Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

La Fondazione Forense Bolognese (Consiglio dell’Ordine degli Avvocati) con il patrocinio dell’Università di Bologna organizza un convegno dedicato al Regolamento Europeo sulla privacy e sulla protezione dei dati personali n. 679/2016.

L’evento si terrà il 9 ottobre 2017 dalle ore 15,00 alle 18,30 presso l’Aula Traslazione del Complesso S. Domenico– Piazza S. Domenico, 13 Bologna.

Nel corso del convegno sarà presentato il volume “Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali” a cura della Prof.ssa Giusella Finocchiaro, Ordinario di Diritto di internet e di Diritto privato nell’Università di Bologna, con la partecipazione della Curatrice e degli Autori.

La partecipazione è libera, vale 3 crediti formativi, ma è necessaria l’iscrizione sul sito www.fondazioneforensebolognese.it.

Il programma del convegno è disponibile QUI

Il Garante privacy ha emanato un provvedimento urgente per semplificare gli adempimenti e consentire trattamenti di dati non previsti dalla legge sui vaccini.

In considerazione dell’imminente avvio dell’anno scolastico, il Garante ha adottato con procedura urgente un provvedimento a valenza generale che autorizza una comunicazione di dati personali non sensibili dalle scuole alle autorità sanitarie. Dal primo settembre 2017 le scuole, sia pubbliche che private, e i servizi educativi per l’infanzia possono trasmettere l’elenco degli iscritti alle Asl territoriali, per l’attività di verifica della regolarità vaccinale e per l’avvio delle procedure previste (ad esempio la convocazione dei genitori), nonché per la pianificazione delle attività necessarie a mettere a disposizione dei genitori la documentazione prevista dal decreto.

Tale decisione risponde alla richiesta dell’Ufficio Scolastico Regionale per la Toscana e di numerose altre amministrazioni su scala nazionale che hanno manifestato l’intenzione di effettuare uno scambio automatico di dati sulla regolarità vaccinale – anche in assenza di una specifica norma che lo consentisse – al fine di favorire il rispetto degli obblighi vaccinali nei termini previsti dalla legge.

Il Garante ricorda che, al fine di semplificare la procedura, le aziende sanitarie possono già inviare di propria iniziativa i certificati o altre attestazioni vaccinali alle famiglie, per consegnarli alle scuole, senza dover aspettare che siano i genitori stessi a richiederli, nonché inviare altre comunicazioni relative agli obblighi vaccinali, anche a seguito di accordi con gli istituti scolastici.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su Agenda Digitale il primo settembre 2017.

Si è ormai ampiamente trattato delle novità introdotte nella disciplina della protezione dei dati personali ad opera del nuovo Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, direttamente applicabile a partire dal 25 maggio 2018.

Fin dalle prime letture si è evinto il carattere stringente e cautelativo della nuova disciplina, che si distingue per un approccio basato sul rischio del trattamento e sulla responsabilità o, per dirla con le parole del Regolamento, sulla accountability dei soggetti attivi del trattamento.

A conferma di ciò basti osservare l’ampio novero di obblighi che il Regolamento pone a carico del titolare e del responsabile del trattamento. Adempimenti intesi, in particolare, alla progettazione dell’intero trattamento alla luce dei principi di privacy by design e by default, con l’obiettivo di assicurare che le misure – tecnologiche e organizzative – di sicurezza siano adeguate rispetto al potenziale rischio a cui il trattamento espone i dati.

Nel quadro degli obblighi volti alla misurazione del rischio correlato alle attività di trattamento, spicca, per onerosità e rilevanza, la c.d. valutazione d’impatto (meglio conosciuta anche come DPIA – Data Protection Impact Assessment), una misura preventiva che impone al titolare di verificare se il trattamento esponga i dati ad un rischio elevato, tenendo conto delle specificità del trattamento stesso: la natura, l’oggetto, il contesto, le finalità, nonché l’uso di nuove tecnologie. Sebbene sia fortemente raccomandata per ogni tipologia di trattamento, la valutazione d’impatto non è obbligatoria se non nei casi specificatamente indicati dal Regolamento ovvero qualora sia previsto dal diritto degli Stati membri.

Un particolare ambito in cui appare non solo appropriato, ma doveroso procedere alla valutazione d’impatto è quello lavorativo. Pare, infatti, rientrare nell’ipotesi di un monitoraggio sistematico di dati relativi a soggetti vulnerabili il trattamento effettuato in un contesto lavorativo.

“Vulnerabili”: il termine non è impiegato a caso. È così che il Gruppo di lavoro Articolo 29 definisce i dipendenti nelle proprie “Linee guida in materia di valutazione d’impatto sulla protezione dei dati”, emanate il 4 aprile 2017, ove il contesto lavorativo è ritenuto rischioso per i diritti degli interessati considerato lo sbilanciamento di potere contrattuale a favore del datore di lavoro. Il Gruppo Articolo 29, che già in passato aveva fornito indicazioni in materia di diritti dei lavoratori nell’ambito della protezione dei dati personali (si rinvia all’opinion 8/2001, WP48, e al documento di lavoro WP55 del 2002), dedica la recente opinion 2/2017 al tema del trattamento dei dati in ambito lavorativo.

In questa sede il Gruppo dei Garanti europei ha aggiornato le proprie considerazioni in materia alla luce delle nuove disposizioni e, in particolare, dei nuovi obblighi introdotti dal Regolamento.

Confermando che il trattamento dei dati in ambito lavorativo deve necessariamente uniformarsi ai principi di trasparenza, necessità e minimizzazione, il Gruppo sottolinea come il consenso non sia un presupposto di legittimità sicuro e affidabile, giacché il lavoratore non può ritenersi completamente libero di acconsentire o di opporsi al trattamento in ragione della relazione contrattuale che lo lega al datore di lavoro. Pertanto, secondo il Gruppo, sarebbero da preferire altre basi di legittimità, come l’esecuzione del contratto di lavoro, l’obbligo legale in capo al titolare-datore di lavoro ovvero il legittimo interesse di quest’ultimo.

Tuttavia, l’individuazione delle condizioni di legittimità del trattamento non è sufficiente quando si parla di controllo dei lavoratori: occorre una policy chiara, comprensibile e completa – ribadisce il Gruppo – che informi i lavoratori circa lo svolgimento delle attività di monitoraggio e le relative finalità.

È proprio tra i pilastri della legittimità di trattamento e della trasparenza che si inserisce la valutazione d’impatto, la misura di tutela risk-based che incorpora un test di proporzionalità tra il legittimo interesse del datore di lavoro, le tecnologie adottate volte al suo perseguimento e i diritti di riservatezza e di segretezza delle comunicazioni dei lavoratori. Secondo il parere del Gruppo di lavoro, l’introduzione di qualsiasi tecnologia volta al monitoraggio e al controllo dei lavoratori dovrebbe essere preceduta da una valutazione d’impatto al fine di verificare se il trattamento dei dati (e le modalità con cui esso viene effettuato) siano proporzionati al rischio che il datore di lavoro deve fronteggiare.

A seguito di una esposizione teorica del framework, dei principi fondamentali e delle novità del Regolamento, il Gruppo dei Garanti dedica ampio spazio all’esame degli scenari di trattamento che possono presentarsi nella prassi di un’organizzazione, con particolare riferimento all’impiego delle nuove tecnologie. Il Gruppo si sofferma segnatamente sulle tecnologie che permettono di monitorare i lavoratori non solo sul luogo di lavoro, bensì anche nelle proprie case e, in generale, nella propria sfera privata. Ciò accade ad esempio ove si usino tecnologie BYOD (Bring Your Own Device) che permettono al lavoratore di impiegare i propri dispositivi personali per finalità lavorative. L’utilizzo promiscuo potrebbe generare il rischio di trattare informazioni che esulano dalla sfera lavorativa: al fine di scongiurare tale eventualità, il Gruppo raccomanda di adottare misure appropriate che permettano di distinguere l’uso del dispositivo a seconda della finalità.

Infine, nel declinare la protezione offerta ai lavoratori, i Garanti europei tengono conto non solo dell’evoluto contesto tecnologico, ma anche di quello imprenditoriale: il trattamento effettuato all’interno di un gruppo imprenditoriale avente sedi in diversi Stati potrebbe comportare il trasferimento dei dati dei lavoratori verso Stati terzi. In tal caso – così come nell’ipotesi dell’impiego di applicazioni e servizi cloud-based che comportano un flusso transfrontaliero di dati – il trasferimento sarà legittimo a condizione che il Paese terzo importatore dei dati assicuri un adeguato livello di protezione dei dati personali.

Per riassumere, dunque: legittimità, trasparenza, proporzionalità, bilanciamento di interessi, minimizzazione. Queste le parole chiavi (e i pilastri) del trattamento dei dati in ambito lavorativo.

A margine di quanto sinora esposto, occorre ricordare che l’art. 88, 1° comma del Regolamento prevede che gli Stati membri possano dettare “con legge o tramite contratti collettivi, norme più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro”. Ciò non può che indurre a riflettere sull’adeguatezza delle modifiche apportate alla legge 20 maggio 1970, n. 300 (“Statuto dei Lavoratori”) ad opera della recente riforma c.d. Jobs Act. Occorrerà dunque valutare se le nuove disposizioni siano effettivamente sufficienti alla luce delle raccomandazioni del Gruppo di lavoro europeo e a fronte degli scenari prospettati ovvero se si rivelerà necessario un nuovo intervento da parte del legislatore italiano.

Respinto il ricorso di un uomo che chiedeva alla ex moglie i danni per avere invaso illecitamente il suo diritto alla riservatezza dei dati chiedendo alla banca i dati del suo estratto conto.

Con sentenza n. 20649 del 31 agosto 2017, la VI sezione Civile della Corte di Cassazione ha dichiarato inammissibile il ricorso di un uomo che accusava la ex coniuge di aver chiesto illecitamente alla banca i dati del suo estratto conto, violando la sua privacy, allo scopo di utilizzarli come prova nella causa di separazione personale.

La sentenza della Cassazione ha confermato il rigetto dell’istanza di risarcimento danni già emessa dal Tribunale di Modena, e successivamente della Corte d’Appello di Bologna.

La Cassazione ha richiamato la motivazione del Tribunale, secondo la quale, nel richiedere informazioni o documenti alla banca, la donna non aveva violato alcuna norma di legge né aveva tenuto un comportamento fraudolento; la Corte ha anche ritenuto che il marito non avesse offerto alcuna indicazione circa il danno subito.

Resterebbe, chiaramente, da capire la liceità del comportamento dell’Istituto bancario, che tuttavia non è stato chiamato in causa.

Il 22 luglio 2017 il Sole 24 Ore ha pubblicato un’analisi di Giusella Finocchiaro e Max Bergami sulle implicazioni in materia di responsabilità sulla sicurezza in capo alle imprese introdotte dal nuovo regolamento europeo sulla privacy.

La protezione dei dati personali basata sulla valutazione del rischio e sui concetti di «Privacy by design and by default» è ora legge. È quanto prescrive il cosiddetto Gdpr (General data protection regulation) cioè il nuovo regolamento europeo in materia di protezione dei dati personali (n. 679/2016) che sarà applicato da tutti gli stati membri dell’Unione europea a partire dal 25 maggio 2018.

A differenza delle direttive, i regolamenti non richiedono provvedimenti legislativi da parte degli stati membri. Le infrazioni saranno sanzionate pesantemente, potendo raggiungere ammende fino a 20 milioni di euro o fino al 4 per cento del fatturato annuale. Si tratta di una rivoluzione di grande portata perché ribalta completamente l’approccio alla sicurezza rispetto alla normativa attuale. Il Gdpr non prescrive quali siano le misure da adottare, dettando un elenco di adempimenti; al contrario, lascia all’impresa o all’ente titolare del trattamento, la valutazione dei rischi, del valore dei dati, della loro criticità e, dunque, la scelta delle misure di sicurezza da adottare per proteggerli; queste misure andranno poi sottoposte a un continuo monitoraggio.

La definizione di dati personali della direttiva è molto ampia e include «ogni informazione relativa a un individuo che riguardi la sua vita privata, professionale o pubblica. Può essere qualunque cosa, da un nome, una foto, un indirizzo email, informazioni bancarie, i post sui social network, le informazioni mediche a un indirizzo Ip di un computer».

Si tratta di una riforma che unifica le regole degli stati europei, superando inutili norme burocratiche, oggi diverse da paese a paese, la cui applicazione ha un costo stimato in circa 2,3 miliardi di euro all’anno. Le imprese e gli altri enti saranno ritenuti direttamente responsabili per la gestione dei dati. Tra i vantaggi, ogni organizzazione avrà relazioni con un’unica autorità nazionale per la protezione dei dati, nel paese in cui ha il centro dei propri interessi, anche per le attività svolte all’estero e per i dati riguardanti i cittadini degli altri paesi; si tratta di una norma che si applica anche ai soggetti extra-europei che operano nell’Unione europea.

Sostanzialmente viene rinforzato il concetto secondo cui i proprietari dei dati sono gli individui che possono in questo modo avere maggiore trasparenza e chiedere di trasferire i propri dati o di cancellarli più agevolmente.

A prima vista questo regolamento potrebbe esser visto come un inasprimento delle norme per le imprese, mentre in realtà rappresenta una grande semplificazione e soprattutto un’opportunità per strutturare meglio le proprie attività in questo settore e costruire solide relazioni di fiducia con i propri clienti. Forse non servirebbe neppure ricordare che la rapida diffusione delle tecnologie digitali, dalla manifattura ai servizi, dall’education alla sanità, dalla comunicazione alla mobilità, pone i dati in una posizione centrale nella società contemporanea. Così come è avvenuto per la globalizzazione, anche in questo caso non si tratta più di un dibattito ideologico tra chi è favorevole o contrario, ma semplicemente un fatto da affrontare con lungimiranza, senso etico e illuminato pragmatismo.

Il principio di «Privacy by design and by default» prevede che la tutela della privacy sia incorporata nella progettazione dei processi aziendali, considerando le implicazioni per l’utente non come fatto accessorio, ma a partire dalle modalità con cui vengono concepiti i servizi o le modalità di utilizzo dei prodotti. Le organizzazioni saranno chiamate ad analizzare i rischi, decidere come affrontarli mediante processi affidabili che dovranno poi essere implementati, presidiati e monitorati.

Evidentemente ci sarà molto lavoro da fare, ma soprattutto sarà necessario immaginare un nuovo approccio interdisciplinare che riesca a coniugare competenze di business, organizzative, tecnologiche e giuridiche. Si tratta di una sfida per le imprese, per le pubbliche amministrazioni e per le organizzazioni no profit, soprattutto per quelle che non hanno per Dna una cultura avanzata della sicurezza. Infatti, questa attività non potrà coinvolgere solo chi si occupa di Ict, legale e compliance, ma anche chi gestisce il core business.

Per quanto la normativa europea possa introdurre elementi nuovi, gli operatori di grandi dimensioni sono tendenzialmente più attrezzati, mentre quelli di dimensioni medie o piccole si troveranno generalmente di fronte a nuove attività che potrebbero però consentire anche il perseguimento di un nuovo vantaggio competitivo, nella misura in cui non saranno viste come adempimenti, ma come modalità di consolidamento organizzativo e potenziamento della propria posizione sul mercato.

Servono nuovi percorsi formativi che consentano di affrontare questo tema in modo rotondo e offrano anche la possibilità di apprendere dal confronto con esperienze diverse. In questa prospettiva, sono particolarmente efficaci i percorsi anticonvenzionali e collaborativi che aiutino a rinforzare la competitività del sistema produttivo, in modo che intelligenza artificiale e intelligenza umana facciano squadra per migliorare la società contemporanea.

Vi proponiamo qui l’articolo di Giusella Finocchiaro e Laura Greco, pubblicato su ICT4Executive il 10 luglio 2017.

Il Regolamento europeo sulla privacy (General Data Protection Regulation) che entrerà in vigore l’anno prossimo introduce la possibilità per il responsabile del trattamento di nominare un altro responsabile in caso di relazioni contrattuali “multilivello” sottostanti al trattamento di dati personali.

25 maggio 2018: data in cui sarà direttamente applicabile il Regolamento europeo n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, ormai comunemente noto come “GDPR” (General Data Protection Regulation).

Concepito nel contesto di una realtà ove condivisione e interconnessione sono i nuovi pilastri fondanti del modello di scambio delle informazioni, il Regolamento non poteva che – tra le altre innovazioni – recepire anche i mutamenti connessi alla crescente tendenza alla differenziazione organizzativa. In altre parole, lo sviluppo di catene di prestazioni di servizi e il ricorso al subappalto o all’esternalizzazione delle attività portano al coinvolgimento di più soggetti e alla creazione di molteplici relazioni. Il Regolamento ha dunque colto la complessità delle relazioni contrattuali “multilivello” sottostanti al trattamento di dati personali, introducendo l’inedita figura del sub-responsabile. Il legislatore europeo prevede così la possibilità per il responsabile del trattamento di nominare un altro responsabile “previa autorizzazione scritta, specifica o generale, del titolare”.

Un potere da sempre proprio del titolare (la designazione dei responsabili) diventa oggetto di possibile delega, a conferma di una nuova ripartizione delle responsabilità prevista dal Regolamento. Il titolare mantiene però il potere di opporsi alle modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento ad opera del responsabile iniziale. A tal fine, il Regolamento stabilisce un rilevante onere informativo a carico di quest’ultimo che sarà quindi tenuto a comunicare adeguatamente al titolare le eventuali modifiche.

Se la fonte dell’investitura formale (cioè della designazione) muta, resta invece invariato il rapporto di subordinazione nei confronti del titolare. Il sub-responsabile risulterà infatti legato al titolare e al trattamento da un contratto o da un altro atto giuridico, che riprodurrà gli obblighi contenuti nell’atto di designazione con cui il titolare ha nominato a suo tempo il responsabile iniziale. Il sub-responsabile dovrà quindi eseguire le attività e le operazioni di trattamento per conto del titolare, nonché agire in via strumentale rispetto alle finalità dal medesimo determinate.

Tuttavia, analogo rapporto gerarchico potrebbe rilevarsi anche nei confronti del responsabile iniziale: a norma del Regolamento, questi dovrà infatti rispondere al titolare dell’eventuale inadempimento del sub-responsabile. Dunque, il Regolamento pone indirettamente a carico del responsabile iniziale una responsabilità per culpa in eligendo e per culpa in vigilando che legittimano implicitamente la possibilità per quest’ultimo di impartire istruzioni al sub-responsabile, purché conformi a quelle del titolare e strumentali alle finalità di trattamento.

In conclusione, il Regolamento ha introdotto un’ipotesi di designazione diretta tra responsabili la cui attuazione non tarderà a rivelare la propria efficacia. D’altronde le relazioni fattuali della società contemporanea risentivano da tempo di una normativa lacunosa che non riconosceva sulla carta ciò che ormai era prassi comune. Tuttavia, l’opera di adeguamento non pare ancora conclusa: occorre implementare il riconosciuto schema relazionale tra responsabili in tutti i contesti del trattamento dei dati personali. In ambito di flusso transfrontaliero di dati, ad esempio, è auspicabile che le ipotesi di trasferimento di dati all’estero tra responsabile e sub-responsabile vengano normativamente regolate o, perlomeno, che possano essere impiegate anche in tale contesto clausole contrattuali standard, analoghe a quelle già previste per le ipotesi di trasferimento di dati tra titolare e responsabile.

Giusella Finocchiaro

Laura Greco

Google ha annunciato che il servizio Gmail cesserà di scandagliare i contenuti delle email degli utenti per proporre inserzioni pubblicitarie mirate, come faceva ormai da molti anni.

Finalmente gli utilizzatori di Gmail nella sua versione gratuita godranno dello stesso livello di privacy assicurato dalla versione business e le parole contenute nelle loro email non saranno più oggetto di automatizzazione pubblicitaria. Questo è quanto comunicato da Google nel suo blog. D’ora in avanti la modalità della pubblicità visualizzata si baserà sulle preferenze dichiarate dagli utenti nelle impostazioni della casella elettronica, che ora includono il comando che disabilita la “ads personalization”.

Attualmente. Gmail è il più grande provider email del mondo e conta oltre 1 miliardo e 200 milioni di utenti.

Ogni utente ha la possibilità di controllare le informazioni che condivide con Big G attraverso la pagina myaccount.google.com.

Si parla sempre di più del cosiddetto GDPR (General Data Protection Regulation) cioè del nuovo Regolamento europeo in materia di protezione dei dati personali, n. 679/2016, applicabile dal 25 maggio 2018.

Poco si dice, però, sul nuovo approccio alla sicurezza che viene sostanzialmente ribaltato. Il nuovo regolamento non prescrive le misure da adottare, dettandone l’elenco. Al contrario, lascia al titolare del trattamento la valutazione dei rischi, del valore dei dati, della loro criticità e la scelta delle misure di sicurezza da adottare.

Scelta che poi va sottoposta a continuo monitoraggio.

Occorre, dunque, effettuare un’analisi dei flussi informativi e una valutazione dei rischi che incombono su di essi, per decidere poi quali misure adottare.

Dunque, analisi, scelta, proceduralizzazione, implementazione, monitoraggio e presidio.

Non istruzioni dettate dalla norma, ma autovalutazione e gestione. E ovviamente documentazione precisa delle scelte, motivate, e del processo.

Un approccio nuovo basato sulla accountability, che richiede necessariamente competenze integrate: tecnologiche, organizzative e giuridiche.

L’Autorità Antitrust, l’Autorità per le Garanzie e nelle Comunicazioni e l’Autorità Garante per la protezione dei dati personali hanno avviato, in data 30 maggio 2017, un’indagine conoscitiva congiunta riguardante l’individuazione di eventuali criticità connesse all’uso dei cosiddetti big data e la definizione di un quadro di regole in grado di promuovere e tutelare la protezione dei dati personali, la concorrenza dei mercati dell’economia digitale, la tutela del consumatore, nonché i profili di promozione del pluralismo nell’ecosistema digitale.

Li chiamano Big data e, come suggerisce il nome, si tratta di una gigantesca raccolta di dati così estesa in termini di volume, velocità e varietà da richiedere tecnologie e metodi analitici specifici per l’estrazione di valore. Sono informazioni variegate che possono provenire da fonti eterogenee, non soltanto database, ma anche dati non strutturati, come immagini, email, coordinate GPS, informazioni prese dai social network.La mole di dati di cui si parla è dell’ordine degli Zettabyte, ovvero miliardi di Terabyte. Il loro trattamento richiede una potenza di calcolo parallelo e massivo con strumenti dedicati eseguiti su una moltitudine di server che lavorano in contemporanea.

I risultati delle analisi di big data hanno un alto valore economico e rappresentano un notevole patrimonio informativo. La raccolta delle informazioni e la loro gestione rivestono un ruolo strategico per le imprese, in particolare per le piattaforme online che fornendo servizi gratuiti ricorrono sempre più spesso alle informazioni a carattere personale con l’obiettivo di creare nuove forme di valore.

L’utilizzo di queste informazioni comporta tuttavia rischi per la tutela della riservatezza delle persone anche nel caso la raccolta non comprenda dati personali dal momento che, grazie alle nuove tecnologie e alle tecniche di analisi, risulta possibile “re-identificare” un individuo attraverso l’elaborazione ed interconnessione di informazioni apparentemente anonime. La potenzialità dei big data può quindi tradursi in profilazioni sempre più puntuali ed analitiche, con il rischio di nuove forme di discriminazione per le persone e, più in generale, di possibili restrizioni delle libertà.

Dato il significativo e crescente ruolo svolto dai big data sulla concorrenza dei mercati e sul pluralismo dell’informazione, le Autorità intendono analizzare se, e al ricorrere di quali condizioni, i big data possano tradursi in barriere all’entrata nei mercati o favorire comportamenti restrittivi della concorrenza tali da ostacolare lo sviluppo e il progresso tecnologico nonché ledere il diritto alla protezione dei dati delle persone coinvolte. L’analisi si concentrerà sull’impatto delle piattaforme e dei relativi algoritmi sulle dinamiche competitive nei mercati digitali, sulla tutela della privacy e della capacità di scelta dei consumatori e sulla promozione del pluralismo informativo. Ciò anche al fine di verificare gli effetti sull’ecosistema digitale dell’aggregazione di informazioni e dell’accessibilità ai big data ottenuti attraverso forme non negoziate di profilazione dell’utenza.

La delibera AGCM dell’avvio dell’indagine è consultabile QUI.

La Guida traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa in materia di protezione dei dati personali.

Il Regolamento UE 2016/679, già in vigore dal 24 maggio 2016, sarà pienamente efficace dal 25 maggio 2018. La Guida vuole essere un primo “strumento” di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy e vuole contribuire a diffondere la consapevolezza sulle garanzie rafforzate e sui nuovi diritti che il Regolamento riconosce alle persone.

Il testo della Guida è articolato in 6 sezioni che illustrano in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali, aggiungendo raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento. Il testo potrà subire modifiche e integrazioni, allo scopo di offrire sempre nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.

La guida è disponibile sul sito del Garante in formato ipertestuale navigabile.