GDPR: nuove indicazioni. A seguito della procedura di revisione, alla luce del nuovo Regolamento Europeo sulla privacy e del d.lgs. n. 101/2018, delle autorizzazioni generali rilasciate dal Garante nel 2016, è stato adottato un provvedimento, in corso di pubblicazione in G.U., che contiene gli obblighi rivolti a vari soggetti, pubblici e privati, per il trattamento di particolari categorie di dati personali, come quelli legati alla salute, alle opinioni politiche, all’etnia, all’orientamento sessuale. In particolare, le nuove prescrizioni riguardano il trattamento di tali dati nei rapporti di lavoro, da parte di organismi di tipo associativo, fondazioni di chiese e associazioni o comunità religione, ma anche da parte di investigatori privati, nonché il trattamento di dati genetici per scopi di ricerca scientifica. L’Autorità ha precisato che «l’autorizzazione generale sul trattamento dei dati giudiziari da parte di privati, enti pubblici economici e soggetti pubblici cessa di produrre i propri effetti non rientrando tra le situazioni di trattamento richiamate dell’art. 21 d.lgs. n. 101/2018». Inoltre «le autorizzazioni generali n. 2, 4 e 5 – riguardanti rispettivamente il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, il trattamento dei dati sensibili da parte dei liberi professionisti e il trattamento dei dati sensibili da parte di diverse categorie di titolari – cessano anche esse di produrre i propri effetti in quanto prive di specifiche prescrizioni».

ISEE precompilato. Il Garante ha poi espresso parere favorevole sullo schema di decreto del Ministero del lavoro che disciplina le modalità di attuazione della prima fase di applicazione della Dichiarazione sostitutiva unica (Dsu) precompilata a fini ISEE. La dichiarazione precompilata verrà disposta dall’INPS, su richiesta del cittadino, in collaborazione con l’Agenzia delle Entrate ed utilizzando le informazioni presenti nel catasto, negli archivi INPE e nell’Anagrafe tributaria. Il Garante ha ritenuto che siano state individuate idonee garanzie, alla luce dei principi di privacy by design e by default, per i diritti e le libertà degli interessati.

Diritto all’oblio. Decidendo sul reclamo di un professionista, che aveva invano chiesto a Google la deindicizzazione di una Url che risultava reperibile online digitando non il proprio nome, ma il riferimento alla sua qualifica di presidente di una determinata cooperativa, il Garante ha affermato che « Il diritto all’oblio può essere invocato – in casi particolari – anche partendo da dati presenti sul web che non siano il nome e il cognome dell’interessato, nel caso in cui essi lo rendano comunque identificabile, anche in via indiretta». La Url faceva infatti riferimento ad una notizia non più attuale e non aggiornata in relazione ad un rinvio a giudizio avvenuto 10 anni prima, riguardo al quale era poi però intervenuta una sentenza definitiva di assoluzione. Google aveva inizialmente rifiutato l’accoglimento della richiesta ma il Garante, sulla base del Regolamento europeo che definisce dato personale «qualsiasi informazione riguardante una persona fisica indentificata o identificabile» ha concluso che l’Url che riportava la qualifica di presidente di quella determinata cooperativa, si riferiva in maniera inequivocabile alla persona del reclamante – visto che quest’ultimo rivestiva quella carica da moltissimi anni, tanto da essere ormai, specie nell’ambito della realtà di riferimento, univocamente messo in correlazione con essa. Il Garante Privacy ha dunque ingiunto a Google di rimuovere l’Url e di comunicare entro 30 giorni dalla data di ricezione del provvedimento le iniziative intraprese per dare attuazione a quanto prescritto.

Spam. Infine, la newsletter dà notizia del provvedimento con cui il Garante ha sancito l’illeicità dell’invio di comunicazioni commerciali ai possessori di tessere fedeltà che non abbiano espresso uno specifico e libero consenso all’uso dei propri dati a fini di marketing. Il provvedimento è stato adottato in seguito alle violazioni segnalate da alcuni clienti e confermate «da un’ispezione svolta dall’Autorità con l’ausilio del Nucleo speciale privacy della Guardia di Finanza, prima dell’applicazione del nuovo Regolamento UE sulla protezione dei dati personali (Gdpr), al termine della quale la stessa Guardia di Finanzia aveva provveduto a contestare direttamente in loco una sanzione amministrativa».