The post THE EMPLOYEE’S RIGHT TO PRIVACY PREVAILS OVER ADMINISTRATIVE TRANSPARENCY appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

In a precedent-setting decision, on 29 April 2025 the Italian Data Protection Authority (“Garante della privacy”) issued its first sanction under the General Data Protection Regulation (GDPR) for the unlawful storage of so-called “metadata” of employees’ e-mails and web surfing activities, applying for the first time the Guidelines published in June 2024.

As part of the inspections carried out in order to assess the compliance of the processing operations carried out at work by the Regione Lombardia (the regional government of Lombardy) with the rules on the protection of personal data, the Garante had found that the latter had kept metadata and navigation logs for 90 and 365 days respectively, a period of time far longer than that provided for by the Guidelines. Moreover, the Regione Lombardia had kept non-anonymous logs relating to each employee’s access attempts to websites listed on a blacklist. As a result, the Garante started proceedings against the Regione Lombardia given that that the processing of the data concerned was contrary: to i) the sector regulations on remote control with regard to the storage of metadata generated by the activities of employees in relation to both the use of the e-mail service and internet browsing; ii) the conditions laid down by the sector regulations with regard to the use of the metadata collected for other purposes connected with the management of the employment relationship; and iii) the storage periods of the logs relating to internet browsing as well as the data relating to requests for technical assistance.

The Garante has preliminarily recalled that e-mails’ metadata are backed by confidentiality guarantees, which are also constitutionally protected, and are intended to ensure protection of the essential core of a person’s dignity and the full development of his/her personality in social settings, so that, even at work, there is a legitimate expectation of confidentiality with regard to correspondence and, similarly, to the elements that can be inferred from the external data thereof, which define its temporal profiles as well as its qualitative and quantitative aspects also with regard to the addressees and the frequency of contact (which, in turn, are susceptible to aggregation, processing and control). The Workers’ Statute, moreover, strictly identifies the purposes for which instruments may be used at work, establishing precise procedural guarantees.

Although the Regione Lombardia claimed that electronic e-mails were used by the employee to work, such notion within the meaning of the Workers’ Statute can only include services, software or applications that are strictly functional to the latter. This, however, is not the case where e-mail’s metadata are collected and stored, in a preventive and generalised manner, over an extended period by computer programmes and services for managing e-mails. Such processing operations, in fact, are carried out, for the employer’s own needs, automatically and independently of the employee’s perception and will. The metadata concerned, moreover, remain at the exclusive disposal of the employer and, on his/her behalf, of the service provider, documenting the traffic even after the possible deletion of the message by the worker who, instead, retains the availability of the messages that, as sender or recipient, he/she exchanges within the mailbox assigned to him/her by the employer, with the subsequent risk of an indirect remote control of the workers’ activity.

In such a context, therefore, in order for Article 4(2) of the Workers’ Statute to be deemed applicable, the collection and storage of only those metadata necessary to ensure the operation of the e-mail system infrastructure and the fulfilment of the most essential computer security guarantees, on the basis of technical assessments and in compliance with the principle of accountability, may be carried out for a period limited to a few days, in any case not exceeding 21, unless the data controller adequately shows that particular conditions that make such an extension necessary on account of the specificities of his/her technical and organisational reality are actually present. Conversely, the generalised collection and storage of e-mail’s metadata, for a longer period, in the presence of requirements in any case attributable to the security and protection of the employer’s assets, makes it necessary to exercise the guarantees provided for by Article 4(1) of the Statute, since it may entail an indirect remote control of the workers’ activities.

The systematic collection and storage of all log files generated by employees’ use of the Internet in the context of the employment relationship gives rise to a generalized processing of data. This includes data on unsuccessful attempts to access websites already listed on a blacklist, which are in any case blocked by the system.

Since employees remain identifiable, and there is a clear link between the activity, the employee, and their specific workstation, such processing makes it possible to reconstruct their actions through technological systems.

In these cases, the employer must comply with the procedural safeguards set out in Article 4(1) of the Workers’ Statute. These safeguards are a legal requirement for the lawful processing of the data in question.

Given that the Regione Lombardia had collected and processed all the employee’s internet surfing logs in the absence of the prior conclusion of a collective agreement with the competent trade unions, the processing at stake therefore took place, within the limits of that timeframe, in breach of the GDPR.

All of that considered, the Garante decided, on the one hand, to sanction the Regione Lombardia with a EUR 50,000 fine and, on the other hand, to order it, among other things, to limit the storage of navigation logs to 90 days and then proceed to anonymisation, to minimise and encrypt e-mail’s metadata, to limit access to metadata to authorised personnel only, and to update internal policies and privacy documentation.

In light of the Garante’s findings, companies are called upon to review their metadata and network log management practices very carefully. Even before the decision, a high level of caution was needed in the handling of e-mails, requiring, for example, transparency on the checks carried out and the timely deletion of the boxes of terminated employees. The recent sanction introduces a further level of caution, extending the compliance obligation also to so-called “external” data, such as metadata and log files, which can lead to indirect monitoring of work activity. In this regard, e-mail’s metadata should normally be retained for no longer than 21 days, while browsing logs should be limited to 90 days, followed by anonymisation. It is also crucial to update privacy notices, limit data access, encrypt data and adopt consistent internal policies. Only a structured and compliant approach can guarantee the protection of workers’ rights and corporate compliance and avoid significant consequences for the organisation, including with regard to sanctions by the competent authorities, as demonstrated by this case.

Download the article

The post THE ITALIAN DATA PROTECTION AUTHORITY HAS ISSUED A SANCTIONING DECISION REGARDING THE PROCESSING OF EMPLOYEES’ METADATA appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

On 11 March 2025, the Commission proposed a Regulation[1] to improve the availability of critical medicines in Europe and to protect human health by incentivising supply chain diversification and boosting pharmaceutical manufacturing.

The Proposal finds its rationale in the fact that, over the past decade, several categories of medicines have become increasingly prone to shortages due to challenges arising along the pharmaceutical chain such as, amongst others, manufacturing hurdles and vulnerabilities in the supply of key ingredients. More particularly, the coronavirus pandemic and the recent geopolitical tensions, which are unfortunately ongoing, highlighted that shortages can be extremely problematic in crisis situations, where demand increases sharply, thereby putting patients’ lives at risk and placing a significant stress on healthcare systems. By complementing the reform of the Union’s pharmaceutical legislation and the enhanced role of the European Medicines Agency in managing shortages, the Proposal aims to reduce that risk and prevent supply chain vulnerabilities and market failures as well as coping with Europe’s dependency on single suppliers and third countries.

In the first place, the Proposal defines the criteria for projects located in the Union and related to creating or increasing manufacturing capacity considered as strategic. More particularly, industrial ventures could be recognised as Strategic Projects if they create, increase or modernise the European manufacturing capacity of critical medicines and their key ingredients[2]. Such Projects will be awarded incentives such as, amongst others, fast-track permit procedures, streamlined environmental assessments[3], administrative and scientific support[4] as well as easier access to EU funding[5].

In the second place, the Proposal introduces measures related to public procurement as a way to incentivise secure supply chains and make markets more attractive for manufacturers, whilst giving Member States access to a stable supply of medicines. Procurers will be expected to also apply procurement requirements other than price in their public procedures for critical medicines, such as, amongst others, criteria aimed at the diversification of sourcing of input material, and improving stockpiling and monitoring of supply chains. In case of high dependency on a single or a limited number of source-countries, however, procurers should be also encouraged to design requirements that favour critical medicine production in the Union[6]. Moreover, Member States will be required to develop national programmes to ensure secure supply of critical medicines via procurement, and, possibly, coherent pricing and reimbursement practices[7]. Finally, the Proposal provides Member States with several options to request the Commission’s support in the engineering of different collaborative procurement tools for critical medicines and other medicines of common interest, depending on the context and respecting the principles of subsidiarity and proportionality[8].

In the third place, the Proposal establishes a Critical Medicines Coordination Group, composed of the Commission and Member States’ representatives and whose main task will be to facilitate the application of the Regulation and enable discussions on strategic partnerships[9]. Without prejudice to the prerogatives of the Council, the Commission shall actively explore the possibility of concluding such partnerships[10].

The Proposal will now need to be discussed and approved by the Council and the Parliament, and will enter into force once the legislative process will be over.

Download Article

The post CRITICAL MEDICINES. THE COMMISSION’S PROPOSAL TO MAKE SUPPLY CHAINS MORE RESILIENT appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

In data 13 febbraio 2025, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-383/23, ILVA A/S,sull’interpretazione dell’articolo 83, paragrafi da 4 a 6, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)^[1]. Tale domanda era stata presentata nell’ambito di un procedimento penale avviato dall’Anklagemyndigheden (pubblico ministero danese) nei confronti dell’ILVA A/S (“ILVA”), una società che gestisce una catena di negozi di mobili e fa parte del Lars Larsen Group, per asserite violazioni degli obblighi ad essa incombenti in forza del GDPR.

Più particolarmente, l’ILVA era imputata in un procedimento dinanzi ai giudici danesi per essere venuta meno, nel periodo tra maggio 2018 e gennaio 2019, agli obblighi ad essa incombenti nella sua qualità di titolare del trattamento dei dati personali nell’ambito della conservazione dei dati di almeno 350 000 ex clienti. Su raccomandazione del Datatilsynet (Autorità danese per la protezione dei dati), pertanto, il pubblico ministero aveva chiesto di imporre all’ILVA una sanzione pecuniaria pari a circa 201.000 euro, il cui importo era basato non solo sul suo fatturato, e bensì anche su quello complessivo del Lars Larsen Group.

In data 12 febbraio 2021, il retten i Aarhus (Tribunale di Aarhus) aveva dichiarato l’ILVA colpevole dei fatti che le erano stati contestati e l’aveva condannata al pagamento di una sanzione pecuniaria pari a circa 13.400 euro, ritenendo che essa avesse agito per negligenza, contrariamente a quanto sostenuto dal pubblico ministero. Quest’ultimo, pertanto, aveva proposto appello dinanzi al Vestre Landsret (Corte regionale dell’Ovest; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di chiedere alla Corte di Giustizia se l’articolo 83, paragrafi da 4 a 6^[2], del GDPR, letto alla luce del suo considerando 150^[3], debba essere interpretato nel senso che il termine “impresa”, di cui a tali disposizioni, corrisponde alla nozione di “impresa” ai sensi degli articoli 101 e 102 del Trattato sul Funzionamento dell’Unione Europea (TFUE) cosicché, nel caso in cui sia inflitta una sanzione pecuniaria per violazione del GDPR ad un titolare del trattamento di dati personali, che è o fa parte di un’impresa, l’importo della sanzione pecuniaria è determinato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa, ai sensi di tali articoli 101 e 102.

La Corte ha preliminarmente ricordato che la nozione di “impresa” ai sensi degli articoli 101 e 102 TFUE non incide sulla questione se e a quali condizioni una sanzione amministrativa pecuniaria possa essere inflitta ai sensi dell’articolo 83 del RGPD ad un titolare del trattamento che sia una persona giuridica^[4], assumendo rilievo solo in sede di determinazione del suo importo ai sensi dei paragrafi da 4 a 6 di quest’ultimo^[5]. Ai fini dell’applicazione delle norme in materia di concorrenza di cui agli articoli 101 e 102 TFUE, infatti, tale nozione comprende qualsiasi ente che eserciti un’attività economica, a prescindere dal suo status giuridico e dalle sue modalità di finanziamento. Di conseguenza, essa si riferisce ad un’unità economica anche qualora, sotto il profilo giuridico, quest’ultima sia costituita da più persone fisiche o giuridiche, consistendo in un’organizzazione unitaria di elementi personali, materiali e immateriali che persegue stabilmente un determinato fine di natura economica^[6]. Dall’articolo 83, paragrafi da 4 a 6, del GDPR, pertanto, risulta che, nel caso in cui il destinatario della sanzione amministrativa pecuniaria sia o faccia parte di un’impresa ai sensi degli articoli 101 e 102 TFUE, l’importo massimo della sanzione amministrativa pecuniaria è calcolato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa interessata^[7].

La determinazione di tale importo massimo, tuttavia, deve essere distinta dal calcolo stesso dell’importo di una sanzione pecuniaria che l’autorità di controllo competente deve infliggere per la o le violazioni specifiche del GDPR che tale sanzione pecuniaria punisce. Più particolarmente, ciascuna autorità di controllo provvede affinché le sanzioni amministrative pecuniarie inflitte in forza dell’articolo 83 per le violazioni del GDPR di cui ai paragrafi da 4 a 6 di quest’ultimo siano, in ciascun caso, effettive, proporzionate e dissuasive. Oltre al rispetto di queste tre condizioni, inoltre, l’autorità di controllo competente, al fine di decidere se infliggere una sanzione amministrativa pecuniaria e fissarne l’importo, deve tenere debitamente conto, in ciascun caso concreto, di un certo numero di elementi quali, tra gli altri, la natura, la gravità e la durata della violazione, il suo carattere doloso o colposo nonché il numero di interessati lesi dal danno. Sebbene tali elementi non facciano riferimento alla nozione di impresa ai sensi degli articoli 101 e 102 TFUE, solo una sanzione pecuniaria che tiene conto non solo di tutti gli elementi che caratterizzano in tal modo le violazioni constatate del GDPR, e bensì anche, se del caso, della capacità economica reale o materiale del suo destinatario può essere allo stesso tempo effettiva, proporzionata e dissuasiva. Di conseguenza, per valutare tali condizioni, occorre tener conto della questione se tale destinatario faccia parte di un’impresa ai sensi degli articoli 101 e 102 TFUE^[8].

Tutto ciò premesso, la Corte ha pertanto statuito che:

“L’articolo 83, paragrafi da 4 a 6, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), letto alla luce del considerando 150 di tale regolamento, deve essere interpretato nel senso che il termine «impresa», di cui a tali disposizioni, corrisponde alla nozione di «impresa», ai sensi degli articoli 101 e 102 TFUE, cosicché, quando viene inflitta una sanzione pecuniaria per violazione del regolamento 2016/679 a un titolare del trattamento di dati personali, che è o fa parte di un’impresa, l’importo massimo della sanzione pecuniaria è determinato sulla base di una percentuale del fatturato mondiale totale annuo dell’esercizio precedente dell’impresa. La nozione di «impresa» deve altresì essere presa in considerazione per valutare la capacità economica reale o materiale del destinatario della sanzione pecuniaria e verificare così se la sanzione pecuniaria sia al contempo effettiva, proporzionata e dissuasiva”.

Download Article

The post LA CORTE DI GIUSTIZIA SI PRONUNCIA SULLA NOZIONE DI “IMPRESA” E SULLA VIOLAZIONE DEL GDPR DA PARTE DI UNA SOCIETÀ FIGLIA appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

In data 9 gennaio 2025, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-394/23, Mousse contro Commission nationale de l’informatique et des libertés (CNIL) e SNCF Connect, sull’interpretazione dell’articolo 5, paragrafo 1, lettera c), dell’articolo 6, paragrafo 1, primo comma, lettere b) e f), nonché dell’articolo 21 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)^[1]. Tale domanda era stata presentata nell’ambito di una controversia tra la Mousse, un’associazione, e la Commission nationale de l’informatique et des libertés (Commissione nazionale per l’informatica e le libertà, CNIL) relativamente al rigetto, da parte di quest’ultima, del reclamo relativo al trattamento, da parte della società SNCF Connect (“SNCF”), di dati inerenti all’appellativo dei suoi clienti al momento della vendita online di titoli di trasporto.

Questi i fatti.

Ritenendo che le condizioni di raccolta e di registrazione di tali dati^[2] non fossero conformi ai requisiti del GDPR, la Mousse aveva presentato un reclamo dinanzi alla CNIL, che tuttavia lo aveva respinto in quanto i fatti contestati alla SNCF non violavano le disposizioni del regolamento. Di conseguenza, la Mousse aveva proposto un ricorso di annullamento dinanzi al Conseil d’État(Consiglio di Stato; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia due questioni pregiudiziali.

Con la prima questione, il giudice del rinvio chiedeva se l’articolo 6, paragrafo 1, primo comma, lettere b) e f)^[3], del GDPR, in combinato disposto con l’articolo 5, paragrafo 1, lettera c)^[4], di tale regolamento debba essere interpretato nel senso che il trattamento di dati personali relativi all’appellativo dei clienti di un’impresa di trasporto, avente la finalità di personalizzare la comunicazione commerciale fondata sulla loro identità di genere, possa essere considerato necessario all’esecuzione di un contratto, ai sensi di tale lettera b), per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, ai sensi di tale lettera f).

La Corte ha preliminarmente ricordato che, per essere considerato necessario all’esecuzione di un contratto ai sensi dell’articolo 6, paragrafo 1, primo comma, lettera b), del GDPR, un trattamento di dati personali deve essere oggettivamente indispensabile per realizzare una finalità che è parte integrante della prestazione contrattuale destinata all’interessato, di talché il relativo titolare deve essere in grado di dimostrare in che modo l’oggetto principale di tale contratto non potrebbe essere conseguito in assenza del trattamento in questione^[5]. A tale riguardo, la circostanza che un siffatto trattamento sia menzionato nel contratto oppure sia soltanto utile per l’esecuzione di quest’ultimo è, di per sé, irrilevante, in quanto l’elemento determinante ai fini dell’applicazione della giustificazione di cui all’articolo 6, paragrafo 1, primo comma, lettera b), del GDPR è che esso sia essenziale per consentire la corretta esecuzione del contratto stipulato tra il titolare e l’interessato e, pertanto, che non esistano altre soluzioni percorribili e meno invasive^[6]. Di conseguenza, se il contratto consiste in più servizi o in più elementi distinti di uno stesso servizio che possono essere prestati indipendentemente gli uni dagli altri, l’applicabilità dell’articolo 6, paragrafo 1, primo comma, lettera b), del GDPR deve essere valutata separatamente nel contesto di ciascuno di tali servizi^[7].

Tutto ciò premesso, nel caso concreto il trattamento di dati in questione ha la finalità di personalizzare la comunicazione commerciale nei confronti del cliente, nel rispetto di usi comunemente ammessi in materia. Benché la comunicazione commerciale possa costituire una finalità che è parte integrante della prestazione contrattuale interessata, tuttavia, essa non deve necessariamente essere personalizzata in funzione dell’identità di genere del cliente interessato. La personalizzazione dei contenuti, infatti, non appare necessaria per offrire servizi ad un cliente quando gli stessi possono, eventualmente, essergli forniti sotto forma di un’alternativa equivalente che non implichi tale personalizzazione, che non è dunque oggettivamente indispensabile per una finalità che sia parte integrante di detti servizi^[8]. Una personalizzazione della comunicazione commerciale, fondata su un’identità di genere presunta in funzione dell’appellativo, pertanto, non sembra essere né oggettivamente indispensabile né essenziale al fine di consentire la corretta esecuzione del contratto interessato.

Quanto all’articolo 6, paragrafo 1, primo comma, lettera f), del GDPR, esso prevede tre condizioni cumulative affinché i trattamenti di dati personali ivi considerati siano leciti, ossia i) il perseguimento di un legittimo interesse del titolare del trattamento o di terzi, ii) la necessità del trattamento dei dati personali per la realizzazione del legittimo interesse perseguito, e iii) il fatto che gli interessi o i diritti e le libertà fondamentali dell’interessato dalla tutela dei dati non prevalgano sul legittimo interesse del titolare del trattamento o di terzi^[9], ciò che implica, in particolare, una ponderazione dei diritti e degli interessi contrapposti in gioco che dipende, in linea di principio, dalle circostanze del caso concreto.

A tale riguardo, spetterà al giudice del rinvio verificare se un legittimo interesse sia stato indicato dalla SNCF ai suoi clienti nella fase di raccolta dei dati in questione^[10]. Una personalizzazione della comunicazione commerciale, inoltre, potrebbe limitarsi al trattamento dei nomi e dei cognomi dei clienti, in quanto il loro appellativo e/o la loro identità di genere sono un’informazione che non pare essere strettamente necessaria in tale contesto, in particolare alla luce del principio di minimizzazione dei dati. Secondo la Corte, infine, si presume che il cliente di un’impresa di trasporto non si aspetti che quest’ultima tratti dati relativi al suo appellativo o alla sua identità di genere nel contesto dell’acquisto di un titolo di trasporto. Il legittimo interesse relativo al marketing diretto, infatti, non può, in ogni caso, prevalere nell’evenienza di un rischio di pregiudizio ai diritti e alle libertà fondamentali dell’interessato.

Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 6, paragrafo 1, primo comma, lettera f), del GDPR debba essere interpretato nel senso che, al fine di valutare la necessità di un trattamento di dati personali ai sensi di tale disposizione, occorre prendere in considerazione l’eventuale esistenza di un diritto di opposizione dell’interessato, ai sensi dell’articolo 21^[11] di tale regolamento.

La Corte ha preliminarmente ricordato che l’applicabilità dell’articolo 21 del GDPR e, pertanto, l’eventuale esistenza di un diritto di opposizione, presuppongono l’esistenza di un trattamento lecito, fondato nel caso in questione sull’articolo 6, paragrafo 1, primo comma, lettera f), di tale regolamento. Di conseguenza, l’esistenza di un diritto di opposizione non può essere presa in considerazione ai fini della valutazione della liceità e, in particolare, della necessità del trattamento dei dati personali di cui al caso concreto.

Tutto ciò premesso, la Corte ha statuito che:

“L’articolo 6, paragrafo 1, primo comma, lettere b) e f), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), in combinato disposto con l’articolo 5, paragrafo 1, lettera c), di tale regolamento, deve essere interpretato nel senso che:

– il trattamento di dati personali relativi all’appellativo dei clienti di un’impresa di trasporto, avente la finalità di personalizzare la comunicazione commerciale fondata sulla loro identità di genere, non sembra essere né oggettivamente indispensabile né essenziale per consentire la corretta esecuzione di un contratto e, pertanto, non può essere considerato necessario all’esecuzione di tale contratto;

– il trattamento di dati personali relativi all’appellativo dei clienti di un’impresa di trasporto, avente la finalità di personalizzare la comunicazione commerciale fondata sulla loro identità di genere, non può essere considerato necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, qualora:

– il legittimo interesse perseguito non sia stato indicato a tali clienti al momento della raccolta di tali dati; oppure

– detto trattamento non sia effettuato nei limiti dello stretto necessario per la realizzazione di tale legittimo interesse; oppure

– alla luce dell’insieme delle circostanze pertinenti, i diritti e le libertà fondamentali di detti clienti possano prevalere su tale legittimo interesse, in particolare a causa di un rischio di discriminazione fondata sull’identità di genere.

L’articolo 6, paragrafo 1, primo comma, lettera f), del regolamento 2016/679 deve essere interpretato nel senso che al fine di valutare la necessità di un trattamento di dati personali ai sensi di tale disposizione, non occorre prendere in considerazione l’eventuale esistenza di un diritto di opposizione dell’interessato, ai sensi dell’articolo 21 di tale regolamento”.

Download Article

The post LA CORTE DI GIUSTIZIA SI PRONUNCIA SULLA LICEITÀ DEL TRATTAMENTO DEI DATI PERSONALI RELATIVI ALL’APPELLATIVO DEI CLIENTI DI UN’IMPRESA DI TRASPORTO appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

In data 9 gennaio 2025, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-416/23, Österreichische Datenschutzbehörde contro F R, sull’interpretazione dell’articolo 57, paragrafo 4, e dell’articolo 77, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)^[1]. Tale domanda era stata presentata nell’ambito di una controversia tra F R, persona fisica, e l’Österreichische Datenschutzbehörde (Autorità austriaca per la protezione dei dati, DSB) in merito al rifiuto da parte di quest’ultima di dar seguito ad un reclamo relativo ad una presunta violazione del diritto di accesso di F R ai suoi dati personali.

Questi i fatti.

In data 17 febbraio 2020, F R aveva proposto reclamo alla DSB in quanto una società, avente la qualità di titolare del trattamento, non aveva risposto alla sua richiesta di accesso ai suoi dati personali entro il termine di un mese. La DSB, tuttavia, aveva rifiutato di dar seguito a tale reclamo a motivo del suo carattere eccessivo. F R, pertanto, aveva proposto ricorso dinanzi al Bundesverwaltungsgericht (Tribunale amministrativo federale), che lo aveva accolto annullando la decisione della DSB. Di conseguenza, quest’ultima aveva presentato un ricorso per cassazione dinnanzi al Verwaltungsgerichtshof (Corte amministrativa; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali.

Con la prima questione, il giudice del rinvio chiedeva se l’articolo 57, paragrafo 4^[2], del GDPR debba essere interpretato nel senso che la nozione di “richiesta” ivi contenuta comprende i “reclami” di cui all’articolo 57, paragrafo 1, lettera f)^[3], e all’articolo 77, paragrafo 1^[4], del medesimo regolamento.

La Corte ha preliminarmente rilevato che nessuna delle suddette disposizioni definisce espressamente la nozione di “richiesta” ai sensi dell’articolo 57, paragrafo 4, del GDPR. Secondo il suo significato abituale nel linguaggio corrente, tuttavia, la nozione di “richiesta” è particolarmente ampia, poiché comprende potenzialmente ogni domanda formulata da una persona o da un ente, di talché vi rientrano anche i reclami proposti ai sensi dell’articolo 77, paragrafo 1, del GDPR. Ciò trova conferma anche dal contesto in cui tali disposizioni si inseriscono. Prevedendo per le autorità di controllo la facoltà, qualora siano poste di fronte a richieste manifestamente infondate o eccessive, di addebitare un contributo spese ragionevole basato sui costi amministrativi o di rifiutarsi di soddisfare una richiesta, l’articolo 57, paragrafo 4, del GDPR introduce un’eccezione al principio di gratuità dei compiti da esse svolti^[5], senza limitarla a determinati compiti specifici, dovendosi pertanto applicare anche al trattamento dei reclami di cui all’articolo 57, paragrafo 1, lettera f), di tale regolamento, soprattutto in quanto quest’ultimo compito costituisce una missione essenziale delle autorità stesse.

Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 57, paragrafo 4, del GDPR debba essere interpretato nel senso che la mera circostanza che siano state presentate numerose richieste possa essere sufficiente affinché queste siano qualificate eccessive, ai sensi di tale disposizione, o se una qualificazione di questo tipo presupponga altresì un intento abusivo da parte della persona che ha presentato tali richieste.

La Corte ha preliminarmente ricordato che, costituendo un’eccezione al principio di gratuità dei compiti svolti dalle autorità di controllo, l’esercizio della facoltà prevista dall’articolo 57, paragrafo 4, del GDPR deve rimanere eccezionale^[6], potendo avvenire solo in caso di abuso di diritto^[7] senza che il numero di reclami proposti possa costituire, di per sé, un criterio sufficiente ai fini dell’accertamento dell’esistenza di quest’ultimo. Di conseguenza, quando intende avvalersi della facoltà offerta dall’articolo 57, paragrafo 4, del GDPR, l’autorità di controllo interessata deve dimostrare, alla luce di tutte le circostanze pertinenti di ciascun caso, l’esistenza di un intento abusivo da parte dell’interessato, fermo restando che il numero di reclami proposti da quest’ultimo non è, di per sé, sufficiente.

Con la terza questione, infine, il giudice del rinvio chiedeva se l’articolo 57, paragrafo 4, del GDPR debba essere interpretato nel senso che, quando viene posta di fronte a richieste eccessive, un’autorità di controllo può liberamente scegliere tra addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta.

La Corte ha preliminarmente rilevato che la formulazione dell’articolo 57, paragrafo 4, del GDPR sembra deporre a favore dell’interpretazione secondo cui l’autorità di controllo, una volta accertato il carattere eccessivo delle richieste che le sono sottoposte, dispone della libertà di scegliere l’una o l’altra delle opzioni ivi previste. Ciò troverebbe conferma nell’ perseguiti dal GPDR di assicurare un livello coerente ed elevato di protezione delle persone fisiche all’interno dell’Unione nonché il rafforzamento e la disciplina dettagliata dei diritti degli interessati^[8]. Di conseguenza, tenuto conto dell’importanza che riveste il diritto di proporre reclami rispetto all’obiettivo di garantire un livello elevato di protezione dei dati personali, del ruolo essenziale che il trattamento di tali reclami ha tra i compiti affidati alle autorità di controllo, nonché dell’obbligo che grava su dette autorità di procedere al trattamento di simili reclami con tutta la dovuta diligenza, spetta a queste ultime prendere in considerazione tutte le circostanze pertinenti ed assicurarsi che l’opzione prescelta sia appropriata, necessaria e proporzionata.

Tutto ciò premesso, la Corte ha pertanto statuito che:

“L’articolo 57, paragrafo 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che la nozione di «richiesta» ivi contenuta comprende i reclami di cui all’articolo 57, paragrafo 1, lettera f), e all’articolo 77, paragrafo 1, di tale regolamento.

L’articolo 57, paragrafo 4, del regolamento 2016/679 deve essere interpretato nel senso che le richieste non possono essere qualificate «eccessive», ai sensi dell’articolo 57, paragrafo 4, di tale regolamento, unicamente in ragione del loro numero nel corso di un periodo determinato, dato che l’esercizio della facoltà prevista dalla medesima disposizione è subordinato alla dimostrazione, da parte dell’autorità di controllo, dell’esistenza di un intento abusivo della persona che ha presentato dette richieste.

L’articolo 57, paragrafo 4, del regolamento 2016/679 deve essere interpretato nel senso che quando viene posta di fronte a richieste eccessive, un’autorità di controllo può scegliere, con decisione motivata, tra addebitare un contributo spese ragionevole basato sui costi amministrativi o rifiutarsi di soddisfare la richiesta, tenendo conto di tutte le circostanze pertinenti e assicurandosi che l’opzione prescelta sia appropriata, necessaria e proporzionata”.

Download Article

The post TRATTAMENTO DEI DATI PERSONALI. LA CORTE DI GIUSTIZIA SI PRONUNCIA SULLE NOZIONI DI “RICHIESTA” E DI “RICHIESTE ECCESSIVE” appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

In data 19 dicembre 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-65/23, MK contro K GmbH,sull’interpretazione dell’articolo 82, paragrafo 1, nonché dell’articolo 88, paragrafi 1 e 2, in combinato disposto con l’articolo 5, l’articolo 6, paragrafo 1, e l’articolo 9, paragrafi 1 e 2, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)^[1]. Tale domanda era stata presentata nell’ambito di una controversia tra MK e la K GmbH (“K”), suo datore di lavoro, in merito al risarcimento del danno morale che tale persona asseriva di aver subito a causa di un trattamento dei suoi dati personali effettuato da parte della società sulla base di un accordo aziendale.

Questi i fatti.

Inizialmente, la K aveva proceduto al trattamento di taluni dati personali dei suoi dipendenti nell’ambito dell’utilizzo di un softwaredenominato “SAP”, concludendo diversi accordi al riguardo con il suo comitato aziendale, che era presieduto da MK. Successivamente il gruppo di società D, a cui appartiene la K, aveva introdotto il software denominato “Workday”, che opera nel cloud, come sistema unico per la gestione delle informazioni sul personale, di talché la K aveva trasferito diversi dati personali dei suoi dipendenti dal SAP ad un server della società madre del gruppo D, situato negli Stati Uniti.

Tutto ciò premesso, nel luglio 2017 la K e il suo comitato aziendale avevano concluso un accordo che stabiliva una tolleranza quanto all’introduzione del software Workday e che vietava, in particolare, che lo stesso fosse utilizzato a fini di gestione delle risorse umane, come la valutazione di un lavoratore, durante la fase di sperimentazione. In tale contesto, MK aveva presentato dinanzi ai giudici territorialmente competenti delle domande dirette ad ottenere l’accesso a talune informazioni, la cancellazione di dati che lo riguardavano nonché la concessione di un risarcimento sostenendo che la K aveva trasferito, verso il server della società controllante, dati personali che lo riguardavano, alcuni dei quali non erano menzionati nel suddetto accordo aziendale. Non avendo ottenuto una completa soddisfazione, MK aveva presentato un ricorso per cassazione presso il Bundesarbeitsgericht (Corte federale del lavoro: il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva decisodi sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali.

Con la prima questione, il giudice del rinvio chiedeva se l’articolo 88, paragrafi 1 e 2^[2], del GDPR debba essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di costringere i suoi destinatari a rispettare non solo i requisiti derivanti dal paragrafo 2 di tale articolo, e bensì anche quelli derivanti dall’articolo 5^[3], dall’articolo 6, paragrafo 1^[4] nonché dall’articolo 9, paragrafi 1 e 2^[5].

La Corte ha preliminarmente rilevato che il paragrafo 1 dell’articolo 88 del GDPR richiede che le norme più specifiche autorizzate da tale disposizione abbiano un contenuto normativo specifico per l’area regolamentata e distinto dalle norme generali di tale regolamento, mentre il suo paragrafo 2 delimita il margine di discrezionalità degli Stati Membri che intendono adottare una normativa nazionale sulla base di tale paragrafo 1^[6]. Tale formulazione, per contro, non fornisce indicazioni esplicite quanto alla questione se le norme più specifiche che gli Stati Membri hanno la possibilità di adottare debbano tendere al rispetto unicamente dei requisiti di cui all’articolo 88, paragrafo 2, del GDPR o anche di quelli di altre disposizioni di tale regolamento.

Tutto ciò premesso, quando gli Stati Membri esercitano la facoltà loro concessa dall’articolo 88 del GDPR devono utilizzare il loro potere discrezionale alle condizioni e nei limiti prescritti dalle disposizioni di tale regolamento, dovendo quindi legiferare in modo da non pregiudicarne il contenuto e gli obiettivi. Per evitare di compromettere la finalità di garantire un elevato livello di protezione dei dipendenti nel caso in cui i loro dati personali siano trattati nell’ambito di un rapporto di lavoro, tuttavia, l’articolo 88 del GDPR non può essere interpretato nel senso che le norme più specifiche che gli Stati Membri sono autorizzati ad adottare ai sensi di tale articolo possano avere l’oggetto o l’effetto di eludere gli obblighi del responsabile del trattamento, o anche dell’incaricato del trattamento, derivanti da altre disposizioni di tale regolamento. Di conseguenza, occorre interpretare l’articolo 88, paragrafi 1 e 2, del GDPR nel senso che anche qualora gli Stati Membri si basino su tale articolo per introdurre, nei loro rispettivi ordinamenti giuridici interni, norme più specifiche, mediante una legge o mediante contratti collettivi, devono parimenti essere soddisfatti i requisiti derivanti dall’articolo 5, dall’articolo 6, paragrafo 1 nonché dall’articolo 9, paragrafi 1 e 2, di tale regolamento.

Con la seconda questione, invece, il giudice del rinvio chiedeva se l’articolo 88, paragrafo 1, del GDPR debba essere interpretato nel senso che, qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui disporrebbero le sue parti per determinare il carattere necessario di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, di tale regolamento avrebbe l’effetto di impedire al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo.

La Corte ha preliminarmente ricordato che spetta al giudice nazionale adito, il solo competente ad interpretare il diritto nazionale, valutare se le sue norme rispettino effettivamente le condizioni e i limiti prescritti, in particolare, dall’articolo 88 del GDPR, di talché laddove giunga alla constatazione che le disposizioni nazionali in questione non rispettano tali condizioni e limiti, egli è tenuto a disapplicarle^[7]. Tali considerazioni valgono anche per le parti di un contratto collettivo di cui all’articolo 88 del GDPR, in quanto le stesse devono poter disporre di un margine di discrezionalità equivalente, in particolare per quanto riguarda i suoi limiti, a quello riconosciuto agli Stati Membri, dal momento che le norme più specifiche di cui al paragrafo 1 di tale articolo 88 possono segnatamente risultare da contratti collettivi. Di conseguenza, nonostante il margine di discrezionalità che l’articolo 88 del GDPR lascia alle parti di un contratto collettivo, il controllo giurisdizionale esercitato sullo stesso, al pari di quello relativo ad una norma di diritto nazionale adottata ai sensi di tale disposizione, deve poter vertere senza alcuna restrizione sul rispetto di tutte le condizioni e i limiti prescritti dalle disposizioni di tale regolamento per il trattamento di dati personali e, in particolare, mirare alla verifica del carattere necessario di quest’ultimo, ai sensi degli articoli 5, 6 e 9 del GDPR.

Alla luce della risposta fornita alla seconda questione, infine, la Corte ha ritenuto non necessario rispondere alla terza, con la quale il giudice del rinvio chiedeva a cosa possa essere limitato, in un caso del genere, il controllo giurisdizionale.

Di conseguenza, la Corte ha statuito che:

“L’articolo 88, paragrafi 1 e 2, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che una disposizione nazionale avente ad oggetto il trattamento di dati personali ai fini dei rapporti di lavoro e adottata in forza dell’articolo 88, paragrafo 1, di tale regolamento deve avere l’effetto di vincolare i suoi destinatari a rispettare non solo i requisiti derivanti dall’articolo 88, paragrafo 2 di tale regolamento, ma anche quelli che discendono dall’articolo 5, dall’articolo 6, paragrafo 1, nonché dall’articolo 9, paragrafi 1 e 2, dello stesso.

L’articolo 88, paragrafo 1, del regolamento 2016/679 dev’essere interpretato nel senso che qualora un contratto collettivo rientri nell’ambito di applicazione di tale disposizione, il margine di discrezionalità di cui dispongono le parti di tale contratto per determinare il carattere «necessario» di un trattamento di dati personali, ai sensi dell’articolo 5, dell’articolo 6, paragrafo 1, nonché dell’articolo 9, paragrafi 1 e 2, di tale regolamento, non impedisce al giudice nazionale di esercitare un controllo giurisdizionale completo al riguardo”.

Download Article

The post LA CORTE DI GIUSTIZIA SI PRONUNCIA SUL MARGINE DI DISCREZIONALITÀ DELLE PARTI SULLA NECESSITÀ DEL TRATTAMENTO DEI DATI PERSONALI PREVISTO DA UN CONTRATTO COLLETTIVO appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

In data 28 novembre 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-169/23, Nemzeti Adatvédelmi és Információszabadság Hatóság contro UC, sull’interpretazione dell’articolo 14, paragrafi 1 e 5, lettera c), dell’articolo 32 nonché dell’articolo 77, paragrafo 1, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)^[1]. Tale domanda era stata presentata nell’ambito di una controversia tra la Nemzeti Adatvédelmi és Információszabadság Hatóság (autorità nazionale ungherese incaricata della protezione dei dati e della libertà di informazione) e UC in merito all’esistenza di un obbligo di informazione riguardante il trattamento dei dati personali in capo al Budapest Főváros Kormányhivatala (Ufficio governativo di Budapest-Capitale), incaricato di rilasciare certificati di immunità alle persone vaccinate contro il coronavirus o che avevano contratto tale malattia.

Questi i fatti.

Dopo aver ricevuto un certificato di immunità attestante la sua vaccinazione contro il coronavirus, UC aveva avviato un procedimento amministrativo relativo al trattamento dei dati personali che lo riguardavano, presentando presso l’autorità nazionale un reclamo affinché fosse ordinato all’amministrazione preposta al rilascio di conformare alle disposizioni del GDPR le sue operazioni di trattamento. Nello specifico, UC aveva contestato all’amministrazione di non aver redatto e pubblicato un’informativa sulla protezione dei dati personali relativi al rilascio dei certificati di immunità, facendo valere la mancanza di informazioni in ordine alle finalità e alla base giuridica del trattamento di tali dati nonché ai diritti spettanti agli interessati e alle rispettive modalità di esercizio.

Poiché, tuttavia, l’autorità nazionale aveva respinto la sua domanda dichiarando che non sussisteva l’obbligo di informazione in capo all’amministrazione preposta al rilascio, UC aveva proposto un ricorso amministrativo dinanzi alla Fővárosi Törvényszék (Corte di Budapest-Capitale), che aveva annullato tale decisione ordinando all’autorità di avviare un nuovo procedimento. Quest’ultima, pertanto, aveva adito la Kúria (Corte suprema ungherese: il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di sottoporre alla Corte di Giustizia tre questioni pregiudiziali.

Con la prima questione, il giudice del rinvio chiedeva se l’articolo 14, paragrafo 5, lettera c)^[2], del GDPR debba essere interpretato nel senso che la deroga all’obbligo di informazione dell’interessato da parte del titolare del trattamento, prevista da tale disposizione, riguarda unicamente i dati personali che quest’ultimo ha ottenuto presso una persona diversa dall’interessato o, altresì, quelli generati dallo stesso titolare del trattamento nell’ambito dell’esercizio dei propri compiti.

La Corte ha preliminarmente rilevato che l’articolo 14, paragrafo 5, lettera c), del GDPR, da un lato, si riferisce all’ottenimento o alla comunicazione dei dati personali e, dall’altro, non limita la deroga da esso prevista ai soli dati personali ottenuti dal titolare del trattamento presso una persona diversa dall’interessato, né esclude quelli che sono stati generati dal titolare del trattamento stesso, nell’ambito dell’esercizio dei propri compiti, a partire da tali dati. Di conseguenza, i dati personali che sono stati oggetto di un ottenimento, ai sensi dell’articolo 14, paragrafo 5, lettera c), del GDPR, da parte del titolare del trattamento sono tutti quelli che quest’ultimo ottiene presso una persona diversa dall’interessato e quelli che esso stesso ha generato, nell’ambito dell’esercizio dei propri compiti, a partire da quelli ottenuti presso tale persona. Tanto i dati personali ottenuti dal titolare del trattamento presso una persona diversa dall’interessato quanto quelli generati dal titolare del trattamento stesso, i quali, per loro natura, neppure sono stati ottenuti presso l’interessato, inoltre, rientrano nell’ambito di applicazione di tale articolo 14, di talché la deroga prevista dal suo paragrafo 5 riguarda queste due categorie di dati. Conformemente all’obiettivo perseguito dal GDPR, infine, la deroga all’obbligo di informazione dell’interessato, prevista all’articolo 14, paragrafo 5, lettera c) richiede, da un lato, che l’ottenimento o la comunicazione dei dati personali da parte del titolare del trattamento siano espressamente previsti dal diritto dell’Unione o da quello dello Stato Membro cui tale titolare del trattamento è soggetto e, dall’altro, che tale diritto preveda misure appropriate per tutelare gli interessi legittimi dell’interessato.

Con le questioni seconda e terza, invece, il giudice del rinvio chiedeva se l’articolo 14, paragrafo 5, lettera c), e l’articolo 77, paragrafo 1^[3], del GDPR debbano essere interpretati nel senso che, nell’ambito di un procedimento di reclamo, l’autorità di controllo è competente a verificare se il diritto dello Stato Membro cui è soggetto il titolare del trattamento preveda misure appropriate per tutelare gli interessi legittimi dell’interessato, ai fini dell’applicazione della deroga di cui a tale articolo 14, paragrafo 5, lettera c), e, in caso affermativo, se tale verifica riguardi anche l’adeguatezza delle misure che il titolare del trattamento è tenuto a mettere in atto, in forza dell’articolo 32^[4] di tale regolamento, al fine di garantire la sicurezza del trattamento dei dati personali.

La Corte ha preliminarmente ricordato che il titolare del trattamento è dispensato dal fornire all’interessato le informazioni di cui all’articolo 14, paragrafi 1, 2 e 4, del GDPR se e nella misura in cui, da un lato, l’ottenimento o la comunicazione dei dati personali sono espressamente previsti dal diritto dell’Unione o dello Stato Membro cui è soggetto il titolare del trattamento e, dall’altro, tale diritto prevede misure appropriate per tutelare gli interessi legittimi dell’interessato, le quali devono indicare, in modo chiaro e prevedibile, la fonte a partire dalla quale quest’ultimo otterrà informazioni sul trattamento dei dati personali che lo riguardano.

Tutto ciò premesso, nel contesto della trasmissione dei dati personali tra organismi di uno Stato Membro e della loro generazione da parte di un titolare del trattamento a partire da quelli raccolti presso una persona diversa dall’interessato, in caso di reclamo da parte di quest’ultimo spetterà all’autorità di controllo verificare, in particolare, se il diritto nazionale o dell’Unione pertinente definisca con sufficiente precisione i diversi tipi di dati personali da ottenere o da comunicare, nonché quelli che egli deve generare nell’ambito dell’esercizio dei suoi compiti e se tale diritto prevede in che modo l’interessato abbia effettivamente accesso alle informazioni di cui all’articolo 14, paragrafi 1, 2 e 4, del GDPR. La verifica, da parte di un’autorità di controllo, della questione se siano soddisfatte tutte le condizioni per l’applicazione della deroga di cui all’articolo 14, paragrafo 5, lettera c), del GDPR, tuttavia, non rientra in un esame della validità delle disposizioni pertinenti del diritto nazionale, in quanto tale autorità si pronuncia unicamente sulla questione se, in un determinato caso, il titolare del trattamento abbia o meno il diritto di invocare la deroga prevista da tale disposizione nei confronti dell’interessato. Più particolarmente, se, in un determinato caso, l’autorità di controllo decide che il reclamo dell’interessato non è fondato, quest’ultimo deve disporre, nel suo Stato Membro, del diritto ad un ricorso giurisdizionale effettivo avverso tale decisione di rigetto. Per contro, qualora ritenga che il reclamo sia fondato e che le condizioni per l’applicazione della deroga di cui all’articolo 14, paragrafo 5, lettera c), del GDPR non siano soddisfatte, tale autorità ordina al titolare del trattamento di fornire all’interessato le informazioni, conformemente all’articolo 14, paragrafi 1, 2 e 4, del medesimo regolamento.

Gli obblighi sanciti all’articolo 32 del GDPR, che devono essere rispettati in ogni caso ed indipendentemente dall’esistenza o meno di un obbligo di informazione ai sensi dell’articolo 14 di tale regolamento, infine, sono diversi per natura e portata rispetto all’obbligo di informazione previsto da quest’ultimo articolo. Di conseguenza, in caso di reclamo ai sensi dell’articolo 77, paragrafo 1, del GDPR, per il motivo che il titolare del trattamento ha invocato, erroneamente, la deroga di cui all’articolo 14, paragrafo 5, lettera c), di tale regolamento, l’oggetto delle verifiche che l’autorità di controllo deve effettuare è circoscritto dall’ambito di applicazione del solo articolo 14 di detto regolamento, dato che il rispetto dell’articolo 32 di quest’ultimo non fa parte di tali verifiche.

Alla luce di quanto visto finora, la Corte ha pertanto statuito che:

“L’articolo 14, paragrafo 5, lettera c), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), deve essere interpretato nel senso che la deroga all’obbligo di informazione dell’interessato da parte del titolare del trattamento, prevista da tale disposizione, riguarda indistintamente tutti i dati personali che il titolare del trattamento non ha raccolto direttamente presso l’interessato, indipendentemente dal fatto che tali dati siano stati ottenuti dal titolare del trattamento presso una persona diversa dall’interessato o che siano stati generati dal titolare del trattamento stesso, nell’ambito dell’esercizio dei suoi compiti.

L’articolo 14, paragrafo 5, lettera c), e l’articolo 77, paragrafo 1, del regolamento 2016/679 devono essere interpretati nel senso che nell’ambito di un procedimento di reclamo, l’autorità di controllo è competente a verificare se il diritto dello Stato membro cui è soggetto il titolare del trattamento preveda misure appropriate per tutelare gli interessi legittimi dell’interessato, ai fini dell’applicazione della deroga di cui a tale articolo 14, paragrafo 5, lettera c). Tale verifica non verte tuttavia sull’adeguatezza delle misure che il titolare del trattamento è tenuto a mettere in atto, in forza dell’articolo 32 di tale regolamento, al fine di garantire la sicurezza del trattamento dei dati personali”.

Download Article

The post DATI PERSONALI. LA CORTE DI GIUSTIZIA SI PRONUNCIA SULLE MISURE APPROPRIATE PER TUTELARE GLI INTERESSI LEGITTIMI DELL’INTERESSATO PREVISTE DAL DIRITTO DELLO STATO MEMBRO CUI È SOGGETTO IL TITOLARE DEL TRATTAMENTO appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

La Corte di Giustizia europea restringe i criteri per ottenere indennizzi. Servono prove concrete di pregiudizio, stop a richieste automatiche e risarcimenti per lievi disagi

L’introduzione del Regolamento Generale sulla Protezione dei Dati (GDPR) ha rappresentato una pietra miliare per la protezione dei dati personali nell’Unione Europea e nel mondo. Oltre a fornire regole rigorose per il trattamento dei dati, il GDPR riconosce infatti ai cittadini europei il diritto di ottenere un risarcimento in caso di violazione delle norme, come sancito dall’articolo 82 del Regolamento. In questo contesto, la Corte di Giustizia dell’Unione Europea (CGUE) continua a giocare un ruolo cruciale nel definire i contorni di tale previsione normativa.

Articolo di Jacopo Piemonte e Federico Aluigi pubblicato su Agenda Digitale.

Read More

The post GDPR, NO AI RISARCIMENTI “FACILI”: I PALETTI DELLA CORTE UE appeared first on Studio Legale De Berti Jacchia Franchini Forlani.

In data 4 ottobre 2024, la Corte di Giustizia dell’Unione Europea si è pronunciata nella Causa C-446/21, Maximilian Schrems contro Meta Platforms Ireland Ltd, sull’interpretazione dell’articolo 5, paragrafo 1, lettere b) e c), dell’articolo 6, paragrafo 1, lettere a) e b), e dell’articolo 9, paragrafi 1 e 2, lettera e) del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (General Data Protection Regulation, GDPR)^[1]. Tale domanda era stata presentata nell’ambito di una controversia tra il sig. Maximilian Schrems, un utente del social network Facebook, e la Meta Platforms Ireland Ltd (“Meta”), la cui sede legale si trova in Irlanda, in merito al trattamento asseritamente illecito dei suoi dati personali da parte di questa ultima.

Questi i fatti.

In vista dell’entrata in vigore del GDPR, la Meta aveva adottato nuove condizioni per l’utilizzo dei dati personali dei propri utenti, che il sig. Schrems, il cui account era stato bloccato, aveva accettato al fine di poter continuare ad usufruire di Facebook. Nello specifico, la Meta utilizza “cookies”^[2], pixels^[3] e “social plugins”^[4], come indicato nelle sue condizioni di utilizzo e nelle sue direttive. Questi ultimi, in particolare, si trovano anche sulle pagine internet dei partiti politici e su pagine destinate ad un pubblico omosessuale visitate dal sig. Schrems, e a causa di essi la Meta aveva potuto seguirne il comportamento su internet, ciò che aveva fatto scattare la raccolta di taluni dati personali sensibili di cui il sig. Schrems non aveva autorizzato il trattamento. Di conseguenza, quest’ultimo aveva fatto valere dinanzi al Landesgericht für Zivilrechtssachen Wien (Tribunale civile del Land di Vienna) che il trattamento dei suoi dati personali effettuato dalla Meta violava diverse disposizioni del GDPR. Poiché, tuttavia, il suo ricorso era stato respinto sia in primo che in secondo grado, il sig. Schrems si era rivolto all’Oberster Gerichtshof (Corte suprema austriaca; il “giudice del rinvio”) che, alla luce della necessità di interpretare la normativa europea rilevante in materia, aveva deciso di sospendere il procedimento e di rivolgere alla Corte di Giustizia quattro questioni pregiudiziali.

Avendo la Corte già risposto alla prima e alla terza questione nella Causa Meta Platforms^[5], il giudice del rinvio aveva successivamente deciso di ritirarle, mantenendo solamente la seconda e la quarta.

Con la seconda questione, il giudice del rinvio chiedeva se l’articolo 5, paragrafo 1, lettera c)^[6] del GDPR debba essere interpretato nel senso che il principio della “minimizzazione dei dati”, da esso previsto, osta a che tutti i dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, ha ottenuto dall’interessato o da terzi e che sono stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.

La Corte ha preliminarmente ricordato che, in considerazione del principio di minimizzazione dei dati, il responsabile del trattamento è tenuto a limitare a quanto strettamente necessario, alla luce della finalità del trattamento stesso, il periodo di raccolta dei dati personali in questione^[7]. Più a lungo vengono conservati tali dati, infatti, maggiore è l’impatto sugli interessi e sulla privacy dell’interessato, e più severi sono i requisiti relativi alla legittimità della loro conservazione^[8]. Di conseguenza, anche un trattamento inizialmente lecito di dati può divenire, nel tempo, contrario alle disposizioni del GDPR qualora gli stessi non siano più necessari rispetto alle finalità per le quali sono stati rilevati o successivamente trattati^[9]. In tali circostanze, pertanto, spetta al giudice nazionale valutare, tenuto conto di tutti gli elementi pertinenti, ed applicando il principio di proporzionalità richiamato all’articolo 5, paragrafo 1, lettera c), del GDPR, in che misura il periodo di conservazione di dati personali da parte del titolare del trattamento sia ragionevolmente giustificato alla luce dell’obiettivo consistente nel consentire la diffusione di pubblicità personalizzata. Alla luce del principio di minimizzazione dei dati, previsto dall’articolo 5, paragrafo 1, lettera c), del GDPR, inoltre, il titolare del trattamento non può procedere, in modo generalizzato ed indifferenziato, alla raccolta di dati personali, non potendo raccogliere dati che non siano strettamente necessari rispetto alle finalità del trattamento^[10].

Tutto ciò premesso, nel caso concreto la Meta raccoglie i dati personali degli utenti di Facebook, tra cui il sig. Schrems, sia su tale social network sia al di fuori di esso, seguendo altresì il comportamento di navigazione degli utenti mediante social plugins e pixelsinseriti nelle pagine internet interessate. Un trattamento del genere è perciò particolarmente esteso, in quanto verte su dati potenzialmente illimitati ed ha un notevole impatto sull’utente, di cui la Meta controlla gran parte, se non la quasi totalità, delle attività online, ciò che può suscitare in quest’ultimo la sensazione di una continua sorveglianza della sua vita privata^[11]. Tale trattamento, pertanto, è caratterizzato da una grave ingerenza nei diritti fondamentali degli interessati che, fatte salve le verifiche che spetta al giudice del rinvio effettuare, non sembra ragionevolmente giustificata alla luce dell’obiettivo consistente nel consentire la diffusione di pubblicità mirate.

Con la quarta questione, invece, il giudice del rinvio chiedeva se l’articolo 9, paragrafo 2, lettera e)^[12] del GDPR debba essere interpretato nel senso che la circostanza che una persona si sia espressa sul proprio orientamento sessuale in occasione di una tavola rotonda aperta al pubblico autorizzi il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di tale persona, ottenuti, eventualmente, al di fuori di tale piattaforma a partire da applicazioni e siti internetdi terzi partners, ai fini dell’aggregazione e dell’analisi di detti dati, per proporre a quest’ultima pubblicità personalizzata.

La Corte ha preliminarmente ricordato che ai fini dell’applicazione dell’articolo 9, paragrafo 1, del GDPR occorre verificare, nel caso di un trattamento di dati personali effettuato dall’operatore di un social network online, se questi ultimi siano tali da rivelare informazioni rientranti in una delle categorie menzionate da tale disposizione, a prescindere dal fatto che tali informazioni riguardino un utente di tale social network o qualsiasi altra persona fisica. Più particolarmente, tale divieto di principio è indipendente dalla questione se l’informazione rivelata dal trattamento di cui trattasi sia esatta o meno e se il relativo titolare agisca allo scopo di ottenere informazioni rientranti in una delle categorie particolari previste da tale disposizione. Tenuto conto dei rischi significativi per le libertà fondamentali e i diritti fondamentali degli interessati, generati da qualsiasi trattamento di dati personali rientranti nelle categorie di cui all’articolo 9, paragrafo 1, del GDPR, infatti, quest’ultimo ha lo scopo di vietare tali trattamenti a prescindere da quale sia la loro finalità dichiarata^[13]. Di conseguenza, nella misura in cui prevede un’eccezione al principio del divieto di trattamento di categorie speciali di dati personali, l’articolo 9, paragrafo 2, lettera e), del GDPR deve essere interpretato in modo restrittivo^[14], di talché, ai fini dell’applicazione dell’eccezione ivi prevista, si deve verificare se l’interessato abbia inteso, in modo esplicito e con un atto positivo chiaro, rendere accessibili al pubblico i dati personali in questione^[15].

Tutto ciò premesso, nel caso concreto la tavola rotonda organizzata a Vienna il 12 febbraio 2019, in occasione della quale il sig. Schrems aveva rilasciato una dichiarazione sul suo orientamento sessuale, era accessibile al pubblico, che poteva ottenere un biglietto per assistervi nei limiti dei posti disponibili, ed era diffusa in streaming. Fatte salve le verifiche spettanti al giudice nazionale, pertanto, non si può escludere che tale dichiarazione, pur iscrivendosi in un discorso più ampio e effettuato al solo scopo di criticare il trattamento di dati personali effettuato da Facebook, costituisca un atto con il quale l’interessato, con piena cognizione di causa, ha reso manifestamente pubblico, ai sensi dell’articolo 9, paragrafo 2, lettera e), del GDPR, il proprio orientamento sessuale, ciò che, tuttavia, non autorizza di per sé il trattamento di altri dati personali relativi all’orientamento sessuale di quella persona. Di conseguenza, il fatto di aver manifestamente reso pubblico un dato riguardante il suo orientamento sessuale non consente di ritenere che la persona in questione abbia fornito il proprio consenso, ai sensi dell’articolo 9, paragrafo 2, lettera a), del GDPR, al trattamento, da parte del gestore di una piattaforma di social network online, di altri dati relativi al suo orientamento sessuale.

Alla luce di quanto visto finora, la Corte ha pertanto statuito che:

“L’articolo 5, paragrafo 1, lettera c), del regolamento (UE) 2016/679 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), dev’essere interpretato nel senso che il principio della «minimizzazione dei dati», da esso previsto, osta a che tutti i dati personali che un responsabile del trattamento, come il gestore di una piattaforma di social network online, ha ottenuto dall’interessato o da terzi e che sono stati raccolti sia su tale piattaforma che al di fuori di essa, siano aggregati, analizzati ed elaborati a fini di pubblicità mirata, senza limitazione temporale e senza distinzione basata sulla natura di tali dati.

L’articolo 9, paragrafo 2, lettera e), del regolamento 2016/679 dev’essere interpretato nel senso che la circostanza che una persona si sia espressa sul proprio orientamento sessuale in occasione di una tavola rotonda aperta al pubblico non autorizza il gestore di una piattaforma di social network online a trattare altri dati relativi all’orientamento sessuale di detta persona, ottenuti, eventualmente, al di fuori di tale piattaforma a partire da applicazioni e da siti Internet di partners terzi, al fine dell’aggregazione e dell’analisi di detti dati, per proporre a tale persona della pubblicità personalizzata”.

Download Article

The post LA CORTE DI GIUSTIZIA SI PRONUNCIA SUL PRINCIPIO DI MINIMIZZAZIONE E SUL TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI PERSONALI appeared first on Studio Legale De Berti Jacchia Franchini Forlani.