Print Friendly, PDF & Email

Antifrode (1)

Categorie: Antifrode
Print Friendly, PDF & Email

Tratto da wp217 e wp251 rev.01

La prevenzione delle frodi, che fra le altre attività potrebbe comprendere il monitoraggio e la creazione di profili dei clienti, è un trattamento che potrebbe essere legittimo ai sensi di alcuni criteri di liceità di cui all’articolo 6(1), per esempio il consenso, se del caso, un obbligo legale o l’interesse legittimo del titolare del trattamento (articolo 6(1), lettere a), c) o f)) . In quest’ultimo caso (si veda il Considerando (47) del GDPR), il trattamento deve essere soggetto a garanzie e misure supplementari al fine di tutelare adeguatamente gli interessi o i diritti e le libertà degli interessati.

Load More

Banche (10)

Categorie: Banche
Print Friendly, PDF & Email

“Il diritto di accedere ai propri dati bancari consiste nella possibilità di conoscere tutti i dati personali contenuti nei documenti in possesso dell’istituto di credito presso il quale si ha un conto corrente, un deposito titoli, ecc.”.

Fonte: Garante

Categorie: Banche
Print Friendly, PDF & Email

“No. Gli estratti conto sono documenti bancari che vanno richiesti sulla base del Testo Unico Bancario e non del Regolamento generale sulla protezione dei dati personali.”

Fonte: Garante

Categorie: Banche
Print Friendly, PDF & Email

“Sì, ma anche questa richiesta va fatta sulla base del Testo Unico Bancario e non del Regolamento UE 2016/679. Si tratta, infatti, di una possibilità diversa rispetto al diritto di accedere ai propri dati bancari.”

Fonte: Garante

Categorie: Banche
Print Friendly, PDF & Email

“La banca ha l’obbligo di fornire una copia dei dati personali oggetto del trattamento.”

Fonte: Garante

Categorie: Banche
Print Friendly, PDF & Email

“Il titolare del conto può richiedere tutti i dati personali che lo riguardano di cui la banca sia in possesso, quali ad esempio le informazioni relative alle operazioni effettuate (come le registrazioni telefoniche degli ordini di negoziazione), oppure i dati di carattere personale eventualmente raccolti dalla banca per eseguire gli ordini di investimento del cliente.”

Fonte: Garante

Categorie: Banche
Print Friendly, PDF & Email

“È necessario inoltrare alla propria banca una richiesta di accesso ai dati personali relativi al rapporto bancario in essere (conto corrente bancario), specificando espressamente che essa è formulata ai sensi dell’art. 15 del Regolamento UE 2016/679.”

Fonte: Garante

Categorie: Banche
Print Friendly, PDF & Email

“Sì. Solo in caso di richiesta di copie ulteriori, il titolare del trattamento può addebitare un contributo spese ragionevole.”

Fonte: Garante

Categorie: Banche
Print Friendly, PDF & Email

“Ci si può rivolgere al Garante per la protezione dei dati personali con le modalità indicate all’art. 77 del Regolamento UE 2016/679.”

Fonte: Garante

Categorie: Banche
Print Friendly, PDF & Email

“In questo caso si configura un’ipotesi di rifiuto implicito. Sempre all’esito di un reclamo al Garante, la banca può essere obbligata a comunicare i dati richiesti.”

Fonte: Garante

Categorie: Banche
Print Friendly, PDF & Email

“In questo caso è possibile chiedere ulteriori chiarimenti alla banca oppure rivolgersi al Garante con un reclamo. La banca, infatti, ha l’obbligo di comunicare le informazioni richieste in modo comprensibile ed è tenuta a fornire, se necessario, i criteri e i parametri per comprendere il significato di eventuali codici associati alle informazioni stesse.”

Fonte: Garante

Base giuridica (2)

Categorie: Base giuridica
Print Friendly, PDF & Email

Differenti sono le basi giuridiche a seconda della tipologia di dati oggetto di trattamento:

  • riguardo ai dati personali in generale, le basi giuridiche sono le sei condizioni elencate all’articolo 6 del GDPR
  • riguardo alle particolari categorie di dati (i.e. dati sensibili) sono le condizioni indicate all’articolo 9 del GDPR
  • in relazione ai dati su reati e condanne penali (i.e. dati giudiziari) sono le condizioni specificate all’articolo 10 del GDPR.

 

Categorie: Base giuridica
Print Friendly, PDF & Email

Tratto liberamente dal wp217

Tra le basi giuridiche che sono a fondamento della legittimità del trattamento di dati personali (nè sensibili nè giudiziari) è possibile distinguere tra il caso in cui i dati personali sono trattati sulla base del consenso manifestato dalla persona interessata (articolo 6(1), lettera a)) e i cinque casi rimanenti (articolo 6(1), lettere da b) a f)). «Questi cinque casi, in sintesi, descrivono scenari in cui il trattamento potrebbe essere necessario in un contesto specifico, quali l’esecuzione del contratto concluso con la persona interessata, l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento, ecc.

Nel primo caso, ai sensi dell’articolo 6(1), lettera a), sono gli interessati stessi ad autorizzare il trattamento dei loro dati personali. Spetta a loro decidere se acconsentire o meno al trattamento dei dati personali che li riguardano.

Tutti gli altri criteri, invece, ammettono il trattamento, subordinatamente a garanzie e misure adeguate, in situazioni in cui, a prescindere dal consenso, è opportuno e necessario trattare i dati in un determinato contesto al fine di perseguire un interesse legittimo specifico.
Le lettere b), c), d) ed e) precisano ognuna un criterio che legittima il trattamento:
(b) l’esecuzione del contratto concluso con la persona interessata;
(c) l’adempimento di un obbligo legale al quale è soggetto il titolare del trattamento;
(d) la salvaguardia dell’interesse vitale della persona interessata o di un’altra persona fisica;
(e) l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri.
La lettera f) è meno specifica e si riferisce, più in generale, all’interesse legittimo (di qualsiasi tipo) perseguito dal titolare del trattamento (in qualsiasi contesto). Questa disposizione generale è tuttavia espressamente subordinata a un test comparativo supplementare, finalizzato a tutelare gli interessi e i diritti degli interessati».

Base giuridica: Contratto (2)

Print Friendly, PDF & Email

Tratto liberamente da wp217

Quando il trattamento è necessario all’esecuzione del contratto concluso con la persona interessata esso si basa su un valido fondamento giuridico: cioè è legittimo. «In quest’ambito possono rientrare, per esempio, il trattamento dell’indirizzo dell’interessato affinché possa essere effettuata la consegna delle merci acquistate online o il trattamento degli estremi della carta di credito per l’esecuzione del pagamento. Nel contesto occupazionale, questo fondamento giuridico potrebbe permettere, per esempio, il trattamento di informazioni riguardanti lo stipendio e delle coordinate bancarie al fine di consentire il pagamento dei salari.
Questa disposizione deve essere interpretata rigorosamente e non contempla le situazioni in cui il trattamento non è effettivamente necessario all’esecuzione di un contratto, bensì imposto unilateralmente all’interessato dal titolare del trattamento.».

Print Friendly, PDF & Email

Tratto da wp217

«Esiste un chiaro collegamento tra la valutazione della necessità e il rispetto del principio di limitazione delle finalità. È importante stabilire la ratio esatta del contratto, ossia la sua sostanza e il suo obiettivo fondamentale, poiché sarà questa la base su cui si valuterà se il trattamento dei dati è necessario alla sua esecuzione.
In alcuni casi limite, stabilire se il trattamento è necessario all’esecuzione del contratto potrebbe essere sostenibile o richiedere accertamenti più specifici. Per esempio, la creazione di una banca dati aziendale con i recapiti dei dipendenti interni, in cui siano indicati il nome, l’indirizzo professionale, il numero di telefono e l’e-mail di tutti i dipendenti al fine di consentire a questi ultimi di contattare i loro colleghi, in alcune situazioni potrebbe essere considerata necessaria per l’esecuzione di un contratto ai sensi dell’articolo 6(1), lettera b), ma potrebbe anche essere legittima ai sensi dell’articolo 6(1), lettera f), qualora l’interesse prevalente del titolare del trattamento sia dimostrato e siano adottate tutte le misure appropriate, compresa ad esempio l’opportuna consultazione dei rappresentanti dei dipendenti.».

Load More

Codici di condotta (2)

Print Friendly, PDF & Email

” I codici sono strumenti volontari di responsabilità che stabiliscono norme specifiche per la protezione dei dati. Possono essere uno strumento di responsabilità utile ed efficace, fornire una descrizione dettagliata dei comportamenti più appropriati, giuridici ed etici di un determinato settore.”

Fonte: EDPB Linee Guida 1/2019

Print Friendly, PDF & Email

“I codici rappresentano un’opportunità per stabilire un insieme di norme che contribuiscano alla corretta applicazione del GDPR in un modo pratico e trasparente. Hanno il potenziale per essere uno strumento particolarmente importante e vantaggioso per le PMI e le microimprese fornendo un meccanismo che consenta loro di raggiungere la conformità della protezione dei dati in modo più conveniente.”

Fonte: EDPB Linee guida 1/2019

Consenso (2)

Categorie: Consenso
Print Friendly, PDF & Email

wp259 rev.01

L’articolo 7, paragrafo 4, indica, tra l’altro, che è altamente inopportuno “accorpare” il consenso all’accettazione delle condizioni generali di contratto/servizio o “subordinare” la fornitura di un contratto o servizio a una richiesta di consenso al trattamento di dati personali che non sono necessari per l’esecuzione del contratto o servizio. Si presume che il consenso prestato in una tale situazione non sia stato espresso liberamente (considerando 43). L’articolo 7, paragrafo 4, mira a garantire che la finalità del trattamento dei dati personali non sia mascherata né accorpata all’esecuzione di un contratto o alla prestazione di un servizio per il quale i dati personali non sono necessari. In tal modo, il regolamento assicura che il trattamento dei dati personali per cui viene richiesto il consenso non possa trasformarsi direttamente o indirettamente in una controprestazione contrattuale. Le due basi legittime per la liceità del trattamento dei dati personali, ossia il consenso e l’esecuzione di un contratto, non possono essere riunite e rese indistinte.
L’obbligo di acconsentire all’uso di dati personali aggiuntivi rispetto a quelli strettamente necessari limita la scelta dell’interessato e ostacola l’espressione del libero consenso. Poiché la legislazione in materia di protezione dei dati mira a tutelare i diritti fondamentali, è essenziale che l’interessato abbia il controllo sui propri dati personali; inoltre sussiste una presunzione forte secondo cui il consenso a un trattamento di dati personali non necessario non può essere considerato un corrispettivo obbligatorio dell’esecuzione di un contratto o della prestazione di un servizio.
Pertanto, ogni volta che una richiesta di consenso è legata all’esecuzione di un contratto da parte del titolare del trattamento, l’interessato che non desidera mettere a disposizione i propri dati personali per il trattamento da parte del titolare corre il rischio di vedersi negare l’erogazione dei servizi richiesti. (…)

Quando il titolare del trattamento intende trattare dati personali che sono effettivamente necessari per l’esecuzione di un contratto il consenso non è la base legittima appropriata. (…)

L’espressione “nella massima considerazione” di cui all’articolo 7, paragrafo 4, suggerisce che il titolare del trattamento deve prestare particolare attenzione qualora il contratto (che potrebbe includere la prestazione di un servizio) sia collegato a una richiesta di consenso al trattamento di dati personali.
Poiché l’articolo 7, paragrafo 4, non è formulato in maniera assoluta, in un numero molto ristretto di casi tale condizionalità potrebbe non rendere invalido il consenso. Tuttavia, il verbo “si presume” al considerando 43 indica chiaramente che tali casi saranno estremamente eccezionali.
Ad ogni modo, l’onere della prova riguardo all’articolo 7, paragrafo 4, incombe al titolare del trattamento. Questa norma specifica riflette il principio generale di responsabilizzazione che permea l’intero regolamento generale sulla protezione dei dati. Tuttavia, quando si applica l’articolo 7, paragrafo 4, risulta più difficile per il titolare del trattamento dimostrare che l’interessato ha prestato liberamente il consenso.

Print Friendly, PDF & Email

wp259 rev.01

Il termine esplicito si riferisce al modo in cui il consenso è espresso dall’interessato e significa che l’interessato deve fornire una dichiarazione esplicita di consenso. Un modo ovvio per assicurarsi che il consenso sia esplicito consisterebbe nel confermare espressamente il consenso in una dichiarazione scritta. Se del caso, il titolare del trattamento potrebbe assicurarsi che la dichiarazione scritta sia firmata dall’interessato, al fine di dissipare tutti i possibili dubbi e la potenziale mancanza di prove in futuro47.
Tuttavia la dichiarazione firmata non è l’unico modo per ottenere il consenso esplicito e non si può affermare che il regolamento prescriva dichiarazioni scritte e firmate in tutte le circostanze che richiedono un consenso esplicito valido. Ad esempio, nel contesto digitale od online, l’interessato può emettere la dichiarazione richiesta compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato con la propria firma oppure utilizzando una firma elettronica. In teoria, anche l’uso di dichiarazioni verbali può essere sufficientemente specifico per ottenere un consenso esplicito valido, tuttavia può essere difficile per il titolare del trattamento dimostrare che tutte le condizioni per la validità del consenso esplicito siano state soddisfatte quando la dichiarazione è stata registrata.
Un’organizzazione può anche ottenere il consenso esplicito tramite una conversazione telefonica, a condizione che le informazioni sulla scelta siano corrette, intelligibili e chiare e che venga richiesta una conferma specifica da parte dell’interessato (ad esempio premendo un pulsante o fornendo una conferma verbale).
[Esempio 17] Il titolare del trattamento può ottenere il consenso esplicito da un visitatore del proprio sito web mettendo a disposizione una schermata di consenso esplicito contenente caselle di controllo “Sì” e “No”, a condizione che il testo indichi chiaramente il consenso, ad esempio con una dicitura del tipo “In questo modo acconsento al trattamento dei miei dati” e non ad esempio tramite una formulazione del tipo “Mi è chiaro che i miei dati saranno trattati”. Va da sé che devono essere soddisfatte le condizioni per il consenso informato e le altre condizioni per la validità del consenso.

(…)

Anche la verifica in due fasi del consenso può essere un modo per assicurarsi che il consenso esplicito sia valido. Ad esempio, l’interessato riceve un’e-mail che gli notifica l’intenzione del titolare del trattamento di trattare una cartella contenente dati medici. Il titolare del trattamento spiega nell’e-mail che chiede il consenso all’uso di un insieme specifico di informazioni per una finalità specifica. Se l’interessato acconsente all’utilizzo dei dati, il titolare del trattamento gli chiede una risposta via e-mail contenente la dichiarazione “Acconsento”. Dopo l’invio della risposta, l’interessato riceve un link di verifica da cliccare oppure un messaggio SMS con un codice di verifica, in maniera da confermare il consenso.

Cookie (13)

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, ecc.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell´utente nell´ambito della sessione, risultano indispensabili.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“No. Il Garante (cfr. provvedimento dell´8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Sono i cookie utilizzati per tracciare la navigazione dell´utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell´utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”. Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Regolamento Ue 2016/679). I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Come stabilito dal Garante, l’informativa va impostata su due livelli.
Nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa “breve”, la richiesta di consenso all´uso dei cookie e un link per accedere ad un´informativa più “estesa”. In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l´utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell´utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell´utente.
Deve contenere il link all’informativa estesa e l´indicazione che, tramite quel link, è possibile negare il consenso all´installazione di qualunque cookie.
Deve precisare che se l´utente sceglie di proseguire “saltando” il banner, acconsente all´uso dei cookie.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“No. I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“No. In questo caso, il titolare del sito può dare l´informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l´inserimento delle relative indicazioni nella privacy policy indicata nel sito.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Il titolare del sito web che installa cookie di profilazione.
Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.
In presenza di tale “documentazione”, non è necessario che l’informativa breve sia riproposta alla seconda visita dell´utente sul sito, ferma restando la possibilità per quest´ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni, ad esempio tramite accesso all´informativa estesa, che deve essere quindi linkabile da ogni pagina del sito.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all´utente di selezionare/deselezionare i singoli cookie.
Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l’installazione di cookie tramite il proprio sito.
Deve richiamare, infine, la possibilità per l´utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.”

Fonte: Garante

Load More

Data breach (2)

Categorie: Data breach
Print Friendly, PDF & Email

7. Il processo di data breach

Le prescrizioni del GDPR sulle violazioni di dati personali evidenziano la necessità di strutturare un apposito processo aziendale al riguardo, suddiviso in distinte fasi. La prima di queste concerne l’individuazione delle misure idonee a minimizzare il rischio di data breach (prevention), seguita dalla fase volta ad assicurare la tempestiva rilevazione delle violazioni (timely alert), la tempestiva ed esauriente analisi dell’incidente (incident analysis), l’individuazione delle azioni di rimedio e di mitigazione degli effetti nocivi (incident response), la valutazione degli effetti data protection ai fini della valutazione di obbligatorietà della notificazione all’Autorità o della comunicazione agli interessati e, infine, la corretta reportistica riguardante tutti tali elementi.

Categorie: Data breach
Print Friendly, PDF & Email

Il GDPR richiede che, in caso di violazione, il responsabile del trattamento informi la violazione senza ingiustificato ritardo e, ove possibile, entro e non oltre 72 ore dopo essere venuta a conoscenza. Ciò può sollevare la questione di quando un titolare possa essere considerato “a conoscenza” di una violazione.

Si ritiene che il titolare dovrebbe essere considerato “consapevole” quando ha un ragionevole grado di certezza che si è verificato un incidente di sicurezza che ha causato la possibile compromissione dei dati personali.

wp259 rev.01

Dati particolari (1)

Print Friendly, PDF & Email

wp259 rev.01

Il termine esplicito si riferisce al modo in cui il consenso è espresso dall’interessato e significa che l’interessato deve fornire una dichiarazione esplicita di consenso. Un modo ovvio per assicurarsi che il consenso sia esplicito consisterebbe nel confermare espressamente il consenso in una dichiarazione scritta. Se del caso, il titolare del trattamento potrebbe assicurarsi che la dichiarazione scritta sia firmata dall’interessato, al fine di dissipare tutti i possibili dubbi e la potenziale mancanza di prove in futuro47.
Tuttavia la dichiarazione firmata non è l’unico modo per ottenere il consenso esplicito e non si può affermare che il regolamento prescriva dichiarazioni scritte e firmate in tutte le circostanze che richiedono un consenso esplicito valido. Ad esempio, nel contesto digitale od online, l’interessato può emettere la dichiarazione richiesta compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato con la propria firma oppure utilizzando una firma elettronica. In teoria, anche l’uso di dichiarazioni verbali può essere sufficientemente specifico per ottenere un consenso esplicito valido, tuttavia può essere difficile per il titolare del trattamento dimostrare che tutte le condizioni per la validità del consenso esplicito siano state soddisfatte quando la dichiarazione è stata registrata.
Un’organizzazione può anche ottenere il consenso esplicito tramite una conversazione telefonica, a condizione che le informazioni sulla scelta siano corrette, intelligibili e chiare e che venga richiesta una conferma specifica da parte dell’interessato (ad esempio premendo un pulsante o fornendo una conferma verbale).
[Esempio 17] Il titolare del trattamento può ottenere il consenso esplicito da un visitatore del proprio sito web mettendo a disposizione una schermata di consenso esplicito contenente caselle di controllo “Sì” e “No”, a condizione che il testo indichi chiaramente il consenso, ad esempio con una dicitura del tipo “In questo modo acconsento al trattamento dei miei dati” e non ad esempio tramite una formulazione del tipo “Mi è chiaro che i miei dati saranno trattati”. Va da sé che devono essere soddisfatte le condizioni per il consenso informato e le altre condizioni per la validità del consenso.

(…)

Anche la verifica in due fasi del consenso può essere un modo per assicurarsi che il consenso esplicito sia valido. Ad esempio, l’interessato riceve un’e-mail che gli notifica l’intenzione del titolare del trattamento di trattare una cartella contenente dati medici. Il titolare del trattamento spiega nell’e-mail che chiede il consenso all’uso di un insieme specifico di informazioni per una finalità specifica. Se l’interessato acconsente all’utilizzo dei dati, il titolare del trattamento gli chiede una risposta via e-mail contenente la dichiarazione “Acconsento”. Dopo l’invio della risposta, l’interessato riceve un link di verifica da cliccare oppure un messaggio SMS con un codice di verifica, in maniera da confermare il consenso.

Diritto protezione dati personali (1)

Print Friendly, PDF & Email

L’espressione “necessari in una società democratica” deriva dagli articoli 8-11 della Convenzione Europea dei Diritti Umani (CEDU) e su di essa si è formata una consolidata giurisprudenza, a seguito delle molte decisioni della CtEDU emesse su questo tema. Secondo la CtEDU, ad esempio, il concetto di necessità è stato talvolta interpretato come “un pressante bisogno sociale” spostando sullo Stato un significativo onere della prova.
Spesso il termine “necessario” va inteso in modo più oggettivo, nel senso che vi sia proporzionalità tra lo scopo legittimo perseguito ed i mezzi utilizzati nel limitare il diritto alla riservatezza. Questa ricerca di proporzionalità consiste in un esercizio di bilanciamento tra gli interessi dell’individuo e della collettività. Spesso esso consente alle autorità taluni margini discrezionali di giudizio.

Lo stesso principio meglio dettagliato dall’articolo 11 della versione Modernizzata della Convenzione n. 108 del Consiglio d’Europa. In base alla Convenzione, infatti, è possibile derogare alle disposizioni in materia di principi di legittimità (art. 5.4), notifica dei data breach (art. 7.2), informativa all’interessato (art. 8.1) e diritti degli interessati (art. 9)  «qualora la deroga sia prevista dalla legge, rispetti l’essenza dei diritti fondamentali e delle libertà e costituisca una misura necessaria e proporzionata in una società democratica».

Come evidenziato da Rodotà, l’espressione “necessari in una società democratica” sta ad indicare che «non basta, dunque, dimostrare che una restrizione di libertà e diritti può rivelarsi utile» nel perseguimento delle finalità pubbliche ritenute superiori. «Per essere ammissibile, deve superare un test di compatibilità con l´ineliminabile natura democratica delle nostre organizzazioni sociali».

Documentazione GDPR (1)

Print Friendly, PDF & Email

Il GDPR contiene disposizioni esplicite sulla documentazione (scritta, anche per via elettronica) delle attività di trattamento, con prescrizioni relative alla loro conservazione ed esibizione all’Autorità, su richiesta [si vedano gli obblighi sulla tenuta del Registro dei trattamenti (art. 30, applicabile sia a titolari sia a responsabili del trattamento) e sulla documentazione delle violazioni di dati personali (data breach, obbligo a carico del solo titolare, art. 33(5)].

Infine, completa il materiale di documentazione:

  • il registro dei consensi che consente di documentarne il rilascio a fini probatori
  • i contratti tra
    • titolare e titolare
    • contitolari
    • titolare e responsabile
    • titolare e sub-responsabile
    • esportatore e importatore di dati nei flussi extra-UE
  • la raccolta delle valutazioni di impatto
  • ulteriore materiale che il GDPR richiede di redigere e conservare, come ad esempio la valutazione attestante il legittimo interesse del titolare o di terzi come base giuridica che legittima il trattamento dei dati.

In conclusione, la documentazione – che va tenuta aggiornata – consente alle aziende con funzione di titolare e responsabile del trattamento di disporre di un valido supporto per il governo dei dati.

DPIA (2)

Categorie: DPIA
Print Friendly, PDF & Email

Processo di valutazione dei rischi DP

Solo la diffusa capacità valutativa dell’azienda, in ottica data protection, consentirà di censire quei trattamenti a potenziale rischio elevato e, quindi, da sottoporre alla particolare analisi della Print Friendly, PDF & Email

Per stabilire se il trattamento in esame potrebbe essere “ad elevato rischio”, le linee guida wp248 rev.01 suggeriscono di considerarlo tale se esso soddisfa due o più dei seguenti criteri:

  • Trattamenti valutativi o di scoring
  • Decisioni automatizzate con effetti significativi
  • Monitoraggio sistematico
  • Dati sensibili o altamente personali
  • Dati elaborati su larga scala
  • Abbinamento o combinazione dei dati
  • Dati su persone vulnerabili
  • Usi o tecnologia innovativi
  • Impedimento di un diritto o di stipula contrattuale.

È inoltre necessario verificare se le proprie attività di trattamento sono elencate nell’elenco dei trattamenti a presunto “elevato rischio” dell’ASN pertinente.

DPO (1)

Categorie: DPO
Print Friendly, PDF & Email

“Per garantire l’accessibilità del DPO, si raccomanda la sua collocazione nel territorio dell’Unione europea, indipendentemente dall’esistenza di uno stabilimento del titolare o del responsabile nell’UE. Tuttavia, non si può escludere che un DPO sia in grado di adempiere ai propri compiti con maggiore efficacia operando al di fuori dell’UE in alcuni casi ove titolare del trattamento o responsabile del trattamento non sono stabiliti nel territorio dell’Unione europea.”

Fonte: WPArt29 e EDPB wp243 rev.01

Load More


e-Privacy (13)

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, ecc.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell´utente nell´ambito della sessione, risultano indispensabili.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“No. Il Garante (cfr. provvedimento dell´8 maggio 2014) ha precisato che possono essere assimilati ai cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Sono i cookie utilizzati per tracciare la navigazione dell´utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell´utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di “profilazione”. Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Regolamento Ue 2016/679). I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Come stabilito dal Garante, l’informativa va impostata su due livelli.
Nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), deve immediatamente comparire un banner contenente una prima informativa “breve”, la richiesta di consenso all´uso dei cookie e un link per accedere ad un´informativa più “estesa”. In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l´utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell´utente, ossia attraverso la selezione di un elemento contenuto nella pagina sottostante.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell´utente.
Deve contenere il link all’informativa estesa e l´indicazione che, tramite quel link, è possibile negare il consenso all´installazione di qualunque cookie.
Deve precisare che se l´utente sceglie di proseguire “saltando” il banner, acconsente all´uso dei cookie.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“No. I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“No. In questo caso, il titolare del sito può dare l´informativa agli utenti con le modalità che ritiene più idonee, ad esempio, anche tramite l´inserimento delle relative indicazioni nella privacy policy indicata nel sito.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Il titolare del sito web che installa cookie di profilazione.
Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico, sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.
In presenza di tale “documentazione”, non è necessario che l’informativa breve sia riproposta alla seconda visita dell´utente sul sito, ferma restando la possibilità per quest´ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni, ad esempio tramite accesso all´informativa estesa, che deve essere quindi linkabile da ogni pagina del sito.”

Fonte: Garante

Categorie: Cookie, e-Privacy
Print Friendly, PDF & Email

“Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le finalità dei cookie installati dal sito e consentire all´utente di selezionare/deselezionare i singoli cookie.
Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il titolare ha stipulato accordi per l’installazione di cookie tramite il proprio sito.
Deve richiamare, infine, la possibilità per l´utente di manifestare le proprie opzioni sui cookie anche attraverso le impostazioni del browser utilizzato.”

Fonte: Garante

Esercizio diritti (1)

Print Friendly, PDF & Email

6. Gestione dell'esercizio dei diritti

Nella prassi riscontrata durante la vigenza di direttiva e 


Flussi esteri (1)

Categorie: Flussi esteri
Print Friendly, PDF & Email

8. Gestione dei trasferimenti esteri

Anche i trasferimenti di dati personali fuori dalla UE non sono nuovi ad una specifica regolamentazione normativa; il GDPR non ha innovato in proposito. Tuttavia, la prassi operativa ha sinora sottostimato questo profilo, dedicandovi un’attenzione non proporzionale all’importanza del relativo rischio data protection. La necessità di informare adeguatamente l’interessato in merito ai paesi importatori dei dati che lo riguardano e delle relative salvaguardie adottate per legittimare il trasferimento, presuppone una centralizzazione gestionale di questo profilo da parte dell’azienda interessata. Anche in questo ambito l’azienda titolare dovrà effettuare un programma di conformità ad hoc: partendo dal censimento dei trasferimenti esteri di dati, dall’analisi del livello di adeguatezza del sistema data protection esistente nel paese di destinazione, dall’individuazione della base giuridica di legittimazione al trasferimento e dalla conseguente scelta della misura di salvaguardia da adottare (es. modelli contrattuali approvati dalla Commissione o misure simili).

Formazione (1)

Categorie: Formazione
Print Friendly, PDF & Email

9. Attività di formazione e sensibilizzazione

Una veloce lettura del GDPR potrebbe far ritenere che non vi sia uno specifico obbligo di formazione e sensibilizzazione; eppure questo lo si desume con chiarezza dall’intero impianto della norma: il programma di conformità richiede il necessario coinvolgimento del vertice aziendale suffragato dalla coerente cooperazione dell’intera popolazione aziendale. Questi obiettivi possono essere conseguiti solo tramite un adeguato programma di sensibilizzazione (cioè descrizione ed obiettivi del piano di conformità) e di formazione (cioè in cosa consiste il GDPR e quali sono i maggiori impatti operativi in azienda e per i ruoli definiti nel modello organizzativo).

Load More

GDPR: Ambito applicativo (1)

Print Friendly, PDF & Email

1. Cosa finisce sotto il GDPR

L’ambito applicativo del GDPR si è ampliato significativamente rispetto alla direttiva Print Friendly, PDF & Email

2. Il sistema documentale

La funzione descrittiva svolta dal complesso dei documenti che traggono la propria fonte dal GDPR (qui chiamato “sistema documentale”) sta ad indicare che tutto quanto vada realizzato per conformarsi ai dettami della norma e per agevolarne l’attuazione operativa debba essere opportunamente documentato. La reportistica così realizzata serve il duplice scopo:

  1. di condividere quanto fatto tra tutti coloro che hanno specifici incarichi data protection e, in alcuni casi, con l’intera popolazione aziendale
  2. di costituirsi gli strumenti probatori che attestino il livello di conformità dell’azienda (funzione probatoria).

Affinché entrambi gli obiettivi possano essere conseguiti, occorre prevedere un adeguato sistema di gestione della documentazione che garantisca accessibilità, integrità e aggiornamento dei documenti considerati. Questo profilo documentale contribuirà a permettere all’azienda di dimostrare la propria accountability.

Load More


Load More

Load More

Load More

Necessità contrattuale (1)

Print Friendly, PDF & Email

Verificando una serie di elementi come:

  • Qual è la natura del servizio fornito all’interessato
  • Quali sono le caratteristiche distintive
  • Qual è la logica esatta del contratto (vale a dire la sua sostanza e l’oggetto fondamentale)
  • Quali sono gli elementi essenziali del contratto
  • Quali sono le prospettive e le aspettative reciproche delle parti del contratto
  • Com’è il servizio promosso o pubblicizzato all’interessato

Fonte: EDPB Linee guida 2/2019 [art. 6(1)(b)]

Load More

Load More

Portabilità (1)

Categorie: Portabilità
Print Friendly, PDF & Email

Il diritto alla portabilità dei dati permette agli interessati di ricevere i dati personali da loro forniti al titolare del trattamento, in un formato strutturato, di uso comune e leggibile meccanicamente, e di trasmetterli a un diverso titolare. L’obiettivo ultimo è accrescere il controllo degli interessati sui propri dati personali.

Consentendo la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, il diritto alla portabilità rappresenta anche uno strumento importante a supporto della libera circolazione dei dati personali nell’UE e in favore della concorrenza fra i titolari.

Fonte: wp242 rev.01

Profilazione decisioni automatizzate (5)

Print Friendly, PDF & Email

Tratto da wp251 rev.01

Un intermediario di dati raccoglie dati da diverse fonti pubbliche e private, per conto dei suoi clienti o per finalità proprie. Raccoglie i dati per sviluppare profili sulle persone e inserirle in segmenti e poi vende queste informazioni alle imprese che desiderano migliorare l’orientamento dei loro beni e servizi. L’intermediario di dati esegue la profilazione inserendo una persona in una determinata categoria in base ai suoi interessi.

Print Friendly, PDF & Email

Tratto da wp251 rev.01

Infliggere una multa per eccesso di velocità esclusivamente sulla base delle prove fornite dall’autovelox è un processo decisionale automatizzato che non implica necessariamente la profilazione.
Tuttavia la decisione di infliggere la multa sarebbe basata sulla profilazione se le abitudini di guida della persona in questione fossero state monitorate nel tempo e, ad esempio, l’ammontare della multa fosse il risultato di una valutazione che coinvolge altri fattori quali l’eventuale recidiva di eccesso di velocità o l’eventuale recente violazione di altre disposizioni del codice della strada.

Print Friendly, PDF & Email

Libera elaborazione di elementi tratti da wp251 rev.01

Esistono potenzialmente tre modalità d’uso della profilazione:

  1. profilazione generale, ad esempio l’inserimento di una persona in una determinata categoria in base ai suoi interessi, mediante un processo anche parzialmente automatizzato;
  2. processo decisionale basato sulla profilazione, ad esempio, un individuo decide se accordare il prestito sulla base di un profilo prodotto con mezzi automatizzati;
  3. decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produce effetti giuridici o incide in modo analogo significativamente sull’interessato (articolo 22, paragrafo 1), ad esempio, un algoritmo decide se il prestito viene accordato e la decisione viene trasmessa automaticamente alla persona, senza alcuna previa valutazione significativa da parte di un essere umano.

 

Print Friendly, PDF & Email

Tratto da wp251 rev.01

Alcuni assicuratori offrono tariffe e servizi assicurativi in base al comportamento di guida delle persone. Gli elementi presi in considerazione in questi casi potrebbero includere la distanza percorsa, il tempo trascorso alla guida e l’itinerario percorso, nonché previsioni basate su altri dati raccolti dai sensori dell’auto (intelligente). I dati raccolti vengono utilizzati per fini di profilazione con l’obiettivo di individuare comportamenti di guida errati (come accelerazione rapida, frenata improvvisa ed eccesso di velocità). Queste informazioni possono essere incrociate con altre fonti (ad esempio il clima, il traffico, il tipo di strada) in maniera da comprendere meglio il comportamento del conducente.

In tal caso, il titolare del trattamento deve assicurarsi di disporre di una base legittima per tale tipo di trattamento. Il titolare del trattamento deve inoltre fornire all’interessato informazioni sui dati raccolti e, se del caso, sull’esistenza di processi decisionali automatizzati di cui all’articolo 22, paragrafi 1 e 4, sulla logica applicata, nonché sulla rilevanza e sulle conseguenze previste di tale trattamento.

Print Friendly, PDF & Email

Tratto da wp251 rev.01

Alcune applicazioni mobili forniscono servizi di localizzazione che consentono all’utente di trovare ristoranti nelle vicinanze che offrono sconti. Tuttavia, i dati raccolti vengono utilizzati anche per creare un profilo dell’interessato per finalità di marketing, ossia per individuare le sue preferenze alimentari o il suo stile di vita in generale. L’interessato si aspetta che i suoi dati vengano utilizzati per trovare ristoranti, ma non per ricevere pubblicità relative alla consegna di pizza a domicilio soltanto perché l’applicazione ha stabilito che arriva a casa tardi. Questo ulteriore utilizzo dei dati relativi all’ubicazione potrebbe non essere compatibile con le finalità per le quali tali dati sono stati originariamente raccolti e può quindi richiedere il consenso dell’interessato.

Inoltre, in questo esempio, troverebbero applicazione anche le disposizioni sulla vita privata e le comunicazioni elettroniche (e-Privacy).

Load More

Registro trattamenti (9)

Print Friendly, PDF & Email
  • quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha 250 e più dipendenti, dovrà creare, aggiornare e custodire un registro per tutti i trattamenti che pone in essere, ed esso dovrà contenere tutte le informazioni tassative indicate all’articolo 30 del GDPR
  • quando titolari o responsabili hanno meno di 250 dipendenti (ma non si qualificano come PMI) dovranno tenere un registro, contenente tutte le informazioni dell’articolo 30, qualora:
    • effettuino trattamenti che possono presentare un rischio, in tal caso, tuttavia, l’obbligo del registro riguarderà l’ambito dei soli trattamenti a rischio
    • trattino dati sensibili e/o dati relativi a condanne penali o reati, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti con dati sensibili o giudiziari
    • effettuino trattamenti non occasionali, in tal caso, tuttavia, l’obbligo riguarderà il solo ambito dei trattamenti non occasionali.
  • quando l’impresa o organizzazione (in qualità di titolare o responsabile) ha l’obbligo del registro ma è una PMI (cioè è sotto-soglia, secondo i criteri UE), potrà adottare il registro semplificato predisposto dal Garante; tale registro, peraltro, riguarderà quei soli trattamenti che costituiscono l’eccezione alla deroga (perchè, ad esempio, contengono dati “sensibili” o “giudiziari”), come evidenziato al precedente punto.

 

Print Friendly, PDF & Email

FAQ Garante

Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art. 30, par. 1 e 2 del RGPD).

In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

  • imprese o organizzazioni con  almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse  imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

Print Friendly, PDF & Email

Sono tenuti a realizzare, aggiornare e conservare il registro, sia il titolare del trattamento sia il suo responsabile, se nominato. Ciò comporta che, nel caso un titolare non abbia responsabili del trattamento, i trattamenti di propria pertinenza saranno descritti solo nel registro del titolare; diversamente, nel caso il titolare si avvalga anche di uno o più responsabili o sub-responsabili, ciascuno di essi ha l’obbligo di realizzare uno specifico registro per le attività che esegue in qualità di responsabile, creando sezioni descrittive delle attività di trattamento, appositamente per ogni titolare per conto del quale esso opera. Qualora l’ingente numero di clienti (titolari) rendesse difficoltosa la gestione e manutenzione di queste schede, distinte per titolare, il provvedimento del Garante consente di poter riportare il rinvio nel registro, «ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art. 30, par. 2» del regolamento.

Con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art. 30, par. 2, lett. b) GDPR), responsabili e sub-responsabili potranno «far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art. 28» del GDPR, deve contenere queste informazioni: in questo modo si crea un’opportuna correlazione, evitando duplicazioni e possibili incongruenze.

V. FAQ Garante

Print Friendly, PDF & Email

 

Modello di “registro semplificato”, pubblicato dal Garante, per titolare che è una PMI

 

Print Friendly, PDF & Email

 

Modello di “registro semplificato”, pubblicato dal Garante, per responsabile del trattamento che è una PMI

 

Print Friendly, PDF & Email

Il provvedimento del Garante (v. FAQ) contiene alcune precisazioni anche riguardo all’ampiezza delle informazioni tassative da riportare nel registro ai sensi dell’articolo 30.

  1. in merito alle finalità perseguite, l’Autorità ritiene opportuno indicare anche la relativa base giuridica, sia per dati comuni, che per le “categorie particolari di dati” e dati relativi a condanne penali e reati (ad es. se il trattamento è legittimato dal consenso dell’interessato o è necessario per l’esecuzione di obblighi contrattuali)
  2. con riferimento alle “categorie di destinatari” andranno riportate non solo le categorie di appartenenza di altri titolari del trattamento  (cioè flussi che comportano tecnicamente delle “comunicazioni”) «ma anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento – siano trasmessi i dati da parte del titolare (…) Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali» (in altre parole, la descrizione dell’ambito di circolazione dei dati personali)
  3. in relazione ai trasferimenti esteri di dati andrà riportata la «indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es. decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.)»; si tratta di informazioni che nella prassi erano raramente raccolte e gestite in modo centralizzato, prima dell’applicazione del GDPR
  4. «nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” (…) ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es. norme di legge, prassi settoriali) indicativi degli stessi (es. “in caso di contenzioso, i dati saranno cancellati al termine dello stesso”)», come per le informazioni del precedente punto, anche questo profilo richiede uno sforzo di determinazione e classificazione alquanto innovativo, rispetto alle prassi in atto
  5. riguardo alla «“descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate (…) (l)e misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es. procedure organizzative interne; security policy ecc.).»; quindi, il registro deve specificare la misura adottata e non la sua modalità attuativa.

 

Print Friendly, PDF & Email

Fermo restando l’obbligo di aggiornamento costante del registro – «poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere» – esso «deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento. In quest’ultimo caso il Registro dovrà recare una annotazione del tipo:
“- scheda creata in data XY”
“- ultimo aggiornamento avvenuto in data XY”».

Il provvedimento del Garante (v. FAQ) non fa riferimento a “data certa” – come in precedenti adottati durante la vigenza del codice privacy – ma si limita a richiedere che il dato temporale riportato sulla scheda sia “verificabile”; in assenza di ulteriori interventi interpretativi, si ritiene che la “verificabilità” possa essere soddisfatta con qualsiasi mezzo o modalità che consenta di provare la veridicità di quanto riportato.

Print Friendly, PDF & Email

Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art. 30, par. 1 del GDPR) e in quello del responsabile (art. 30, par. 2 del GDPR).

 

Print Friendly, PDF & Email

Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

Fonte: Garante FAQ

Ruoli DP (1)

Categorie: Ruoli DP
Print Friendly, PDF & Email

3. Il modello organizzativo data protection

Nessun sistema gestionale, ancor più se complesso, può diventare operativo ed efficace se si trascura la dimensione dei presidi umani. Attento all’autonomia organizzativa dell’imprenditore, il legislatore ha previsto come tassativi solo pochi ruoli legali, come quelli del titolare, del responsabile, di coloro che in Italia denomineremmo “incaricati” e, in presenza di determinate condizioni, del 


Sicurezza (1)

Categorie: Sicurezza
Print Friendly, PDF & Email

4. Misure tecniche e organizzative da adottare

Uno dei principali profili in cui si declina il principio di responsabilizzazione (accountability) è quello delle misure tecnico-organizzative (dette anche “TOM”): se esse sono adeguate, l’azienda ha buone probabilità che sia (almeno sostanzialmente) conforme.

L’ago della bilancia, quindi, si sposta sulla capacità aziendale di valutare l’adeguatezza della misura, adottata o da adottare, rispetto al contesto. Questa operazione non è banale e si tira dietro l’approccio basato sul rischio che è uno dei principali pilastri metodologici del GDPR. La misura sarà adeguata solo se l’azienda avrà saputo valutare correttamente il rischio e, conseguentemente, solo se essa sarà stata in grado di individuare la misura idonea a mitigarlo entro livelli di accettabilità, secondo la prospettiva data protection.

Load More

Titolarità (1)

Categorie: Titolarità
Print Friendly, PDF & Email

Fonte: Linee guida EDPB 07/2020 [par.17]; art. 4, 7) GDPR.

L’articolo 4, punto 7) indica che è titolare chi, da solo o insieme ad altri, decide in merito alle finalità e ai mezzi del trattamento dei dati personali.

In linea di principio, non ci sono restrizioni su chi può assumere il ruolo di titolare. Può essere un’organizzazione, ma può anche essere un individuo o un gruppo di individui (ad esempio, nella sentenza sui testimoni di Geova, C-25/17, paragrafo 75, la CGUE ha ritenuto che una comunità religiosa dei testimoni di Geova agisse come titolare, insieme ai suoi singoli membri).

Quando si trattano dati all’interno di un gruppo di società, occorre prestare particolare attenzione se un’istituzione agisca come titolare del trattamento o come responsabile del trattamento, ad es. in caso di trattamento dei dati per conto della casa madre.

Load More

Load More

Contattaci

Scrivici via e-mail, ti risponderemo al più presto.

Illeggibile? Cambia il testo. captcha txt
0