Breaking news

 

 

 

Cosa implica la Brexit per il trasferimento di dati personali verso UK da Paese UE o SEE

Che il Regno Unito fosse uscito dall’Unione europea a far data dal 01 gennaio 2021 è oramai ampiamente risaputo ma non tutti si sono posti interrogativi rispetto alle conseguenze che ciò comporta per il trasferimento di dati personali in questo territorio. A dare risposta definitiva alle questioni connesse al tema, è stato risolutivo l’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e Unione europea. Vediamo insieme le conseguenze del completamento del processo della “Brexit”. Per quanto riguarda i flussi di dati verso il Regno Unito, che è diventato dunque un Paese terzo, bisogna fare riferimento all’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e Unione europea. Tale accordo prevede, tra l’altro, che il Regno Unito continui ad applicare il GDPR per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021). Di conseguenza, in questo periodo qualsiasi trasferimento di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole vigenti al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un Paese terzoNel frattempo, la Commissione europea e il Governo UK si sono impegnati, sempre in base all’Accordo, a lavorare su reciproche decisioni di adeguatezza che consentano di proseguire i flussi di dati senza interruzioni, anche successivamente al periodo transitorio sopra ricordato. Se così non fosse, si applicheranno tutte le disposizioni precisate dal GDPR, che richiedono l’esistenza di garanzie adeguate(clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta) per trasferire dati dall’Ue (più esattamente dal SEE, Spazio economico europeo) verso un Paese terzo non adeguato, oppure ammettono alcune deroghe in assenza di garanzie adeguate (es.: consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE), ma solo in via residuale e secondo un approccio molto restrittivoPer quanto riguarda eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal 1° gennaio 2021 al Regno Unito in quanto Paese terzo non sarà più applicabile il meccanismo dello “sportello unico” (one stop shop) che disciplina questi contenziosi fra i paesi del SEE. In sostanza, i titolari e i responsabili con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” (ossia, l’Autorità competente per lo stabilimento principale o unico nel SEE) per i vari obblighi previsti dal GDPR. Per poter continuare a godere dei benefici dello sportello unico, dovrebbero infatti individuare un nuovo stabilimento principale in uno Stato membro del SEE. In ogni caso, dal 1° gennaio 2021, i titolari e i responsabili con sede nel Regno Unito che siano tenuti a designare un “rappresentante” nel SEE a norma dell’art. 27, GDPR, dovranno adoprarsi in tale senso. Tale rappresentante può essere contattato dalle Autorità di controllo e dalle persone interessate per qualsiasi questione relativa alle attività di trattamento al fine di garantire il rispetto del GDPR. Resta sempre ferma la possibilità per gli interessati che si trovano all’interno nostro Paese – ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito – di rivolgersi al Garante per la tutela dei loro diritti.

Sanzione a call centre per regolamento aziendale non conforme al GDPR

Lede la dignità del lavoratore dover tenere in vista sulla propria postazione medicinali, assorbenti, dispositivi medici. Per questo motivo il Garante ha ordinato al call centre Concentrix Cvg Italy s.r.l. di Cagliari il pagamento di una sanzione di 20.000,00 euro e l’adozione di misure correttive per conformarsi alla normativa di data protection. Ciò deriva da procedimento avviato a seguito della segnalazione di una associazione sindacale che lamentava possibili violazioni del GDPR da parte della società. Sotto accusa il regolamento aziendale che, fra l’altro disponeva che ogni dipendente fosse tenuto ad esporre sul tavolo di lavoro oggetti prettamente personali quali medicinali, presidi medici, assorbenti, salviette umidificate, che il lavoratore utilizzava nel corso della prestazione lavorativa. Ciò senza la possibilità di riporre tali oggetti all’interno di astucci o comunque contenitori di piccole dimensioni per sottrarli alla visibilità di colleghi o superiori gerarchici e, di conseguenza, invece, con la possibilità per costoro di apprendere, indirettamente, stati o situazioni personali o informazioni relative allo stato di salute estranei al contenuto della prestazione lavorativa e lesive della dignità e riservatezza del dipendente. Ovviamente, anche data la natura delle informazioni, strettamente riservate (talune rientranti nella categoria particolare di dati personali, quali i medicinali che, indirettamente, riconducono a dati relativi alla salute della persona), il Garante ha dichiarato illecito il contenuto in materia previsto dal regolamento aziendale, ed ha emanato un provvedimento correttivo per conformare detto regolamento interno ai requisiti del GDPR. Tali prescrizioni correttive devono essere adottate entro sessanta giorni dalla data del provvedimento, adeguando il regolamento aziendale che dovrà inibire le istruzioni emanate in precedenza dalla società ai propri operatori. Inoltre, il Garante ha inflitto una sanzione amministrativa di 20.000,00 euro al call centre per trattamento illecito di dati personali.

Diritto all’oblio per persona defunta

Per far rimuovere dal Web un articolo di un defunto occorre che ci sia un effettivo interesse da tutelare e non vi siano ragioni rilevanti che entrino in conflitto con la rimozione dello scritto. È quanto ha ribadito il Garante che ha ritenuto infondata la richiesta, avanzata dal figlio, di rimuovere da un sito Web (www.salpan.org) e poi da Google, una storia pubblicata a suo tempo dal padre, poi defunto. Mentre Google aveva deindicizzato subito l’URL, il sito si era opposto e l’uomo aveva proposto reclamo al Garante chiedendo la cancellazione della storia, ritenendo che il contenuto dello scritto fosse pregiudizievole per la reputazione propria e di altri componenti della famiglia. Il reclamante aveva dichiarato di agire anche nell’interesse del defunto, sostenendo che lo scritto sarebbe stato redatto dal padre in un’epoca nella quale la malattia ne aveva già compromesso le facoltà mentali. Nella sua decisione sul reclamo, il Garante ha ritenuto infondata la richiesta di cancellazione avanzata al sito, non essendo emersi elementi tali da dimostrare la volontà del defunto di disconoscere il contenuto della storia e reputando invece necessario salvaguardarne la conservazione, quale testimonianza storica della sua vita ed espressione del suo libero pensiero. Il Garante, tuttavia, essendo trascorsi sedici anni dalla pubblicazione della storia e sei anni dalla morte dell’autore, ha ordinato al gestore del sito di non renderla reperibile tramite motori di ricerca esterni, per contemperare l’esigenza di conservazione dello scritto con l’interesse dei familiari in esso menzionati.

Tik Tok è un rischio per i minori: procedimento del Garante nei confronti del social network

Scarsa attenzione alla tutela dei minori, divieto di iscrizione ai più piccoli facilmente aggirabile, poca trasparenza e chiarezza nelle informazioni rese agli utenti, impostazioni predefinite non rispettose delle norme sulla protezione dei dati personali. Sono queste le principali violazioni che il Garante ha contestato a Tik Tok, il social utilizzato soprattutto da ragazzi che consente di creare, condividere e commentare brevi video. Il Garante ha avvertito l’urgenza di aprire un procedimento formale nei confronti del social network a tutela dei minori italiani. L’istruttoria ha messo in luce, infatti, una serie di trattamenti di dati effettuati dal social network che appaiono non conformi al nuovo quadro normativo in materia di protezione dei dati personali. Il Garante contesta a Tik Tok innanzitutto che le modalità di iscrizione al social network non tutelino adeguatamente i minori. Il divieto di iscrizione al di sotto dei 13 anni, stabilito dal social network, risulta infatti facilmente aggirabile una volta che si utilizzi una data di nascita falsa. Tik Tok, di conseguenza, non impedisce ai più piccoli di iscriversi né verifica che vengano rispettate le norme italiane, che prevedono per l’iscrizione ai social network il consenso autorizzato dei genitori o di chi ha la responsabilità genitoriale del minore che non abbia compiuto 14 anni. Le informazioni rilasciate agli utenti è standardizzata e non prende in considerazione la situazione dei minori, mentre sarebbe necessario creare una apposita sezione dedicata ai più piccoli, scritta con un linguaggio più semplice e con meccanismi di avvertenza che segnalino i rischi ai quali si espongono. I tempi di conservazione dei dati risultano poi indefiniti rispetto agli scopi per i quali sono raccolti; non appaiono indicate le modalità di anonimizzazione che il social network afferma di applicare. Stessa mancanza di chiarezza riguarda il trasferimento dei dati nei Paesi terzi, non essendo specificati quelli verso i quali la società intende trasferire i dati, né indicata la situazione di adeguatezza o meno di quei Paesi alla normativa europea. Il social network, infine, preimposta il profilo dell’utente come “pubblico”, consentendo la massima visibilità ai contenuti pubblicati. Tale impostazione predefinita è in contrasto con l’obbligo l’adozione di misure tecniche ed organizzative che garantiscano, di default, la possibilità di scegliere se rendere o meno accessibili dati personali ad un numero indefinito di persone. Tik Tok avrà 30 giorni per inviare memorie difensive e chiedere eventualmente di essere sentita.

 

Per saperne di più, contattami.

 

Privacy Policy - Cookie Policy - Condizioni uso sito - Website map


Tiziana Minella - Via Vittoria Colonna, 32 - 10155 Torino (TO) - P.I. 03152590018 - mob. 366.4761338 - 338.6626635