Privacy: per la Corte di Giustizia Europea va consentito l’accesso ai dati alle autorità competenti anche per i reati meno gravi

L’Avvocato Generale della CGUE Henrik Saugmandsgaard (causa C-207/16) afferma che «il diritto dell’Unione non osta a che le autorità competenti possano avere accesso ai dati di identificazione, detenuti da fornitori di servizi di comunicazione elettronica, qualora tali dati consentano di rintracciare i presunti autori di un reato che non presenta un carattere grave».

Nel caso oggetto della controversia, la questione nasceva a seguito di una rapina di un portafoglio e un telefono cellulare a seguito della quale la polizia giudiziaria spagnola, nell’ambito dell’indagine penale, chiedeva al Giudice istruttore l’autorizzazione per accedere ai dati identificativi dei numeri di telefono attivati dal cellulare rubato. Il Giudice respingeva la domanda ritenendo che secondo il diritto spagnolo l’accesso a tali dati sarebbe stato possibile solo in caso di reato grave.

In base alla Direttiva 2002/58/CE riguardante la vita privata e le comunicazioni elettroniche gli Stati membri possono limitare i diritti dei cittadini quando «tale restrizione costituisca una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica o per assicurare la prevenzione, la ricerca, l’accertamento e il perseguimento dei reati ovvero dell’uso non autorizzato del sistema di comunicazione elettronica».

In sostanza secondo l’Avvocato Generale, alla luce della citata Direttiva, nel caso in esame la misura richiesta dalla polizia giudiziaria comporta un’ingerenza nei diritti fondamentali in gioco non così grave da non essere consentita ed è quindi possibile consentire tale accesso, anche se il reato in questione presenta un carattere meno grave.

GDPR: circolano fake news su improbabili proroghe ma il Garante smentisce.

Negli ultimi giorni è circolata la notizia che l’autorità Garante avrebbe prorogato di sei mesi l’effettiva applicazione delle sanzioni, ma si tratta di un falso (Fake news).

Il GDPR, come ormai noto, è ufficialmente entrato in vigore il 25 maggio 2016 in tutti gli Stati membri dell’Unione Europea e – dopo ben due anni di tempo concessi dall’Unione Europea agli Stati membri per dare loro modo di adeguarsi – il prossimo 25 maggio 2018 il Regolamento UE 2016/679 diventerà definitivamente efficace.

Il Garante Privacy ha fatto sapere di non avere mai parlato di proroghe nè di periodo di grazia per le sanzioni alle aziende che, a seguito di ispezioni, fossero trovate non Compliance con il GDPR.

Viene quindi ribadito che dal 25 maggio 2018 in Italia inizieranno i controlli degli appositi organi di ispezione, come i nuclei ispettivi Privacy della Guardia di Finanza.

Privacy: il GDPR è solo l’inizio del cambiamento che segnerà il futuro

È ormai vicinissimo il 25 maggio 2018, data in cui il Regolamento UE 2016/679 (conosciuto anche come GDPR) diventerà efficace in tutta Europa. Il GDPR risponde ad esigenze imprescindibili e urgenti portate dal progresso tecnologico che è parte integrante della moderna società.*

In Europa la cultura della privacy sta attraversando un cambiamento epocale del quale ci renderemo effettivamente conto negli anni a venire. Ognuno di noi è coinvolto in questo cambiamento e le aziende devono essere in regola con la privacy dotandosi di una adeguata struttura, organizzata per tutelare e difendere sia i dati propri che quelli dei propri clienti, oltre che per evitare possibili sanzioni.

Professionisti e consulenti hanno il delicato compito di accompagnare le aziende nel processo di ‘privacy compliance’ tenendo presente il core business, nel rispetto del principio di proporzionalità. La compliance dovrebbe così essere integrata nella Mission aziendale affinché gli insegnamenti contenuti nel GDPR vengano effettivamente recepiti. Ove l’azienda affermi di essere interessata soltanto ad evitare la sanzione, senza curarsi di assimilare i principi del GDPR, saremmo in presenza di una cattiva abitudine che però può essere eliminata sostituendola con una buona.

Il concetto ormai noto di compliance è legato all’onestà e all’etica anche in relazione a principi deontologici o codici di comportamento e viene spesso associato all’onestà intellettuale. Al di là dell’obbligo normativo, quindi, perché è fondamentale essere privacy compliance? La risposta è duplice. Dal punto di vista teorico essere compliance significa dimostrare di aver compreso l’importanza del cambiamento (consapevolezza) adeguandosi al principio dell’accountability; dal punto di vista pratico la compliance serve a migliorare l’efficienza e il rendimento, tutelare e valorizzare i dati aziendali, migliorare la reputazione aziendale e conseguentemente incrementare il patrimonio aziendale. In altri termini un profitto.

Le aziende non devono temere tanto la sanzione quanto piuttosto il danno reputazionale derivante dal mancato rispetto delle norme in materia di privacy, con tutto ciò che ne consegue a livello economico e di immagine.**

Per usare le parole del GDPR, in virtù dell’accountability ognuno è investito da una grande responsabilità ogni volta che tratta dati personali. Tale responsabilità è tanto più grande quanto più il trattamento incide sulla libertà e sui diritti della persona.

Marco Domenico Luongo

* Il GDPR, nato dopo una lunga e articolata gestazione, arriva oltre vent’anni dopo la prima Direttiva Europea 95/46/CE in materia di protezione dei dati, dal recepimento della quale in Italia prese forma l’ormai vecchio codice privacy (D.lgs. 196/03), figlio di un’epoca in cui la tecnologia disponibile non era neanche lontanamente paragonabile a quella di oggi.

** Il recente caso di Facebook – Cambridge Analytica ha dimostrato al mondo intero che gli effetti di un ‘data breach’ (violazione di dati personali) vanno ben al di là di una sanzione. Sarebbe interessante chiedere a Mark Zuckerberg, CEO di Facebook, una stima del danno reputazionale derivante, ad esempio, dalla eventuale riduzione delle inserzioni pubblicitarie a pagamento da parte dei clienti vittime del data breach.

 

Garante Privacy: no al controllo indiscriminato e prolungato delle e-mail dei dipendenti

Il Garante Privacy, nella Newsletter n. 439 del 29 marzo 2018, è intervenuto sul controllo massivo e sulla conservazione illimitata delle e-mail dei dipendenti durante l’orario lavorativo, vietandone il controllo indiscriminato e prolungato delle e-mail da parte del datore di lavoro.

Nello specifico, l’Autorità ha vietato la memorizzazione indiscriminata ed indeterminata di dati esterni personali raccolti nel corso di un biennio da una società nei confronti di un proprio lavoratore subordinato nelle e-mail in entrata e in uscita, anche di natura privata e goliardica, scambiate con altri colleghi e collaboratori. Licenziato, il provvedimento disciplinare è stato poi annullato dal giudice del lavoro. Il Garante precisa che la società deve limitarsi a conservare informazioni ai soli fini della tutela dei diritti nel giudizio pendente.

 

Arriva il decreto legislativo di adeguamento al GDPR (Regolamento Privacy UE 2916/679)

Il Consiglio dei Ministri n. 75, tenutosi il 21 marzo 2018, ha approvato in esame preliminare un decreto legislativo che introduce le disposizioni per l’adeguamento della normativa nazionale al regolamento europeo relativo alla protezione dei dati personali, nonché alla libera circolazione dei dati.

Su proposta del Presidente Paolo Gentiloni e del Ministro della Giustizia Andrea Orlando è stato approvato, in esame preliminare, dal Consiglio dei Ministri n. 75, un decreto legislativo che, in attuazione dell’art. 13 l. n. 163/2017, introduce alcune disposizioni per l’adeguamento della normativa nazionale alla disciplina dettata dal regolamento europeo inerente alla protezione delle persone fisiche, «con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati».
Dal 25 maggio 2018, si legge nel comunicato stampa del Consiglio dei Ministri n. 75, le disposizioni di diritto europeo acquisteranno efficacia ed «il vigente codice in materia di protezione dei dati personali, di cui al d.lgs. n. 196/2003, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy».

Fonte: diritto e giustizia

Legittimo il ricorso per ingiunzione dei condomini se l’amministratore non consegna le pezze giustificative

Un amministratore di condominio è stato condannato a consegnare ai condomini la copia dei documenti giustificativi di spesa.

Lo strumento processuale dell’ingiunzione previsto dall’art.633 c.p.c., adottato dai condomini aventi causa, è legittimo non solo per il pagamento di somme bensì anche per la consegna di una cosa mobile determinata e nel caso di specie per la consegna di documenti.

In tema di condominio, quindi, costituisce comportamento illegittimo da parte dell’amministratore la mancata consegna della documentazione richiesta da alcuni condomini, perché viola la disposizione contenuta nell’art.1130-bis c.c., ove è contenuto l’obbligo di estrarre copia dei documenti giustificativi di spesa, ponendo a carico dei richiedente le spese. Il Tribunale di Catania aggiunge che l’amministratore non è tenuto a consegnare altra documentazione al di fuori dell’alveo tracciato dalla norma codicistica.

Tribunale Catania, Sentenza n.3125 del 30 giugno 2017

Convegno Privacy e nuovo Regolamento UE 2016/679: problemi e prospettive

Abbiamo il piacere di segnalare un interessante Convegno organizzato dalla Camera Civile del Piemonte e della Valle d’Aosta, che si terrà domani giovedì 15 marzo, dalle ore 14.45 alle ore 17.30, presso il Centro Congressi Unione Industriale sito in Via Vela 17 a Torino.

È ancora possibile iscriversi inviando una E-mail al seguente indirizzo: a.spagnol@pedersoli.it

Grazie per l’attenzione.

Marco Domenico Luongo

Controlli a distanza dei dipendenti: quali sono i limiti

In tema di controlli a distanza la Terza Sezione della Cassazione Penale, con Sentenza n. 4564 del 10/10/2017, richiamando l’art. 4 dello Statuto dei Lavoratori (richiamato dall’art. 114 del D.Lgs. n. 196/2003 e modificato dall’art. 23 D.Lgs. n. 151/2015), ha fatto rientrare nell’ambito applicativo della norma anche i “controlli difensivi”, volti all’accertamento delle condotte illecite che non siano meri inadempimenti della prestazione lavorativa, facendo diventare la “tutela del patrimonio aziendale” un valido motivo giustificatore dell’installazione degli apparecchi audiovisivi.

La Cassazione ha stabilito che i “controlli difensivi” posti in essere dal datore mediante l’installazione di apparecchiature (ad es. telecamere) nei luoghi di lavoro possono essere effettuati solo se la videoripresa non è mirata a verificare l’espletamento dell’obbligazione derivante dal contratto di lavoro e avviene nel rispetto del principio di libertà e dignità del lavoratore, che costituisce un “limite oggettivo invalicabile all’esercizio incondizionato del diritto del datore di lavoro a tutelare il patrimonio aziendale”.

(Cassazione penale, sez. III, Sent. n. 4564 del 10/10/2017 dep. 31/01/2018)

Invalida la delibera condominiale che approva un bilancio privo di nota esplicativa

Il Tribunale di Torino, Terza Sezione Civile, con sentenza 3528 del 4 luglio 2017, ha annullato, tra le altre, una delibera assembleare con la quale era stato approvato il rendiconto consuntivo relativo ad un determinato anno che non era conforme al disposto di cui all’art. 1130 bis c.c. in quanto privo delle “pezze giustificative” e della documentazione contabile a supporto della formazione del rendiconto.