Post di LEXIA

📢Il Comitato europeo per la protezione dei dati ha rilasciato le nuove Linee guida (1/2024) che forniscono chiarimenti cruciali sul trattamento dei dati personali basato sul legittimo interesse. 📌 In questo articolo, gli avvocati Fabiola Iraci Gambazza e Paolo Gentili, sottolineano l'importanza di un'attenta valutazione - balancing test - per garantire che l'interesse legittimo del titolare del trattamento non prevalga sui diritti e le libertà fondamentali degli interessati. ➡️ Le Linee guida offrono anche esempi concreti di applicazione in settori specifici come il marketing diretto e il trattamento dei dati dei minori. Leggi l'articolo per conoscere le nuove indicazioni per una corretta applicazione del GDPR 👇 #GDPR #Privacy #DatiPersonali #EDPB

Il trattamento è un’operazione o un insieme di operazioni che vengono applicate a dati personali o a un insieme di dati personali. Per liceità del trattamento s’intende un insieme di condizioni tali da far si che la procedura adottata per gestire dati personali sia conforme rispetto alla riservatezza di quanto si sta gestendo. Il primo argomento che esaminiamo è relativo alla liceità del trattamento dei dati personali. https://lnkd.in/dNGh2z6T

Parliamo 📣dei 7 concetti fondamentali sulla 679/2016 ( Privacy )🔐; 1-Liceità, correttezza e trasparenza: Tutti i trattamenti devono essere fondati su base lecita riconosciuta, corretti e trasparenti, utilizzati esclusivamente solo nel modo in cui sono stati indicati! 2-Minimizzazione dei dati; Devono essere limitati esclusivamente per la finalità necessaria! 3-Finalità limitata l; Collegato al principio di trasparenza, l’utente deve sapere a quale scopo o principio vengano utilizzati I proprio dati personali! 4-Esattezza; I dati devono essere esatti e sempre aggiornati! 5-Integrità e riservatezza; I dati devono essere conservati in piena sicurezza e proteggerli da un eventuale perdita o da trattamenti a cui lo scopo sia danneggiare l’utente, i dati sono sempre protetti in anonimato a salvaguardia dell’identità! 6-Limitazione nella conservazione; I dati non posso essere conservati per un periodo di lunga durata. Il GDPR impone un tempo limite di breve durata in cui i dati sono conservati sulla base del punto numero 5. Al momento del termine previsto , vanno rivisti o cancellati! 7-Responsabilizzazione; Il GDPR impone di conservare la documentazione completa ed ampia di ogni attività. È necessario conservare i registri relativi ai dati raccolti , il loro scopo , le parti coinvolte e il periodo di durata. 📣📣📣 I 7 concetti sono obblighi fondamentali nel contesto odierno📝🗄️

Veramente da approfondire!

𝗚𝘂𝗶𝗱𝗲𝗹𝗶𝗻𝗲𝘀 𝗼𝗻 𝗹𝗲𝗴𝗶𝘁𝗶𝗺𝗮𝘁𝗲 𝗶𝗻𝘁𝗲𝗿𝗲𝘀𝘁: l'EDPB (European Data Protection Board) dovrebbe approvare le nuove linee guida sul legittimo interesse, nella plenaria di oggi. Ciò è quello che emerge dall'agenda del Board. Queste nuove linee guida rientrano nel programma di lavoro del 2023-2024, ed hanno lo specifico (ed ambizioso) obiettivo di chiarire l'applicazione del legittimo interesse come base giuridica per il trattamento dei dati personali ai sensi del GDPR. Ricordiamo che un'accurata e completa analisi sulle circostanze e requisiti per l'utilizzo della base giuridica in questione da parte dell'Autorità (ai tempi Gruppo di Lavoro "Articolo 29") risale al 2014 ormai (Parere 6/2014 sul concetto di interesse legittimo del WP29). Il "legittimo interesse" viene spesso erroneamente considerato una base giuridica residuale ("estremo rimedio"), da utilizzare quando non ne sono disponibili altre. In realtà, ha una sua rilevanza concreta e autonoma, è flessibile e, se ben individuato, può fondare il trattamento di #datipersonali sull'effettivo equilibrio tra gli interessi coinvolti. Il WP29, ad esempio, riconosceva "𝘭’𝘪𝘮𝘱𝘰𝘳𝘵𝘢𝘯𝘻𝘢 𝘦 𝘭’𝘶𝘵𝘪𝘭𝘪𝘵𝘢̀ 𝘥𝘦𝘭 𝘤𝘳𝘪𝘵𝘦𝘳𝘪𝘰 𝘥𝘪 𝘤𝘶𝘪 𝘢𝘭𝘭’𝘢𝘳𝘵𝘪𝘤𝘰𝘭𝘰 7, 𝘭𝘦𝘵𝘵𝘦𝘳𝘢 𝘧), [oggi 6, lett. f] 𝘤𝘩𝘦 𝘯𝘦𝘭𝘭𝘦 𝘨𝘪𝘶𝘴𝘵𝘦 𝘤𝘪𝘳𝘤𝘰𝘴𝘵𝘢𝘯𝘻𝘦 𝘦 𝘪𝘯 𝘱𝘳𝘦𝘴𝘦𝘯𝘻𝘢 𝘥𝘪 𝘢𝘥𝘦𝘨𝘶𝘢𝘵𝘦 𝘨𝘢𝘳𝘢𝘯𝘻𝘪𝘦 𝘱𝘰𝘵𝘳𝘦𝘣𝘣𝘦 𝘤𝘰𝘯𝘵𝘳𝘪𝘣𝘶𝘪𝘳𝘦 𝘢 𝘦𝘷𝘪𝘵𝘢𝘳𝘦 𝘤𝘩𝘦 𝘴𝘪 𝘧𝘢𝘤𝘤𝘪𝘢 𝘦𝘤𝘤𝘦𝘴𝘴𝘪𝘷𝘢𝘮𝘦𝘯𝘵𝘦 𝘢𝘧𝘧𝘪𝘥𝘢𝘮𝘦𝘯𝘵𝘰 𝘢𝘥 𝘢𝘭𝘵𝘳𝘦 𝘣𝘢𝘴𝘪 𝘨𝘪𝘶𝘳𝘪𝘥𝘪𝘤𝘩𝘦". Cosa nota ma frequentemente ignorata: il ricorso all'art. 6, par. 1, lett. f) è subordinato a un test di bilanciamento (Legitimate Interest Assessment o #LIA), il cui scopo è valutare e confrontare l'interesse del titolare - o di terzi - con i diritti fondamentali degli interessati, garantendo un utilizzo proporzionato. Il Board, quindi, prevede di offrire una guida pratica e accessibile per aiutare le aziende e le autorità a comprendere meglio l'uso di questa base legale, specialmente in contesti complessi come le tecnologie emergenti e le interazioni tra il #GDPR e altre normative europee. Le nuove linee guida potrebbero avere un impatto significativo sulle organizzazioni che si basano su questa base legale per il trattamento dei dati. Questi aggiornamenti saranno cruciali soprattutto per settori che coinvolgono il trattamento di dati personali su larga scala o con tecnologie avanzate, come l' #AI e il trattamento dei dati di minori. Condivido un'interessante guida pubblicata qualche tempo fa (ma ancora attuale) dal Data Protection Network. #dponews #dataprotection

𝐑𝐞𝐯𝐢𝐬𝐢𝐨𝐧𝐞 𝐝𝐞𝐥 𝐃𝐚𝐭𝐚 𝐏𝐫𝐢𝐯𝐚𝐜𝐲 𝐅𝐫𝐚𝐦𝐞𝐰𝐨𝐫𝐤 𝐝𝐚 𝐩𝐚𝐫𝐭𝐞 𝐝𝐞𝐥𝐥'European Data Protection Board. Il Data Privacy Framework tra UE e USA è stato recentemente sottoposto a una revisione approfondita da parte dell'EDPB. L'EDPB evidenzia che: 🔸 𝐂𝐞𝐫𝐭𝐢𝐟𝐢𝐜𝐚𝐳𝐢𝐨𝐧𝐞 𝐞 𝐜𝐨𝐧𝐟𝐨𝐫𝐦𝐢𝐭𝐚̀: Il Dipartimento del Commercio ha implementato il processo di autocertificazione per le aziende statunitensi, sviluppando un nuovo sito web, aggiornando le procedure e conducendo attività di sensibilizzazione. Tuttavia, l'EDPB sottolinea la necessità di maggiori controlli proattivi sulla conformità, raccomandando un aumento delle indagini ex officio per garantire il rispetto sostanziale dei principi del DPF. 🔸 𝐌𝐞𝐜𝐜𝐚𝐧𝐢𝐬𝐦𝐢 𝐝𝐢 𝐫𝐢𝐜𝐨𝐫𝐬𝐨: Sono stati aggiornati e implementati diversi meccanismi di ricorso multilivello, fornendo mezzi facilmente accessibili per i reclami degli individui dell'UE. Tuttavia, il numero di reclami ricevuti è stato molto basso, confermando le preoccupazioni dell'EDPB sulla necessità di controlli proattivi da parte delle autorità competenti degli Stati Uniti sulla conformità degli organismi certificati. 🔸 𝐀𝐜𝐜𝐞𝐬𝐬𝐨 𝐝𝐞𝐥𝐥𝐞 𝐚𝐮𝐭𝐨𝐫𝐢𝐭𝐚̀ 𝐩𝐮𝐛𝐛𝐥𝐢𝐜𝐡𝐞 𝐬𝐭𝐚𝐭𝐮𝐧𝐢𝐭𝐞𝐧𝐬𝐢: L'EDPB ha valutato l'accesso delle autorità pubbliche statunitensi ai dati personali trasferiti dall'UE, evidenziando la necessità di monitorare attentamente l'implementazione dei principi di necessità e proporzionalità. L'EDPB ha accolto con favore gli aggiornamenti delle politiche interne e delle procedure delle agenzie di intelligence, ma ha sottolineato l'importanza di valutare l'applicazione pratica di questi principi. 🔸 𝐑𝐚𝐜𝐜𝐨𝐦𝐚𝐧𝐝𝐚𝐳𝐢𝐨𝐧𝐢: L'EDPB incoraggia il Dipartimento del Commercio a pubblicare linee guida pratiche sul principio di responsabilità per gli onward transfers dei dati e a risolvere le divergenze interpretative sul concetto di "dati HR". Inoltre, l'EDPB raccomanda di monitorare attentamente l'acquisizione governativa di dati personali da parte delle agenzie di intelligence statunitensi. 🔸 L'EDPB accoglie con favore che venti Stati degli USA abbiano emanato leggi sulla privacy dal luglio 2024. Nove di queste leggi sono già in vigore: California, Colorado, Oregon, Virginia, Connecticut, Utah, Montana, Texas e Florida. Tuttavia, le possibilità di una legge federale sulla protezione dei dati sembrano basse. Una solida legge federale migliorerebbe la stabilità di una decisione di adeguatezza ai sensi dell'articolo 45 del GDPR. #gdpr #dataprotection #privacy

📣 L'#EDPB (European Data Protection Board) ha pubblicato le attese #Linee #Guida - in consultazione pubblica fino al prossimo 20 novembre - condividendo alcuni orientamenti sul trattamento dei dati personali basato sul #legittimo #interesse. 📌 In primo luogo l'EDPB chiarisce che, anche l'interesse legittimo deve essere oggetto di interpretazione restrittiva, non potendo essere invocato come base giuridica omnicomprensiva, nelle ipotesi in cui il trattamento da realizzare non possa fondarsi sulle altri basi giuridiche previste dall'art. 6 del #GDPR. 📌 Il Comitato analizza poi nel dettaglio i criteri stabiliti nell'art. 6, paragrafo 1, lettera f, del GDPR e individua le tre condizioni cumulative che il Titolare del trattamento deve soddisfare ai fini del trattamento lecito dei dati personali basato su un interesse legittimo, anche alla luce della recente sentenza della #CGUE in materia (C-621/22, 4 ottobre 2024): 📍 Il Titolare deve perseguire un interesse legittimo proprio o di una terza parte. Tale interesse legittimo deve essere #lecito, #chiaro e, soprattutto, #reale e precisamente #circostanziato. 📍 Il trattamento deve essere strettamente #necessario ai fini del perseguimento dell'interesse legittimo in questione, ove la necessità implica l'impossibilità di perseguire lo stesso attraverso un trattamento altrettanto efficace ma meno restrittivo dei diritti e delle libertà degli interessati. Ciò anche in virtù del principio di #minimizzazione di cui all'art. 5 GDPR. 📍 Il Titolare deve compiere a monte un attento #bilanciamento ("#balancing #test") tra le #libertà e i #diritti fondamentali degli #interessati e gli interessi legittimi del Titolare o di una terza parte. Nel condurre tale bilanciamento, il Titolare deve immaginare misure e garanzie idonee a limitare possibili impatti sugli interessati, anche sulla base delle loro ragionevoli aspettative. 📌 Le Linee guida spiegano come eseguire nella pratica una #LIA (Legitimate Interest Assessment) in una serie di contesti specifici e ricorrenti, quali la #prevenzione delle frodi, il #marketing diretto e la #sicurezza delle informazioni. 📌 Inoltre, il documento approfondisce il rapporto tra la base giuridica dell'interesse legittimo e l'esercizio di una serie di diritti degli interessati ai sensi degli artt. 15-22 GDPR. E-Lex Studio Legale

Opinion 01/2020 sul T.I.A. Facile o difficile? Garantire la protezione dei dati personali trasferiti al di fuori dell'Unione Europea è diventato un compito cruciale per i titolare che operano attraverso confini internazionali. La sentenza Schrems II e le rigorose disposizioni del GDPR richiedono una visione organica e diligente. Proviamo a darci qualche regola e definiamo passo-passo come ipotizzare un processo di Transfer Impact Assessment (TIA), assicurando infatti che i dati personali godano di una protezione "sostanzialmente equivalente" fuori dal SEE. 1. Mappatura dei Flussi di Dati Identificare tutti i trasferimenti di dati personali verso paesi terzi. Assicurarsi che i dati trasferiti siano necessari, pertinenti e limitati alle finalità operative. 2. Selezione dello Strumento di Trasferimento Verificare se esiste una decisione di adeguatezza per il paese destinatario. In assenza di adeguatezza, affidarsi a strumenti validi come le clausole contrattuali tipo. 3. Analisi della Legislazione e delle Prassi del Paese Terzo Esaminare la legislazione locale relativa all'accesso ai dati da parte delle autorità pubbliche. Valutare l'applicazione e il rispetto delle norme in linea con gli standard dell'UE. 4. Implementazione di Misure Supplementari - Identificare e applicare misure supplementari qualora la legislazione del paese terzo influenzi negativamente l'efficacia delle garanzie standard. - Valutare la necessità di combinare più misure per una protezione efficace. 5. Documentazione e Responsabilità - Documentare accuratamente il processo di valutazione e le decisioni prese. - Prepararsi per eventuali ispezioni da parte delle autorità di controllo dimostrando la conformità. 6. Monitoraggio e Revisione Periodica - Riesaminare regolarmente i trasferimenti di dati e le misure di protezione applicate. - Rimanere aggiornati su eventuali sviluppi legislativi o prassi nel paese terzo che potrebbero influenzare la protezione dei dati. 7. Consultazione con le Autorità di Controllo - In caso di dubbi o per formalizzare le misure supplementari, consultare l'autorità di controllo competente. - Seguire eventuali passi procedurali formali richiesti dall'adozione di misure supplementari. E quindi? Il Transfer Impact Assessment è più di una mera formalità legale; è una componente necessaria a supportare la strategia di protezione dei dati di un titolare in un contesto globale. Buona T.I.A a tutti... ad ognuno la sua

Il Punto su num.18/2024 - Diritto alla protezione dei dati personali