Nasce la Global Privacy Assembly (GPA), la Conferenza Mondiale dei Garanti Privacy. Adottate 6 Risoluzioni in materia di protezione dei dati personali.

Dal 15 novembre 2019 la Conferenza Internazionale delle Autorità per la Protezione dei Dati (ICDPPC) si è trasformata nella Global Privacy Assembly (GPA), un nuovo organismo permanente, più strutturato ed operativo, a cui aderiscono attualmente 124 autorità con competenza in materia di protezione dei dati personali di oltre 80 diversi Paesi del mondo.

Si tratta di una delle strategie maturate nel corso della quarantunesima conferenza internazionale delle Autorità per la protezione dei dati (ICDPPC), che si è svolta a Tirana (Albania) dal 21 al 24 ottobre 2019 sul tema “Convergence and connectivity raising global data protection standards in the digital age”.

Come precisato anche dal nostro Garante per la protezione dei dati personali, che ha partecipato ai lavori, nella predetta conferenza

a) sono state tracciate le ulteriori linee strategiche concordate a livello mondiale: “il riconoscimento della privacy come diritto fondamentale per il buon funzionamento delle democrazie, lotta sui social media ai messaggi inneggianti al terrorismo, più intensa cooperazione tra le Autorità che tutelano i dati personali e quelle che operano a tutela dei consumatori e della concorrenza, riduzione dell’errore umano nelle violazioni dei dati”;

b) sono state adottate, nell’ambito di un programma di lavoro comune (per tutte le oltre 120 autorità intervenute) che possa rafforzare la protezione dei dati su scala globale;

c) sono state adottate sei Risoluzioni su temi nevralgici, ricapitolate nella newsletter del Garante italiano del 28 novembre 2019:

La Risoluzione sulla privacy come diritto umano fondamentale e prerequisito per l’esercizio di altri diritti fondamentali”, che ha visto come co-sponsor il Garante italiano, riconosce il ruolo fondamentale di questo diritto per il corretto funzionamento delle democrazie sottoposte, tra l’altro, ai rischi generati dalla profilazione e dall’uso di messaggi manipolatori in campo politico. A tale proposito, è stato chiesto un fattivo intervento anche a governi, legislatori e mondo imprenditoriale.

Nella “Risoluzione sul ruolo dell’errore umano nei data breaches” viene messa in evidenza la necessità di un’adeguata formazione del personale, di ulteriori misure per la riduzione del rischio e della costituzione di un archivio globale dove tener traccia delle violazioni. 

La “Risoluzione sulla promozione di strumenti pratici di breve e lunga durata e una continuativa strategia giuridica per un’efficace cooperazione nell’enforcement transnazionale” propone, tra i vari punti, la mappatura di eventuali impedimenti giuridici riscontrati nelle procedure di cooperazione, così da favorire l’individuazione di apposite soluzioni.

La “Risoluzione per supportare e facilitare la cooperazione tra Autorità di protezione dati e le competenti autorità per la tutela dei consumatori e della concorrenza, al fine di raggiungere standard di protezione dati chiari e globalmente elevati nell’economia digitale” amplia lo spettro di azione dei Garanti privacy, chiedendo un coordinamento maggiore con altri importanti regolatori del mercato digitale.

La “Risoluzione sui social media e i contenuti online di natura violenta ed estremista” propone misure urgenti contro i messaggi d’odio, senza limitare il diritto di espressione.

Nel corso dei lavori è stata adottata anche una risoluzione che delinea il piano d’azione della Conferenza fino al 2021. A tal proposito, è stato deciso di garantire un’organizzazione più strutturata alla rete globale di Autorità privacy (ICDPPC), trasformandola, già a partire dal 15 novembre 2019, in un nuovo organismo permanente, più visibile e operativo, la Global Privacy Assembly (GPA).


Appalti pubblici e bandi di gara: il ruolo privacy delle compagnie di assicuzione

Il Garante per la protezione dei dati personali, con provv. del 28.10.2019 (doc. web n. 9169688), ha chiarito il “ruolo privacy” delle compagnie di assicurazione nei bandi di gara indetti dalla p.a. per l’affidamento dei servizi assicurativi (polizze infortuni, responsabilità civile di terzi, etc.). Continue reading “Appalti pubblici e bandi di gara: il ruolo privacy delle compagnie di assicuzione”

Motori di ricerca e deindicizzazione (diritto all’oblio). CGUE, sent. 24 settembre 2019, causa C-136/17

Corte di Giustizia dell’UE (CGUE ) – Grande Sezione

Sent. 24.9.19, causa C-136/17  

 Dispositivo | Testo Integrale, CGUE

Dispositivo

1)      Le disposizioni dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, devono essere interpretate nel senso che i divieti o le restrizioni riguardanti il trattamento di categorie particolari di dati personali, di cui alle suddette disposizioni, si applicano, fatte salve le eccezioni previste dalla stessa direttiva, anche al gestore di un motore di ricerca nell’ambito delle sue responsabilità, competenze e possibilità, quale responsabile del trattamento effettuato durante l’attività di tale motore di ricerca, in occasione di una verifica compiuta da tale gestore, sotto il controllo delle autorità nazionali competenti, a seguito di una richiesta presentata dalla persona interessata.

2)      Le disposizioni dell’articolo 8, paragrafi 1 e 5, della direttiva 95/46 devono essere interpretate nel senso che, in base ad esse, il gestore di un motore di ricerca, in linea di principio, è tenuto ad accogliere, fatte salve le eccezioni previste da tale direttiva, le richieste di deindicizzazione riguardanti link che rinviano a pagine web nelle quali compaiono dati personali rientranti nelle categorie particolari contemplate da tali disposizioni.

L’articolo 8, paragrafo 2, lettera e), della direttiva 95/46 deve essere interpretato nel senso che, in conformità di tale articolo, un gestore del genere può rifiutarsi di accogliere una richiesta di deindicizzazione ove constati che i link controversi dirigono verso contenuti che comprendono dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafo 1, ma il cui trattamento è incluso nell’eccezione di cui all’articolo 8, paragrafo 2, lettera e), sempre che tale trattamento risponda a tutte le altre condizioni di liceità poste dalla suddetta direttiva e salvo che la persona interessata abbia, in forza dell’articolo 14, primo comma, lettera a), della medesima direttiva, il diritto di opporsi a detto trattamento per motivi preminenti e legittimi, derivanti dalla sua situazione particolare.

Le disposizioni della direttiva 95/46 devono essere interpretate nel senso che il gestore di un motore di ricerca, quando riceve una richiesta di deindicizzazione riguardante un link verso una pagina web nella quale sono pubblicati dati personali rientranti nelle categorie particolari di cui all’articolo 8, paragrafi 1 o 5, di tale direttiva, deve – sulla base di tutti gli elementi pertinenti della fattispecie e tenuto conto della gravità dell’ingerenza nei diritti fondamentali della persona interessata al rispetto della vita privata e alla protezione dei dati personali, sanciti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea – verificare, alla luce dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della suddetta direttiva e nel rispetto delle condizioni previste in quest’ultima disposizione, se l’inserimento di detto link nell’elenco dei risultati, visualizzato in esito ad una ricerca effettuata a partire dal nome della persona in questione, si riveli strettamente necessario per proteggere la libertà di informazione degli utenti di Internet potenzialmente interessati ad avere accesso a tale pagina web mediante una ricerca siffatta, libertà che è sancita all’articolo 11 della Carta.

3)      Le disposizioni della direttiva 95/46 devono essere interpretate nel senso che,

–        da un lato, le informazioni relative a un procedimento giudiziario di cui è stata oggetto una persona fisica e, se del caso, quelle relative alla condanna che ne è conseguita costituiscono dati relativi alle «infrazioni» e alle «condanne penali» ai sensi dell’articolo 8, paragrafo 5, della suddetta direttiva, e

–        d’altro lato, il gestore di un motore di ricerca è tenuto ad accogliere una richiesta di deindicizzazione vertente su link verso pagine web, nelle quali compaiono le suddette informazioni, quando queste ultime si riferiscono ad una fase precedente del procedimento giudiziario considerato e non corrispondono più, tenuto conto dello svolgimento di quest’ultimo, alla situazione attuale, nei limiti in cui si constati, nell’ambito della verifica dei motivi di interesse pubblico rilevante di cui all’articolo 8, paragrafo 4, della stessa direttiva, che, tenuto conto di tutte le circostanze pertinenti della fattispecie, i diritti fondamentali della persona interessata, garantiti dagli articoli 7 e 8 della Carta dei diritti fondamentali dell’Unione europea, prevalgono su quelli degli utenti di Internet potenzialmente interessati, protetti dall’articolo 11 di tale Carta.

 


Testo Integrale Continue reading “Motori di ricerca e deindicizzazione (diritto all’oblio). CGUE, sent. 24 settembre 2019, causa C-136/17”

Il trattamento dei dati nel settore farmaceutico (Seminario Unibo 21.3.2019)

Presso l’Università di Bologna si terrà il seminario dal titolo “Il trattamento dei dati nel settore farmaceutico“, Il 21 marzo 2019, dalle 15 alle 17.

Speaker: Fabio Bravo (Direttore del Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna) e Alessandro De Vico (Legal Counsel, International Legal Department, AbbVie Italy).

L’evento, che si terrà presso l’Aula Achille Ardigò di Palazzo Ercolani, in Strada Maggiore n. 45, Bologna, presso il Dipartimento di Sociologia e Diritto dell’Economia, è ad ingresso libero.

Il seminario rientra nell’ambito delle attività del Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna.

Convegno Univ. Bologna 20 aprile 2018 sulla privacy: “il nuovo Regolamento europeo sulla privacy alla vigilia della sua applicazione e il coordinamento con la normativa nazionale”

il 20 aprile 2018, dalle 11 alle 17, si svolgerà all’Università di Bologna, nell’Aula S. Giacomo del Dipartimento di Sociologia e Diritto dell’Economia, in via S. Giacomo n. 3, il Convegno sul tema “Il Regolamento europeo sulla privacy alla vigilia della sua applicazione  e il coordinamento con la normativa nazionale“.

Il Convegno rientra nell’ambito delle attività del Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna.

 

Confindustria Emilia Area Centro: eventi sul GDPR per le imprese associate

Confindustria Emilia Area Centro, nelle tre sedi di Bologna, Ferrara e Modena, ha organizzato, in favore delle imprese associate, tre Convegni sul tema “La protezione dei dati personali alla luce del Regolamento Europeo 679/2016:  comprendere il contesto e gestire gli adempimenti”, rispettivamente il 1°, il 5 e il 6 febbraio.

Tra i relatori  anche il Direttore del Corso di Alta Formazione in Data Protection e Privacy Officer, dell’Università di Bologna, Prof. Avv. Fabio Bravo, nonché il Prof. Simone Scagliarini dell’Univ. di Modena e Reggio Emilia, con le seguenti relazioni:

Continue reading “Confindustria Emilia Area Centro: eventi sul GDPR per le imprese associate”

Legge europea e data retention. Nuovi termini per la conservazione dei dati del traffico telefonico e telematico e delle chiamate senza risposta

Con l’art. 24 della Legge Europea 2017 (Legge n. 167/2017), è stato portato  a 72 mesi il termine di conservazione dei dati di traffico telefonico e telematico e dei dati relativi alle chiamate senza risposta, in deroga a quanto previsto dall’art. 132 Codice della privacy. Continue reading “Legge europea e data retention. Nuovi termini per la conservazione dei dati del traffico telefonico e telematico e delle chiamate senza risposta”

Legge europea e riutilizzo dei dati per finalità di ricerca o per scopi statistici. Modifiche al Codice privacy

Con l’art. 29 della L. 167/2017 (Legge europea 2017) il Parlamento italiano ha provveduto a disciplinare il riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici, subordinato ad autorizzazione del Garante previa applicazione di misure di sicurezza volta alla minimizzazione o all’anonimizzazione dei dati, introducendo, nel Codice in materia di protezione dei dati personali, l’art. 100 bis, del seguente tenore: Continue reading “Legge europea e riutilizzo dei dati per finalità di ricerca o per scopi statistici. Modifiche al Codice privacy”