Come noto i dati personali di natura sensibile possono essere trattati in presenza di idonee basi giuridiche. Inoltre, è dovere del titolare del trattamento omettere informazioni di dettaglio eccedenti la finalità della raccolta. In questi termini l’Autorità Garante ha ammonito una agenzia di investigazione privata che, incaricata di verificare la correttezza della condotta di una lavoratrice in merito alla fruizione di permessi retribuiti giustificati dalle condizioni di salute della madre, ha riportato nel rapporto investigativo l’indicazione della specifica malattia di cui presumibilmente quest’ultima era affetta.
Il Tribunale di Namur, in Vallonia, dichiara illegale il Green Pass e riaccende lo scontro sul certificato vaccinale e le misure per contrastare la pandemia di Covid. I giudici della capitale della regione francofona del Belgio bocciano le misure anti-Coronavirus e intimano alle autorità locali di ritirare le disposizioni in vigore, pena una multa giornaliera da 5.000 euro per ogni giorno. E’ stata accolta l’istanza dei cittadini dell’associazione "Notre Bon Droit".
La Suprema Corte di Cassazione, a fine dicembre 2019, è intervenuta (con ordinanza n.34113 del 19/12/2019), in materia di privacy, ribadendo le disposizioni afferenti il “principio di necessità nel trattamento dei dati” previsto dall’art. 3 del d.lgs n 196/2003 nonchè quanto previsto dall’art. 11 lett. d), richiedente la pertinenza, la completezza e non eccedenza dei dati rispetto alle finalità per cui sono raccolti e trattati (tali articoli sono stati recentemente abrogati a seguito dell’entrata in vigore del d.lgs n del 10/08/2018 n. 101).
Nella comunicazione tra amministrazioni pubbliche i dati sanitari trasmessi devono essere soltanto quelli "indispensabili" alla attività da compiere. La Corte di cassazione, sentenza n. 9919/2022, ha infatti accolto il ricorso di un uomo contro un comune laziale per i danni derivanti da un illegittimo trattamento dei suoi dati personali in occasione della presentazione della domanda di pensione per infermità dovuta a causa di servizio.
Il Data Protection Officer è una funzione di così recente introduzione che stiamo tutti imparando a comprendere come deve esercitare, nel migliore dei modi, il suo ruolo, in particolare in condizioni complesse. In questo articolo si vuole approfondire un tema specifico, spesso trascurato, che riguarda l’invasività delle indagini che il DPO deve svolgere nel rispetto del principio della minimizzazione dei dati. Egli si può trovare infatti a condurre indagini, in modo sostanzialmente analogo a quanto viene svolto dall’Organismo di Vigilanza nominato ai sensi del D.lgs 231/2001, per approfondire, ad esempio:
Un recente provvedimento dell’Autorità Garante (Provv. 16.09.2021 [9705650] ) ci fornisce lo spunto per affrontare il principio di minimizzazione, in base al quale i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità. Il caso riguarda un Istituto per non vedenti, che, per un breve arco di tempo, a causa di lavori di ristrutturazione dell’edificio, ha installato alcune telecamere in un corridoio dove insistevano le stanze (dotate di bagno, ma senza doccia) di tre ospiti, i quali per recarsi nei locali doccia dovevano attraversare il corridoio sottoposto a videosorveglianza, venendosi così a trovare trovare, anche involontariamente, in circostanze lesive della propria dignità.
In moltissime aziende è prevista la registrazione all’ingresso dei visitatori, siano essi clienti, manutentori esterni, addetti al vending, consulenti, rappresentanti di fornitori, candidati alla selezione, ecc. La registrazione è di norma svolta su supporti cartacei; le realtà più grandi dispongono invece di soluzioni elettroniche; in ogni caso molto raramente tale registrazione è gestita come un trattamento. In questo articolo si vogliono approfondire le implicazioni connesse a tale documento, con la consapevolezza che nelle aziende sono presenti situazioni molto variegate.
Fattura elettronica solo quando è necessario e cioè quando lo impone la legge o, in mancanza, quando lo chiede il consumatore finale. Fare una fattura elettronica fuori da questi casi espone alla sanzione fino a 20 milioni di euro prevista dall'articolo 83 del regolamento Ue sulla privacy n. 2016/679 (Gdpr).
Da un lato la tutela alla riservatezza del dato del singolo condomino che non ha interesse che le notizie che lo riguardino e di cui entra in possesso l'amministratore vengano comunicate a terzi soggetti, dall'altro l'articolo 1129 n. 9 Codice Civile, il quale prevede l’obbligo in capo all’amministratore di «fornire al condomino che ne faccia richiesta attestazione relativa allo stato dei pagamenti degli oneri condominiali e delle eventuali liti in corso». Occorre quindi effettuare un bilanciamento dei singoli interessi contrapposti e, per capire se prevale l’uno o l’altro e poter comprendere se e quali dati possono essere comunicati agli altri condòmini tra quelli riportati nel registro anagrafe, occorre ricercare anche nei provvedimenti specifici adottati dal Garante privacy.
L'Autorità olandese per la protezione dei dati (Autoriteit Persoonsgegevens) ha inflitto una sanzione di 2,75 milioni di euro all'amministrazione fiscale e doganale del Governo per violazioni del GDPR. L'amministrazione fiscale e doganale, parte del Ministero delle Finanze, per anni avrebbe trattato in modo discriminatorio e illecito i dati sulla doppia nazionalità dei richiedenti l'assegno per la custodia dei figli.
