Con ordinanza-ingiunzione del 15 gennaio 2020 l’Autorità Garante per la protezione dei dati personali ha inflitto ad un ente locale pugliese una sanzione di 10.000 euro per illecito trattamento di dati personali, consistente nella pubblicazione nell’albo pretorio online di un provvedimento amministrativo contenente dati relativi alla condizione di salute dell’interessato.
Si tratta di uno dei primi provvedimenti con il quale il Garante ha sanzionato un ente locale per violazione delle disposizioni in materia di trattamento dei dati personali.
In particolare, oggetto della pubblicazione era una determinazione dirigenziale con la quale era stata disposta la liquidazione delle spese legali per un procedimento giudiziario in cui era stato parte l’ente locale e nella parte motiva risultavano riportati anche dati e informazioni personali dell’interessato, con dettagliati riferimenti alle relative infermità per cause di servizio.
Il Garante ha ritenuto che la pubblicazione del provvedimento costituisse una illecita diffusione di dati personali relativi alla salute dell’interessato, effettuata in violazione del principio di minimizzazione, poiché il provvedimento conteneva dati personali non strettamente necessari alle finalità del provvedimento e in violazione del principio di limitazione del trattamento, essendo la delibera rimasta pubblicata oltre il periodo di pubblicazione previsto dalla legge.
Il 29 luglio 2019 è stata pubblicata la sentenza della Corte di Giustizia nel caso Fashion ID GmbH & co. KG (C-40/2017) relativa all’interpretazione della direttiva 95/46/CE sulla protezione dei dati personali.
La Corte, in particolare, è stata chiamata a pronunciarsi sulla qualificazione da attribuire al gestore di un sito web che abbia incorporato nelle proprie pagine un plugin di terze parti (nel caso di specie: il pulsante Like di Facebook) che raccolga e comunichi i dati personali dei visitatori allo sviluppatore del componente.
La questione era stata sollevata nell’ambito di un’azione promossa da una associazione di consumatori tedesca volta a far accertare l’abusività della condotta tenuta dalla società Fashion ID, la quale aveva implementato sul proprio sito il plugin di Facebook per l’inclusione del pulsante “Mi Piace”. Tale componente trasmetteva a Facebook i dati personali degli utenti che visitavano il sito web, senza acquisire il consenso né informare gli interessati sull’esistenza del trattamento e sulle sue finalità.
Nell’ipotesi di uscita dall’Unione europea in assenza di un accordo (c.d. No-Deal Brexit), il Regno Unito diverrà a tutti gli effetti un Paese Terzo a decorrere dalle ore 00:00 CET del 30 marzo 2019. In previsione di tale scenario, il Comitato Europeo per la Protezione dei Dati (European Data Protection Board, EDPB) ha pubblicato le linee guida a cui devono attenersi i titolari ed i responsabili dei trattamenti che intendano trasferire dati personali nel Regno Unito in conformità al Regolamento (UE) 2016/679 GDPR.
E' stato pubblicato nella Gazzetta Ufficiale n. 205 del 4 settembre il D.Lgs. n. 101/2018 di adeguamento del D.Lgs. 196/2003 (Codice Privacy) al Regolamento (UE) 2016/679 GDPR. Il nuovo Decreto entrerà in vigore dal 19 settembre 2018 ed apporterà modifiche puntuali al Codice Privacy che, dunque, non viene abrogato.
La raccolta, la registrazione, la conservazione e, in generale, l’utilizzo di immagini di persone fisiche identificate o identificabili configura un trattamento di dati personali ai sensi dall’art. 4, par. 1 n. 1 del Regolamento dell’Unione europea n. 2016/679 General Data Protection Regulation (GDPR) e dell’art. 4, comma 1, lett. b) del Decreto Legislativo n. 196/2003 (Codice della Privacy). Per conformarsi alla normativa a tutela dei dati personali, gli impianti di videosorveglianza devono essere installati in conformità all’art. 4 dello Statuto dei lavoratori, il cui rispetto costituisce il presupposto di liceità del trattamento dei dati acquisiti mediante tali impianti.
Il 10 luglio l'Autorità Garante per la protezione dei dati personali ha presentato la Relazione sull'attività svolta nel 2017. La Relazione illustra i diversi fronti sui quali è stata impegnata l'Autorità, fa il punto sullo stato di attuazione della legislazione in materia di protezione dei dati, anche alla luce del nuovo Regolamento Ue 2016/679 GDPR, e indica le prospettive di azione verso le quali intende muoversi il Garante.
GDPR, cybersecurity e nuovi obblighi in materia di sicurezza delle reti: a questi temi è dedicato il nuovo numero 2/2018 dei Quaderni AiFos - Associazione Italiana Formatori ed Operatori della Sicurezza sul lavoro. Tra i contributi inclusi nella pubblicazione, anche l'approfondimento di Sara Gobbato sui nuovi obblighi in materia di sicurezza derivanti per le imprese dall'implementazione in Italia della Direttiva NIS - Network and Information Systems.
Riportiamo l'intervento dell'Avv. Antonella Lillo, apparso su Il Gazzettino in occasione del 25 maggio, data a partire della quale è diventato pienamente applicabile sull’intero territorio dell’Unione europea il Regolamento (UE) 2016/679, General Data Protection Regulation (GDPR).
Sul sito del Parlamento italiano è stato pubblicato il testo dello Schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
On 21 March the Italian Government passed a preliminary proposal for a legislative decree aimed at updating the national legal framework in accordance with the GDPR (Regulation (EU) 2016/679). In force since 2016, the GDPR will become binding in its entirety and directly applicable in all Member States from 25 May 2018. By this deadline, Member States are requested to adopt “complementary” national provisions ensuring the consistency of the internal legal systems with the new EU rules.