per la realizzazione dei piani aziendali finalizzati all’attivazione di punti straordinari di vaccinazione anti SARS-CoV-2/Covid-19 nei luoghi di lavoro”, firmato in data 6 aprile 2021 dal Governo e dalle parti sociali, il Garante privacy ha rilasciato alcune linee

L’autorità di supervisione norvegese (il “Datatilsynet”) ha reso nota l’intenzione di sanzionare una società americana che ha utilizzato un widget per il tracciamento online di utenti norvegesi a fini di pubblicità comportamentale senza rispettare le prescrizioni normative; apparentemente l’azienda sarebbe caduta nell’errore di ritenere il

Il tessuto normativo – composto dalla legge, dalle decisioni della CtGUE, dalle linee guida dell’EDPB e dai provvedimenti delle autorità di supervisione – indica che la titolarità si individua in chi effettivamente esercita un potere decisionale sulla finalità e sugli strumenti del trattamento. Pertanto, «non

La violazione di dati personali, comunemente detta “data breach”, non è esattamente un “data breach” tecnico. La definizione operata dal legislatore [art. 4, 11), GDPR] ci dice che la violazione di dati personali è una “violazione di sicurezza” con effetti avversi sui dati personali. Pertanto,

Una delle maggiori conseguenze giuridiche derivanti dalla violazione delle prescrizioni a protezione dei dati personali è l’inutilizzabilità degli stessi. L’inutilizzabilità, nel dominio dei beni giuridici, è il parallelo di quello che per atti e rapporti giuridici è la nullità. “Quod nullum est, nullum producit effectum”

L’autorità di supervisione spagnola ha sanzionato una banca di quel paese per l’importo di € 100.000 per aver mal gestito l’esercizio del diritto di cancellazione operato da un interessato ex-cliente. Il diritto di cancellazione, spesso confuso con il diritto di de-indicizzazione dai motori di ricerca

Il primo filone degli addebiti mossi dall’antitrust italiana contro Facebook, avviato il 6 aprile 2018 a contestazione di presunte pratiche commerciali scorrette da questa attuate nell’uso dei dati personali dei propri utenti/consumatori, è giunto a conclusione. Il Consiglio di Stato (“CdS”) si è pronunciato con

Lo smarrimento o perdita di dispositivi portatili costituisce una delle casistiche maggiormente frequenti di violazione di dati personali: in tal caso, la valutazione del rischio conseguente deriva essenzialmente dalla possibilità di determinare la natura dei dati che vi erano custoditi nonchè dalla valutazione delle misure

Torniamo sul confronto tra l’AGCM e Facebook sulle presunte violazioni di quest’ultima in materia di tutela del consumatore con l’irrogazione di una nuova sanzione complessiva di € 7 milioni nei confronti di Facebook Ireland Ltd. e Facebook Inc. in solido tra loro. La vicenda non

Non è uno scioglilingua nè una nuova favola delle tre fatine, bensì tre acronimi della disciplina sulla protezione dei dati personali che sarebbe opportuno riuscire prontamente a distinguere e altrettanto prontamente a mettere in atto allorquando si utilizzano dati personali. PIA, LIA e TIA sono

Il fattore umano, tradizionalmente, è stato da sempre una delle maggiori fonti di incidenti di sicurezza, sia per errori involontari sia per comportamenti intenzionali (ad esempio, per ritorsione riguardo a situazioni ritenute ingiustamente penalizzanti o per infedeltà e comportamenti illeciti). Con la pandemia si è

Riprendiamo l’approfondimento di alcuni aspetti del settore pubblicitario; più precisamente, nell’ambito del direct marketing, quello dell’impatto data protection della pubblicità svolta per conto di terzi, che solleva interrogativi non del tutto chiariti. Ci si riferisce, in particolare, a quella fase preliminare consistente nell’utilizzo di anagrafiche

Anche il secondo round nel confronto tra l’AGCM e Facebook è giunto al termine con l’irrogazione di una nuova sanzione complessiva di € 7 milioni nei confronti di Facebook Ireland Ltd. e Facebook Inc. in solido tra loro. La vicenda è stata seguita nelle sue

La proposta della Commissione non faceva esplicito riferimento alle circostanze che la prassi ha identificato con i termini di “cookie banner”, “cookie barrier” e “cookie wall”. La versione del Parlamento approvata dalla commissione LIBE prevede la proibizione dei “cookie wall” sulla scia di quanto indicato

La seconda tipologia di casi di data breach affrontati nelle linee guida EDPB 01/2021 è quella della esfiltrazione di dati da parte di un attaccante. Come nella puntata dell’Alert del 28/1/2021, riportiamo in sintesi:  gli elementi salienti di ciascun incidente le ripercussioni in termini di

L’Agenzia europea per la sicurezza (ENISA) ha rilasciato un nuovo documento sulla pseudonimizzazione la quale, grazie al GDPR, ha acquisito rilevanza sia come misura di sicurezza sia come strumento di salvaguardia per i diritti e le libertà degli individui, riguardo all’uso dei propri dati personali.

Il Comitato europeo ha rilasciato in consultazione pubblica le linee guida 01/2021 contenenti esempi di data breach, conseguenti valutazione dei rischi ed azioni correttive e di mitigazione.  L’approccio, meno teorico e maggiormente operativo, segue le osservazioni evidenziate nella prima relazione della Commissione a due anni

L’attività pubblicitaria individuale o promozione “diretta”, in senso lato, è quella operazione promozionale che indirizza il messaggio pubblicitario direttamente al cliente potenziale (perciò detta anche “direct marketing”); questo aspetto la distingue dalla pubblicità generalista che, invece, è rivolta a un pubblico generico e indeterminato: tipici

Con il passaggio di testimone della presidenza del Consiglio UE tra Germania e Portogallo, è stata diffusa la proposta della presidenza portoghese della versione del Consiglio sul Regolamento ePrivacy. Nonostante sia l’ennesima versione e non è detto che sia l’ultima, riteniamo sia utile esaminarla perchè

La decisione del Tribunale di Bologna, sezione lavoro, del 31 dicembre 2020 – relativa al sistema di prenotazione delle consegne a domicilio di Deliveroo e interessante per molteplici aspetti – affronta anche il tema della potenzialità discriminatoria che può originare da algoritmi non correttamente impostati.

Il Garante – che nel frattempo ha lanciato anche un restyling del proprio brand – ha reso disponibile sul proprio sito web istituzionale un utile strumento esplicativo della gestione delle violazioni di dati personali (“data breach”). Figura 1 – La pagina web del Garante per

Il Comitato europeo, nelle linee guida 04/2019 pubblicate il 20/10/2020 dopo la consultazione pubblica nella definitiva versione 2.0, si è soffermato anche sul concetto di protezione dei dati personali “per impostazione predefinita” o, nella locuzione inglese, “by default”. Il concetto non è di agevole “presa”

Il codice civile li chiama “artifici e raggiri”, il mondo online “dark patterns” o modelli oscuri. Il California Private Rights Act del 2020 definisce “Dark pattern” come “un’interfaccia utente progettata o manipolata con l’effetto sostanziale di sovvertire o compromettere l’autonomia, il processo decisionale o la

Il Garante ha pubblicato a dicembre sedici domande frequenti (“faq”) sulla videosorveglianza aggiornando, di fatto, il proprio provvedimento del 2010 (doc. web n. 1712680) sulla scia delle modifiche intervenute a seguito del GDPR e delle conseguenti linee guida 3/2019 adottate dall’EDPB. Ne riportiamo di seguito

Il Comitato europeo (EDPB) con la sua raccomandazione 02/2020 del 10 novembre 2020 ha indicato le garanzie essenziali del diritto europeo che devono essere rispettate al fine di poter giustificare le interferenze con i diritti fondamentali alla riservatezza e alla protezione dei dati personali ad

Le linee guida n. 04/2019 sull’articolo 25 del GDPR affrontano il tema della protezione dei dati personali sin dalle fase di progettazione (by design) e per impostazione predefinita (by default). In questa seconda parte esaminiamo in maggior dettaglio i criteri di valutazione dell’adeguatezza delle misure

Nel giro di pochi giorni sono state date risposte, ancorchè non definitive, alle stringenti attese che hanno fatto seguito alla decisione della CGUE sul caso Schrems II. La decisione della Corte, come noto, ha invalidato l’accordo del Privacy Shield e ha ritenuto le clausole contrattuali

Il Comitato europeo (EDPB), trascorso il periodo di consultazione pubblica, ha adottato il 20 ottobre 2020 in via definitiva le linee guida n. 04/2019 sull’articolo 25 del GDPR. Questa disposizione disciplina il tema della protezione dei dati personali sin dalle fase di progettazione (by design) e

Che un malware possa agire indisturbato all’interno di un network aziendale per oltre quattro anni la dice lunga sulla capacità di un gruppo internazionale in termini di incident prevention e incident detection. Purtroppo non si tratta di un caso isolato, come si è visto dall’analisi

L’Agenzia sulla cyber sicurezza dell’UE (ENISA) ha pubblicato lo scenario delle minacce 2019-2020. Si tratta dell’ottava edizione ma anche la prima dopo l’entrata in vigore del Cybersecurity Act che ha rinforzato il ruolo e le competenze dell’agenzia conferendole un mandato permanente. Tra i punti di

A seguito di un importante incidente di sicurezza che aveva causato la violazione di delicati dati personali di oltre 400.000 individui (passeggeri), l’Information Commissioner inglese (“ICO”)  l’08/07/2019 aveva comunicato alla compagnia aerea l’intenzione di sanzionarla per la significativa cifra di 183,39 milioni di sterline (€204M)

La vicenda che ha riguardato la casa di abbigliamento svedese H&M è di particolare gravità tale da configurarsi come un caso di spionaggio – piuttosto che di monitoraggio – della vita dei propri dipendenti. La casa madre è corsa immediatamente ai ripari ed ha fattivamente cooperato con

Le regole riferite ai cookie, in realtà, si estendono a qualsiasi tecnologia o metodo che determina l’accesso o l’inserimento alle informazioni presenti nel dispositivo dell’utente oppure che realizza il tracciamento della navigazione in rete; come i “Local Shared Objects” (chiamati anche “Flash cookies”), “local storage”

Uno dei profili su cui il Comitato europeo (EDPB) si è maggiormente intrattenuto nelle sue linee guida 07/2020 e 08/2020 è stato quella della contitolarità. Sebbene i documenti citati siano tuttora sottoposti a consultazione pubblica, riteniamo che i concetti ivi espressi possano considerarsi definitivi e

Le linee guida dell’EDPB n. 07/2020 contengono interessanti spunti sui ruoli di titolare, responsabile e contitolare, insieme alle coeve n. 08/2020 che affrontano nello specifico le attività di targeting svolte sui social media.  In questa tornata riportiamo alcuni passi in relazione al ruolo di titolare

Nella trentasettesima riunione del 2 settembre il Comitato ha adottato importanti linee guida sui concetti dei ruoli legali di titolare, contitolare e responsabile del trattamento nonchè linee guida rivolte agli utenti che utilizzano social media. L’EDPB si è anche interessato – a seguito degli esiti della sentenza della CGUE Schrems

210 milioni di brasiliani si aggiungono alle centinaia di milioni che sul globo sono già tutelati da una legge sui dati personali. Promulgata nel 2018 sarebbe dovuta entrare in vigore dopo 18 mesi, ma ha subito proroghe. Ieri (26/8) il Senato ha respinto l’ultimo emendamento

I provvedimenti delle autorità di supervisione, insieme a linee guida e pareri dell’EDPB, se letti in filigrana consentono di desumere importanti indicazioni su come operare nelle organizzazioni al fine di rispondere adeguatamente al principio di accountability. Gli ultimi interventi sanzionatori del Garante privacy sono ricchi

Il 16 luglio 2020 la Corte di Giustizia dell’Unione Europea ha emesso l’attesa decisione sulla pronuncia pregiudiziale nel caso noto come Schrems II (C-311/18) che ha ritenuto invalido lo strumento del Privacy Shield, con effetto immediato ed ha chiarito alcuni aspetti riguardo all’ambito di validità

In adempimento all’articolo 97 del regolamento, la Commissione dell’Unione europea ha pubblicato la prima relazione sull’esito dei suoi primi due anni di applicazione. La relazione tiene in considerazione anche i contributi dei co-legislatori europei (Consiglio e Parlamento), dell’EDPB, delle autorità di controllo, del gruppo multilaterale

L’Antitrust tedesco aveva considerato con propria decisione, un abuso di posizione dominante la pratica di Facebook consistente nel vincolare alla registrazione dell’account alla propria piattaforma, il consenso all’uso da parte sua dei dati dei propri utenti anche se generati da attività da essi svolte su

La vicenda oggetto dell’ordinanza ingiunzione del Garante privacy riguarda un fatto avvenuto prima della piena applicazione del GDPR, per cui ad esso trova applicazione il codice privacy previgente. Dopo una complessa istruttoria, attraverso la quale sono state rilevate violazioni all’adozione delle misure minime di sicurezza

Aveva fatto scalpore la notizia della decisione dell’autorità di controllo francese del gennaio 2019 con cui il CNIL aveva irrogato una sanzione di 50 milioni di euro nei riguardi di Google LLC (cioè la casa madre di diritto statunitense) per violazioni del GDPR relative all’obbligo

Il soggetto cui si riferiscono i dati personali (interessato) può agire, sia dinanzi all’autorità di controllo, sia di fronte al giudice ordinario; in questa seconda ipotesi anche per risarcimento dei danni causati dal trattamento; l’interessato può anche dare mandato a una onlus di presentare un

La disciplina sulla protezione dei dati personali non è l’unica a regolare l’uso dei dati personali. Quando viene preso in considerazione il valore economico insito nelle informazioni personali può entrare in gioco anche il codice del consumo. GDPR e consumo Il regolamento generale sulla protezione

Le linee guida 5/2020 dell’EDPB sostituiscono le precedenti wp258 rev.01 sul consenso, emesse dal Gruppo di lavoro dell’articolo 29, anche se abbastanza recenti e già fatte proprie dal Comitato. Operazione chirurgica quasi più di stampo politico che giuridico, un “mettere le mani avanti”, considerato che

L’indagine app COVID-19 di House of Data Imperiali Secondo un campione di esperti servono garanzie su app e utilizzo dei dati Poca affidabilità e rischi. Ecco cosa emerge dall’indagine su un gruppo di esperti realizzata dall’Osservatorio Data Protection riguardo al sistema pubblico che gestirà i

In risposta a una specifica richiesta circa il ruolo soggettivo da assegnare all’Organismo di Vigilanza 231 in base alla disciplina sulla protezione dei dati personali, il Garante privacy ha rilasciato un parere in data 12 maggio 2020, pervenendo a conclusioni che suscitano perplessità. Sintesi La

Una delle regole fondanti per l’indipendenza del Responsabile per la protezione dei dati (DPO) è che esso non sia in conflitto d’interessi. Le linee guida wp243 rev.01 hanno precisato che il conflitto sussiste se e nei limiti in cui il DPO adotti decisioni in merito

Garante e IBM hanno prodotto due documenti riguardanti i data breach che forniscono interessanti suggerimenti tratti da esperienze ed offrono valutazioni degli impatti economici che conseguono alle violazioni di dati. La scheda informativa del Garante si concentra sul ransomware – «il programma che prende “in

L’emergenza COVID-19 ha concentrato su questo tema anche le attività del Comitato europeo che, nello spazio di pochi giorni: ha rilasciato il 14 aprile un proprio parere alla Commissione in merito al progetto di Linee-guida in materia di app a supporto della lotta contro la

Molto si discute sull’uso delle applicazioni mobili a supporto delle misure anti-contagio da COVID-19 e già sono state annunciate iniziative a livello sia nazionale (Immuni) sia regionale (AllertaLOM della regione Lombardia). Le app sono particolarmente rilevanti specie nella cosiddetta “fase 2”, man mano che sempre

Vi è un grande discutere in ambito nazionale e internazionale sull’uso della tecnologia in funzione anti-contagio da COVID-19. La tecnologia svolge una molteplicità di funzioni di supporto. Vi è quella a fini repressivi, al fine di verificare il rispetto delle limitazioni di movimento e il

Nell’Alert di settimana scorsa si è visto che l’opportunismo degli hacker si avvantaggia delle emergenze, come si registra in questi tempi di Coronavirus. Molti sono i profili di aumentata vulnerabilità in questo frangente: lavorare fuori dal contesto aziendale, dove il livello di protezione – fisico

L’emergenza è una minaccia in sè per la sicurezza delle informazioni e dei dati personali per diverse ragioni: perchè il tasso di attenzione collettiva è appannaggio degli effetti e delle cause dell’emergenza, perchè gli hacker – da buoni opportunisti – approfittano di queste situazioni di

Immaginate una famiglia con più figli, i maggiori di età sono robusti, determinati; il più giovane, invece, è più accondiscendente, si fa da parte quando gli altri fanno valere le proprie ragioni ma la sua non è remissività perchè comunque egli è attento a che

Il nostro paese è alle prese con l’epidemia da Corona virus e scopre di essere fragile riguardo a epidemie e fenomeni calamitosi. Questa epidemia registra la sua pericolosità non solo sotto il profilo sanitario ma anche su quelli indotti, derivanti da comportamenti improvvisati , posti

A seguito di una notifica per data breach dovuta alla temporanea potenziale visibilità in Internet dei nominativi di due segnalanti che si erano avvalsi del canale riservato di comunicazione per le denunce di illeciti, il Garante ha sanzionato un’Università titolare del trattamento, per omesse misure

I provvedimenti dell’autorità, si sa, fanno rumore soprattutto se, tramite essi, vengono irrogate sanzioni di ingente importo. Spesso, tuttavia, essi sono ricchi di indicazioni che, se letti in filigrana, possono offrire importanti insegnamenti riguardo ai comportamenti virtuosi  da parte delle imprese per un’adeguata applicazione delle

La 17a sessione plenaria dell’EDPB ha rilasciato linee guida, pareri e documenti rilevanti nella materia della protezione dei dati personali. Linee guida Le linee guida riguardano: le linee guida 3/2019 sulle apparecchiature di videosorveglianza, in versione finale a completamento della procedura di consultazione pubblica il

La seconda sanzione milionaria irrogata dall’autorità di supervisione nazionale contiene anch’essa numerosi profili di compliance che meritano di essere esaminati. Sintesi Il Garante privacy italiano ha reso noto un ulteriore provvedimento col quale è stata irrogata una sanzione amministrativa di circa 28 milioni di euro

Nel novembre 2018 l’Antitrust italiana (AGCM) ha sanzionato Facebook per un importo complessivo di 10 milioni di Euro per pratica scorretta avendo indotto la propria clientela (gli utenti del social) a ritenere che il relativo servizio fosse a titolo gratuito anzichè di natura commerciale, in

Il Garante privacy ha diffuso con un comunicato stampa la notizia di due significative sanzioni irrogate applicando le pertinenti prescrizioni del GDPR. Si tratta di violazioni compiute in tema di telemarketing e teleselling indesiderato (provv. n. 232 dell’11/12/2019, doc. web n. 9244365) e contratti non

Si può sostenere con fondamento che non vi sia operatore, economico o meno, privato o pubblico, che non abbia un proprio sito web, di tipo istituzionale o per l’erogazione di servizi in rete. Di conseguenza, la disciplina sui cookie e su analoghi strumenti di tracciamento,

In una delle ultime puntate dell’anno appena concluso ci eravamo intrattenuti sulle nuove linee dell’ANAC e si era data notizia della nuova direttiva UE sul tema. Oggi torniamo su questo importante argomento perchè nel frattempo la direttiva è stata pubblicata sulla gazzetta ufficiale dell’Unione, entrando

Cosa è stato il 2019 per la protezioone dei dati personali? Un anno importante in cui ha preso le mosse, di fatto, la piena applicazione del GDPR. Sintesi GDPR: la legge dell’anno Il 2019 è stato l’anno di prima applicazione del Regolamento europeo noto come