Call Us +39 011 55.84.111

  • R&P Legal

    Spirito di squadra, conoscenza del business dei clienti, visione strategica, disponibilità, passione, fondamento etico, costo compatibile.

  • Puntiamo sulla competenza

    R&P Legal è uno studio italiano full service, indipendente e con primarie connessioni internazionali, fondato nel 1949.

  • Trattiamo con il mondo... da vicino

    Contiamo su un’articolata rete di primari studi legali di comprovata esperienza nelle principali giurisdizioni estere.

R&P Legal è uno studio legale indipendente, fondato nel 1949, con sei sedi in Italia e con primarie connessioni internazionali, dove lavorano più di centosettanta professionisti qualificati che forniscono assistenza full service.

Ultime notizie

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
Prev Next

Infortunio sul lavoro: esclusa la responsabilità dell’ente per carenza del requi…

Criminal Law 25-07-2017 Letizia Catalano

Il Tribunale di Fermo ha assolto l’ente imputato in un processo penale per l’infortunio occorso ad un lavoratore mentre era intento a lavorare presso un macchinario non munito di protezioni adeguate. Il Tribunale, pur r...

Leggi tutto

Regolamento Privacy Ue e certificazione in materia di dati personali

Privacy & Data Protection 24-07-2017 Giuseppe Vaciago

Il Garante Privacy e ACCREDIA hanno richiamano l'attenzione sulla necessità di attendere la definizione di criteri e requisiti comuni per la conformità delle certificazioni in materia di protezione dati al Regolamento UE...

Leggi tutto

R&P Legal con la Bormioli Luigi nell'acquisizione della divisione Casa Della…

News 20-07-2017 La Redazione

La Bormioli Luigi S.p.A. storica vetreria di Parma specializzata nella manifattura di contenitori di alta gamma per la profumeria e per la distilleria e di articoli per la tavola in vetro, acquisirà la divisione Casa del...

Leggi tutto

R&P Legal con Sciaudone per l'Aeroporto di Salerno-Pontecagnano

News 20-07-2017 La Redazione

R&P Legal ha affiancato il Consorzio Aeroporto di Salerno-Pontecagnano nella valutazione circa la realizzabilità di una rete aeroportuale campana. In particolare, l'avv. Riccardo Sciaudone, Partner di R&P Legal, ...

Leggi tutto

European Court of Justice, Werner Fries case: The age limit of 65 years laid dow…

Navigazione e Trasporti 18-07-2017 Maurizio Corain

Mr Werner Fries was employed as a captain by Lufthansa until the end of October 2013 when he had reached the mandatory age limit of 65 years laid down in EU legislation for pilots of commercial aircraft (i.e. Point FCL.0...

Leggi tutto

Italian Antitrust Authority, Vueling S.A. case: three unfair trade practices mis…

Navigazione e Trasporti 17-07-2017 Maurizio Corain

Vueling S.A. – the Spanish low-cost carrier - has been fined €1 million by the Italian Antitrust Authority (Autorità Garante della Concorrenza e del Mercato) for three unfair trade practices representing a violation of t...

Leggi tutto

R&P Legal nella cessione del gruppo Geodata

News 17-07-2017 La Redazione

Lo Studio R&P Legal, con i soci Giovanni Luppi, Mario Colombatto e Anna Frumento, e l’associate Antonio Faruzzi, ha assistito Patto Geodata S.p.A., primaria società italiana nel mercato dell’ingegneria ambientale, ci...

Leggi tutto

La sospensione dei termini durante il periodo feriale e l’accertamento di credit…

Restructuring & Insolvency 15-07-2017 Sara Colli

La Suprema Corte ha riconfermato il principio secondo cui l’art. 3 L. 742/1969 non si applica ai giudizi di ammissione allo stato passivo dei crediti derivanti da rapporto di lavoro, nonostante essi debbano essere tratta...

Leggi tutto

Pubblicato il quaderno n. 71 della Scuola di alta formazione da parte dell’Ordin…

Restructuring & Insolvency 15-07-2017 Enrico Felli

L’ODCEC di Milano ha divulgato il quaderno SAF n. 71 sui sistemi di allerta interna. Esso si rivolge in particolare ai sindaci e ai revisori contabili; obiettivo del quaderno è quello di fornire a tali soggetti indicazio...

Leggi tutto

Consob avvia la consultazione pubblica sul nuovo regolamento equity crowdfunding

Startup 13-07-2017 Nicola Berardi

Il 6 luglio, la Consob ha aperto la consultazione pubblica relativa alla revisione del Regolamento n. 18592 del 26 giugno 2013 sulla raccolta di capitali di rischio tramite portali online (c.d. equity crowdfunding), nece...

Leggi tutto

I danni punitivi nuovamente al vaglio della Cassazione

Responsabilità Civile e Risarcimento Danni 13-07-2017 Giulia Pairona

Con la sentenza n. 16601 del 5 luglio 2017 le Sezioni Unite della Corte di Cassazione, chiamate a pronunciarsi sulla riconoscibilità di una sentenza straniera contenente la condanna al risarcimento di danni ultracompensa...

Leggi tutto

E’ nullo il contratto di sale and lease back se ha la funzione di garantire di p…

Responsabilità Civile e Risarcimento Danni 13-07-2017 Daniele Merighetti

Con sentenza n. 16646 del 6 luglio 2017, la III sezione della Corte di Cassazione ha stabilito che deve ritenersi nullo per illiceità della causa il contratto di sale and lease back quando ha la funzione di garantire di ...

Leggi tutto

Dati personali dei lavoratori: il WP29 aggiorna le regole del trattamento alla l…

Privacy & Data Protection 11-07-2017 Chiara Agostini

Introduzione Con parere dell’8 giugno 2017, il Gruppo di lavoro ex art. 29 (“WP29”) si è pronunciato in merito al trattamento dei dati personali dei lavoratori, integrando quanto già previsto in passato con il Parere ...

Leggi tutto

La pubblicità dei web influencer allo studio del Governo

TMT - Media Entertainment 11-07-2017 Nicola Berardi

Il 29 giugno, a margine dell’adozione da parte della Camera del testo definitivo del DDL Concorrenza, è stato approvato un ordine del giorno – fortemente voluto dall’Unione Nazionale Consumatori – che impegna il Governo ...

Leggi tutto

In Gazzetta Ufficiale la riforma della Valutazione di Impatto Ambientale

Ambiente & Energia 11-07-2017 Maria Cristina Breida

Entrerà in vigore il 21 luglio 2017 il Decreto Legislativo n. 104 del 16 giugno 2017, pubblicato sulla Gazzetta Ufficiale del 6 luglio 2017, che riforma l’attuale disciplina del procedimento di Valutazione di Impatto Amb...

Leggi tutto

Niente più obblighi di comunicazione antiriciclaggio per l’Organismo di Vigilanz…

Criminal Law 11-07-2017 Letizia Catalano

Il D. Lgs. 25 maggio 2017, n. 90, entrato in vigore lo scorso 4 luglio, ha eliminato l’obbligo di comunicazione antiriciclaggio posto a carico dell’Organismo di Vigilanza ex D. Lgs. 231/2001. Di conseguenza i suoi compon...

Leggi tutto

Nota Banca d’Italia (n. 10): novità in materia di cartolarizzazione dei crediti

Banking & Finance 11-07-2017 Vincenzo D'Antoni

Una nuova Nota di stabilità finanziaria e vigilanza, la n. 10, è stata pubblicata da Banca d’Italia sulle recenti modifiche apportate alla legge 130/1999 in tema di cartolarizzazione dei crediti dalla legge di conversion...

Leggi tutto

Il passeggero trasportato che ha subito danni per un sinistro stradale può invoc…

Responsabilità Civile e Risarcimento Danni 11-07-2017 Daniele Merighetti

Con sentenza n. 16477 del 5 luglio 2017, la III sezione della Corte di Cassazione ha stabilito che la persona trasportata su un veicolo a motore, che abbia subito danni in conseguenza di un sinistro stradale, può invocar...

Leggi tutto

Pubblicate le Linee Guida della Commissione Europea sulla comunicazione delle in…

Charities & Social Enterprises 10-07-2017 Roberto Randazzo

Il 5 luglio 2017 sono state pubblicate le linee guida della Commissione Europea sulla comunicazione delle informazioni di carattere non finanziario. Gli orientamenti della Commissione Europea hanno lo scopo di aiutare l...

Leggi tutto

Geolocalizzazione dei lavoratori: il Garante Privacy dice “no” al trattamento co…

Privacy & Data Protection 10-07-2017 Nicolò Rappa

Con Provvedimento n. 247/2017, il Garante Privacy si è pronunciato in relazione al trattamento, da parte di una società fornitrice di servizi di igiene urbana, dei dati relativi alla localizzazione geografica dei propri ...

Leggi tutto

Garante Privacy: no al trattamento dei dati giudiziari dei lavoratori in assenza…

Privacy & Data Protection 10-07-2017 Chiara Agostini

Con Provvedimento n. 267/2017, il Garante Privacy si è pronunciato in relazione al trattamento, da parte di un datore di lavoro, dei dati giudiziari dei propri dipendenti contenuti nel certificato generale del casellario...

Leggi tutto

L’Adunanza Plenaria si pronuncia sulla conservazione dell’attestazione SOA in ca…

Enti Pubblici & Appalti 07-07-2017 Pasquale Morra

L’Adunanza Plenaria del Consiglio di Stato si è pronunciata sulla conservazione dell’attestazione SOA in caso di cessione di ramo di azienda, affermando nella sentenza del 3 luglio 2017 n. 3 i seguenti principi:   l’a...

Leggi tutto

European Court of Justice, Uber France service & Approximation of laws: Advo…

Navigazione e Trasporti 07-07-2017 Maurizio Corain

According to Advocate General Maciej Szpunar, Member States may prohibit and punish, as a matter of criminal law, the illegal exercise of transport activities in the context of the UberPop service, without notifying the ...

Leggi tutto

European Court of Justice, Air Berlin case: Cancellation fees charged by airline…

Navigazione e Trasporti 07-07-2017 Maurizio Corain

The German airline company Air Berlin included a term in its general terms and conditions stating that, when a passenger cancels a flight booking at an economy rate or does not take the flight, a flat rate sum is to be c...

Leggi tutto

The Fight against Abuse of Economic Dependence between Private and Public Enforc…

Antitrust & Competition 05-07-2017 La Redazione

L’articolo di dottrina, scritto dagli Avv.ti Riccardo Sciaudone ed Eleonora Caravà e pubblicato sulla rivista Global Competition Litigation Review (Ed. Sweet & Maxwell, vol. 2, 2017, pp.76-84), illustra il primo caso...

Leggi tutto

Telemedicina e Privacy - l'eterna lotta tra i due mondi in cui anche l'Italia di…

Privacy & Data Protection 04-07-2017 La Redazione

Il contributo di Riccardo Sciaudone e di Eleonora Caravà di R&P Legal su "Diritto24 - IlSole24Ore" illustra i risultati e le performance del robot “dottore”, sviluppato nell’ambito del progetto ReMeDi (finanziato con...

Leggi tutto

R&P Legal con Sciaudone per la formazione privacy in AIOP Abruzzo

News 04-07-2017 La Redazione

Lo Studio Legale R&P Legal ha assistito l’Associazione Italiana Ospedalità Privata per l’Abruzzo, presieduta dalla dott.ssa Concetta Petruzzi, in due giornate formative in materia di tutela dei dati personali.In vist...

Leggi tutto

R&P Legal Academy - Le azioni a voto plurimo e la maggiorazione del voto nel…

News 03-07-2017 La Redazione

Martedì 4 Luglio 2017, ore 15.00 / 18.00 - R&P Legal - Piazzale Cadorna 4 - Milano Programma Deviazioni dal principio “un’azione, un voto” La maggiorazione del voto nelle operazioni di aumento di capitale La ma...

Leggi tutto

Anche gli ex soci di una snc rispondono dei canoni di locazione non pagati dall’…

Responsabilità Civile e Risarcimento Danni 29-06-2017 Daniele Merighetti

La Corte di Cassazione, con sentenza n. 15348 del 21.6.2017, ha stabilito che, in tema di locazione ad uso non abitativo, l’art. 36 della legge n. 392/1978 – che prevede la responsabilità sussidiaria del cedente dell’azi...

Leggi tutto

Offerta più vantaggiosa, il responsabile unico può «consigliare» la commissione

Enti Pubblici & Appalti 28-06-2017 La Redazione

È uscito sul Sole24Ore - Enti locali & PA - un commento di Riccardo Sciaudone e Eleonora Caravà, di R&P Lagal, relativo alla sentenza 2865/2017 del Consiglio di Stato in materia di appalti pubblici. In particolar...

Leggi tutto

D.M. 12 maggio 2017: Recepimento Nazionale ADR 2017

Navigazione e Trasporti 26-06-2017 Maurizio Corain

Nella Gazzetta Ufficiale n. 139 dello scorso 17 giugno 2017 è stato pubblicato il Decreto Ministero delle Infrastrutture e dei Trasporti 12 maggio 2017 recante norme sul Recepimento della direttiva 2016/2309 della Commis...

Leggi tutto

Il “nuovo” reato di dichiarazione infedele ha parzialmente abolito la fattispeci…

Criminal Law 26-06-2017 Alessandro Racano

La recente riforma del 2015 ha modificato il reato di dichiarazione infedele sottraendo dalla cornice della norma quella parte della fattispecie ove si sanzionava la deduzione di costi – ontologicamente esistenti – privi...

Leggi tutto

L’Europa si attrezza per combattere il crimine informatico

TMT - Cybersecurity 26-06-2017 Giuseppe Vaciago

Nella seduta del 22 e 23 giugno 2017 il Consiglio europeo si è concentrato sul rafforzamento dell'Europa e la protezione dei suoi cittadini mediante misure efficaci volte a combattere il terrorismo e sviluppare la sicure...

Leggi tutto

Mancata svalutazione di crediti inesigibili e falso in bilancio

Criminal Law 24-06-2017 Letizia Catalano

La Corte di Cassazione, con la sentenza n.  29885/2017 del 9 maggio 2017 (dep. 15 giugno 2017), ha ribadito l’importanza dei principi contabili nella predisposizione del bilancio di una società. Tali principi, infatti, s...

Leggi tutto

Il parere del Consiglio di Stato sullo schema del “Codice del Terzo settore”

Enti Pubblici & Appalti 23-06-2017 Pasquale Morra

Il Consiglio di Stato ha dato il via libera con osservazioni allo schema di decreto legislativo sul ‘Codice del terzo settore’. Il Consiglio ha apprezzato le finalità di fondo del testo, che mira a conferire al fenomeno...

Leggi tutto

Lombardia, 300 milioni alle Pmi per ampliamenti e riconversione di aree

Fondi e Finanziamenti Pubblici 23-06-2017 Pasquale Morra

La Regione Lombardia stanzia quasi 300 milioni di euro per le PMI lombarde a fronte di programmi di sviluppo ad ampio raggio. Le risorse sono dedicate da un lato ad investimenti per programmi di ammodernamento e ampliame...

Leggi tutto

La IV direttiva riciclaggio entra in vigore

Criminal Law 23-06-2017 Piero Magri

È stato pubblicato nel Supplemento alla Gazzetta Ufficiale del 19 giugno 2017 il decreto legislativo 25 maggio 2017, n. 90 di attuazione della direttiva (UE) 2015/849 relativa alla prevenzione dell'uso del sistema finanz...

Leggi tutto

Aspetti Gestori della Procedura Fallimentare. La figura del Curatore

News 23-06-2017 La Redazione

Lunedì 26 giugno l’Avv. Luca Nisco, Partner di R&P Legal, interverrà al Convegno sugli “Aspetti Gestori della Procedura Fallimentare. La figura del Curatore”, organizzato presso la Sala convegni Palazzo D’Avalos, Vas...

Leggi tutto

L’avv. Piero Magri, autore di un articolo in tema di anticorruzione

Criminal Law 23-06-2017 La Redazione

E’ stato pubblicato un articolo sul numero di giugno della rivista Legal, edito da Le Fonti, in tema di anticorruzione. In particolare viene effettuato un excursus sulle principali novità legislative e sul fenomeno dell’...

Leggi tutto

Se i ladri entrano in un’abitazione utilizzando i ponteggi montati dall’appaltat…

Responsabilità Civile e Risarcimento Danni 22-06-2017 Daniele Merighetti

La III Sezione Civile della Corte di Cassazione, con sentenza n. 15176 del 20 giugno 2017, ha escluso che, in caso di furto reso possibile dall’omessa adozione delle necessarie misure di sicurezza in relazione all’impalc...

Leggi tutto
Chiara Agostini

Chiara Agostini

Avvocato esperto nella tutela della proprietà intellettuale ed industriale.

Profilo: http://www.replegal.it/it/cerca-i-professionisti/122-chiara-agostini.html

Dati personali dei lavoratori: il WP29 aggiorna le regole del trattamento alla luce delle nuove tecnologie informatiche e del GDPR

  1. Introduzione

Con parere dell’8 giugno 2017, il Gruppo di lavoro ex art. 29 (“WP29”) si è pronunciato in merito al trattamento dei dati personali dei lavoratori, integrando quanto già previsto in passato con il Parere n. 8/2001 (“Parere sul trattamento di dati personali nell'ambito dei rapporti di lavoro”) ed il “Documento di lavoro sulla sorveglianza delle comunicazioni elettroniche sul luogo di lavoro” del 2002.

Come precisato dal WP29, tale nuovo parere è finalizzato ad aggiornare le regole per il trattamento dei dati personali dei lavoratori alla luce dell’evoluzione delle tecnologie informatiche (es.: sistemi per il controllo del lavoro da remoto, geolocalizzazione, Data Loss Prevention) nonché della ormai prossima entrata in vigore (25.5.2018) del Regolamento UE n. 679/2016 (cd. “GDPR”).

Nel documento in esame – rivolto non solo ai lavoratori dipendenti bensì anche a quelli autonomi, indipendentemente dalla stipula o meno di un contratto di lavoro subordinato – il WP29 ha, dapprima, ricordato che nell’effettuare il trattamento di tale tipologia di dati personali i datori di lavoro devono tenere ben presenti i diritti fondamentali dei lavoratori, ivi incluso il diritto alla loro riservatezza e, successivamente, individuato le basi giuridiche di tale trattamento, precisando che queste ultime possono ravvisarsi, alternativamente: (i) nell’esecuzione di obblighi derivanti da un contratto di lavoro, ove presente (es.: finalità retributive - ai sensi dell’art. 6.1, lett. b) del GDPR); (ii) nell’adempimento di obbligazioni previste dalla legge (es.: calcolo della ritenuta d’imposta - ex art. 6.1, lett. c) del GDPR); (iii) nell’interesse legittimo del datore di lavoro (es.: prevenzione della perdita di materiali aziendali e/o miglioramento della produttività dei lavoratori - ex art. 6.1, lett. f) del GDPR).

Il WP29, invece, esclude dalle basi giuridiche del trattamento dei dati personali dei lavoratori il mero consenso di questi ultimi in quanto, a causa del rapporto di “dipendenza” nei confronti del datore di lavoro, lo stesso consenso non potrebbe mai ritenersi liberamente prestato né, per le medesime ragioni, liberamente revocabile.

Con particolare riferimento all’interesse legittimo del datore di lavoro, poi, il WP29 ricorda a ciascun datore di lavoro di valutare preventivamente se il trattamento da porre in essere sia necessario e proporzionato per il perseguimento di una finalità legittima, nonché di adottare apposite misure di sicurezza volte a bilanciare tale finalità con i diritti e le libertà fondamentali dei lavoratori, redigendo, se del caso (cfr. art. 35 del GDPR), anche una valutazione di impatto del trattamento (cd. “DPIA”).  

A tal riguardo, il WP29 suggerisce altresì ai datori di lavoro specifiche misure di sicurezza idonee a prevenire eventuali violazioni della riservatezza degli interessati, tra cui, ad esempio, (i) l’esclusione delle cd. “aree sensibili” (ospedali o luoghi religiosi) dalle zone sottoposte a monitoraggio, (ii) il divieto di monitoraggio delle cartelle/dei file e/o delle comunicazioni personali dei dipendenti e/o, ancora, (iii) la previsione di un monitoraggio “a campione”, rispetto ad una sorveglianza continuata nel tempo (sul punto, per l’Italia, cfr. Prov. Garante Privacy n. 247/2017).

Il WP29 ricorda, infine, che nel caso in cui il trattamento dei dati dei lavoratori si fondi sull’interesse legittimo del titolare, quest’ultimo è sempre tenuto a garantire agli interessati il diritto di opporsi al trattamento, esercitando l’omonimo diritto loro conferito dall’art. 21 del GDPR.

 

  1. I casi tipici

Con il parere in esame, il WP29 ha individuato 9 scenari tipici di trattamento di dati personali dei lavoratori - per lo più basati su un interesse legittimo del titolare del trattamento -  che possono presentare dei rischi per i diritti e le libertà fondamentali di questi ultimi.

Per ciascuno di tali scenari, il WP29 ha inoltre ricordato che il datore di lavoro deve procedere, nel rispetto dei principi di “privacy by design” e “privacy by default” previsti dal GDPR, alla previa individuazione della base giuridica del trattamento, alla verifica della necessità delle operazioni di trattamento ed all’esame della correttezza e proporzionalità dello stesso rispetto alle finalità perseguite.

  • Trattamento dei dati dei candidati presenti sui social network

Secondo il WP29, il datore di lavoro può trattare i dati dei candidati presenti sui loro profili social (opinioni personali, abitudini, interessi, ecc.) solo nelle ipotesi in cui tali profili siano utilizzati dagli interessati per finalità lavorative – e non personali – e laddove gli stessi siano necessari e rilevanti per l’esecuzione della prestazione lavorativa cui la domanda del candidato è rivolta. In tale circostanza, il WP29 ricorda ai datori di lavoro di informare preventivamente il candidato del trattamento dei suoi dati personali (mediante, ad esempio, l’inserimento di una specifica indicazione all’interno dell’annuncio di lavoro).

  • Trattamento dei dati dei lavoratori presenti sui social network

Il trattamento dei dati dei lavoratori presenti sui social network ha, secondo il WP29, i medesimi presupposti previsti per il trattamento dei dati dei candidati (necessaria pubblicità del profilo social dell’interessato, preventiva informativa del trattamento resa agli interessati, sussistenza della necessità e rilevanza del trattamento rispetto al legittimo interesse perseguito). A tal riguardo, tuttavia, il WP29 impone sul datore di lavoro l’onere di provare anche l’insussistenza di strumenti meno invasivi per il raggiungimento delle finalità del trattamento (es.: per il WP29 il datore di lavoro può avere un legittimo interesse a monitorare il profilo Linkedin dell’ex dipendente in regime di non concorrenza con la propria società al fine di verificare il rispetto di tale obbligo da parte dell’ex dipendente).

  • Monitoraggio della strumentazione informatica dei lavoratori

Il WP29 ritiene che, stante l’evoluzione delle tecnologie informatiche a disposizione dei datori di lavoro (Data Loss Prevention, Next-Generation Firewalls, Unified Threat Managment, eDiscovery technologies, BYOD), il trattamento dati personali dei lavoratori relativi all’utilizzo della loro strumentazione informatica (es.: e-mail ricevute/inviate; siti web visitati; telefonate effettuate) rappresenti la più grande minaccia per la loro riservatezza.

Per far fronte a tale minaccia, il WP29 incoraggia i datori di lavoro ad adottare specifiche soluzioni volte a prevenire il ricorso ad accessi “successivi” ai dati dei lavoratori (presenti, ad esempio, nella loro cronologia web e/o nella casella di posta elettronica) e suggerisce, a titolo esemplificativo, misure quali: la predisposizione di un elenco di siti in cui la navigazione è vietata; la previsione di calendari di posta personali; la predisposizione di un’apposita policy per l’uso della strumentazione informatica.

Sul punto, un particolare esempio di approccio preventivo alla protezione dei dati è stato configurato dal WP29 con riferimento alla procedura di Data Loss Prevention, utilizzata dai datori di lavoro al fine di individuare e prevenire la trasmissione non autorizzata di informazioni riservate aziendali. Come chiarito dal WP29, nelle ipotesi in cui un datore di lavoro intenda avvalersi di una simile procedura, egli dovrebbe (i) informare i lavoratori dell’implementazione della stessa, (ii) determinare, in modo chiaro, le regole sulla base delle quali il sistema informatico qualifica una e-mail in uscita come in violazione della riservatezza aziendale e (iii) in caso di effettiva violazione, informarne l’interessato al fine di consentire a quest’ultimo di cancellare – e non inviare – tale comunicazione.

Con particolare riferimento all’utilizzo della strumentazione informatica da remoto (es. BYOD), invece, il WP29 ha previsto che, sebbene l’utilizzo di simili tecnologie comporti grandi vantaggi per i lavoratori, esso presenta anche il rischio di accessi non autorizzati ai dati personali da parte di soggetti terzi. Secondo il WP29, pur avendo la necessità di far fronte a tali rischi, il datore di lavoro non può adottare misure di sicurezza quali il monitoraggio dei movimenti del mouse, l’utilizzo di webcam o di tecnologie di “screen capture” – in quanto non proporzionate ed eccessive rispetto alle finalità perseguite – ma deve piuttosto implementare misure di sicurezza che rispettino la riservatezza degli interessati (così, ad esempio, se il datore di lavoro intende accedere agli smartphone dei lavoratori per verificare la perdita di dati personali, dovrebbe evitare l’accesso ad aree “private”, quali l’archivio fotografico).

  • Mobile Device Managment

Le tecnologie di Mobile Device Managment consentono al datore di lavoro di gestire (rectius, geolocalizzare, installare software/applicazioni, cancellare dati personali) da remoto i dispositivi mobili affidati ai lavoratori. In relazione a tali tecnologie, il WP29 ha previsto che ciascun datore di lavoro debba effettuare una DPIA prima dell’inizio del trattamento, al fine di verificare la necessità del trattamento rispetto alle finalità perseguite e garantire il rispetto dei principi di proporzionalità e sussidiarietà. Come precisato dal WP29, inoltre, il datore di lavoro dovrebbe, da un lato, essere in grado di dimostrare che l’utilizzo di tali tecnologie informatiche non rientra in un più ampio programma di trattamento volto all’esclusivo controllo dell’attività dei lavoratori e, dall’altro, adottare sistemi di registrazione delle informazioni volti a raccogliere i dati personali relativi ai dispositivi mobili dei lavoratori solo in casi eccezionali (es. smarrimento).

  • Wearable Devices

Gli strumenti utilizzati dal datore di lavoro al fine di monitorare lo stato di salute e l’attività fisica dei propri lavoratori, spesso anche al di fuori dell’ambiente di lavoro, consentono al datore di raccogliere i dati cd. “sensibili” degli interessati: come sostenuto dal WP29, pertanto, il trattamento dei dati effettuato tramite tali tecnologie informatiche è illecito ai sensi dell’art. 8 della Direttiva 95/46/CE (oggi art. 9 del GDPR). I dati personali raccolti tramite tali strumenti, pertanto, possono essere trattati solo dai diretti interessati ed eventualmente dal fornitore del servizio.

  • Rilevazione della presenza dei lavoratori

Alcuni strumenti aziendali utilizzati dal datore di lavoro per finalità del tutto legittime possono comportare l’indiretto monitoraggio della presenza e dell’attività dei lavoratori sul luogo di lavoro (si pensi, ad esempio, all’installazione di un sistema di rilevazione dei dati biometrici dei lavoratori, volto a monitorare l’accesso degli stessi ad aree contenenti informazioni altamente riservate, ma in grado di consentire al datore di lavoro di verificare l’effettivo svolgimento della prestazione lavorativa). Tali trattamenti di dati, secondo il WP29, si fondano sul legittimo interesse del titolare finalizzato a tutelare la perdita e/o la sottrazione di informazioni riservate di natura aziendale (es.: dati dei clienti) ma, per poter essere effettuati nel rispetto della normativa vigente, devono essere preceduti da una idonea informativa fornita ai lavoratori.

  • Trattamenti di dati mediante sistemi di videosorveglianza

Secondo il WP29, l’utilizzo delle tecnologie che consentono il video monitoraggio dei lavoratori (es.: monitoraggio dell’espressione facciale mediante la videocamera dello smartphone affidato ai lavoratori) è illecito, in quanto sproporzionato rispetto alla tutela dei diritti e delle libertà fondamentali degli interessati.

  • Geolocalizzazione dei veicoli

Come precisato dal WP29, al fine di valutare la liceità del trattamento dei dati relativi all’ubicazione dei lavoratori mediante installazione di impianti GPS sui veicoli aziendali loro affidati, occorre distinguere. Se tale trattamento è effettuato al solo fine di monitorare il comportamento dei lavoratori e/o la loro posizione geografica, è illecito (cfr. anche WP29 Parere n. 13/2011). Se, diversamente, il trattamento è effettuato per il perseguimento di finalità legittime del datore di lavoro quali, ad esempio, la tutela della sicurezza dei veicoli e/o dei lavoratori ovvero, ancora, per la pianificazione in tempo reale di alcune attività lavorative, tale trattamento risulta lecito (cfr. sul punto anche WP29 parere n. 5/2005). In ogni caso, il WP29 suggerisce ad ogni datore di lavoro di inserire all’interno di ciascun veicolo una informativa privacy ben visibile recante l’indicazione dell’installazione del GPS e di valutare, prima del trattamento, se i veicoli aziendali concessi ai lavoratori possono essere utilizzati dagli stessi anche per finalità private, suggerendo, in tal caso, di garantire ai lavoratori la possibilità di disattivare il sistema GPS nel caso di destinazioni private.

  • Trasferimento dei dati personali dei lavoratori a terzi

In relazione al trasferimento dei dati dei lavoratori a terzi, il WP29 esemplifica, da un lato, il caso in cui tali dati siano trasferiti ai clienti finali e, dall’altro, l’ipotesi in cui i dati siano comunicati tra società del medesimo gruppo aventi sede fuori dall’Italia. Con riferimento alla prima fattispecie, il WP29 ritiene che il trasefrimento possa avvenire solo se fondato su un legittimo interesse del titolare; in relazione alla seconda, invece, il WP29 richiama i principi generali per il trasferimento dei dati previsti dalla Direttiva 95/46/CE e, attualmente, trasposti all’interno del GDPR (garanzia di un adeguato livello di protezione dei dati da parte dello Stato estero e, ove mancante, presenza di una apposita deroga).

 

  1. Conclusioni

Con il parere in esame il WP29 ha introdotto, alla luce delle nuove tecnologie informatiche esaminate al precedente punto 2 ed alla nuova disciplina introdotta dal GDPR, delle specifiche regole per il trattamento dei dati dei lavoratori.

Tali disposizioni forniscono un grande valore aggiunto per i datori di lavoro che intendono trattare i dati personali dei propri lavoratori, in quanto, da un lato, definiscono le basi giuridiche di tale tipologia di trattamento e, dall’altro, tramite esempi pratici, approfondiscono il generico concetto di “legittimo interesse” del titolare, così come previsto dall’art. 6.1 lett. f) del GDPR.

Il parere, inoltre, ricorda ai datori di lavoro di adottare sempre, nel rispetto del principio di “accountability” previsto dal GDPR, misure preventive volte alla protezione della riservatezza dei lavoratori redigendo, se del caso, anche una valutazione di impatto del trattamento che abbia ad oggetto il bilanciamento tra il proprio legittimo interesse e l’impatto delle nuove tecnologie informatiche utilizzate sui diritti e le libertà fondamentali degli interessati.

Chiara Agostini

Link alla fonte

 

Garante Privacy: no al trattamento dei dati giudiziari dei lavoratori in assenza di un’adeguata base giuridica

Con Provvedimento n. 267/2017, il Garante Privacy si è pronunciato in relazione al trattamento, da parte di un datore di lavoro, dei dati giudiziari dei propri dipendenti contenuti nel certificato generale del casellario. Con tale pronuncia – nata da un’istanza presentata dalla società Manutencoop Facility Management S.p.A. al Garante Privacy, volta ad ottenere da quest’ultimo l’autorizzazione al trattamento dei dati giudiziari dei propri lavoratori – il Garante ha, dapprima, ribadito che tale tipologia di trattamento può essere effettuato solo laddove “indispensabile per adempiere a specifici obblighi o compiti previsti dalla legge, dalla normativa dell'UE o da regolamenti e/o contratti collettivi e ai soli fini della gestione del rapporto di lavoro" (cfr. Autorizzazione generale n. 7/2016) e, successivamente, rigettato l’istanza di autorizzazione presentata dalla predetta società, per non avere la stessa dimostrato la sussistenza di una idonea base giuridica (di natura legislativa, regolamentare o contrattuale) atta a legittimare il trattamento dei dati giudiziari dei propri dipendenti. Come precisato dal Garante Privacy, infatti, la mera prospettazione di tale trattamento di dati “in vista di uno stipulando contratto di appalto con terzi” non costituisce una idonea basa giuridica nel senso sopra prospettato.

Link alla fonte

Manifestazioni a premio: il nuovo orientamento del MISE

Il Ministero dello Sviluppo Economico (“MISE”) ha recentemente pubblicato sul proprio sito istituzionale le nuove FAQ (“Frequently Asked Question”) in materia di manifestazioni a premio. Tale documento da atto di un netto cambio di orientamento da parte del MISE nell'interpretazione del D.P.R. 430/2001, che risulta finalmente favorevole alla organizzazione di promozioni europee e di quelle sui social network, nonché in linea con i principi del diritto comunitario di reciproco riconoscimento delle normative dei singoli Stati membri e di libera circolazione dei servizi e dei prodotti nel mercato UE.

Tra le principali novità interpretative, segnaliamo, a titolo esemplificativo, (i) la facoltà per le imprese estere aventi sede legale all’interno della UE di promuovere manifestazioni a premio in territorio italiano, applicando a tali manifestazioni la disciplina del proprio Stato di appartenenza, fatta eccezione per la normativa italiana a tutela dei diritti dei consumatori e (ii) l’estensione del concetto di modico valore, volto ad escludere una iniziativa dall’alveo della normativa in materia di manifestazioni a premi, a prodotti e servizi del valore pari o inferiore ad euro 25,82, così come meglio definito nel parere dell’Agenzia delle Entrate del 10.3.2017.

Link alla fonte

WhatsApp: sanzione da 3 mln di euro dall’Antitrust per la coercitiva condivisione dei dati dei propri utenti a Facebook e per l’utilizzo di clausole vessatorie nelle T&C

Con due provvedimenti dell’11 maggio 2017, l’Autorità Garante per la concorrenza e il mercato (“AGCM”) ha concluso due istruttorie (PS10601 e CV154), avviate nell’ottobre del 2016, nei confronti della società americana WhatsApp Inc. (“WhatsApp”), leader a livello mondiale nella fornitura di servizi di messaggistica istantanea.

Con il primo provvedimento, l’AGCM ha comminato a WhatsApp una sanzione pecuniaria pari a 3 milioni di Euro per aver posto in essere pratiche commerciali scorrette (rectius, aggressive) ai sensi degli artt. 20, 24 e 25 del D.Lgs. n. 206/2005 (c.d. “Codice del Consumo”) e, in particolare, per aver di fatto indotto gli utenti ad accettare integralmente i nuovi Termini di Utilizzo (così come aggiornati in data 25.8.2016), pena l’inutilizzabilità del servizio.

Nel merito, come evidenziato dall’Autorità, WhatsApp non avrebbe adeguatamente evidenziato ai nuovi utenti la possibilità di negare il consenso al trasferimento dei propri dati personali alla sua controllante, Facebook Inc. (“Facebook”), per finalità di profilazione e di invio di pubblicità mirata e, anzi, avrebbe operato condizionando e quindi inducendo i consumatori ad accettare, entro 30 giorni dalla comparsa dell’aggiornamento, le modifiche apportate ai Termini di Utilizzo. Agli utenti già registrati, invece, WhatsApp avrebbe concesso la possibilità di rifiutare tale trasferimento solo mediante la previsione di una opzione di spunta preimpostata, presente in una pagina “secondaria” dell’applicazione (cd. regime di “opt-out”).

Secondo l’AGCM, tale pratica commerciale, oltre ad essere idonea a falsare in maniera apprezzabile il comportamento economico dei consumatori, costretti a fornire il proprio consenso all’aggiornamento dei Termini di Utilizzo per poter usufruire del servizio di messaggistica, “contrasta altresì con la diligenza professionale che può legittimamente attendersi da un operatore nel settore dei cd. “consumer communication services”, tenuto conto delle caratteristiche dell’attività svolta e del fatto che WhatsApp rappresenta, con oltre 30-50 milioni di utenti, un operatore importante nel contesto del mercato italiano di riferimento”.

L’Autorità, inoltre, all’interno del proprio iter logico-argomentativo, ha posto l’accento sull’evidente vantaggio economico che tale pratica commerciale è idonea ad apportare a WhatsApp e a Facebook, precisando come i dati personali degli utenti assumano rilevanza economica proprio in forza della loro condivisione infragruppo; condivisione volta a consentire alle predette società di migliorare la propria attività di advertising e di profilazione dei consumatori iscritti alla sua piattaforma social.

Sul tema, l’AGCM, con una pronuncia senza precedenti, ha richiamato integralmente l’ormai consolidato orientamento della Commissione Europea (cfr. CE, “Orientamenti per l’attuazione/applicazione della direttiva 2005/29/CE relativa alle pratiche commerciali sleali” del 25.5.2016, secondo cui “i dati personali, le preferenze dei consumatori e altri contenuti generati dagli utenti hanno un valore economico de facto e vengono venduti a terzi per fini di lucro”) e, a sostegno delle proprie conclusioni, ha illustrato come “il patrimonio informativo costituito dai dati degli utenti di WhatsApp, utilizzato per la profilazione degli utenti medesimi a uso commerciale e per finalità di marketing, acquista, proprio in ragione di tale uso, un valore economico”.

Ciò in quanto, ad avviso dell’Autorità, la strategia di business del gruppo WhatsApp/Facebook è riconducibile ad una attività di c.d. “cross-platform communication”, finalizzata a consentire agli utenti dei due social media di comunicare tra loro attraverso la condivisione dei dati personali degli utenti e di raggiungere risultati economici attraverso la monetizzazione dello scambio delle informazioni raccolte (cc.dd. “network effects – già analizzato dalla CE nell’esame dei profili concorrenziali della concentrazione FACEBOOK/WHATSAPP/caso COMP/M.7217).

Con il secondo provvedimento, invece, tale autorità ha accertato la vessatorietà, ex art. 33 del Codice del Consumo, di alcune clausole del modello contrattuale sottoposto all’accettazione dei consumatori che usufruiscono dell’applicazione di messaggistica di WhatsApp, aventi ad oggetto: (i) la previsione di esclusioni e limitazioni di responsabilità in favore di WhatsApp “molto ampie e assolutamente generiche”; (ii) la possibilità di sospendere discrezionalmente la disponibilità del servizio di messaggistica “senza motivo ne preavviso”; (iii) il diritto “unilaterale” di risolvere il contratto con gli utenti o di recedere, “in qualsiasi momento e per qualsiasi motivo”, dallo stesso; (iv) la facoltà di introdurre modifiche, anche economiche, ai Termini di Utilizzo del servizio, “senza indicarne le motivazioni e prevedendo che la continuazione dell’utilizzo dei servizi valga come accettazione di tali modifiche”; (v) la previsione della legge statunitense quale normativa applicabile al contratto di messaggistica e del Tribunale dello Stato della California quale unico foro competente a risolvere le controversie sorte con i consumatori; (vi) la mancanza di chiarezza circa la previsione del “diritto di recedere dagli ordini” e di non fornire rimborsi per i servizi offerti; (vii) la prevalenza, in caso di conflitti, della versione del contratto in lingua inglese rispetto a quella tradotta in italiano.

Per tali violazioni, WhatsApp è stata altresì condannata dall’AGCM alla pubblicazione (a proprie spese e per venti giorni consecutivi) del testo del provvedimento sia sulla home page del sito www.whatsapp.com - in versione italiana – sia all’interno della propria applicazione, tramite notifica da inviare agli utenti iscritti.

Il provvedimento dell’AGCM che sanziona l’illecito trattamento dei dati come una pratica commerciale aggressiva è assolutamente nuovo nel panorama giurisprudenziale italiano.

Se questo orientamento dovesse essere confermato, un trattamento a fini marketing effettuato non in conformità rispetto alla normativa vigente potrebbe essere sanzionato due volte, prima in base al Codice Privacy (e, a breve, al GDPR che prevede sanzioni fino al 4% del fatturato complessivo), sia in base al Codice del Consumo.

Ciò sempreché il provvedimento in questione non venga impugnato e, in tale sede, non si stabilisca che l’illecito in oggetto sia sanzionabile solo in base alla normativa privacy in forza del principio secondo cui “lex specialis derogat lex generalis”. Staremo a vedere.

Chiara Agostini & Nicolò Rappa

 

Link alla fonte 1                                       

Link alla fonte 2

Link alla fonte 3

Garante Privacy: pubblicata on-line la “Guida all’applicazione del GDPR”

Con comunicato stampa del 28 aprile 2017, il Garante Privacy ha pubblicato sul proprio sito istituzionale la “Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali”. Tale documento, che costituisce un importante strumento di ausilio per le imprese ed i soggetti pubblici interessati nell’adeguamento dei loro trattamenti al GDPR, affronta, da un lato, la disciplina dei temi principali oggetto della recente normativa Europea (Fondamenti di liceità del trattamento; Informativa; Diritti degli interessati; Titolare, responsabile, incaricato del trattamento; Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili; Trasferimenti internazionali di dati) - evidenziandone le differenze e le conformità rispetto al Codice Privacy - e, dall’altro, fornisce preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal GDPR.

Link alla fonte

Garante Privacy: la natura “chiusa” di un profilo Facebook non può essere dimostrata in alcun modo dal suo titolare

Con provvedimento n. 75 del 2017, il Garante Privacy si è pronunciato in relazione al ricorso di un ex marito avente ad oggetto la richiesta di rimozione dal profilo Facebook della ex moglie di due sentenze emesse dal Tribunale di Tivoli, aventi ad oggetto la cessazione degli effetti civili del loro matrimonio e contenenti, nello specifico, diversi riferimenti alla figlia minorenne. Con tale provvedimento, il Garante Privacy ha, dapprima, ribadito che, ai sensi degli artt. 50 e 52.5 del Codice Privacy, è vietata la pubblicazione e la divulgazione, con qualsiasi mezzo, di notizie o immagini idonee a consentire l'identificazione di un minore coinvolto in procedimenti giudiziari (diversi da quello penale) e, successivamente, affermato che l’eventuale natura “chiusa” di profilo di Facebook e la sua accessibilità ad un numero ristretto di "amici" non possono essere in alcun modo dimostrate, posto che (i) ogni profilo può essere agevolmente - ed in ogni momento - modificato da "chiuso" ad "aperto" e (ii) qualunque "amico" ammesso al profilo di un utente ha la possibilità di condividerne sulla propria bacheca i contenuti, rendendoli così potenzialmente visibili a tutti gli utenti di Facebook.

Link alla fonte

Cancellazione dei dati personali dal registro delle imprese: arriva il “no” della Corte di Giustizia UE

Con Sentenza del 9 marzo 2017, la Corte di Giustizia dell’UE ha negato ad un cittadino italiano, ex amministratore unico e liquidatore di una società poi dichiarata fallita, la richiesta di cancellazione dei suoi dati personali dal registro pubblico delle imprese tenuto dalla CCIAA di Lecce. Con tale pronuncia, nata da una domanda di interpretazione pregiudiziale sollevata dalla Corte di Cassazione Italiana ed avente ad oggetto la valutazione del rapporto tra il principio di conservazione dei dati personali, previsto dall’art. 6.1, lett. e) della direttiva 95/46/CE, ed il sistema di pubblicità dei registri delle imprese, disciplinato dalla direttiva 68/51/CE e dall’art. 2188 c.c., la Corte ha, dapprima, statuito che tale valutazione - consistente nell’analisi concreta, caso per caso, della sussistenza di ragioni preminenti e legittime tali da giustificare la cancellazione di dati personali degli interessati presenti nei registri delle imprese – compete, in via esclusiva, ai singoli legislatori nazionali e, successivamente, ritenuto che il solo presumere che un cittadino subisca un pregiudizio nel corso della propria attività economica per essere ancora presenti nel registro delle imprese, a distanza di anni, informazioni personali relative alla sua qualifica di ex liquidatore di una società fallita, non costituisce una ragione preminente e legittima tale da consentire la cancellazione di tali dati personali dal predetto registro.

Link alla fonte

Controllo di e-mail e smartphone aziendali di dipendenti ed ex dipendenti: il Garante Privacy ne ribadisce le condizioni di legittimità

Con Provvedimento n. 547/2016, il Garante Privacy si è pronunciato il relazione al trattamento, da parte di un datore di lavoro, dei dati personali dei propri dipendenti (ed ex dipendenti) presenti nella loro casella di posta elettronica e nei loro smartphone. Con tale pronuncia – nata dal ricorso con cui un ex dipendente di una società multinazionale ha lamentato l’illecito accesso alle proprie e-mail ed al proprio smartphone aziendale da parte del datore di lavoro – il Garante ha, da un lato, ribadito l’obbligo di quest’ultimo di informare i dipendenti, sin dalla loro assunzione, circa le finalità e le modalità del trattamento dei dati personali presenti nei loro strumenti elettronici e, dall’altro, precisato che, al termine del rapporto di lavoro: (i) gli account aziendali dei lavoratori (es: e-mail) devono essere immediatamente disattivati e rimossi; (ii) ogni ulteriore conservazione dei dati personali è lecita solo se effettuata per la tutela dei diritti in sede giudiziaria.

Link alla fonte

GDPR: il WP29 emana le linee guida per chiarire la figura del DPO, il diritto alla portabilità dei dati e i criteri per l’identificazione della autorità di controllo capofila

Con tre provvedimenti del 13 dicembre 2016, il Gruppo dei Garanti dell’Unione Europea (cd. “WP29”), ha emanato importanti chiarimenti in merito a tre novità introdotte dal recente Regolamento Europeo in materia di protezione dei dati personali n. 2016/679 (“GDPR”): il Data Protection Officer (cd. “DPO” o, in Italia, “Responsabile della protezione dei dati”), il diritto alla portabilità dei dati personali e la cd. “autorità di controllo capofila”.

  1. Il DPO

Con le prime linee guida, il WP29 esamina la figura del DPO, elencando i casi di designazione obbligatoria previsti dall’art. 37 del GDPR (trattamento dei dati da parte di un soggetto pubblico; monitoraggio regolare e sistematico, su larga scala, dei dati degli interessati; trattamento, su larga scala, di speciali categorie di dati personali o di dati relativi a reati e condanne penali) e indicando altresì, a tutti i titolari e/o responsabili del trattamento, l’opportunità di nominare tale figura nel proprio organico, tenendo in considerazione sia le caratteristiche del trattamento dei dati posto in essere al proprio interno, sia, in generale, le facilitazioni che ne deriverebbero in termini di dimostrazione della conformità del proprio trattamento al GDPR (come previsto dall’art. 24 dello stesso).

Con riferimento ai casi di obbligatoria designazione del DPO, il WP29 si sofferma sulle nozioni di “autorità o organismo pubblico”, “attività principale del titolare”, “larga scala” e “monitoraggio regolare e sistematico”, precisando che:

- la definizione di “autorità o organismo pubblico” dev’essere demandata alle diverse leggi nazionali e che l’obbligo di nomina di un DPO incombe anche su quelle persone fisiche o giuridiche le quali, anche ove non ricomprese nelle categorie per le quali la nomina di un DPO è obbligatoria, operano in particolari settori, gestendo attività e/o incarichi di natura pubblicistica (quali, ad esempio, il trasporto pubblico o la fornitura di acqua o di energia elettrica);

- nella definizione di “attività principale” sono ricomprese tutte le operazioni necessarie al titolare del trattamento per raggiungere gli scopi della propria attività e che dalla stessa esulano, invece – così come previsto dal considerando 97 al GDPR – le “attività accessorie” alla principale (così, per una struttura sanitaria, è “attività principale” il solo trattamento dei dati personali dei propri pazienti);

- il concetto di “larga scala” dev’essere valutato sulla base di alcuni specifici criteri - quali, ad esempio, il numero di interessati coinvolti nel trattamento, la durata del trattamento e la sua estensione geografica (tra i trattamenti effettuati su larga scala, in particolare, rientrano la geo-localizzazione, per finalità statistiche, dei clienti di una catena internazionale di fast-food; il trattamento dei dati bancari dei propri clienti da parte di una compagnia assicurativa; il trattamento, da parte di un motore di ricerca, dei dati personali degli utenti per l’invio di pubblicità mirata; tra i trattamenti non su larga scala, invece, sono ricompresi: il trattamento dei dati di un proprio paziente da parte del medico di famiglia ed il trattamento dei dati personali di natura penale da parte di un avvocato);

- la nozione di “monitoraggio regolare e sistematico” non deve essere delimitata al solo mondo del web, in quanto non costituisce trattamento idoneo per la nomina obbligatoria di un DPO solo quello rivolto alla registrazione del comportamenti degli utenti di internet, bensì anche quello ripetuto ad intervalli di tempo regolari o in maniera periodica (fornitura di un servizio di telecomunicazione), quello preorganizzato e metodico (geo-localizzazione tramite mobile app o monitoraggio dell’attività fisica e dello stato di salute mediante lo smartphone) o posto in essere in esecuzione di una precisa strategia (trattamento dei dati per la fidelizzazione del cliente).

Il WP29, in generale, richiama l’attenzione sull’importanza del DPO, definendolo come il soggetto, interno od esterno rispetto all’organizzazione del titolare e/o del responsabile, che riveste un ruolo fondamentale nel trattamento dei dati personali degli interessati: a lui, infatti, è affidata la precipua funzione di “considerare debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo” (cfr. art. 39.2 GDPR). A tal riguardo, il gruppo dei Garanti Europei precisa che ogni DPO deve:

- essere sempre “tempestivamente ed adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali” degli interessati (il che implica, ad esempio, il suo coinvolgimento alle riunioni di maggior rilievo di una società - specie se hanno ad oggetto il trattamento dei dati personali; la richiesta e l’analisi di suoi pareri e la sua consultazione in caso di violazione dei dati);

- operare in piena indipendenza, evitando, nello svolgimento delle sue mansioni, qualsivoglia conflitto di interessi;

- essere previamente consultato in merito alla necessità della redazione di una valutazione di impatto del trattamento (c.d. “Privacy Impact Assessment”) - sebbene tale documento, resti, in ogni caso, di esclusiva competenza del titolare;

- ricevere dal titolare e/o dal responsabile le risorse - anche di natura finanziaria e formativa - necessarie per assolvere ai propri compiti.

In relazione a tale ultimo aspetto, il WP29 riprende sostanzialmente quanto previsto dall’elenco (meramente esemplificativo e non tassativo) dell’art. 39 del GDPR, precisando in ogni caso che, nello svolgimento delle sue mansioni, il DPO non è mai responsabile della conformità del trattamento dei dati al Regolamento Europeo: responsabile, infatti, rimane sempre, in via esclusiva, il titolare e/o il responsabile del trattamento (cfr. art. 24 GDPR).

Il Gruppo di lavoro Europeo, inoltre, effettua anche alcune importanti considerazioni circa la nomina di un DPO all’interno di un gruppo di società, richiamando in toto l’art. 37.2 del GDPR secondo cui “un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”. Sul punto, il WP29 suggerisce ai titolari, da un lato, di rendere pubblici i dati di contatto del DPO mediante l’utilizzo della intranet aziendale, di dotare tale soggetto di un apposito indirizzo e-mail e/o di un numero di telefono personale e, dall’altro, di comunicare i dati del DPO alla propria autorità di controllo.

  1. La portabilità dei dati

Il diritto alla portabilità dei dati è previsto dall’art. 20 del GDPR e consente all’interessato di ricevere dal titolare del trattamento, su di un formato strutturato, di uso comune e leggibile da un dispositivo automatico, i suoi dati personali e di trasmetterli – senza alcun impedimento da parte del titolare - ad un altro titolare del trattamento.

Così come precisato dal WP29, in particolare, l’esercizio di tale diritto – di per sé gratuito, ad eccezione di alcuni casi di specie previsti dall’art. 12 (esercizio infondato, ripetitivo od eccessivo del diritto stesso) - rappresenta un importante strumento volto a favorire lo scambio dei dati personali degli interessati tra diversi titolari del trattamento, a bilanciare, mediante la promozione di un maggiore controllo sui propri dati personali da parte degli interessati, il rapporto tra questi ultimi e i controllers ed a favorire lo sviluppo di nuovi modelli di business basati su un “trasferimento controllato di dati personali” (si vedano, ad esempio, i programmi inglesi e francesi “MiData” e “MesInfos/SelfData”).

Per tali ragioni, secondo il WP29, il titolare del trattamento deve, in primo luogo, informare sempre gli interessati della sussistenza di tale diritto, differenziandolo rispetto a quelli previsti dagli artt. 15 e seguenti del GDPR (accesso, rettifica, oblio, ecc.) e, in secondo luogo, evitare di rimanere inerte e/o silente nei confronti degli interessati che abbiano esercitato tale diritto, fornendo riscontro entro massimo 3 mesi dalla data della richiesta.

Nelle proprie linee guida, il WP29 evidenzia altresì i ruoli e le responsabilità dei soggetti coinvolti nel trasferimento dei dati in forza dell’esercizio del diritto alla portabilità, precisando, da un lato, che il titolare del trattamento che riceve i dati non è legittimato ad utilizzarli indistintamente ed in maniera indiscriminata ma a trattare esclusivamente quelli necessari, pertinenti e non eccessivi rispetto al perseguimento delle proprie finalità e dall’altro, che il titolare del trattamento che abbia ricevuto la richiesta di portabilità da parte di un interessato non è tenuto ad ostacolare l’esercizio di altri diritti che competono a quest’ultimo (sia con riferimento ai diritti conferiti dal GDPR sia avuto riguardo a quelli ottenuti dall’interessato in forza di un contratto sottoscritto con il titolare).

In relazione ai presupposti per l’esercizio del diritto alla portabilità – di cui all’art. 20 del GDPR – invece, il Gruppo dei Garanti Europei specifica che:

- le operazioni di trattamento interessate da tale diritto sono quelle per cui l’interessato abbia fornito il proprio esplicito consenso o che sono effettuate in esecuzione di un contratto (es. trasferimento dei dati relativi a tutte le operazioni di acquisto effettuate da un utente in un negozio di libri online);

- i dati personali che l’interessato intende trasferire siano stati trattati con mezzi (elettronici) automatizzati;

- i dati personali da trasmettere siano chiaramente riferibili alla persona dell’interessato (con esclusione, pertanto, dei dati di natura anonima);

- i dati personali da trasferire siano stati forniti al titolare in maniera diretta e consapevole dall’interessato stesso (es. nome utente, indirizzo e-mail, anno di nascita) ovvero siano stati raccolti dal titolare attraverso l’analisi delle attività compiute da un interessato per mezzo di un servizio o di un dispositivo mobile (es. smartphone) a lui fornito e da lui utilizzato (tra cui, ad esempio, i dati di traffico, di geo-localizzazione o, ancora, i dati personali di natura sanitaria tracciati da apposite applicazioni). Sono, invece, esclusi, i dati creati direttamente dal titolare del trattamento;

- l’esercizio di tale diritto non leda i diritti e le libertà altrui – ad esempio, impedendo ad altri interessati l’esercizio dei diritti loro conferiti dall’art. 13 del GDPR (informazione, rettifica, aggiornamento, ecc.).

A tal riguardo, il WP29 impone l’adozione di particolari cautele nelle ipotesi in cui i dati personali che l’interessato trasferisce ad un nuovo titolare del trattamento contengano informazioni inerenti anche terzi soggetti. Si pensi, ad esempio, alla trasmissione dei dati di un conto corrente bancario tra due aziende di credito: in tal caso, oltre alle informazioni inerenti alle transazioni commerciali effettuate dall’interessato, il nuovo titolare del trattamento acquisirà anche i dati di eventuali suoi terzi beneficiari e/o debitori.

In tali ipotesi, pertanto, il WP29 indica la necessità di: (i) individuare preventivamente una base giuridica per l’effettuazione di tale trasferimento (es: interesse legittimo del nuovo titolare del trattamento alla fornitura di uno specifico servizio agli interessati); (ii) non trattare le informazioni personali dei terzi per proprie finalità (es: finalità di marketing o di invio di materiale promozionale); (iii) implementare strumenti atti a consentire agli interessati di escludere preventivamente le informazioni dei terzi non ritenute idonee al trasferimento.

  1. L’autorità di controllo capofila

L’individuazione di un’autorità di controllo capofila si rende necessaria soltanto nell’ipotesi in cui un titolare e/o un responsabile ponga in essere un trattamento di dati personali cd. “transfrontaliero” ossia, come previsto dall’art. 4, n. 23 del GDPR: (i) un trasferimento di dati tra più Stati membri dell’Unione Europea o (ii) un trattamento di dati che incide o che potrebbe incidere in modo sostanziale su interessati situati in più di uno Stato membro dell’UE.

Secondo il WP29, la circostanza di cui al precedente punto (ii) è da valutarsi caso per caso, esaminando la tipologia di dati trattati (es. dati di natura speciale ex art. 9 GDPR), le finalità del trattamento perseguite dal titolare e prendendo in considerazione determinati criteri, tra cui la valutazione della eventuale sussistenza di danni o pregiudizi arrecati all’interessato dal trattamento dei suoi dati personali (quali, ad esempio, la turbativa del suo stato di salute, l’aver subito un pregiudizio alla reputazione, la limitazione dei diritti lui garantiti dal GDPR).

Ciò premesso, occorre evidenziare che dall’applicazione del principio della designazione dell’autorità capofila (cd. “one stop shop”) sono pertanto esclusi i casi in cui:

- il trattamento dei dati avvenga esclusivamente su base “locale” (es. trattamento posto in essere da una pubblica autorità);

- il titolare e/o il responsabile del trattamento non abbia (almeno) uno stabilimento in uno Stato dell’UE (non è sufficiente, a tal fine, la mera presenza di un rappresentante estero).

In presenza di un trattamento di dati transfrontaliero, l’art. 56 del GDPR stabilisce che l’autorità di controllo capofila competente a sorvegliare sulla conformità di tale trattamento al GDPR ed a gestire eventuali reclami da parte degli interessati relativi al trasferimento, è quella dello Stato UE in cui è situato (i) l’unico stabilimento del titolare o del responsabile del trattamento ovvero (ii) il loro stabilimento principale, definito dall’art. 4, n. 16 del GDPR come il luogo in cui si trova l’amministrazione centrale o in cui sono stabilite le finalità e le modalità del trattamento.

Così, ad esempio, nel caso in cui un titolare o un responsabile del trattamento abbia la propria amministrazione centrale solo in Italia, l’autorità di controllo capofila sarà quella Italiana; diversamente, nel caso in cui una persona giuridica titolare del trattamento (ad esempio, una banca) abbia la propria amministrazione centrale in Italia ma trasferisca i dati personali degli interessati ad uno specifico dipartimento, interno alla sua organizzazione - quale, ad esempio, il dipartimento assicurativo - e tale dipartimento sia situato in un paese diverso dall’Italia (es: in Francia), l’autorità di controllo capofila sarà quella di quest’ultimo paese.

Lo stesso principio, assume rilevanza anche nel caso di un gruppo di imprese. Il WP29, infatti, prevede che l’autorità di controllo capofila competente per la sorveglianza del trasferimento dei dati tra le imprese di tale gruppo sia quella dello stato UE in cui è presente lo stabilimento (principale) della società controllante, cui sono affidati i poteri di controllo del gruppo stesso (cd. “headquarter”), a meno che le decisioni in ordine alle finalità e modalità del trattamento siano assunte da un’altra impresa situata in un diverso Stato membro dell’UE (in questo caso, l’autorità capofila sarà quella dello Stato in cui ha sede tale altra società).

Relativamente al principio in esame, infine, il Gruppo dei Garanti Europei precisa alcuni criteri idonei per l’identificazione dell’autorità di controllo capofila nell’ipotesi in cui il luogo dello stabilimento principale del gruppo di imprese non coincida con quello dell’amministrazione centrale e quest’ultimo si trovi fuori dall’UE, consigliando, in tal caso, di tenere in considerazione ai fini della determinazione dell’autorità capofila:

- il luogo in cui sono assunte, in via definitiva, le decisioni sulle finalità e sulle modalità del trattamento;

- il luogo in cui sono assunte le decisioni sulle attività di business della società che importano un trattamento dei dati personali;

- il luogo in cui si trova il/i soggetto/i avente/i la responsabilità del trasferimento dei dati infragruppo.

 

Chiara Agostini

Nicolò Rappa

 

Link alla fonte 1                   Link alla fonte 2                  Link alla fonte 3

Attività di linking ed embedding: per il Tribunale di Roma non costituiscono “comunicazione al pubblico”

Con sentenza del 29 novembre 2016, il Tribunale di Roma si è pronunciato in relazione alla liceità delle attività di inserimento di linking ed embedding. Con tale pronuncia – nata dalla c.d. “Operazione Odissea” della Guardia di Finanza, avente ad oggetto il sequestro di 152 siti accusati di violare il diritto d’autore attraverso la comunicazione in chiaro di film e partite di calcio - tale autorità, sulla scorta delle pronunce “Svensson”, “BestWater” e “GS Media” della Corte di Giustizia Europea, ha statuito che la pubblicazione sul proprio sito internet di collegamenti ipertestuali/link e/o l’embedding di opere d’autore di terzi soggetti, liberamente disponibili su un altro sito internet, non costituisce una comunicazione al pubblico di tali opere - ai sensi dell’art. 3 della direttiva 2001/29/CE e dell’art. 16 della Legge 633/41- ed è quindi da considerarsi attività lecita qualora non sia diretta ad un pubblico nuovo o non sia effettuata con una modalità tecnica diversa da quelle adottate dal legittimo titolare per la comunicazione originale.

Restiamo in contatto

Ricevi gratuitamente la nostra newsletter.

Il Blog di Riccardo Rossotto

Visita il Blog di Riccardo Rossotto.

Torino  
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milano  
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Roma  
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio  
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy
Aosta  
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bergamo  
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy