Pubblica Amministrazione

• Trattamento di dati biometrici per finalità di rilevazione delle presenze

  GPDP, Docweb n. 9542071 del 14 gennaio 2021 | Massime e Commento di Marco Zanon

• Limiti dell’accesso civico ai dati personali delle persone decedute e ambito di applicazione del GDPR a tale categoria di dato personale

  GPDP, Docweb n. 9084520 del 10 gennaio 2019 | Massime e Commento di Giovanni Di Ciollo

• GPDP, Docweb n. 9084520, 10.1.2019 (1)

  Massima (1) – Il riconoscimento, effettuato dal Codice, della possibilità di esercitare i diritti di cui agli artt.15-22 GDPR, riferiti a dati personali di persone decedute, da parte dei soggetti elencati nell’art. 2-terdecies, co. 1, d.lgs. 30 giugno 2003, n. 196, implica un’estensione dell’ambito di applicazione del GDPR ai trattamenti aventi ad oggetto dati personali concernenti le persone decedute.

• GPDP, Docweb n. 9084520, 10.1.2019 (2)

  Massima (2) – L’esercizio dell’accesso civico incontra tra i suoi limiti sostanziali, ai sensi dell’art. 5-bis, co. 2, lett. a), d.lgs. 14 marzo 2013, n. 33, il rispetto della normativa posta a tutela dei dati personali, ai sensi della quale non possono essere oggetto del diritto accesso civico i dati alla salute, pena la violazione del disposto dell’art. 2-septies, co. 8, d.lgs. 30 giugno 2003, n. 196.

• GPDP, Docweb n. 9542071, 14.01.2021 (1)  

  Massima (1) – Le Pubbliche Amministrazioni non sono legittimate al trattamento dei dati biometrici dei dipendenti per finalità di rilevazione delle presenze, non sussistendo, allo stato, alcuna base giuridica idonea a soddisfare i requisiti di legge.

• GPDP, Docweb n. 9543119, 14.1.2021 (2) 

  Massima (2): Deve considerarsi in violazione del principio di proporzionalità, del principio di limitazione delle finalità e del principio di minimizzazione dei dati e, pertanto, non ammissibile, il trattamento di dati personali consistente nell’acquisizione dell’elenco nominativo degli iscritti alle organizzazioni e associazioni legittimate a proporre una “azione di classe” da cui estrarre un campione per il quale richiedere copia delle contabili dei versamenti delle quote associative o delle conferme di adesione, finalizzato ad esercitare un controllo amministrativo per la verifica dei requisiti posseduti dalle medesime organizzazioni e associazioni per l’iscrizione all’elenco degli enti legittimati a proporre una “azione di classe”. Il controllo amministrativo su tali dati personali, aventi natura particolare ex art. 9 GDPR, potrebbe compromettere la libertà di associazione garantita dall’art. 18 Cost., dissuadendo le persone interessate dalla partecipazione a forme di aggregazione sociale ove poter sviluppare la propria personalità (art. 3, comma 2, Cost.) per il timore di possibili conseguenze di carattere discriminatorio o di esclusione sociale che potrebbero derivare dalla comunicazione a soggetti terzi, per finalità di controllo, della propria scelta associativa in un ambito, peraltro, settoriale, qual è quello dell’esercizio della azione di classe. 

• GPDP, Docweb n. 9543119, 14.1.2021 (1) 

  Massima (1): Il titolare del trattamento dei dati personali relativo all’istituzione dell’elenco pubblico delle organizzazioni e associazioni legittimate a proporre una “azione di classe” va individuato nel Ministero della Giustizia, presso cui è istituito il predetto elenco, e non nella persona del Direttore generale della competente Direzione, sotto la cui responsabilità gestionale viene tenuto l’elenco medesimo. Ciò non toglie che il Ministero, in qualità di titolare, possa prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la sua autorità (cfr. art. 2 quaterdecies del Codice).

• GPDP, Docweb n. 9169688, 21.10.2019 (2)

  Massima (2) – La base giuridica legittimante il trasferimento dei dati, diversi da quelli di cui agli artt. 9 e 10 del GDPR, dall’ente o soggetto aggiudicante alla compagnia aggiudicataria può essere rinvenuta nell’art. 6, par. 1, lett. b), del GDPR (trattamento necessario per l’esecuzione di un contratto di cui l’interessato è parte). Ipotesi, questa, che rende evidente come un eventuale trattamento effettuato a fini diversi da quelli assicurativi (es. marketing) sia precluso al soggetto aggiudicatario, che diversamente incorrerebbe anche in una violazione degli obblighi contrattuali, oltre che nella violazione della disciplina in materia di protezione dei dati personali.

• GPDP, Docweb n. 9169688, 21.10.2019 (1)

  Massima (1) – Nell’ambito dei bandi di gara aventi ad oggetto la fornitura di servizi assicurativi e nella formalizzazione del successivo rapporto da instaurarsi tra ente aggiudicante e impresa assicuratrice, quest’ultima non va inquadrata nel ruolo di responsabile del trattamento ex art. 28 GDPR, né in quello di contitolare del trattamento, ma quale autonomo titolare del trattamento,in quanto non pone in essere un trattamento di dati “per conto” dell’ente aggiudicante, circostanza questa che, peraltro, priverebbe la società medesima dell’autonomia necessaria ad una corretta valutazione e liquidazione del danno.

• Parere sullo schema di decreto (di natura regolamentare) del Ministero della Giustizia concernente l’istituzione dell’elenco pubblico delle organizzazioni e associazioni legittimate a proporre una “azione di classe”

  GDPD, Docweb n. 9543119 del 14 gennaio 2021 | Massime e Commento di Rosamaria Gallo e Corina Pop