Principi

  • Revenge Porn: l’impronta di hash su immagini e video oggetto di segnalazione ex art. 144-bis Codice Privacy

    GPDP, Docweb nn. 9793939 e 9793975 del 21 luglio 2022 | Massime e Commento di Stefania Calosso

  • GPDP, Docweb 9544504, 27.1.2021 (3)

    Massima (3) – La condotta dell’interessata non rileva ai fini della valutazione dell’illiceità del trattamento in relazione alla violazione dei dati personali, là dove la violazione sia comunque imputabile all’inadeguatezza delle misure tecniche e organizzative implementate, a prescindere dalla supposta incidenza causale della condotta dell’interessato medesimo sugli eventi. Né rileva, ai fini della valutazione dell’illecito, la circostanza che il terzo, a cui siano stati comunicati illecitamente i dati relativi alla salute dell’interessata (causa del ricovero ospedaliero), sia un prossimo congiunto che li abbia comunque appresi in altro modo.

  • GPDP, Docweb 9544505, 27.1.2021 (2)

    Massima (2) – Nell’ambito della gestione dei dati personali dei pazienti, con particolare attenzione a quelli particolari, la cui indebita comunicazione o diffusione sarebbe in grado di incidere significativamente sui diritti e le libertà degli interessati, l’Azienda sanitaria è tenuta a mettere in atto misure tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. In questo senso, la mera specificazione, nel documento di attribuzione del ruolo di incaricato del trattamento, prima, e autorizzato del trattamento, poi, conferito all’infermiera di una struttura sanitaria, si è da ritenersi insufficiente a garantire l’effettività dei principi inerenti al trattamento dei dati personali, in particolare di correttezza e trasparenza, se non corroborata da ulteriori adeguate misure tecniche e/o organizzative – richieste dall’art. 5, par. 1, lett. f) e dall’art. 32 GDPR – che tengano nella dovuta considerazione il particolare contesto ospedaliero in cui siffatti trattamenti di dati personali, anche estremamente delicati, hanno luogo (la circostanza che un’infermiera di un reparto di ginecologia si trovi a doversi destreggiare contemporaneamente tra due o più pazienti non rappresenta infatti un evento imprevedibile, tale da giustificare la comunicazione dei dati dell’interessata, relativi all’interruzione volontaria della gravidanza, al di lei marito, in presenza di un diniego espresso dalla paziente).

  • GPDP, Docweb 9544504, 27.1.2021 (1)

    Massima (1) – La disciplina in materia di protezione dei dati personali (considerando n. 35 e art. 9 GDPR, nonché art. 83 d.lgs. 196/2003, in combinato disposto con l’art. 22, co. 11, d.lgs. 101/ 2018) prevede, in ambito sanitario, che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su specifica indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.

  • Illecita comunicazione di dati relativi all’interruzione volontaria della gravidanza da parte di una struttura sanitaria al marito della paziente

    GPDP, Docweb n. 9544504 del 27 gennaio 2021 | Massime e Commento di Luca Petrone

  • GPDP, Docweb 9751362, 10.2.2022 (9)

    Massima (9) – Se un soggetto – nel caso di specie un Internet Service Provider – decide da solo le finalità e le modalità delle operazioni che precedono o sono successive nella catena del trattamento, tale soggetto – il provider – deve considerarsi unico titolare dell’operazione precedente o successiva. Pertanto, la circostanza che i clienti di un provider possano perseguire finalità ulteriori rispetto a quelle connesse alle sue attività di trattamento non infinge, né risulta incompatibile con il ruolo di titolare del trattamento del provider medesimo.

  • GPDP, Docweb 9751362, 10.2.2022 (8)

    Massima (8) – La pubblicazione di dati personali in Internet, per il solo fatto del loro pubblico stato, non legittima il loro trattamento da parte di titolari terzi per finalità proprie, ulteriori e non compatibili rispetto a quelle originariamente perseguite con la pubblicazione.

  • Riconoscimento facciale e (il)liceità del trattamento di dati biometrici

    GPDP, Docweb n. 9751362 del 10 febbraio 2022 | Massime e Commento di Dalia Pizzocchero

  • GPDP, Docweb 9737121, 16.12.2021 (5)

    Massima (5) – Al fine di contemperare i diritti della persona (in particolare il diritto alla riservatezza) con la libertà di manifestazione del pensiero, la disciplina in materia di protezione dei dati personali prevede specifiche garanzie e cautele nel caso di trattamenti effettuati per finalità giornalistiche, confermando la loro liceità, anche laddove essi si svolgano senza il consenso degli interessati, purché avvengano nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone alle quali si riferiscono i dati trattati (cfr. artt. 136 ss. e art. 102, comma 2, lett. a), del Codice) e sempre che si svolgano nel rispetto del principio dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico (art. 6 delle “Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica”, pubblicate in G.U. 4 gennaio 2019, n. 3).

  • GPDP, Docweb 9737121, 16.12.2021 (4)

    Massima (4) – Non può costituire una causa di giustificazione rispetto all’eccedenza informativa posta in essere la circostanza della presenza in rete di numerose informazioni riguardanti l’interessata – per la verità quasi tutte molto datate – posto che l’aliquid novi è costituito dalla ripubblicazione della notizia, ovvero da una rinnovata diffusione della stessa a distanza di un lasso di tempo particolarmente rilevante per finalità di rievocazione storica, peraltro amplificata dalla successiva divulgazione dell’articolo anche con altri mezzi.

Open Access