Audizione in Senato dell’avv. Pelino

Il nostro partner avv. Enrico Pelino è stato invitato il 3 novembre 2021 alle audizioni sui profili privacy del DL “Capienze”, DL 139/2021, in occasione della conversione in legge (DDL 2409 di conversione).

In collegamento streaming con la Commissione Affari Costituzionali del Senato, l’avvocato si è concentrato sulle modifiche agli articoli 2-ter e 2-quinquiesdecies codice privacy apportate dal citato decreto legge.

Guarda l’intervento integrale:

In particolare, l’avv. Pelino ha evidenziato come gli interventi normativi comportino l’eliminazione di importanti strumenti di controllo preventivo del Garante sulle pubbliche amministrazioni, schiudendo la strada a liberi quanto pericolosi esperimenti sulla privacy dei cittadini. Gli effetti potranno ben difficilmente essere corretti in fase di controllo successivo.

Occorre considerare che al momento molte amministrazioni, anche di livello apicale, difettano addirittura di informative corrette, talvolta non hanno indicato il DPO e non hanno svolto nessun apprezzabile investimento in materia di cultura della privacy. Come possiamo attenderci realisticamente ora che procedano a corretti test di necessità, coinvolgendo il DPO?

In uno scenario come questo, perdere il “tutoraggio” dell’Autorità garante non si traduce né in guadagno di efficienza né in investimento per il futuro.

In un mondo che ruota sui dati, sottovalutare il rilievo strategico di una normativa dedicata proprio alla governance dei dati vuol dire condannarsi a un ruolo passivo, non attivo. A un ruolo, cioè, di potenziale colonia digitale per lo sfruttamento di informazioni da parte di terzi, che potranno trarre vantaggio dalle debolezze applicative.

Necessità di interventi tecnici

Nell’audizione l’avv. Pelino ha evidenziato l’utilità di alcuni interventi tecnici sull’art. 2-ter codice privacy (d.lgs. 196/03). Innanzitutto, occorre assicurare pari trattamento dei soggetti privati rispetto ai soggetti pubblici, costruito per entrambi su una corretta presa d’atto dell’applicazione del considerando 41 GDPR.

In secondo luogo, vanno apportate alcune correzioni lessicali al nuovo comma 1-bis al fine di scongiurare violazioni del GDPR, anziché l’adeguamento auspicato. Ad esempio, la finalità deve essere non semplicemente coerente con l’interesse pubblico ma necessaria allo stesso.

Continuando l’approfondimento sui soggetti pubblici, occorre infine attenersi a un criterio di proporzionalità, che è strutturale al GDPR e più in generale al diritto eurounitario e nazionale. Proporzionalità vuol dire applicare misure crescenti a un rischio crescente.

Le ipotesi oggi oggettivamente a rischio maggiore, quali la comunicazione tra amministrazioni di cui al comma secondo dovrebbero continuare a essere pertanto precedute, a nostra opinione, da un momento di verifica condotto dal Garante per la protezione dei dati personali. Tale intervento andrebbe quantomeno esteso alla diffusione o la comunicazione a privati di cui al comma terzo.

Ad uso del lettore: la formulazione dei commi 2 e 3 dell’art. 2-ter è oggi (anche dopo la novella del DL 139/21) particolarmente infelice poiché riunisce le due basi di cui alle lettere c) ed e) dell’art. 6.1 GDPR. È inoltre asimmetrica e mal riuscita nell’intento di includere anche i privati, pur mantenendo la struttura dell’abrogato art. 19 d.lgs. 196/03. Il presente articolo rappresenta perciò una sintesi e una semplificazione di questioni più complesse.

Data breach e privacy-by-design

Che cos’è la privacy-by-design e come si inserisce virtuosamente nel complesso tema della prevenzione di un (personal) data breach?

I due argomenti evocati sono entrambi attualissimi e destinati ad avere uno sviluppo ancora più intenso nell’immediato futuro: soprattutto il primo, oggi ancora poco esplorato, che schiude anche notevoli prospettive lavorative.

Ne ho parlato come relatore su invito di Anorc Professioni il 6 giugno scorso allo SMAU di Bologna, edizione R2B – Reasearch to Business. Di seguito una breve sintesi del mio intervento.

Leggi tutto

Data breach e privacy-by-design

Telecomunicazioni: esteso data breach accertato dal Garante. Migliaia di linee telefoniche intestate a persone ignare

Oltre 7.000 linee telefoniche abusivamente intestate a persone ignare. Almeno 644 interessati colpiti, cifra tuttavia destinata a «un significativo incremento». Un illecito cominciato addirittura nel 2003 o nel 2001, e tuttora in essere.

Queste sono le prime, e già imponenti, coordinate numeriche della gravissima violazione di dati personali (data breach), ancora in fase di perimetrazione, accertata con il provvedimento n. 176/2017 del 6 aprile scorso dal Garante per la protezione dei dati personali.

L’atto amministrativo, finalmente pubblicato anche sul sito dell’Autorità di controllo, è stato adottato nei confronti della società Telecom Italia s.p.a. ad esito di una complessa procedura di reclamo patrocinata dallo studio legale Grieco Pelino Avvocati, che ha assistito un proprio cliente rimasto vittima dell’illecito. Leggi tutto

Telecomunicazioni: esteso data breach accertato dal Garante. Migliaia di linee telefoniche intestate a persone ignare

Dati sensibili: il contrasto giurisprudenziale rimesso alle Sezioni Unite

Con due ordinanze gemelle, le nn. 3455 e 3456 del 9 febbraio 2017, la Cassazione ha disposto la trasmissione degli atti al Primo Presidente della Corte al fine di demandare alle Sezioni Unite un insanabile contrasto registratosi sulla definizione delle nozioni di trattamento e comunicazione dei dati sensibili nonché sulle loro modalità.

Le ordinanze, nel disporre la rimessione, ripercorrono le posizioni espresse dal Supremo collegio in particolare nella ben nota sentenza del 20 maggio 2015, n. 10280. Leggi tutto

Dati sensibili: il contrasto giurisprudenziale rimesso alle Sezioni Unite