Principio di responsabilizzazione

  • GPDP, Docweb 9768363, 11.5.2022 (5)

    Massima (5) – Le credenziali di autenticazione (una per verifica dell’anagrafica dei segnalanti e una per la gestione delle segnalazioni di attività illecite) assegnate ed utilizzate dal RPCT quale soggetto legittimato alla gestione del whistleblowing, devono essere immediatamente disattivate qualora lo stesso rassegni le proprie dimissioni, anche se abbia provveduto a consegnare le predette credenziali al responsabile dell’Ufficio prevenzione della corruzione, trasparenza e trattamento dei dati personali all’interno di una busta chiusa, affinché le stesse vengano consegnate al nuovo RPCT. Allo stesso modo va impedito che il RPCT dimissionario possa avere accesso alle notifiche dell’avvenuta iscrizione di un segnalante e della ricezione di una segnalazione, qualora l’applicativo web per la gestione del whistleblowing provveda a trasmettere tali informazioni ad un indirizzo di posta elettronica preimpostato.

  • GPDP, Docweb 9768363, 11.5.2022 (4)

    Massima (4) – La registrazione e la conservazione, nei log degli apparati firewall, delle informazioni relative alle connessioni all’applicativo utilizzato per la segnalazione di condotte illecite (whistleblowing), che consentono la tracciabilità dei soggetti che utilizzano tale applicativo, tra i quali i segnalanti, non risulta conforme alla disciplina in materia di protezione dei dati personali, con particolare riferimento agli artt. 5, par. 1, lett. f) e 32 del GDPR, in materia di sicurezza e all’art. 25 GDPR, in tema di privacy by design e by default, in quanto le predette informazioni, direttamente identificative degli utenti dell’applicativo, finiscono per rendere del tutto inefficaci le altre misure adottate per tutelare la riservatezza dell’identità dei segnalanti.

  • GPDP, Docweb 9768363, 11.5.2022 (3)

    Massima (3) – I trattamenti di dati personali effettuati per finalità di acquisizione e gestione di segnalazioni di condotte illecite (c.d. whistleblowing) vanno censiti nel registro delle attività di trattamento di cui all’art. 30 GDPR, che deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. La tenuta del registro è funzionale al rispetto del principio di “responsabilizzazione” del titolare (art. 5, par. 2, GDPR), in quanto costituisce uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione del titolare. Ciò risulta particolarmente rilevante con riguardo alle attività di valutazione e di analisi del rischio, costituendo, pertanto, un adempimento preliminare rispetto a tali attività.

  • La tutela dell’identità del segnalante nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (“whistleblowing”)

    GPDP, Docweb n. 9768363 dell’11 maggio 2022 | Massime e Commento di Luca Petrone

  • GPDP, Docweb 9698724, 22.7.2021 (3)

    Massima (3) – Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, n. 7, GDPR). Sul titolare ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una «responsabilità generale» sui trattamenti posti in essere (v. art. 5, par. 2 c.d. «accountability» e 24 GDPR), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, n. 8) e 28 GDPR).

  • La Data Protection fra le strade cittadine: le violazioni del GDPR relative alla “modernizzazione” dei parcometri per la gestione della sosta a pagamento

    GPDP, Docweb n. 9698724 del 22 luglio 2021 | Massime e Commento di Martina Voci

  • GPDP, Docweb 9577346, 25.3.2021 (2)

    Massima (2) – La deindicizzazione di un articolo di cronaca giudiziaria da un motore di ricerca può essere ritenuta misura tecnica idonea a garantire l’esigenza di bilanciamento tra il diritto all’oblio e il diritto di informazione.

  • GPDP, Docweb 9577346, 25.3.2021 (1)

    Massima (1) – Non è sufficiente il mero trascorrere del tempo per invocare l’aggiornamento e/o la cancellazione di una notizia dall’archivio online di una testata giornalistica, bensì è necessario che l’interessato documenti al titolare del trattamento gli sviluppi e gli aggiornamenti che riguardano la vicenda.

  • Diritto all’oblio e attività giornalistica: lecita la conservazione nell’archivio online di una notizia anche se non più attuale

    GPDP, Docweb n. 9577346 del 25 marzo 2021 | Massime e Commento di Isabella Cardinali

Open Access