IT EN

In Evidenza

Autore: Giulio Monga


Protezione dei Dati Personali

Novità in materia di protezione di dati personali

Il Parere del Garante per la Privacy sul Reddito di Cittadinanza

Con una memoria depositata innanzi alla Commissione permanente XI (Lavoro pubblico e privato, previdenza sociale) del Senato della Repubblica, il Garante per la protezione dei dati personali ha espresso una serie di rilievi negativi nei confronti della misura del Reddito di Cittadinanza (“RdC”). In particolare, l’autorità di controllo nazionale ha sottolineato come il decreto-legge 28 gennaio 2019, n. 4 recante disposizioni urgenti in materia di reddito di cittadinanza e di pensioni, nella parte in cui configura il concreto funzionamento dell’RdC, si ponga in contrasto con quelli che sono i principi discendenti dalla normativa europea in materia di protezione dei dati personali ed, in particolare, il Regolamento 2016/679/UE (“GDPR”). In via preliminare, il Garante evidenzia come “il prospettato meccanismo di riconoscimento, erogazione e gestione del reddito di cittadinanza (di seguito: Rdc) comporta trattamenti su larga scala di dati personali, riferiti ai richiedenti e ai componenti il suo nucleo familiare (anche minorenni) ai quali è riconosciuta la massima tutela in ragione della loro attinenza alla sfera più intima della persona o perché suscettibili di esporre l’interessato a discriminazioni”. Tale quantitativo di trattamenti, secondo il Garante, risulta particolarmente invasivo della sfera personale dei soggetti beneficiari del RdC. A tal proposito, quindi, il Garante ha esortato il Governo ed il legislatore ad adottare misure tecniche ed organizzative idonee a garantire la tutela dei dati dei soggetti coinvolti nella misura (in particolare per quanto riguarda in funzionamento delle banche dati necessarie garantire l’erogazione della misura e del sito web).

Link provvedimento

Qualche chiarimento a proposito del ruolo dei Consulenti del Lavoro ai sensi del GDPR

Con un provvedimento del 22 gennaio 2019, il Garante per la Privacy, rispondendo ad un quesito presentato dal Consiglio nazionale dei consulenti del lavoro lo scorso, ha chiarito il ruolo e le responsabilità dei consulenti del lavoro con riguardo al trattamento i dati personali per conto dei propri clienti alla luce del GDPR. Con tale provvedimento, il Garante ha confermato come i consulenti del lavoro siano da qualificare come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto. Incarico che deve contenere anche le istruzioni relative al trattamento da effettuare. È il caso classico dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga o delle pratiche relative all’assunzione e al fine rapporto. Tale qualifica che si pone in linea di continuità con quanto già prefigurato dalla previgente Direttiva 95/46/CE, essendo rimaste immutate le definizioni di “titolare del trattamento” e di “responsabile del trattamento” ivi contenute. Il consulente del lavoro, al contrario, si qualifica titolare del trattamento quando tratta, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti persone fisiche.

Il Garante ha chiarito, tuttavia, che ai consulenti, pur in qualità di “responsabili” del trattamento, viene riconosciuto un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.

Link provvedimento

Cambridge Analytica ha colpito anche in Italia?

Con un provvedimento dello scorso 10 gennaio il Garante della Privacy ha annunciato di aver concluso la propria istruttoria avviata a marzo contro “Facebook” a seguito dello scoppio del caso “Cambridge Analytica”. All’esito di tale istruttoria, il Garante ha rilevato come i dati dei cittadini italiani acquisiti tramite l’App “Thisisyourdigitalife” (il test della personalità ideato per raccogliere le informazioni personali oggetto di profilazione), benché non siano stati trasmessi a Cambridge Analytica, siano stati comunque trattati in modo illecito, in assenza di idonea informativa e di uno specifico consenso prestato dagli interessati. Pertanto, il Garante ne ha vietato l’ulteriore trattamento e si è riservato di avviare un separato procedimento sanzionatorio.

Nel corso della medesima istruttoria è inoltre emerso come Facebook – in occasione delle elezioni politiche del 4 marzo 2018 – abbia posto in essere uno specifico trattamento di dati personali tramite un prodotto, denominato “Candidati”, installato sulla piattaforma del popolare social network. Tale prodotto consentiva agli elettori che fornivano il proprio indirizzo postale di ricevere e visualizzare informazioni sui candidati della propria circoscrizione elettorale e sui loro programmi. Nell’ambito dell’utilizzo del suddetto prodotto Facebook, pur affermando di non registrare informazioni di tale genere, conservava i file di log delle azioni dei propri utenti che ne hanno usufruito per un periodo di 90 giorni, per poi estrarne “matrici aggregate” non meglio definite. Il Garante ha, inoltre, rilevato come il giorno stesso delle elezioni fosse comparsi sul newsfeed dei propri utenti un messaggio che sollecitava gli stessi a condividere informazioni relative al fatto che essi si fossero recati alle urne o meno, nonché ad esprimere opinioni sul voto. Il Garante ha rilevato come queste due funzioni di Facebook non fossero previste tra le finalità del trattamento indicate nella “data policy” del sito. 
Si tratta di una questione delicata in quanto implica il trattamento di categorie particolari di dati ai sensi dell’art. 9 GDPR, e nello specifico di dati in grado di rivelare opinioni politiche degli interessati. A conclusione dell’istruttoria, il Garante ha ritenuto illegittimo tale trattamento di dati realizzato da Facebook in quanto basato su un generico consenso reso dall’utente al momento della registrazione alla piattaforma dopo la lettura di una informativa del tutto inidonea. Per tali ragioni, il Garante della Privacy ha vietato a Facebook i trattamenti in questione e si è riservato la contestazione di sanzioni amministrative. Il provvedimento è stato quindi trasmesso alla Data Protection Commission (autorità di controllo irlandese), in ossequio al meccanismo di coerenza previsto dal GDPR.

Link provvedimento

La decisione di adeguatezza della Commissione UE sul Giappone

Lo scorso 23 gennaio 2019 la Commissione Europea, al termine di una procedura iniziata nel settembre 2018, ha pubblicato una Decisione di adeguatezza ai sensi dell’art. 45 GDPR con la quale ha stabilito come il livello di protezione dei dati personali garantito dal Giappone assicuri un livello di tutela dei dati personali dei cittadini europei analogo a quello garantito dalla normativa europea. Grazie a questa decisione, che interessa circa 127 milioni di consumatori, si è creato il più grande spazio di circolazione dei dati personali al mondo. La decisione è stata adottata dopo che il Giappone ha fornito garanzie sull’adozione di norme integrative – rispetto a quelle esistenti – che dovranno colmare i divari tra i due ordinamenti attualmente presenti in materia. Garanzie sono state anche offerte a proposito dell'accesso da parte delle autorità pubbliche giapponesi a fini di contrasto penale e sicurezza nazionale, oltre che sull’implementazione di un meccanismo di gestione, esame e risoluzione dei reclami proposti dai cittadini europei riguardo all'accesso delle autorità pubbliche giapponesi ai dati che li riguardano. Questo nuovo meccanismo sarà gestito e controllato dall'autorità giapponese indipendente per la protezione dei dati. La decisione di adeguatezza integra l'accordo di partenariato economico UE-Giappone, entrato nel febbraio 2019. Tra due anni sarà effettuato un primo riesame congiunto per valutare il funzionamento del nuovo quadro di circolazione dei dati. Successivamente, il riesame si terrà ogni quattro anni.

Link decisione

Brexit: due decisioni importanti dell'European Data Protection Board

Lo scorso 12 febbraio l'European Data Protection Board ha pubblicato due documenti in vista della cosiddetta “Brexit” configurando il caso – sempre più probabile – in cui si arrivi al 29 marzo 2019 senza che sia raggiunto alcun accordo tra Unione Europea e Regno Unito. Uno dei documenti (Information note on data transfers under the GDPR in the event of a no-deal Brexit) riguarda la gestione dei trasferimenti di dati personali verso il Regno Unito, questione assai delicata dal momento che – a partire dalla mezzanotte del 30 marzo – UK diventerà a tutti gli effetti un paese terzo, verso i cui i dati si potrà trasferire dati unicamente ai sensi degli art. 44 e seguenti del GDPR. Tale documento, tuttavia, non chiarisce affatto gli interrogativi al riguardo in quanto si limita a riepilogare i meccanismi previsti a tale scopo dagli articoli sopra richiamati dal GDPR. Allo stesso modo, non chiarisce i dubbi nemmeno l’altro documento rivolto alle imprese che trasferiscono dati personali sulla base di Binding Corporate Rules che hanno l’ICO come Lead Supervisory Authority.

Link provvedimento su trasferimenti verso UK

Link provvedimento binding corporate rules

Il parere dell'European Data Protection Board sul trattamento di dati personali nel contesto di sperimentazioni cliniche

Lo scorso 23 gennaio 2019 l’European Data Protection Board (EDPB) ha pubblicato un documento (Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR)) and the General Data Protection regulation (GDPR) (art. 70.1.b)) relativo al trattamento di dati personali effettuato nel contesto di trattamenti di sperimentazione clinica. Pur appartenendo ad una nicchia, tale questione è molto delicata dal momento che coinvolge il trattamento di categorie particolari di dati e, in particolare, riguarda il trattamento di dati sanitari.

Link provvedimento

04 LEGAL & QUICK CONTACT