Prendere o lasciare: l’efficacia delle clausole vessatorie nel contratto telematico
I rapporti online sono sempre più regolati da contratti “per adesione” con condizioni immodificabili, predisposti da una sola delle parti.
dati personali
I dati personali vengono definiti dal GDPR come qualsiasi informazione riguardante una persona fisica identificata o identificabile. Tale “persona fisica” è a sua volta definita come interessato.
Non esiste un catalogo preciso di quale informazione debba considerarsi o meno dato personale, poiché tutto dipende dall’identificabilità di una persona fisica tramite l’informazione esaminata, eventualmente anche combinandola con altre informazioni.
Il GDPR offre solamente alcuni esempi di quale informazione possa considerarsi “dato personale”. Queste ultime sono il nome, il cognome, un numero di identificazione (è il caso della partita IVA o dell’IBAN), dati di ubicazione (si pensi alle coordinate di geolocalizzazione) e dati sull’identità fisica, biologica, psichica, economica, culturale e sociale (un esempio per tutti può essere quello delle impronte digitali o del DNA).
Come specifica la pagina informativa della Commissione Europea, un’informazione deve essere considerata un dato personale anche se è deidentificata, ovverosia se è stata cifrata o pseudonomizzata. Un esempio di informazione pseudonomizzata può essere quello dell’attribuzione di un codice in sostituzione del nominativo per la partecipazione ad un concorso pubblico. Il codice è un’informazione diversa dal nome del candidato, che non lo identifica direttamente, ma resta comunque un dato personale poiché può essere utilizzato per identificare indirettamente una persona precisa. Altro esempio più comune di dato pseudonimizzato è la targa della macchina.
Non rientrano invece nella definizione di dati personali i dati resi anonimi, poiché queste informazioni non permettono di identificare (nemmeno indirettamente) l’interessato. Anche in questo caso, non esiste un catalogo dei dati anonimi o delle tecniche di anonimizzazione che garantiscano con certezza che il dato è stato reso anonimo. Sarà necessario effettuare una valutazione casistica, che tenga conto delle circostanze specifiche del trattamento considerato. Ad esempio, possono essere considerati anonimi i dati contenuti in questionari non nominativi compilati da 50 persone mentre non potranno essere considerati tali i dati riportati nella stessa tipologia di questionario se viene somministrato solo a due persone. Nel primo caso, l’attribuzione del dato agli interessati dovrebbe essere impossibile mentre nel secondo caso questo rischio ha una probabilità molto più alta.
I dati sono considerati personali solo se si riferiscono a persone fisiche. Di conseguenza, non possono considerarsi dati personali tutte le informazioni che si riferiscono solamente a persone giuridiche (ad esempio società) ma, anche per questo aspetto, bisogna considerare tutti gli aspetti circostanziali. Ad esempio, alcune autorità garanti europee hanno sottolineato come la ditta individuale di una società di persone, pur essendo un’informazione che contraddistingue una persona giuridica, debba essere considerata un dato personale in quanto contenente l’identificativo (nome e cognome) di uno o più soci.
I dati non sono definibili come “dati personali” se si riferiscono ad una persona defunta. Ciononostante, il GDPR ha lasciato agli Stati membri la possibilità di adottare delle disposizioni nazionali che regolino la materia dei dati relativi ai defunti. Il legislatore italiano è quindi intervenuto introducendo un apposito articolo nel Nuovo Codice Privacy, il quale riconosce la possibilità di esercitare i diritti privacy riferiti ai dati personali di quest’ultimo a chi (i) abbia un interesse proprio, (ii) agisca a tutela del defunto come mandatario, o (iii) vanti ragioni familiari meritevoli di protezione. Un esempio per tutti può essere quello del figlio che esercita il diritto all’oblio su un articolo web relativo al padre o chiunque eserciti un’istanza di accesso sui dati sanitari di un paziente. Quest’ultimo è un caso sul quale ha emesso un parere il Garante nel 2019.
Come ricorda la pagina informativa del Garante, sono dati personali anche tutti quei dati che si riferiscono alle comunicazioni elettroniche. È il caso dei cookies, degli indirizzi IP, dei dati di traffico e localizzazione dei dispositivi ecc. Questi dati personali non devono tenere conto solo della disciplina prevista dal GDPR ma anche da quella dettata dalla direttiva e-privacy (2002/58/CE).
Di seguito, indichiamo gli articoli correlati. Art. 4 GDPR - Definizioni; Art. 2-terdecies D.lgs. 81/18 - Diritti riguardanti le persone decedute
Data retention: i tabulati non bastano per la condanna
Data retention la cassazione cancella la condanna fondata sui soli dati del traffico telefonico.
Accesso cautelare ai dati dagli account del figlio morto
Ammissibile la domanda cautelare per ottenere l’ordine a Apple di fornire assistenza alla madre nel recupero dei dati personali dagli account del giovane.
Green Pass: esposto al Garante di 25 giuristi
Arretramento riguardo ad acquisti giuridici che ritenevamo intangibili in tema di uguaglianza e rispetto della persona umana, senza distinzioni e appartenenze.
Pubblicità della sentenza ed esigenze di riservatezza della parte
Pubblicità della sentenza e l’anonimizzazione dei dati: quali soni i motivi legittimi per richiedere l’oscuramento del provvedimento?
28 gennaio 2022: Giornata europea della protezione dei dati personali
Protezione dei dati personali: gli individui normalmente non hanno familiarità con i rischi connessi alla protezione dei propri dati.
La capacità digitale dei minori
I casi di Revenge porn, furto d’identità e cyber bullismo rappresentano il lato negativo dell’utilizzo massiccio della tecnologia da parte della generazione Z.
Clausole contrattuali standard: dal 27 settembre 2021 solo nella nuova versione
Chi intende trasferire dati personali fuori dall’UE sulla potrà farlo solo servendosi della versione adottata dalla Commissione UE nel 2021.
Smart contract e cloud
Riflessioni e preoccupazioni in seguito all'avvento e alla diffusione del cloud.
Dati personali e procedimenti penali
Utilizzabilità di dati a fini di indagini di PG, di procedimenti penali nonché la comunicazione a organi di polizia dell’esito di procedimento penale.
Catalogo delle single: illegittima la vendita dei dati
Il Tribunale di Lecco ha condannato per trattamento illecito di dati personali il creatore di un catalogo delle single realizzato sfruttando i dati di Facebook.
Tabulati telefonici e processo penale
Si esclude la inutilizzabilità dei tabulati alla luce della natura non concretamente vincolante della sentenza della Corte di giustizia dell'UE.
