Archivio dei tag Pillole di Privacy

DiGiampaolo Cirioni

TAR Sicilia: i dati personali non sono quelli delle persone giuridiche

Pillole di Privacy #9 – 25/10/2018

Nella mia “pillola di Privacy” #2 del 10 settembre 2018 ne avevo parlato genericamente.

Ora il TAR della Sicilia lo sentenzia. Vediamo come.

Con sentenza pubblicata il 1 ottobre 2018, (Decisione 1 ottobre 2018, n. 2020) il TAR Sicilia si è pronunciato in merito alla definizione di “dato personale” ed al relativo ambito di applicazione.

Il TAR è stato chiamato a pronunciarsi in merito alla legittimità di un provvedimento di autorizzazione all’accesso agli atti, emanato a seguito della richiesta di ottenimento di determinate informazioni, relativi ad operazioni di bonifico effettuate a favore di un ente.

La legittimità di tale provvedimento è contestata sulla base della lamentata violazione dell’articolo 5-bis, comma 2, del D. lgs. n. 33/2013, secondo cui: “l’accesso… è rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela di interessi privati” tra cui è, in particolare, compresa “la protezione dei dati personali, in conformità con la disciplina legislativa in materia”.

Il motivo dedotto dal ricorrente offre l’occasione al TAR per approfondire l’invocata tutela dei dati personali, alla luce della disciplina introdotta dal regolamento (UE) 2016/679 e, nello specifico, per fornire proprie indicazioni in merito alla definizione di “dato personale”, identificato come “qualsiasi informazione riguardante una persona fisica identificata o identificabile, quali nome, cognome, data di nascita, numero di telefono, codice fiscale, numero di conto corrente e informazioni che permettono di sapere quando, con chi e per quanto tempo ci si è collegati in rete: indirizzo e-mail, i c.d. file di log”.

Il TAR richiama gli interventi di modifica apportati all’allora vigente “Codice in materia di protezione dei dati personali” dall’articolo 40 del d.l. n. 201 del 2011, per effetto dei quali il riferimento a “persona giuridica, ente o associazione” era stato espunto dalla definizione di “dato personale”, in tal modo limitando l’ambito di applicazione della disciplina relativa al trattamento dei dati personali alle sole persone fisiche, impostazione confermata anche dall’assetto attuale, di cui al Regolamento Ue 679/2016. Lo stesso TAR, infatti, riconosce che “il GDPR non disciplina in alcun modo il trattamento dei dati che riguardano la persona giuridica (salvo poche eccezioni che, tuttavia, non interessano in questa sede) atteso che dalla definizione di “dato personale” e di “interessato” … rimane escluso qualsiasi riferimento a persone giuridiche, enti o associazioni” ).

Le considerazioni che precedono hanno portato il TAR a ritenere non applicabile la limitazione contenuta nella normativa invocata dal ricorrente relativa alla protezione dei dati personali, trattandosi “della richiesta di informazioni riguardanti non una persona fisica ma una persona giuridica”.

DiGiampaolo Cirioni

Si può chiedere la dichiarazione dei redditi del coniuge al Fisco?

Pillole di Privacy #8 – 16/10/2018

Tendenzialmente, va subito precisato che la privacy lo vieta.

Vale a dire che non si può imporre all’Agenzia delle Entrate di esibire una copia della dichiarazione dei redditi del coniuge. Neanche se la richiesta viene motivata dall’esigenza di difendersi in giudizio e produrre le prove al tribunale. E infatti anche per il Gdpr le esigenze delle privacy recedono di fronte alla necessità di garantire l’esercizio del diritto di difesa in sede giudiziaria.

Va però detto che la ricostruzione del patrimonio dei coniugi per determinare l’assegno di mantenimento trova ampia tutela nel nostro ordinamento per cui il giudice della separazione può decidere se e come provvedere, tenuto conto che può disporre anche indagini di polizia tributaria a carico delle parti.

Quindi, in sostanza, il coniuge non ha diritto a chiedere, prima o durante la causa, le dichiarazioni dei redditi al Fisco, ma sarà il magistrato ad emettere un provvedimento – su richiesta della parte – con cui ordina l’esibizione della documentazione.

Il che consente da un lato la tutela della privacy del contribuente e dall’altro l’esercizio del diritto di difesa giudiziale per il coniuge richiedente.

DiGiampaolo Cirioni

305 segnalazioni di Data Breach in 4 mesi, il motivo è semplice: si rischia molto!

Pillole di Privacy #7 – 15/10/2018

305 segnalazioni di Data Breach pervenute al Garante Privacy dal 25 maggio al settembre 2018, un’enormità rispetto al passato. La violazioni di dati, il c.d. Data Breach, con il nuovo regolamento GDPR deve essere segnalato all’Autorità entro 72 ore da parte dei soggetti, imprese o pubbliche amministrazioni, che li subuiscono. La conseguenza per l’Autorità è l’apertura di un fascicolo e la necessità di monitorare e verificare in diretta l’evolversi della situazione.

A scopi statistici, si ricorda che nello stesso periodo del 2017, le segnalazioni di Data Breach pervenute al Garante Privacy erano state nell’ordine di poche decine, tenuto conto che prima dell’entrata in vigore del Regolamento Europeo erano soltanto le Aziende di Telecominucazioni e le Pubbliche Amministrazioni che denunciavano i Data Breach.

A titolo informativo e senza scendere nel dettaglio, si ricorda che in caso di mancato rispetto delle procedure di notifica della violazione si applica la sanzione amministrativa fino ad un importo di 10 milioni di euro oppure il 2% del fatturato dell’intera società. In caso di mancata notifica si configura anche l’assenza di adeguate misure di sicurezza, per cui si cumulano due distinte sanzioni.

DiGiampaolo Cirioni

Anche il parrucchiere deve essere conforme al GDPR

Pillole di Privacy #6 – 10/10/2018

Con il comunicato stampa dell’8 ottobre 2018 il Garante ha pubblicato il modulo di registro dei trattamenti per imprese e professionisti sotto i 250 dipendenti e sebbene il GDPR tratti il registro come adempimento obbligatorio soltanto per alcune categorie di imprese e professionisti, è l’Autorità Garante della Privacy a consigliare a tutti di redigerlo e aggiornarlo, in quanto rappresenta uno degli strumenti più importanti per fornire un quadro aggiornato dei trattamenti effettuati e per ogni attività di valutazione del rischio.

Il registro delle attività di trattamento è uno degli adempimenti obbligatori per titolari e responsabili appartenenti alle seguenti categorie:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.

L’obbligo quindi si estende anche alle piccole imprese che hanno anche un solo dipendente, bar, ristoranti, piccoli negozi o anche titolari di partita IVA che per via della loro attività trattano dati sanitari dei propri clienti.

Quindi, tornando all’esempio del titolo: il parrucchiere che effettua test su possibili allergie dei propri clienti, dovrà necessariamente redigere un Registro dei Trattamenti.

DiGiampaolo Cirioni

Chi pensa che per essere in regola con il GDPR sia sufficiente compilare file o moduli si sbaglia, e di molto!

Pillole di Privacy #5 – 01/10/2018
L’intero Regolamento si basa sul principio di Accountability, ovvero di responsabilizzazione di chi è titolare del trattamento dei dati. Quest’ultimo, infatti, avrà l’obbligo di prendersi del tempo per seguire con attenzione il percorso del dato e dovrà garantirgli la massima sicurezza possibile in tutto il suo percorso.

Sembra facile, ma non lo è, non è standardizzabile poiché ognuno ha una struttura informatica diversa, ognuno ha relazioni gestite in modo diverso, la nuova Privacy è “un vestito su misura” da riprovare ogni anno per adattarlo ai cambiamenti fisiologici.