Articoli

Risarcimento danni per violazione del GDPR

Avv. Vincenzo Colarocco

Il trattamento dei dati personali è civilisticamente qualificabile quale attività pericolosa con il conseguente obbligo in capo a colui che tale attività effettui di risarcire all’interessato tanto i danni patrimoniali, quanto i danni non patrimoniali cagionati in conseguenza del trattamento. Il quadro delineato dall’esame dell’art. 82 del Regolamento evidenzia l’importanza di disciplinare le responsabilità del titolare e del responsabile del trattamento. Trattasi di una responsabilità propria che può essere imputata solo a coloro che assumono una determinata qualifica soggettiva. Il titolare del trattamento diventa responsabile per il solo fatto di “partecipare al trattamento” mentre il responsabile è vincolato solo dalla violazione dei suoi obblighi specifici se agisce al di fuori o in contrasto con le legittime istruzioni del titolare del trattamento.

Il regime di responsabilità civile elaborato dal Regolamento europeo prevede per il titolare e il responsabile del trattamento il diritto al risarcimento del danno a favore dell’interessato che abbia subito un qualsiasi danno materiale o immateriale causato da una violazione del Regolamento: questi possono derivare da trattamenti aventi ad oggetto “discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo […]; se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche […]; in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti personali, in particolare mediante la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento […]; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.

Fra i danni risarcibili rientrano tutti quelli subiti, quindi economici ma anche immateriali, derivanti dalle conseguenze dannose che si siano realizzate per un effetto di un illecito trattamento dei dati: infatti, la natura non patrimoniale del danno non esclude a priori che possano generarsi danni aventi carattere della patrimonialità. Orbene, se l’interessato vorrà ottenere il risarcimento del danno subito dovrà provare: i) l’esistenza del danno; ii) l’esistenza di una condotta che viola il GDPR; ed iii) il nesso causale.

Secondo quanto stabilito, infatti, dall’art. 82 GDPR, l’interessato, per conseguire un pieno ed effettivo ristoro del danno subito, qualora si ritenga leso nei propri diritti da un trattamento illecito, potrà rivolgersi indifferentemente tanto al titolare, quanto al responsabile del trattamento. E potrà farlo, in entrambi i casi, per l’intero ammontare del danno.

Trasparenza: linee guida EDPB in materia di videosorveglianza

Avv. Vincenzo Colarocco

Il Comitato Europeo per la Protezione dei Dati (EDPB) ha adottato il 10 giugno 2019 le linee-guida n. 3/2019 sul trattamento dei dati in materia di videosorveglianza che chiariscono in quali termini il regolamento generale sulla protezione dei dati si applichi al trattamento dei dati personali quando si utilizzano dispositivi video, e mirano a garantire l’applicazione coerente del GDPR in materia.
Brevemente, con riferimento all’informativa da rendere agli interessati viene confermata la struttura a due livelli: informativa sintetica (il cartello) e informativa completa (consultabile ad esempio sul sito internet). Quanto al cartello questo deve essere posizionato nei pressi della telecamera e deve contenere tutte le informazioni essenziali richieste dal GDPR. Di seguito l’esempio della nuova versione del cartello informativo fornito dalle stesse linee guida.

Pubblicato il modello del Garante privacy per la notifica del data breach

Avv. Vincenzo Colarocco

Il GDPR disciplina il data breach prevedendo espressamente un obbligo di notifica e comunicazione in capo al titolare, in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati. L’art. 33 del Regolamento impone al titolare di notificare la violazione all’autorità di controllo entro 72 ore dal momento in cui ne viene a conoscenza. La notifica ha la funzione di allertare l’autorità e consentire la predisposizione di misure di tutela immediate ai soggetti coinvolti.

Qui il modello predisposto dal Garante privacy per la notifica del data breach.

Nuove sanzioni per Unicredit, stavolta dall’Autorità di controllo della Romania

Avv. Vincenzo Colarocco

L’Autorità di controllo della Romania ha sanzionato Unicredit Bank con una multa pari a circa 130.000 euro, a seguito dell’accertata violazione da parte dell’istituto bancario di alcune disposizioni del GDPR.

Secondo le attività ispettive condotte da questo Garante, Unicredit non avrebbe applicato in modo efficace le misure tecniche e organizzative idonee a garantire la protezione dei dati personali e dunque la tutela dei diritti degli interessati, nella misura in cui, a fronte di una verifica effettuata a novembre 2018, non sarebbe stato rispettato il principio di minimizzazione dei dati che prescrive il loro trattamento limitatamente agli scopi per cui sono stati inizialmente trattati, in questo modo esponendo i dati dei clienti a facile divulgazione.

Di conseguenza, l’attività attuata da Unicredit si è posta in violazione dell’articolo 25, dell’articolo 5 e del considerando 78 del Regolamento.

Ma non è tutto. A tale sanzione ne è seguita una seconda: a quanto pare, i dati personali dei clienti che si trovavano in formato analogico presso la società sono stati oggetto di violazione ad opera di terzi, in particolare sono stati fotografati da persone non autorizzate ad averne accesso e successivamente diffusi sulla rete, con ogni conseguente danno per gli interessati coinvolti.

La circostanza dell’accesso non autorizzato è stata rilevata dall’Autorità rumena a seguito dell’istruttoria apertasi post notifica di data breach dell’ente bancario.

A fronte di una violazione accertata in ordine a 46 interessati, la sanzione comminata è stata pari a 15.000 euro.

Unicredit è già da tempo sotto la lente d’ingrandimento delle autorità di controllo: già a gennaio scorso, si è verificato un data breach che ha portato alla perdita di dati di 731mila correntisti. In quell’occasione, tuttavia, il Garante italiano, chiamato a pronunciarsi a seguito dell’intervenuta notifica, si è astenuto dall’irrogazione di sanzioni, limitandosi ad intimare ad Unicredit di provvedere contestualmente con la notifica della violazione anche agli interessati.

Multa dell’ICO da 204 milioni di euro a British Airways: copiate oltre 200.000 carte di credito

Avv. Vincenzo Colarocco

Nel settembre 2018, la British Airways notificava all’Information Commisioner’s Office (ICO), autorità di controllo britannica, l’intervenuto data breach rilevato con riferimento al proprio sito internet, ottemperando alla disciplina prevista dagli articoli 33 e seguenti del GDPR.

A seguito dell’istruttoria svolta da parte dell’Autorità garante è emerso che il sito web della compagnia ha subìto un attacco proveniente dall’esterno in grado di coinvolgere circa 500.000 clienti: in particolare, l’attacco ha consentito ai “pirati” informatici di dirottare gli utenti su un altro sito fraudolento, mediante il quale questi avrebbero raccolto – ovviamente in maniera non autorizzata – i loro dati personali.

L’ICO ha dichiarato che, dalle evidenze emerse, l’attacco sarebbe iniziato nel mese di giugno 2018, dunque ben tre mesi prima della sua scoperta e denuncia, e che avrebbe cagionato la violazione di circa 244.000 dati relativi alle carte di credito dei consumatori, con ogni conseguenza economica per gli stessi.

Il procedimento istruttorio si è concluso con l’intenzione di emanare un provvedimento sanzionatorio nei confronti della British Airways, con una multa di 183 milioni di sterline, pari a circa 204 milioni di euro. L’autorità ha, infatti, ritenuto che l’incidente informatico sia da ritenersi conseguente alla mancata adozione di idonee misure di sicurezza, tecniche ed organizzative, da parte della compagnia in qualità di titolare del trattamento dei dati degli utenti visitatori del proprio portale.

British Airways ha collaborato con l’indagine ICO e ha apportato miglioramenti alle sue disposizioni in materia di sicurezza fin da quando questi eventi sono venuti alla luce. L’azienda avrà ora l’opportunità di presentare osservazioni in merito a tali risultanze ed alla sanzione.

Il procedimento è stato condotto da parte dell’ICO in qualità di autorità di controllo capofila, ai sensi e per gli effetti della disciplina di cui agli articoli 56 e seguenti del GDPR: in base alle disposizioni sullo “sportello unico” del GDPR, le autorità di protezione dei dati nell’UE i cui residenti siano stati colpiti dall’evento avranno la possibilità di commentare le conclusioni dell’ICO.

La Commissione Europea adotta la decisione di adeguatezza relativa al Giappone

Avv. Vincenzo Colarocco

Il GDPR prevede regole specifiche per consentire trasferimenti di dati personali verso Paesi terzi ed organizzazioni internazionali, estranei all’ambito di applicazione del Regolamento. In particolare, l’art. 45 disciplina l’ipotesi di trasferimento dei dati effettuati sulla base di una decisione di adeguatezza.

Il 23 gennaio 2019 la Commissione europea ha adottato la decisione di adeguatezza relativa al Giappone, così consentendo la libera circolazione dei dati personali tra le due economie sulla base di solide garanzie di protezione senza la necessità di autorizzazioni specifiche. L’adozione della decisione costituisce l’ultima fase della procedura avviata nel settembre 2018 e fa parte della strategia dell’UE nel settore della protezione e dei flussi internazionali di dati, già annunciata nel gennaio 2017 con la comunicazione della Commissione sullo scambio e la protezione dei dati personali in un mondo globalizzato.

Com’è stato sostenuto da Věra Jourová, Commissaria responsabile per la Giustizia, i consumatori e la parità di genere: “Questa decisione di adeguatezza crea il più grande spazio al mondo di circolazione sicura dei dati. I cittadini europei i cui dati personali saranno trasferiti in Giappone beneficeranno di una protezione forte delle informazioni relative alla vita privata. Investire nella tutela della vita privata paga: questo accordo costituirà un modello per futuri partenariati in questo settore fondamentale e contribuirà alla definizione di standard di livello mondiale”.

Già prima dell’adozione della decisione, il Giappone aveva cominciato a predisporre, nel proprio ordinamento, un sistema di norme integrative volto a riconoscere un quadro in materia di protezione dei dati analogo a quello adottato dall’Ue. In particolare, nel 2003 sono state promulgate la legge sulla protezione delle informazioni personali (APPI); la legge sulla protezione delle informazioni personali detenute da organi amministrativi (APPIHAO); la legge sulla protezione delle informazioni personali detenute da agenzie amministrative registrate (APPI-IAA).

La Commissione, tenendo conto del parere precedentemente espresso dal Comitato europeo per la protezione dei dati, ha ritenuto che il Giappone garantisca un livello adeguato di protezione dei dati personali trasferiti dall’Unione europea a operatori economici che gestiscono informazioni personali in Giappone. La legge nazionale giapponese è stata specificamente integrata dalle norme di cui all’allegato I, nonché dalle dichiarazioni, dalle garanzie e dagli impegni ufficiali che figurano nell’allegato II.

Al fine di consentire alla Commissione il monitoraggio costatante della corretta applicazione del quadro giuridico su cui si basa la decisione e per verificare se il Giappone continui o meno a garantire un livello adeguato di protezione, tra due anni sarà effettuato un primo riesame congiunto di rivalutazione del quadro normativo. I rappresentanti del Comitato europeo per la protezione dei dati parteciperanno al riesame per quanto riguarda l’accesso ai dati per motivi di contrasto o di sicurezza nazionale. Successivamente, il riesame avrà luogo almeno ogni quattro anni.

L’Avvocato Generale della Corte di Giustizia nel caso Facebook Ireland

Avv. Vincenzo Colarocco

Nel procedimento C-18/18, giunto innanzi alla Corte di Giustizia, al centro della controversia vi è un commento diffamatorio postato sul social network Facebook a seguito del quale la diffamata, Eva Glawischnig-Piesczek, ricorrente aveva ottenuto il blocco dei Dns (Domain Name System), blocco che ha consentito al contenuto di non essere più visibile ai cittadini austriaci.

Più nello specifico, un utente di Facebook aveva condiviso, sulla sua pagina personale, un articolo di una rivista di informazione austriaca online titolato «I Verdi: a favore del mantenimento di un reddito minimo per i rifugiati», commentandolo con un commento degradante nei confronti della signora Glawischnig-Piesczek, e tale contenuto risultava visibile a qualsiasi utente di Facebook.

All’indomani della diffusione di tale contenuto e della richiesta di cancellazione dello stesso da parte della diretta interessata, nell’inottemperanza di Facebook, la sig.ra Glawischnig-Piesczek domandava che venisse ordinato a Facebook di cessare la pubblicazione e/o diffusione identiche al commento contestato e/o dal «contenuto equivalente». Tuttavia, la rimozione del contenuto avveniva solo con riferimento al territorio austriaco.

L’Oberster Gerichtshof (Corte Suprema, Austria), accertata l’illiceità del contenuto pubblicato, chiamato a statuire sulla questione se il provvedimento inibitorio possa anche essere esteso, a livello mondiale, alle dichiarazioni testualmente identiche e/o dal contenuto equivalente di cui Facebook non è a conoscenza, ha chiesto alla Corte di giustizia di interpretare in tale contesto la direttiva sul commercio elettronico.

In data 4 giugno 2019 sono pervenute le conclusioni dell’Avvocato Generale, il quale ha ritenuto che la direttiva sul commercio elettronico non osti a che un host provider che gestisce una piattaforma di social network, quale Facebook, sia costretto, mediante un provvedimento ingiuntivo, a ricercare e ad individuare, tra tutte le informazioni diffuse dagli utenti di tale piattaforma, le informazioni identiche a quella qualificata come illecita dal giudice che ha emesso tale provvedimento ingiuntivo.

Tale approccio consente di garantire un giusto equilibrio tra i diritti fondamentali coinvolti, ossia la protezione della vita privata e dei diritti della personalità, quella della libertà d’impresa, nonché quella della libertà d’espressione e d’informazione.

Ad avviso dell’avvocato generale, poiché la direttiva non disciplina la portata territoriale di un obbligo di rimozione delle informazioni diffuse tramite una piattaforma di social network, essa non osta a che un host provider sia costretto a rimuovere siffatte informazioni a livello mondiale.

 

Tali conclusioni non devono tuttavia indurre in errore e perciò sovrapporsi a quanto statuito dallo stesso Avvocato Szpunar relativamente al caso Google c. CNIL: in quell’occasione questi ha ritenuto necessaria una differenziazione a seconda del luogo a partire dal quale è effettuata la ricerca, sottolineando infatti che, sebbene per determinati ambiti – ad esempio in materia di diritto della concorrenza o di diritto dei marchi – sono ammessi in determinati casi effetti extraterritoriali, tale possibilità non sarebbe comparabile alla materia della protezione dei dati personali.

La differenziazione è obbligatoria tenuto conto che il concetto di deindicizzazione differisce da quello di cancellazione/rimozione, attività quest’ultima che presuppone l’accertata illiceità del contenuto. Nel primo caso, infatti, per contro, non ricorrendo aspetti diffamatori, ma solo l’obsolescenza del contenuto (veritiero), l’interesse pubblico all’informazione potrebbe giustificare la limitazione dell’applicazione extraterritoriale della normativa sulla riservatezza, così come ponderata in quell’occasione in sede di conclusioni dall’Avvocato Generale.

No alla pubblicazione dei dati dei dirigenti pubblici: l’arresto della Corte costituzionale

Avv. Vincenzo Colarocco

Con sentenza n. 20, del 21 febbraio 2019, la Corte Costituzionale ha dichiarato l’illegittimità della disciplina sulla pubblicazione dei dati patrimoniali dei dirigenti pubblici: la disposizione viziata estendeva a tutti i dirigenti pubblici, a prescindere dal ruolo ricoperto, l’obbligo di pubblicazione dei dati relativi, da un lato, ai compensi percepiti per lo svolgimento dell’incarico, dall’altro, ai dati patrimoniali ricavabili dalla dichiarazione dei redditi, dalle annotazioni risultanti dai registri immobiliari, nonché dal possesso di quote societarie. A parere della Corte, il diritto alla riservatezza dei dipendenti pubblici, da intendersi come il diritto a controllare la circolazione delle informazioni inerenti la propria persona, è stato compresso a fronte dell’esigenza di garantire il principio di trasparenza delle pubbliche amministrazioni, finalizzato alla lotta alla corruzione nella pubblica amministrazione. La P.A. –sostiene la Corte– non ha in precedenza dato applicazione al principio di proporzionalità del trattamento che domina la disciplina a tutela dei dati personali, pienamente recepito dall’art. 5 del Regolamento europeo 2016/679, meglio noto come GDPR, andando a prediligere la misura più appropriata per assicurare il bilanciamento tra i diritti e per non sacrificare la riservatezza degli interessati. Se da un lato, si rende necessaria la previsione di strumenti che consentano al cittadino di accedere liberamente alle informazioni sull’impiego delle risorse pubbliche, dall’altro – come correttamente rileva la Corte – non appare giustificato l’accesso incondizionato anche in relazione a categorie di dati non strettamente connesse all’esercizio di pubblici incarichi, come ad esempio il patrimonio immobiliare del dipendente pubblico. A ciò si aggiunga che nella pubblicazione di tali dati la P.A. non ha operato alcuna distinzione tra i dirigenti, in relazione al ruolo, alle responsabilità e alla carica ricoperta: la Corte ha ritenuto tale scelta un effettivo rischio di generare “opacità per confusione”, oltre che di stimolare forme di ricerca tendenti unicamente a soddisfare mere curiosità. Con la pronuncia del 21 febbraio, sono stati opportunamente bilanciati e garantiti il diritto alla privacy e la tutela minima delle esigenze di trasparenza amministrativa, individuando, in conclusione, nei dirigenti apicali delle amministrazioni statali (previsti dall’articolo 19, commi 3 e 4, del decreto legislativo n. 165 del 2001) coloro ai quali sono applicabili gli obblighi di pubblicazione imposti dalla disposizione censurata: con riferimento a tali dirigenti di compiti di elevatissimo rilievo, infatti, l’obbligo di totale trasparenza non è appare irragionevole. A fronte di tale intervento della Corte, il legislatore nazionale è ora tenuto a ritracciare il perimetro della categoria dei destinatari degli obblighi di trasparenza e delle modalità con cui questi devono essere attuati, nel rispetto dei principi tracciati da questa pronuncia.

Top Legal Academy – Data protection Officer e Privacy Matter exper

Roma – 15-16 marzo 2019 – Legance

La conoscenza del diritto relativo al trattamento dei dati personali rappresenta un bagaglio informativo ormai indispensabile per il professionista che opera a contatto con le aziende e che deve confrontarsi quotidianamente con una nuova disciplina europea e italiana, complessa e completamente rivoluzionata dall’avvento del GDPR.
TopLegal Academy presenta la seconda edizione del Master in Data Protection Officer e Privacy Matter Expert, un percorso di pecializzazione intensivo in 6 weekend sui temi più rilevanti della privacy e del trattamento dei dati personali. L’offerta si caratterizza per la presenza sinergica di docenti provenienti da prestigiosi studi legali, giuristi di impresa in aziende di primaria importanza e autorevoli esponenti del Garante per la Protezione dei Dati Personali. In aula la puntuale analisi normativa sarà accompagnata dall’esame di casi pratici ed esempi concreti, saranno esaminate le problematiche più ricorrenti nell’attività lavorativa del DPO e del Privacy Matter Expert e individuate le soluzioni operative e interpretative più idonee.

Download (PDF, 488KB)

Obiettivi
Il presente Master costituisce la IIa Edizione dopo quella di Milano del 2018 e ha l’obiettivo principale di fornire ai partecipanti conoscenze
tecnico/giuridiche in ambito privacy analizzando il nuovo contesto normativo di cui al Regolamento Europeo UE 2016/679 (GDPR) nonché i provvedimenti del Garante per la Protezione dei Dati Personali, del Working Party 29 (Gruppo 29) e la giurisprudenza in tema di privacy.
L’intero Master prevede giornate formative con docenze di avvocati specializzati e rinomati nel settore di riferimento, legali d’azienda esperti della materia, autorevoli esponenti del garante e professionisti tecnico/ informatici. L’attenta scelta dei professionisti e degli argomenti affrontati consente di fornire al partecipante conoscenze teoriche rigorose sempre accompagnate da esperienze pratiche, al fine di consentirgli di svolgere la professione di Data Protection Officer e/o Privacy Matter Expert al meglio delle proprie potenzialità.

Calendario
febbraio
Venerdì 15 – Sabato 16
Venerdì 22 – Sabato 23
marzo
Venerdì 1 – Sabato 2
Venerdì 8 – Sabato 9
Venerdì 15 – Sabato16
Venerdì 22 – Sabato 23

RELATORI:

Dott.ssa Augusta Iannini, Dott.ssa Michela Massimi – Garante per la Protezione dei Dati Personali

Avv. Andrea Fedi, Avv. Lucio Scudiero – Legance Avvocati Associati

Avv. Vincenzo Colarocco – Studio Previti

Avv. Matteo Orsingher, Avv. Fabrizio Sanna – Orsingher Ortu Avvocati Associati

Avv. Paola Pucci – Toffoletto, De Luca Tamajo e Soci

Ing. Giuseppe D’Agostino  – PwC Italia

Avv. Barbara Ferri – PwC TLS

Avv. Angela Maria Galiano – ALD Automotive Italia S.r.l.

Dott.ssa Fiorentina Russo – ALES S.p.A.

Dott .Fabrizio Cutrupi – AGM Solutions S.r.l.

Avv. Salvatore Modesto – Intesa SanPaolo

Avv. Andrea d’Agostino, Avv. Luca R. Barlassina, Avv. Ugo E. Di Stefano – Gruppo Mondadori

Avv. Gioia Vasintoni – Autostrade per l’Italia S.p.A.i

Dott. Francesco Modafferi, Dott.ssa Luana Patti – Garante per la Protezione dei Dati Personali

Avv. Roberta Quintavalle – Gruppo Mediaset

Avv. Luca Pierro – Fiditalia S.p.A

per maggiori informazioni.

Reddito di cittadinanza e GDPR: Il Garante interviene evidenziando i gravi rischi

Avv. Vincenzo Colarocco

Il Presidente dell’Autorità Garante per la protezione dei dati personali, con la memoria dell’8 febbraio 2019, evidenzia come molte norme del decreto legge 28 gennaio 2019 n. 4 presentino notevoli criticità sotto il profilo della protezione dei dati personali. Si rileva come, non essendo stato richiesto il parere preventivo previsto dall’art. 36 al paragrafo 4, non sia stato possibile preventivamente individuare i rischi derivanti dalle diverse attività di trattamento. Ad avviso del Garante, infatti, le norme mancano di sufficiente precisione: le previsioni, di portata generale, si rivelano inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati. In particolare, non appare rispettato il principio di proporzionalità poiché la sorveglianza su larga scala, continua e capillare, dei soggetti interessati determinerebbe un’intrusione sproporzionata e ingiustificata nella sfera privata dei singoli. Si contesta, in particolare, che attraverso le due piattaforme digitali, da istituire una presso l’ANPAL e l’altra presso il Ministero del lavoro, transiterebbe un massivo flusso di informazioni e di dati, riferiti tanto ai richiedenti quanto ai componenti il nucleo familiare degli stessi – ivi inclusi i dati dei minorenni – idonei anche a rivelare lo stato di salute o l’eventuale sottoposizione a misure restrittive della libertà personale. La mancanza di regole pertinenti e di adeguati accorgimenti, in grado di garantire la qualità e l’esattezza dei dati, espone a rischi di non poco momento. Forti dubbi si nutrono anche in merito al cd. monitoraggio sull’utilizzo della carta Rdc, su cui possono essere compiuti dei controlli puntuali, centralizzati e sistematici sulle scelte di consumo individuali, in assenza di procedure ben definite. L’Autorità si mostra preoccupata anche dalla Dichiarazione sostitutiva unica (DSU), presupposto per il riconoscimento del reddito di cittadinanza e prodromica al rilascio dell’attestazione Isee: il documento in parola, infatti, verrebbe precompilato a cura dell’INPS, con la collaborazione dell’Agenzia delle Entrate. La precompilazione, per quanto risponda all’ esigenza di semplificazione amministrativa, non può pregiudicare la sicurezza e l’integrità dei dati contenuti.. Il Garante, infine, rileva come il sito web del Governo, dedicato al reddito di cittadinanza, mostri alcune carenze, specie con riferimento all’informativa sul trattamento dei dati.