Piattaforme digitali

• GPDP, Docweb 9768387, 11.5.2022 (2)

  Massima (2) – Qualora il fornitore di un’applicazione web (nel caso di specie, per la gestione delle segnalazioni di illeciti nell’ambito della disciplina in materia di whistleblowing), in qualità di responsabile del trattamento, si avvalga a propria volta di un fornitore del servizio di hosting (nel caso di specie, un servizio di hosting di server virtuali o fisici), quest’ultimo concorre al trattamento dei dati personali del titolare e dovrà pertanto essere designato quale responsabile o sub-responsabile del trattamento ai sensi dell’art. 28, par. 2 e 4, GPDR, in quanto, pur non trattando gli indirizzi IP relativi agli interessati che utilizzano l’applicativo in questione e pur non accedendo direttamente ai dati personali trattati mediante tale applicativo, conserva questi ultimi sulla propria infrastruttura tecnologica e ne garantisce l’integrità e la disponibilità, adottando adeguate misure tecniche e organizzative, assicurando determinati livelli di servizio in termini di disponibilità dei sistemi e mettendo a disposizione dei propri clienti una serie di strumenti per gestire e monitorare il servizio.

• GPDP, Docweb 9768387, 11.5.2022 (1)

  Massima (1) – Il fornitore di servizi che mette a disposizione del titolare del trattamento apposita applicazione web per la gestione delle segnalazioni di illeciti nell’ambito della disciplina in materia di whistleblowing, oltre a dover garantire l’adozione di misure tecniche in grado di garantire l’integrità e la disponibilità dei dati trattati, non può esimersi dalla corretta definizione dei ruoli privacy, disciplinando espressamente il rapporto con eventuali terze parti coinvolte nella gestione delle segnalazioni –  e conseguentemente dei dati ivi contenuti – ed ottenendo la preventiva, quanto necessaria, autorizzazione da parte del titolare del trattamento a tale coinvolgimento al fine di consentire il mantenimento, da parte di quest’ultimo, del pieno controllo dei trattamenti che vengono effettuati per suo conto.

• La corretta definizione dei ruoli privacy, con riferimento alla subfornitura di hosting, nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (“whistleblowing”)

  GPDP, Docweb n. 9768387 dell’11 maggio 2022 | Massime e Commento di Luca Petrone

• GPDP, Docweb 9793975, 21.7.2022 (2)

  Massima (2) – L’eventuale materiale oggetto di segnalazione in tema di revenge porn di cui all’art. 144-bis del Codice in materia di protezione dei dati personali, che dovesse essere acquisito in chiaro dalla relativa piattaforma, deve essere conservato, a soli fini probatori, per dodici mesi a decorrere dal ricevimento del provvedimento utilizzando misure idonee a impedire la diretta identificabilità degli interessati da comunicarsi tempestivamente all’Autorità garante per la protezione dei dati personali. 

• GPDP, Docweb 9793975, 21.7.2022 (1)

  Massima (1) – Va disposta, da parte dell’Internet Service Provider (ISP) gestore di una piattaforma online per la condivisione di contenuti digitali da parte degli utenti, l’immediata adozione di misure volte ad impedire la diffusione, sulla propria piattaforma, del materiale oggetto della segnalazione in materia di revenge porn, effettuata ai sensi dell’art. 144-bis del Codice in materia di protezione dei dati personali, con file contraddistinto mediante impronta di hash.

• GPDP, Docweb 9793939, 21.7.2022 (2)

  Massima (2) – L’eventuale materiale oggetto di segnalazione in tema di revenge porn di cui all’art. 144-bis del Codice in materia di protezione dei dati personali, che dovesse essere acquisito in chiaro dalla relativa piattaforma, deve essere conservato, a soli fini probatori, per dodici mesi a decorrere dal ricevimento del provvedimento utilizzando misure idonee a impedire la diretta identificabilità degli interessati da comunicarsi tempestivamente all’Autorità garante per la protezione dei dati personali. 

• GPDP, Docweb 9793939, 21.7.2022 (1)

  Massima (1) – Va disposta, da parte dell’Internet Service Provider (ISP) gestore di una piattaforma online per la condivisione di contenuti digitali da parte degli utenti, l’immediata adozione di misure volte ad impedire la diffusione, sulla propria piattaforma, del materiale oggetto della segnalazione in materia di revenge porn, effettuata ai sensi dell’art. 144-bis del Codice in materia di protezione dei dati personali, con file contraddistinto mediante impronta di hash.

• Revenge Porn: l’impronta di hash su immagini e video oggetto di segnalazione ex art. 144-bis Codice Privacy

  GPDP, Docweb nn. 9793939 e 9793975 del 21 luglio 2022 | Massime e Commento di Stefania Calosso

• GPDP, Docweb 9751362, 10.2.2022 (9)

  Massima (9) – Se un soggetto – nel caso di specie un Internet Service Provider – decide da solo le finalità e le modalità delle operazioni che precedono o sono successive nella catena del trattamento, tale soggetto – il provider – deve considerarsi unico titolare dell’operazione precedente o successiva. Pertanto, la circostanza che i clienti di un provider possano perseguire finalità ulteriori rispetto a quelle connesse alle sue attività di trattamento non infinge, né risulta incompatibile con il ruolo di titolare del trattamento del provider medesimo.

• GPDP, Docweb 9751362, 10.2.2022 (8)

  Massima (8) – La pubblicazione di dati personali in Internet, per il solo fatto del loro pubblico stato, non legittima il loro trattamento da parte di titolari terzi per finalità proprie, ulteriori e non compatibili rispetto a quelle originariamente perseguite con la pubblicazione.