Ambito
-
GPDP, Docweb 9768363, 11.5.2022 (3)
Massima (3) – I trattamenti di dati personali effettuati per finalità di acquisizione e gestione di segnalazioni di condotte illecite (c.d. whistleblowing) vanno censiti nel registro delle attività di trattamento di cui all’art. 30 GDPR, che deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. La tenuta del registro è funzionale al rispetto del principio di “responsabilizzazione” del titolare (art. 5, par. 2, GDPR), in quanto costituisce uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione del titolare. Ciò risulta particolarmente rilevante con riguardo alle attività di valutazione e di analisi del rischio, costituendo, pertanto, un adempimento preliminare rispetto a tali attività.
-
GDPD, Docweb 9768363, 11.5.2022 (2)
Massima (2) – Nell’ambito della disciplina relativa alla tutela del dipendente pubblico che segnala illeciti e di quella in materia di whistleblowing riferita ai soggetti privati, andata ad integrare la normativa in materia di responsabilità amministrativa delle persone giuridiche, il titolare del trattamento (considerata anche la particolare delicatezza delle informazioni potenzialmente trattate e la “vulnerabilità” degli interessati nel contesto lavorativo), anche quando utilizza prodotti o servizi realizzati da terzi oltre all’assolvimento dell’obbligo di rendere adeguate informazioni agli interessati deve eseguire, anche avvalendosi del supporto del responsabile della protezione dei dati ove nominato, una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento.
-
GPDP, Docweb 9768363, 11.5.2022 (1)
Massima (1) – In caso di adozione di un sistema di whistleblowing, il titolare del trattamento, in applicazione del principio di “liceità, correttezza e trasparenza”, ha l’obbligo di fornire preventivamente a tutta la platea dei possibili soggetti interessati (tra cui il segnalante, il soggetto segnalato e i terzi comunque coinvolti nei fatti segnalati) specifiche informazioni sul trattamento dei dati personali e deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 del GDPR.
-
La tutela dell’identità del segnalante nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (“whistleblowing”)
GPDP, Docweb n. 9768363 dell’11 maggio 2022 | Massime e Commento di Luca Petrone
-
GPDP, Docweb 9698724, 22.7.2021 (4)
Massima (4) – Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati «soltanto su istruzione documentata del titolare» [art. 28, par. 3, lett. a), GDPR].
-
GPDP, Docweb 9698724, 22.7.2021 (3)
Massima (3) – Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, n. 7, GDPR). Sul titolare ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una «responsabilità generale» sui trattamenti posti in essere (v. art. 5, par. 2 c.d. «accountability» e 24 GDPR), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, n. 8) e 28 GDPR).
-
GPDP, Decweb 9698724, 22.7.2021 (2)
Massima (2) – Pur in presenza di un presupposto giuridico, ad ogni modo, il titolare del trattamento è comunque tenuto a rispettare i principi in materia di protezione dei dati, fra i quali quelli di «liceità, correttezza e trasparenza», «limitazione della conservazione» e «integrità e riservatezza» in base ai quali i dati sono «trattati in modo lecito, corretto e trasparente nei confronti dell'interessato», «conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati» e «trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati» [art. 5, par. 1, lett. a), e) e f), GDPR]. Ove un ente locale tratti dati personali degli utenti con parchimetri modernizzati, che richiedano il necessario inserimento del numero di targa al fine di rendere non necessario l’esposizione del tagliando da parte degli interessati, occorre rendere loro un’adeguata e completa informativa (ai sensi dell’art. 13 GPR), definire i tempi di conservazione dei dati personali raccolti e dare in tal senso precise istruzioni alla società designata responsabile del trattamento. Ove non siano state adottate «misure adeguate a garantire che siano trattati solo i dati necessari, con particolare riferimento alla definizione dei tempi di conservazione dei dati personali», va considerato violato il principio di «limitazione della conservazione» e quello di «protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita» di cui agli artt. 5, par. 1, lett. e) e 25 GDPR.
-
GPDP, Docweb 9698724, 22.7.2021 (1)
Massima (1) – In base alla disciplina in materia di protezione dei dati personali i soggetti pubblici possono trattare i dati solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» [art. 6, par. 1, lett. c) ed e), GDPR]. In tale quadro, la regolazione delle soste e dei parcheggi a pagamento rientra tra le attività istituzionali affidate agli enti locali.
-
La Data Protection fra le strade cittadine: le violazioni del GDPR relative alla “modernizzazione” dei parcometri per la gestione della sosta a pagamento
GPDP, Docweb n. 9698724 del 22 luglio 2021 | Massime e Commento di Martina Voci
-
GPDP, Docweb 9669974, 13.5.2021 (6)
Massima (6) – Il trattamento dei dati personali dei lavoratori, consistente nella raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web dei singoli dipendenti (originariamente associati in via diretta al nominativo, successivamente, attraverso l’id macchina), nella memorizzazione per trenta giorni e nella possibilità di estrarre una reportistica relativa alla navigazione di singoli dipendenti, comporta rischi specifici per i diritti e le libertà degli interessati nel contesto lavorativo e richiede l’obbligo di valutazione di impatto ai sensi dell’art. 35 GDPR. Ciò a maggior ragione se si considera la particolare “vulnerabilità” degli interessati nel contesto lavorativo e l’impiego di sistemi che comportano il “monitoraggio sistematico”, da cui derivi anche la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti.