Massime e Commenti

  • GPDP, Docweb n. 9793939, 21.7.2022 (1)

    Massima (1) – Va disposta, da parte dell’Internet Service Provider (ISP) gestore di una piattaforma online per la condivisione di contenuti digitali da parte degli utenti, l’immediata adozione di misure volte ad impedire la diffusione, sulla propria piattaforma, del materiale oggetto della segnalazione in materia di revenge porn, effettuata ai sensi dell’art. 144-bis del Codice in materia di protezione dei dati personali, con file contraddistinto mediante impronta di hash.

  • Revenge Porn: l’impronta di hash su immagini e video oggetto di segnalazione ex art. 144-bis Codice Privacy

    GPDP, Docweb nn. 9793939 e 9793975 del 21 luglio 2022 | Massime e Commento di Stefania Calosso

  • GPDP, Docweb n. 9544504, 27.1.2021 (3)

    Massima (3) – La condotta dell’interessata non rileva ai fini della valutazione dell’illiceità del trattamento in relazione alla violazione dei dati personali, là dove la violazione sia comunque imputabile all’inadeguatezza delle misure tecniche e organizzative implementate, a prescindere dalla supposta incidenza causale della condotta dell’interessato medesimo sugli eventi. Né rileva, ai fini della valutazione dell’illecito, la circostanza che il terzo, a cui siano stati comunicati illecitamente i dati relativi alla salute dell’interessata (causa del ricovero ospedaliero), sia un prossimo congiunto che li abbia comunque appresi in altro modo.

  • GPDP, Docweb n. 9544505, 27.1.2021 (2)

    Massima (2) – Nell’ambito della gestione dei dati personali dei pazienti, con particolare attenzione a quelli particolari, la cui indebita comunicazione o diffusione sarebbe in grado di incidere significativamente sui diritti e le libertà degli interessati, l’Azienda sanitaria è tenuta a mettere in atto misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. In questo senso, la mera specificazione, nel documento di attribuzione del ruolo di incaricato del trattamento, prima, e autorizzato del trattamento, poi, conferito all’infermiera di una struttura sanitaria, si è da ritenersi insufficiente a garantire l’effettività dei principi inerenti al trattamento dei dati personali, in particolare di correttezza e trasparenza, se non corroborata da ulteriori adeguate misure tecniche e/o organizzative – richieste dall’art. 5, par. 1, lett. f) e dall’art. 32 GDPR – che tengano nella dovuta considerazione il particolare contesto ospedaliero in cui siffatti trattamenti di dati personali, anche estremamente delicati, hanno luogo (la circostanza che un’infermiera di un reparto di ginecologia si trovi a doversi destreggiare contemporaneamente tra due o più pazienti non rappresenta infatti un evento imprevedibile, tale da giustificare la comunicazione dei dati dell’interessata, relativi all’interruzione volontaria della gravidanza, al di lei marito, in presenza di un diniego espresso dalla paziente).

  • GPDP, Docweb n. 9544504, 27.1.2021 (1)

    Massima (1) – La disciplina in materia di protezione dei dati personali (considerando n. 35 e art. 9 GDPR, nonché art. 83 d.lgs. 196/2003, in combinato disposto con l’art. 22, co. 11, d.lgs. 101/ 2018) prevede, in ambito sanitario, che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su specifica indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.

  • Illecita comunicazione di dati relativi all’interruzione volontaria della gravidanza da parte di una struttura sanitaria al marito della paziente

    GPDP, Docweb n. 9544504 del 27 gennaio 2021 | Massime e Commento di Luca Petrone

  • GPDP, Docweb n. 9751362, 10.2.2022 (9)

    Massima (9) – Se un soggetto – nel caso di specie un Internet Service Provider – decide da solo le finalità e le modalità delle operazioni che precedono o sono successive nella catena del trattamento, tale soggetto – il provider – deve considerarsi unico titolare dell’operazione precedente o successiva. Pertanto, la circostanza che i clienti di un provider possano perseguire finalità ulteriori rispetto a quelle connesse alle sue attività di trattamento non infinge, né risulta incompatibile con il ruolo di titolare del trattamento del provider medesimo.

  • GPDP, Docweb n. 9751362, 10.2.2022 (8)

    Massima (8) – La pubblicazione di dati personali in Internet, per il solo fatto del loro pubblico stato, non legittima il loro trattamento da parte di titolari terzi per finalità proprie, ulteriori e non compatibili rispetto a quelle originariamente perseguite con la pubblicazione.

  • GPDP, Docweb n. 9751362, 10.2.2022 (7)

    Massima (7) – Per legittimare un’attività di trattamento, un titolare che tratta categorie particolari di dati non può mai invocare soltanto un fondamento giuridico ai sensi dell’art. 9 GDPR, ma dovrà applicare, in maniera cumulativa, anche le previsioni dell’art. 6 GDPR al fine di garantirne il livello di tutela pertinente. L’applicazione cumulativa delle tutele previste dagli articoli citati risulta dirimente anche per escludere interpretazioni che portino a sostenere la possibilità di trattare categorie particolari di dati, senza rispettare l’art. 6, in presenza delle sole eccezioni di cui all’art. 9. Per tale ragione, ad esempio, sarebbe inappropriato concludere che il fatto che qualcuno abbia reso alcune categorie particolari di dati manifestamente pubbliche, ai sensi dell’art. 9, par. 2, lett. e), del GDPR, sia (sempre in sé e per sé) una condizione sufficiente a consentire qualunque tipo di trattamento dei dati, senza effettuare un test comparativo degli interessi e dei diritti in gioco in conformità dell’art. 6, par. 1, lett. f), del GDPR.

  • GPDP, Docweb n. 9751362, 10.2.2022 (6)

    Massima (6) – La rappresentazione vettoriale di dati biometrici non fa venire meno il carattere biometrico della rappresentazione stessa.

Ricerca Semplice


Ricerca Avanzata

Open Access