Alla maggioranza di noi sarà capitato di chiamare il medico di famiglia sentendosi dire, magari dalla segretaria, di inviare una foto del nostro referto tramite WhatsApp oppure di mandarlo tramite email ad un comune indirizzo di posta elettronica privato, come ad esempio quelli forniti gratuitamente con il servizio Gmail di Google. Questa è ormai l’esperienza comune, soprattutto dopo la pandemia da Covid-19. Per non parlare, poi, dei gestionali attraverso i quali i medici di famiglia organizzano il proprio studio medico, gestionali nei quali vengono caricati una valanga di dati particolari dei singoli pazienti.

Con l’intenzione di costituire una vera e propria Unione sanitaria europea, la Commissione europea ha lanciato una proposta di regolamento per l’istituzione di uno Spazio europeo dei dati sanitari (European Health Data Space – EHDS). Il regolamento si propone di migliorare l’accesso delle persone fisiche ai loro dati sanitari elettronici personali e il loro controllo su tali dati (c.d. uso primario), e per altre finalità di cui beneficerebbe la società quali la ricerca, l’innovazione, la definizione delle politiche, la sicurezza dei pazienti, la telemedicina personalizzata, le statistiche ufficiali o le attività normative ( c.d. uso secondario).

L’ordinanza ingiunzione nei confronti di Deutsche Bank S.p.A. del 16 giugno 2022 offre la possibilità di analizzare nuovamente una tema che Titolare e Responsabile del Trattamento non devono sottovalutare: il riscontro alle istanze di esercizio dei diritti.

I sistemi automatizzati, siano essi decisionali o di monitoraggio, fanno parte della realtà lavorativa, anche italiana. Ritenere che l’utilizzo di tali sistemi sia confinato esclusivamente sulle attività di consegna di cibo a domicilio nei centri urbani (cd. Riders) costituisce una visione miope della realtà lavorativa.

La Corte di Cassazione ha statuito che gli eredi a cui sia negato il diritto di accesso ai dati personali riferibili al terzo beneficiario di una polizza vita possano adire le vie legali ottenendone l’ostensione. In parole povere, la riservatezza dei dati personali deve cedere il passo rispetto all’esercizio di difesa in giudizio.  In linea di principio, non si può che convenire con quanto statuito dalla Corte di Cassazione nella sentenza 13 dicembre 2021 n. 39531.Osservazioni di natura critica, però, riguardano lo strumento che secondo la Corte sarebbe disponibile agli eredi per tutelare i propri diritti in giudizio.

Il 19 gennaio 2022, durante la sessione plenaria, l’EDPB ha adottato le Linee guida sul diritto di accesso ai dati personali da parte dell’interessato.  Già nel novembre 2019, nel corso di un evento su questo tema, i più importanti player avevano espresso le proprie opinioni in merito al diritto di accesso. Il Board, raccogliendo queste opinioni, ha sentito l’esigenza di pubblicare Linee guida per fornire, tra l’altro chiarimenti sulla portata del diritto di accesso, sulle informazioni che il titolare del trattamento deve fornire all’interessato, sul formato della richiesta di accesso, sulle principali modalità di fornitura dell’accesso e sulla nozione di “manifestamente infondata” o “richiesta eccessiva”.

L’autorità lussemburghese ha recentemente indicato che, per realtà di trattamento dati complesse, un DPO adeguato dovrebbe avere almeno tre anni di esperienza professionale. L’indicazione è stata resa nell’ambito di una attività ispettiva, in seguito alla quale una società lussemburghese veniva sanzionata dal Garante Privacy nazionale (CNPD) per aver nominato un DPO inadeguato.

Una volta designato o autorizzato un subordinato a svolgere determinati compiti connessi al trattamento dei dati personali, fino a che punto rimane responsabile il Titolare ovvero, fino a che punto l’assunzione di compiti e funzioni fa il paio con l’assunzione di profili di responsabilità? Esistono (e se sì, con quali limiti) ambiti di rivalsa del Titolare nei confronti del subordinato a fronte di una condanna ricevuta dal primo a seguito di un accertamento di responsabilità del sottoposto?

Da un’indagine della Guardia di finanza emergeva che undici schede telefoniche fossero state intestate a cinque ignari cittadini in spregio della normativa che ne richiede l'obbligo di identificazione dell'assegnatario dell'utenza e l'obbligo di rendere agli interessati le informazioni relativamente al trattamento dei dati personali.

La Corte (Cass. civ. Sez. lavoro, Sent., 22-09-2021, n. 25732) affronta nuovamente la questione, di indubbio rilievo nomofilattico, della compatibilità dei c.d. “controlli difensivi” (concetto elaborato dalla giurisprudenza precedentemente alla modifica dell'articolo 4 dello Statuto dei lavoratori) con l'attuale assetto normativo. La Corte, con un pronunciamento di indubbio valore esegetico, ha enunciato il seguente principio di diritto: I controlli difensivi possono essere posti in essere dal datore di lavoro solo in presenza di un fondato sospetto