RISPETTO DELLA LEGISLAZIONE SULLA PRIVACY

Le sentenze in materia di privacy

Per chi avesse interesse, tempo e pazienza, è consultabile al link Corte europea dei diritti dell’uomo, pubblicata una scheda informativa con tutte le sentenze in materia di privacy la nuova scheda tematica che riepiloga la risposta degli Stati membri a seguito delle sentenze della Corte europea dei diritti dell’uomo sulla protezione dei dati personali.

Ancora restrizioni specifiche sulla pubblicazione di dati personali: caso della violazione dell’obbligo di scolarizzazione

L’autore dell’ articolo Scuola, niente gogna per i renitenti: la pubblicazione dei nomi all’albo pretorio viola la privacy evidenzia il contrasto tra il requisito di riservatezza nell’ambito della protezione dei dati personali e la legge che prevede l’iscrizione all’albo pretorio del comune (ed eventuali successive sanzioni penali) del nome dei genitori che eludono l’obbligo di istruzione dei figli.

A questo proposito, il ministero dell’istruzione e del merito sarebbe orientato ad abrogare la procedura dell’ammonizione tramite tale pubblicazione, ciò che d’altra parte potrebbe portare ad escludere anche la procedura penale. [Ben venga l’ignoranza, quindi, così come altre “pastoie” che per la privacy si traducono in un aiuto a chi contravviene la legge; nota personale del redattore]

Tra le novità del Digital Services Act una figura per identificare contenuti illegali che circolano in rete e denunciarli

Secondo l’articolo Tra le novità del Digital Services Act una figura per identificare contenuti illegali che circolano in rete e denunciarli, Il Regolamento UE 2022/2065 (o Digital Services Acts) è rivolto ai gate-keep, gestori delle maggiori piattaforme web, detti anche “i big della rete”, con l’intento di responsabilizzarli e vincolarli giuridicamente a comportamenti e azioni a favore dei diritti e della privacy e sicurezza degli utenti finali. Essi infatti hanno la capacità e le competenze particolari ai fini dell’individuazione, dell’identificazione e della notifica di contenuti illegali e saranno tenuti a produrre report che aiutino anche a distinguere la qualità delle segnalazioni.

I “big” risponderanno all’authority (quindi anche alle corti di giustizia) del Paese UE in cui sono ubicati. Le pene amministrative salgono (rispetto al GDPR) al 6% del fatturato.

Pubblica amministrazione: digitalizzare sì, ma nel rispetto del GDPR

Nell’articolo Non si possono realizzare Smart Cities sostenibili ed inclusive senza rispettare la privacy dei cittadini, l’autore fornisce alle amministrazioni pubbliche suggerimenti affinché, realizzando la digitalizzazione, si mantengano conformi ai requisiti previsti per la privacy, indicando, per paragone, numerosi casi di inadempienze.

Sei titolare del trattamento se puoi vedere i dati personali, anche se non lo fai

Come riporta l’articolo Una società può essere titolare del trattamento dei dati di geolocalizzazione anche se non vi accede, la Corte di cassazione si è pronunciata sul seguente caso. Una società ideava e sviluppava un sistema di geolocalizzazione e lo metteva nella disponibilità di altra società che esercitava l’attività di trasporto di merci su strada per conto terzi, la quale lo installava sui mezzi in dotazione. Il relativo database rimaneva nella piena disponibilità della società ideatrice, e la società di trasporti non effettuava alcun accesso al programma né ne visualizzava i rispettivi dati. Il sistema informatico fornito dalla prima società creava in modo automatico le relative credenziali, senza che la seconda avanzasse alcuna espressa richiesta in tal senso.

A fronte della sentenza emessa, risulta che la società di trasporti, pur non accedendo ai dati, aveva la possibilità di farlo e pertanto rivestiva il ruolo di Titolare del trattamento dati personali, conseguendo l’obbligo di comunicare al Garante della privacy il trattamento dati relativi a posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica.

Se si utilizza un algoritmo, gli utenti devono essere informati sui principi di funzionamento

Vi sono piattaforme web che elaborano “profili reputazionali concernenti persone fisiche e giuridiche, in modo da contrastare fenomeni basati sulla creazione di profili artefatti o inveritieri” e “calcolano, invece, in maniera imparziale, il ‘rating reputazionale’ dei soggetti censiti, consentendo ai terzi una verifica di reale credibilità”. L’articolo Rating reputazionale sul web, necessario il consenso sul funzionamento dell’algoritmo ci fa presente che l’adesione a queste piattaforme da parte dei soggetti interessati non costituisce, secondo la Corte suprema, un consenso sufficiente al trattamento dei dati personali. E’ necessario che gli utenti siano preventivamente informati sulle modalità o sullo schema esecutivo dell’algoritmo che esegue il rating, nonché su parametri ed indicatori utilizzati.

10 regole indicate dal Garante per la compliance col GDRP in ambito sanitario

Chi opera in ambito sanitario con responsabilità direzionali e/o di protezione dati personali può trovare utile l’articolo “Decalogo del Garante Privacy sull’uso dell’intelligenza artificiale in ambito sanitario” che fornisce indicazioni e link relativamente al Decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di Intelligenza Artificiale redatto dal Garante della privacy.

L’articolo L’accessibilità dei prodotti e servizi informatici e per le persone affette da disabilità informa sulle leggi per la fruibilità di prodotti e servizi web da parte di chi ha interattività ridotta

A fronte del Decreto Legislativo n. 82 del 27 maggio 2022, in attuazione della direttiva UE (European Accessibility Act) n.2019/882 sull’accessibilità, a partire dal 28 giugno 2025, ad eccezione delle “micro-imprese”, tutti i gli operatori economici (il fabbricante, il rappresentante autorizzato, l’importatore, il distributore o il fornitore) di servizi erogati ai consumatori tramite siti web o app, compresi i servizi di comunicazione elettronica o per servizi di media audiovisivi, nonché i software e gli hardware, saranno obbligati al rispetto delle regole di accessibilità. L’accessibilità è definita dalla Legge 4/2004 come la capacità di erogare servizi e fornire informazioni fruibili, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari”.

E’ estesa così alle imprese private la normativa che inizialmente era indirizzata alle sole pubbliche amministrazioni. La descrizione di una più esatta definizione di accessibilità è stata affidata all’Agenzia per l’Italia Digitale, con il compito dettare Linee Guida capaci di individuare i requisiti tecnici per siti web ed applicazioni mobili.

L’oggetto dell’applicazione dell’accessibilità riguarda:

– i sistemi hardware e sistemi operativi informatici generici per consumatori;

– i terminali self-service di pagamento

– le apparecchiature terminali con capacità informatiche interattive per consumatori utilizzate per i servizi di comunicazione elettronica o per servizi di media audiovisivi;

– i lettori di libri elettronici (e-reader);

– i servizi di comunicazione elettronica e quelli che forniscono accesso a servizi di media audiovisivi;

– i siti web, i servizi per dispositivi mobili, comprese le applicazioni mobili, i servizi di biglietteria elettronica, la fornitura di informazioni relative ai servizi di trasporto;

– i servizi bancari per consumatori;

– i servizi di commercio elettronico.

Salvo alcune eccezioni, ogni prodotto, servizio o bene dovrà essere accompagnato dalla marcatura CE e da una Dichiarazione UE che ne attesti la conformità. In caso di inosservanza sono previste sanzioni amministrative pecuniarie fino al 5% del fatturato e, nei casi più gravi, anche sanzioni di carattere penale.

Proteggi i dati e proteggerai anche la privacy

L’autore dell’articolo La protezione dei dati come materia trasversale e multidisciplinare tra privacy e cybersecurity è prodigo di plausi al GDPR, in quanto teso alla protezione dell’esercizio dei diritti e delle libertà fondamentali delle persone.

E’ in evidenza ciò che è direttamente insito nel titolo dell’articolo: cioè che proteggere i dati, quindi le informazioni in senso generale, implica la protezione dei dati personali e richiede, d’altra parte, misure di protezione contro i cyber risk. [Il che soddisfa solo una parte dei requisiti del GDPR; ndr]

Per la privacy, neppure i premiati per merito con emolumenti possono essere resi noti

L’articolo Sanzionabile l’ente che pubblica i dati dei premi sulle performance con nomi e cognomi informa che il Garante della privacy ha emesso un provvedimento contro un comune che aveva pubblicato sul proprio sito istituzionale l’elenco dei dipendenti (nome e cognome) con categoria di appartenenza e somma pagata, quale liquidazione del fondo di incentivazione, in relazione alla performance individuale, pur senza alcun riferimento alle schede di valutazione.

E’ stato infatti osservato sì che il Dlgs 33/2013 prevede la pubblicazione obbligatoria da parte delle pubbliche amministrazioni «dell’ammontare complessivo dei premi collegati alla performance stanziati e l’ammontare dei premi effettivamente distribuiti», ma in forma aggregata, non nominativa.

[In buonafede si poteva supporre che così come era stata fatta la pubblicazione potesse servire sia ad un ulteriore gratificazione verso i beneficiari dell’incentivo, sia ad una spinta a far meglio per gli esclusi. Si vede che siamo troppo abituati a vedere le cose da un punto di vista negativo. Ndr]

Il DPO va scelto garantendo che non vi siano conflitti di interessi

L’articolo Funzione IT e incompatibilità con il ruolo di Data Protection officer: la lezione del Garante Privacy su metodo e criteri di valutazione ricorda che la nomina del DPO deve essere preceduta dalla verifica dell’assenza di conflitto di interessi, per non violare i requisiti del GDPR.

Il WP243 fornisce delle linee guida per l’individuazione di qualifiche e funzioni incompatibili e la previsione di un’illustrazione più articolata dei casi di conflitto di interessi. Tuttavia c’è necessità di criteri più puntuali, anche perché il processo decisionale andrebbe documentato.

Un’istruttoria del Garante riguarda il caso di un comune che ha designato un DPO, il quale è direttore amministrativo e proprietario di una società fornitrice di servizi di supporto informatico, assistenza e consulenza, sviluppo e manutenzione software e nuovi applicativi, completa gestione delle banche dati e amministrazione dei sistemi informativi. Per tale posizione detta società rivestiva il ruolo di responsabile del trattamento ed era conseguentemente preposta al supporto per l’osservanza del GDPR, inoltre era stata delegata all’individuazione del soggetto cui affidare l’incarico di DPO.

L’incompatibilità è risultata palese, fra l’altro anche perché il responsabile è soggetto alle istruzioni del titolare (il comune) mentre il DPO non può esserlo e perché la designazione del DPO spetta al titolare e non al responsabile.

I fatti esposti possono essere utili per una valutazione dei soggetti designati come DPO. Nello specifico, la funzione IT viene confermata essere incompatibile con il ruolo di DPO.

A privacy e cybersecurity si aggiunge la governance e, alla necessità, si deve far ricorso a componenti tecniche e giuridiche specialistiche

La stretta connessione tra privacy e cybersecurity è conclamata. L’articolo La protezione dei dati, un tavolino a tre gambe tra privacy, cybersecurity e governance indica come ad esse si aggiunga la governance, riunendo quindi le cosiddette “hard skills”: le competenze giuridiche, quelle organizzative e quella tecnica.

E’ necessario inoltre possedere le cosiddette “soft skills”, ovvero le competenze per relazionarsi con gli interlocutori, lavorare in team, gestire emotivamente un data breach, entrare in empatia con i soggetti destinatari della formazione.

La struttura organizzativa per la protezione dei dati è composta da sistemi informativi, procedure, regolamenti, direttive, prassi, controlli ed audit.

La componente tecnica richiede competenze molto specifiche come quelle sulla cybersecurity, per cui un DPO che debba affrontare una criticità nella protezione delle reti o un caso di data breach a seguito di un malfunzionamento tecnico, avrà bisogno di un professionista con competenze evolute ed aggiornate in merito. L’autore dell’articolo suggerisce di far ricorso, di volta in volta, a chi dispone delle competenze necessarie.

Analogamente è indispensabile la componente giuridica, poiché solo un giurista riesce a leggere ed interpretare un provvedimento o una norma in materia di privacy comprendendone tutti i dettagli ed i collegamenti con altre disposizioni.

L’autore evidenzia anche la necessità che l’analisi organizzativa non sia statica, ma dinamica e porta l’esempio di un’azienda con meno di 50 dipendenti e che non adotta il modello Dlgs 231/2001: non è tenuta a rispettare Il Dlgs 24/2023 relativo al “Whistleblowing”, ma per un aumento del numero dei collaboratori potrebbe incorrere in tale obbligo.

L’autore conclude, in sintesi, che mentre le competenze giuridiche e tecniche richiedono un background derivante dal percorso di studi e professionale individuale, le capacità organizzative si ottengono piuttosto attraverso l’esperienza sul campo, la formazione, l’approfondimento personale, l’attività di audit, la partecipazione a gruppi di lavoro o all’attività di associazioni.

Regolamenti e Direttive per una maggior integrazione tra privacy e cybersecurity

Nel precedente articolo “La protezione dei dati come materia trasversale e multidisciplinare tra privacy e cybersecurity” l’autore indicava come la privacy sia direttamente interessata dalla protezione dei dati e quindi dalla cybersecurity.

Nel presente articolo I punti di possibile frizione e di necessaria integrazione fra privacy e cybersecurity evidenzia i possibili contrasti e come dirimerli.

Ai fini della protezione dei dati è diventato molto importante poter condividere le informazioni sulle minacce, tra le aziende sia pubbliche che private. I recenti Regolamenti DORA (ambito finanziario) e Direttiva NIS 2 (sicurezza delle infrastrutture critiche) promuovono il “threat intelligence sharing”. Ma i dati condivisi potrebbero contenere dati personali come ad esempio nominativi, indirizzi e-mail o dati sensibili quali le informazioni finanziarie o i dati sanitari, con gravi rischi per la privacy.

D’altro canto, il Regolamento DORA afferma [considerando 34, ndr] che i meccanismi di condivisione devono essere attuati avendo accertato le basi giuridiche del trattamento, quali il legittimo interesse del titolare del trattamento, l’obbligo legale e il compito di interesse pubblico o connesso all’esercizio di pubblici poteri. E la Direttiva NIS 2 richiede accuratezza e minimizzazione dei dati, equità e alla trasparenza, nonché l’applicazione dei requisiti di protezione dei dati fin dalla progettazione e predefiniti (privacy by design e by default).

Il limite di conservazione dei dati è la scadenza temporale che ne impone la cancellazione

La cancellazione dei dati personali non può avvenire solo in conseguenza di una richiesta dell’interessato, ma, come afferma l’articolo Anche in assenza di regole sulla conservare i dati, il titolare dello studio deve fissare tempi ragionevoli per cancellarli, devono essere stabiliti i termini di conservazione (secondo la responsabilizzazione del titolare del trattamento, in quanto il GDPR non definisce regole specifiche). Possono essere stabiliti termini temporali precisi o le condizioni che si devono verificare.

Per i vari casi possono essere adottati criteri diversi.

I dati relativi ai dipendenti sono conservati per gestire il rapporto di lavoro [ma tenuto comunque conto degli obblighi di legge che richiedono di mantenerli per ulteriori 10 anni; ndr]. Il normale periodo di conservazione andrà esteso in caso di problemi legali.

I dati acquisiti da sistemi di videosorveglianza vanno conservati per un giorno o massimo due, ritenendoli sufficienti all’individuazione di eventuali comportamenti dannosi. Può essere ragionevole estendere questo periodo nei fine settimana o in presenza di giorni festivi, tenendo presente che quanto maggiore è il tempo di conservazione, tanto più dettagliato dovrà essere il report a supporto della decisione.

Per i curriculum l’indicazione dell’autore è di eliminarli dopo sei mesi, salvo quelli relativi a posizioni di vertice.

Per le email, premesso che non possono essere conservate all’infinito [né per periodi ingiustificabili; ndr], la scelta del termine di conservazione dipende da elementi giuslavoristici (per quelle inviate o ricevute dai dipendenti), dalla necessità di garantire continuità nell’assistenza ai clienti e, ovviamente, da considerazioni privacy.

L’intelligenza artificiale richiede una più stretta collaborazione tra privacy e cybersecurity

L’autore dell’articolo L’integrazione tra privacy e cybersecurity per la protezione dei dati nell’era dell’intelligenza artificiale riepiloga una serie di misure di protezione dei dati nell’ambito della cybersecurity, che vanno incontro anche alle esigenze di protezione dei dati personali per la privacy:

  • crittografia per proteggere i dati in transito e a riposo, che garantisce accesso ai dati solo agli autorizzati (in possesso della chiave di decriptazione),
  • il monitoraggio e rilevamento continui delle minacce per individuare attività sospette o intrusioni nei sistemi e violazione dei dati e della privacy,
  • la gestione degli accessi ai dati e alle procedura da parte degli utenti, limitando l’accesso solo alle persone autorizzate,
  • la formazione e la consapevolezza degli utenti sia per garantire la privacy che la cybersecurity.

L’utilizzo, sempre più diffuso, dell’intelligenza artificiale (AI), con utilizzo di enormi quantità di dati e algoritmi complessi, rende ancor più determinante, specie per la privacy, l’attuazione delle misure di protezione ed alle precedenti vanno aggiunte le valutazioni di impatto, per identificare e mitigare i rischi per i diritti e le libertà fondamentali degli interessati legati all’elaborazione dei dati.

La protezione dei dati deve essere garantita durante l’intero ciclo di vita dei dati, dall’acquisizione, all’elaborazione, alla conservazione e alla distruzione, ciò che richiede una stretta collaborazione tra le funzioni aziendali di privacy e di cybersecurity.

GESTIONE DEI RISCHI E MISURE DI CONTRASTO

Auto connesse, privacy e regolamenti

Si fornisce il link all’articolo Auto connesse e rischi sulla privacy, le criticità sono anche tra le righe della normativa per le aziende costruttrici di autoveicoli o fornitori di sistemi di bordo, o per chi semplicemente volesse saperne di più sui Regolamenti UE finalizzati alla sicurezza stradale e delle persone e sulle problematiche relative alla privacy.

PUBBLICITA’ E PRIVACY

Insieme contro il telemarketing invasivo

Secondo l’articolo Telemarketing selvaggio, convergenza tra Garante Privacy e Agcom, il Garante per la protezione dei dati personali e l’Autorità per le garanzie nelle comunicazioni (Agcom) hanno trovato una convergenza, dal punto di vista di regolamento e di sanzioni, nella lotta al fenomeno del “telemarketing selvaggio”.

Entrambi hanno promosso un codice di condotta, sottoscritto da diversi operatori e associazioni.

Il Garante prosegue con i monitoraggi contro attività di telemarketing non rispettose del GDPR, specie con riguardo alla completezza e chiarezza dell’informativa. Spesso avviene una profilazione dell’utente, senza che questo abbia ricevuto informazioni utili su tempi, modi e finalità del trattamento.

Da una sentenza del Garante, deriva la conferma sulla possibilità di effettuare, a mezzo email (e non con altri mezzi, quali gli SMS), il “soft spam” [nel “legittimo interesse del titolare del trattamento”, ndr], cioè la promozione di prodotti o servizi simili a quelli gli forniti all’interessato, senza richiesta di un nuovo consenso, purché sia sempre presente la possibilità di opporsi al trattamento [e purché l’invio delle email non sia troppo frequente, ndr]

Il consenso, principale base di legittimazione del telemarketing

L’autore dell’articolo Marketing a norma privacy, sotto la lente il consenso come base giuridica privilegiata premette i principi che da un lato tutelano l’interesse delle aziende a promuovere i loro prodotti o servizi e dall’altro quello delle persone, che non devono essere molestate da comunicazioni commerciali invasive, né perdere il diritto alla riservatezza. Questi due diversi interessi devono essere bilanciati ed anzi il GDPR pone dei limiti ai primi, stabilendo requisiti che devono essere rispettati.

Il consenso può essere la base giuridica per il trattamento, purché “libero, specifico, informato, inequivocabile e manifestato attraverso una dichiarazione o un’azione positiva non equivoca” (che deve essere registrata, a prescindere dal supporto utilizzato). Tuttavia si deve tener presente che il consenso al telemarketing non deve essere subordinato alla possibilità di acquistare un bene o un servizio, o condizionato da scelte ulteriori.

E’ noto inoltre come la presenza di caselle di consenso precompilate sia in contrasto con il Regolamento.

Si possono distinguere tre tipi di consenso:

  1. consenso al marketing diretto, per cui può essere inviato all’utente qualsiasi tipo di comunicazione, purché sia precisato nell’informativa, insieme alla durata del trattamento (“conservazione dei dati”) che può anche essere “sino a revoca”;
  2. consenso al marketing di terzi, purché l’informativa contenga l’elenco di questi soggetti [ed il buon senso direbbe e purché questi possano essere esclusi integralmente e non uno alla volta, essendo presenti casi in cui l’elenco è costituito da centinaia di terzi cui il titolare intende trasferire i dati; ndr]
  3. consenso ad attività di profilazione, tipologia non esaminata qua dall’autore [ma trattata già in diversi altri articoli], che consiste nella raccolta ed elaborazione dei dati personali, al fine di suddividerli in gruppi a seconda del comportamento degli utenti di uno o più servizi.

L’autore aggiunge alcune interessanti osservazioni.

Se un’azienda utilizza diversi canali promozionali e/o di vendita e per ciascuno riceve un consenso specifico, nel caso in cui anche uno solo dei consensi venga ritirato o modificato, il titolare deve aggiornare e rendere coerenti tutti i vari sistemi.

Per quanto possa apparentemente sembrare strano, è illegittimo inviare una comunicazione con la possibilità, per l’interessato, di prestare il consenso al marketing, cui conseguirebbe la sua iscrizione in una lista di indirizzi. Infatti, siffatta comunicazione è considerata già attività di marketing.

L’autore cita il Registro delle Opposizioni come una “norma che è andata nella giusta direzione i cui riflessi pratici però nella vita di tutti i giorni si stentano ad intravedere”. [Infatti, sono troppi gli operatori che continuano a violarla, facendo oltretutto concorrenza sleale a quelli corretti, oltre a produrre un disturbo inaccettabile agli utenti; ndr.]

Se si esternalizza l’attività di marketing, l’affidabilità dei fornitori deve essere stata verificata, inoltre essi devono essere nominati Responsabili esterni del trattamento dei dati personali.

[E’ da aggiungere che se un utente modifica i suoi dati o revoca uno o più consensi, il titolare deve informare e pretendere l’adeguamento anche a cura di tutti i terzi cui i dati sono stati trasferiti; ndr]

IN BREVE, DALL’ITALIA E DAL MONDO

Quanto è legato al regolamento europeo l’accordo per il trasferimento dei dati personali da Gran Bretagna e Stati Uniti?

L’articolo Regno Unito: il 12 ottobre scocca l’ora del ‘Data Bridge’, il ponte di dati tra UK e USA informa che il governo britannico ha adottato il Data Protection (Adequacy) Regulations 2023, noto anche come “UK-U.S. Data Bridge“, grazie al quale le aziende del Regno Unito potranno trasferire dati personali a società con sede negli Stati Uniti certificate ai sensi del Data Privacy Framework (DPF) senza la necessità di adottare ulteriori misure di conformità.

C’è da chiedersi cosa succederebbe all’UK-US Data Bridge qualora il DPF della Comunità europea venisse invalidato, vista l’ennesima causa Schrems, subendo la sorte dei precedenti Safe Harbor e EU-US Privacy Shield. E’ possibile che l’UK-US Data Bridge possa anche sopravvivere al DPF.

Scadenza per l’iscrizione nel registro dei titolari effettivi

Dall’articolo È partito il Registro dei Titolari effettivi: antiriciclaggio e aspetti privacy da presidiare si apprende che, nell’ambito del perseguimento antiriciclaggio, il D.Lgs 236/2033 ha stabilito che entro l’11 dicembre 2023 devono essere comunicati alla Camera di commercio competente, ai fini dell’iscrizione nel Registro dei titolari effettivi (RTE), i nominativi delle persone fisiche titolari di società. Le entità soggette a questo obbligo sono le imprese con personalità giuridica, le persone giuridiche private, i trust e istituti giuridici affini.

Entro trenta giorni vanno comunicate eventuali modifiche e entro un anno i dati devono essere confermati.

I Titolari effettivi (TE) sono coloro che hanno esercitano il potere di rappresentanza legale, amministrativa o direzionale; per le società di capitali (ad es.) i TE sono costituiti da coloro che detengono oltre il 25% del capitale sociale, o che possiedono il controllo della società, o che hanno esercitato il potere di rappresentanza legale, amministrativa o direzionale.

Al registro può accedere, in base ad un apposito decreto, una serie di entità pubbliche che vanno dal MEF alla GdF, nonché i Titolari Stessi, che, anzi, devono rettificare eventuali discrepanze nei dati. Poiché il registro conterrà dati personali, non dovrebbe poter essere acceduto dal pubblico. Inoltre, per il regolamento privacy, il registro, quale data-base, deve essere protetto in via logica [oltre che fisica per il suo supporto, ndr] attraverso misure tecniche ed organizzative e i log degli accessi e delle operazioni devono essere mantenuti a cura del gestore.

Misure privacy da estendere per la moneta elettronica europea

L’articolo Euro digitale, per i garanti europei servono maggiori garanzie sulla privacy informa che in un parere congiunto il Comitato europeo per la protezione dei dati (EDPB) e il Garante europeo della protezione dei dati (EDPS) chiedono standard privacy più elevati per l’euro digitale, proposto dal Parlamento e dal Consiglio europei.

[L’euro digitale sarà una moneta emessa dalla BCE, alternative al contante e non soggetta alle fluttuazioni delle cryptovalute. Servirà a pagare gli esercenti o a trasferire denaro tra persone. Non essendo una carta di credito non richiede l’intermediazione di una banca e potrà essere utilizzata, senza disporre necessariamente di un conto corrente, anche offline, senza commissioni ed anche dai minori. Ndr]

La pubblicazione per la trasparenza delle attività delle P.A. non violi la riservatezza degli interessati

L’articolo Cassazione: sì alla trasparenza istituzionale ma nel rispetto di privacy e dignità personale, approfondendo l’ambito legale e della privacy e prendendo spunto da un’ordinanza della Corte di cassazione, evidenzia che l’obbligo, per le pubbliche amministrazioni, di pubblicare atti e documenti sui organizzazione, risorse e obiettivi di gestione, con finalità di trasparenza e controllo delle proprie attività, deve essere mediato per non infrangere il regolamento GDPR sulla privacy. Pertanto, le informazioni fornite, sui siti web istituzionali, che implicano dati personali devono essere minimizzate, bilanciate tra diritti del titolare e degli interessati e, possibilmente anonimizzate [o aggregate, ndr] per salvaguardare l’identità e le informazioni riservate degli interessati.

VIOLAZIONI DI DATI PERSONALI E SANZIONI, IN BREVE

  • Secondo una ricerca, la società di food delivery Glovo sa dove si trovano i suoi rider, ben identificati da nome, cognome e codice identificativo, anche al di fuori degli orari di lavoro, e senza averli informarti ne condivide i dati con le agenzie di marketing.
  • Secondo la corte di cassazione, il magistrato ha il potere di modificare, aumentandolo o diminuendolo, l’importo delle sanzioni irrogate dal Garante della privacy. Questo è in conseguenza dell’imprevedibilità e possibile incoerenza nella definizione dei profili sanzionatori, in quanto il GDPR definisce solo i limiti massimi in termini assoluti o percentuali rispetto al fatturato.
  • Comminata una sanzione di 10 milioni di € a una società fornitrice di energia elettrica e gas, per l’attivazione di contratti non richiesti a causa del trattamento di dati inesatti non verificati a dovere.
  • Una struttura sanitaria che aveva subito un attacco ransomware, con conseguenti limitazione dell’accesso al database e richiesta di un riscatto, è stata sanzionata dal Garante, poiché ha riscontrato misure di protezione insufficienti (credenziali solo con password e mancata segmentazione della rete).
  • Sanzionata un’università telematica per aver inviato sms promozionali senza il consenso dei destinatari.

ing. Michele Lopardo

Responsabile Qualità @ Wondersys