L’EDPB (European Data Protection Board) ha adottato, il 29 gennaio 2020, la versione 2.0 delle Guidelines No. 3/2019 on processing of personal data through video devices, a seguito di pubblica consultazione. E’ disponibile anche una versione in italiano.
Continue reading “EDPB, Linee guida in tema di videosorveglianza e altri trattamenti con dispositivi video”ENISA e valutazione di impatto (PIA)
L’ENISA (European Union Agency for Cybersecurity) ha fornito un interessante contributo per agevolare gli adempimenti in materia di protezione dei dati personali, soprattutto per le PMI.
Ha offerto, quale esito di un lavoro a cui ha preso parte anche il ns. Garante per la protezione dei dati personali, uno strumento online per la valutazione della sicurezza dei dati personali, utile sia ex art. 32 GDPR che per la valutazione di impatto ex art. 35 GDPR (On-line tool for the security of personal data processing).
Nell’ambito di tale strumento sono stati resi disponibili le seguenti risorse:
- uno strumento per la valutazione di impatto, basato sull’analisi dei rischi [ Evaluating the level of risk for a personal data processing operation ]
- uno strumento di self assessment concernente le misure di sicurezza implementate [ (Self)assessing the implemented security measures ]
- Una breve sintesi della metodologia applicata [Overview of the Methodology]
- Alcuni studi significativi in materia [Relevant ENISA studies]
Elaborati scritti, CV dei candidati e verbali di correzione degli elaborati relativi a concorso pubblico: no all’accesso civico, sì all’accesso ex l. 241/90
Su richiesta del Responsabile della prevenzione della corruzione e della trasparenza dell’Università degli Studi di Firenze, formulata ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013, il Garante per la protezione dei dati personali ha fornito il proprio parere (n. 200 del 7 novembre 2019) relativo a una richiesta di riesame sul provvedimento di diniego di un accesso civico avente ad oggetto la richiesta di «Copie degli elaborati delle prove scritte, dei relativi verbali di correzione e dei curriculum vitae sottoposti da tutti i candidati nell’ambito della procedura concorsuale per l’accesso al 33° ciclo del corso di dottorato di ricerca in Scienze della Formazione e Psicologia».
Continue reading “Elaborati scritti, CV dei candidati e verbali di correzione degli elaborati relativi a concorso pubblico: no all’accesso civico, sì all’accesso ex l. 241/90”Privacy e Scuola. Pubblicate dal Garante le domande più frequenti con relative risposte (FAQ)
Il Garante ha pubblicato sul proprio sito istituzionale le domande più frequenti, con le relative risposte (FAQ), su privacy e scuola.
Pubblicate le nuove Linee Guida sull’ambito di applicazione territoriale del GDPR
L’EDPB (European Data Protection Board – Comitato Europeo per la Protezione dei Dati), il 12 novembre 2019, ha adottato la versione aggiornata delle linee-guida sull’ambito territoriale, all’esito di una pubblica consultazione.
Come chiarito dal Garante in un suo recente comunicato stampa
“Le linee-guida forniscono chiarimenti sull’applicazione del Regolamento Ue 2016/679 in varie situazioni, ad esempio nel caso in cui il titolare o il responsabile del trattamento sia stabilito al di fuori del SEE, anche per quanto riguarda la designazione e il ruolo di un rappresentante ai sensi dell’articolo 27 del Regolamento stesso”.
“Il documento fornisce inoltre una serie di esempi volti a chiarire l’ambito di applicazione della disciplina di protezione dei dati tanto nel caso in cui venga in rilievo l’art. 3.1 (criterio dello stabilimento sul territorio) che l’art. 3.2 (criterio del targeting), oppure l’applicazione dell’art. 3.3 (criterio del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico)”.
Appalti pubblici e bandi di gara: il ruolo privacy delle compagnie di assicuzione
Il Garante per la protezione dei dati personali, con provv. del 28.10.2019 (doc. web n. 9169688), ha chiarito il “ruolo privacy” delle compagnie di assicurazione nei bandi di gara indetti dalla p.a. per l’affidamento dei servizi assicurativi (polizze infortuni, responsabilità civile di terzi, etc.). Continue reading “Appalti pubblici e bandi di gara: il ruolo privacy delle compagnie di assicuzione”
CEDU, Grande Camera, sent. 17 ottobre 2019 (caso López Ribalda et al. v. Spagna). Ammissibilità e limiti all’uso di telecamere nascoste sul luogo di lavoro
La Corte Europea dei Diritti dell’Uomo (CEDU), Grande Camera, con sentenza del 17 ottobre 2019 nel caso López Ribalda ed altri v. Spagna, ha affermato la liceità, entro determinati limiti, dell’uso di telecamere nascoste nei luoghi di lavoro.
Il Presidente del Garante per la protezione dei dati personali, in un suo comunicato, a commento della sentenza, ha chiarito che tale pronuncia non deve legittimare la sorveglianza occulta nella prassi ordinaria, dato che i controlli devono pur sempre rispondere a principi di proporzionalità e non eccedenza rispetto alle finalità legittime del trattamento..
Ha inoltre chiarito che:
“La sentenza della Grande Camera della Corte di Strasburgo se da una parte giustifica, nel caso di specie, le telecamere nascoste, dall’altra conferma però il principio di proporzionalità come requisito essenziale di legittimazione dei controlli in ambito lavorativo.
L’installazione di telecamere nascoste sul luogo di lavoro è stata infatti ritenuta ammissibile dalla Corte solo perché, nel caso che le era stato sottoposto, ricorrevano determinati presupposti: vi erano fondati e ragionevoli sospetti di furti commessi dai lavoratori ai danni del patrimonio aziendale, l’area oggetto di ripresa (peraltro aperta al pubblico) era alquanto circoscritta, le videocamere erano state in funzione per un periodo temporale limitato, non era possibile ricorrere a mezzi alternativi e le immagini captate erano state utilizzate soltanto a fini di prova dei furti commessi.
La videosorveglianza occulta è, dunque, ammessa solo in quanto extrema ratio, a fronte di “gravi illeciti” e con modalità spazio-temporali tali da limitare al massimo l’incidenza del controllo sul lavoratore. Non può dunque diventare una prassi ordinaria.
Il requisito essenziale perché i controlli sul lavoro, anche quelli difensivi, siano legittimi resta dunque, per la Corte, la loro rigorosa proporzionalità e non eccedenza: capisaldi della disciplina di protezione dati la cui “funzione sociale” si conferma, anche sotto questo profilo, sempre più centrale perché capace di coniugare dignità e iniziativa economica, libertà e tecnica, garanzie e doveri”.
Motori di ricerca e deindicizzazione (diritto all’oblio). CGUE, sent. 24 settembre 2019, causa C-507/17
Corte di Giustizia dell’UE (CGUE), Grande Sezione
Sent. 24.9.19, causa C-507/17
Dispositivo | Testo Integrale, CGUE
Dispositivo
L’articolo 12, lettera b), e l’articolo 14, primo comma, lettera a), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e l’articolo 17, paragrafo 1, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che il gestore di un motore di ricerca, quando accoglie una domanda di deindicizzazione in applicazione delle suddette disposizioni, è tenuto ad effettuare tale deindicizzazione non in tutte le versioni del suo motore di ricerca, ma nelle versioni di tale motore corrispondenti a tutti gli Stati membri, e ciò, se necessario, in combinazione con misure che, tenendo nel contempo conto delle prescrizioni di legge, permettono effettivamente di impedire agli utenti di Internet, che effettuano una ricerca sulla base del nome dell’interessato a partire da uno degli Stati membri, di avere accesso, attraverso l’elenco dei risultati visualizzato in seguito a tale ricerca, ai link oggetto di tale domanda, o quantomeno di scoraggiare seriamente tali utenti.
Testo integrale Continue reading “Motori di ricerca e deindicizzazione (diritto all’oblio). CGUE, sent. 24 settembre 2019, causa C-507/17”
Motori di ricerca e deindicizzazione (diritto all’oblio). CGUE, sent. 24 settembre 2019, causa C-136/17
Corte di Giustizia dell’UE (CGUE ) – Grande Sezione
Dispositivo | Testo Integrale, CGUE
Dispositivo
1) Le disposizioni dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, devono essere interpretate nel senso che i divieti o le restrizioni riguardanti il trattamento di categorie particolari di dati personali, di cui alle suddette disposizioni, si applicano, fatte salve le eccezioni previste dalla stessa direttiva, anche al gestore di un motore di ricerca nell’ambito delle sue responsabilità, competenze e possibilità, quale responsabile del trattamento effettuato durante l’attività di tale motore di ricerca, in occasione di una verifica compiuta da tale gestore, sotto il controllo delle autorità nazionali competenti, a seguito di una richiesta presentata dalla persona interessata.
2) Le disposizioni dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46 devono essere interpretate nel senso che, in base ad esse, il gestore di un motore di ricerca, in linea di principio, è tenuto ad accogliere, fatte salve le eccezioni previste da tale direttiva, le richieste di deindicizzazione riguardanti link che rinviano a pagine web nelle quali compaiono dati personali rientranti nelle categorie particolari contemplate da tali disposizioni.
L’articolo 8, paragrafo 2, lettera e), della direttiva 95/46 deve essere interpretato nel senso che, in conformità di tale articolo, un gestore del genere può rifiutarsi di accogliere una richiesta di deindicizzazione ove constati che i link controversi dirigono verso contenuti che comprendono dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafo 1, ma il cui trattamento è incluso nell’eccezione di cui all’articolo 8, paragrafo 2, lettera e), sempre che tale trattamento risponda a tutte le altre condizioni di liceità poste dalla suddetta direttiva e salvo che la persona interessata abbia, in forza dell’articolo 14, primo comma, lettera a), della medesima direttiva, il diritto di opporsi a detto trattamento per motivi preminenti e legittimi, derivanti dalla sua situazione particolare.
Le disposizioni della direttiva 95/46 devono essere interpretate nel senso che il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione riguardante un link verso una pagina web nella quale sono pubblicati dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafi 1 o 5, di tale direttiva, deve – sulla base di tutti gli elementi pertinenti della fattispecie e tenuto conto della gravità dell’ingerenza nei diritti fondamentali della persona interessata al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea – verificare, alla luce dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della suddetta direttiva e nel rispetto delle condizioni previste in quest’ultima disposizione, se l’inserimento di detto link nell’elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome della persona in questione, si riveli strettamente necessario per proteggere la libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina web mediante una ricerca siffatta, libertà che è sancita all’articolo 11 della Carta.
3) Le disposizioni della direttiva 95/46 devono essere interpretate nel senso che,
– da un lato, le informazioni relative a un procedimento giudiziario di cui è stata oggetto una persona fisica e, se del caso, quelle relative alla condanna che ne è conseguita costituiscono dati relativi alle «infrazioni» e alle «condanne penali» ai sensi dell’articolo 8, paragrafo 5, della suddetta direttiva, e
– d’altro lato, il gestore di un motore di ricerca è tenuto ad accogliere una richiesta di deindicizzazione vertente su link verso pagine web, nelle quali compaiono le suddette informazioni, quando queste ultime si riferiscono ad una fase precedente del procedimento giudiziario considerato e non corrispondono più, tenuto conto dello svolgimento di quest’ultimo, alla situazione attuale, nei limiti in cui si constati, nell’ambito della verifica dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della stessa direttiva, che, tenuto conto di tutte le circostanze pertinenti della fattispecie, i diritti fondamentali della persona interessata, garantiti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, prevalgono su quelli degli utenti di Internet potenzialmente interessati, protetti dall’articolo 11 di tale Carta.
Testo Integrale Continue reading “Motori di ricerca e deindicizzazione (diritto all’oblio). CGUE, sent. 24 settembre 2019, causa C-136/17”
Nuovo Codice deontologico sui SIC (Sistemi di Informazioni Creditizie)
E’ stato emanato il nuovo “Codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti” (SIC, Sistemi di Informazioni Creditizie), proposto dalle associazioni di categoria e approvato dal Garante per la protezione dei dati personali, all’esito del lavoro di revisione del vecchio Codice deontologico, per adeguarlo alle modifiche introdotte sia dalla normativa europea (GDPR) e nazionale in materia di protezione dei dati personali, sia dagli ulteriori sviluppi tecnologici di settore (Fintech).
Continue reading “Nuovo Codice deontologico sui SIC (Sistemi di Informazioni Creditizie)”