Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

posted by admin on maggio 25, 2018

Miscellanee

(No comments)

posted by admin on maggio 23, 2018

Miscellanee

(No comments)

Vi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato su il Sole 24 Ore il 23 maggio 2018.

posted by admin on maggio 7, 2018

Miscellanee

(No comments)

Il 25 maggio 2018 il nuovo EU Reg. 2016/679 sarà pienamente attuato e, sempre a decorrere dal 25 maggio, il Regolamento abrogherà la direttiva madre.

Tra i principi di legittimità “l’Accountability” rappresenta la novità più rilevante, il Titolare deve infatti essere sempre pronto a dimostrare di aver rispettato e di essersi conformato alle disposizioni.

I principi espressi nell’art. 5. rappresentano pertanto l’architrave del nuovo modo di concepire e realizzare i trattamenti dei dati personali delle persone fisiche; non si potrà più prescindere da essi e da una revisione dei modelli organizzativi aziendali, si renderà necessario verificare che funzionino e che siano efficaci per consentire al titolare di dimostrare, costantemente, la sua conformità.

Il Titolare ad esempio dovrà essere in grado di dimostrare che un trattamento effettuato e la conservazione dei dati stessi sia limitata a quanto strettamente necessario.

L’Accountability passa attraverso la reale consapevolezza dei titolari di come si stia operando all’interno delle proprie organizzazioni e di come questi trattamenti vengano effettuati.

Accountability e Consapevolezza infine non potranno realizzarsi pienamente senza un preciso e rigoroso programma formativo di tutte le persone che, in nome e per conto del Titolare, avranno a che fare a vario titolo con i dati personali trattati.

L’evento si svolge a Roma, il 9 maggio 2018,  presso il Senato della Repubblica – Sala Zuccari,  Via della Dogana Vecchia 29, Roma.

posted by Avv. Matilde Ratti on maggio 3, 2018

Miscellanee

(No comments)

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Quale sistema sanzionatorio è previsto dal Regolamento?

Il Regolamento detta norme specifiche sia sotto il profilo della responsabilità civile, sia sotto il profilo della responsabilità amministrativa. Sono quindi previste regole sia per dirimere il caso in cui un soggetto sia danneggiato dal trattamento effettuato sui suoi dati personali (si pensi alla diffusione illecita di dati personali aventi natura sanitaria), sia per determinare le conseguenze del mancato adempimento da parte del titolare degli obblighi previsti dal Regolamento. Ciò significa che un titolare del trattamento dei dati personali potrà essere chiamato a rispondere sia nei confronti di un privato che ritiene di avere subito un danno per l’illecito trattamento posto in essere, sia nei confronti dell’Autorità garante, che potrà comminare una sanzione amministrativa in caso di violazione delle disposizioni del Regolamento.

Sono previste sanzioni penali?

Il Regolamento non disciplina direttamente il tema della responsabilità penale. Tuttavia, prevede la possibilità per gli Stati membri di introdurre anche sanzioni penali negli ordinamenti nazionali. La delega, però, ha rilevantissimi limiti. Ai sensi del considerando n. 149 del Regolamento il legislatore può introdurre sanzioni penali per le violazioni non soggette a sanzioni amministrative e purché la tutela penale non costituisca una duplicazione della pena in contrasto con il principio del ne bis in idem, caro alla Corte di giustizia europea.

Qual è il tetto massimo previsto per le sanzioni amministrative?

Il Regolamento prevede un tetto massimo assai elevato per le violazioni in materia di protezione dei dati personali. Ad esempio, la sanzione amministrativa potrà arrivare fino a 10 milioni di euro o, se la cifra è superiore, fino al 2% del fatturato mondiale annuo dell’esercizio precedente se non è effettuata la notifica dell’avvenuta violazione dei dati personali o qualora non sia designato il Data Protection Officer. La sanzione potrà anche arrivare a 20 milioni di euro o, se la cifra è superiore, fino al 4% del fatturato mondiale annuo dell’esercizio precedente per le violazioni più gravi. A titolo esemplificativo, è prevista la sanzione con un massimo più elevato per l’inosservanza degli ordini impartiti dall’Autorità garante o per l’illegittimo trasferimento di dati personali in un Paese extraeuropeo.

Quali sono i criteri utilizzati nell’irrogare una sanzione?

Nonostante i tetti massimi previsti per le sanzioni pecuniarie siano assai elevati, occorre precisare che la sanzione amministrativa comminata in concreto dovrà in ogni caso essere proporzionata alla violazione rilevata. In altre parole, nell’irrogare la sanzione amministrativa, l’Autorità garante dovrà necessariamente tenere in conto alcuni indicatori. Ad esempio, dovranno essere considerate la gravità e la durata della violazione, il carattere intenzionale della condotta e gli eventuali benefici finanziari conseguiti a seguito della violazione. Dovranno poi essere tenute in considerazione le misure adottate dal titolare o dal responsabile del trattamento per attenuare il danno subito dagli interessati, le eventuali precedenti violazioni commesse dal titolare del trattamento nonché il grado di cooperazione istaura con l’autorità di controllo al fine di porre rimedio alla violazione e di attenuarne i possibili effetti negativi

Cosa è previsto in materia di responsabilità civile?

Chiunque subisca un danno causato da una violazione del Regolamento ha il diritto di domandare il risarcimento del danno al titolare o al responsabile del trattamento. Tuttavia, il responsabile del trattamento non risponde in ogni caso del danno provocato, ma solo se non ha adempiuto agli obblighi a questi specificatamente diretti dal Regolamento o se ha agito in modo difforme rispetto alle istruzioni impartite dal titolare del trattamento. Qualora più soggetti siano responsabili dell’eventuale danno causato dal trattamento dei dati personali, ognuno di questi sarà tenuto a corrispondere l’intero risarcimento al danneggiato, salvo il diritto a rivalersi sugli altri danneggianti in un secondo momento.

Quali sono i rimedi posti a disposizione dell’interessato?

L’interessato che ritenga che il trattamento che riguarda i suoi dati personali violi il Regolamento può proporre reclamo all’Autorità garante. In particolare, l’interessato potrà rivolgersi sia all’Autorità garante dello Stato membro in cui risiede, sia all’Autorità garante del luogo dove si è verificata la violazione. Così, ad esempio, l’interessato che risiede in Italia potrà proporre reclamo al Garante italiano o potrà rivolgersi all’Autorità garante dello Stato in cui ha subito la violazione. Il provvedimento emesso dall’Autorità garante potrà essere oggetto di ricorso. Le parti coinvolte dalla decisione potranno infatti proporre ricorso contro la decisione dell’Autorità garante dinanzi alle autorità giurisdizionali dello Stato membro in cui è stabilito il Garante che ha emesso la decisione.

Inoltre, la persona fisica che ritiene che un titolare o un responsabile abbia violato i suoi diritti può promuovere un’azione anche direttamente dinanzi all’Autorità giurisdizionale. L’interessato potrà intraprendere l’azione nello Stato membro in cui il titolare o il responsabile hanno uno stabilimento o, alternativamente, nel luogo in cui risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di un altro Stato membro nell’esercizio dei pubblici poteri.

Con quali modalità può agire l’interessato?

L’interessato può agire per la tutela dei suoi diritti in modo autonomo o può scegliere di farsi rappresentare da un’organizzazione o da un’associazione in giudizio. L’associazione o l’organizzazione dovrà però avere “obiettivi statutari” di pubblico interesse e dovrà risultare attiva nel settore protezione dei dati personali.

posted by Maria Chiara Meneghetti on aprile 18, 2018

Miscellanee

(No comments)

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cosa si intende per trasferimento di dati personali?

Il GDPR non definisce cosa si intenda per trasferimento. Dalla lettura degli articoli che disciplinano il trasferimento di dati (artt. 44-50 del GDPR) si desume che con “trasferimento” il GDPR indica uno spostamento di dati personali da un titolare o un responsabile del trattamento, situato all’interno dell’UE, a un titolare o responsabile del trattamento, situato fuori dall’UE.

Il GDPR estende l’attuale ambito di applicazione della disciplina. In primo luogo, ricomprende nella categoria dei trasferimenti anche i flussi di dati personali verso un’organizzazione internazionale. In secondo luogo, applica la disciplina sul trasferimento anche ai trasferimenti “successivi” in un paese terzo o verso un’organizzazione internazionale, che avvengono nei casi in cui il soggetto a cui i dati sono stati trasferiti, li trasferisce nuovamente ad un altro soggetto.

Cosa deve fare il titolare o il responsabile se vuole trasferire i dati?

Il titolare e il responsabile del trattamento potranno effettuare un trasferimento di dati personali, solo qualora rispettino una delle condizioni previste dal GDPR agli artt. 45-49.

Quali sono gli “strumenti” per il trasferimento?

Gli “strumenti” elencati agli artt. 45-49, che il titolare e il responsabile del trattamento possono utilizzare per trasferire i dati personali, riprendono in parte l’elenco di condizioni previste dal Codice privacy o create dal Gruppo di Lavoro ex Art. 29. Per esempio, un trasferimento sarà legittimo nel caso in cui: il paese verso cui i dati sono diretti abbia ottenuto una decisione di adeguatezza (adequacy decision) da parte della Commissione europea; sia soggetto a garanzie adeguate cioè, per esempio, sia regolato attraverso l’utilizzo di clausole contrattuali standard (standard contractual clauses, SCC) tra mittente e ricevente o, per i trasferimenti infragruppo, il gruppo societario adotti norme vincolanti d’impresa (binding corporate rules, BCR); il mittente soddisfi una delle deroghe previste all’art. 49 del GDPR (es. abbia raccolto il consenso dell’interessato).

Cosa cambia con il GDPR?

Da un lato, il GDPR mette a disposizione nuovi “strumenti” per effettuare un trasferimento. Dall’altro lato, ordina le diverse condizioni secondo una scala di rilevanza: la decisione di adeguatezza diventa il pilastro del nuovo sistema; solo in sua assenza i titolari o i responsabili dovranno adottare una delle alternative basi offerte dal GDPR.

In ambito di garanzie adeguate, le norme vincolanti d’impresa acquistano autonoma rilevanza e vengono dettagliatamente regolate all’art. 47 del GDPR, che ne elenca il contenuto minimo. L’art. 46, invece, innova la lista di basi giuridiche utilizzabili per un trasferimento, affiancando a SCC e BCR: l’adozione di uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici; la sottoscrizione di un codice di condotta o l’adesione a un meccanismo di certificazione approvato. Inoltre le SCC, prima valide solo se adottate dalla Commissione europea, potranno ora essere adottate anche da un’autorità di controllo nazionale (purché poi approvate dalla stessa Commissione europea o sottoposte al meccanismo di coerenza ex. art. 63 del GDPR).

Infine, l’art. 49 esplicita le ulteriori eventuali “deroghe in specifiche situazioni”, di cui il mittente può usufruire, in mancanza sia di una decisione di adeguatezza, sia di una delle garanzie adeguate indicate.

Le decisioni di adeguatezza già adottate rimangono valide?

Il GDPR precisa che le decisioni di adeguatezza adottate sulla base della direttiva 95/46/CE restano in vigore fino a quando non siano modificate, sostituite o abrogate da una decisione della Commissione europea, a seguito, per esempio, del riesame periodico previsto per tutte le decisioni di adeguatezza ogni quattro anni. Dunque, le decisioni di adeguatezza fino ad oggi adottate rimangono per il momento valide.

Le decisioni di adeguatezza già adottate possono essere consultate QUI.

Quali SCC possono essere attualmente utilizzate?

Con riferimento alle clausole contrattuali standard, la Commissione europea ha fino ad oggi adottato modelli di clausole applicabili ai trasferimenti transfrontalieri di dati da un titolare (UE) a un titolare (extra-UE) o da un titolare (UE) a un responsabile (extra-UE) (reperibili QUI).

È inoltre in corso d’opera la preparazione di uno schema di SCC per il trasferimento transfrontaliero di dati tra responsabile stabilito in UE e sub-responsabile stabilito in un paese terzo.

Un odontoiatra era comparso nella trasmissione “Scherzi a parte” in veste d’attore, in un contesto del tutto estraneo alla sua professione, ma durante il programma erano stati resi pubblici sia il suo nome e cognome, sia nome e ubicazione del suo studio, senza autorizzazione dell’interessato.

La Corte di Cassazione ha respinto il ricorso di Reti televisive italiane S.p.a. e Videotime S.p.a. contro una sentenza del 2014 della Corte di Appello di Roma che condannava le due società del gruppo Mediaset a risarcire un odontoiatra, per violazione della privacy.

La Corte d’appello, nell’emettere la sentenza, aveva rilevato che il professionista non aveva mai dato alle società interessate il consenso all’utilizzazione e alla diffusione televisiva del proprio nominativo, tantomeno in associazione alla propria attività professionale.

Reti Televisive Italiane S.P.A. e Videotime S.P.A avevano in seguito presentato ricorso in Cassazione, lamentando una violazione da parte della Corte dell’articolo 112 c,p.c. (in relazione al)’art. 360 n. 4 c.p.c.): secondo loro, infatti, La Corte avrebbe riconosciuto la sussistenza del danno subito dall’odontoiatra senza prove materiali del fatto che il denunciante avesse manifestato prima della trasmissione, la volontà di non essere identificato né associato alla propria professione.

In seguito al controricorso del medico, il 13 febbraio 2017 il Procuratore generale presso la Corte di cassazione ha infine rigettato il ricorso, ritenendo che la violazione dell’articolo 112 non sussista, avendo il giudice operato senza alterare nessuno degli elementi obiettivi di identificazione dell’azione.

Reti Televisive Italiane S.P.A. e Videotime S.P.A dovranno quindi corrispondere all’odontoiatra il risarcimento per danni morali più quello per le spese legali sostenute.

posted by admin on gennaio 8, 2018

Miscellanee

(No comments)

Milano, 12 gennaio 2018
Fondazione Eni Enrico Mattei
Palazzo delle Stelline
Corso Magenta, 63
13h00 – 14h30

Più di mezzo secolo fa la canzone di Bob Dylan “A hard rain’s a-gonna fall” descriveva un mondo cupo e turbolento alle prese con un potenziale attacco nucleare, la minaccia nascente dell’inquinamento ambientale, un ordine internazionale in rapido spostamento, una crescente divisione all’interno della società e la comparsa di nuovi paradigmi socio-politici e centri di potere. E’ uno scenario simile a quello di oggi? O la pioggia che cade è l’origine di nuove opportunità?

Nomisma ha chiesto agli esperti di tutto il mondo di condividere i loro punti di vista sui principali trend che influenzeranno l’agenda globale nel 2018. Il loro contributo è raccolto in un volume che racconta una visione complessiva del futuro anno suddivisa per settori. Giusella Finocchiaro ha curato il capitolo dedicato alla Internet Law nel 2018. Il volume è a cura di Andrea Goldstein e Julia K. Culver ed è liberamente scaricabile QUI.

Il volume sarà presentato a Milano il 12 gennaio 2018, dalle 13.000 alle 14.30, a Palazzo delle Stelline presso la Fondazione Eni Enrico Mattei, Corso Magenta, 63.  Per ragioni organizzative è necessario iscriversi. Per ulteriori informazioni si rimanda al sito di Nomisma.

Alla luce del termine, ormai prossimo, di applicazione delle prescrizioni europee in materia di protezione dei dati personali, il Ministero della Giustizia ha designato un gruppo di esperti chiamati a conformare urgentemente l’attuale Codice Privacy alle nuove regole.

Sono due le normative comunitarie che dovranno essere implementate nel nostro ordinamento nel maggio del 2018. Il Regolamento 2016/679 del Parlamento europeo e del Consiglio sulla privacy, che abroga la precedente direttiva del 1995, dovrà essere applicato dal 25 maggio 2018, mentre nel giorno 6 dello stesso mese è fissato il termine per la pubblicazione e l’adozione delle disposizioni legislative, regolamentari e amministrative della Direttiva UE 2016/680 relativa alla protezione dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali nonché alla libera circolazione di tali dati.

Per conformare urgentemente il nostro Codice in materia di dati personali alle nuove disposizioni, il Governo ha deciso di avvalersi di qualificati esperti, anche esterni all’Amministrazione e provenienti da diverse categorie professionali. Il 14 dicembre 2017 Giusella Finocchiaro è stata designata dal Ministero della Giustizia a presiedere il Gruppo di lavoro incaricato di provvedere alla predisposizione dei decreti legislativi, in modo da garantire il tempestivo recepimento ed adeguamento dell’ordinamento interno alle prescrizioni europee in materia di privacy.

Una guida indispensabile per realizzare campagne di marketing automation nel rispetto del nuovo regolamento GDPR sulla privacy: ecco le indicazioni fondamentali da osservare nelle attività di profilazione che prevedono il trattamento automatizzato di dati con finalità di identificazione e valutazione degli aspetti personali di un individuo.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Digital 4 Executive l’11 dicembre 2017.

Mancano pochi mesi al 25 maggio 2018, data in cui il GDPR (il Regolamento UE 2016/679 sulla protezione dei dati personali) sarà direttamente applicabile in tutti gli Stati membri dell’Unione europea.

Operatori e imprese si affrettano ad adeguare le proprie policy e i propri assetti privacy alla luce delle nuove disposizioni. Un aspetto che il GDPR disciplina specificatamente e di cui tali attori dovrebbero tener conto è quello della profilazione, ossia il trattamento automatizzato di dati personali con finalità di identificazione e valutazione degli aspetti personali relativi ad una persona fisica.

È sempre più frequente l’impiego di tecnologie (di Marketing automation) volte al targeting di clienti e consumatori, cioè all’individuazione delle loro caratteristiche, preferenze e abitudini. Di norma tali dati vengono utilizzati per fornire servizi e prodotti su misura e in linea con le esigenze individuali dei soggetti, ma talvolta il trattamento di tali informazioni potrebbe generare effetti negativi nella sfera dei soggetti profilati con conseguenze a livello sociale e relazionale che potrebbero sfociare perfino nell’esclusione o nella discriminazione.

La peculiarità di tale trattamento e la serietà delle eventuali ripercussioni sugli interessati hanno quindi portato il Gruppo di lavoro Art. 29 ad elaborare delle linee guida ad hoc sul punto (Guidelines on Automated individual decision-making and Profiling, WP251, adottate il 3 ottobre 2017).

Di seguito, vengono fornite, sulla base di tale testo e del GDPR, le indicazioni fondamentali da osservare per procedere alle attività di profilazione in piena conformità alla nuova normativa.

[continua su Digital 4 Executive]

posted by admin on ottobre 23, 2017

Miscellanee

(No comments)

In occasione del prossimo convegno del 3 novembre a Pechino, è stata annunciata la pubblicazione in Cina dell’analisi di Giusella Finocchiaro dal titolo “The European EIDAS Regulation”.

La pubblicazione del documento rappresenta un tassello importante del percorso di studio dei giuristi cinesi sulla regolamentazione dell’identificazione elettronica, del documento e delle firme elettroniche dell’Unione Europea.

Il documento è disponibile per la consultazione nella versione in inglese con traduzione a fronte in cinese cliccando QUI.