Call Us +39 011 55.84.111

Nicolò Rappa

Nicolò Rappa

Praticante avvocato esperto nella tutela del diritto alla protezione dei dati personali e della proprietà intellettuale ed industriale.

Website URL: http://www.replegal.it/it/professionisti/cerca-i-professionisti/410-nicolo-rappa.html

Geolocalizzazione dei lavoratori: il Garante Privacy dice “no” al trattamento costante e continuativo

Con Provvedimento n. 247/2017, il Garante Privacy si è pronunciato in relazione al trattamento, da parte di una società fornitrice di servizi di igiene urbana, dei dati relativi alla localizzazione geografica dei propri dispositivi mobili e dei propri lavoratori.

Con tale pronuncia - nata da una richiesta di verifica preliminare presentata dalla società Anconambiente S.p.A. relativa ad un sistema Gps installato su automezzi e apparati mobili in dotazione ai dipendenti – il Garante Privacy ha, da un lato, ammesso il trattamento dei dati relativi alla ubicazione dei lavoratori, in quanto basato su un legittimo interesse della Anconambiente S.p.A. e consistente nel perseguimento di esigenze organizzative e produttive (rectius, ottimizzazione dell’impiego delle risorse), di sicurezza del lavoro (rectius, tutela del personale impiegato in zone del territorio altamente “pericolose”) e di tutela del patrimonio aziendale (rectius, prevenzione di furti ai mezzi) e, dall’altro, precisato che lo stesso, nel rispetto dei principi di necessità e proporzionalità del trattamento, non possa esplicarsi in una rilevazione in tempo reale (rectius, costante e continuativa) dei dati di localizzazione dei dispositivi mobili – e quindi dei lavoratori - addetti al servizio di raccolta rifiuti, dovendo, invece, consistere in una rilevazione “ad eventi”, volta a geolocalizzare il dispositivo mobile solo nel momento in cui lo stesso raggiunge un punto (di raccolta rifiuti) precedentemente georeferenziato.

Il Garante Privacy, inoltre, ha precisato che i dati raccolti dal sistema di geolocalizzazione (codice del dispositivo e posizione geografica) non sono dati “anonimi” in quanto, se incrociati a quelli degli operatori (nome operatore e turno assegnato) presenti nel sistema di predisposizione dei turni, permettono di definire l’identità e la posizione del dipendente cui è stato assegnato uno specifico dispositivo.

Link alla fonte

GDPR: il Gruppo dei Garanti UE (WP29) fornisce importanti chiarimenti in merito alla cd. “valutazione d’impatto sulla protezione dei dati”

In data 4 aprile 2017, il Gruppo dei Garanti dell’Unione Europea (cd. “WP29”) ha pubblicato un documento contenente importanti chiarimenti in merito alla “valutazione d’impatto sulla protezione dei dati” (cd. DPIA”), una significativa novità introdotta dal recente Regolamento Europeo in materia di protezione dei dati personali n. 2016/679 (“GDPR”). Tale documento, oltre a definire il DPIA quale “strumento utile al titolare per conformarsi e dimostrare la conformità del trattamento al GDPR”, il WP29: (i) spiega che il DPIA può essere effettuato sia per un singolo che per una serie di trattamenti, aventi tra loro medesime caratteristiche; (ii) individua, in concreto, le circostanze in cui è presumibile ritenere che sussista un “rischio elevato per i diritti e le libertà delle persone fisiche”, così come previsto dall’art. 35.1 del GDPR (es: trattamento di dati personali mediante rilevazione delle impronte digitali e/o tramite riconoscimento facciale, trattamento sistematico e su larga scala di dati sensibili e/o, ancora, trattamento di dati personali di minori); (iii) precisa che il DPIA deve essere redatto e pubblicato, da parte del titolare, prima dell’inizio del trattamento, nonché previa consultazione, ove necessario (artt. 35.2 e 35.9), del DPO e degli interessati.

Link alla fonte

Commissione UE: in arrivo il nuovo Regolamento Europeo in materia di protezione dei dati personali nelle comunicazioni elettroniche

In data 10.1.2017, la Commissione UE ha presentato al Parlamento ed al Consiglio Europeo una proposta di “Regolamento in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche”, volto a rafforzare la sicurezza nel mercato unico digitale.

Tale nuova normativa - che, ove approvata, sostituirà la Direttiva 2002/58/CE e sarà direttamente applicabile in tutti gli Stati Membri UE – si allinea ai principi previsti dal Regolamento  679/2016 sulla protezione dei dati personali (es: richiamo integrale delle “definizioni” di cui all’art. 4 del GDPR e previsione di sanzioni molto elevate, fino a 20 mln di euro o al 4% del fatturato annuo) e prevede, tra le sue novità: (i) la tutela della riservatezza degli utenti anche nei confronti delle comunicazioni elettroniche veicolate dai nuovi operatori del mercato “non tradizionali” (quali WhatsApp, Facebook Messenger, Skype); (ii) la protezione dei cd. “metadati” (es: siti web visitati, orario e luogo delle telefonate), da anonimizzare o eliminare in caso di mancato consenso degli utenti; (iii) la semplificazione della disciplina sui cookie (non sarà più necessario ottenere il consenso degli utenti per l’utilizzo di cookie tecnici o di sessione); (iv) il divieto assoluto di comunicazioni elettroniche indesiderate in assenza del previo consenso degli utenti ed indipendentemente dallo strumento utilizzato (e-mail, sms, ecc.).

Link alla fonte

Controllo dell’attività dei lavoratori: la Cassazione ribadisce le regole da rispettare

Con sentenza n. 18302/2016, la Corte di Cassazione ha ribadito che è illegittima l’installazione di apparecchi e software che consentono al datore di lavoro il controllo della posta elettronica, delle telefonate e della navigazione internet dei lavoratori, se non sono preventivamente esperite le procedure di autorizzazione (sindacale o amministrativa) previste dall’art. 4 dello Statuto dei lavoratori e se non sono rispettati gli ulteriori adempimenti previsti dal Codice Privacy (rilascio dell’informativa e richiesta del consenso).

Con tale pronuncia, la Suprema Corte ha respinto il ricorso presentato dall’Istituto Poligrafico Zecca dello Stato nei confronti del Garante per la Protezione dei dati personali e precisato che il datore di lavoro deve rispettare le suddette garanzie procedurali anche nell’ipotesi in cui effettui controlli sulla prestazione lavorativa dei lavoratori per mere “finalità difensive”, non potendosi, in tal caso, negare il rispetto dei diritti fondamentali dei lavoratori tra cui, in primis, il diritto alla riservatezza e alla tutela dei propri dati personali.

Link alla fonte

Piattaforma Sky: sì del Garante alla veicolazione di spot pubblicitari “mirati”

Con provvedimento n. 306 del 2016, il Garante Privacy si è pronunciato circa la richiesta di verifica preliminare avanzata da Sky in merito alla possibilità di veicolare, nei confronti dei propri abbonati, alcuni spot pubblicitari aventi tra loro diverso contenuto in base alla tipologia di abbonamento sottoscritto e ad altre informazioni di carattere personale (quali, ad esempio, fascia d’età e luogo di residenza). A tal riguardo, il Garante Privacy ha, dapprima, ritenuto che tali dati personali possono essere trattati solo previo rilascio di un’idonea informativa agli interessati (in forma semplificata e in formato digitale) e, successivamente, precisato che il titolare del trattamento (rectius Sky) deve essere in grado di garantire ai propri abbonati la possibilità di opporsi al trattamento, mediante l’utilizzo del telecomando, collegandosi al proprio sito internet istituzionale o, ancora, tramite una comunicazione email o il servizio di call center messo a disposizione dei propri clienti.

Link alla fonte

Privacy Shield: per il Garante Privacy Europeo necessarie modifiche all’accordo Europa-USA

Con Parere n. 4/2016, il Garante Europeo per la protezione dei dati personali si è espresso in merito al contenuto della bozza di accordo tra Europa e Stati Uniti – cd. “Privacy Shield” - adottato dalla Commissione Europea il 2 Febbraio scorso, suggerendo, in primis, la chiarificazione dei principi fondamentali del trattamento – tra cui ad esempio la conservazione, il diritto di accesso e di opposizione al trattamento dei propri dati personali – e, in secondo luogo, la precisazione delle finalità, quali ad esempio la protezione della sicurezza nazionale o la tutela di un pubblico interesse, sulla base delle quali è possibile derogare ai principi generali dettati dall’accordo stesso. Tra i vari suggerimenti del Garante Europeo, inoltre, anche l’implementazione della disciplina relativa alla nuova figura del Difensore Civico, la previsione di regole specifiche circa il diritto di accesso delle autorità americane ai dati personali degli interessati e l’adeguamento dell’accordo sulla base dei principi di “privacy by design” e “privacy by default” previsti dal nuovo Regolamento Europeo n. 2016/679.

Link alla fonte

AGCOM: sanzione da 300 mila euro a due società del gruppo Amazon

Con delibera del 9 marzo 2016, l’Autorità Garante della concorrenza e del mercato ha irrogato due sanzioni pecuniarie, di 80 e 220 mila euro, alle società Amazon EU Sàrl e Amazon Services Europe Sàrl, adibite alla vendita diretta ed alla gestione della piattaforma marketplace del sito. Le due società, in particolare hanno omesso di fornire, in maniera “immediatamente percepibile” ai consumatori prima dell’acquisto, le informazioni precontrattuali obbligatorie previste dagli articoli 49 e 51.2 del Codice del Consumo, relative all’identità della controparte del contratto di compravendita, alla garanzia legale di conformità, alle condizioni di assistenza post vendita ed al diritto di recesso. Secondo l’AGCOM, nello specifico, tali informazioni devono essere rese ai consumatori “in maniera chiara ed evidente”, non potendo le stesse essere limitate ad un mero link alle sezioni “Termini e Condizioni” e “Garanzie Legali”, poste in calce al sito web.

Link alla fonte

Turin
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milan
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Rome
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy
Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy