Tag: limitazione della conservazione
-
GPDP, Docweb 9773590, 7.4.2022 (3)
Massima (3) – Allorquando siano impiegati sistemi di videosorveglianza, il titolare del trattamento, oltre a rendere l’informativa di “primo livello” mediante apposizione di segnaletica di avvertimento in prossimità della zona sottoposta a videosorveglianza, deve fornire agli interessati anche delle informazioni di “secondo livello”, che devono contenere tutti gli elementi obbligatori a norma dell’art. 13 GDPR ed essere facilmente accessibili per l’interessato
-
Docweb 9773590, 7.4.2022 (2)
Massima (2) – Seppur in presenza di una condizione di liceità del trattamento di dati personali, il titolare è tenuto a rispettare i principi in materia di data protection, fra i quali quelli di liceità, correttezza e trasparenza e limitazione della conservazione, di privacy by default e privacy by design, ed il principio di responsabilizzazione. Pertanto, qualora un Comune intenda adottare “videotrappole” per il contrasto al fenomeno illecito dei rifiuti urbani, viola gli art. 5, par. 2, e art. 24, par. 1 e 2, GDPR qualora non abbia adottato alcun atto organizzativo in relazione all’impiego dei predetti dispositivi video e non abbia assunto alcuna determinazione in materia di protezione dei dati personali prima di iniziare il trattamento dei dati personali in questione, volta ad adottare misure tecniche e organizzative adeguate per attuare in modo efficace i principi di base in materia di protezione dei dati.
-
Sulla (il)liceità dei trattamenti di dati personali posti in essere dai Comuni mediante “videotrappole” per il contrasto all’illecito abbandono dei rifiuti
GPDP, Docweb n. 9773950 del 7 aprile 2022 | Massime e Commento di Alice Incerti
-
GPDP, Docweb 9698724, 22.7.2021 (4)
Massima (4) – Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati «soltanto su istruzione documentata del titolare» [art. 28, par. 3, lett. a), GDPR].
-
GPDP, Docweb 9698724, 22.7.2021 (3)
Massima (3) – Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, n. 7, GDPR). Sul titolare ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una «responsabilità generale» sui trattamenti posti in essere (v. art. 5, par. 2 c.d. «accountability» e 24 GDPR), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, n. 8) e 28 GDPR).
-
GPDP, Docweb 9698724, 22.7.2021 (1)
Massima (1) – In base alla disciplina in materia di protezione dei dati personali i soggetti pubblici possono trattare i dati solo se necessario «per adempiere un obbligo legale al quale è soggetto il titolare del trattamento» oppure «per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento» [art. 6, par. 1, lett. c) ed e), GDPR]. In tale quadro, la regolazione delle soste e dei parcheggi a pagamento rientra tra le attività istituzionali affidate agli enti locali.
-
La Data Protection fra le strade cittadine: le violazioni del GDPR relative alla “modernizzazione” dei parcometri per la gestione della sosta a pagamento
GPDP, Docweb n. 9698724 del 22 luglio 2021 | Massime e Commento di Martina Voci
-
GPDP, Docweb 9578184, 23.4.2021 (1)
Massima (1) - Il d.l. n. 52/2021, introduttivo della c.d. certificazione verde, quale misura atta a contrastare la diffusione del virus SARS-CoV-2, non costituisce idonea e lecita base giuridica del trattamento dei dati personali in essa contenuti, in primis poiché risulta del tutto privo di un’indicazione esplicita e tassativa delle specifiche finalità perseguite dal legislatore ed in secundis poiché si palesa del tutto lesivo di diversi fra i principi guida in materia di data protection, quali la minimizzazione dei dati, l’esattezza, la limitazione della conservazione, l’integrità e la riservatezza.
-
Provvedimento di avvertimento in merito ai trattamenti effettuati relativamente alla certificazione verde per Covid-19 prevista dal d.l. 22 aprile 2021, n. 52
GPDP, Docweb n. 9578184 del 23 aprile 2021 | Massima e Commento di Alice Incerti