Articoli

Top Legal Academy – Data protection Officer e Privacy Matter exper

Roma – 21-22 febbraio 2019 – Legance

La conoscenza del diritto relativo al trattamento dei dati personali rappresenta un bagaglio informativo ormai indispensabile per il professionista che opera a contatto con le aziende e che deve confrontarsi quotidianamente con una nuova disciplina europea e italiana, complessa e completamente rivoluzionata dall’avvento del GDPR.
TopLegal Academy presenta la prima edizione del Master in Data Protection Officer e Privacy Matter Expert, un percorso di specializzazione intensivo in 6 weekend sui temi più rilevanti della privacy e del trattamento dei dati personali. L’offerta si caratterizza per
la presenza sinergica di docenti provenienti da prestigiosi studi legali, giuristi di impresa in aziende di primaria importanza e autorevoli esponenti del Garante per la Protezione dei Dati Personali. In aula la puntuale analisi normativa sarà accompagnata dall’esame di casi pratici ed esempi concreti, saranno esaminate le problematiche più ricorrenti nell’attività lavorativa del DPO e del Privacy Matter Expert e individuate le soluzioni operative e interpretative più idonee.

Download (PDF, 488KB)

Obiettivi
Il presente Master costituisce la IIa Edizione dopo quella di Milano del 2018 e ha l’obiettivo principale di fornire ai partecipanti conoscenze
tecnico/giuridiche in ambito privacy analizzando il nuovo contesto normativo di cui al Regolamento Europeo UE 2016/679 (GDPR) nonché i provvedimenti del Garante per la Protezione dei Dati Personali, del Working Party 29 (Gruppo 29) e la giurisprudenza in tema di privacy.
L’intero Master prevede giornate formative con docenze di avvocati specializzati e rinomati nel settore di riferimento, legali d’azienda esperti della materia, autorevoli esponenti del garante e professionisti tecnico/ informatici. L’attenta scelta dei professionisti e degli argomenti affrontati consente di fornire al partecipante conoscenze teoriche rigorose sempre accompagnate da esperienze pratiche, al fine di consentirgli di svolgere la professione di Data Protection Officer e/o Privacy Matter Expert al meglio delle proprie potenzialità.

Calendario
febbraio
Venerdì 15 – Sabato 16
Venerdì 22 – Sabato 23
marzo
Venerdì 1 – Sabato 2
Venerdì 8 – Sabato 9
Venerdì 15 – Sabato16
Venerdì 22 – Sabato 23

RELATORI:

Dott.ssa Augusta Iannini, Dott.ssa Michela Massimi – Garante per la Protezione dei Dati Personali

Avv. Andrea Fedi, Avv. Lucio Scudiero – Legance Avvocati Associati

Avv. Vincenzo Colarocco – Studio Previti

Avv. Matteo Orsingher, Avv. Fabrizio Sanna – Orsingher Ortu Avvocati Associati

Avv. Paola Pucci – Toffoletto, De Luca Tamajo e Soci

Ing. Giuseppe D’Agostino  – PwC Italia

Avv. Barbara Ferri – PwC TLS

Avv. Angela Maria Galiano – ALD Automotive Italia S.r.l.

Dott.ssa Fiorentina Russo – ALES S.p.A.

Dott .Fabrizio Cutrupi – AGM Solutions S.r.l.

Avv. Salvatore Modesto – Intesa SanPaolo

Avv. Andrea d’Agostino, Avv. Luca R. Barlassina, Avv. Ugo E. Di Stefano – Gruppo Mondadori

Avv. Gioia Vasintoni – Autostrade per l’Italia S.p.A.i

Dott. Francesco Modafferi, Dott.ssa Luana Patti – Garante per la Protezione dei Dati Personali

Avv. Roberta Quintavalle – Gruppo Mediaset

Avv. Luca Pierro – Fiditalia S.p.A

per maggiori informazioni.

Reddito di cittadinanza e GDPR: Il Garante interviene evidenziando i gravi rischi

Avv. Vincenzo Colarocco

Il Presidente dell’Autorità Garante per la protezione dei dati personali, con la memoria dell’8 febbraio 2019, evidenzia come molte norme del decreto legge 28 gennaio 2019 n. 4 presentino notevoli criticità sotto il profilo della protezione dei dati personali. Si rileva come, non essendo stato richiesto il parere preventivo previsto dall’art. 36 al paragrafo 4, non sia stato possibile preventivamente individuare i rischi derivanti dalle diverse attività di trattamento. Ad avviso del Garante, infatti, le norme mancano di sufficiente precisione: le previsioni, di portata generale, si rivelano inidonee a definire con sufficiente chiarezza le modalità di svolgimento delle procedure di consultazione e verifica delle varie banche dati. In particolare, non appare rispettato il principio di proporzionalità poiché la sorveglianza su larga scala, continua e capillare, dei soggetti interessati determinerebbe un’intrusione sproporzionata e ingiustificata nella sfera privata dei singoli. Si contesta, in particolare, che attraverso le due piattaforme digitali, da istituire una presso l’ANPAL e l’altra presso il Ministero del lavoro, transiterebbe un massivo flusso di informazioni e di dati, riferiti tanto ai richiedenti quanto ai componenti il nucleo familiare degli stessi – ivi inclusi i dati dei minorenni – idonei anche a rivelare lo stato di salute o l’eventuale sottoposizione a misure restrittive della libertà personale. La mancanza di regole pertinenti e di adeguati accorgimenti, in grado di garantire la qualità e l’esattezza dei dati, espone a rischi di non poco momento. Forti dubbi si nutrono anche in merito al cd. monitoraggio sull’utilizzo della carta Rdc, su cui possono essere compiuti dei controlli puntuali, centralizzati e sistematici sulle scelte di consumo individuali, in assenza di procedure ben definite. L’Autorità si mostra preoccupata anche dalla Dichiarazione sostitutiva unica (DSU), presupposto per il riconoscimento del reddito di cittadinanza e prodromica al rilascio dell’attestazione Isee: il documento in parola, infatti, verrebbe precompilato a cura dell’INPS, con la collaborazione dell’Agenzia delle Entrate. La precompilazione, per quanto risponda all’ esigenza di semplificazione amministrativa, non può pregiudicare la sicurezza e l’integrità dei dati contenuti.. Il Garante, infine, rileva come il sito web del Governo, dedicato al reddito di cittadinanza, mostri alcune carenze, specie con riferimento all’informativa sul trattamento dei dati.

Cambridge Analytica: chiusura dell’istruttoria

Avv. Vincenzo Colarocco

Il Garante per la privacy ha concluso, con provvedimento del 10 gennaio 2019 [doc. web n. 9080914], l’istruttoria avviata nei confronti di Facebook sul caso “Cambridge Analytica”, società di analisi che ha raccolto i dati personali di oltre 50 milioni di utenti di Facebook. Nel corso dell’istruttoria veniva accertato, preliminarmente, che i fatti si sarebbero verificati prima dell’applicabilità del Regolamento UE 2016/679 –quindi sotto la vigenza della Direttiva 95/46/CE– e ben prima del Codice Privacy, così come modificato ai sensi del D.lgs. 101/2018. Al termine delle verifiche è stato accertato che i dati personali dei cittadini italiani (tra i quali, a mero titolo esemplificativo, i dati del profilo pubblico (nominativo e genere), data di nascita, lista di amici, ecc.), acquisiti tramite l’app “Thisisyourdigitallife” e raccolti attraverso la funzione “Facebook Login”, venivano trattati illecitamente, in quanto in assenza di una idonea informativa e di uno specifico consenso. Nel corso della medesima istruttoria è inoltre emerso –e nello specifico in occasione delle elezioni politiche del 4 marzo 2018– che mediante il prodotto “Candidati” veniva consentito agli elettori, previo rilascio del loro indirizzo postale, di avere specifiche informazioni sui candidati nella propria circoscrizione elettorale, nonché, nella “Sezione notizie”, veniva data la possibilità di acquisire “informazioni sul voto” e/o di “condividere” il fatto di aver votato. Sul punto, il Garante ha rilevato che queste funzioni, messe a disposizione dalla piattaforma Facebook, non erano previste, né tantomeno indicate nella “data policy” di quest’ultima, ed erano pertanto, difficilmente riconducibili all’ambito delle proprie finalità, oltre che potenzialmente idonee a rilevare le opinioni politiche dei cittadini italiani. Il Garante ha, dunque, negato l’utilizzo a Facebook di ogni dato personale o informazione espressa dagli utenti mediante le modalità sopradescritte trasmettendo all’Autorità per la protezione dei dati irlandese le valutazioni di competenza.

Il caso Wind Tre: iniziative di telemarketing e trattamento illecito di dati

Avv. Vincenzo Colarocco

Il Garante della Privacy è intervenuto nuovamente sul tema del trattamento dei dati personali in relazione ad iniziative di marketing, pronunciandosi nei confronti di Wind Tre s.p.a.. All’esito di un’istruttoria avviata a seguito di numerose segnalazioni che lamentavano la ricezione di telefonate con operatore e di sms indesiderati a contenuto promozionale, l’Autorità Garante italiana ha emesso un’ordinanza di ingiunzione nei confronti di Wind Tre s.p.a (Provvedimento n. 493 del 29 novembre 2018) condannando la compagnia di telecomunicazioni al pagamento di una sanzione pecuniaria pari a 600 mila euro. La sanzione deriva da un provvedimento adottato nel mese di maggio 2018 (Provvedimento n. 330 del 22 maggio 2018) e quindi precedente all’entrata in vigore del Regolamento n. 679/2016, nell’ambito del quale l’Autorità aveva dichiarato illecito il trattamento dei dati dei clienti effettuato dalla società telefonica a fini di marketing. Le violazioni contestate a Wind Tre s.p.a. dal Garante Privacy sono da ricondurre a due condotte specifiche: la mancata verifica delle liste di chi non aveva prestato il consenso per essere contattato a scopi pubblicitari (“black list”), detenute dalla società, nelle quali erano presenti i segnalanti, e la sistematica, prolungata e illecita comunicazione di dati della clientela a terzi partner commerciali. La società, infatti aveva proceduto ad un’erronea qualificazione soggettiva della maggior parte dei punti vendita, individuandoli come titolari autonomi, anziché come responsabili del trattamento, incorrendo pertanto in una illecita comunicazione. Inoltre, tutte le richieste provenienti dai soggetti interessati inerenti alla revoca del consenso per finalità di telemarketing e marketing non erano state registrate ed organizzate dalla società ma solo  comunicate ai partner, che avrebbero dovuto poi provvedere in autonomia. Pertanto, accertata l’illiceità del trattamento, nel definire l’importo dovuto, l’Autorità ha tenuto conto della gravità delle violazioni contestate, del fatto che siano stati impiegati differenti canali di contatto (telefonate, sms) con esponenziale aumento dell’invasività delle campagne promozionali, della loro reiterazione nel tempo nonché della dimensione e delle condizioni economiche della società, ma anche – in termini favorevoli – del fatto che Wind Tre s.p.a abbia posto in essere autonome iniziative per eliminare le criticità emerse. Inoltre, sulla qualifica soggettiva dei partner commerciali, l’Autorità ha chiarito che l’omessa designazione di tali soggetti quali “responsabili del trattamento” ha dato luogo ad una sistematica oltre che prolungata comunicazione illecita dei dati riferiti alla clientela a terzi, fino al 93% degli operatori economici che vanno a comporre la rete commerciale della Società. Tuttavia, l’iniziale sanzione di 150 mila euro è risultata  inefficace, costringendo l’Autorità in questa occasione ad aumentarla del quadruplo, arrivando cosi alla somma di 600 mila euro.

Facebook e la raccolta dati in Germania: l’antitrust perimetra l’area di incidenza

Avv. Vincenzo Colarocco

Il Bundeskartellamt (l’Antitrust tedesco) ha deciso di imporre a Facebook severe restrizioni nei casi di elaborazione dei dati che prevedano una combinazione di dati estrapolati da diverse fonti, come per esempio WhatsApp e Instagram. Questa authority, infatti, è dell’opinione che la sconfinata raccolta di dati da più fonti e la fusione degli stessi costituisca un abuso di posizione dominante. In più, i termini d’uso proposti dall’azienda californiana nonché le stesse modalità di raccolta ed utilizzo dei dati costituirebbero, secondo il Bundeskartellamt, una violazione del GDPR.

Si legge, infatti, nella decisione che secondo i termini d’uso di Facebook l’utilizzo del social network da parte degli utenti comporta il trattamento dei loro dati in relazione sia al sito web Facebook, sia alla sua app mobile, sia ai servizi WhatsApp e Instagram, ed ancora ai siti terzi che gli utenti visitino durante la navigazione Internet. Tale mole di dati vengono attribuiti all’account Facebook dell’utente ma, secondo il Bundeskartellamt, verrebbero trattati senza consenso dello stesso, rendendo così il trasferimento illecito. Per l’autorità tedesca, al fine di trattare i dati provenienti dai diversi servizi del gruppo, come WhatsApp e Instagram,  sarà necessario, per Facebook, ottenere il consenso informato dell’utente stesso, in assenza del quale, i dati dovranno rimanere attribuiti al servizio che li ha raccolti e, quindi, non potranno essere elaborati assieme agli altri. Ugualmente per i dati raccolti dalla navigazione su siti terzi (ad esempio quando l’utente condivide sulla sua bacheca un link esterno a Facebook). L’autorità federale ci tiene a sottolineare la posizione dominante di cui Facebook gode sul mercato tedesco. Questo infatti conta 23 milioni di utenti attivi quotidianamente, equivalenti a un market share di oltre il 95% per gli utenti giornalieri e di oltre l’80%, cifre queste caratteristiche di un monopolio. Il Bundeskartellamt ha altresì chiesto al colosso di Menlo Park di presentare, entro 12 mesi, delle proposte volte ad attuare i cambiamenti richiesti. Ad ogni modo, la decisione dell’autorità di vigilanza non è definitiva e Facebook non ha tardato a richiedere appello avverso la stessa presso l’Alto tribunale regionale di Düsseldorf. Secondo i legali della compagnia, l’autorità federale non avrebbe tenuto conto della concorrenza che Facebook ha in Germania affermando, inoltre, che questa avrebbe male interpretato la compliance con il GDPR, mettendo in serio pericolo così l’omogeneità degli standard per la protezione dei dati  nel vecchio continente.

Diritto d’accesso dei lavoratori e riservatezza aziendale: quali Limiti?

Avv. Vincenzo Colarocco

Con l’ordinanza n. 32533 del 14 dicembre 2018, la Suprema Corte di Cassazione, rigettando il ricorso promosso da una banca avverso una sentenza del Tribunale di Roma (confermativa di un precedente provvedimento reso dal Garante per la protezione dei dati personali), ha ribadito la sussistenza del diritto di accesso in favore del dipendente rispetto alla documentazione inerente ad un procedimento disciplinare cui il medesimo era stato sottoposto. In particolare, il dipendente in questione proponeva ricorso dinanzi al Garante Privacy ribadendo la richiesta (già formulata all’istituto di credito datore di lavoro) di ottenere due documenti elaborati dalla banca che, inevitabilmente, riportavano alcuni suoi dati personali. L’istante sosteneva che l’accesso a tali dati avrebbe trovato giustificazione nell’esigenza di esercitare il proprio diritto di difesa e di impugnazione avverso la sanzione irrogatagli. La Banca replicava di aver fornito al ricorrente tutte le informazioni necessarie, essendo le stesse riportate all’interno della lettera di contestazione trasmessagli, in più assumeva che i documenti oggetto di richiesta, oltre a contenere dati della società di uso strettamente interno (in quanto espressione del diritto, costituzionalmente garantito, di organizzare e gestire la propria attività), risultavano atti “endoprocedimentali” e, pertanto, attinenti solo al momento formativo della volontà datoriale, pertanto irrilevanti ai fini di esercizio dell’asserito diritto di difesa. Il Garante rilevava come a mente della versione del D. Lgs n. 196/2003 (“Codice Privacy”) ratione temporis applicabile, l’art. 8, comma 4 (ora abrogato dal D. Lgs. 101/2018), riconoscesse espressamente il carattere di dato personale dei c.d. “dati valutativi” (quelle informazioni personali che non hanno carattere oggettivo essendo relative a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo) e che, anche rispetto a questi ultimi, fosse possibile esercitare i diritti di cui all’art. 7 (anch’esso successivamente abrogato dal D. Lgs. 101/2018), compreso il diritto di accesso. L’Autorità precisava inoltre che il summenzionato diritto fosse esercitabile senza dover motivare la richiesta o dimostrare di dover acquisire i dati per difendere un diritto in giudizio. Dinanzi alle doglianze espresse dalla banca, gli Ermellini, rigettando il ricorso, precisano che il diritto di accesso non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza dello stesso soggetto interessato, atteso che scopo della norma suddetta è garantire  la verifica ratione temporis dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati; tale diritto, pertanto, andrebbe garantito in ogni momento del rapporto lavorativo, dal momento che “la documentazione relativa alle vicende del rapporto di lavoro, imposta dalla legge (come per i libri paga e matricola), o prevista dall’organizzazione aziendale (tramite circolari interne), dà luogo alla formazione di documenti che formano oggetto di diritto di accesso”. Inoltre, dalla lettura del disposto normativo in tema di diritto di accesso non si evince alcuna specifica limitazione in ordine alle concrete finalità per le quali il diritto di accesso possa essere esercitato. Il diritto di accesso, quindi, ben può essere utilizzato dal dipendente per proprie finalità difensive.

Impronte digitali per aprire le automobili: ipotesi percorribile?

Avv. Vincenzo Colarocco

Di recente, un noto marchio automobilistico ha sviluppato un sistema che consentirà ai guidatori di sbloccare la propria autovettura mediante l’impronta digitale. Tanto risulterà possibile attraverso l’installazione, sulla portiera del veicolo, di un sensore d’impronte digitali –tipico dell’interfaccia utente degli smartphone– che consentirà di registrare più impronte consentendo, così, l’utilizzo della stessa auto a più persone. Si segnala, inoltre, l’implementazione di ulteriori progetti finalizzati a consentire, in futuro, non solo l’apertura dell’auto ma, altresì, l’accensione della stessa migliorando ulteriormente i profili legati alla sicurezza degli utenti.

Il profilo personale del guidatore verrebbe quindi riconosciuto dall’automobile così consentendo all’utilizzatore di regolare anche i sedili, gli specchietti laterali e le impostazioni di connettività secondo le sue preferenze. In futuro, queste possibilità potrebbero estendersi anche alla regolazione della temperatura della cabina, della posizione del piantone dello sterzo e altre regolazioni personali.

La descritta tecnologia, destinata in futuro a remunerative opportunità di business per l’industria automobilistica, appare sicuramente promettente se adeguatamente implementata nel rispetto della privacy dell’utilizzatore e, in particolare, del trattamento dei suoi dati biometrici.

Software Claudette: I.A. contro le clausole vessatorie

Avv. Vincenzo Colarocco

Nasce “Claudette”, il software basato sull’intelligenza artificiale che viene in soccorso dei consumatori per metterli in guardia dalle clausole vessatorie dei contratti stipulati unilateralmente e sottoscritti online. A guidare il relativo progetto è stato l’Istituto Universitario Europeo di Fiesole, con i Professori Giovanni Sartor e Hans-W- Micklitz, in collaborazione con gli ingegneri dell’Università di Bologna e dell’Università di Modena e Reggio Emilia.

A fronte di un aumento del 15% nel 2018 per l’e-commerce italiano, il valore mondiale degli acquisti online sembra stagliarsi attorno ai 2 milioni di euro. Tali acquisti vengono però effettuati, nella maggior parte dei casi, ignorando le clausole contrattuali o le condizioni di servizio. Già dieci anni fa, e dunque prima ancora dell’entrata in vigore del Regolamento (UE) 2016/679 (“GDPR”), uno studio pubblicato sul Journal of Law and Policy for the Information Society rappresentava come la lettura effettiva delle sole privacy policy sarebbe costata, in termini di tempo, circa 200 ore l’anno per utente; a tanto si aggiunga lo scarso rilievo pratico di un analitico esame delle suddette clausole, stante il limitato potere contrattuale dell’utente in relazione a controparti quali Google, Facebook o Amazon.

Claudette si propone di contrastare l’inserzione delle clausole abusive attraverso l’automazione della fase di identificazione delle stesse secondo lo schema tipico dei meccanismi di machine learning: i ricercatori hanno raccolto i termini e le condizioni di servizio di alcune delle maggiori piattaforme online, quali, tra le altre, Google, Linkedin, Dropbox, World of Warcraft, Yahoo e Twitter, ed hanno ricondotto ciascuna clausola ad otto diverse categorie, tra le quali figurano: giurisdizione, legge applicabile e limitazioni di responsabilità. L’applicazione dell’I.A. al caso di specie ha portato ad un risultato senza dubbio significativo: l’8,6% delle frasi totali (segnatamente, 1032 delle 12011 inserite) è stato identificato come potenzialmente abusivo. Oltre ai consumatori, Claudette potrebbe essere d’ausilio anche agli stessi operatori del settore, come per esempio consulenti o avvocati, chiamati a pronunciarsi sulla legittimità dei regolamenti contrattuali predisposti dai propri clienti, in questo modo ottimizzando la fase di studio dei contratti e di conseguente identificazione delle clausole abusive.

Il garante vieta di rendere pubbliche le valutazioni e le contestazioni disciplinari al dipendente

Avv. Vincenzo Colarocco

È illecita l’affissione in bacheca di dati personali relativi alle valutazioni e alle contestazioni disciplinari dei soci lavoratori. Questo è quanto afferma il Garante con il provvedimento n. 500 del 13 dicembre 2018. In particolare, una società toscana aveva messo in atto una sorta di “concorso a premi” obbligatorio per i lavoratori e, settimanalmente, pubblicava sulla bacheca aziendale le valutazioni sull’attività dei propri lavoratori attraverso un cartello nel quale i volti dei dipendenti erano associati a emoticon che rappresentavano, in forma sintetica, i giudizi, positivi o negativi, espressi sul socio, corredati, se del caso, dalle contestazioni disciplinari. La valutazione negativa comportava una decurtazione dallo stipendio.

Il Garante, sul punto, ritiene che sia conforme a normativa che il datore di lavoro tratti i dati necessari a compiere la valutazione sul corretto adempimento della prestazione lavorativa del proprio dipendente, cui eventualmente consegue l’esercizio del potere disciplinare nei modi e nei limiti previsti dalla disciplina di settore. Tuttavia, la sistematica messa a disposizione delle medesime informazioni mediante affissione su una bacheca all’interno dei locali della società, pubblicamente, in modo da rendere edotti tutti gli altri dipendenti ed eventuali terzi visitatori, non appare lecita, in quanto, tali soggetti, non sono legittimati a conoscere i dati personali riguardanti valutazioni e rilievi disciplinari.

I trattamenti effettuati si pongono, dunque, in contrasto con il Regolamento (UE) 2016/679 e sono da ritenersi illeciti perché non rispondenti al principio di liceità, correttezza e trasparenza, nonché a quello della minimizzazione dei dati. Le informazioni concernenti valutazioni e contestazioni disciplinari sono particolarmente delicate poiché incidono sulla dignità professionale del dipendente.

Del resto, il fatto che i soci lavoratori avessero prestato il proprio consenso a partecipare al concorso non pare essere dirimente: tale manifestazione di volontà non può costituire la base giuridica idonea a legittimare il trattamento di dati personali. La ragione è data da un lato, dalla sussistenza di un’asimmetria tra le rispettive parti del rapporto di lavoro, cui consegue la necessità di accertare di volta in volta e in concreto l’effettiva libertà del consenso espresso; dall’altro, il consenso prestato dai soci potrebbe unicamente riguardare l’autorizzazione a detrarre dalla busta paga eventuali decurtazioni derivanti da valutazioni negative.

Il garante privacy verifica la conformità dei codici deontologici

Avv. Vincenzo Colarocco

Sono stati recentemente diramati, dall’Autorità Garante italiana, i nuovi testi dei riformati codici deontologici in ossequio alle prescrizioni dettate dalla disciplina comunitaria in materia di protezione dei dati personali.

In particolare, con il D. Lgs. n. 101/2018 – volto alla modifica del D. Lgs. 196/2003 (“Codice Privacy”) al fine di conformarlo al Regolamento UE 679/2016 (“GDPR”) – il Legislatore Italiano ha posto in capo al Garante Privacy l’onere di verificare quali disposizioni dei codici di deontologia e di buona condotta allegati al previgente Codice Privacy fossero da ritenersi conformi al GDPR. In particolare, le valutazioni dell’Autorità italiana si sono concentrate sui codici deontologici inerenti ai trattamenti di dati personali per scopi storici, statistici, scientifici e investigazioni difensive.

Concordemente con quanto disposto dal D.Lgs. 101/2018, l’opera del Garante non si è limitata ad una valutazione di mera conformità ma ha richiesto, altresì, un aggiornamento formale dei riferimenti al nuovo quadro normativo europeo, con la conseguente soppressione o ridefinizione di talune previsioni alla luce dei nuovi principi di accountability, privacy by default e by design che permeano l’intera impostazione del GDPR. In dettaglio, ai sensi del D. Lgs. 101/2018, entro 90 giorni dalla data di entrata in vigore del decreto, il Garante avrebbe pubblicato in Gazzetta Ufficiale le disposizioni ritenute conformi (ridenominate “regole deontologiche”), emendate dalle disposizioni incompatibili, prescindendo quindi da una consultazione pubblica. Consultazione al contrario prevista – per una durata minima di 60 giorni – per le regole deontologiche di cui all’art. 2-quater del novellato Codice Privacy.

Nei giorni scorsi il Garante ha quindi trasmesso al Ministero della Giustizia i testi aggiornati delle regole deontologiche sottoposte alla sua valutazione, testi che possono essere consultati direttamente sul sito dell’Autorità (qui) e che, nello specifico, attengono ai trattamenti per fini statistici o di ricerca scientifica; ai trattamenti con finalità di archiviazione nel pubblico interesse o per scopi di ricerca storica; ai trattamenti effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria; al trattamento di dati personali nell’esercizio dell’attività giornalistica.