Condizioni di liceità

  • GPDP, Docweb 9544504, 27.1.2021 (3)

    Massima (3) – La condotta dell’interessata non rileva ai fini della valutazione dell’illiceità del trattamento in relazione alla violazione dei dati personali, là dove la violazione sia comunque imputabile all’inadeguatezza delle misure tecniche e organizzative implementate, a prescindere dalla supposta incidenza causale della condotta dell’interessato medesimo sugli eventi. Né rileva, ai fini della valutazione dell’illecito, la circostanza che il terzo, a cui siano stati comunicati illecitamente i dati relativi alla salute dell’interessata (causa del ricovero ospedaliero), sia un prossimo congiunto che li abbia comunque appresi in altro modo.

  • GPDP, Docweb 9544504, 27.1.2021 (1)

    Massima (1) – La disciplina in materia di protezione dei dati personali (considerando n. 35 e art. 9 GDPR, nonché art. 83 d.lgs. 196/2003, in combinato disposto con l’art. 22, co. 11, d.lgs. 101/ 2018) prevede, in ambito sanitario, che le informazioni sullo stato di salute possano essere riferite solo all’interessato e possano essere comunicate a terzi solo sulla base di un idoneo presupposto giuridico o su specifica indicazione dell’interessato stesso, previa delega scritta di quest’ultimo.

  • Illecita comunicazione di dati relativi all’interruzione volontaria della gravidanza da parte di una struttura sanitaria al marito della paziente

    GPDP, Docweb n. 9544504 del 27 gennaio 2021 | Massime e Commento di Luca Petrone

  • GPDP, Docweb 9751362, 10.2.2022 (8)

    Massima (8) – La pubblicazione di dati personali in Internet, per il solo fatto del loro pubblico stato, non legittima il loro trattamento da parte di titolari terzi per finalità proprie, ulteriori e non compatibili rispetto a quelle originariamente perseguite con la pubblicazione.

  • GPDP, Docweb 9751362, 10.2.2022 (7)

    Massima (7) – Per legittimare un’attività di trattamento, un titolare che tratta categorie particolari di dati non può mai invocare soltanto un fondamento giuridico ai sensi dell’art. 9 GDPR, ma dovrà applicare, in maniera cumulativa, anche le previsioni dell’art. 6 GDPR al fine di garantirne il livello di tutela pertinente. L’applicazione cumulativa delle tutele previste dagli articoli citati risulta dirimente anche per escludere interpretazioni che portino a sostenere la possibilità di trattare categorie particolari di dati, senza rispettare l’art. 6, in presenza delle sole eccezioni di cui all’art. 9. Per tale ragione, ad esempio, sarebbe inappropriato concludere che il fatto che qualcuno abbia reso alcune categorie particolari di dati manifestamente pubbliche, ai sensi dell’art. 9, par. 2, lett. e), del GDPR, sia (sempre in sé e per sé) una condizione sufficiente a consentire qualunque tipo di trattamento dei dati, senza effettuare un test comparativo degli interessi e dei diritti in gioco in conformità dell’art. 6, par. 1, lett. f), del GDPR.

  • GPDP, Docweb 9751362, 10.2.2022 (1)

    Massima (1) – Ove il titolare del trattamento non individui un proprio stabilimento in Europa, al fine di condurre una valutazione in ordine all’applicabilità della normativa europea in materia di protezione dei dati personali al trattamento da questi posto in essere, occorre verificare la sussistenza dei criteri di cui all’art. 3, par. 2, del GDPR (c.d. targeting). Tali criteri sono individuati nell’offerta di beni o servizi ad interessati che si trovano nell’Unione oppure nello svolgimento, rispetto a questi ultimi, di un’attività correlata al monitoraggio del comportamento di essi, nella misura in cui quest’ultimo ha luogo nell’Unione.

  • Riconoscimento facciale e (il)liceità del trattamento di dati biometrici

    GPDP, Docweb n. 9751362 del 10 febbraio 2022 | Massime e Commento di Dalia Pizzocchero

  • GPDP, Docweb 9737121, 16.12.2021 (5)

    Massima (5) – Al fine di contemperare i diritti della persona (in particolare il diritto alla riservatezza) con la libertà di manifestazione del pensiero, la disciplina in materia di protezione dei dati personali prevede specifiche garanzie e cautele nel caso di trattamenti effettuati per finalità giornalistiche, confermando la loro liceità, anche laddove essi si svolgano senza il consenso degli interessati, purché avvengano nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone alle quali si riferiscono i dati trattati (cfr. artt. 136 ss. e art. 102, comma 2, lett. a), del Codice) e sempre che si svolgano nel rispetto del principio dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico (art. 6 delle “Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica”, pubblicate in G.U. 4 gennaio 2019, n. 3).

  • GPDP, Docweb 9696708, 22.7.2021 (2)

    Massima (2) – Non può ritenersi applicabile all’attività promozionale effettuata a mezzo posta elettronica a dati di contatto estratti da albi pubblici la base giuridica del legittimo interesse, non potendosi ravvisare, nel caso di specie, le condizioni per la sua operatività, quali una pregressa e costante interazione positiva fra titolare e interessato che dunque possa ragionevolmente aspettarsi di ricevere comunicazioni promozionali. Al riguardo, non può avere rilievo liceizzante il contenuto formativo specialistico, anche ove di comprovata utilità, interesse o gradimento per i destinatari, dei messaggi in questione.

  • GPDP, Docweb 9696708, 22.7.2021 (1)

    Massima (1) – Per espressa e specifica previsione legislativa, le modalità automatizzate di contatto, come la posta elettronica, ove utilizzate per finalità anche latamente commerciali, richiedono sempre il previo libero e specifico consenso degli interessati (art. 130 del Codice privacy, commi 1 e 2), con l’unica eccezione della c.d. «soft spam», di cui al comma 4 del medesimo art. 130. Non può, quindi, ritenersi ammesso inviare comunicazioni a mezzo posta elettronica utilizzando dati raccolti sul web, anche ove si tratti di albi ufficiali e pubblici.

Open Access