Michela Barbarossa

di Michela BARBAROSSA

Il Sunshine Act e cioè la legge 31 maggio 2022, n. 62(1), ha sancito, come molti sapranno, l’obbligo per alcuni soggetti operanti nel settore farmaceutico di comunicare al Ministero della Salute le transazioni finanziarie e le relazioni di interesse intercorrenti tra le imprese e i soggetti operanti nel settore della salute.

Questa norma ha pertanto ampliato l’ambito dei soggetti interessati da un’attività – quella di Disclosure – già ben nota nel settore pharma per le aziende associate Efpia o Farmindustria e ne ha modificato i contorni.

di Michela BARBAROSSA

A seguito di una consultazione pubblica, l’EDPB ha adottato la versione finale delle sue Linee guida sul riconoscimento facciale.

Il comitato europeo per la protezione dei dati personali (EDPB) ha recentemente emanato delle linee guida sul riconoscimento facciale nell’ambito delle attività di polizia(1).

Tali linee guida serviranno agli stati membri dell’Unione Europea per implementare un articolato normativo per recepire la c.d. “Direttiva sulle Forze dell’Ordine”, o “LED”, una direttiva che, pur essendo stata emanata parallelamente al GDPR, avendo tuttavia la forma giuridica della “direttiva” richiederà un intervento dei legislatori nazionali per poter essere adottata.

Il tema ESG (Environmental, Social, Governance) porta con sé molto fermento: in tutte le aziende, dal Cda fino alle riunioni fra colleghi ma anche nelle istituzioni e, fra amici. È una nuova sfida; ed è noto che, a livello di organizzazione, il primo ambito coinvolto sia l’Ufficio Legale.

Per questo motivo, a parlare di ESG, direttiva CSRD, sostenibilità e società benefit abbiamo invitato al podcast di Risk & Compliance, Michela BARBAROSSA, Head of Legal & Compliance IT e, da poco, Board member di Grünenthal Italia (ed anche autrice – con grande seguito – per la nostra Piattaforma).

di Michela BARBAROSSA

Negli ultimi tempi, a seguito delle decisioni della Corte di Giustizia dell’Unione Europea sollecitate dall’attivista Maximilian Schrems che hanno invalidato prima il Safe Harbour, e, successivamente, il Privacy Shield, il governo degli Stati Uniti, mosso dalla necessità di favorire gli scambi di dati personali tra UE e USA sta cercando di muoversi con tutti gli strumenti a disposizione per giungere ad una decisione di adeguatezza.

Il risultato complessivo è sicuramente un irrobustimento del sistema delle garanzie data privacy per i cittadini UE i cui dati personali vengono trattati in USA, ma anche una maggiore tutela dei diritti privacy dei cittadini USA.

Continua a leggere

di Michela BARBAROSSA

Come noto, il più che discusso Decreto Trasparenza (D. Lgs. 104/2022) aveva l’obbligo di recepire nell’ordinamento italiano una direttiva europea (precisamente la n. 1152 del 2019) “relativa a condizioni di lavoro trasparenti e prevedibili”.

L’intento del legislatore europeo era quello imporre più dignitose condizioni di lavoro all’interno dello spazio economico europeo poiché le garanzie ottenute per il tramite della direttiva n. 533 del 1991, essendo intervenute in un contesto diverso da quello attuale potevano considerarsi ormai obsolete.

Tuttavia, nonostante il perimetro fosse stato ben definito e delimitato, il legislatore italiano, oltre ad inserire il dettagliato elenco degli ulteriori obblighi informativi inerenti il rapporto di lavoro indicati dalla Direttiva, si è spinto ben oltre quanto prescritto, inserendo nel D.Lgs 26 maggio 1997, n. 152 l’Art. 1-bis rubricato “Ulteriori obblighi informativi nel caso di utilizzo di sistemi decisionali o di monitoraggio automatizzati”.

Continua a leggere

di Michela BARBAROSSA

Un altro passo verso l’adozione del Data Act, un regolamento europeo che consentirà la totale interoperabilità dei sistemi e una maggiore portabilità dei dati, favorendo la concorrenza in tutti i settori economici.

Lo scorso 5 maggio l’EDPB (Comitato Europeo per la Protezione dei dati Personali) e l’EDPS (Garante europeo della protezione dei dati) hanno fornito parere favorevole(1) alla bozza del “Data Act Regulation”(2), avanzata dalla Commissione europea lo scorso 23 febbraio.

Il Data Act è un complesso di norme si propone di far adottare un nuovo approccio relativamente all’uso e l’accesso ai dati generati nell’UE in tutti i settori economici, in linea con la strategia europea per la data economy per il raggiungimento degli obiettivi europei per il 2030(3).

Continua a leggere

di Michela BARBAROSSA

Recentemente l’attenzione dei Garanti Privacy europei si sta concentrando sulle attività di trattamento di dati personali attraverso i cookies con decisioni certamente rilevanti per tutte le aziende.

Il particolare interesse rispetto a questa tematica è stato sollecitato dai numerosi reclami inviati da NOYB – organizzazione senza scopo di lucro fondata dall’attivista Maximilian Schrems (già noto per aver dato origine alle famosissime sentenze Schrems), la quale – in maniera massiva – ha inviato reclami a tutte le autorità europee, segnalando che l’utilizzo dei cookies del pacchetto “Google Analytics” violi il GDPR.

Tra le prime autorità a pronunciarsi vi è il Garante Austriaco che ha – con una decisione(1) netta e interessante – ritenuto che l’uso dei cookies Google Analytics da parte di un fornitore di un sito web austriaco violasse il GDPR.

Continua a leggere

di Michela BARBAROSSA

Green pass obbligatorio anche nei luoghi di lavoro privati: quali obblighi e responsabilità lato privacy per i datori di lavoro?

Come noto, il 21 settembre 2021 è stato adottato il decreto legge 127 recante Misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening(1) con il quale è stato esteso ai datori di lavoro privati l’obbligo di verificare, ai fini dell’accesso ai luoghi in cui si svolge l’attività lavorativa, il possesso e la validità del Green Pass dei lavoratori.

Tale disposizione impone ai datori di lavoro di definire, entro il 15 ottobre 2021, le modalità operative per l’organizzazione delle verifiche.

Tenuto conto delle attività per lo svolgimento delle verifiche i datori di lavoro saranno altresì tenuti al rispetto della normativa applicabile ed in particolare della disciplina in materia di protezione dei dati personali.

Continua a leggere

di Michela BARBAROSSA

Celebriamo idealmente 10 anni (28-06-2011) dall’approvazione della Legge Golfo-Mosca con una settimana di articoli al femminile, firmati dalle nostre autrici.

Il Garante per la protezione dei dati personali spagnolo ha ritenuto che l’uso di telecamere termiche volte alla misurazione della temperatura corporea nel contesto dell’emergenza sanitaria Covid-19 non rientra nell’ambito di applicazione del GDPR.

L’Agenzia Spagnola per la protezione dei dati personali ha emesso, lo scorso 24 maggio, una decisione sicuramente innovativa e rilevante per un considerevole numero di imprese Titolari del trattamento.

Continua a leggere

di Michela BARBAROSSA

La ricerca scientifica ed in particolare quella dedicata alla sperimentazione sanitaria si conferma essere la tematica più rilevante nel contesto europeo, tanto che la Commissione Europea ha chiesto e ottenuto un nuovo intervento(1) dal Comitato Europeo per la Protezione dei dati personali (EDPB) volto a chiarire le numerose tematiche legate alla protezione dei dati personali.

Come noto il Comitato Europeo è già intervenuto sul tema della ricerca sanitaria con parere 3/2019 relativo alle FAQ sull’interazione tra il regolamento sulla sperimentazione clinica (CTR) e il Regolamento Generale sulla protezione dei dati personali (GDPR)(2) e con le linee guida per chiarire i primi dubbi legati all’applicazione del GDPR nell’ambito della ricerca sanitaria legata alla lotta contro il SARS-CoV-2(3); inoltre è intervenuto su numerose tematiche rilevanti nel contesto della ricerca sanitaria, come ad esempio sulle condizioni di validità del consenso.

Continua a leggere