⚠CALL FOR TRAINEES⚠
Apply today and work in the field of GDPR litigation and enforcement: noyb.eu/en/traineeship
Any open questions? We asked Maria to tell you about her traineeship here at noyb.eu/@noybeu.rss:

mastodon.social/@noybeu/107921…

Intervista Arturo Di Corinto a Rainews24

ospite di Rainews24 per parlare dell’allarme lanciato dall’ACN di cui avevo scritto subito per La Repubblica

Nell’intervista abbiamo parlato della guerra cibernetica che complica il conflitto militare Russo-ucraino. Ecco perchè:

a) Tutti i giorni ci sono attacchi informatici verso l’Italia, ma stavolta volume, contesto e target sono particolari ed è bene parlarne.
b) è importante infatti secondo me sollecitare una maggiore riflessione su quello che sta accadendo a ogni livello sociale, dal reparto contabilità delle aziende, al front office degli ospedali;
c) alzare il livello di allerta è poi il motivo per cui Agenzia per la Cybersicurezza Nazionale ha diramato l’allarme che è arrivato ai media potenziandone il reach: lo scopo era la sensibilizzazione. E io ritengo che i media servano esattamente a questo, a creare #awareness e conoscenza;
d) l’allarme era TLP: amber e poi diventato white, quindi era giusto scriverne e parlarne.

Trasferimento dati in Russia e Ucraina

L’autorità norvegese per la protezione dei dati, Datatilsynet, ha esortato le organizzazioni a rivalutare le basi legali utilizzate per i trasferimenti di dati in Russia e Ucraina. La revisione è stata avviata da quella che il DPA ha ritenuto una “situazione modificata della politica di sicurezza” in relazione alla guerra in corso tra Russia e Ucraina. Datatilsynet ha affermato che ci sono potenzialmente diversi motivi per cui le organizzazioni norvegesi si trasferiscono in entrambi i paesi, inclusa “l'”esternalizzazione” dei servizi ai responsabili del trattamento dei dati”.

datatilsynet.no/aktuelt/aktuel…

Privacy e sicurezza per il trattamento dei big data nel settore finanziario

L’analisi dei big data nel settore finanziario di tutto il mondo è diventata sempre più cruciale per migliorare l’efficienza aziendale, ridurre i costi operativi e affrontare sfide aziendali di lunga data. Il termine big data è stato coniato all’inizio degli anni ’90 e, come suggerisce il nome, è “big”. Non solo in termini di dimensioni, ma anche in termini di velocità di generazione e diversità, motivo per cui gli algoritmi informatici tradizionali spesso non sono in grado di elaborare i big data con la stessa efficienza dei dati convenzionali.

iapp.org/news/a/privacy-and-se…

Ucraina: cronache dal fronte cyber

L’analisi di Carola Frediani prendendo spunto da uno dei tumultuosi canali e gruppi Telegram dell’IT Army che è stato messo in piedi dal governo ucraino per organizzare la controffensiva cyber e informativa contro la Russia. In questo specifico canale (56mila iscritti) dedicato ai DDoS, gli obiettivi da colpire si susseguono con quella metodicità enunciata nell’esempio (con riferimento ironico a Putin) all’inizio.

analisidifesa.it/2022/03/ucrai…

guidoscorza.it/privacy-daily-8…

The Russian regime is tightening internet and press censorship in the country. On Friday, a law to ban the spread of “fake news” was passed. Journalists, bloggers and media creators who, according to the Russian government, publish false information about the war and the Russian armed forces face heavy fines and up to 15 years in prison. Terms such as “invasion”, “attack”, “war” or “declaration of war” may no longer be freely used (Moscow calls the war a military “special operation”). In addition, the Russian media regulator is blocking more and more websites of international media, such as the website of Deutsche Welle and the BBC, as well as Facebook and Twitter. Following this massive restriction of freedom of the press and information, more and more Western media are stopping reporting from Moscow, including ARD and ZDF.

Member of the European Parliament Patrick Breyer (Pirate Party) comments:

“Putin is serving the same narrative as the EU, which banned the broadcasting of the Russian state channels Sputnik and RT/Russia Today last week. Curtailing the freedom of the press and the freedom to access information creates a dangerous dynamic. European censorship has given Putin an excuse to cut off his own citizens from the few remaining independent channels of information. Ursula von der Leyen seems to think our citizens are too stupid to see through propaganda and is using this as a pretext for unprecedented informational disenfranchisement. Censorship is the wrong answer. There is an urgent need to disarm in the information war and restore freedom of information.”

The German branch of the non-governmental organisation Reporters Without Borders has also criticised the European sanctions measure. The OSCE Representative on Freedom of the Media warned in 2015 that once censorship of foreign media is introduced during a war, it would never end.[2]

patrick-breyer.de/en/new-media…

The Russian regime is tightening internet and press censorship in the country. On Friday, a law to ban the spread of “fake news” was passed. Journalists, bloggers and media creators who, according to the Russian government, publish false information about the war and the Russian armed forces face heavy fines and up to 15 years in prison. Terms such as “invasion”, “attack”, “war” or “declaration of war” may no longer be freely used (Moscow calls the war a military “special operation”). In addition, the Russian media regulator is blocking more and more websites of international media, such as the website of Deutsche Welle and the BBC, as well as Facebook and Twitter. Following this massive restriction of freedom of the press and information, more and more Western media are stopping reporting from Moscow, including ARD and ZDF.

Member of the European Parliament Patrick Breyer (Pirate Party) comments:

“Putin is serving the same narrative as the EU, which banned the broadcasting of the Russian state channels Sputnik and RT/Russia Today last week. Curtailing the freedom of the press and the freedom to access information creates a dangerous dynamic. European censorship has given Putin an excuse to cut off his own citizens from the few remaining independent channels of information. Ursula von der Leyen seems to think our citizens are too stupid to see through propaganda and is using this as a pretext for unprecedented informational disenfranchisement. Censorship is the wrong answer. There is an urgent need to disarm in the information war and restore freedom of information.”

The German branch of the non-governmental organisation Reporters Without Borders has also criticised the European sanctions measure. The OSCE Representative on Freedom of the Media warned in 2015 that once censorship of foreign media is introduced during a war, it would never end.[2]

patrick-breyer.de/en/new-media…

Ciao,

Privacy Chronicles ha da poco compiuto 1 anno. Non è stato un anno facile, e tu che mi leggi lo sai bene. Tra green pass, identità digitale, CBDC, sistemi di social scoring e sorveglianza e censura di massa, il mondo sembra sempre più piccolo e pericoloso per chi vuole mantenere un briciolo di privacy e di libertà.

Gli ultimi eventi geopolitici ci hanno mostrato che la tecnologia è sempre più usata come arma contro le persone e/o contro nazioni intere. Ma noi non molliamo. Spero che sempre più persone capiranno l’importanza di parlare di questi temi e riuscire a deviare da questo presente e futuro distopico.

Per questo, vorrei migliorare la newsletter e fare un salto di qualità per raggiungere ancora più persone.

Chiedo anche il tuo aiuto, se vorrai dedicare 5 minuti per rispondere a questo breve sondaggio (è veramente breve).

Grazie, ci sentiamo presto!

privacychronicles.substack.com…

Grazie alla segnalazione dell'utente @software_libero_e_dintorni, abbiamo potuto riscontrare che il sito web del #GarantePrivacy italiano non è raggiungibile per chi dovesse connettersi con il browser che @The Tor Project ha messo a disposizione di tutti gli utenti sensibili alla #Privacy.

Riteniamo che si tratti di una circostanza spiacevole e non sappiamo perché sia avvenuta, ma siamo anche convinti che la responsabilità vada probabilmente attribuita al provider (il consorzio #CINECA) più che all'ente in questione.

Spesso infatti i fornitori di servizi hosting preferiscono "proteggersi" escludendo l'accesso dalla rete #TOR e questa "protezione" non viene comunicata in maniera chiara al cliente che quindi potrebbe non venire mai a sapere della questione.

Resta il fatto che sarebbe opportuno che la nostra Autorità Garante per la Protezione dei Dati Personali intervenga al più presto per consentire l'accesso al proprio sito per tutti gli utenti, a prescindere dal circuito dal quale si connettono.

Abbiamo informato piazza Venezia della questione e siamo in attesa di un riscontro per conoscere i tempi tecnici per ripristinare un accesso universale al loro sito.

Abbiamo infine approfittato per sondare la situazione tra gli altri garanti europei e, fortunatamente la maggioranza non inibisce gli utenti TOR, ma alcune autorità purtroppo evidenziano lo stesso problema della nostra: infatti, negli ultimi tre giorni non siamo riusciti a connetterci ai siti web delle authority di Belgio (in entrambe le autorità: quella fiamminga e quella vallona), Bulgaria, Cipro, Irlanda e Svezia.

Speriamo infine che il nostro rilievo sia l'occasione per sensibilizzare tutti i #GarantiPrivacy europei a promuovere l'accesso libero e anonimo ai siti web di tutti gli enti pubblici, anche avvalendosi di canali di comunicazione legati al #fediverso!

Di seguito riportiamo una tabella (ovviamente brutta, come nel nostro stile) con il rilievo effettuato durante gli ultimi tre giorni.

Di seguito riportiamo la stessa tabella in formato testuale:

Nazione Autorità Sito web Accessibilità
Austria Österreichische Datenschutzbehörde dsb.gv.at/ OK
Belgium Autorité de la protection des données autoriteprotectiondonnees.be FAIL
Belgium Gegevensbeschermingsautoriteit (APD-GBA) gegevensbeschermingsautoriteit… FAIL
Bulgaria Commission for Personal Data Protection cpdp.bg/ FAIL
Croatia Croatian Personal Data Protection Agency azop.hr/ OK
Cyprus Commissioner for Personal Data Protection dataprotection.gov.cy/ FAIL
Czech Republic Office for Personal Data Protection uoou.cz/ OK
Denmark Datatilsynet datatilsynet.dk/ OK
EU European Data Protection Supervisor edps.europa.eu/ OK
Estonia Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon) aki.ee/ OK
Finland Office of the Data Protection Ombudsman tietosuoja.fi/en/ OK
France Commission Nationale de l'Informatique et des Libertés – CNIL cnil.fr/ cnil.fr/en/contact-cnil OK
Germany Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit bfdi.bund.de/ OK*
Greece Hellenic Data Protection Authority dpa.gr/ OK
Hungary Hungarian National Authority for Data Protection and Freedom of Information naih.hu/ OK
Ireland Data Protection Commission dataprotection.ie/ FAIL
Italy Garante per la protezione dei dati personali garanteprivacy.it/ FAIL
Latvia Data State Inspectorate dvi.gov.lv/ OK
Lithuania State Data Protection Inspectorate vdai.lrv.lt/ OK
Luxembourg Commission Nationale pour la Protection des Données cnpd.lu/ OK
Malta Office of the Information and Data Protection Commissioner idpc.org.mt/ OK
Netherlands Autoriteit Persoonsgegevens autoriteitpersoonsgegevens.nl/ OK
Poland Urząd Ochrony Danych Osobowych (Personal Data Protection Office) uodo.gov.pl/ OK
Portugal Comissão Nacional de Proteção de Dados – CNPD cnpd.pt/ OK
Romania The National Supervisory Authority for Personal Data Processing dataprotection.ro/ OK
Slovakia Office for Personal Data Protection of the Slovak Republic
Hraničná 12 dataprotection.gov.sk/ OK
Slovenia Information Commissioner of the Republic of Slovenia ip-rs.si/ OK
Spain Agencia Española de Protección de Datos (AEPD) aepd.es/ OK
Sweden Integritetsskyddsmyndigheten imy.se/ FAIL

The Privacy Post è un account Friendica curato da @informapirata :privacypride: che riporta notizie italiane ed europee inerenti la protezione di dati personali.

Attacco informatico: comunicazione agli interessati e riscontro documentato al Garante Privacy

Il Garante per la protezione dei dati personali, con provvedimento n. 21 del 27 gennaio 2022, si è pronunciato su una comunicazione relativa ad un incidente di sicurezza. La violazione dei dati personali è stata provocata da un attacco informatico ransomware, che ha comportato la crittografia dei dati contenuti nei server e nei pc del titolare del trattamento (con conseguente impossibilità di accedervi ed elaborarli) e la probabile esfiltrazione degli stessi.

Il titolare del trattamento, tuttavia, non aveva comunicato l’incidente agli interessati coinvolti, ai sensi dell’art. 34 del GDPR, sebbene la violazione dei dati personali potesse presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Pertanto, l’Autorità ha ordinato al titolare del trattamento di comunicare la violazione dei dati personali agli interessati e di fornire un riscontro adeguatamente documentato sulle misure adottate per mitigare i possibili effetti pregiudizievoli della violazione per gli interessati.

Leggi il provvedimento

Garante Privacy: tutele per la fruizione dei servizi SPID da parte dei minori

Il Garante per la protezione dei dati personali, nel parere reso sullo schema delle “Linee guida operative per la fruizione dei servizi SPID da parte dei minori”, proposto da AgID (Agenzia per l’Italia Digitale), ha individuato le garanzie per l’utilizzo del Sistema pubblico di identità digitale (SPID) da parte dei minori.

Infatti, i trattamenti concernenti il rilascio dello SPID e il suo utilizzo per l’accesso ai servizi online espongono i minori a rischi che richiedono una specifica protezione, con l’adozione di adeguate misure per mitigarli, distinguendo tra gli ultraquattordicenni e gli infraquattordicenni in ragione del diverso grado di maturità e consapevolezza.

I ragazzi sopra i quattordici anni potranno dotarsi di un’identità SPID per accedere ai servizi offerti dalla Pubblica Amministrazione a loro rivolti. I più piccoli invece potranno utilizzarlo solo per i servizi online forniti dalle scuole. Saranno i genitori a richiedere lo SPID per loro.

Leggi il provvedimento

Tribunale di Roma: legittima la richiesta di accesso della moglie per il recupero dei dati personali dagli account del marito deceduto.

Il Tribunale di Roma, in un’ordinanza concernente la richiesta di accesso della moglie per il recupero dei dati personali dagli account del marito deceduto, ha stabilito che le “ragioni familiari meritevoli di protezione” ex art. 2-terdecies d.lg n. 196/2003 prevalgono sulla clausola di intrasmissibilità dei diritti sui contenuti stipulata dall’internet service provider con l’utente, poi deceduto, che ha aderito alle condizioni generali.

Leggi l’ordinanza

DPA Belga: il TCF di IAB Europe viola il GDPR

L’Autorità per la protezione dei dati belga, con la decisione n. 21 del 2 febbraio 2022, ha stabilito che il Transparency and Consent Framework (TCF), sviluppato da IAB Europe, non è conforme a d alcune disposizioni del GDPR. Il TCF è un meccanismo diffuso che facilita la gestione delle preferenze dell’utente per la pubblicità personalizzata online, e che gioca un ruolo chiave nel cosiddetto Real Time Bidding (RTB). L’Autorità ha multato IAB Europe per 250.000 euro e ha concesso all’associazione due mesi per presentare un piano d’azione per allineare le sue attività.

Il Garante ha stabilito, in particolare, che il TCF viola le disposizioni di cui agli artt. 5, comma 1 (lett. a ed f), 6, 12, 13, 14, 25, 32, 37-39, del Regolamento (UE) 2016/679.

Si tratta di una decisione dalla portata dirompente, in special modo se si considera che migliaia di operatori nel campo della pubblicità digitale basano la propria attività sugli standard fissati dal TCF.

Leggi il provvedimento

CSIRT Italia: allerta cyber per la situazione in Ucraina

Il 14 febbraio 2022 lo CSIRT (Computer Security Incident Response Team) Italia, istituito presso l’ACN (Agenzia per la Cybersicurezza Nazionale), ha diramato un bollettino in cui prescrive regole e metodi per l’innalzamento delle misure di prevenzione e monitoraggio delle infrastrutture ICT nazionali da possibili rischi cyber derivanti dalla situazione ucraina. In particolare, sono soggetti a rischio gli enti, le organizzazioni e le aziende che intrattengono rapporti con soggetti ucraini e con i quali siano in essere interconnessioni telematiche.

Pertanto, in aggiunta all’adozione delle migliori pratiche in materia di cybersicurezza ed al rispetto delle misure previste dalla legislazione vigente, lo CSIRT raccomanda di elevare il livello di attenzione adottando in via prioritaria, adottando alcune misure organizzative e tecniche.

Leggi il bollettino

L'articolo What’s new in Italy on Data Protection<BR> n.2 – Marzo 2022 proviene da E-Lex.

Lo scorso 11 febbraio, l’Agencia Española de Protección de Datos (“AEPD”) pubblicava il provvedimento sanzionatorio di 2 milioni di euro nei confronti di Amazon Spagna per la richiesta del certificato del casellario giudiziale nei confronti dei dipendenti1; contemporaneamente, in Italia, il 15 febbraio, il Consiglio di Stato emanava parere sullo schema di regolamento recante l’individuazione dei trattamenti dei dati personali relativi a condanne penali e reati e le relative appropriate garanzie ai sensi dell’art. 2-octies, comma 2, del Codice Privacy.

Si osserva, quindi, che il trattamento dei dati giudiziari sta assumendo il ruolo di protagonista dopo anni di silenzio sul tema, presentando nuove sfide, nonché criticità che meritano un approfondimento.

Brevi cenni sulla normativa europea sul trattamento dei dati giudiziari

Con l’entrata in vigore del Regolamento UE 679/2016, anche detto “GDPR”, il trattamento dei dati giudiziari è stato disciplinato dall’art. 10 e dal Considerando n. 192.

In particolare, l’art. 10 GDPR prevede che il trattamento relativo a condanne penali e ai reati o connesse misure di sicurezza deve avvenire in presenza di una delle basi giuridiche di cui all’art. 6 del GDPR e di una delle seguenti condizioni: o sotto il controllo di un’autorità pubblica oppure se il diritto dell’Unione europea o quello di uno degli Stati membri ne fornisce un’espressa autorizzazione.

Inoltre, il Considerando n. 19 specifica che il trattamento dei dati giudiziari di cui all’art. 10 fa riferimento unicamente a quello svolto da parte dei soggetti privati. Difatti, il trattamento dei dati giudiziari da parte di soggetti pubblici rientra nella disciplina di cui alla legge al D. Lgs. n. 51 del 2018, attuativo della Direttiva UE 680/2016, in materia di trattamenti dei dati personali da parte delle autorità competenti di prevenzione, indagine, accertamento e perseguimento di reati o esecuzioni di sanzioni penali3.

Risulta che, insieme ai dati appartenenti alle categorie particolari di cui all’art. 9 del GDPR, i dati identificati in dati giudiziari sono oggetto di una tutela più stringente ed implicante degli adempimenti più gravosi in capo al titolare e al responsabile del trattamento. La ratio di una maggiore tutela deve essere individuata nel possibile rischio, in termini di probabilità e gravità, che dal trattamento di questa tipologia di dati possa derivare un danno fisico, materiale o immateriale, per i diritti e le libertà delle persone fisiche.

Cosa è successo in Spagna?

L’Unione generale dei lavoratori (Unión General de Trabajadores, ‘UGT’)presentava reclamo di fronte all’AEPD contro Amazon Spagna (“Amazon” o “Società”), con riferimento al fatto che, nel corso del processo di assunzione dei dipendenti, Amazon richiedeva ai potenziali candidati di presentare il certificato del casellario giudiziale. La Società, infatti, chiedeva, sulla base del legittimo interesse, di poter verificare la presenza di precedenti dei dipendenti con mansione di “autisti di veicoli”, al fine di proteggere l’incolumità dei clienti con i quali sarebbero entrati in contatto.

In particolare, il trattamento dei dati giudiziari dei candidati dipendenti, per il tramite del certificato del casellario giudiziale, era compiuto sulla base del consenso del futuro dipendente. Nel corso del processo di assunzione, ai candidati era richiesto di creare un account su di una piattaforma adibita di gestione e di titolarità Amazon e di caricare il certificato, previo consenso del candidato dipendente. Inoltre, il consenso era richiesto anche per il trasferimento dei dati – inclusi quelli giudiziari – anche nei confronti di soggetti terzi, residenti al di fuori dello Spazio economico europeo (“SEE”), sulla base di standard contractual clauses.

Amazon si difendeva sostenendo che ai candidati era richiesto solo un certificato “negativo”, ossia una dichiarazione di assenza di precedenti, non costituendo – a sua detta – un trattamento di dati giudiziari.

L’Autorità spagnola accoglieva il reclamo presentato dall’UGT, sulla scorta delle motivazioni che seguono.

In primo luogo, secondo quanto previsto dall’Art. 10 del Regolamento e dall’art. 10 della Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (“Ley Orgánica”)4, l’AEPD affermava che anche il certificato negativo attestante l’assenza di precedenti a proprio carico contiene dati personali. Pertanto, per aversi un lecito trattamento degli stessi, le condizioni previste nei già menzionati articoli avrebbero dovuto essere rispettate. Tuttavia, l’AEPD osservava che in Spagna non vi è né nel diritto dell’UE né nel diritto spagnolo una norma che autorizzi il trattamento e che, di conseguenza, gli argomenti di Amazon, basati sulla finalità del legittimo interesse e sulla necessità del trattamento, non possono essere accolti.

In particolare, l’AEPD si concentrava sul legittimo interesse, segnalando che – anche qualora per assurdo volesse ammettersi la liceità di tale base giuridica – Amazon non aveva in ogni caso provveduto a dare prova del bilanciamento effettuato tra il legittimo interesse e gli altri diritti ed interessi in gioco, tenendo in considerazione anche i principi di cui all’art. 5 del GDPR, soprattutto quello di minimizzazione. Con riguardo invece al consenso, l’AEPD rilevava che per aversi la validità e la liceità, è necessario che sia libero, valido ed inequivocabile. In questo caso, invece, i candidati non avrebbero avuto la possibilità di rifiutarsi nel rendere il consenso al rilascio del certificato del casellario giudiziale, in quanto imposto nella fase pre-contrattuale. Vi è di più. A parere dell’autorità spagnola, Amazon non avrebbe nemmeno reso nemmeno un’adeguata informativa nei confronti degli interessati, nel rispetto degli artt. 13 e 14 del GDPR.

Con riferimento al consenso richiesto per il trasferimento dei dati nei confronti di terzi localizzati al di fuori del SEE, l’autorità spagnola ha rilevato che, anche con riferimento a questo caso, il consenso non possa ritenersi valido ai sensi dell’art. 49 del GDPR, in combinato disposto con l’art. 7 del GDPR, in quanto il consenso era richiesto all’interno del contratto senza la possibilità di rifiutare e senza alcuna preliminare informazione riguardo ai potenziali rischi derivanti dal trasferimento dei dati5.

Pertanto, a fronte di tali motivi, l’Autorità ha irrogato una sanzione di euro 2,000,000 per aver violato degli artt. 6, 10 del GDPR e dell’art. 10 della Ley Orgánica, a fronte della richiesta – in assenza di una valida e lecita base giuridica – dei certificati del casellario giudiziali nel corso del processo di assunzione dei dipendenti, illecitamente6.

Che cosa succede in Italia?

In Italia, in materia di trattamento dei dati giudiziari, il legislatore è intervenuto con il D. Lgs. 101 del 2018, modificativo del codice privacy di cui al D.lgs. 196/2003, introducendo una norma ad hoc, ossia l’art. 2-octies.

In particolare, il comma 1 dell’art. 2-octies riproduce l’art. 10 del GDPR, prevedendo che il trattamento dei dati giudiziari può avvenire in subordine alle condizioni predette, ossia: i) sulla base di una delle condizioni di liceità ai sensi dell’art. 6 del GDPR; ii) sotto il controllo dell’autorità pubblica o se autorizzato da legge del diritto dell’UE o nazionale, in presenza di garanzie adeguate. La differenza con l’art. 10 GDPR sta nel fatto che il trattamento dei dati giudiziari può avvenire anche nel caso in cui sia autorizzato da un regolamento, nei casi previsti dalla legge.

L’art. 2-octies, al comma 2, inoltre, prevede che, in mancanza di disposizioni di legge o di un regolamento, il trattamento dei dati giudiziari e le relative garanzie sono individuati dal decreto del Ministero della giustizia da adottarsi, ai sensi dell’articolo 17, co. 3, della legge 23 agosto 1988, n. 400, sentita l’Autorità Garante per la protezione dei dati personali (il “Garante”)7. A tal riguardo, il Ministero della giustizia ha presentato uno schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate ai sensi dell’articolo 2-octies, comma 2. Difatti, lo schema di regolamento dovrebbe consistere nel contenuto del decreto di cui all’art. 2-octies, co. 2.

Nello schema di regolamento sono specificati gli ambiti entro i quali il trattamento dei dati giudiziari – in assenza di un’autorizzazione da parte della legge o di un regolamento – è da considerare lecito. Tali ambiti riproducono quelli dell’art. 2-octies, co. 3, tra i quali, a titolo esemplificativo: i) trattamento di dati giudiziari in ambito lavorativo; ii) trattamento di dati giudiziari al fine di verificare o accertare i requisiti di onorabilità, soggettivi e presupposti interdittivi; iii) trattamento di dati giudiziari al fine di accertare, esercitare o difendere un diritto in sede giudiziaria etc.

Secondo quanto previsto dalla procedura di approvazione del decreto, il Garante è stato interpellato con riguardo allo schema di regolamento e ha reso parere favorevole circa il contenuto, suggerendo alcune integrazioni. Allo stesso modo, il Consiglio di Stato ha reso parere che, seppur favorevole, ha rivelato forti criticità circa la formulazione di alcune disposizioni.

Il Ministero della giustizia, quindi, in seguito all’interpello delle autorità, è tenuto a procedere alla revisione dello schema di regolamento che, alla luce delle numerose indicazioni, cambierà indubbiamente nel suo contenuto.

In particolare, a parere di chi scrive e in ragione altresì delle argomentazioni del Consiglio di Stato, sembrano esservi numerose incertezze sull’interpretazione delle disposizioni contenute nello schema di regolamento. Merita segnalare con particolar attenzione la difficoltà nell’individuazione della base giuridica legittimante il trattamento dei dati giudiziari. Difatti, le disposizioni contenute nello schema di regolamento dovrebbero fungere da base giuridica legittimante, nei casi in cui non vi è una legge e/o un regolamento.

Tuttavia, a parte l’assenza di una chiarezza del dettato letterale, ciò che creerebbe confusione è il costante rinvio nelle disposizioni dello schema di Regolamento al GDPR e alle condizioni di cui all’art. 10, nonché ad una legge o un regolamento autorizzativi che non esistono.

Parallelismo: quali tratti comuni?

Nonostante trattasi di due “casi” differenti, ciò che emerge chiaramente è un quadro controverso in Europa in relazione al trattamento dei dati giudiziari.

Da un lato, in Spagna, vi è il mancato adeguamento al quadro legislativo in vigore – che riflette quanto previsto dal GDPR e non ha subito integrazioni dalla legge nazionale – da parte di una grande multinazionale; dall’altro lato, in Italia, un sistema normativo sulla disciplina dei dati giudiziari in evoluzione che affronta numerose criticità, nel tentativo di rispondere a quanto richiesto dell’art. 2-octies, co. 2 sin dalla sua entrata in vigore nel 2018. Ed è da questo parallelismo che, nel complesso, sembrerebbe emergere una difficoltà nell’applicazione, nell’interpretazione e nell’evoluzione della normativa vigente in ambito di trattamento dei dati giudiziari, normativa che vorrebbe rispondere alle vecchie e nuove necessità presenti all’interno della società, ma che fatica a farlo.

Fabiola Iraci Gambazza

1 aepd.es/es/documento/ps-00267-…

2 garanteprivacy.it/web/guest/ho…

3 gazzettaufficiale.it/eli/id/20…

4 boe.es/boe/dias/2018/12/06/pdf…

5 In verità, il trasferimento come regolamentato dalle SCC concluse da Amazon con i terzi è da ritenersi lecito, secondo quanto previsto dall’art. 46 del GDPR.

6 L’AEPD ha ordinato ad Amazon anche la produzione della documentazione al fine di accertare che le procedure in atto da parte di Amazon siano compliant con il GDPR. Nello specifico, è necessario dare prova del fatto che Amazon non richiede il certificato del casellario giudiziale e che i dati precedentemente raccolti per il tramite del casellario sono stati effettivamente distrutti.

7 In assenza di un decreto, il Garante ha provveduto a chiarire che per il trattamento da parte di privati, di enti pubblici economici non si applicava la precedente Autorizzazione Generale del Garante n. 7/2016, ma le Autorizzazioni generali adottate in data 15 dicembre 2016 ed efficaci dal 1° gennaio 2017 fino al 24 maggio 2018 per alcuni trattamenti di dati sensibili e di dati giudiziari.

L'articolo Nuove sul trattamento dei dati giudiziari: il parallelismo tra Spagna e Italia proviene da E-Lex.

Iniziative legislative bipartisan per raccogliere l’appello del Presidente Biden al rafforzamento della tutela della privacy online dei bambini

Introdurre una legislazione bipartisan per vietare la pubblicità mirata e includere gli adolescenti nelle normative sulla privacy online, raccogliendo l’appello del Presidente Biden. I senatori Edward J. Markey (D-Mass.) e Bill Cassidy (R-La.) hanno espresso il loro sostegno all’impegno del presidente Joe Biden a ritenere Big Tech responsabile della privacy online e della salute mentale dei bambini e il benessere dopo aver usato il suo discorso sullo stato dell’Unione per chiedere un’azione per rafforzare le leggi sulla privacy online dei bambini. Il presidente Biden ha chiesto espressamente il divieto della pubblicità mirata ai bambini e la fine della raccolta di dati personali sui bambini da parte delle società di social media e online.

markey.senate.gov/news/press-r…

Il GEPD pubblica una relazione sulle attività COVID-19 delle istituzioni dell’UE

Il Garante europeo della protezione dei dati (GEPD) ha pubblicato oggi una relazione sulle nuove operazioni di trattamento e sugli strumenti informatici introdotti dalle istituzioni, organi, uffici e agenzie dell’UE (EUI) per garantire la continuità operativa durante la pandemia di COVID-19 e la conformità di tali attività con il Regolamento (UE) 2018/1725 .

edps.europa.eu/press-publicati…

Garante: pubblicato il Registro dei codici di condotta

Il Garante ha pubblicato il Registro dei codici di condotta, adempimento previsto dall’art. 40 paragrafo 6 del Regolamento (UE) 2016/679, ai sensi del quale ogni Autorità garante che approva un codice di condotta deve registrarlo e pubblicarlo. I codici di condotta rappresentano strumenti di grande importanza ai fini della corretta applicazione del Regolamento, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese. Con questa consapevolezza il Garante è impegnato nella promozione di una serie di iniziative volte ad incoraggiare l’elaborazione di codici di condotta da parte di diverse categorie di soggetti privati.

garanteprivacy.it/home/docweb/…

guidoscorza.it/privacy-daily-7…