Massime

  • GPDP, Docweb 9751362, 10.2.2022 (8)

    Massima (8) – La pubblicazione di dati personali in Internet, per il solo fatto del loro pubblico stato, non legittima il loro trattamento da parte di titolari terzi per finalità proprie, ulteriori e non compatibili rispetto a quelle originariamente perseguite con la pubblicazione.

  • GPDP, Docweb 9751362, 10.2.2022 (7)

    Massima (7) – Per legittimare un’attività di trattamento, un titolare che tratta categorie particolari di dati non può mai invocare soltanto un fondamento giuridico ai sensi dell’art. 9 GDPR, ma dovrà applicare, in maniera cumulativa, anche le previsioni dell’art. 6 GDPR al fine di garantirne il livello di tutela pertinente. L’applicazione cumulativa delle tutele previste dagli articoli citati risulta dirimente anche per escludere interpretazioni che portino a sostenere la possibilità di trattare categorie particolari di dati, senza rispettare l’art. 6, in presenza delle sole eccezioni di cui all’art. 9. Per tale ragione, ad esempio, sarebbe inappropriato concludere che il fatto che qualcuno abbia reso alcune categorie particolari di dati manifestamente pubbliche, ai sensi dell’art. 9, par. 2, lett. e), del GDPR, sia (sempre in sé e per sé) una condizione sufficiente a consentire qualunque tipo di trattamento dei dati, senza effettuare un test comparativo degli interessi e dei diritti in gioco in conformità dell’art. 6, par. 1, lett. f), del GDPR.

  • GPDP, Docweb 9751362, 10.2.2022 (6)

    Massima (6) – La rappresentazione vettoriale di dati biometrici non fa venire meno il carattere biometrico della rappresentazione stessa.

  • GPDP, Docweb 9751362, 10.2.2022 (5)

    Massima (5) – Ove un provider statunitense, privo di un proprio stabilimento nell’UE, ponga in essere un trattamento di dati personali qualificabile come “transfrontaliero” ai sensi dell’art. 4, par. 1, n. 23 del GDPR, in quanto idoneo ad incidere su interessati in più di uno Stato membro, trova applicazione quanto previsto dall’art. 55, par. 1, GDPR, ai sensi del quale «ogni Autorità di controllo è compente ad eseguire i compiti assegnati e a esercitare i poteri ad essa conferiti a norma del (…) regolamento nel territorio del rispettivo Stato membro». Tale disposizione è idonea a fondare la competenza dell’Autorità di protezione dati italiana in ordine alla valutazione, con riguardo al proprio territorio, della conformità al Regolamento europeo del trattamento di dati personali posto in essere da tale provider e ad esercitare i poteri ad essa riconosciuti dall’art. 58 GDPR.

  • GPDP, Docweb 9751362, 10.2.2022 (4)

    Massima (4) – Il trattamento posto in essere da un Internt Service Provider, consistente nella raccolta di immagini dal web (c.d. web scraping) e nella loro elaborazione con strumenti automatizzati al fine di creare rappresentazioni vettoriali di volti e, successivamente, sottoporli ad hash per indicizzare i dati, operazione necessaria per stabilire una eventuale correlazione con le immagini oggetto di comparazione caricate dagli utenti, è attività che non appare sovrapponibile a quella posta in essere da un qualsiasi motore di ricerca, tenuto conto del fatto che il titolare compie una rielaborazione tecnica delle immagini raccolte, tanto da renderle “dati biometrici”, alle quali sono peraltro associate informazioni certamente idonee ad identificare la persona ritratta, a cui viene correlato un archivio di risorse che si snoda attraverso il tempo. La valutazione di tale circostanza, unitamente alla finalità comparativa sopra evidenziata, è idonea ad integrare, come richiesto nel Considerando 24, un’attività assimilabile al controllo del comportamento dell’interessato, ossia al monitoraggio dell’interessato, in quanto posta in essere tramite il tracciamento in Internet e la successiva profilazione. Ove tale attività sia posta in essere da un provider stabilito al di fuori dell’UE, è ravvisabile l’ambito territoriale di applicazione del GDPR ai sensi dell’art. 3, par. 2, lett. b).

  • GPDP, Docweb 9751362, 10.2.2022 (3)

    Massima (3) – La creazione di un archivio di dati personali che riguarda un interessato presente nell’Unione che si compone di informazioni articolate nel tempo o di riferimenti a momenti temporali diversi, arricchito con tutte le informazioni associabili alla persona stessa ed i cui dati vengono analizzati comparativamente, integra il requisito del monitoraggio del comportamento dell’interessato.

  • GPDP, Docweb 9751362, 10.2.2022 (2)

    Massima (2) – Ove un Internet Service Provider con stabilimento extra UE decida di chiudere gli account europei e di non offrire più i suoi prodotti e servizi nel contesto dell’Unione europea, inibendo l’accesso agli IP europei, può ugualmente evincersi che, nel periodo precedente a tale decisione, il Provider indirizzava – e aveva l’intenzione di farlo – i propri prodotti e servizi anche in Europa. In ragione di ciò può pertanto trovare applicazione la disciplina europea in materia di protezione dei dati personali, qualora, ai sensi dell’art. 3, par. 2, lett. a), GDPR, si desumano dalla fattispecie concreti elementi che possano far ritenere sussistente l’intenzione del titolare del trattamento di offrire beni e servizi a destinatari che si trovino in Europa, anche nella ipotesi in cui il bene e servizio non venga mai commercializzato.

  • GPDP, Docweb 9751362, 10.2.2022 (1)

    Massima (1) – Ove il titolare del trattamento non individui un proprio stabilimento in Europa, al fine di condurre una valutazione in ordine all’applicabilità della normativa europea in materia di protezione dei dati personali al trattamento da questi posto in essere, occorre verificare la sussistenza dei criteri di cui all’art. 3, par. 2, del GDPR (c.d. targeting). Tali criteri sono individuati nell’offerta di beni o servizi ad interessati che si trovano nell’Unione oppure nello svolgimento, rispetto a questi ultimi, di un’attività correlata al monitoraggio del comportamento di essi, nella misura in cui quest’ultimo ha luogo nell’Unione.

  • GPDP, Docweb 9737121, 16.12.2021 (5)

    Massima (5) – Al fine di contemperare i diritti della persona (in particolare il diritto alla riservatezza) con la libertà di manifestazione del pensiero, la disciplina in materia di protezione dei dati personali prevede specifiche garanzie e cautele nel caso di trattamenti effettuati per finalità giornalistiche, confermando la loro liceità, anche laddove essi si svolgano senza il consenso degli interessati, purché avvengano nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone alle quali si riferiscono i dati trattati (cfr. artt. 136 ss. e art. 102, comma 2, lett. a), del Codice) e sempre che si svolgano nel rispetto del principio dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico (art. 6 delle “Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica”, pubblicate in G.U. 4 gennaio 2019, n. 3).

  • GPDP, Docweb 9737121, 16.12.2021 (4)

    Massima (4) – Non può costituire una causa di giustificazione rispetto all’eccedenza informativa posta in essere la circostanza della presenza in rete di numerose informazioni riguardanti l’interessata – per la verità quasi tutte molto datate – posto che l’aliquid novi è costituito dalla ripubblicazione della notizia, ovvero da una rinnovata diffusione della stessa a distanza di un lasso di tempo particolarmente rilevante per finalità di rievocazione storica, peraltro amplificata dalla successiva divulgazione dell’articolo anche con altri mezzi.

Open Access