Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
rivista di aggiornamento
sugli adempimenti privacy
Il corretto trattamento dei dati personali passa dunque non solo attraverso la conoscenza
del Regolamento (UE) 2016/679 e del Codice Privacy, ma anche attraverso la conoscenza e
lo studio del ricchissimo e prezioso materiale prodotto ogni giorno dalle autorità competenti
e dai giudici su tutto il territorio nazionale e comunitario.
Buona lettura!
I nostri approfondimenti.............................................................................6
Intelligenza Artificiale.......................................................................................................6
Sanzioni privacy.................................................................................................................8
Whistleblowing.......................................................... ......................................................10
Intelligenza Artificiale.....................................................................................................11
Marketing..........................................................................................................................17
Secondary use.................................................................................................................22
INDICE DEI CONTENUTI
Sanità.................................................................................................................................23
Lavoro.................................................................................................................................26
Marketing..........................................................................................................................30
I nostri approfondimenti
Intelligenza Artificiale
L’articolo introduce il documento del Garante Privacy “Decalogo per la realizzazione di servizi Sanitari
Nazionali attraverso sistemi di intelligenza artificiale” pubblicato in data 12 ottobre, evidenziando il punto relativo
ai principi di accountability e di privacy by design e by default nella applicazione dei sistemi di AI nell’ambito del
SSN.
A cinque anni dalla piena applicazione del GDPR (2018), continuiamo a tenere monitorato l’andamento delle
sanzioni del Garante Privacy nel settore della sanità.
Nel 2022 rispetto al 2021 è emerso un aumento degli importi medi delle sanzioni e si segnalano novità circa
l’origine delle sanzioni e la loro tipologia.
Abbiamo realizzato un Whitepaper per offrire una sintesi dei provvedimenti e delle sanzioni comminate dal
Garante italiano nel 2022. Clicca qui per scaricarlo
Una recente sentenza della Cassazione stabilisce un principio di diritto circa la nozione di “dati relativi alla
salute” che non si possono non tenere in considerazione. Inoltre, dà indicazioni su come calcolare eventuali
sanzioni, evidenziando che non tutte le violazioni di dati relativi alla salute sono uguali.
La Corte di Cassazione ha stabilito con l’ordinanza n. 27189/2023 alcuni principi di diritto in merito alla
quantificazione delle sanzioni in ambito privacy. Principi che dovranno trovare applicazione nei giudizi contro i
provvedimenti sanzionatori del Garante.
Il 17 dicembre scade il termine ultimo per l’adeguamento degli enti con meno di 250 dipendenti al Decreto
24/2023 relativo al Whistleblowing.
In concomitanza con l’implementazione di un sistema di gestione delle segnalazioni di illeciti, gli enti dovranno
necessariamente mettere in atto specifici adempimenti a protezione dei dati personali delle persone segnalanti:
nell’articolo un breve guida sulla corretta introduzione delle piattaforme di whistleblowing nel rispetto del GDPR.
Leggi l’articolo di avv. Federica Pucarelli e Avv. Maria Livia Rizzo pubblicato su
www.studiolegalestefanelli.it Link
Sono diverse le piattaforme di Intelligenza Artificiale (IA) che, attraverso la raccolta massiva di dati personali,
ottengono da siti web enormi quantità di dati personali e li utilizzano per gli scopi più vari, tra cui l’addestramento
degli algoritmi di IA.
Questa attività di raccolta “a tappeto”, conosciuta come “webscraping” è oggi oggetto di un’indagine del
Garante Privacy, che si è rivolto a associazioni di categoria e di consumatori, ad esperti e rappresentanti del
mondo accademico per raccogliere commenti e contributi sulle misure di sicurezza adottate e adottabili contro la
raccolta massiva di dati personali a fini di addestramento degli algoritmi.
Il rapporto “Artificial intelligenze for healthcare and well-being during exceptional times” fornisce uno stato
dell’arte delle applicazioni attuali e del prossimo futuro dell’Intelligenza Artificiale (IA) in medicina, sanità e
benessere.
L’analisi include software, dispositivi di monitoraggio personale, test genetici e strumenti di editing, modelli
digitali personalizzati, piattaforme online, dispositivi di realtà aumentata e robotica chirurgica e di compagnia e
identifica le particolarità dei sistemi di IA, le opportunità e i rischi ad essi associati, nonché il loro impatto sociale,
considerando la loro maturità, disponibilità, controversia e sostenibilità. Lo studio identifica cinque aree chiave in
espansione con particolare significato in termini di impatto sociale: Strumenti di IA per la salute mentale, editing
genico mediato dall’IA, strumenti di IA per l’epidemiologia e il monitoraggio dei dati sanitari, neurotecnologie
mediate dall’IA e inclusione della neurodiversità mediata dall’IA, e li descrive in dettaglio considerando le scale.
Commissione Europea “Artificial intelligence for healthcare and well-being during exceptional times”
Scarica il documento
Le norme intendono armonizzare alcune regole relative alle richieste di risarcimento del danno, quando il
danno è causato da problemi di sicurezza oppure da un comportamento illecito, quale la violazione della
privacy.
L’European Data Protection Supervisior ha rilasciato sulla proposta di Direttiva l’Opinion 42/2023, chiedendo
la conferma esplicita che la proposta non pregiudicherà la normativa dell’Unione in materia di protezione dei dati
e raccomandando di estendere le garanzie procedurali previste dagli articoli 3 e 4 della proposta, vale a dire la
divulgazione delle prove e la presunzione del nesso di causalità, a tutti i casi di danni causati da un sistema di IA,
indipendentemente dalla sua classificazione come ad alto rischio o non ad alto rischio.
L’EDPS chiede inoltre di garantire che le informazioni divulgate ai sensi dell’articolo 3 siano accompagnate
da spiegazioni da fornire in forma intelligibile e generalmente comprensibile, di prendere in considerazione
misure aggiuntive per alleggerire ulteriormente l’onere della prova per le vittime dei sistemi di IA come mezzo per
garantire l’efficacia delle norme UE e nazionali in materia di responsabilità.
Vai al sito dell’EDPS per scaricare l’Opinion 42/2023 on the Proposal for two Directives on AI liability
rules Link
L’Autorità Garante ha espresso parere favorevole sul decreto relativo al Sistema informativo nazionale per
le dipendenze (SIND), in quanto appurato che il Ministero della Salute ha riformulato lo schema di decreto e
l’allegato disciplinare conformemente alle osservazioni pervenute dall’Autorità, in particolare:
• è stata espunta la variabile relativa all’”assistito detenuto” tra i dati raccolti dal SIND;
• sono state puntualmente definite le finalità per le quali è previsto il trattamento di dati aggregati;
• sono state fornite assicurazioni in merito al tracciato denominato “Monitoraggio HIV” che rileva solo dati
aggregati relativi all’esecuzione del test sierologico HIV da parte degli utenti del SerD in cui non sono
presenti variabili di natura anagrafica;
• è stato specificato che la comunicazione dei dati tra Ministero e Regioni consiste in un’attività di tipo tecnico,
volta a restituire informazioni analitiche sulla qualità dei dati inviati rispetto ai valori di dominio attesi, al
fine di consentire alla regione stessa l’individuazione di valori errati o anomali per facilitare l’eventuale
correzione dei dataset inviati;
• sono state richiamate le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati
nell’ambito del Sistema statistico nazionale, adottate con Provvedimento del Garante n. 514 del 19 dicembre
2018 (doc. web n. 9069677) e riportate nell’Allegato A del d.lgs. n. 196 del 2003;
• è stato precisato che la produzione di analisi statistiche e indicatori statistici sul fenomeno dell’assistenza
sanitaria a persone con dipendenze o con comportamenti a rischio di uso e di abuso di sostanze è a cura
dell’Ufficio di statistica del Ministero della salute.
Vai al sito del Garante per leggere il parere del - 12 ottobre 2023 [docweb 9947458]
Link
Con riferimento alle cause riunite C182/22 e C189/22 l’avvocato generale della Corte di Giustizia Ue (CGUE),
nelle sue conclusioni del 26/10/2023, ha sostenuto che gli interessati possono chiedere i danni immateriali
all’impresa che ha subito un cyberattacco con esfiltrazione dei dati personali, anche se i dati non sono stati ancora
utilizzati dagli attaccanti.
Per poter avanzare una richiesta risarcitoria, quindi, non serve aspettare un eventuale furto di identità: è
sufficiente il furto dei dati.
Si tratta di un’interpretazione del Reg. UE 679/2016 (GDPR) molto favorevole per gli interessati che di fatto
spalanca la strada al risarcimento dei danni in caso di violazioni di dati personali.
Questo accordo rappresenta un forte vantaggio per le aziende che saranno sicuramente facilitate nello scambio
commerciale tra i due Paesi: i flussi di dati transfrontalieri, infatti, sono un fattore determinante per questo sviluppo.
Per quanto riguarda la protezione dei dati, il 23 gennaio di quest’anno l’UE e il Giappone hanno adottato
decisioni per consentire la circolazione libera e sicura dei dati personali tra i due Paesi. Hanno concordato di
riconoscere i reciproci sistemi di protezione dei dati come “equivalenti”, dando di fatto vita alla “più grande area
mondiale di flussi sicuri di dati”.
Il Parlamento Europeo ha approvato la nuova legge per facilitare l’accesso e l’utilizzo dei dati.
Il contesto in cui questa legge si inserisce vede la crescita esponenziale di dati generati da esseri umani e
macchine potenzialmente utili per l’innovazione delle imprese e delle autorità pubbliche, che, però, non vengono
utilizzati. La nuova legislazione disciplina quindi la condivisione dei dati generati dall’uso di prodotti “connessi” o
di servizi correlati (ad esempio, l’Internet Of Things e i macchinari industriali) e consentirà agli utenti di accedere e
verificare i dati che generano. La normativa mira anche a contribuire allo sviluppo di nuovi servizi, in particolare
nel campo dell’intelligenza artificiale, dove sono necessarie grandi quantità di dati per l’addestramento degli
algoritmi.
L’obiettivo è anche quello di rendere più economici i servizi post-vendita e le riparazioni dei dispositivi connessi.
Secondo la nuova legge, in circostanze eccezionali o di emergenza, come inondazioni e incendi, gli enti pubblici
potranno accedere e utilizzare i dati in possesso del settore privato.
Vai sul sito della Commissione Europea per scaricare il testo della Legge
Link
Il Garante ha richiesto ulteriori approfondimenti in merito alle finalità secondarie, ritenendo tali finalità non ben
definite e comunque non inerenti a scopi di ricerca scientifica.
Quanto alle basi giuridiche per il perseguimento delle finalità secondarie il Garante ritiene non applicabile
l’interesse legittimo della società.
Rispetto al consenso ha chiarito che esso deve essere raccolto a fasi progressive, deve essere informato, libero
specifico e granulare e manifestato per iscritto e non può considerarsi idoneo un consenso espresso in riferimento
a finalità indicate in maniera del tutto generica.
Vai al sito del Garante Italiano per leggere il provvedimento del 12 ottobre 2023 [9953841]
Link
L’Università di Pisa ha avanzato un’istanza all’Autorità Garante ai sensi dell’art. 110 Codice e dell’art. 36 del
Regolamento per la raccolta retrospettiva dei dati necessari per la realizzazione dello studio clinico “PRedictive
In-silico Multiscale Analytics to support cancer personalized diaGnosis and prognosis, Empowered by imaging
biomarkers (PRIMAGE)”, trasmettendo il protocollo di studio, la valutazione di impatto sul trattamento dei dati, il
parere favorevole del Comitato etico territorialmente competente, Area Vasta Nord Ovest. Lo studio rientra nel
progetto europeo Horizon 2020.
Lo scopo dello studio è quello di realizzare una piattaforma open e cloud-based per supportare il processo
decisionale nella gestione clinica dei due tumori maligni che colpiscono pazienti in età pediatrica.
1. La prima fase prevede la raccolta di dati clinici, biologici e di imaging da parte di tutti i partner;
3. Nella fase 3, i modelli predittivi sviluppati saranno integrati nella piattaforma dando come risultato un
sistema di supporto alle decisioni (DSS) che migliorerà la gestione delle malattie oggetto di studio;
L’università ha avanzato richiesta ex art. 110 in ragione della impossibilità di acquisire il consenso dei genitori
dei bambini deceduti da arruolare nello Studio, tenuto conto anche del potenziale stress emotivo causato ai
genitori.
L’Autorità ha approvato il progetto di ricerca, individuando la sua base giuridica nell’art. 9 lett. J) del GDPR,
come richiamato dall’Azienda stessa. Ha inoltre indicato all’Azienda di integrare la valutazione d’impatto con
l’indicazione degli sforzi compiuti o che intende compiere all’esito dei quali attestare l’effettiva irreperibilità degli
interessati; pubblicare sul sito web l’informativa privacy con la specifica individuazione dei tempi di conservazione
dei dati.
Vai al sito del Garante Italiano per leggere il provvedimento del 28 settembre 2023 [9948285]
Link
L’ EDPB ha adottato le Linee guida sulla portata tecnica dell’art. 5 (3) della Direttiva ePrivacy .
Le linee guida mirano a chiarire quali operazioni tecniche, in particolare le tecniche di tracciamento nuove ed
emergenti, sono coperte dalla direttiva, e a fornire maggiore certezza giuridica ai titolari del trattamento dei dati
e ai singoli individui.
Le Linee Guida si inseriscono in un contesto in cui l’emergere di nuove tecniche, in aggiunta o in alternativa ai
cookie tradizionali, hanno dato origine a nuovi rischi per la privacy.
Queste linee guida affrontano quindi le implicazioni dell’utilizzo delle nuove soluzioni di tracciamento degli
utenti online, come il tracciamento di link e pixel, gli identificatori univoci, al fine di garantire che gli obblighi di
consenso stabiliti non vengano elusi.
Le Linee guida sono attualmente in consultazione preventiva. Seguirà quindi un ulteriore approfondimento
all’esito dell’adozione delle Linee Guida nella loro versione definitiva.
Vai al sito dell’EDPB Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive
Link
Il TCF (Transparency & Consent Framework) applica i principi e i requisiti derivanti della direttiva ePrivacy e del
GDPR al contesto specifico dell’industria online, tenendo conto degli orientamenti del Comitato europeo per la
protezione dei dati e degli orientamenti a livello nazionale delle autorità di protezione dei dati.
Il TCF è uno standard volontario destinato all’uso da parte di tre categorie di stakeholder (e tutti questi stakeholder
sono invitati a utilizzare il TCF, indipendentemente dal fatto che siano membri di IAB Europe)
1. Editori: proprietari o operatori di contenuti o servizi online in cui i dati personali sono raccolti e utilizzati da
società terze (venditori) per la pubblicità digitale, la misurazione dell’audience o la personalizzazione dei
contenuti.
2. Vendor: società terze che normalmente non hanno accesso diretto agli utenti finali degli editori. I fornitori
possono essere server pubblicitari, fornitori di misurazioni, agenzie pubblicitarie, DSP, SSP e altro ancora.
3. CMP (Consent Management Platform): fornitori di software o soluzioni che sviluppano informative (es.
cookie banner) per informare gli utenti e rilevare le loro preferenze rispetto al trattamento dei loro dati
personali.
Il 16/5/2023 è stata pubblicata la versione 2.2 del TCF, a cui i partecipanti al framework dovevano adeguarsi
entro il 20/11/2023.
La sentenza del Tribunale di Udine del 21 settembre 2023 ha annullato un provvedimento assunto dal Garante
nei confronti dell’Azienda Sanitaria Friuli Centrale, il cui tema principale è la liceità del trattamento secondario di
dati sanitari.
Nel caso di specie, l’Azienda sanitaria aveva utilizzato i dati dei pazienti, a suo tempo raccolti per finalità
di diagnosi e cura, per individuare gli assistiti in condizione di particolare complessità e comorbilità, al fine di
agevolare i medici del territorio nell’individuazione dei pazienti più vulnerabili e, di conseguenza, pianificare gli
interventi di vaccinazione nell’ambito del contesto emergenziale pandemico.
Vai al sito del Garante per leggere Provvedimento del 15 dicembre 2022 [9845156]
Link
L’attacco informatico si è evoluto a partire dai primi accessi abusivi da IP estero, tramite VPN, con le credenziali
di personale non tecnico della ASL, disponibili nel dark web. Tali credenziali sono state, poi, utilizzate per ottenere
privilegi di administrator. A seguire, dopo una fase silente, l’attaccante ha proceduto a installare e distribuire il
malware e sono state compromesse le credenziali di amministratori di dominio e lanciata la cifratura dei sistemi.
L’attacco ha avuto come esito la compromissione di numerosi account e la violazione di dati personali di un gran
numero di interessati, tra cui anche i dipendenti. L’ASL ha chiarito che l’attacco informatico non ha compromesso o
interrotto l’erogazione dei servizi sanitari nei confronti dell’utenza.
All’esito dell’istruttoria, l’Autorità ha rilevato l’inadeguatezza delle misure di sicurezza tecniche ed organizzative
adottate dall’ASL, in particolare l’assenza di “un’organizzazione strutturata per la lettura e analisi quotidiana dei
log” e “disponeva di limitatissime risorse tecnologiche e umane”. Non era inoltre presente l’autenticazione a più
fattori per l’accesso alla VPN che avveniva con semplice username e password.
Vai al sito del Garante italiano per leggere il provvedimento del 28 settembre 2023 [9941232]
Link
Durante l’emergenza sanitaria, tutte le strutture sanitarie hanno adottato politiche di accesso restrittive sulla base
delle prescrizioni governative a tutela della salute dei pazienti, come ad esempio l’esibizione del green pass
Tuttavia, una volta cessato lo stato di emergenza, la richiesta di esibizione della certificazione verde Covid-19
a tutti i pazienti risulta priva di una idonea base giuridica e viola, quindi, le norme in materia di protezione dei dati
personali.
Questa la motivazione alla base della sanzione di una casa di cura, sanzionata anche per aver posto in essere
un trattamento sanitario differenziato e potenzialmente discriminatorio dei pazienti che non esibivano il green
pass.
Vai al sito del Garante italiano per leggere il provvedimento del 28 settembre 2023 [9946369]
Link
L’Autorità Garante ha ricevuto una segnalazione in cui è stata lamentata una violazione della disciplina in
materia di protezione dei dati personali in relazione alla presenza, nei locali di una struttura sanitaria da anni
dismessa e afferente all’Azienda Usl Toscana centro, di documentazione sanitaria (es. ricette, cartelle cliniche e
radiografie) in stato di abbandono e accessibile a chiunque (documentazione video acquisita in atti) cui avevano
avuto accesso terzi non autorizzati, nonostante il servizio di vigilanza.
L’Autorità ha avviato un’istruttoria volta a verificare in maniera approfondita la vicenda, dalla quale è emerso
che documenti sanitari, incluse radiografie riportanti dati anagrafici e risalenti a trent’anni fa, erano lasciati in
stato di abbandono, nonostante fosse trascorso il termine di conservazione previsto dalla legge. Nonostante le
dichiarazioni dell’AUSL che riteneva insussistente un rischio per i diritti e le libertà degli interessati, l’Autorità ha
invece rinvenuto tale rischio e sanzionato l’Azienda per violazione:
• del principio di esattezza, integrità e riservatezza dei dati, considerato lo stato di conservazione dei
documenti.
Vai al sito del Garante italiano per leggere il Provvedimento del 28 settembre 2023 [9946386]
Link
Il Garante privacy ha comminato una sanzione di 20mila euro a una società che si occupa della lettura dei
contatori di luce, acqua e gas, per non aver dato idoneo riscontro alle istanze di accesso ai dati di tre dipendenti.
I tre lavoratori avevano avanzato istanza di accesso ai dati utilizzati per elaborare i rimborsi chilometrici e la
retribuzione mensile oraria, nonché la procedura per la commisurazione del compenso, proprio al fine di verificare
la correttezza della propria busta paga.
In particolare, richiedevano di conoscere i dati raccolti mediante lo smartphone aziendale sul quale era stato
istallato un sistema di geolocalizzazione che permetteva agli operatori di individuare il tragitto da effettuare per
raggiungere i contatori. Non avendo ricevuto idoneo riscontro, i dipendenti hanno avanzato un reclamo dinanzi
all’autorità Garante privacy.
Nel corso dell’istruttoria, l’Autorità ha in effetti accertato che la società titolare del trattamento non aveva fornito
un riscontro idoneo a quanto richiesto dai reclamanti, nonostante tali richieste fossero chiare e specifiche, senza
neppure comunicare loro i dati trattati attraverso il sistema GPS. Inoltre, la Società di è limitata a fornire informazioni
solo generali sul trattamento di dati svolto, mentre l’art. 15 del GDPR richiede che tali informazioni siano specifiche
e pertinenti alle richieste avanzate.
Vai al sito del Garante italiano per leggere il Provvedimento del 14 Settembre 2023 [9936174]
Link
All’esito del procedimento avviato, l’Autorità ha rilevato molteplici violazione del GDPR:
• inosservanza dell’obbligo di ottenere il consenso delle persone fisiche per ricevere prospezione commerciale
per via elettronica;
• mancata informazione sul trattamento dei dati e mancata gestione dei diritti in materia di protezione dei
dati;
• mancata sottoscrizione di un contratto o altro atto giuridico per il trattamento effettuato da un responsabile
del trattamento;
Il Garante ha sanzionato una struttura sanitaria per la scorretta gestione dei dati personali di un paziente, sotto
diversi profili.
In particolare, la società ha: trattato alcuni dati del reclamante (data di nascita e codice fiscale) in violazione del
principio di esattezza; inviato il referto riguardante l’esito dell’esame clinico effettuato dall’interessato all’indirizzo
email di un terzo, non autorizzato; infine, non ha risposto alle istanze di esercizio dei diritti dell’interessato.
In considerazione del fatto che si sia trattato di un episodio isolato causato da un errore materiale di trascrizione,
e tenuto conto del contesto (periodo emergenziale Covid), la sanzione comminata dal Garante è pari ad €
10.000.
Vai al sito del Garante italiano per leggere il Provvedimento del 31 agosto 2023 [9938463]
Link
Un paziente ha segnalato al Garante che il proprio medico ha comunicato informazioni sul suo stato di salute
ad un soggetto terzo.
Più precisamente, a seguito di una visita il medico inviava al paziente una mail con allegato il relativo referto,
composto da n. 4 pagine e contenente una serie di dati, di tracciati, nonché le conclusioni, le diagnosi e i commenti.
Senza alcun consenso del paziente, il medico inseriva in copia conoscenza una società attiva, tra l’altro, nel
commercio di ventilatori meccanici.
La giustificazione del medico, secondo cui vi era urgente necessità di ricorrere ad un ventilatore per la cura della
patologia del paziente, non è stata ritenuta sufficiente ad evitare la comminazione al medico di una sanzione di
€ 5.000.
Vai al sito del Garante italiano per leggere il Provvedimento del 28 settembre 2023 [9946712]
Link
Il Garante Privacy svedese (IMY) ha sanzionato la catena di abbigliamento H&M per non aver gestito
correttamente le richieste di persone che non desiderano ricevere marketing.
L’Autorità svedese ha condotto un’indagine a seguito di sei reclami da parte di persone che si sono opposte a
ricevere pubblicità diretta. Secondo l’IMY, l’azienda ha violato il GDPR continuando a trattare i dati personali dei
reclamanti per fini di marketing nonostante la loro opposizione.
All’esito delle verifiche è emerso che l’azienda non aveva sistemi adeguati a facilitare l’esercizio del diritto
di opposizione al marketing diretto da parte dei reclamanti. La sanzione comminata dall’azienda ammonta a
350.000 corone svedesi.
L’Autorità ha ricevuto alcune doglianze (segnalazioni e reclami) degli interessati con le quali è stata lamentata
la ricezione di diverse telefonate indesiderate effettuate per la promozione del marchio “Caffè Scionti” e su utenze
per lo più iscritte al Registro Pubblico delle Opposizioni.
Dall’istruttoria, è emerso che le modalità di raccolta dei contatti telefonici per finalità di marketing hanno
riguardato utenze reperite mediante digitazione casuale di numeri telefonici, passaparola dei clienti e modalità
inbound.
L’Autorità ha pertanto confermato che l’avvenuta violazione dei principi di protezione dei dati per non aver
acquisito il previo consenso degli interessati né per aver reso a quest’ultimi, in occasione delle suddette telefonate,
la necessaria informativa in ordine al trattamento dei dati. Anche con riferimento ai dati personali acquistati dalla
società da list provider, è emerso che la società non ha verificato la sussistenza di idonea base giuridica per il
trattamento di tali dati di contatto.
Vai al sito del Garante italiano per leggere il Provvedimento del 12 ottobre 2023 [9949453]
Link
Il contratto non è una base giuridica adeguata per il trattamento dei dati personali effettuato per la pubblicità
profilata.
Questo il motivo per cui Meta è stata nuovamente oggetto di attenzione da parte dell’EDPB.
Dopo la richiesta dell’autorità garante norvegese di adottare misure definitive con effetto in tutto lo spazio
economico europeo (SEE), il 27 ottobre l’EDPB si è attivato adottando una decisione vincolante urgente che
incarica l’autorità irlandese (in qualità di autorità di controllo principale) di adottare misure definitive nei confronti
di Meta Ireland Limited e di imporre un divieto di trattamento dei dati personali per la pubblicità profilata sulle basi
giuridiche del contratto e del legittimo interesse in tutto il SEE.
Le competenze descritte sono state acquisite prevalentemente in seguito a collaborazioni con realtà attive nel
settore sanitario o dei medical device.
IL TEAM PRIVACY
avv. Maria Livia Rizzo
ml.rizzo@studiolegalestefanelli.it
L’avvocato Maria Livia Rizzo svolge attività di consulenza legale stragiudiziale nel settore sanitario pubblico e
privato nell’ambito della protezione dei dati personali – con focus su e-health, stampa 3D e dispositivi medici ad
alto contenuto tecnologico – e della compliance 231. Laureata in Giurisprudenza presso l’Università di Bologna
con il massimo dei voti, ha conseguito un Dottorato di ricerca in Diritto e Nuove Tecnologie presso il CIRSFID
(Università di Bologna) dove ha svolto attività di ricerca come Assegnista e ricoperto il ruolo di Tutor didattico del
Master in Trattamento dei dati personali e Privacy Officer.
Titolare del Modulo didattico “Regulatory and economic aspects” (SSD IUS/10) del Master in Innovation in
eXtended Reality (MIXR) dell’Università di Bologna A.A. 2019/2020.
È stata Cultrice della materia in Informatica Giuridica e in Medicina Legale presso la Scuola di Giurisprudenza
dell’Università di Bologna ed è Peer reviewer del Journal of Medical Ethics – British Medical Journal.
Ha svolto docenze in Corsi di Dottorato di ricerca, Master universitari e Corsi di Laurea in varie Università italiane,
ha partecipato a roundtable presso il Joint Research Centre della Commissione Europea ed è stata relatrice in
conferenze organizzate da Università, Associazioni, Camere di Commercio, Aziende, e Strutture sanitarie. Ha
tenuto numerosi interventi su tematiche legali in eventi dedicati ai settori tecnologico e sanitario.
È autrice di pubblicazioni su riviste scientifiche e volumi collettanei, oltre che di contributi di carattere divulgativo.
È Socio Fondatore e Segretario dell’Associazione italiana di Stampa 3D in Medicina IDBN (Italian Digital
Biomanufacturing Network) e componente del Comitato scientifico della I e II edizione del relativo Congresso
Nazionale.