Tag Archivio per: dati personali

Prima pronuncia italiana sul c.d. “D.P.O.” – illegittima la richiesta del possesso della certificazione ISO/IEC/27001 quale “titolo abilitante” -TAR Friuli Venezia Giulia, Sez. I^, sentenza del 13 settembre 2018, n°287

,

[:it]Il Data Protection Officer

Dal 25 maggio 2018, come tutti sanno, è entro in vigore il c.d. GDPR – General Data Protection Regulation– che ha introdotto obblighi stringenti per professionisti e imprese, volti ad elevare il livello di informazione e tutela dei dati personali.

Tra le novità di maggior rilievo vi è senza dubbio quella del c.d. Data Protection Officer (D.P.O), il quale, ai sensi dell’art. 37, viene designato dal titolare e dal responsabile del trattamento, “…ogni qualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.

I ruoli assegnati ex art. 39 al D.P.O. risultano di triplice natura:

  • un ruolo di consulenza “interna” in quanto, ai sensi della lettera a) è chiamato a fornire “…consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati, nonché, ai sensi della lettera c) a fornire, quanto richiesto, un proprio parere motivato “in merito alla valutazione d’impatto sulla protezione dei dati”;
  • un ruolo di sorveglianza, ai sensi delle lettere b e c, del rispetto delle normative in materia di protezione dei dati personali;
  • di punto di raccordo con le autorità di controllo, con le quali è chiamato a cooperare.

 

Le origini della controversia dinnanzi al T.A.R.

In data 13 settembre 2018 è stata pronunciata la prima sentenza di un tribunale italiano in punto di DPO (Data Protection Officer).

Il ricorso da cui è scaturita la pronuncia in oggetto trae la propria origine da un avviso pubblico di un’azienda sanitaria volto all’assunzione di un soggetto per lo svolgimento non solo dei compiti espressamente individuati dall’art. 39 del GDPR ma anche delle seguenti ulteriori funzioni:

  • l’aggiornamento giuridico e impostazione organizzativo-metodologica per la gestione aziendale della privacy, per la redazione del registro dei trattamenti, per lo svolgimento di valutazioni di impatto sulla protezione dei dati (DPIA)”;
  • Risk assessment relativo alla sicurezza informatica e alla conformità rispetto alle normative in punto di privacy, esteso anche alla compliance rispetto alle misure indicate nella Circolare AgID n°2/2017;
  • la “partecipazione alle attività di formazione interna continua e specifica sulle tematiche della protezione dei dati”.

L’avviso, rivolto esclusivamente a personale esterno all’azienda sanitaria stessa, individuava tra i requisiti di partecipazione “…il possesso, in capo a ciascun candidato, del diploma di laurea in Informatica o Ingegneria Informatica, ovvero in Giurisprudenza o equipollenti, nonché la certificazione di Auditor/Lead Auditor per i Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma ISO/IEC/27001…”.

Uno dei candidati, vedendosi dichiarata inammissibile la propria candidatura, si rivolgeva al Tribunale amministrativo territorialmente competente ritenendo:

  • da un lato che l’avviso pubblico risultasse di oscura interpretazione, non comprendendosi se il requisito del possesso della certificazione ISO/IEC/27001 fosse requisito alternativo o ulteriore rispetto al possesso di una laurea in informatica o in giurisprudenza;
  • dall’altro che il requisito del possesso di tale certificazione escludesse i laureati in giurisprudenza, quandanche le mansioni richieste fossero senza dubbio maggiormente confacenti ai laureati nella predetta materia.

 

La decisione del T.A.R.

Esaminata la questione, il Tribunale amministrativo accoglie il ricorso ritenendo illegittima la richiesta del possesso della certificazione ISO/IEC/27001 quale “titolo abilitante”. Ad avviso del T.A.R., infatti:

  • detto requisito appare ultroneo rispetto ai compiti del DPO, trovando la suddetta certificazione “…prevalente applicazione nell’ambito dell’attività d’impresa” e poiché “…non coglie la specifica funzione di garanzia insita nell’incarico conferito, il cui precipuo oggetto non è costituito dalla predisposizione dei meccanismi volti ad incrementare i livelli di efficienza e di sicurezza nella gestione delle informazioni ma attiene semmai alla tutela del diritto fondamentale dell’individuo alla protezione dei dati personali”;
  • di contro la “…minuziosa conoscenza e l’applicazione della disciplina di settore restano, indipendentemente dal possesso o meno della certificazione in parola, il nucleo essenziale ed irriducibile della figura professionale ricercata dall’Azienda, il cui profilo, per le considerazioni anzidette, non può che qualificarsi come eminentemente giuridico”.

[:]

/da

Foto dei figli sui social network? Non senza il consenso dell’altro genitore – Tribunale di Mantova, ordinanza del 19 settembre 2017, Pres. Rel. Dott. Mauro Bernardi

, ,

[:it]_86135137_polizeiA distanza di pochi mesi dall’entrata in vigore del Regolamento 679/2016/UE del Parlamento e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, il Tribunale di Mantova si è pronunciato su un’interessante questione che coinvolge sempre più genitori e figli: privacy e social media.

La vicenda trae origine da un ricorso dinnanzi al Tribunale civile di Mantova da un padre per la revisione delle condizioni di affido e mantenimento di due figli minori in tenera età (rispettivamente tre anni e mezzo e due anni e mezzo), entrambi residenti con la madre. Nelle more del giudizio i genitori raggiungevano un accordo, inserendo tra le condizioni l’espresso l’obbligo a carico della madre di cancellare le innumerevoli fotografie dalla stessa “postate” sul suo profilo Facebook e di non pubblicarne di nuove. A seguito della mancata cancellazione delle foto il padre si rivolgeva al giudice chiedendo di inibire l’ex compagna dall’inserire altre foto dei figli sui social network e di rimuovere immediatamente quelle già presenti.

Il Tribunale dà ragione al marito, ordinando alla madre la pronta rimozione di ogni foto, con un’interessante motivazione basata non solo sulla violazione dell’espresso accordo raggiunto sul punto dai genitori ma soprattutto sull’interesse superiore dei bambini e sui pregiudizi che potrebbero derivare loro dalla circolazione di detto materiale in rete.

Osserva, infatti il Tribunale che:

  • dal momento che le fotografie dei minori devono considerarsi dati personali ai sensi del d.lgs. 196/2003 (normativa in punto di privacy) e la loro diffusione integra un’illecita “…interferenza nella loro vita privata”;
  • le continue fotografie dei figli postate dalla madre sui social, in violazione degli accordi raggiunti con il padre e contro la volontà di quest’ultimo, integrano la violazione:
    1. dell’art. 10 c.c., che tutela il diritto all’immagine;
    2. del combinato disposto degli articoli 4,7,8 e 145 del d.lgs. 196/2003 nonché degli articoli 1 e 16, co. 1, della Convenzione di New York del 1989 sui diritti del fanciullo;
    3. l’art. 8 del neo- adottato regolamento 679/2016/UE, che entrerà in vigore il prossimo 25 maggio 2018.
  • la presenza di foto dei minori sui social media costituisce altresì un comportamento potenzialmente pregiudizievole per gli stessi dal momento che “…determina la diffusione delle immagini fra un numero indeterminato di persone, conosciute e non, le quali possono essere malintenzionate e avvicinarsi ai bambini dopo averli visti più volte in foto on-line, non potendo inoltre andare sottaciuto l’ulteriore pericolo costituito dalla condotta di soggetti che “taggano” le foto on-line dei minori e, con procedimenti di fotomontaggio, ne traggono materiale pedopornografico da far circolare fra gli interessati, come ripetutamente evidenziato dagli organi di polizia”.

[:]

/da

Contattaci per una consulenza legale

Contattaci ora

STUDIO LEGALE MARTIGNETTI e ROMANO

Viale delle Milizie 138 | 00192 | Roma
06 35 34 64 15
339 11 95 727 | 333 44 46 707

info@martignetti-romano.it

© Copyright - Martignetti e Romano - P.Iva 13187681005 - Design Manà Comunicazione Privacy Policy Cookie Policy