Pubblicato il modello di report annuale dell’attività del DPO da consegnare alla direzione aziendale

La relazione annuale del DPO è utile a quest’ultimo per riferire sulle attività svolte al vertice gerarchico dell’azienda; allo stesso tempo consente al titolare del trattamento di dimostrare l’effettiva attenzione al tema della tutela dei dati personali.

Come realizzarla? Ecco il modello completo, in formato MS Word, editabile, 38 pagine

Diritto all’oblio anche per chi si riabilita

La permanenza in rete di notizie di cronaca giudiziaria non aggiornate può rappresentare un ostacolo al reinserimento sociale di una persona. Il diritto all’oblio va riconosciuto anche a chi è stato riabilitato dopo una condanna. Il principio è stato affermato dal Garante privacy, che ha ordinato a Google la rimozione di due Url che rimandavano ad informazioni giudiziarie non più rappresentative della attuale situazione di un imprenditore. L’interessato, dopo aver tentato di far deindicizzare le pagine direttamente a Google, si era rivolto all’Autorità lamentando il pregiudizio derivante alla propria reputazione personale e professionale dalla permanenza in rete di informazioni obsolete e non aggiornate. Per questo motivo aveva chiesto al Garante di ordinare a Google la rimozione dai risultati di ricerca di due Url, reperibili digitando il proprio nominativo, che contenevano informazioni su una vicenda giudiziaria che lo aveva visto coinvolto nel 2007 e sulla sentenza di condanna pronunciata nei suoi confronti nel 2010. Nelle pagine web però non vi era alcuna traccia della successiva riabilitazione che l’uomo aveva chiesto e ottenuto nel 2013.

Nel giudicare fondato il reclamo ed ordinare la deindicizzazione, l’Autorità ha ritenuto che l’ulteriore trattamento dei dati realizzato attraverso la persistente reperibilità in rete degli Url contestati – nonostante la riabilitazione e il tempo trascorso dal verificarsi dei fatti – determinasse un impatto sproporzionato sui diritti dell’interessato, che non risulta bilanciato da un attuale interesse del pubblico a conoscere la vicenda.

La persistenza in rete di tali informazioni giudiziarie non aggiornate, infatti, non è in linea con i principi alla base dell’istituto della riabilitazione, il quale, pur non estinguendo il reato, comporta il venir meno delle pene accessorie e di ogni altro effetto penale della condanna come misura premiale finalizzata al reinserimento sociale della persona.

 

Un manuale disponibile gratuitamente per i DPO dei soggetti pubblici

Sul sito del Garante per la protezione dei dati personali è stato pubblicato un manuale in lingua inglese per supportare i Responsabili della Protezione dei dati (RPD) dei soggetti pubblici nell’applicazione del Regolamento Ue 2016/679.

Il manuale delinea e illustra con esempi pratici il ruolo e gli specifici compiti del RPD operante in un soggetto pubblico, e contemporaneamente affronta e approfondisce temi generali come l’evoluzione normativa in tema di protezione dei dati e privacy, in ambito Ue e non solo; l’applicazione del principio di accountability; i diritti degli interessati; il trasferimento dei dati all’estero; i meccanismi di compliance previsti dal Regolamento.

Il testo, scaricabile gratuitamente su www.garanteprivacy.it/regolamentoue/formazione/t4data, è stato elaborato nell’ambito del progetto T4Data, ed è frutto di una collaborazione transnazionale che ha coinvolto esperti giuristi e funzionari delle autorità di controllo di diversi Paesi, tra cui il Garante italiano.

Con like su Facebook il gestore di un sito Internet diventa responsabile della raccolta e trasmissione dei dati

La  Corte Ue ha stabilito che il gestore di un sito internet in cui è possibile cliccare sull’icona «like» può essere ritenuto responsabile della raccolta e della trasmissione dei dati personali dei visitatori insieme con Facebook.

Leggi su www.alertprivacy.it

Gdpr: le prescrizioni del Garante per poter trattare categorie particolari di dati

Terminata la procedura di revisione alla luce del nuovo Regolamento europeo delle nove autorizzazioni generali rilasciate dal Garante privacy nel 2016 quando era in vigore la precedente normativa.  A conclusione della consultazione pubblica avviata lo scorso dicembre, l’Autorità ha adottato un provvedimento, in corso di pubblicazione sulla G.U., che contiene gli obblighi che dovranno essere rispettati da un numero elevato di soggetti, pubblici e privati, in diversi settori per poter trattare particolari categorie di dati personali, come quelli legati alla salute, alle opinioni politiche, all’etnia, all’orientamento sessuale. Le prescrizioni riguardano infatti il trattamento di queste categorie particolari di dati nei rapporti di lavoro; il trattamento degli stessi dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose, cosi come da parte degli investigatori privati; nonché il trattamento dei dati genetici e il trattamento effettuato per scopi di ricerca scientifica.

Il provvedimento, adottato in base al decreto legislativo n.101 del 2018 che ha adeguato la normativa nazionale al Regolamento Ue, tiene conto dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione.

Nello stesso provvedimento l’Autorità ha precisato che l’autorizzazione generale sul trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici cessa di produrre i propri effetti non rientrando tra le situazioni di trattamento richiamate dell’art. 21 del dlgs. n.101/2018.

Viene chiarito, inoltre, che le autorizzazioni generali n. 2, 4 e 5 – riguardanti rispettivamente il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, il trattamento dei dati sensibili da parte dei liberi professionisti e il trattamento dei dati sensibili da parte di diverse categorie di titolari – cessano anche esse di produrre i propri effetti in quanto prive di specifiche prescrizioni.

 

 

Diritto all’oblio anche per i dati che rendono identificabile una persona

Il diritto all’oblio può essere invocato – in casi particolari – anche partendo da dati presenti sul web che non siano il nome e il cognome dell’interessato, nel caso in cui essi lo rendano comunque identificabile, anche in via indiretta.

E’ il principio che ha fissato il Garante decidendo sul reclamo di un professionista che aveva richiesto invano a Google la deindicizzazione di una Url che risultava reperibile on line digitando non il proprio nome, ma il riferimento alla sua qualifica di presidente di una determinata cooperativa.

La Url faceva riferimento ad una notizia non più attuale e non aggiornata, relativa ad un rinvio a giudizio avvenuto dieci anni prima, riguardo al quale era poi però intervenuta una sentenza definitiva di assoluzione. La permanenza in rete della notizia rappresentava, ad avviso dell’interessato, un gravissimo e irreparabile pregiudizio alla propria reputazione.

Alla richiesta dell’interessato di rimuovere l’Url contestata, Google aveva opposto rifiuto sostenendo che fosse inammissibile una richiesta di deindicizzazione per chiavi di ricerca che non includono il nome e il cognome di una persona fisica, sulla base di quelli che riteneva essere i principi fissati dalla Corte di Giustizia dell’Ue nella Sentenza “Google Spain”. L’interessato si era dunque rivolto al Garante, non senza aver prima tentato, anche qui invano, di far rimuovere la Url dal sito sul quale era stato pubblicato l’articolo.

Diversamente da Google, l’Autorità – in tale specifica circostanza – ha ritenuto fondata la richiesta del professionista. Il Garante – sulla base del Regolamento europeo che definisce dato personale “qualsiasi informazione riguardante una persona fisica indentificata o identificabile” ha concluso che l’Url che riportava la qualifica di Presidente di quella determinata cooperativa, si riferiva in maniera inequivocabile alla persona del reclamante – visto che quest’ultimo rivestiva quella carica da moltissimi anni, tanto da essere ormai, specie nell’ambito della realtà di riferimento, univocamente messo in correlazione con essa. Per altro verso, l’articolo contestato risultava risalente nel tempo e riguardava un procedimento penale che era stato poi definito con una sentenza di assoluzione. E, di conseguenza, ha sottolineato il Garante, il pregiudizio subito dall’interessato dalla reperibilità sul web della Url in questione non poteva ritenersi bilanciato da un interesse della collettività a conoscere informazioni che risultavano inesatte e non aggiornate alla luce degli sviluppi procedimentali avuti poi dalla vicenda.

Il Garante Privacy ha dunque ingiunto a Google di rimuovere l’Url e di comunicare entro trenta giorni dalla data di ricezione del provvedimento le iniziative intraprese per dare attuazione a quanto prescritto.