GDPR SCUOLA Ai tempi del registro elettronico e

GDPR SCUOLA Ai tempi del registro elettronico e dei social network (Facebook, Instagram, etc. . ) DALLA NORMATIVA AGLI ASPETTI OPERATIVI Francesca Costabile

FORMAZIONE PERCHE’? Perché è normativamente previsto, ma anche perché è fondamentale trasmettere la cultura di un corretto trattamento del dato, in conformità con i principi del Regolamento e della normativa nazionale. FINALITA’ DELLA FORMAZIONE • Acquisire maggiore consapevolezza degli strumenti a propria disposizione. • Avere contezza dei soggetti a cui rivolgersi nel caso in cui ci siano questioni di non pronta soluzione o dubbi. • Avere maggiore consapevolezza sia nei riguardi dell’ente per il quale si lavora, ma anche nei confronti degli interessati portatori di diritti inviolabili.

TRATTAMENTO DEI DATI PERSONALI DEVE RISPETTARE I DIRITTI E LE LIBERTA’ FONDAMENTALI, IN PARTICOLARE DIRITTO ALLA PROTEZIONE DEI DATI DI CARATTERE PERSONALE, INTESO COME SPECIFICAZIONE DEL DIRITTO ALLA RISERVATEZZA QUALE DIRITTO INVIOLABILE DELL’ESSERE UMANO A PRESCINDERE DALLA NAZIONALITA’, RELIGIONE, RESIDENZA, ETC. .

CONTESTO NORMATIVO DI PARTENZA • Art. 15 Costituzione (1947) La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. • Art 17 Patto Internazionale dell’ONU sui diritti civili e politici (1948) Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza. • Art. 8 Convenzione Europea dei diritti dell’uomo Carta di Nizza (1948) Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente. • Art. 16 Trattato sul funzionamento UE (TFUE) (2007) Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. MA NON SI ERA MAI SPECIFICATO TALE DIRITTO INVIOLABILE IN COSA CONSISTESSE…

IN ITALIA …Solo con il famoso CASO SORAYA, la Suprema Corte di Cassazione n. 2129/1975 ha tutelato il diritto alla riservatezza L'ordinamento giuridico riconosce e tutela l'interesse di ciascuno a che non siano resi noti fatti o avvenimenti di carattere riservato senza il proprio consenso. La sentenza afferma che costituisce lesione della privacy la divulgazione di immagini o avvenimenti non direttamente rilevanti per l'opinione pubblica, anche quando tale divulgazione venga effettuata con mezzi leciti e per fini non esclusivamente speculativi. Cosí si legge nella pronuncia, relativa ad una delle controversie instaurate da Soraya Esfandiari contro alcuni giornali che avevano pubblicato delle fotografie ritraenti l'ex-imperatrice in atteggiamenti intimi con un uomo, nelle mura della sua abitazione.

Normativa nazionale • Legge n. 675 del 1996 «Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali» . Con la quale, tra l’altro, è stata istituita l’Autorità Garante per la protezione dei dati personali. Successivamente abrogata con l’entrata in vigore del D. Lgs. N. 196/2003. • D. Lgs n. 196 del 2003 «Codice in materia di protezione dei dati personali» . Entrambe le normative fanno riferimento al trattamento dei dati effettuato mediante moduli cartacei. Tutt’oggi in vigore ad integrazione del GDPR.

REGOLAMENTO UE 2016/679 Fonte normativa comunitaria (Regolamento, diversa dalla direttiva) direttamente applicabile all’interno degli Stati Membri ed entrato in vigore il 25 maggio 2018. NOVITA’ Preliminare: Codice costruito seguendo una cornice tipica dei paesi anglosassoni descrivendo i principi in maniera dettagliata, ma lasciando ai singoli paesi membri la sua applicazione. Responsabilità diretta dei titolari del trattamento, a cui spetta il compito di comprovare il rispetto dei principi applicabili al trattamento dei dati personali; Istituzione del responsabile della protezione dei dati (art 37 GDPR); Definizione della nuova categoria di dati personali (art. 9 GDPR); Introduzione del registro delle attività del trattamento (art 30 GDPR); Obbligatorietà di una valutazione di impatto sulla protezione dei dati (DPIA) preliminare; Accountability, ossia responsabilizzazione di tutti i soggetti coinvolti nel processo di trattamento dei dati; Introduzione concetto privacy by design e privacy by default. L’evoluzione tecnologica ha fatto si che il regolamento venisse costruito con un ambito di applicabilità estesa al cd. cyber security.

Privacy by design – by default Dato personale Dati personali particolari Trattament o Principi trattamento: - Liceità - Trasparenza - Accountability Valutazione d’impatto sulla protezione dati DPIA Attori trattamento dei dati - Interessato - Titolare del trattamento - Responsabile del trattamento - Data protection officer (DPO) - Amministratori di sistema Consenso - Libero - Specifico ed inequivocabile - Informato Elementi essenziali informativa Registro attività

• Tribunale Roma Sez. lavoro, 28/02/2019 ISTRUZIONE PUBBLICA E PRIVATA Istruzione pubblica, in genere PERSONE FISICHE E GIURIDICHE Diritti della personalità (alla riservatezza) Le istituzioni scolastiche sia quelle private che quelle pubbliche - hanno l'obbligo di far conoscere agli "interessati" (studenti, famiglie, professori, etc. ) come vengono trattati i loro dati personali. Devono cioè rendere noto, attraverso un'adeguata informativa, quali dati raccolgono, come li utilizzano e a quale fine e illustrare le modalità di esercizio dei diritti sui dati. La sentenza richiama l'attenzione anche sulla possibilità delle scuole di effettuare fotografie per finalità istituzionali e sottolinea l'importanza di prevedere tali utilizzi, nel piano dell'offerta formativa della scuola. Il sopra citato accorgimento è coerente al principio di accountability del regolamento privacy europeo.

DATO PERSONALE «Qualsiasi informazione riguardante una persona fisica identificata o identificabile» . Esempio: nome, cognome, telefono, cellulare, C. F. , indirizzo e-mail, fotografia, registrazione vocale, targa automobilistica, indirizzo IP ed anche indirizzo IP dinamico con il quale un utente ha visitato una pagina web di un fornitore di servizi e determinate condizioni (Secondo la Corte di Giustizia Europea in merito alla causa C-582/2014 Breyer vs Bundesrepublik Deutschland sentenza del 19 ottobre 2016). ART. 9 CATEGORIE PARTICOLARI DI DATI PERSONALI Esempio: dati che rivelino origine razziale o etnia, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale; dati genetici (DNA RNA); dati biometrici (diversi dalla fotografia) volti ad identificare una persona fisica; dati relativi alla salute (fisica o mentale, così come le informazioni risultanti da esami e controlli effettuati che rivelino una malattia, disabilità, rischio di malattie, anamnesi medica, etc. . ) o alla vita sessuale o all’orientamento sessuale. Regolamento prevede per tali dati una tutela rafforzata. ART. 10 DATI PERSONALI RELATIVI A CONDANNE PENALI E REATI Trattamento consentito solo sotto il controllo dell’autorità pubblica.

Ed i minori? • Art 12 Regolamento Prevede una tutela rafforzata, sia per le modalità con cui fornire le informazioni sia con riferimento all’espressione del relativo consenso nell’ambito dei servizi della società dell’informazione prevedendo la soglia minima, per esprimere un valido consenso, di anni 16, ma consentendo agli Stati membri di prevedere età diverse purché non inferiori agli anni 13. • Art 2 quinquies novellato del D. Lgs. 193/2003 Prevede un’età non inferiori agli anni 14 per poter prestare un valido consenso.

Intero ciclo di vita di un dato personale dalla raccolta alla sua cancellazione In forma cartacea Che cos’è il trattamento? In forma digitale Qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati consistente nella: • Raccolta • Registrazione • Organizzazione • Strutturazione • Conservazione • Adattamento o modifica • Estrazione • Consultazione • Uso o comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto o interconnessione • Limitazione, cancellazione o distruzione N. B. La profilazione: ……………. .

Principi per il trattamento dei dati personali LICEITA’ TRASPARENZA RESPONSABILIZZAZIONE «ACCOUNTABILITY» Consenso espresso per uno o più specifiche finalità. Per l’esecuzione di un obbligo legale, di un contratto o misure precontrattuali dove è parte l’interessato. Salvaguardia di interessi vitali. Esecuzione interesse pubblico o perseguimento interesse legittimo Informando gli interessati sul trattamento dei dati in forma: concisa, trasparente, intelligibile e facilmente accessibile. Rivolto al titolare ed al responsabile del trattamento dei dati che devono mettere in atto «misure tecniche ed organizzative adeguate» idonee a dimostrare che il trattamento è stato effettuato conformemente al Regolamento. N. b. Implicazioni in ordine alla responsabilità oggettiva. Ruolo marginale DPO che rimane un consigliere super visore e non un decision maker

INTERESSATO Persona fisica identificata o identificabile, i cui dati personali sono oggetto di trattamento Attori del trattamento dei dati TITOLARE DEL TRATTAMENTO Persona giuridica o fisica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità ed i mezzi del trattamento dei dati personali. Soggetto su cui grava la responsabilità generale del trattamento. Elevata responsabilizzazione che può essere provata mediante: adesione a codici di condotta o a meccanismi di certificazione. RESPONSABILE DEL TRATTAMENTO Persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismi che tratta dati personali per conto del titolare del trattamento. Deve essere un soggetto in grado di fornire garanzie sufficienti per l’adozione di misure tecniche ed organizzative atte ad eseguire le disposizioni del Regolamento. Funzioni specifiche: - Assistere il titolare del trattamento - Tenere un registro ELEMENTI CONTRATTO/NOMINA Mediante contratto o altro atto giuridico vincolante stipulato in forma scritta anche in formato elettronico. Elementi essenziali contratto: oggetto, durata, natura e finalità del trattamento, tipologia di dati personali trattati e categorie di interessati, obblighi e diritti del AMMINISTRATORI DI SISTEMA Figura delineata dal Garante per la privacy con pronuncia del 27. 11. 2008. Tecnici informatici responsabili della gestione tecnica delle reti informatiche. DATA PROTECTION OFFICER (DPO) O RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD) Figura obbligatoria solo in determinati casi tassativamente previsti, tra cui le scuole (Autorità pubblica o organismo pubblico, attività principali consistono in trattamenti che richiedono regolari e sistematici monitoraggi, o trattamenti dei dati su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. Documento di valutazione, utile per documentare le valutazioni rese dal DPO al fine di poter dimostrare la conformità al principio di accountability per il titolare e per il responsabile.

DATA PROTECTION OFFICER (DPO) RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD) COMPETENZE DPO - Qualità professionali e conoscenze specialistiche della normativa e della prassi in materia di protezione dati. - Capacità di assolvere compiti. Garante Privacy con comunicazione 15/9/2017 ha chiarito come la scelta del DPO deve essere effettuata con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni specifiche formali o l’iscrizione ad appositi albi professionali. COMPITI DEL DPO Indicati espressamente nell’atto di nomina o nel contratto di servizio: - Informare e fornire consulenza al titolare o al responsabile del trattamento o ai dipendenti che eseguono il trattamento; - Sorvegliare l’osservanza del regolamento nonché delle disposizioni normative previste in materia, compresa l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale; - Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati (DPIA) controllandone lo svolgimento; - Cooperare con il l’autorità di controllo; - Punto di contatto con le autorità di controllo. RAGGIUNGIBILITA’ Punto di contatto fisico, oppure mediante un canale dedicato o con altri mezzi idonei di comunicazione tra: gli interessati, comunicando in maniera efficiente l’autorità di controllo, collaborando in caso di controllo o richiesta di chiarimenti i soggetti interni della scuola. Raggiungibilità intesa anche come localizzazione nel territorio dell’Unione europea, anche se il legislatore europeo non ha escluso la possibilità di utilizzare DPO al di fuori del contesto europeo.

Valutazione di impatto sulla protezione dei dati (DPIA) Quando? Effettuata non per tutti i trattamenti, ma solo per quelli che presentano un rischio elevato per i diritti e le libertà delle persone fisiche, soprattutto se prevede l’uso delle moderne tecnologie, considerando la natura, l’oggetto, il contesto, le finalità del trattamento. Tale attività deve essere effettuata continuamente dai titolari del trattamento. Finalità della valutazione • Descrivere il trattamento; • Valutarne la necessità e la proporzionalità; • Contribuire a gestire i rischi per i diritti e le libertà delle persone fisiche derivanti dal trattamento di dati personali, valutando detti rischi in termini di gravità e probabilità e determinando le misure per affrontarli.

Protezione dei dati Privacy by design e privacy by default • Privacy by design Prevede che la protezione dei dati sia integrata nell’intero ciclo di vita della tecnologia, dalla primissima fase di progettazione sino alla sua ultima distribuzione, all’utilizzazione ed alla sua eliminazione finale. • Privacy by default Prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.

Consenso LIBERO SPECIFICO ED INEQUIVOCABILE Mediante un atto positivo e che non risulti di contenuto generale, ma siano ben identificate le finalità del trattamento (l’uso di caselle premarcate rende nulla l’adesione). Si parla di consenso granulare: quando il consenso viene prestato per trattamenti multipli o per molteplici finalità. Quindi il consenso deve essere prestato per le singole finalità con una chiara separazione delle informazioni. INFORMATO Di rilevanza fondamentale, informazioni minime che deve contenere l’informativa: 1) Identità del titolare del trattamento e del responsabile unitamente ai contatti (mail, telefono cellulare, fax, etc…); 2) Finalità di ciascuna delle operazioni di trattamento per le quali è chiesto il consenso; 3) Quale tipo di dati che si raccolgono verranno trattati e come; 4) Esistenza del diritto di revoca del consenso; 5) Informazione sull’uso dei dati per le decisioni basate esclusivamente sull’elaborazione automatica, nel caso; 6) Informazioni sui rischi di trasferimenti di dati dovuti alla mancanza di una decisione di adeguatezza e di garanzie; 7) Possibilità di presentare reclamo

Informativa sul trattamento dei dati

Registro attività del trattamento art. 30 GDPR Principali attività di trattamento nelle scuole: • Gestione iscrizioni alunni • Gestione carriera scolastica • Gestione del personale docente e contrattualizzazione Normativa scolastica: D. P. R. 24 giugno 1998, n. 249 sulla tutela del diritto dello studente alla riservatezza; art. 96, D. Lgs. 196/2003 in materia di pubblicazione dell’esito degli esami mediante affissione nell’albo dell’Istituto e di rilascio di diplomi e certificati.

VADEMECUM PER LA SCUOLA

Gestione iscrizione alunni nelle scuole Tramite sito portale SIDI Titolare del trattamento: Istituzione scolastica Responsabile esterno del trattamento: MIUR Iscrizione cartacea Titolare del trattamento e Responsabile del trattamento Istituzione scolastica Tramite pacchetti locali Titolare del trattamento: Istituzione scolastica Responsabile esterno del trattamento: Fornitore informatico selezionato

Gestione carriera scolastica Nazionalità ed origini etniche Dati di cui viene in contatto Per esempio per quanto concerne il servizio di mensa per determinate confessioni religiose che adottano particolari regimi alimentari. Come per i progetti di inclusione strutturati appositamente per gli stranieri. Richieste al fine di programmare per tempo programmi differenti per tutti coloro che Convinzioni religiose Stato di salute Convinzioni politiche Dati di carattere giudiziario chiedono l’esonero dall’ora di relogione Cassazione civile sez. III, 26/06/2018, n. 16816 Pubblicata una graduatoria a scuola che indica lo stato di salute dell'allieva, condanna per la PA al risarcimento in favore dei genitori L’esposizione in luogo antistante l’istituto delle graduatorie per l’ammissione a un privilegio scolastico, legato allo stato di salute del minore, danneggia anche la privacy dei propri familiari, che hanno diritto a pretendere dall’amministrazione il risarcimento dei danni non patrimoniali.

Gestione carriera scolastica Voti ed esami Riservatezza bilanciata con la trasparenza della P. A. a garanzia di ciascuno. Purché il voto sia pubblicato sull’albo degli istituti. Terzi che vengono a conoscenza e utilizzano i dati riportati ne rispondono civilmente o penalmente. Informazioni sugli studenti Foto, audio e video Sicurezza e controllo Sistema di rilevamento biometrico Non è possibile utilizzare i dati presenti sull’albo per : - Inviare pubblicità a casa - Effettuare marketing - Effettuare promozioni commerciali. Questionari per attività di ricerca: la somministrazione consentita previo consenso e, comunque, si ha la facoltà di non aderire alla somministrazione dei questionari. Utilizzo di videofonini, mms, come registrazione di suoni o immagini mediante il telefono cellulare durante le lezioni. Cyberbullismo: utilizzo improprio di video, immagini e diffusione in rete delle stesse. Competenza dell’Autorità Garante della Video sorveglianza nella scuola, ma anche sul luogo di lavoro per il docente… Ammessa, purché debitamente segnalata ed attiva al di fuori degli orari scolastici.

Gestione del personale e contrattualizzazione Docenti Personale ATA Personale DSGA Rapporto di lavoro subordinato Cassazione civile sez. I, 29/05/2015, n. 11223 PERSONA FISICA E DIRITTI DELLA PERSONALITÀ - Riservatezza (privacy) - - tutela dei dati nominativi Deve ritenersi corretta la decisione del Garante della Protezione dei dati personali che ha riconosciuto l'illiceità del trattamento della comunicazione di dati da parte di una scuola contenente i riferimenti alla patologia HIV di una docente che aveva presentato domanda di inabilità, dal momento che si sarebbe potuto conseguire ugualmente la prosecuzione del procedimento trasmettendo una copia parziale della documentazione con l'omissione dei dati sanitari riferiti all'interessata ultronei rispetto a quello dell'accertata inabilità al lavoro, in maniera tale da rendere nota all'istituzione scolastica competente ad emettere il provvedimento finale soltanto l'informazione relativa al giudizio medico-legale di inidoneità all'impiego. *** **** Pubblicazione sui siti Internet degli istituti delle graduatorie di docenti e personale amministrativo tecnico e ausiliario (Ata) per consentire a chi ambisce a incarichi e supplenze di conoscere la propria posizione e punteggio. Tali liste, giustamente accessibili a tutti, non devono però contenere, come in diversi casi segnalati al Garante, i numeri di telefono e gli indirizzi privati dei candidati. Questa illecita diffusione dei contatti personali incrementa, tra l´altro, il rischio di esporre i lavoratori a forme di stalking o a possibili furti di identità Consulenti esterni Contratto di servizio

Trattamento dati relativi ad esiti formativi verso 3° 1) Istituzioni del sistema nazionale di istruzione 2) Centri di formazione professionale regionale 3) Scuole private non paritarie 4) Istituzioni di alta formazione artistica e coreutica 5) Università statali e non, riconosciute Su richiesta degli interessati e previa informazione ex art. 13 del regolamento, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti formativi, intermedi e finali, degli studenti e altri dati personali diversi da quelli appartenenti a categorie particolari ed a condanne penali e reati di cui agli artt. 9 e 10 del Regolamento Purché siano pertinenti per agevolare l’orientamento, la formazione e l’inserimento professionale, anche all’estero.

ASPETTI OPERATIVI

Data Breach e violazioni ACCESSO ABUSIVO FURTO Es: furto notebook Es: accesso non autorizzato ai sistemi informatici con successiva divulgazione PERDITA ACCIDENTALE INFEDELTA’ AZIENDALE Es: smarrimento USB Es: persona interna autorizzata ad accedere ai dati ne produce una copia e la distribuisce senza consenso N. B. il Titolare del trattamento, entro 72 ore dalla violazione, o da quando è venuto a conoscenza della violazione, deve darne comunicazione al Garante.

Autorità di controllo e forme di tutela Autorità di controllo indipendenti In generale hanno il compito di sorvegliare l’applicazione del regolamento nel territorio nazionale al fine: di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento di agevolare la libera circolazione dei dati personali. • 1) 2) 3) Autorità Garante della privacy Poteri di indagine mediante controlli ispettivi; Gestione reclami; Poteri autorizzativi e consultivi, mediante anche adozione di regole deontologiche. • Comitato europeo per la protezione dei dati Reclamo all’Autorità di controllo Modalità scritte previste per legge mediante: • Raccomandata a/r Garante per la protezione dei dati personali, Piazza di Monte Citorio, 121 00186 Roma • PEC a protocollo@pec. gpdp. it Termine per concludere il reclamo 3 mesi. Ricorso giurisdizionale Mediante ricorso seguendo il rito lavoro art. 414 e ss. c. p. c. ovvero mediante procedimento d’urgenza ex art 700 c. p. c. 1) Nei confronti dell’Autorità di controllo 2) Nei confronti del titolare o del responsabile del trattamento Volto ad ottenere il Risarcimento del danno oltre, in caso di ricorso al giudizio di ottemperanza, il ripristino di una situazione pregiudizievole (periculum in mora – fumus boni iuris).

Potestà ispettiva del Garante della Privacy Ispezioni effettuate sulla base di programmi elaborati secondo linee di indirizzo stabilite dal Garante con delibere di programmazione Attività curata dal DIPARTIMENTO ATTIVITA’ ISPETTIVE DELL’AUTORITA’ che si avvale di un Nucleo Speciale Privacy della Guardia di Finanza Ex art. 22, comma 4, Regolamento interno del Garante n. 1/2000 ovvero dell’intervento del Nucleo Speciale Frodi Tecnologiche della Guardia di Finanza quando si tratta di accertamenti in ambito telematico

Gestione reclami Entro 3 mesi Dovrà esaurire l’attività istruttoria Quando vi siano i presupposti prima della definizione del procedimento può - Emanare provvedimenti o - Infliggere una sanzione amministrativa pecuniaria Accertata la violazione emette sanzione - Amministrativa pecuniaria: effettiva, proporzionata e dissuasiva valutando il singolo caso, tenuto conto della natura, gravità e durata della violazione, oltre che delle misura adottate per attenuare il danno subito dagli interessati. Non viene opposto Provvedimento diviene esecutivo. Provvedimento viene opposto entro 30 giorni mediante ricorso nei confronti della giurisdizione ordinaria. Qualora non venga accertata alcuna violazione L’istruttoria si conclude senza che venga emesso alcun provvedimento.

Garante per la protezione dei dati personali, Ordinanza 14 giugno 2019, n. 134 Ordinanza ingiunzione nei confronti di Facebook Ireland Ltd e Facebook Italy s. r. l. FATTO a seguito delle notizie di stampa nazionale ed internazionale relative alle vicende della società di ricerca Cambridge Analytica, il Garante formulava alle due società più richieste di informazioni in ordine all’applicazione di terze parti presente su Facebook denominata Thisisyourdigitallife, alla circostanza che i dati personali raccolti mediante tale applicazione fossero stati condivisi con Cambridge Analytica per finalità di profilazione psicologica degli utenti e successiva elaborazione di campagne promozionali altamente personalizzate, nonché in ordine alla funzione Facebook login, che avrebbe, in ultima analisi, permesso tale condivisione; obiettivo dell’istruttoria condotta dall’Autorità era quello di accertare se fra i dati personali di utenti Facebook trasmessi da Thisisyourdigitallife a Cambridge Analytica vi fossero anche quelli di utenti italiani, e quanto questi ultimi avessero consapevolmente consentito tale trasmissione di dati. Ulteriore obiettivo dell’istruttoria era quello di accertare se, mediante prodotti e messaggi veicolati tramite Facebook (in particolare un messaggio inviato agli utenti Facebook il 4 marzo 2018 e il prodotto Ballot - Candidati), fosse stato possibile condividere dati personali di utenti italiani, anche riferibili agli orientamenti politici degli stessi, in occasione delle elezioni per il rinnovo delle Camere del 4 marzo 2018 e se tali condivisioni si fossero svolte nella cornice di legittimità delineata dal Codice; ORDINA a Facebook Ireland Ltd, in persona del legale rappresentante pro-tempore, con sede legale in 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Repubblica d’Irlanda, e Facebook Italy s. r. l. , in persona del legale rappresentante pro-tempore, con sede legale in Milano, piazza Giuseppe Missori n. 2, C. F. 06691680968, di pagare, in solido, la somma di euro 1. 000 (un milione) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; INGIUNGE alle predette società di pagare, in solido, la somma di euro 1. 000 (un milione), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ricorso giurisdizionale Nei confronti del Garante della privacy - Quando non tratti il reclamo - Quando entro 3 mesi non informi sullo stato del reclamo; - Entro 30 giorni dall’emissione del provvedimento avente esito negativo per il ricorrente. Competenza territoriale Foro alternativo tra foro dove si trova stabilmente il Titolare o responsabile del trattamento Ovvero dove risiede abitualmente l’interessato, a meno che non si tratti di p. a. Mediante Ricorso T. A. R. ovvero Tribunale ordinario rito lavoro, con richiesta di risarcimento del danno Ricorso al procedimento cautelare ex art. 700 c. p. c. Nei confronti del titolare o del responsabile del trattamento