Piattaforme digitali

  • GPDP, Docweb 9793975, 21.7.2022 (2)

    Massima (2) – L’eventuale materiale oggetto di segnalazione in tema di revenge porn di cui all’art. 144-bis del Codice in materia di protezione dei dati personali, che dovesse essere acquisito in chiaro dalla relativa piattaforma, deve essere conservato, a soli fini probatori, per dodici mesi a decorrere dal ricevimento del provvedimento utilizzando misure idonee a impedire la diretta identificabilità degli interessati da comunicarsi tempestivamente all’Autorità garante per la protezione dei dati personali. 

  • GPDP, Docweb 9793975, 21.7.2022 (1)

    Massima (1) – Va disposta, da parte dell’Internet Service Provider (ISP) gestore di una piattaforma online per la condivisione di contenuti digitali da parte degli utenti, l’immediata adozione di misure volte ad impedire la diffusione, sulla propria piattaforma, del materiale oggetto della segnalazione in materia di revenge porn, effettuata ai sensi dell’art. 144-bis del Codice in materia di protezione dei dati personali, con file contraddistinto mediante impronta di hash.

  • GPDP, Docweb 9793939, 21.7.2022 (2)

    Massima (2) – L’eventuale materiale oggetto di segnalazione in tema di revenge porn di cui all’art. 144-bis del Codice in materia di protezione dei dati personali, che dovesse essere acquisito in chiaro dalla relativa piattaforma, deve essere conservato, a soli fini probatori, per dodici mesi a decorrere dal ricevimento del provvedimento utilizzando misure idonee a impedire la diretta identificabilità degli interessati da comunicarsi tempestivamente all’Autorità garante per la protezione dei dati personali. 

  • GPDP, Docweb 9793939, 21.7.2022 (1)

    Massima (1) – Va disposta, da parte dell’Internet Service Provider (ISP) gestore di una piattaforma online per la condivisione di contenuti digitali da parte degli utenti, l’immediata adozione di misure volte ad impedire la diffusione, sulla propria piattaforma, del materiale oggetto della segnalazione in materia di revenge porn, effettuata ai sensi dell’art. 144-bis del Codice in materia di protezione dei dati personali, con file contraddistinto mediante impronta di hash.

  • Revenge Porn: l’impronta di hash su immagini e video oggetto di segnalazione ex art. 144-bis Codice Privacy

    GPDP, Docweb nn. 9793939 e 9793975 del 21 luglio 2022 | Massime e Commento di Stefania Calosso

  • GPDP, Docweb 9751362, 10.2.2022 (9)

    Massima (9) – Se un soggetto – nel caso di specie un Internet Service Provider – decide da solo le finalità e le modalità delle operazioni che precedono o sono successive nella catena del trattamento, tale soggetto – il provider – deve considerarsi unico titolare dell’operazione precedente o successiva. Pertanto, la circostanza che i clienti di un provider possano perseguire finalità ulteriori rispetto a quelle connesse alle sue attività di trattamento non infinge, né risulta incompatibile con il ruolo di titolare del trattamento del provider medesimo.

  • GPDP, Docweb 9751362, 10.2.2022 (8)

    Massima (8) – La pubblicazione di dati personali in Internet, per il solo fatto del loro pubblico stato, non legittima il loro trattamento da parte di titolari terzi per finalità proprie, ulteriori e non compatibili rispetto a quelle originariamente perseguite con la pubblicazione.

  • GPDP, Docweb 9751362, 10.2.2022 (6)

    Massima (6) – La rappresentazione vettoriale di dati biometrici non fa venire meno il carattere biometrico della rappresentazione stessa.

  • GPDP, Docweb 9751362, 10.2.2022 (4)

    Massima (4) – Il trattamento posto in essere da un Internt Service Provider, consistente nella raccolta di immagini dal web (c.d. web scraping) e nella loro elaborazione con strumenti automatizzati al fine di creare rappresentazioni vettoriali di volti e, successivamente, sottoporli ad hash per indicizzare i dati, operazione necessaria per stabilire una eventuale correlazione con le immagini oggetto di comparazione caricate dagli utenti, è attività che non appare sovrapponibile a quella posta in essere da un qualsiasi motore di ricerca, tenuto conto del fatto che il titolare compie una rielaborazione tecnica delle immagini raccolte, tanto da renderle “dati biometrici”, alle quali sono peraltro associate informazioni certamente idonee ad identificare la persona ritratta, a cui viene correlato un archivio di risorse che si snoda attraverso il tempo. La valutazione di tale circostanza, unitamente alla finalità comparativa sopra evidenziata, è idonea ad integrare, come richiesto nel Considerando 24, un’attività assimilabile al controllo del comportamento dell’interessato, ossia al monitoraggio dell’interessato, in quanto posta in essere tramite il tracciamento in Internet e la successiva profilazione. Ove tale attività sia posta in essere da un provider stabilito al di fuori dell’UE, è ravvisabile l’ambito territoriale di applicazione del GDPR ai sensi dell’art. 3, par. 2, lett. b).

  • GPDP, Docweb 9751362, 10.2.2022 (2)

    Massima (2) – Ove un Internet Service Provider con stabilimento extra UE decida di chiudere gli account europei e di non offrire più i suoi prodotti e servizi nel contesto dell’Unione europea, inibendo l’accesso agli IP europei, può ugualmente evincersi che, nel periodo precedente a tale decisione, il Provider indirizzava – e aveva l’intenzione di farlo – i propri prodotti e servizi anche in Europa. In ragione di ciò può pertanto trovare applicazione la disciplina europea in materia di protezione dei dati personali, qualora, ai sensi dell’art. 3, par. 2, lett. a), GDPR, si desumano dalla fattispecie concreti elementi che possano far ritenere sussistente l’intenzione del titolare del trattamento di offrire beni e servizi a destinatari che si trovino in Europa, anche nella ipotesi in cui il bene e servizio non venga mai commercializzato.

Open Access