Articoli

Webtracking e responsabilità del trattamento dei dati personali: il parere della CGUE

Avv. Flaviano Sanzari

Con il parere sulla domanda di pronuncia pregiudiziale proposta dalla Corte amministrativa federale tedesca in merito alla causa promossa da “Wirtschaftsakademie” contro l’Autorità di vigilanza regionale per la protezione dei dati del Land Schleswig-Holstein (in seguito “ULD”), l’Avvocato Generale della CGUE (Causa-C-210/16) si è espresso con riguardo al trattamento dei dati personali sui social network.

Nel caso specifico, la Wirtschaftsakademie offre servizi di formazione attraverso una fanpage gestita sul social network Facebook. Quest’ultimo raccoglie i dati personali degli utenti attraverso cookie, al fine di realizzare statistiche sugli utenti destinate al gestore di Facebook con il fine di agevolare la diffusione di pubblicità mirate. L’oggetto della controversia riguarda la legittimità di un provvedimento emesso dall’ULD nei confronti della Wirtschaftsakademie, con cui le viene richiesto di disattivare la fanpage gestita sul sito di Facebook Ireland Ltd. Infatti, gli utenti Facebook non sarebbero informati della raccolta dei loro dati personali per fini statistici o pubblicitari.

L’Avvocato Generale ha respinto le deduzioni di Facebook secondo cui le sue attività di elaborazione dati nell’Unione Europea cadrebbero esclusivamente sotto la giurisdizione dell’Autorità irlandese per la protezione dei dati personali.

Infatti, sebbene le sue attività di elaborazione dei dati siano gestite congiuntamente da Facebook Inc. negli Stati Uniti e da Facebook Irlanda –sede europea- ciò non toglie che Facebook abbia altre filiali, tra cui quella tedesca, in altri Stati membri dell’Ue che promuovono e vendono sul territorio spazi pubblicitari sui social network.

Da queste considerazioni ed in applicazione dell’art. 26 della direttiva 95/46 e dei principi stabiliti nella decisione Google Spain, l’Avvocato Generale ha ribadito che “Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro”. Pertanto, nel caso di specie, il trattamento dei dati personali tramite cookie, che Facebook ha utilizzato per migliorare il suo targeting di pubblicità, dev’essere considerato quale attività svolta nell’ambito del suo stabilimento tedesco. Di conseguenza, Facebook sarebbe sotto la giurisdizione della Data Protection Authority tedesca, in quanto la promozione e la vendita di spazi pubblicitari era, appunto, di competenza della filiale tedesca.

In futuro, tali fattispecie saranno certamente risolte in maniera diversa alla luce del GDPR (2016/679) “General Data Protection Regulation” che entrerà in vigore il 25 maggio 2018, in quanto si applicherà il meccanismo di sportello unico. Ed in particolare, “un responsabile del trattamento che compie trattamenti transfrontalieri, come Facebook, avrà quale interlocutore una sola autorità di vigilanza, vale a dire l’autorità di vigilanza capogruppo/capofila che sarà quella del luogo in cui si trova lo stabilimento principale del responsabile del trattamento”.

Le azioni regolamentate saranno guidate dall’autorità dove risiede la capogruppo,che nel caso in esame sarà probabilmente il Commissario irlandese per la protezione dei dati.

Il “sistema di gestione privacy” alla luce del GDPR – vademecum per l’avvocato in studio e nella consulenza al cliente

1.12.2017 – Camera di Commercio Sala “du Tillot” – Via Verdi, 2 Parma.

L’evento organizzato da Associazione Forense di Parma ha l’obiettivo principale di fornire una formazione pratico-operativa utile ad orientare l’Avvocato nella conoscenza e nell’inquadramento del vasto quadro del GDPR, per arrivare a realizzare una metodologia efficace di possibile gestione e realizzazione degli strumenti applicabili.

Con il nuovo Regolamento europeo generale sulla protezione dei dati, l’approccio alle problematiche privacy subisce un profondo mutamento. Tutti gli avvocati utilizzano dati personali nella propria attività professionale: dati dei clienti, delle controparti, dei Colleghi, dei fornitori, di terzi. Ciò rende l’avvocato titolare del trattamento con obblighi ben precisi. Chi rispetta la privacy, peraltro, beneficerà di sgravi e semplificazioni, ma chi non sarà adeguato si esporrà a grossi rischi di natura civilistica e penalistica, e ciò rende imprescindibile la conoscenza della normativa in materia di tutela dei dati personali.

La normativa prevede sanzioni fino al 4% del fatturato annuo o, nel caso in cui fosse superiore, fino a 20 milioni di euro.

In quest’ottica, si rende necessaria un’attenta costruzione sia del modello di gestione dei dati, sia del sistema di conservazione degli stessi, per conformarsi alle nuove norme e per poter svolgere correttamente la propria professione.

Ai partecipanti verranno riconosciuti n. 2 crediti formativi in materia obbligatoria di deontologia.

 

RELATORI:

  • Avv. Vincenzo Colarocco – Avvocato specializzato in proprietà intellettuale ed industriale, privacy, Diritto delle Nuove Tecnologie e social&media law, Socio fondatore di Lex Digital, membro del circolo dei Giuristi Telematici, dell’Osservatorio Web e Legalità e del Centro Studi di informatica Giuridica.
  • Avv. Lucio Scudiero – Avvocato specializzato in diritti della protezione dei dati personali e diritto europeo. Svolge attività di consulenza legale e di Data Protection Officer, certificato da Tuv Italia. Direttore esecutivo di Lex Digital.
  • Moderatore avv. Michele Baroc

MODALITA’ DI ISCRIZIONE:

  • Per gli ISCRITTI all’Associazione Forense Parma la partecipazione all’evento è GRATUITA
  • Per i NON iscritti all’Associazione Forense Parma La partecipazione all’evento prevede un versamento di € 25,00 tramite bonifico alle seguenti coordinate bancarie: IBAN: IT 81 T 03015 03200 000003541650 oppure anche in contanti presso la segreteria organizzativa. Iscriversi tramite questo link

La privacy 2.0 ridisegna l’organizzazione aziendale

Avv. Flaviano Sanzari

Il debutto, nel 2018, della nuova normativa europea sulla protezione dei dati personali impone alle aziende di cominciare ad adeguare policy e organizzazione interna, fin da ora, per arrivare preparate alla data del 25 maggio, quando sarà efficace in tutta l’Unione il Regolamento generale 679/2016.
Da quella data, infatti, la normativa europea sostituirà integralmente quella interna attualmente in vigore; il Regolamento sostituirà il nostro Codice privacy (in vigore dal 2003) e la disciplina in materia di trattamento dei dati tra i vari Paesi membri sarà uniforme.

Questo il quadro sintetico delle principali novità introdotte:

Codice Privacy Attuale Nuovo Regolamento UE
Soggetti coinvolti titolare del trattamento (chi svolge il trattamento e ne determina le finalità e modalità); responsabile (incaricato al trattamento dal titolare); incaricati al trattamento, ausiliari del responsabile.

L’autorità di controllo è il Garante della privacy.

Spariscono gli incaricati: al loro posto il regolamento cita i “soggetti autorizzati” senza specificare oltre. Restano il titolare e il responsabile. Il Garante rimane autorità di controllo. Viene introdotta una nuova figura: il Responsabile per la protezione del dati (DPO), consigliere dei titolari.
Principi I principi generali della disciplina attuale sono: necessità, liceità, correttezza, adeguatezza, trasparenza e pertinenza nel trattamento dei dati personali. Si aggiungono: accountability, l’obbligo per il titolare di adottare le misure necessarie perché le norme del regolamento siano rispettate, con la responsabilità di dimostrarlo; privacy by design e by default, per cui la tutela della privacy deve fare parte dei sistemi sin dalla progettazione.
Obblighi di chi tratta i dati Informare l’interessato, raccogliere il consenso se previsto e avere l’autorizzazione per trattare dati sensibili; notificare al Garante particolari tipi di trattamenti; adottare misure minime di sicurezza. Si aggiungo: regole specifiche per incarichi e deleghe, nomina del DPO, tenuta del Registro dei trattamenti (ove richiesto), organizzazione interna e sistemi tarati a priori per l’adempimento degli obblighi.
Diritti degli interessati Accesso ai dati, cancellazione, trasparenza, possibilità di ricorso, informazione e informativa. Si aggiungono: diritto all’oblio (informatico), diritto di ricevere i propri dati immediatamente in forma intelligibile, ricorsi su trattamenti di ogni tipo che abbiano una relazione con l’UE.
Sanzioni Le sanzioni amministrative, in base alla normativa violata vanno da 1.000 a 120mila euro. Può aggiungersi la pubblicazione, a spese proprie, del provvedimento su uno o più giornali. Se il fatto è reato sono previste sanzioni penali che vanno dai sei mesi a tre anni. Le sanzioni amministrative hanno un massino che arriva al maggiore importo tra 20 milioni di euro e il 4% del fatturato annuo di gruppo. Gli Stati possono prevedere sanzioni penali. Invariati i poteri di verifica, controllo, raccomandazione e divieto di trattamenti illeciti.

Garanti Ue, varate le Linee guida sulla valutazione di impatto privacy

Le Autorità  di protezione dati europee, riunite nel Gruppo di lavoro ex art.29, hanno adottato le linee guida che aiuteranno amministrazioni pubbliche e imprese nella valutazione di impatto sulla protezione dei dati (DPIA, Data Protection Impact Assessment).

La DPIA, introdotta dal Regolamento europeo 2016/679, consiste in una procedura finalizzata a descrivere il trattamento dei dati, valutarne necessità e proporzionalità e facilitare la gestione dei rischi per i diritti e le libertà delle persone fisiche. Si tratta di uno strumento importante, che aiuta il titolare non soltanto a rispettare le prescrizioni del Regolamento europeo, ma anche a dimostrare l’adozione di misure idonee a garantirne il rispetto. In altri termini, la DPIA è una procedura che permette al titolare di realizzare e dimostrare la conformità del trattamento alle norme.

Non è obbligatorio condurre una DPIA per ogni singolo trattamento. Essa è però necessaria se il trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. È possibile utilizzare un’unica DPIA per valutare più trattamenti che presentino delle analogie (ad es. un gruppo di autorità locali che decidano di installare ciascuna un analogo sistema di videosorveglianza). E una analisi di impatto privacy può essere utile anche per valutare l’effetto di un nuovo dispositivo tecnologico. In ogni caso, a prescindere dalla sua obbligatorietà, la DPIA rappresenta sempre una buona prassi per Pubbliche amministrazioni e imprese.

Per assicurare un’interpretazione uniforme dei casi in cui la DPIA è obbligatoria, i Garanti Ue hanno fornito anche alcuni criteri in vista dell’elaborazione degli elenchi dei trattamenti più rischiosi, che le Autorità di controllo sono tenute ad adottare (ad es., trattamenti valutativi, compresi lo scoring e la profilazione; decisioni automatizzate dalle quali possono derivare discriminazioni per gli interessati; monitoraggio sistematico; trattamenti su larga scala, in particolare di dati sensibili).

L’inosservanza degli obblighi concernenti la DPIA può comportare l’imposizione di sanzioni pecuniarie da parte delle Autorità garanti. Il mancato svolgimento dell’analisi (quando il trattamento è soggetto a tale valutazione),  lo svolgimento non corretto o la mancata consultazione dell’Autorità di controllo competente, ove ciò sia necessario, possono comportare l’applicazione di una sanzione amministrativa fino a un massimo di 10 milioni di euro e, se si tratta di un’impresa, fino al 2% del fatturato globale annuo.

GDPR 2016/679: la UE cambia la privacy

18 Ottobre 2017 (14:30 / 17:30) – Unione Confcommercio Milano, Corso Venezia 47, Sala Turismo.

A distanza di quasi vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, lo scorso 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679: GDPR – General Data Protection Regulation, che vedrà la sua totale applicazione a partire dal 25 maggio 2018 e che è obbligatorio nei suoi elementi e direttamente applicabile a tutti gli Stati membri.

Il GDPR 2016/679 interessa aziende di ogni ordine e grado, enti pubblici e altri individui che debbano gestire, conservare, trasferire o trattare dati personali. Esso si applica anche qualora il trattamento dei dati personali di cittadini UE venga effettuato in Stati extra-UE e contiene inoltre alcuni rischi di tipo penale che interessano i titolari del trattamento dei dati ed i responsabili aziendali, oltre a sanzioni amministrative che possono raggiungere anche 20 milioni di euro!

Assofranchising, in collaborazione con Risk Solver, organizza un convegno per illustrare il GDPR e l’impatto che esso avrà sulle aziende europee a poco più di 6 mesi dall’entrata in vigore del Regolamento.

La partecipazione è gratuita previa registrazione obbligatoria a questo link.

Download (PDF, 32KB)

 

Regolamento privacy, per il DPO competenze specifiche, non attestati formali

Avv. Flaviano Sanzari

Le pubbliche amministrazioni, così come i soggetti privati, dovranno individuare il Responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  – introdotta dal Regolamento UE 2016/679 –  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

L’Ufficio del Garante, in particolare, ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali.

Ad esempio, gli esperti individuati dalle aziende ospedaliere, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici), dovranno preferibilmente vantare una specifica esperienza al riguardo ed assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina, ma non equivalgono ad una “abilitazione” allo svolgimento del ruolo del DPO. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del DPO, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnare.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.

Responsabile l’impresa per cessione di banche dati a fini elettorali senza il consenso

Avv. Flaviano Sanzari

La Corte di Cassazione Civile, con la sentenza n. 18619/2017, è intervenuta sul tema della responsabilità delle imprese nel caso di cessione di banche dati per fini elettorali senza consenso ed informativa privacy, ritenendo in particolare applicabile l’aggravante prevista dall’art. 164 bis del Codice privacy anche nel semplice caso di acquisizione della banca dati, non rilevando ai fini della sanzione amministrativa che i soggetti presenti nel data base non siano stati poi successivamente raggiunti da sms elettorali.

Nel caso di specie, un’azienda (A) aveva commissionato ad altra azienda (B) la realizzazione di una campagna pubblicitaria mediante l’invio di sms ad un data base di anagrafiche appartenente ad una terza azienda (C), che era titolare del trattamento.

L’azienda B si era poi rivolta ad un’altra azienda (D), incaricandola dell’invio dei messaggi ai destinatari dell’archivio e aveva nominato una dipendente di quest’ultima società responsabile del trattamento.

Il Garante per la protezione dei dati personali aveva irrogato nel caso in esame una sanzione amministrativa di 64.000 euro alla società B per avere ceduto a terzi (la società D) dati presenti in un data base, in mancanza di specifico consenso degli interessati ai sensi dell’artt. 13 e 23 del Codice privacy.

L’azienda impugnava l’ordinanza del Garante privacy di fronte al Tribunale di Milano. Il Tribunale accoglieva in parte, con la sentenza n. 1748 del 5 febbraio 2014 e rideterminava la sanzione del Garante privacy di 64.000 euro a 20.000 euro, compensando integralmente le spese di lite.

Il Tribunale di Milano osservava come la sopra citata designazione a responsabile del trattamento non rendeva conformi i trattamenti di dati effettuati, in quanto la nomina non era stata effettuata, come richiesto dalla normativa, dalla società C titolare del trattamento, ma era stata effettuata direttamente dall’impresa B, la quale non era stata tuttavia autorizzata a cedere a sua volta a terzi i dati presenti nell’archivio della prima società.

Il Tribunale confermava la sanzione amministrativa del Garante privacy ma riteneva di escludere l’aggravante prevista dall’art. 164 bis del D.Lgs. 196 del 2003, che prevede l’aggravamento delle sanzioni in ipotesi in cui la violazione coinvolga numerosi interessati.

Secondo il Tribunale di Milano, alla luce dell’istruttoria era stato accertato esclusivamente il numero di utenze presenti nel database (oltre 200.000) ma non il numero dei soggetti effettivamente risultanti destinatari degli sms elettorali inviati dalla società B.

Il Tribunale ha, così, ridotto l’importo della sanzione da 64.000 a 20.000 euro, di cui 8.000 euro per violazione dell’art.13 (Omessa e inidonea informativa) e 8.000 euro per la violazione dell’art 23 (consenso al trattamento dei dati).

Il Tribunale ha optato per una riduzione dell’importo della sanzione amministrativa alla luce della limitata rilevanza economica del contratto tra C e B, della mancanza di precedenti violazioni in tema di trattamento di dati personali, delle condizioni economiche dell’agente. Secondo il Tribunale, la violazione del trattamento dei dati è di modesta gravità, in considerazione dell’assenza di prova circa l’effettivo numero di utenti raggiunti dagli sms.

Il Garante per la protezione dei dati personali proponeva ricorso in Cassazione contro la sentenza e rappresentava, ai sensi dell’art. 360, primo comma, del cpc, la violazione e falsa applicazione degli artt. 13, 23 e 164 bis, terzo comma del Codice della Privacy.

Secondo la Cassazione, la circostanza rilevata dal Tribunale di Milano, per cui non vi sarebbe stata prova del numero di soggetti presenti nel data base raggiunti dagli sms elettorali, è irrilevante ai fini della sanzione amministrativa contestata.

Secondo la Cassazione, la valutazione del Tribunale di Milano di insussistenza dell’aggravante prevista dall’art. 164 bis del Codice del Privacy è quindi erronea.

Il Tribunale di Milano non si è infatti focalizzato sulla cessione non autorizzata di dati, ma sul successivo trattamento di dati ed utilizzo per fini elettorali, che configurano altre violazione della normativa sulla protezione dei dati.

La Cassazione ha pertanto accolto il ricorso, ha cassato il provvedimento impugnato e ha rinviato la decisione al Tribunale di Milano, in persona di diverso magistrato.

La sentenza in esame è di interesse per gli operatori e le imprese, che dovranno pertanto ripensare e rimodulare i propri trattamenti di dati alla luce della normativa privacy ed anche alla luce dell’inasprimento delle sanzioni previste dal nuovo regolamento privacy europeo (sanzioni fino a 10-20 milioni di euro o percentuali del 2/4% del fatturato se superiori).

Dati personali contenuti in una biobanca: annullato il blocco statuito dal Garante Privacy

Avv. Flaviano Sanzari

Con la recente sentenza n. 1569/2017, il Tribunale di Cagliari ha annullato il provvedimento del Garante Privacy di blocco del trattamento dei dati personali contenuti in una biobanca, emesso lo scorso 6 ottobre 2016 nei confronti di una società inglese specializzata in ricerca scientifica e sviluppo di farmaci antitumorali.

Nella fattispecie, la ricorrente è una società con sede legale a Londra, che ha l’obiettivo specifico di studiare e sviluppare nuovi farmaci di precisione, che agiscono principalmente sulle cellule cancerose, con un impatto minimo sulle cellule sane.

La difficoltà nello sviluppare un farmaco con tali caratteristiche, è proprio quella di individuare con precisione i geni, ovvero i segmenti di DNA che causano le malattie tumorali, in quanto il corredo genomico di ogni individuo è influenzato da contaminazioni genetiche e ambientali.

Pertanto, allo scopo di proseguire nella propria attività di ricerca scientifica, la società ricorrente aveva acquistato dal fallimento della società Shar.Dna S.r.l., dichiarata fallita dal Tribunale di Cagliari il 27.5.2012, il complesso aziendale comprendente una banca di dati genetici e campioni biologici estratti da circa 11.700 individui abitanti in Ogliastra e appartenenti ad una comunità che, rimanendo per molti anni isolata, ha sviluppato una omogeneità genetica tale da consentire di ricostruire tracce genetiche comuni in quasi tutti i donatori, così da arrivare sino all’anno 1600.

Il complesso aziendale della Shar.Dna S.r.l., così composto, è stato aggiudicato alla ricorrente, la quale ha costituito in Italia una società ad hoc per poter proseguire in Sardegna le attività di ricerca scientifica sul genoma umano e sui farmaci antitumorali.

A distanza di pochi mesi, il Garante per la Protezione dei Dati Personali, in risposta ai reclami e le segnalazioni inoltrate da un centinaio di donatori che lamentavano l’impossibilità di esercitare i loro diritti in relazione alla revoca del consenso al trattamento dei dati personali, già rilasciato in precedenza ovvero alla manifestazione del consenso al loro trattamento da parte del nuovo titolare, ha emesso in data 6.10.2016 il provvedimento impugnato, con il quale, ai sensi degli artt. 154, comma 1, lett. d), 143, comma 1, lett. c) e 144 del Codice Privacy, ha disposto in via d’urgenza e con effetto immediato, nei confronti della società ricorrente, la misura temporanea di blocco del trattamento dei dati personali contenuti nella biobanca.

In particolare, in tale provvedimento il Garante Privacy ha posto una vera e propria questione relativa al mutamento del titolare del trattamento dei dati personali e, ritenendo necessaria una verifica sulla sussistenza di un valido presupposto legittimante rispetto al nuovo soggetto giuridico divenuto titolare del trattamento, ha ritenuto che tale presupposto debba derivare da una nuova manifestazione del consenso da parte degli interessati, previa informativa ad hoc, così come previsto dalla disciplina sulla protezione dei dati personali in relazione all’utilizzo di dati sensibili e genetici per scopi di ricerca scientifica (Autorizzazione Generale n. 8/2014 del Garante Privacy).

Il Tribunale di Cagliari, chiamato a pronunciarsi proprio su tale aspetto, pur evidenziando la sussistenza di un’ampia ed articolata motivazione sulla quale si è basato il provvedimento del Garante Privacy, ha tuttavia accolto il ricorso della società inglese, rilevando la totale assenza dei presupposti richiesti dalla legge per l’adozione del provvedimento impugnato, nonché l’omesso bilanciamento degli interessi coinvolti nel caso in esame.

Il primo aspetto che emerge nella pronuncia in esame riguarda l’assenza, nel nostro ordinamento giuridico, di una disposizione di legge che disciplini in modo specifico proprio l’ipotesi in cui l’originario titolare del trattamento dei dati personali venga sostituito da un altro titolare: tale questione, tra l’altro, sembra non essere mai stata affrontata nemmeno dalla giurisprudenza italiana di merito o di legittimità.

In tal senso, il Tribunale di Cagliari, richiamando l’Autorizzazione Generale n. 8/2014 del Garante Privacy, ha evidenziato che solamente il punto 8.1 prevede che, nel caso in cui i progetti di ricerca realizzati su dati genetici non siano direttamente collegati con quelli originari per i quali è stato originariamente acquisito il consenso informato degli interessati, è necessaria l’acquisizione di una nuova manifestazione del consenso.

Ciononostante, tuttavia, non vi è alcuna disposizione in relazione al subentro di un nuovo titolare del trattamento dei dati personali che continui a trattare i dati personali per la realizzazione dei medesimi scopi scientifici per i quali il consenso degli interessati è stato originariamente già raccolto.

Per tali ragioni, il Tribunale adito ha ritenuto errata la soluzione adottata dal Garante per la Protezione dei Dati Personali, in quanto difetta di un idoneo presupposto giuridico, non potendo condividersi la considerazione secondo la quale “l’intuitus personae appare caratteristica essenziale del conferimento del dato”.

Infatti, come risulta dalla lettura del consenso informato originario, lo stesso aveva ad oggetto la partecipazione al programma di ricerca sulle malattie complesse comuni ad alcuni paesi dell’Ogliastra, in considerazione dell’alta omogeneità genetica, che favorisce l’identificazione dei geni associati ad alcune malattie specifiche; ebbene la ricorrente ha dimostrato di perseguire le medesime finalità di ricerca scientifica per le quali è stato prestato il consenso originario.

Inoltre, richiedere una nuova manifestazione del consenso in ragione del mutamento della soggettività del titolare non può considerarsi quale presupposto sufficiente per l’adozione del provvedimento impugnato, anche in ragione del fatto che, molto spesso, laddove il titolare del trattamento dei dati personali sia una società di capitali, la stessa potrebbe mutare i suoi scopi senza mutare la sua soggettività.

In definitiva, il Tribunale si è pronunciato in favore della società ricorrente, accogliendo il ricorso e per l’effetto annullando il provvedimento di blocco del trattamento dei dati personali adottato dal Garante per la Protezione dei Dati Personali, stabilendo che l’imposizione di una misura cautelare di blocco del trattamento dei dati personali, motivata dalla necessità di acquisire una nuova manifestazione del consenso, oltre che non essere prevista da alcuna disposizione di legge, è altresì esorbitante rispetto alle finalità e alla tutela dei soggetti coinvolti, che avevano prestato originariamente il consenso, tenuto conto che la ricorrente: a) persegue le medesime finalità dell’originario titolare del trattamento dei dati personali; b) è una società operante a livello internazionale nella ricerca scientifica; c) si propone di operare stabilmente, attraverso la società italiana costituita ad hoc, nel territorio sardo l’attività di ricerca scientifica; d) non vi è motivo di ritenere che si renda responsabile di violazioni di norme di legge in materia di trattamento di dati personali; e che e) il singolo interessato può sempre esercitare i propri diritti così come previsti dal Codice in materia di protezione dei dati personali.

Non viola la privacy la moglie che chiede alla banca l’estratto conto del marito

La moglie che chiede e ottiene dalla banca notizie sull’estratto conto del marito, da usare poi nella causa di separazione, non viola nessuna norma sulla privacy. La Corte di Cassazione, con la recente ordinanza n. 20649 depositata il 31.8.2017, ha respinto – dichiarandolo inammissibile – il ricorso di un uomo che chiedeva alla moglie i danni per avere invaso illecitamente il diritto alla riservatezza dei propri dati. La Suprema Corte ha precisato che, con l’ordinanza impugnata, la Corte d’Appello aveva richiamato la motivazione dei giudici di prima istanza, secondo i quali, nel richiedere informazioni o documenti all’istituto di credito, la signora non aveva violato nessuna norma di legge, né aveva tenuto un comportamento fraudolento. In più, la Corte territoriale aveva aggiunto che l’attore non aveva offerto alcuna indicazione del danno che riteneva di aver subìto.

La Corte di Cassazione ha ritenuto, quindi, di non doversi pronunciare nel merito, rilevando come il ricorrente avesse impugnato solamente il capo relativo alla dichiarata legittimità della condotta della donna e non quello sui danni, da solo idoneo, tuttavia, a sorreggere la decisione.

Diritto all’oblio: il tempo non è l’unico elemento da considerare

Avv. Flaviano Sanzari

Il trascorrere del tempo è senz’altro l’elemento più importante nell’ambito delle richieste riguardanti l’esercizio del cosiddetto “diritto all’oblio”, il quale, tuttavia, può incontrare altri rilevanti limiti, come precisato dalla giurisprudenza comunitaria e dal lavoro condotto dal Gruppo dei Garanti europei.

A tal proposito, l’Autorità italiana ha fatto applicazione di questi insegnamenti esaminando un recente ricorso presentato da un alto funzionario pubblico, che chiedeva la rimozione di alcuni url dai risultati di ricerca ottenuti digitando il proprio nominativo su Google. Questi url, infatti, rinviavano ad articoli nei quali erano riportate notizie relative ad una vicenda giudiziaria nella quale lo stesso era stato coinvolto e che si era conclusa con la sua condanna. Si trattava di una vicenda molto risalente nel tempo (circa 16 anni fa) e l’interessato era stato nel frattempo integralmente riabilitato.

Uno degli articoli di cui si chiedeva la rimozione era stato pubblicato nell’imminenza dei fatti ed altri, invece, più recenti, avevano ripreso la notizia originaria, riproponendola in occasione dell’assunzione di un importante incarico da parte dell’interessato.

Prima di entrare nel merito, il Garante ha affermato – contrariamente a quanto sostenuto dalla difesa di Google – che era necessario prendere in esame tutti i risultati di ricerca ottenuti a partire dal nome e cognome dell’interessato, anche quelli associati ad ulteriori specificazioni, quali il ruolo ricoperto o la circostanza dell’avvenuta condanna. Tale interpretazione è in linea con la sentenza “Google Spain”, nella quale si afferma che le istanze di deindicizzazione devono essere prese in considerazione per tutti gli url raggiungibili effettuando una ricerca “a partire dal nome”, senza escludere  quindi la possibilità che ad esso possano essere associati ulteriori termini volti a circoscrivere la ricerca stessa.

Chiarito questo punto, l’Autorità è entrata nel merito ed ha ordinato a Google di deindicizzare l’url che rinviava all’unico articolo avente ad oggetto, in via diretta, la notizia della condanna penale inflitta al ricorrente, il quale all’epoca ricopriva un ruolo diverso da quello attualmente svolto. L’Autorità ha ritenuto infatti che, considerato il tempo trascorso e l’intervenuta riabilitazione, la notizia non risultasse più rispondente alla situazione attuale.

Viceversa, con riguardo agli articoli ai quali rinviavano gli ulteriori url indicati dal ricorrente, il Garante ha riconosciuto che questi, pur richiamando la medesima vicenda giudiziaria, “inseriscono la notizia in un contesto informativo più ampio, all’interno del quale sono fornite anche ulteriori informazioni” legate al ruolo istituzionale attualmente ricoperto dall’interessato e che tali risultati erano di indubbio interesse pubblico “anche in ragione del ruolo nella vita pubblica rivestito dal ricorrente, che ricopre incarichi istituzionali di alto livello”. Pertanto, riguardo alla richiesta di una loro rimozione, ha dichiarato il ricorso infondato.