Tag: informativa
-
GPDP, Docweb 9773590, 7.4.2022 (3)
Massima (3) – Allorquando siano impiegati sistemi di videosorveglianza, il titolare del trattamento, oltre a rendere l’informativa di “primo livello” mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle informazioni di “secondo livello”, che devono contenere tutti gli elementi obbligatori a norma dell’art. 13 GDPR ed essere facilmente accessibili per l’interessato
-
Docweb 9773590, 7.4.2022 (2)
Massima (2) – Seppur in presenza di una condizione di liceità del trattamento di dati personali, il titolare è tenuto a rispettare i principi in materia di data protection, fra i quali quelli di liceità, correttezza e trasparenza e limitazione della conservazione, di privacy by default e privacy by design, ed il principio di responsabilizzazione. Pertanto, qualora un Comune intenda adottare “videotrappole” per il contrasto al fenomeno illecito dei rifiuti urbani, viola gli art. 5, par. 2, e art. 24, par. 1 e 2, GDPR qualora non abbia adottato alcun atto organizzativo in relazione all’impiego dei predetti dispositivi video e non abbia assunto alcuna determinazione in materia di protezione dei dati personali prima di iniziare il trattamento dei dati personali in questione, volta ad adottare misure tecniche e organizzative adeguate per attuare in modo efficace i principi di base in materia di protezione dei dati.
-
GPDP, Docweb 9773950, 7.4.2022 (1)
Massima (1) – Il trattamento di dati personali mediante sistemi di videosorveglianza da parte di soggetti pubblici è generalmente ammesso se esso è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito lo stesso, ai sensi dell’art. 6, parr. 1, lett. c) ed e), e 3, GDPR, nonché dell’art. 2-ter del Codice in materia di protezione dei dati personali. Sussiste la predetta condizione di liceità in caso di trattamento dei dati personali posto in essere da un Comune tramite l’uso di “videotrappole” per la repressione degli illeciti. Ciò in quanto tale trattamento rientra nello svolgimento di una attività istituzionale affidata agli enti locali, quale ben può dirsi la gestione dei rifiuti solidi urbani e il contrasto del loro illecito abbandono.
-
Sulla (il)liceità dei trattamenti di dati personali posti in essere dai Comuni mediante “videotrappole” per il contrasto all’illecito abbandono dei rifiuti
GPDP, Docweb n. 9773950 del 7 aprile 2022 | Massime e Commento di Alice Incerti
-
GPDP, Docweb 9768363, 11.5.2022 (6)
Massima (6) – Il trattamento dei dati personali effettuato mediante i sistemi di acquisizione gestione delle segnalazioni di attività illecite (whistleblowing) presenta rischi specifici per i diritti e le libertà degli interessati, considerata anche la particolare delicatezza delle informazioni potenzialmente trattate, la “vulnerabilità” degli interessati nel contesto lavorativo, nonché lo specifico regime di riservatezza dell’identità del segnalante previsto dalla normativa di settore. In relazione a tale trattamento sussiste pertanto l’obbligo di effettuare preventivamente la valutazione di impatto di cui all’art. 35 GDPR, necessaria a individuare misure specifiche per attenuare i rischi derivanti da tale trattamento.
-
GPDP, Docweb 9768363, 11.5.2022 (3)
Massima (3) – I trattamenti di dati personali effettuati per finalità di acquisizione e gestione di segnalazioni di condotte illecite (c.d. whistleblowing) vanno censiti nel registro delle attività di trattamento di cui all’art. 30 GDPR, che deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. La tenuta del registro è funzionale al rispetto del principio di “responsabilizzazione” del titolare (art. 5, par. 2, GDPR), in quanto costituisce uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno dell’organizzazione del titolare. Ciò risulta particolarmente rilevante con riguardo alle attività di valutazione e di analisi del rischio, costituendo, pertanto, un adempimento preliminare rispetto a tali attività.
-
GDPD, Docweb 9768363, 11.5.2022 (2)
Massima (2) – Nell’ambito della disciplina relativa alla tutela del dipendente pubblico che segnala illeciti e di quella in materia di whistleblowing riferita ai soggetti privati, andata ad integrare la normativa in materia di responsabilità amministrativa delle persone giuridiche, il titolare del trattamento (considerata anche la particolare delicatezza delle informazioni potenzialmente trattate e la “vulnerabilità” degli interessati nel contesto lavorativo), anche quando utilizza prodotti o servizi realizzati da terzi oltre all’assolvimento dell’obbligo di rendere adeguate informazioni agli interessati deve eseguire, anche avvalendosi del supporto del responsabile della protezione dei dati ove nominato, una valutazione dei rischi e accertarsi che siano disattivate le funzioni che non hanno una base giuridica, non sono compatibili con le finalità del trattamento, ovvero si pongono in contrasto con specifiche norme di settore previste dall’ordinamento.
-
GPDP, Docweb 9768363, 11.5.2022 (1)
Massima (1) – In caso di adozione di un sistema di whistleblowing, il titolare del trattamento, in applicazione del principio di “liceità, correttezza e trasparenza”, ha l’obbligo di fornire preventivamente a tutta la platea dei possibili soggetti interessati (tra cui il segnalante, il soggetto segnalato e i terzi comunque coinvolti nei fatti segnalati) specifiche informazioni sul trattamento dei dati personali e deve adottare misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 del GDPR.
-
La tutela dell’identità del segnalante nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (“whistleblowing”)
GPDP, Docweb n. 9768363 dell’11 maggio 2022 | Massime e Commento di Luca Petrone
-
GPDP, Docweb 9698724, 22.7.2021 (4)
Massima (4) – Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati «soltanto su istruzione documentata del titolare» [art. 28, par. 3, lett. a), GDPR].