GDPR e sicurezza by design: le recenti indicazioni della Cassazione sulle misure tecniche e organizzative GDPR per la distribuzione assicurativa

L’art. 32 del GDPR disciplina specificatamente la tematica delle misure tecniche e organizzative che i distributori assicurativi di primo livello (gli iscritti nelle sezioni A, B, D del R.U.I.) devono mettere in atto per garantire un livello di sicurezza adeguato al rischio. Recentemente la Corte di Cassazione (Cass. civ., sez. I, 11/10/2023, n. 28385) ha […]

GDPR e assicurazioni: gli eredi possono conoscere i beneficiari delle polizze?

Le compagnie assicurative devono consentire agli eredi, che ne fanno richiesta, l’accesso ai nominativi dei beneficiari indicati nelle polizze stipulate in vita da persone defunte. Il Garante privacy, con un provvedimento interpretativo (provv. n. 520 del 26 ottobre 2023, doc. web n. 995488)   – dopo le numerose istanze (segnalazioni, reclami e richieste di parere) ricevute […]

GDPR e informativa: cosa inserire nel contesto delle finalità del trattamento dei dati?

Uno degli elementi cardine che deve essere contenuto nelle informazioni da fornire all’interessato ai sensi degli artt. 13 e 14 del Regolamento (par. 1, lett. c) attiene all’indicazione delle “finalità del trattamento cui sono destinati i dati personali”. In concreto, il distributore assicurativo dovrà specificare gli scopi del trattamento (per esempio, finalità di distribuzione assicurativa, […]

GDPR: violazione dei dati e risarcimento dei danni immateriali

Nelle Conclusioni rassegnate il 26 ottobre u.s. nelle cause riunite C182/22 e C189/22, l’Avvocato generale della Corte UE Anthony Michael Collins ha sottolineato alcuni importanti principi in materia di violazione dei dati e richieste risarcitorie che possono essere avanzate dagli interessati. Nel caso di specie, il giudice del rinvio chiedeva alla CGUE se il mero […]

GDPR – la gestione del diritto di accesso GDPR nei rapporti con il responsabile del trattamento

Il Garante per la privacy (provv. del 17 maggio 2023 n. 200, doc. web n. 9902499) ha sanzionato (10 mila euro) recentemente un istituto bancario per aver riscontrato in modo tardivo l’istanza di accesso ai dati personali avanzata da un utente. In particolare, la Banca aveva sostenuto che il mancato riscontro era da ascriversi alla […]

La view dell’Ivass sui rischi cyber e i presidi che devono adottare gli intermediari.

L’IVASS nei giorni scorsi ha pubblicato l’indagine IVASS sulle polizze di cyber risk. In particolare, il report sottolinea come il cyber risk “può derivare da incidenti che comportano la violazione, la perdita o la diffusione di dati sensibili, di natura personale ma anche finanziaria, truffe ed estorsioni, (…)” e “può a sua volta generare rischi […]

GDPR – marketing via sms senza consenso: come si esprime il Garante privacy

Il Garante per la privacy (provv. del 18 luglio 2023 n. 393, doc. web n. 9939507) ha sanzionato (75 mila euro) recentemente un ente per aver inviato sms promozionali senza il consenso dei destinatari. L’Autorità è intervenuta in seguito al reclamo di alcuni cittadini che lamentavano la ricezione di sms indesiderati e, in un caso, di telefonate promozionali reiterate per sei anni, anche dopo essersi opposti a tali invii e […]

GDPR – GESTIONE DEI DIRITTI DEGLI INTERESSATI E SPAM: le recenti indicazioni del Garante privacy

Il Garante per la privacy ha sanzionato (5 mila euro) recentemente una società che trasmetteva e-mail promozionali anche dopo l’opposizione al trattamento effettuata dall’interessato. Di seguito si riepilogano gli insegnamenti dell’Authority: 👉 l’Autorità ribadisce che tale violazione sussiste anche quando l’invio promozionale indesiderato sia singolo, non distinguendo la disposizione dell’art. 130, commi 1 e 2, […]

GDPR: L’utilizzo degli indirizzi e-mail e indirizzi PEC pubblicati online per attività di marketing: cosa insegna il Garante privacy

Il Garante per la privacy ha sanzionato (10 mila euro) recentemente un’azienda che trasmetteva e-mail promozionali senza consenso estraendo i nominativi da diversi elenchipubblici utilizzando impropriamentela base giuridica del legittimo interesse(provvedimento n. 202 del 17 maggio 2023, doc. web n. 9899880). Si seguito si riportano alcune regole e principi ormai consolidati nella “giurisprudenza” dell’Autorità. Nel dettaglio: 👉 l’invio di comunicazioni tramite sistemi automatizzati (per esempio, e-mail, sms, etc.) è consentito solo […]

Compliance GDPR: per quanto tempo si possono conservare i dati degli (ex) iscritti al servizio newsletter?

La nostra Autorità Garante in un recente provvedimento ha sanzionato una società (provv. n. 188 del 27 aprile 2023, doc. web n. 9902472) per aver conservato per un arco di tempo di dieci anni i dati anagrafici degli utenti disiscritti dal servizio newsletter. Nella fattispecie in parola, in particolare, era emerso che l’azienda aveva conservato quasi 250 mila dati di ex (iscritti) anche a seguito della disattivazione da parte dei medesimi dal servizio.Secondo il Garante, la durata decennale della conservazione dei dati (soprattutto qualora contenente dettagli riferiti a gusti e preferenze […]