Prima pagina
Libri e Riviste Circolazione e protezione dei dati personali
| Circolazione e protezione dei dati personali |
 |
 |
|
a cura di Rocco Panetta
DAL TESTO – "Molte realtà pubbliche e private, anche tra le piccole e piccolissime imprese, oggi non possono permettersi di prescindere dall'uso intelligente dei dati. I giorni di un mondo online scisso da quello "reale" sono ormai finiti. La corretta gestione del ciclo-vita dei dati, la loro sicurezza e, soprattutto, la relativa comprensione profonda segneranno il confine tra la volontà di affrontare le sfide di oggi, per meglio "governare il futuro", o di lasciarle scorrere come titoli di coda. A tale proposito, il GDPR appare come un punto di svolta per adattare l'infrastruttura giuridica europea e nazionale, liberando così la ricchezza latente tra le pieghe dei dati. IL CURATORE – Avvocato, fondatore e Managing Partner di Panetta & Associati, Rocco Panetta è considerato tra i massimi esperti, a livello nazionale e internazionale, di diritto applicato alle nuove tecnologie, Internet, Cybersecurity e Privacy. Già dirigente dell'Autorità Garante per la Protezione dei Dati Personali, è membro del Consiglio di Amministrazione e Country Leader per l'Italia di IAPP, International Association of Privacy Professionals. È autore e curatore di numerosi volumi, note e saggi e di centinaia di articoli divulgativi sui temi di sua competenza. È regolarmente invitato come speaker a convegni e conferenze e a tenere lezioni universitarie in Italia e all'estero. Menzionato e premiato da Chambers Europe, The Legal500, TopLegal, LegalCommunity, Who's Who Legal. Nel 2015 e nel 2018 ha vinto il premio di Avvocato Privacy dell'Anno in occasione dei TMT LegalCommunity Awards. La rivista "TopLegal" lo ha menzionato, nel 2016, tra i primi 20 avvocati d'Italia più influenti in una classifica di 40 tra gli under 50. GLI AUTORI – Teresa Annecca (Funzionario presso l'Autorità Garante per la Protezione dei Dati Personali) – Adele Berti Suman (Avvocato, Dottore di ricerca in "Autonomia privata, impresa, lavoro e tutela dei diritti nella prospettiva europea ed internazionale" presso l'Università degli Studi di Roma "La Sapienza") – Lorella Bianchi (Funzionario presso l'Autorità Garante per la Protezione dei Dati Personali) – Francesco Bilotta (Avvocato, Ricercatore di Diritto Privato presso l'Università degli Studi di Udine) – Giovanna Capilli (Avvocato, Professoressa associata di Diritto Privato presso l'Università San Raffaele di Roma) – Francesca Cecamore (Funzionario presso l'Autorità Garante per la Protezione dei Dati Personali) – Gianmarco Cristofari (Dottore in Giurisprudenza, Junior Associate di Panetta & Associati) – Clizia D'Agata (Funzionario presso l'Autorità Garante per la Protezione dei Dati Personali) – Adriano D'Ottavio (Avvocato, Associato di Chiomenti Studio Legale) - Mario de Bernart (Dirigente presso l'Autorità Garante per la Protezione dei Dati Personali) – Ludovica Durst (Dottore di ricerca in Teoria dello Stato e Istituzioni Politiche Comparate) – Laura Ferola (Funzionario presso l'Autorità Garante per la Protezione dei Dati Personali) – Carolina Foglia (Avvocato, LL.M. in IP & Technology Law presso la Washington University in St. Louis) – Marta Fraioli (Dottoressa in Scienze politiche e Relazioni internazionali, Junior Associate di Panetta & Associati) – Selvaggia Fausta Giovannangeli (Dottoressa in Giurisprudenza, Dottoranda di ricerca presso il dipartimento di Giurisprudenza dell'Università degli Studi di Roma "La Sapienza") – Sabina Kirschen (Funzionario presso l'Autorità Garante per la Protezione dei Dati Personali) – Mario Erminio Malagnino (Magistrato) – Alessandro Mantelero (Professore associato di Diritto Privato presso il Politecnico di Torino) – Michela Massimi (Funzionario presso l'Autorità Garante per la Protezione dei Dati Personali) – Rosa Mattera (Avvocato, Dottoranda di ricerca presso il dipartimento di Giurisprudenza dell'Università degli Studi di Roma "La Sapienza") – Tommaso Mauro (Avvocato, LLM in Diritto dell'Innovazione e della Concorrenza presso la LUISS School of Law, Senior Associate di Panetta & Associati) – Silvia Melchionna (Funzionario presso l'Autorità Garante per la Protezione dei Dati Personali) – Davide Montanaro (Dottore in Giurisprudenza, già Google Public Policy Fellow EMEA, Junior Associate di Panetta & Associati) – Maria Panetta (Avvocato, Counsel Gianni Origoni Grippo Cappelli & Partners, LLM in Banking and Finance presso la University of London, Queen Mary College) – Federico Sartore (Avvocato, Dottorandodi ricerca presso il dipartimento International and European Law dell'Università di Maastricht, Senior Associate di Panetta & Associati) – Giuseppe Vaciago (Avvocato, Docente di Informatica Giuridica presso l'Università degli Studi dell'Insubria) INDICE DELL'OPERA - Nota del Curatore – Prefazione, di Augusta Iannini – Introduzione, di Guido Alpa - Il curatore. Gli autori - Parte I. Libera circolazione e protezione dei dati personali, dalla Direttiva 95/46/CE al Regolamento (UE) 2016/679 - Capitolo Primo. PRIVACY IS NOT DEAD: IT'S HIRING!, di Rocco Panetta (1.1. Introduzione - 1.2. Dalla Direttiva 95/46 CE al Regolamento UE 679/2016 - 1.3. Dal Regolamento europeo alle leggi di adeguamento: le ragioni di una scelta - 1.4. L'impatto del GDPR sul mercato - 1.4.1. Ambito di applicazione del GDPR: applicazione materiale e soggettiva della normativa - 1.4.2. Il profilo giuridico del titolare e del responsabile del trattamento - 1.4.3. Dalla ineluttabilità del consenso e dei suoi presupposti "equipollenti", all'equiparazione delle basi giuridiche dei trattamenti - 1.4.4. Il Data Protection Officer e il virtuosismo dell'accountability - 1.4.5. La cartina di tornasole della compliance: la Data Protection Impact Assessment (DPIA) - 1.4.6. Privacy by design, tra Intelligenza Artificiale e umanesimo - 1.4.7. Il problema del trattamento rispetto alle finalità di marketing e di profilazione - 1.5. Le responsabilità e le relative sanzioni dal GDPR al d.lgs. n. 101/2018 - 1.5.1. Le sanzioni amministrative - 1.5.2. Le sanzioni penali - 1.5.3. Chi risponde delle violazioni - 1.5.4. Le responsabilità del DPO) - Capitolo Secondo. Oggetto e finalità: un nuovo statuto giuridico dei dati personali, di Ludovica Durst (2.1. Oggetto e finalità - 2.2. Le ragioni di una riforma dibattuta - 2.3. Lo strumento del Regolamento - 2.4. La rinnovata importanza della libera circolazione dei dati e il futuro della protezione dei dati personali) - Capitolo Terzo. Il trattamento di categorie particolari di dati in ambito sanitario, di di Ludovica Durst (3.1. Le categorie particolari di dati nel Regolamento europeo - 3.2. Il trattamento di dati in ambito sanitario: tipologia e presupposti di liceità - 3.3. La disciplina di adeguamento: i dati in ambito sanitario nel d.lgs. n. 101/2018) - Capitolo Quarto. Il legittimo interesse del titolare o di un terzo nel quadro dei diversi presupposti di legittimità del trattamento, di Clizia D'Agata (4.1. Brevi note introduttive - 4.2. I presupposti di legittimità del trattamento ai sensi del RGPD: l'art. 6 e i casi in cui il bilanciamento degli interessi è effettuato direttamente dal legislatore - 4.3. Il legittimo interesse: test di bilanciamento - 4.3.1. L'individuazione di un "legittimo interesse" - 4.3.2. L'impatto sui diritti degli interessati - 4.4. Le "ulteriori garanzie" adottate dal titolare e gli eventuali "benefici" per l'interessato - 4.5. Le deroghe al consenso (art. 24 del Codice) non espressamente contemplate dal RGPD: possibili soluzioni interpretative) - Capitolo Quinto. L'informativa agli interessati e il consenso al trattamento, di Selvaggia Fausta Giovannangeli (5.1. Informativa e consenso: un modello da mantenere? - 5.2. La "nuova" informativa ai sensi del GDPR - 5.3. I principi di trasparenza e controllo, tra modalità per informare e validità del consenso - 5.4. Alcune considerazioni di chiusura) - Capitolo Sesto. Ruoli e funzioni privacy principali ai sensi del regolamento, di Adriano D'Ottavio (6.1. Premessa - 6.2. Titolarità - 6.2.1. Il titolare come "servizio" - 6.2.2. Esercizio di attività a carattere personale o domestico - 6.2.3. Il titolare del trattamento - 6.2.4. Titolarità del trattamento nei gruppi imprenditoriali - 6.2.5. Contitolarità - 6.3. Il rafforzamento del ruolo del responsabile del trattamento - 6.3.1. La nomina del responsabile del trattamento sulla base di un contratto individuale - 6.3.2. La nomina del responsabile del trattamento sulla base di clausole contrattuali tipo - 6.3.3. Specifici obblighi e responsabilità in capo al responsabile. Brevi cenni - 6.3.4. Dubbi interpretativi: responsabile interno o esterno? Brevi cenni - 6.4. La figura del sub-responsabile - 6.5. I rappresentanti di titolari e responsabili non stabiliti nell'Unione europea - 6.6. Figure in discussione: incaricati del trattamento e amministratori di sistema - 6.6.1. Gli incaricati del trattamento - 6.6.2. Gli amministratori di sistema) - Capitolo Settimo. Il diritto di accesso ai dati personali e il diritto di rettifica, di Davide Montanaro (7.1. Introduzione - 7.2. Il diritto di accesso tra passato e presente - 7.2.1. Il diritto di accesso come diritto fondamentale - 7.2.2. Il diritto di accesso nella Direttiva Madre - 7.3. Il diritto di accesso come "colonna portante" dei diritti dell'interessato - 7.4. Le modalità di riscontro al diritto di accesso - 7.5. I limiti all'esercizio dei diritti nel Codice Privacy - 7.6. La correttezza delle informazioni: il diritto di rettifica - 7.7. Conclusioni) - Capitolo Ottavo. Il diritto alla cancellazione, di Adele Berti Suman (8.1. Le caratteristiche del diritto all'oblio: un diritto di origine pretoria - 8.2. La sentenza "Google Spain" e le sue evoluzioni - 8.3. Il diritto alla cancellazione nel GDPR e nel Codice Privacy) - Capitolo Nono. Il diritto alla limitazione del trattamento, di Gianmarco Cristofari (9.1. La ratio del diritto alla limitazione - 9.2. Origini e predecessori del diritto alla limitazione - 9.3. Casi e modalità del diritto alla limitazione - 9.4. L'obbligo di notifica ai sensi dell'art. 19 - 9.5. Limitazioni derivanti dal decreto di armonizzazione) - Capitolo Decimo. Il diritto alla portabilità dei dati, di Lorella Bianchi (10.1. Premessa - 10.2. La portabilità come strumento di maggior controllo sui propri dati: nozione e modalità di esercizio - 10.3. Il diritto alla portabilità dei dati nel raffronto con altri diritti, in particolare quello di accesso - 10.4. Primi orientamenti interpretativi: le linee guida del WP29 ed alcuni aspetti problematici della nuova disciplina - 10.5. Quale via per l'interoperabilità? L'importanza della standardizzazione - 10.6. Conclusioni) - Capitolo Undicesimo. Il diritto di opposizione e la revoca del consenso, di Marta Fraioli (11.1. Introduzione - 11.2. Il diritto di opposizione e la revoca del consenso: alleati contro un nemico comune? - 11.3. Diritto di opposizione e marketing - 11.4. Il diritto di opposizione nella ricerca scientifica - 11.5. Le novità del d.lgs. n. 101/2018 - 11.6. Rapporto con il diritto di cancellazione) - Capitolo Dodicesimo. La tutela dei dati personali dei minori, di Giovanna Capilli (12.1. Il rapporto tra età e capacità ad esprimere il consenso - 12.2. Minori e consenso alla luce dell'art. 8 del GDPR - 12.3. Le modalità di prestazione del consenso al trattamento dei dati da parte di minori di età nel Regolamento comunitario - 12.4. La "capacità anticipata" del quattordicenne introdotta dal decreto legislativo 10 agosto 2018, n. 101 - 12.5. Le scelte di alcuni Stati membri sul consenso del minore. Cenni di diritto comparato - 12.6. Conclusioni) - Capitolo Tredicesimo. Il trasferimento all'estero dei dati, di Sabina Kirschen (13.1. Premessa - 13.2. Gli impatti del Regolamento sui flussi transfrontalieri dei dati - 13.3. Il mantenimento della decisione di adeguatezza come modello standard per il trasferimento all'estero dei dati - 13.4. Efficacia ed onerosità delle "garanzie adeguate" ex art. 46 del Regolamento (UE) - 13.5. Le clausole tipo e le Bcr - 13.6. Il regime derogatorio) - Parte II. Le novità del Regolamento: tra approccio orientato al rischio e nuovi istituti - Capitolo Quattordicesimo. Privacy-by-Design, l'introduzione del principio nel corpus del GDPR, di Federico Sartore (14.1. Introduzione - 14.2. Ratio ed elementi costitutivi del principio - 14.3. La Privacy-by-Design nel Regolamento - 14.4. Il significato di "progettazione" nella Privacy-by-Design - 14.5. Possibili strategie di Privacy-by-Design - 14.6. Conclusioni) - Capitolo Quindicesimo. Il dilemma (ancora aperto) dell'anonimizzazione e il ruolo della pseudonimizzazione nel GDPR, di Carolina Foglia (15.1. Introduzione - 15.2. Il dilemma dell'anonimizzazione tra irreversibilità e rischio - 15.3. La posizione del Regolamento sull'anonimizzazione: novità esplicite e letture "tra le righe" - 15.4. Il ruolo della pseudonimizzazione nel GDPR - 15.5. L'analisi del modello U.S. come motivo di riflessione - 15.6. L'evolversi dell'approccio fondato sul rischio: un percorso intrapreso) - Capitolo Sedicesimo. La valutazione d'impatto nel GDPR, di Federico Sartore (16.1. Introduzione - 16.2. La valutazione di impatto: origine ed elementi costitutivi - 16.3. Criteri di riferimento e fattispecie rilevanti in chiave DPIA - 16.4. Possibili scelte metodologiche per l'effettuazione di una DPIA - 16.5. Il coinvolgimento dell'Autorità — la consultazione preventiva) - Capitolo Diciassettesimo. La "nuova" figura del responsabile della protezione dei dati personali e le sue caratteristiche, di Laura Ferola (17.1. Il responsabile della protezione dei dati personali: un nuovo protagonista del sistema di protezione dei dati personali - 17.2. Un adempimento di non facile interpretazione: quando si rende obbligatoria la designazione del RPD - 17.3. La posizione del RPD nelle diverse realtà economiche e istituzionali - 17.4. I compiti del RPD: una funzione di garanzia per titolare e responsabile del trattamento, nonché per interessati e autorità di controllo - 17.5. I rapporti con il titolare e il responsabile del trattamento: quello strano (o mancato?) riparto di responsabilità) - Capitolo Diciottesimo. I controlli aziendali e le indagini difensive, di Maria Panetta (18.1. Introduzione - 18.2. Controlli difensivi - 18.3. Indagini difensive - 18.4. I diritti degli interessati e le indagini difensive - 18.5. Le novità nel settore delle investigazioni difensive apportate dalle Regole deontologiche) - Capitolo Diciannovesimo. La violazione di dati o data breach, di Selvaggia Fausta Giovannangeli (19.1. Il data breach come patologia cronicizzata della società dell'informazione - 19.2. La rinnovata importanza delle misure di sicurezza - 19.3. La notifica di un data breach all'Autorità - 19.4. La comunicazione di un data breach all'interessato - 19.5. Spunti critici per gestire un fenomeno preoccupante) - Parte III. Enforcement e regime sanzionatorio - Capitolo Ventesimo. Il ruolo del Garante all'alba del GDPR: verso un'autorità, di Mario Erminio Malagnino (20.1. Il nuovo ruolo del Garante della Privacy nel GDPR - 20.2. Le modifiche al Codice della Privacy e la funzione del Garante - 20.3. Il rischio sotteso alle diverse modalità di attuazione delle nuove norme - 20.4. Un parallelismo con la responsabilità amministrativa - 20.5. Verso una nuova valutazione della responsabilità?) - Capitolo Ventunesimo. La responsabilità civile nel trattamento dei dati personali, di Francesco Bilotta (21.1. Introduzione - 21.1.1. L'art. 82 del Regolamento - 21.2. La natura giuridica della responsabilità - 21.3. L'illiceità del trattamento - 21.4. L'ambito soggettivo della fattispecie: i danneggiati - 21.4.1. L'ambito soggettivo della fattispecie: i danneggianti - 21.5. L'accountability e l'imputabilità dell'evento dannoso - 21.6. Il danno risarcibile - 21.7. Profili processuali: la prova dell'esclusione dell'imputabilità e il termine di prescrizione dell'azione risarcitoria) - Parte IV. L'impatto del Regolamento sui mercati - Capitolo Ventiduesimo. Il trattamento dei dati in ambito bancario e finanziario, di Rosa Mattera (22.1. Il trattamento dei dati personali in ambito bancario e finanziario: le posizioni del Garante per la protezione dei dati personali e il Provvedimento in materia di tracciamento degli accessi ai dati bancari (Provvedimento n. 192/2011) - 22.2. Dubbi e criticità - 22.3. Il nuovo Regolamento europeo in materia di protezione dei dati personali (2016/679) - 22.4. Cosa cambia rispetto al Codice della Privacy? - 22.5. Protezione dei dati nel settore finance&banking e sicurezza informatica - 22.6. Conclusioni) - Capitolo Ventitreesimo. Quali orizzonti per il marketing?, di Michela Massimi (23.1. Premessa - 23.1.1. La normativa ePrivacy - 23.1.2. I soggetti interessati - 23.2. Il marketing nel nuovo Regolamento: il consenso dell'interessato - 23.2.1. Il legittimo interesse del titolare - 23.3. Marketing e comunicazioni elettroniche - 23.3.1. Il c.d. soft-spam - 23.4. Il telemarketing - 23.5. Conclusioni) - Capitolo Ventiquattresimo. Il cloud computing, di Alessandro Mantelero (24.1. Introduzione - 24.2. Il contratto di cloud computing - 24.3. Le criticità applicative - 24.4. Gli autori del trattamento ed il modello cloud - 24.4.1. L'organizzazione dei ruoli - 24.4.2. La contrattualizzazione dei rapporti - 24.5. Diritti ed obblighi delle parti) - Capitolo Venticinquesimo. La videosorveglianza e il controllo del lavoratore, di Mario de Bernart (25.1. I sistemi di "videosorveglianza" e la crescita costante del loro utilizzo. La mancanza di una normativa organica - 25.2. Gli interventi di carattere generale del Garante per la protezione dei dati personali in tema di videosorveglianza - 25.3. La protezione dei dati personali e la disciplina lavoristica dei controlli a distanza dell'attività dei lavoratori. L'utilizzo dei sistemi di videosorveglianza - 25.4. La riforma del mercato del lavoro (c.d. "Jobs Act") e le novità in tema di controllo a distanza dell'attività dei lavoratori e protezione dei dati personali - 25.4.1. La videosorveglianza dopo il "Jobs Act" - 25.5. I trattamenti di dati mediante sistemi di videosorveglianza alla luce del Regolamento UE 2016/679 - 25.5.1. Brevi cenni sul Regolamento - 25.5.2. La flessibilità normativa per i Paesi membri in materia di lavoro - 25.5.3. Gli impianti di videosorveglianza e la necessità di un "approccio proporzionato" - 25.6. Il decreto legislativo per l'adeguamento della normativa nazionale al Regolamento) - Capitolo Ventiseiesimo. Internet of Things (IoT), di Alessandro Mantelero e Giuseppe Vaciago (26.1. Introduzione - 26.2. Conseguenze dell'affermarsi dell'Internet of Things ed implicazioni giuridiche - 26.2.1. Contrattualizzazione e "softwarizzazione" - 26.3. Alcuni scenari applicativi: IoT e domotica - 26.3.1. (Segue). IoT e autonomous car - 26.3.2. (Segue). IoT e prevenzione del crimine - 26.4. Una contrapposizione apparente) - Capitolo Ventisettesimo. Le nuove frontiere della sanità e della ricerca scientifica, di Silvia Melchionna e Francesca Cecamore (27.1. Impatto del Regolamento nel mondo sanitario e della ricerca - 27.2. Sanità e nuove tecnologie - 27.3. Il futuro della sanità digitale: limiti e prospettive - 27.4. Uno sguardo alla ricerca: i registri di patologia) - Capitolo Ventottesimo. Codici deontologici e GDPR, di Teresa Annecca (28.1. Premessa - 28.2. I codici deontologici nella normativa nazionale - 28.3. I codici di condotta introdotti dal regolamento europeo - 28.4. La cooperazione tra le autorità nazionali e le istituzioni europee - 28.5. Codici di condotta e certificazioni - 28.6. Una panoramica sui codici di deontologia e di buona condotta nazionali - 28.6.1. Sistemi di informazione creditizia: il codice deontologico SIC - 28.6.2. Il codice deontologico in materia di informazioni commerciali - 28.7. Le novità introdotte dal decreto legislativo n. 101/2018 - 28.8. Le "Regole deontologiche varate dal Garante" - 28.8.1. Provvedimenti di valutazione della conformità dei codici di deontologia) - Capitolo Ventinovesimo. I Big Data tra protezione dei dati personali e diritto della concorrenza, di Tommaso Mauro (29.1. La tecnologia dei dati nell'era dell'innovazione digitale - 29.2. Cosa sono i Big Data? - 29.3. La protezione dei dati personali dalle origini ai Big Data - 29.4. I Big Data tra privacy e concorrenza: due facce della stessa medaglia) |
IL LIBRO – Il Regolamento Generale sulla Protezione dei Dati Personali entrato in vigore nel maggio del 2016, ha trovato piena applicazione in tutti e 28 gli Stati membri dell'Unione Europea a partire dal 25 maggio 2018, introducendo un quadro normativo sostanzialmente identico, in materia di protezione dei dati personali, in tutto il territorio dell'UE, dopo le asimmetrie per anni prodotte dalle legislazioni nazionali frutto del recepimento della Direttiva 95/46/CE e dalle azioni diversificate messe in campo dalle diverse Autorità di controllo. Tale frastagliato panorama ha prodotto non pochi problemi relativamente all'incisività della normativa a tutela dei dati personali, con riguardo all'attività di contrasto, dei trattamenti illeciti, ad opera delle Autorità europee, facilitando anche il proliferare di veri e propri "paradisi dei dati", spesso coincidenti con quelli fiscali, all'interno del vasto mercato comune europeo. Le conseguenze pregiudizievoli di tali politiche e regole asimettriche hanno riguardato anche le imprese e le pubbliche amministrazioni di diversi Paesi dell'Unione.