Categoria: Trattamento di dati personali

Pubblicato il

Covid e protezione dei dati personali: quali diritti puoi far valere

Una domanda che viene frequentemente posta è la seguente: “Mi sono sottoposto a tampone diagnostico per rilevare possibile infezione da Covid-19 o a test sierologico ma non ho ancora ricevuto il risultato. Come mi tutela la normativa?

Il quesito appare legato a una non sempre ottimale organizzazione a livello istituzionale delle attività di contrasto al coronavirus (Sars-CoV-2) e di gestione dei correlati test sanitari.

Ad esempio, ha avuto risonanza giornalistica il caso dei turisti rimasti bloccati per alcuni giorni nel resort Santo Stefano in Sardegna, in seguito all’emersione di un focolaio virale. Ebbene, nonostante il passaggio di un significativo lasso di tempo dall’effettuazione dei tamponi, alcuni turisti lamentano di non avere ancora ricevuto il risultato delle analisi.

Indicano anche che una sintesi degli esiti sarebbe stata invece comunicata dalle Autorità (secondo modalità e basi giuridiche tutte da verificare) ai titolari della struttura in cui hanno alloggiato.

Il caso del resort sardo rappresenta del resto solo un campione di una più vasta situazione di inefficienze che emerge “a macchia di leopardo” sul territorio nazionale ed è stata oggetto di segnalazioni o di servizi giornalistici.

Si ravvisa in definitiva un’esigenza fortemente avvertita da chi si è sottoposto a esami diagnostici di riappropriarsi del controllo delle proprie informazioni sanitarie, ossia di acquisire senza ritardo, in maniera completa e trasparente gli esiti di tamponi e degli esami sierologici, così come, parallelamente, di comprendere l’esatto ambito di circolazione delle informazioni che lo riguardano.

Da un lato, infatti, ritardi nella comunicazione degli esiti possono determinare gravi situazioni di frizione sociale e notevoli limitazioni nella libertà personale, costringendo chi è in attesa dei risultati o a periodi di quarantena che potrebbero non essere necessari o, in difetto, a esporre terzi a rischio. Dall’altro lato, la comunicazione illegittima dei risultati dei test o perfino la diffusione dei loro esiti può esporre il paziente a discriminazione, a stigma sociale, a danni lavorativi.

La legittima richiesta di rientrare nel pieno controllo delle informazioni che ci riguardano, tanto più quelle di carattere medico, è ben tutelata normativamente dal Reg. (UE) 2016/679, cd. “GDPR”, sulla protezione dei dati personali.

Si può aggiungere al quadro appena delineato che esiste anche un interesse pienamente tutelato di conoscere la sorte delle proprie autocertificazioni eventualmente consegnate alle Autorità durante il periodo di lockdown. Di conoscere, più esattamente, se i dati ivi contenuti siano stati effettivamente cancellati o, viceversa, le ragioni per cui vengano tuttora trattati.

Non è un punto da sottovalutare: le autocertificazioni presentano infatti un ricco campione di dati personali, anche di natura relazionale, e inoltre, proprio in quanto autocertificazioni, costituiscono fonte di responsabilità giuridica. È del tutto comprensibile perciò pretendere di capire che genere di gestione abbiano avuto.

La normativa sulla protezione dei dati personali costituisce, come si è detto, il principale e più efficace strumento giuridico per far valere i tuoi diritti e pretendere e ottenere informazioni precise e chiare sia sul contenuto completo degli esami sia sulla circolazione dei relativi esiti sia sulla gestione delle autocertificazioni rilasciate durante il lockdown.

Si tratta di tuoi diritti fondamentali, e possiamo aiutarti a esercitarli. Nel caso di violazioni che abbiano determinato un danno hai altresì titolo a ottenere risarcimento.

Diritto digitale

Diritto digitale

Il diritto digitale e in particolare la protezione dei dati personali/ privacy è la nostra principale competenza.
Perché affidarti a noi? Perché non siamo semplici consulenti, siamo avvocati.
Il diritto digitale poggia infatti su una solida base di diritto civile, amministrativo, penale, richiede la conoscenza delle fonti e della loro gerarchia, richiede non la semplice raccolta dei precedenti ma la loro analisi critica, richiede l’individuazione di soluzioni non scontate, out-of-the-box, e per questo hai bisogno di avvocati.
Devi inoltre prevedere quali saranno le possibili conseguenze in caso di contenzioso avanti al Garante o al Giudice ordinario: per questo hai bisogno di un legale esperto anche in litigation, non soltanto in stragiudiziale.

I nostri SERVIZI, per aree

Clicca qui sotto per scoprire la nostra offerta:

  • Analisi dei rischi
  • Individuazione e revisione dei flussi
  • Allocazione dei ruoli attivi di trattamento
  • Mappatura finalità, basi, tempi di conservazione
  • Censimento categorie di interessati e di dati personali
  • Data protection by design e by default
  • Revisione e assistenza sulla governance dei dati
  • Assistenza sulla sicurezza informatica
  • Pareri e assistenza in iniziative imprenditoriali (es., lancio di piattaforme, app, servizi IoT)
  • Data Protection Gap Analysis
  • Assistenza sui registri del trattamento (art. 30 GDPR)
  • Assistenza su DPIA (art. 35 GDPR)
  • Assistenza su consultazione preventiva (art. 36 GDPR)
  • Assistenza su policy e registro data breach (artt. 24 e 33 GDPR)
  • Interventi di emergenza in materia di data breach (artt. 33 – 34GDPR)
  • Impostazione di policy aziendali e disciplinari interni (es. policy su utilizzo posta elettronica e Internet)
  • Redazione di contratti con i responsabili (art. 28 GDPR)
  • Redazione di accordi tra contitolari (art. 26 GDPR)
  • Formulazione di istruzioni agli autorizzati (art. 29 GDPR)
  • Informative estese e semplificate (artt. 13 – 14 GDPR)
  • Assistenza su trasferimento extra UE/SEE di dati (Capo V GDPR)
  • Pacchetto revisione sito Internet (inclusi cookie)
  • Assistenza su marketing e protezione dati
  • Assistenza su videosorveglianza e protezione dati
  • Protezione dei dati personali nella sanità

  • Impugnazione di ordinanze-ingiunzioni del Garante per la protezione dei dati personali
  • Impugnazione di altri provvedimenti del Garante
  • Segnalazioni e reclami al Garante
  • Ricorsi civilistici per violazione dei dati personali e/o risarcimento del danno
  • Diffamazione on-line
  • Accesso abusivo a sistema informatico
  • Frode informatica
  • Furto d’identità (e sottostanti fattispecie incriminatrici)
  • Phishing (e sottostanti fattispecie incriminatrici)
  • Reati previsti dal Codice privacy
  • Predisposizione di pacchetti all-in-one, che integrano 231/ GDPR/ Codice della proprietà industriale
  • Redazione/ revisione di condizioni generali e di EULA per piattaforme, app, ecc.
  • Responsabilità dell’Internet service provider (ISP)
  • Nomi a dominio, incluso arbitrato WIPO
  • E-commerce e marketing
  • Tutela del software e della proprietà intellettuale
  • Verifica conformità siti alla normativa vigente

Di che cosa hai bisogno?

Abbiamo creato delle FAQ navigabili, per permetterti di individuare facilmente la soluzione adatta alla tua esigenza:

Ecco alcuni esempi:

  • Qualcuno detiene informazioni sul tuo conto e tu desideri comprendere quali (es. valutazioni presso un datore di lavoro/ indice di affidabilità creditizia presso una società)
  • Nella ricerca su Internet il tuo nome è associato a risultati negativi e desideri cancellarli
  • Un prodotto sanitario destinato a te è stato consegnato ad altri
  • La mail aziendale con il tuo nome risulta ancora attiva dopo la cessazione del contratto
  • Sul sito Internet del tuo comune hanno pubblicato dati sulla tua salute
  • Ti è pervenuta dalla banca/ dalla società di telefonia/ dalla compagnia aerea/ dal datore di lavoro/ ecc. la comunicazione che i tuoi dati sono stati acceduti da terzi o che la tua password è stata compromessa (data breach)
  • un’app ti geolocalizza indebitamente o sei indebitamente tracciato (es. da un software aziendale/ istituzionale)
  • Ricevi fatturazioni inspiegabilmente associate al tuo nome e intendi chiarire di che si tratta
  • La tua immagine è utilizzata indebitamente da terzi
  • La tua busta paga è stata comunicata a terzi
  • Ti viene richiesto un numero irragionevole di informazioni nell’adesione a un servizio o per il recupero di una password
  • Ricevi telefonate indesiderate di marketing
  • Sei inquadrato indebitamente da videocamere
  • Sei vittima di furto d’identità
  • Sei vittima di diffamazione online
  • Hai già provato a chiedere chiarimenti o ad opporti senza ottenere riscontro od ottenendo un diniego
  • Desideri fare reclamo presso il Garante oppure agire in giudizio

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Ecco alcune situazioni in cui possiamo aiutarti:

  • La comunicazione indebita o l’accesso indebito a informazioni sul tuo conto hanno determinato il tuo licenziamento
  • La diffusione di informazioni sul tuo conto ti ha discriminato o ha impedito l’accesso a un servizio
  • L’accesso indebito a tue informazioni ti ha posto in una situazione di profondo stress e sofferenza
  • Le informazioni associate su Internet al tuo nome ti precludono occasioni lavorative/ contrattuali
  • L’associazione indebita di fatture/ debiti al tuo nome ti ha provocato un danno economico
  • L’accesso di terzi al tuo conto bancario ti ha provocato una perdita
  • Attività online di terzi hanno pregiudicato la tua reputazione/ il controllo dei tuoi dati, provocandoti pregiudizio
  • Hai perso il controllo dei tuoi dati

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Ecco alcune situazioni in cui possiamo aiutarti:

  • Hai diffuso su social immagini, numeri di telefono, informazioni sulla salute di terzi (o altre informazioni)
  • Hai espresso apprezzamenti diffamatori su terzi nei social
  • Il tuo impianto di videosorveglianza riprende aree non di tua esclusiva proprietà
  • Ti è stata contestata la violazione della privacy altrui e desideri difenderti

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Lavoriamo sulla qualità. Ecco che cosa possiamo offrirti:

  • Completezza normativa: profonda e comprovata conoscenza del GDPR, della direttiva e-Privacy, del Codice privacy e della normativa secondaria italiana
  • Approccio europeo: integrazione con le opinioni, documenti di lavoro, decisioni, linee guida europee WP29/ EDPB/ EDPS
  • Expertise Garante: conoscenza estesa dello storico di provvedimenti e linee guida del Garante
  • ENISA: applicazione dei modelli ENISA
  • Integrazione trasversale con altri settori del diritto (es., salute e sicurezza sul lavoro, modelli 231, trasparenza amministrativa, ecc.)
  • Giurisprudenza europea: oltre alla giurisprudenza nazionale, teniamo conto delle principali pronunce della Corte di Giustizia UE e della Corte EDU
  • Expertise DPA europee: conoscenza dei principali documenti delle Autorità nazionali di controllo europee, in particolare CNIL/ AEPD /ICO
  • Modello di lavoro per processi

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Scopri come lavoriamo e i nostri punti di forza:

  • Per le fonti utilizzate e l’expertise, ved. voce precedente “Hai bisogno di un consulente privacy/ DPO
  • Obiettivo accountability: la compliance non è forma, è sostanza. Lavoriamo a integrare effettivamente la privacy nel normale ciclo operativo (accountability)
  • Approccio non-disruptive: cerchiamo con il Cliente la strada più semplice e meno impattante sul suo modo di lavorare
  • Metodo: svolgiamo sempre una due diligence/ gap analysis, calibrata sulla tua struttura
  • Elaboriamo una roadmap degli interventi
  • Ti accompagniamo nell’individuazione dei punti più critici e delle priorità
  • Approccio circolare, non lineare: torniamo sui temi principali ciclicamente, per assicurarci la loro integrazione effettiva nella struttura
  • Lavoriamo sull’accountability e sulla sensibilizzazione alla normativa dei soggetti apicali
  • Intervento modulare: possiamo limitare, su richiesta, il nostro intervento a settori specifici o anche solo limitarlo a un “tagliando privacy”, ossia un audit sull’esistente
  • Modalità sartoriale: nel rispetto del budget del Cliente, non siamo legati a modelli fissi, ma costruiamo la compliance sulla struttura effettiva del Cliente

Possiamo aiutarti su questo e molto altro. Possiamo offrirti consulenza, promuovere un procedimento, assisterti e rappresentarti nella difesa. Contattaci per un preventivo gratuito

Perché sceglierci:

  • Trasparenza: discutiamo e spieghiamo la strategia di difesa ai nostri Assistiti
  • Conoscenza delle fonti e dei precedenti: abbiamo una estesa conoscenza dell’articolazione delle fonti e dei precedenti, non solo italiani
  • Analisi critica dei provvedimenti impugnati: ogni caso è diverso da un altro, scomponiamo la linea logica del provvedimento da impugnare per evidenziarne i punti deboli
  • Chiarezza nel preventivo: i nostri preventivi sono dettagliati e non riservano sorprese
  • Due diligence preliminare: svolgiamo sempre una due diligence sulla vicenda, volta a evidenziare le chance di successo
  • Facilità comunicativa: comunicare direttamente con ruoli senior è semplice, crediamo nel rapporto diretto Avvocato-Assistito
  • Garanzia di riservatezza sull’attività svolta

Contattaci per un preventivo gratuito.

Nostri punti di forza:

  • Per il metodo di lavoro, ved. voce precedente “Vuoi impugnare un’ordinanza-ingiunzione”
  • Creiamo una squadra di lavoro: in particolare, sui profili tecnici e di forensics ci coordiniamo con una struttura rinomata nel mercato

Contattaci per un preventivo gratuito.

Scopri i vantaggi di una soluzione integrata:

  • Approccio integrato: ci coordiniamo con una rete di altri professionisti di fiducia per offrire pacchetti integrati 231/GDPR/Codice della protezione industriale
  • Vantaggi dell’approccio integrato: risparmio complessivo, coerenza tra processi interconnessi, semplificazione complessiva, pacchetto all-in-one
  • Chiarezza nel preventivo
  • Roadmap della tempistica
  • Facilità di comunicazione diretta con i professionisti che ti seguono
  • Garanzia di riservatezza/ NDA

Contattaci per maggiori informazioni e per un preventivo gratuito.

I servizi che possiamo fornirti:

  • Realizziamo condizioni generali/ EULA
  • Redigiamo informativa e mettiamo a norma la parte consumeristica
  • Ci occupiamo dei cookie
  • Applichiamo tecniche di privacy-by-design e by-default
  • Ti assistiamo nella DPIA, ove ne sussistano le condizioni (valutiamo anche questo)

Contattaci per un preventivo gratuito.

Pubblicato il

Applicazioni di tracciamento anti-Covid19 e data protection

Dal mese di marzo 2020, si è aperto anche in Italia un acceso dibattito sull’architettura, sulle garanzie e sui requisiti che le app di tracciamento dei contagi devono soddisfare.

Il nostro studio legale ha partecipato attivamente all’individuazione dei profili giuridici. Ci piace fornirne una sintesi, ritenendola di interesse.

La lettera aperta del 25 marzo

Il 25 marzo scorso, in particolare, abbiamo indirizzato a vari soggetti istituzionali una lettera aperta, scritta assieme al collega Andrea Lisi, alla quale hanno aderito primari colleghi ed esperti della materia.

In quell’occasione abbiamo evidenziato come fosse necessario distinguere tra una finalità di ricostruzione dei contatti (contact-tracing) e una finalità repressiva di sorveglianza della quarantena.

Abbiamo anche evidenziato che il raggiungimento degli obiettivi di ricostruzione dei contatti dipendono dalla disponibilità immediata di tamponi. Dunque l’analisi privacy non può essere disgiunta dal programma di diagnosi, e quest’ultimo dovrebbe entrare nella valutazione d’impatto (DPIA).

Si rimanda, per maggiori approfondimenti, al testo della lettera (qui il pdf dal sito di Anorc).

Il Garante per la protezione dei dati personali, gentilmente rispondendoci nella persona del presidente Soro, ha sostanzialmente confermato la correttezza di entrambi questi punti fondamentali, pur non giungendo a pronunciarsi espressamente in merito alla DPIA.

Dieci domande (senza risposta) al Ministro

Il 17 aprile 2020, abbiamo rivolto pubblicamente dieci domande al Ministro per l’innovazione digitale, a firma congiunta dell’avv. Pelino e del collega Fulvio Sanzana di Sant’Ippolito (con un contributo di Roberto Scano).

La richiesta è stata gentilmente ospitata da una testata di primo piano, Agenda Digitale, ed è leggibile qui.

Tra le richieste, figura quella di avere informazioni sulla DPIA, sulla pseudonimizzazione, sulle categorie di dati personali trattati, sulla loro circolazione, sull’interazione con la piattaforma progettata da Google ed Apple.

Sono domande essenziali, che, sfortunatamente, attendono ancora una risposta istituzionale. La valutazione d’impatto, per esempio, deve ritenersi obbligatoria, dal momento che ricorrono ben cinque delle condizioni esaminate nelle linee guida europee dell’EDPB/WP29. Ne sarebbero sufficienti due.

È appena il caso di notare che la DPIA dovrebbe precedere la progettazione e certamente l’implementazione di un’applicazione di tracciamento. Le linee guida richiamate indicano espressamente: “La valutazione d’impatto sulla protezione dei dati va avviata il prima possibile nella fase di progettazione del trattamento anche se alcune delle operazioni di trattamento non sono ancora note”.

Non solo. Le recentessime linee guida n. 4/2020 dell’EDPB ribadiscono come “debba essere effettuata una valutazione d’impatto [DPIA] sulla protezione dei dati prima di implementare le app in questione”.

Ad oggi non abbiamo alcuna notizia sul rispetto di questo fondamentale adempimento, che, lungi dall’essere un esercizio di forma, costituisce il momento in cui si disegna l’architettura del trattamento. Con una metafora: è come cominciare a edificare una casa senza avere fatto il progetto.

Una nuova lettera aperta

Il 25 aprile 2020, l’avv. Enrico Pelino ha sottoscritto, con i colleghi Andrea Lisi e Fulvio Sarzana di Sant’Ippolito, un’ulteriore lettera al Ministro per l’innovazione tecnologica e la digitalizzazione, chiedendo trasparenza.

Qui la notizia, mentre il pdf della lettera può essere scaricato da questa pagina.

Trasparenza su che cosa? Sulle procedure di selezione dell’applicazione, sui verbali della task force (al momento non accessibili, se non per esiguo estratto), sul contratto con il fornitore (idem), sulla DPIA (ancora), sui flussi di dati personali, sulle categorie degli stessi, sulla pseudonimizzazione.

Abbiamo cioè chiesto di trasformare quella che oggi è a tutti gli effetti una black box in una scatola di cristallo. Non si può chiedere fiducia ai cittadini e invitarli a utilizzare un’applicazione sulla quale si addensa il più fitto mistero istituzionale. Chi domanda fiducia deve insomma fornire trasparenza: prima ancora che un obbligo giuridico, questo è un imperativo istituzionale.

Ad oggi la lettera aperta, nonostante abbia ricevuto amplissima adesione da parte di esperti e studiosi di primissimo livello, tra i quali l’ex presidente del Garante per la protezione dei dati personali, prof. Pizzetti, non ha meritato alcuna risposta.

Vi terremo aggiornati sugli sviluppi.

Pubblicato il

Data breach e privacy-by-design

Che cos'è la privacy-by-design e come si inserisce virtuosamente nel complesso tema della prevenzione di un (personal) data breach?

I due argomenti evocati sono entrambi attualissimi e destinati ad avere uno sviluppo ancora più intenso nell'immediato futuro: soprattutto il primo, oggi ancora poco esplorato, che schiude anche notevoli prospettive lavorative.

Ne ho parlato come relatore su invito di Anorc Professioni il 6 giugno scorso allo SMAU di Bologna, edizione R2B - Reasearch to Business. Di seguito una breve sintesi del mio intervento.

Leggi tutto "

Data breach e privacy-by-design

"
Pubblicato il

È lecita la videosorveglianza segreta da parte di un comune?

Ci è stata posta questa domanda a proposito di recenti notizie di stampa relative a un comune del bolognese, Anzola dell’Emilia. La vicenda tocca evidenti profili privacy di interesse generale che trascendono l'episodio specifico. Riteniamo perciò utile pubblicare la nostra valutazione.

Leggi tutto "

È lecita la videosorveglianza segreta da parte di un comune?

"
Pubblicato il

DPIA: pubblicate le linee guida europee

Il 4 aprile 2017 sono state finalmente rese disponibili, in una prima versione, le linee guida sul data protection impact assessment (DPIA), ossia la “valutazione d’impatto sulla protezione dei dati” prevista dal Regolamento UE n. 2016/679.

Il documento era particolarmente atteso, vista la centralità del tema e la complessa attività organizzativa e d’investimento che la valutazione d’impatto richiede.

Qui di seguito si propone una breve sintesi per punti delle indicazioni di maggior interesse, secondo l’apprezzamento dello scrivente. Leggi tutto

DPIA: pubblicate le linee guida europee

Pubblicato il

Dati sensibili: il contrasto giurisprudenziale rimesso alle Sezioni Unite

Con due ordinanze gemelle, le nn. 3455 e 3456 del 9 febbraio 2017, la Cassazione ha disposto la trasmissione degli atti al Primo Presidente della Corte al fine di demandare alle Sezioni Unite un insanabile contrasto registratosi sulla definizione delle nozioni di trattamento e comunicazione dei dati sensibili nonché sulle loro modalità.

Le ordinanze, nel disporre la rimessione, ripercorrono le posizioni espresse dal Supremo collegio in particolare nella ben nota sentenza del 20 maggio 2015, n. 10280. Leggi tutto

Dati sensibili: il contrasto giurisprudenziale rimesso alle Sezioni Unite