Articoli

Vietato postare sui social foto dei figli minori

Avv. Flaviano Sanzari

Deve essere disposta, a tutela del minore e al fine di evitare il diffondersi di informazioni anche nel nuovo contesto sociale frequentato dal ragazzo, l’immediata cessazione della diffusione da parte della madre sui social network di immagini, notizie e dettagli relativi ai dati personali e alla vicenda giudiziaria inerente il figlio.

Lo ha stabilito il Tribunale di Roma, sez. I civ., con ordinanza del 23 dicembre 2017, pronunciata nell’ambito di un giudizio di divorzio caratterizzato da una fortissima conflittualità tra i genitori, a tutela del figlio minore.

Il Tribunale riconosce il pregiudizio per il minore insito nella diffusione on line delle immagini, delle notizie e dei dettagli sulla vicenda giudiziaria che lo vede coinvolto suo malgrado; vieta la prosecuzione di tali condotte e ordina la rimozione di quanto già pubblicato.

Pur in mancanza di un espresso richiamo normativo, è da ritenere che la pronuncia trovi il suo fondamento nel dettato degli artt. 10 c.c. e 96 della legge sulla protezione del diritto d’autore (legge 22.4.1941 n. 633), concernenti la tutela del diritto all’immagine, nonché degli artt. 1 e 16, comma 1 , della Convenzione di New York sui diritti del Fanciullo, ai sensi dei quali è vietata ogni interferenza arbitraria nella vita privata dei minori degli anni diciotto.

Giova, infine, richiamare il provvedimento del Garante per la protezione dei dati personali del 23 febbraio 2017, n. 75, emesso in una fattispecie analoga a quella presa in esame dall’ordinanza in rassegna. In quel caso, infatti, era coinvolta una minore, il cui padre denunciava al Garante una lesione del diritto alla riservatezza della medesima da parte della madre. Costei aveva pubblicato un post su Facebook, contenente due sentenze relative al divorzio tra i coniugi e genitori della suddetta minore, nella quali erano rivelati dettagli riguardanti la vita familiare, compresi quelli della figlia minore. Il Garante dà atto dell’illegittima pubblicazione dei dati e ordina la rimozione del post, facendo interessanti osservazioni sulla pertinente disciplina. Il Garante rileva, innanzitutto, che le sentenze pubblicate rendono identificabile la minore: riportano, infatti, dei dati personali, perché così il c.d. Codice Privacy definisce “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione”, e per di più dati identificativi, perché “dati personali che permettono l’identificazione diretta dell’interessato” (Art. 4, lett. b e c del D.Lgs. 196/2003). L’Autorità ricorda, inoltre, che gli articoli 50 e 52  del Codice Privacy vietano la divulgazione di informazioni che rendano identificabili minori coinvolti in procedimenti giudiziari.

 

DPIA: arriva il software gratuito del Garante francese

Il CNIL, l’autorità francese per la protezione dei dati, lo scorso 29 gennaio ha reso disponibile gratuitamente sul proprio sito l’update della versione beta del “PIA software”, tool informatico (disponibile anche in lingua inglese) che il titolare e il Data Protection Officer possono utilizzare per l’esecuzione di una valutazione d’impatto sulla protezione dei dati (DPIA) secondo i dettami del GDPR. Al fine di facilitare l’utilizzo del PIA software è stato messo a disposizione anche il relativo tutorial.

Sì al controllo dei consumi telefonici aziendali

Il Garante della Privacy con il provvedimento dell’11.1.2018 ha dato il via libera al controllo dei consumi telefonici aziendali, al fine di verificare l’andamento complessivo sui consumi e ridurre gli eventuali costi in eccesso.

Le società potranno dunque trattare alcune informazioni desunte dalla fatturazione bimestrale relative alle chiamate in uscita dei dipendenti assegnatari di una o più sim aziendali.      Tuttavia, sarà consentito alle aziende monitorare le informazioni sul traffico telefonico «solo se necessarie, pertinenti e non eccedenti, o comunque se, in base alle condizioni contrattuali applicabili dal provider, comportino dei costi». Sulla scorta delle medesime evidenze il Garante ha precisato che le società -nell’eventualità in cui venisse avviato il trattamento- dovranno adottare le seguenti misure necessarie:

  • trattare i dati solo se in base alle condizioni contrattuali applicabili tale tipo di chiamata comporti specifici costi per la società;
  • commisurare i tempi di conservazione dei dati trattati entro un limite temporale non superiore ai sei mesi;
  • adottare un disciplinare interno per regolare sia le condizioni di utilizzo delle sim, sia gli altri profili relativi ai trattamenti che si intendono effettuare ed infine si adottino misure e tecniche adeguate di cifratura e anonimizzazione.

 

GDPR: i nuovi orientamenti della Commissione Europea

La Commissione Europea ha pubblicato lo scorso 24 gennaio i nuovi orientamenti volti a facilitare l’applicazione diretta nell’Unione Europea delle norme in materia di protezione dei dati a partire dal 25 maggio p.v..

A poco più di 100 giorni dalla data di applicazione della nuova normativa, il documento illustra quali sono i provvedimenti che la Commissione europea, le autorità nazionali di protezione dei dati e le amministrazioni nazionali devono ancora adottare in vista di una completa preparazione.

La Commissione ha pubblicato anche un nuovo strumento online per aiutare cittadini, imprese -soprattutto le PMI– e organizzazioni a conformarsi alle nuove norme in materia di protezione dei dati e a trarne vantaggi.

Privacy, banche e dati sanitari: non ammesso il consenso implicito. Necessari crittografia e autorizzazione specifica scritta

Avv. Vincenzo Colarocco

Le Sezioni Unite della Corte di Cassazione, con la sentenza del 27 dicembre n. 30981/17, hanno sancito il principio per cui i dati sensibili idonei a rivelare lo stato di salute possono essere trattati soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l’interessato, anche nell’ipotesi in cui la pubblica amministrazione o le imprese, agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o in adempimento di un obbligo contrattuale.

Nel caso di specie la Suprema Corte ha ritenuto che la Regione Campania e un istituto di credito privato hanno detenuto e comunicato illecitamente i dati sanitari di una persona fisica beneficiaria dell’indennizzo erogato “a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni” previsto dalla legge 210/92. Ciò, in quanto la Regione Campania – ente pubblico erogatore dell’indennità – indicava nella causale di accredito la dizione “pagamento rateo arretrati bimestrali e posticipati l. n. 210/92”.

In particolare la Sezioni Unite hanno ritenuto che “i dati desumibili dal richiamo alla l. 210/92 sono personali in quanto relativi ad una persona fisica identificata, e sensibili perché aventi un contenuto idoneo a rivelare lo stato di salute della persona identificata” e che “non può essere desunto implicitamente il consenso al trattamento dei dati sensibili da condotte diverse dall’adesione espressa dell’interessato”, essendo il sistema di protezione dati sensibili, fondato sul principio generale della necessità del consenso espresso dell’interessato.

Pertanto, essendo la dizione “pagamento rateo arretrati bimestrali e posticipati l. n.210/92”, una rivelazione di dato personale e sensibile, riguardante la salute del ricorrente, la Corte impone al titolare del trattamento – in linea con quanto disposto dallo stesso art. 22 D. Lgs. n.196/2003 comma 6 e 7 – l’acquisizione di specifico consenso in forma scritta e l’adozione di tecniche di crittografia o di cifratura salvo deroghe ex lege.

La tutela effettiva del diritto all’oblio: Google dovrà effettuare la deindicizzazione globale

Avv. Vincenzo Colarocco

Il Garante per la privacy con il provvedimento del 21.12.2017 ha ordinato a Google di deindicizzare gli URL riguardanti informazioni offensive della dignità e reputazione di un cittadino italiano, da tutti i risultati di ricerca forniti sia nelle versioni europee che nelle versioni extraeuropee. Nel caso di specie venivano diffusi sulla rete internet messaggi o brevi articoli anonimi pubblicati su forum o siti amatoriali ove erano riportate anche informazioni ritenute false sullo stato di salute dell’interessato e su gravi reati connessi alla sua attività di professore universitario.

A fondamento di questa decisione il Garante ha ritenuto che la “perdurante reperibilità” sul web di contenuti “sproporzionatamente negativi” che incidono sulla sfera dell’interessato, “anche in ragione del trattamento di dati potenzialmente sensibili” è in contrasto anche con i principi contenuti nelle Linee Guida dei Garanti Europei del 26.11.2014 sull’attuazione della sentenza Google Spain. Pertanto, le informazioni che toccano potenzialmente una moltitudine di aspetti della vita privata e presenti nei motori di ricerca – indipendentemente dalla versione territoriale degli stessi- non possono giustificare il semplice interesse economico del gestore nel trattamento dei dati. Infatti, i Garanti individuano nel trattamento di dati sulla salute uno dei criteri maggiori da considerare per un corretto bilanciamento tra il diritto all’oblio e il dovere all’informazione.

Legge di bilancio e GDPR: ecco le novità

Avv. Vincenzo Colarocco

Il 23 dicembre 2017 è stata approvata dal Senato della Repubblica la nuova Legge di Bilancio la quale ha introdotto alcune novità (cfr. commi 1020-1025) volte a fornire attuazione al Regolamento Generale per la Protezione dei Dati Personali (“GDPR”).

In particolare si prevedono degli oneri per il Garante Privacy che, entro due mesi dall’entrata in vigore del Regolamento (fissata il 25 maggio 2018), dovrà adottare un provvedimento volto a:

  • disciplinare le modalità mediante le quali vigilare sulla corretta applicazione del GDPR;
  • fornire adeguate infrastrutture sia ai fini della portabilità dei dati ai sensi dell’articolo 20 del GDPR, sia ai fini dell’adeguamento tempestivo alle disposizioni del regolamento stesso;
  • definire linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare;
  • predisporre un modello di informativa da compilare a cura dei titolari di dati personali che effettuino un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati.

Con particolare riferimento a tale ultima circostanza si prevede, inoltre, che il titolare dovrà dare “tempestiva comunicazione” del trattamento al Garante Privacy indicando l’oggetto dello stesso, nonché le relative finalità. A questo punto troverà applicazione un meccanismo di silenzio-assenso che prevede il via libera al trattamento dei dati trascorsi quindici giorni dalla comunicazione. Entro questo lasso di tempo il Garante, nel caso in cui ravvisi il rischio “di una lesione dei diritti e delle libertà dei soggetti interessati”, potrà inibire il trattamento per un massimo di trenta giorni e richiedere ulteriori informazioni; laddove continuasse a ravvisare elementi di rischio potrebbe  vietare l’utilizzo dei dati raccolti.

Data Protection Officer: ulteriori chiarimenti

Avv. Vincenzo Colarocco

Il 15 dicembre 2017 il Garante Privacy ha pubblicato le nuove FAQ sul Data Protection Officer (“DPO”), in aggiunta a quelle adottate dal Gruppo dei Garanti Article 29 Working Party (“WP29”), chiarendo alcuni aspetti applicativi ed in particolare per l’ambito pubblico.

L’art. 37, primo comma del Regolamento Generale per la Protezione dei Dati Personali n. 679/2016 (“GDPR”) prevede, tra l’altro, l’obbligo per titolari e responsabili di nominare il DPO quando il trattamento dei dati è effettuato da un “organismo pubblico” o da un’“autorità pubblica” – da intendersi – allo stato- come quei soggetti che stabiliscono le regole generali per i trattamenti effettuati dai soggetti pubblici (ad esempio, amministrazioni dello Stato, Regioni, istituti previdenziali, ASL, ecc.). Il Garante ha, altresì, chiarito che nel caso in cui soggetti privati esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), la designazione del DPO non è obbligatoria, ma è fortemente raccomandata.

Nell’ipotesi in cui il DPO sia interno, l’Autorità consiglia che la designazione sia conferita a un dirigente ovvero a un funzionario di alta professionalità, il quale possa svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione. L’Autorità ha inoltre chiarito che in relazione alla complessità dei trattamenti e dell’organizzazione debba essere valutata attentamente l’opportunità di mettere a disposizione del DPO risorse necessarie – istituendo se necessario anche un ufficio ad hoc-, al fine di poter operare con efficienza ed avere risorse sufficienti in proporzione al trattamento svolto.

Il DPO può svolgere anche ulteriori compiti e funzioni, a condizione che non diano adito a un conflitto di interessi e che consentano allo stesso di avere a disposizione il tempo sufficiente per l’espletamento dei compiti previsti dal GDPR.

Quanto ai requisiti necessari per svolgere la funzione di DPO il Garante chiarisce – ancora una volta- che il possesso di una specifica certificazione non deve essere considerato come abilitazione all’esercizio di tale ruolo e che spetta al titolare e al responsabile valutare in concreto il possesso dei requisiti professionali richiesti dal Regolamento.

Infine, il Garante per agevolare gli enti ha pubblicato sia uno schema di atto di designazione del Data Protection Officer sia un modello di comunicazione al Garante da utilizzare per render nota all’Autorità l’avvenuta nomina.

Webtracking e responsabilità del trattamento dei dati personali: il parere della CGUE

Avv. Flaviano Sanzari

Con il parere sulla domanda di pronuncia pregiudiziale proposta dalla Corte amministrativa federale tedesca in merito alla causa promossa da “Wirtschaftsakademie” contro l’Autorità di vigilanza regionale per la protezione dei dati del Land Schleswig-Holstein (in seguito “ULD”), l’Avvocato Generale della CGUE (Causa-C-210/16) si è espresso con riguardo al trattamento dei dati personali sui social network.

Nel caso specifico, la Wirtschaftsakademie offre servizi di formazione attraverso una fanpage gestita sul social network Facebook. Quest’ultimo raccoglie i dati personali degli utenti attraverso cookie, al fine di realizzare statistiche sugli utenti destinate al gestore di Facebook con il fine di agevolare la diffusione di pubblicità mirate. L’oggetto della controversia riguarda la legittimità di un provvedimento emesso dall’ULD nei confronti della Wirtschaftsakademie, con cui le viene richiesto di disattivare la fanpage gestita sul sito di Facebook Ireland Ltd. Infatti, gli utenti Facebook non sarebbero informati della raccolta dei loro dati personali per fini statistici o pubblicitari.

L’Avvocato Generale ha respinto le deduzioni di Facebook secondo cui le sue attività di elaborazione dati nell’Unione Europea cadrebbero esclusivamente sotto la giurisdizione dell’Autorità irlandese per la protezione dei dati personali.

Infatti, sebbene le sue attività di elaborazione dei dati siano gestite congiuntamente da Facebook Inc. negli Stati Uniti e da Facebook Irlanda –sede europea- ciò non toglie che Facebook abbia altre filiali, tra cui quella tedesca, in altri Stati membri dell’Ue che promuovono e vendono sul territorio spazi pubblicitari sui social network.

Da queste considerazioni ed in applicazione dell’art. 26 della direttiva 95/46 e dei principi stabiliti nella decisione Google Spain, l’Avvocato Generale ha ribadito che “Ciascuna autorità di controllo, indipendentemente dalla legge nazionale applicabile al trattamento in questione, è competente per esercitare, nel territorio del suo Stato membro, i poteri attribuitile a norma del paragrafo 3. Ciascuna autorità può essere invitata ad esercitare i suoi poteri su domanda dell’autorità di un altro Stato membro”. Pertanto, nel caso di specie, il trattamento dei dati personali tramite cookie, che Facebook ha utilizzato per migliorare il suo targeting di pubblicità, dev’essere considerato quale attività svolta nell’ambito del suo stabilimento tedesco. Di conseguenza, Facebook sarebbe sotto la giurisdizione della Data Protection Authority tedesca, in quanto la promozione e la vendita di spazi pubblicitari era, appunto, di competenza della filiale tedesca.

In futuro, tali fattispecie saranno certamente risolte in maniera diversa alla luce del GDPR (2016/679) “General Data Protection Regulation” che entrerà in vigore il 25 maggio 2018, in quanto si applicherà il meccanismo di sportello unico. Ed in particolare, “un responsabile del trattamento che compie trattamenti transfrontalieri, come Facebook, avrà quale interlocutore una sola autorità di vigilanza, vale a dire l’autorità di vigilanza capogruppo/capofila che sarà quella del luogo in cui si trova lo stabilimento principale del responsabile del trattamento”.

Le azioni regolamentate saranno guidate dall’autorità dove risiede la capogruppo,che nel caso in esame sarà probabilmente il Commissario irlandese per la protezione dei dati.

Il “sistema di gestione privacy” alla luce del GDPR – vademecum per l’avvocato in studio e nella consulenza al cliente

1.12.2017 – Camera di Commercio Sala “du Tillot” – Via Verdi, 2 Parma.

L’evento organizzato da Associazione Forense di Parma ha l’obiettivo principale di fornire una formazione pratico-operativa utile ad orientare l’Avvocato nella conoscenza e nell’inquadramento del vasto quadro del GDPR, per arrivare a realizzare una metodologia efficace di possibile gestione e realizzazione degli strumenti applicabili.

Con il nuovo Regolamento europeo generale sulla protezione dei dati, l’approccio alle problematiche privacy subisce un profondo mutamento. Tutti gli avvocati utilizzano dati personali nella propria attività professionale: dati dei clienti, delle controparti, dei Colleghi, dei fornitori, di terzi. Ciò rende l’avvocato titolare del trattamento con obblighi ben precisi. Chi rispetta la privacy, peraltro, beneficerà di sgravi e semplificazioni, ma chi non sarà adeguato si esporrà a grossi rischi di natura civilistica e penalistica, e ciò rende imprescindibile la conoscenza della normativa in materia di tutela dei dati personali.

La normativa prevede sanzioni fino al 4% del fatturato annuo o, nel caso in cui fosse superiore, fino a 20 milioni di euro.

In quest’ottica, si rende necessaria un’attenta costruzione sia del modello di gestione dei dati, sia del sistema di conservazione degli stessi, per conformarsi alle nuove norme e per poter svolgere correttamente la propria professione.

Ai partecipanti verranno riconosciuti n. 2 crediti formativi in materia obbligatoria di deontologia.

 

RELATORI:

  • Avv. Vincenzo Colarocco – Avvocato specializzato in proprietà intellettuale ed industriale, privacy, Diritto delle Nuove Tecnologie e social&media law, Socio fondatore di Lex Digital, membro del circolo dei Giuristi Telematici, dell’Osservatorio Web e Legalità e del Centro Studi di informatica Giuridica.
  • Avv. Lucio Scudiero – Avvocato specializzato in diritti della protezione dei dati personali e diritto europeo. Svolge attività di consulenza legale e di Data Protection Officer, certificato da Tuv Italia. Direttore esecutivo di Lex Digital.
  • Moderatore avv. Michele Baroc

MODALITA’ DI ISCRIZIONE:

  • Per gli ISCRITTI all’Associazione Forense Parma la partecipazione all’evento è GRATUITA
  • Per i NON iscritti all’Associazione Forense Parma La partecipazione all’evento prevede un versamento di € 25,00 tramite bonifico alle seguenti coordinate bancarie: IBAN: IT 81 T 03015 03200 000003541650 oppure anche in contanti presso la segreteria organizzativa. Iscriversi tramite questo link