FAQ GDPR

Domande più frequenti

Di seguito le domande più frequenti che i nostri utenti ci hanno posto relativamente al GDPR

  • Cos'è il Regolamento Europeo 679/2016?

    Regolamento Europeo 2016/679 è la normativa per la protezione della privacy delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tra le misure privacy da adottare nel rispetto del Regolamento Europeo, c'è quella di redigere e conservare opportune documentazioni quali i Registri delle attività di trattamento (nel caso di imprese o organizzazioni con meno di 250 dipendenti), ai sensi dell'art. 30, in cui vengano riportare tutte le attività di trattamento dei dati svolte sotto la responsabilità del titolare o del responsabile.
    Viene richiesto anche di cooperare con l'autorità di controllo competente notificando qualsiasi violazione dei dati personali sia alla stessa sia al diretto interessato entro 72 ore dal momento in cui se ne è venuti a conoscenza, senza ingiustificato ritardo ai sensi dell'art. 33.

  • Cosa permette l'applicazione a tutti gli stati membri del Regolamento Europeo 679/2016?

    L'applicazione del Regolamento Privacy in tutti gli Stati Membri permette che la medesima normativa sia contemporaneamente in vigore in tutti gli stati dell'Unione Europea.

  • Si può ritenere che il Regolamento 679/2016 Privacy sia "un buon regolamento", e che fornirà strumenti molto efficaci all'interessato per conoscere, controllare e intervenire sul destino dei propri dati?

    Il Regolamento GDPR 679/2016 concorrerà a ristabilire un clima di fiducia verso aziende e istituzioni, facilitando gli scambi, gli investimenti e l'economia digitale. Modificherà profondamente l'attuale modo di operare, obbligando a passare da un approccio "compilativo" verso un approccio basato sulla responsabilità e sulla verifica dell'efficacia. Fondamentali possono considerarsi l'introduzione del Risk Assessment (art. 35), del Privacy Impact Assessment (art. 35 e 36) e degli importanti concetti di privacy by design e privacy by default (art. 25).

  • Quali sono le sanzioni amministrative?

    Per tutti i dettagli e le casistiche previste in caso di sanzioni, si rimanda direttamente all’art. 83 del Regolamento GDPR 679/2016. In caso di mancato rispetto di queste norme, il Regolamento GDPR 679/2016 consente alle autorità di protezione dei dati di comminare multe fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

  • La tutela della privacy è un’esigenza che travalica i confini nazionali?

    Si, ed è per questo che si rende necessario un quadro legislativo comune e omogeneo in materia di protezione dei dati personali per la libera circolazione dei dati, che sia di portata mondiale.

  • Chi è il Data Protection Officer (DPO o RPD)

    Il Responsabile della Protezione dei Dati personali (DPO o RPD) è il front-office tra le aziende e il mondo della privacy, ed è una figura obbligatoria in specifici contesti, con compiti di consiglio, informazione e supervisione in merito agli obblighi legali relativi alla Privacy.

    Nello specifico, il DPO è obbligatorio per: 
    ·         Pubbliche Amministrazioni (tranne autorità giudiziarie); 
    ·         Aziende che trattano dati sensibili su larga scala; 
    ·         Aziende i cui trattamenti comportano un controllo regolare e sistematico degli interessati.

  • Quali sono i principali compiti del RPD?

    Il RPD all’interno dell’azienda riferirà direttamente al Titolare del Trattamento o comunque ai vertici gerarchici della società, senza intermediazioni, e con grande autonomia e indipendenza, rispetto agli altri dirigenti interessati. Principali compiti del RPD: • informare e consigliare il titolare o il responsabile del trattamento • verificare l’attuazione e l’applicazione della normativa, oltre alla sensibilizzazione del personale e dei relativi auditors; • fornire pareri e consulenza in merito alla valutazione d’impatto (Privacy Impact) sulla protezione dei dati e sorvegliare i relativi adempimenti; • fungere da punto di contatto per gli “interessati”, in merito a qualunque problematica connessa al trattamento dei loro dati nonché all’esercizio dei loro diritti; • fungere da punto di contatto per il Garante per la Protezione dei Dati Personali oppure, eventualmente, consultare il Garante di propria iniziativa con interpellanze, pareri e quesiti.

  • DPO: Persona fisica o giuridica, esterno o interno?

    Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un “dipendente” del titolare o del responsabile del trattamento ma che non debba avere conflittualità con l’azienda stessa. Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida). Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l’Autorità di controllo.

  • Posso usare un Antivirus di quelli che si scaricano gratis da Internet nella mia attività aziendale/professionale??

    NO, gli antivirus che si scaricano da Internet sono per uso personale(casalingo),e non possono essere usati liberamente in attività imprenditoriali o professionali (P.IVA). Inoltre spesso sono privi di alcune funzioni

  • Devo utilizzare una anche se ho un solo computer che u

    Si perché anche se il computer viene utilizzato da una sola persona, l’utilizzo della password protegge da accessi non autorizzati sia da Internet che da chiunque ne entrasse in possesso.

  • Se stacco il mio computer da internet, rischio di prendere lo stesso dei virus se si trova in rete LAN con altri computer?

    un computer staccato dalla rete Internet non ha possibilità di essere infettato da Internet, però se si trova in una LAN dello studio o della azienda può essere infettato da altri computer, su cui magari un collega di lavoro ha inserito una chiavetta USB infetta.

  • Il mio datore di lavoro può controllare le mie mail ed la navigazione web?

    anche dopo il Jobs Act, i controlli datoriali devono comunque essere improntati a gradualità nell’ampiezza e nella tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie. Ad esempio, se il datore di lavoro riscontra la presenza di virus sui pc aziendali, può dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati. Del resto, come il Garante ha affermato in più occasioni, il datore di lavoro è tenuto all’individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell’adozione di filtri per il blocco dell’accesso a determinati siti o del download di alcuni file. E non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l’analisi occulta di computer portatili affidati in uso.

  • Cosa significa dato sensibile secondo il Regolamento UE 679?

    Il dato sensibile (dato particolare) è il dato personale che, per sua natura, richiede particolare attenzione: i dati sensibili rivelano origine razziale o etnica, credenze religiose o altre convinzioni, opinioni politiche, tesseramento a partiti, sindacati o associazioni, salute e vita sessuale.

  • Cosa significa profilazione?

    Qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti della persona fisica.

    Cosa significa pseud

  • Cosa significa Privacy?

    Oggi come oggi, il concetto di privacy non  è solo il diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare l'uso e la circolazione di dati personali che costituiscono il bene primario della società dell'informazione

  • Che caratteristiche deve avere il trattamento?

    Secondo i ""Principi generali"" (art. 5, 6, 7) ogni trattamento del dato deve essere lecito, corretto e trasparente e le finalità devono essere determinate, esplicite, legittime. Il dato deve essere adeguato, pertinente, limitato esatto, aggiornato e conservato per il tempo necessario per il quale è stato raccolto. Le condizioni di liceità del consenso prevedono la presenza del consenso e l'obbligo di trattamento (insieme di operazioni riguardanti i dati personali come ad esempio la raccolta, modifica, uso, cancellazione e distruzione) I dati vengono trattati per adempiere ad un obbligo legale, per la salvaguardia degli interessi vitali dell'interessato o di altra persona fisica, per l'esecuzione di un compito di interesse pubblico o connesso a pubblici poteri di cui è investito il titolare del trattamento, per il perseguimento del legittimo interesse de titolare del trattamento e di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore. Assolvere obblighi ed esercitare diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza e protezione sociale. Il trattamento si basa sul diritto dell'Unione o dello stato membro cui è soggetto il Titolare.

  • Quali trattamenti esegue tipicamente un’azienda o uno studio professionale?

    personali. Ad esempio, raccogliere dei dati creando un archivio o una banca dati, creare copie dei dati, accedere ai dati in lettura o modifica, comunicare i dati a terzi e trasmetterli via internet o con altre modalità sono tutte operazioni di trattamento soggette al GDPR. I trattamenti sono normalmente descritti– ad esempio ai fini della compilazione del Registro dei trattamenti – attraverso il riferimento a processi o banche dati aziendali. Ecco alcuni esempi di banche dati e attività la cui gestione rappresenta tipicamente un’operazione di trattamento da parte di studi professionali e aziende: anagrafiche clienti, anagrafiche dipendenti, anagrafiche fornitori, videosorveglianza, campagne commerciali e di marketing, gestione di un sito web Per “trattamento” si intende qualunque tipo di operazione che viene svolta su dati.

  • Chi è il Contitolare del Trattamento?

    Il Contitolare del Trattamento è una persona fisica o giuridica, che affianca il Titolare e a cui competono diverse responsabilità decise tramite accordo interno (art.26) L'accordo tra le parti, redatto in forma libera, deve riflettere in modo puntuale i ruoli reciproci (art.26.2), il riparto degli obblighi previsti dal Regolamento (art. 26.1), il rapporto reciproco nel confronto degli interessati (art. 26.2), come ad esempio in materia di riscontro e di fornitura dell'informativa (art. 26.1) e sebbene non direttamente accessibile nella sua totalità deve essere conosciuto dall'interessato il contenuto essenziale.

  • Che diritti hanno gli interessati?

    Il Regolamento europeo dà un ampio spazio ai diritti dell'interessato rispetto al passato, ed un intero capo del regolamento europeo è dedicato a tale argomento. Diritti di natura conoscitiva: Diritto all'informativa Diritto di accesso Diritto alla comunicazione di una violazione dei dati Diritti di controllo: Consenso al trattamento Diritto di limitazione del trattamento Revoca del consenso al trattamento Diritto di opposizione al trattamento Diritto alla portabilità dei dati Diritto di rettifica ed integrazione Diritto alla cancellazione e all'oblio Decisioni basate unicamente su trattamento automatizzato

  • Cos'è la portabilità del dato?

    L'obiettivo del Regolamento 679/2016 è quello di rafforzare il controllo sui propri dati personali quando questi sono trattati con mezzi automatizzati:
    ·         ricevendo tutti i dati personali che lo riguardano in un formato strutturato, di uso comune e leggibile da dispositivo automatico e interoperabile. 
    ·         trasmettendoli, se necessario, ad un altro fornitore di servizi o titolare del trattamento.
    ·         facendoli trasmettere direttamente da un titolare all'altro, se tecnicamente possibile. 

    Il diritto dell'Unione Europea o dei singoli Stati membri può imporre limitazioni al diritto alla portabilità dei dati, se conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali. Si applica solo dietro consenso o se la stessa è necessaria per l'esecuzione di un contratto NON si applica nei confronti dei titolari che trattano dati nell'esercizio delle loro funzioni pubbliche (es. obbligo legale) NON deve obbligare il titolare ad adottare o mantenere sistemi di trattamento compatibili L'informativa deve contenere la possibilità per l'interessato di richiedere la portabilità dei suoi dati.

  • Come va gestita l'informativa privacy per i cookie?

    L'editore del sito è chiamato a dare informativa sui cookie da lui installati. Nell'ambito dei siti internet non basta inserire la privacy policy in un'unica pagina web indicante ogni informazione sui dati trattati ma andranno create tante informative quanti sono i tipi di cookie utilizzati e , a parte quelli obbligatori deve essere data la possibilità all’utente di rifiutare e disabilitare gli altri

     

  • Quando è prevista la notifica al Garante Privacy di uso di cookie?

    La notifica al Garante Privacy va inviata nel caso in cui vengono utilizzati cookie analitici di terze parti e non sono stati adottati strumenti che riducono il potere identificativo dei cookie e la terza parte incrocia le informazioni raccolte con altre di cui dispone oppure sono presenti cookie di profilazione di prima parte.

  • E’ possibile accedere ai files di un dipendente su un computer aziendale?

    Qualora l’ingerenza persegua un fine legittimo, come la tutela di diritti altrui, una limitazione del diritto alla privacy è ammissibile. Tra i fini “legittimi” c’è anche quello di tutelare il buon funzionamento dell’azienda e di imporre ai propri dipendenti il rispetto dei doveri professionali

  • Cos’è l’informativa sul trattamento dei dati personali del paziente?

    E’ una dichiarazione scritta con la quale il medico informa il proprio paziente su quali dati avrà necessità di raccogliere per un efficace rapporto terapeutico, chi, oltre a lui, verrà a conoscenza di questi dati, in che modo li userà e cosa potrà fare il paziente per tutelare i propri diritti.

     

  • Una volta che il paziente è stato informato, cosa deve fare il medico?

    Deve raccogliere il consenso. Il consenso può essere raccolto anche in forma orale, ma per evitare future ed eventuali contestazioni è opportuno che venga raccolto in forma scritta, con la sottoscrizione di un apposito modulo.

  • Chi può esprimere il consenso? Solo il paziente?

    Generalmente sì. Il paziente maggiorenne, capace di intendere e di volere, è l’unico soggetto autorizzato a dare il consenso per il trattamento dei propri dati sanitari. Se il paziente invece ha meno di 14 anni o non è capace di intendere e di volere, allora il consenso deve essere dato rispettivamente dai genitori (anche disgiuntamente e indipendentemente dal loro status giuridico) o da chi esercita la potestà genitoriale o dal tutore.

  • Dopo aver dato l’informativa e aver raccolto il consenso, cos’altro deve fare il medico nel suo studio?

    Se il medico, nel proprio studio, si avvale di personale di segreteria, deve redigere una formale lettera di incarico al trattamento dei dati sanitari al personale di segreteria, che si deve attenere alle istruzioni impartite dal medico titolare dello studio.

  • E nel caso dell’odontoiatra che si avvalga dell’opera dell’odontotecnico?

    Anche in questo caso è necessario che l’odontoiatra rediga una apposita lettera per affidare la responsabilità per il trattamento dei dati.

  • Partiamo dall’ipotesi in cui il medico non utilizzi il computer, ma conservi tutto su carta. Quali accorgimenti deve adottare?

    Nel caso di trattamento dei dati in forma cartacea, il medico dovrebbe istituire delle schede sanitarie per ogni singolo paziente nelle quali conservare il modulo di consenso firmato e ogni altro atto e documento inerente la salute del paziente. Le schede dovrebbero essere conservate in un luogo e in un modo tale da evitare che persone non autorizzate ne possano prendere conoscenza. Per esempio, se sono riposte in un armadio, questo dovrebbe essere chiuso a chiave e collocato in una stanza dello studio non accessibile al pubblico in generale. Le chiavi dell’armadio dovrebbero essere in possesso solo del medico e del suo sostituto (o dei suoi collaboratori medici) e non di altre persone. Inoltre l’armadio dovrebbe essere di materiale ignifugo, in modo da evitare il rischio di perdita o distruzione di dati a causa di incendio. Bisogna infatti ricordare che la legge sulla privacy non solo tutela la riservatezza del paziente, ma impone a chi gestisce i dati dei pazienti di adottare misure e cautele per evitare o minimizzare i rischi da incendio, furto, sottrazione, smarrimento, ecc. Se i dati vengono sottratti o distrutti, il medico deve poter dimostrare di aver messo in atto tutte le cautele possibili per evitare tutto questo perché se invece ha conservato le schede in maniera superficiale, può essere chiamato a risarcire.

  • E se il medico lavora in associazione con altri colleghi (medicina di gruppo) ?

    E’ sufficiente che nell’informativa sia esplicitato chiaramente che i dati dei pazienti possono essere trattati anche dai colleghi medici facenti parte dell’associazione professionale o della medicina di rete o di gruppo, ovviamente sempre e solo per esclusive finalità di diagnosi e cura. Da ricordare che in gruppo o in rete è necessaria la nomina di un DPO o RPD

  • Ma se il paziente, per ipotesi, chiede al medico di cancellare tutti i suoi dati, il rapporto di cura può proseguire?

    Evidentemente è così. Infatti nell’informativa il medico fa presente che se il paziente si rifiuta di fornire al medico i dati sanitari necessari per instaurare il rapporto di cura questo non può aver luogo. Allo stesso modo, se il paziente chiede la cancellazione dei suoi dati è come se revocasse il consenso che originariamente aveva dato. Per cui il medico non può che prenderne atto, accogliere la richiesta del paziente e considerare terminato il rapporto di cura.

  • Il medico può opporsi a queste richieste del paziente?

    No, in nessun caso.

  • Se il paziente chiede al medico una attestazione dettagliata del suo stato di salute, perché per esempio deve presentarla al datore di lavoro per usufruire di permessi speciali, il medico può rifiutarsi di farlo per motivi di privacy?

    Assolutamente no. La decisione se rivelare al datore di lavoro certi dati inerenti lo stato di salute spetta al paziente, non al medico. Quindi se il paziente desidera ottenere dei permessi speciali e vuole giustificare questa richiesta con una certificazione medica dettagliata, il medico deve soddisfare la richiesta del suo assistito, dichiarando i dati sanitari in suo possesso (ovviamente secondo verità). Non è compito del medico sindacare questa decisione del paziente.

  • Per quanto tempo il medico deve conservare i dati dei pazienti nel proprio studio?

    Il comportamento corretto del medico consiste nel conservare gli atti dei pazienti per tutta la durata del rapporto di cura e per i 10 anni successivi al termine di esso. Una volta decorso tale termine è possibile distruggerli, anche se sarebbe preferibile consegnarli ai pazienti diretti interessati, ove possibile.

  • Quando è necessario il Registro delle Attività di Trattamento?

    Altra novità di rilievo, è l’introduzione dell’obbligo, per ogni azienda titolare del trattamento dei dati specie sensibili, di tenere un “registro delle attività di trattamento” (anche in formato elettronico) svolte sotto la propria responsabilità, al fine di poter DIMOSTRARE la CONFORMITÀ delle misure di sicurezza tecniche (informatiche) e organizzative adottate in ottemperanza alle disposizioni del Regolamento. In detto registro dovranno essere riportate: la tipologia e le attività di trattamento svolte sotto la propria responsabilità; le finalità del trattamento e la loro non eccedenza ai requisiti; una descrizione delle categorie di interessati e delle categorie di dati personali coinvolti.

  • Principio Responsabilizzazione - Accountability.

    Il Regolamento sancisce il principio di “accountability”, ovvero l’obbligo di rendicontazione per cui l’Azienda dovrà dimostrare, fattivamente e concretamente, l’adozione di politiche privacy e misure adeguate in conformità al Regolamento. Il nuovo Regolamento recepisce tale principio all’art. 22, il quale prevede che, tenuto conto della natura, del campo di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il responsabile del trattamento mette in atto misure “tecniche (informatiche) e organizzative adeguate per garantire – ed essere in grado di dimostrare – che il trattamento dei dati personali è effettuato conformemente al Regolamento”. Il Regolamento introduce un altro importante elemento di novità prevedendo la possibilità per il titolare del trattamento di ricorrere ad organismi di certificazione (art. 42), al fine di dimostrare il rispetto agli obblighi derivanti dal Regolamento stesso.

  • Quando un trattamento è lecito?

    La leicità del trattamento è uno dei punti cardini sia del D.Lgs. 196/03 sia del nuovo Regolamento 679/2016. Si tratta di un concetto chiave per essere autorizzati a trattare dati. Per essere considerato lecito un trattamento deve avere almeno una delle seguenti condizioni Avere il consenso dell’interessato Essere regolato da un contratto Avere un obbligo legale Salvaguardare interessi vitali e di incolumità Essere di interesse pubblico connesso all’esercizio di pubblici poteri Essere di legittimo interesse del titolare

  • Pubblicazioni sui Social: permessi e divieti

    Si commette un illecito trattamento di dati personali nell’ipotesi più frequente di condivisione, sul profilo Facebook, di fotografie e filmati in cui sono presenti altri soggetti senza che questi ne abbiano autorizzato la pubblicazione. Il consenso a farsi fotografare non contiene anche il permesso alla pubblicazione del relativo scatto, ossia si può autorizzare una persona a scattare la foto, ma non è detto che ciò implichi anche assenso a farla apparire pubblicamente su Facebook. 

    La pubblicazione di una foto che ritrae una persona non famosa richiede l’autorizzazione del diretto interessato. A meno che la pubblicazione sia per uso giornalistico, nella foto non ci siano dei minori e non fornisca informazioni che possano ledere il trattamento dei dati sensibili di quella persona (stato di salute, credo religioso, orientamento politico, ecc). Serve l’autorizzazione di quel soggetto anche per pubblicare una foto su Facebook a fini promozionali, pubblicitari o di merchandising. 

    Ecco alcuni esempi di foto che non posso pubblicare su Facebook: un’immagine in cui una persona non famosa sia riconoscibile e visibile da un pubblico indistinto e non controllabile senza l’autorizzazione del soggetto interessato; un’immagine che mostra il volto di un minore, visibile da un pubblico indistinto e non controllabile, senza l’autorizzazione dei genitori; un’immagine che ritrae una persona non famosa isolata dal contesto e senza l’autorizzazione dell’interessato; un’immagine che ritrae una persona non famosa anche in una porzione piccola della foto (ripresa da lontano) ma con il volto riconoscibile. 

    Alcuni esempi delle foto che posso pubblicare su Facebook senza chiedere l’autorizzazione di persone estranee: l’immagine di una persona non famosa il cui volto è riconoscibile ma inserito in un contesto la cui visione è limitata ad un pubblico circoscritto ed identificato (ad esempio visibile da una cerchia ristretta di amici e non a chiunque visiti la mia pagina). 

    In questo caso si può parlare non di pubblicazione ma di uso privato della foto; l’immagine di un luogo pubblico o di un evento in cui una o più persone siano riconoscibili purché non siano determinanti all’economia della foto, cioè che non siano in primo piano ma ritratte in modo accidentale (ad esempio: fotografo un monumento e nell’immagine si vedono dei passanti ritratti per caso); l’immagine di persone isolate da un contesto ma il cui volto non è riconoscibile; l’immagine di una parte del corpo di un’altra persona che non sia il volto.
    La legge, infatti, tutela la privacy del volto, non di altri dettagli che una persona qualunque non sarebbe in grado di identificare; l’immagine di un minore il cui volto non è riconoscibile; l’immagine la cui pubblicazione sia connessa a finalità normalmente estranee a chi pubblica su Facebook. Si tratta di finalità di giustizia, di polizia, scientifiche, culturali o didattiche.

  • Amministratore di sistema

    Iniziamo precisando che la tematica "Amministratori di sistema" è stata sviluppata dal Provvedimento in materia dell’Autorità Garante italiana del 25/11/2008 (e s.m.i. del 25/9/2009) e il GDPR non scende su questo tema specifico. Per cui gli obblighi in materia continueranno sempre ad essere i seguenti (per il momento): E’ obbligo per il Titolare designare individualmente i singoli amministratori di sistema, a mezzo di un atto che deve elencare analiticamente gli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

    I titolari sono tenuti a riportare in un documento interno gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad esse attribuite.
    Il Provvedimento richiede che, nel caso in cui i servizi di amministrazione di sistema siano esternalizzati, l’elenco di cui sopra sia conservato, indifferentemente, dal titolare o dal responsabile esterno del trattamento (cioè dall’outsourcer) Il Titolare deve adottare sistemi idonei alla registrazione degli accessi logici da parte degli amministratori ai sistemi di elaborazione e agli archivi elettronici. L’accesso di ciascun amministratore (access log), quindi, deve essere registrato e conservato per almeno 6 mesi, con caratteristiche di completezza, integrità ed inalterabilità e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto. 

    Qualora gli amministratori, nell’espletamento delle proprie mansioni, trattino dati personali dei lavoratori, questi ultimi hanno diritto di conoscere l’identità dei predetti. In tal caso, è fatto onere al Titolare di rendere noto ai lavoratori dipendenti detto loro diritto Case history pratico: a meno che la società Pippo SRL non abbia firmato un contratto di amministratori di sistema, la vostra attività sistematica di supporto ai sistemi IT aziendali non rientra nelle mansioni come Incaricati perché non trattate alcun dato del cliente. 

    La cosa sarebbe diversa se voi faceste stoccaggio dei dati dei vostri clienti presso la vostra sede per attività di supporto spot o sistematico, come ad esempio, portate via una macchina per travasare i dati da un hard disk ad un altro e rimettete operativa la macchina non state trattando dati.. non trattate alcun dato, quindi non siete incaricati. È particolarmente consigliato essere indicati come Data Processor Esterni dove nella sezione "Note" indicherete tutte le attività che svolgete presso il vostro cliente. 

    A meno che non venga nominata una persona fisica esterna sotto contratto della vostra società come amministratore di sistema, il 90% delle volte la figura di amministratore di sistema viene nominata una persona interna (spesso il titolare) che altro non è che la persona che regolamenta i privilegi in azienda, le password, e i sistemi IT da adottare. Per quanto riguarda la registrazione degli accessi, bisogna saper distinguere nel contesto aziendale gli ambiti in cui diventa necessario inserire un software di Access Log e quando no. Ad esempio: su un utente dove è già stata fatta una regolamentazione dei privilegi per il suo PC, con accesso dell'account limitato con password, base di dati presenti definite dall'amministratore di sistema, un sistema di AccessLog si può evitare in quanto è già stato circoscritto il raggio d'azione dell'utente e sappiamo che sarà sempre e solo lui a lavorare quelle banche dati (esempio la posta della propria postazione).

    Laddove più persone hanno accesso su certe banche dati diventa opportuno registrare gli accessi di Log-on e Log-Off di ciascuna postazione che può accedere a quella banca dati (esempio quelle postazioni che possono raggiungere cartelle condivise). Molto spesso per chi ha dei gestionali in Cloud è la software house che sta integra sistemi di AccessLog al Database... 
    Sempre tornando su chi lavora in ambienti condivisi seppur ci sia già una regolamentazione a monte dei privilegi delle postazioni è opportuno ad adottare un sistema di AccessLog sulle postazioni che possono raggiungere quelle aree condivise. Spesso il caso più ricorrente in cui viene fatta la registrazione degli AccessLog rimane la postazione Server dove altri Data Processor Esterni accedono (spesso da remoto) e diventa essenziale tenerne traccia dato che potenzialmente possono accedere a banche dati.

  • Quando è necessario fare domanda per installare la videosorveglianza?

    E' necessario presentare domanda all'ispettorato del lavoro per installare la videosorveglianza quando:

    • Quando ci sono dipendenti e viene ripresa l’attività lavorativa (a prescindere se l’impianto registra o se è in sola visualizzazione);
    • Quando non sono stati eletti rappresentanti sindacali aziendali (RSA) o rappresentanti sindacali unitari (RSU);
    • Quando sono stati eletti rappresentanti sindacali aziendali (RSA) o rappresentanti sindacali unitari (RSU) ma non è stato raggiunto accordo col titolare aziendale;
  • A chi deve essere presentata la domanda per installare la videosorveglianza?

    Il modulo va spedito all'Ispettorato Territoriale del Lavoro della provincia di riferimento in cui è situata la sede per cui si richiede l'autorizzazione dell'impianto e lo deve spedire compilato alla pec di riferimento oppure è possibile recarsi personalmente agli uffici dell'Ispettorato nel caso si desideri consegnare a mano la pratica.

    Ulteriori informazioni di contatto è possibile trovarle sul sito web dell'Ispettorato Territoriale del Lavoro.

  • Come si deve gestire la cartellonistica della videosorveglianza?

    E’ necessario posizionare i cartelli in corrispondenza delle aree sottoposte a sorveglianza e devono riportare gli estremi del Titolare (è preferibile mettere i dati del Titolare anziché del Responsabile.)

    Ricordiamo inoltre che i cartelli devono essere ben visibili in orario notturno e posizionati prima del raggio d'azione delle telecamere in modo tale che l'interessato sappia che sta per entrare in un'area sorvegliata prima che venga ripreso.

    Infine ricordiamo che nel cartello deve essere dichiarato se viene effettuata la sola rilevazione delle immagini (indicata con la dicitura in fondo al cartello "La rilevazione è effettuata da... per fini...") oppure se le telecamere registrano le riprese video (indicata per esempio con la dicitura "La registrazione è effettuata da... per fini...").

  • Perchè lavoratori volontari non devono essere censiti nè come Data Handler nè come Data Processor?

    Dal punto di vista del Regolamento GDPR coloro che collaborano senza scopi di lucro (quindi per finalità mutualistiche) anche se maneggiano dati personali non sono da censire nè come incaricati del trattamento (data handler interni / data handler esterni) nè come responsabili del trattamento (data processor interni / data processor esterni) in quanto privi di responsabilità sui dati stessi. Concludendo, i volontari non sono oggetto di censimento.

  • Quali sono i termini di notifica delle violazioni di dati personali?

    A partire dal 25 Maggio 2018, tutti i titolari dovranno notificare all'Autorità di controllo le violazioni di dati personali di cui vengono a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma soltanto se ritengono probabile che da tale violazione derivini rischi per i diritti e le libertà degli interessati. Pertanto, la notifica all'Autorità dell'avvenuta violazione non è obbligatoria, essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta, al titolare. I contenuti della notifica all'Autorità della comunicazione gli interessati sono indicati, agli art. 33 e 34 del Regolamento. Tutti i titolari del trattamento dovranno in ogni caso documentare le violazioni di dati personali subite, anche se non notificate all'Aurorità di controllo e non comunicate agli interessati, nonchè le relative circostanze e conseguenze e i provvedimenti adottati.

  • Come comportarsi nel caso in cui il dipendente si rifiuti di firmare la lettera di nomina?

    L'accettazione della nomina ad incaricato è implicita nell'assegnazione di un dipendente ad una specifica mansione:

    Art. 30 (Incaricati del trattamento)

    1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
    2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.

    Per esempio, un impiegato amministrativo è assunto per effettuare le registrazioni in contabilità, le quali comportano necessariamente il "trattamento" di dati personali di clienti e fornitori, ed il medesimo impiegato rifiuta la nomina ad incaricato, viene meno il presupposto contrattuale in base al quale era stato assunto e quindi non è in grado di svolgere la propria mansione specifica; in sostanza rifiutarsi di firmare la lettera di nomina come data handler significa non poter svolgere le funzioni di incaricato, e quindi rifiutarsi di fare ciò per cui si viene retribuiti. Ciò può legittimamente portare alla recessione del contratto di lavoro.

  • Chi fornisce il servizio di Web Hosting deve essere nominato Responsabile del trattamento?

    Chiunque gestisca un sito web deve tenere presente che il servizio di web hosting, del quale si serve, è giuridicamente il responsabile del trattamento dei dati in quanto chi fornisce il servizio di Web Hosting elabora i dati per conto del titolare. Ciò comporta innanzitutto la necessità di un vero e proprio contratto scritto (o equivalente) tra titolare e fornitore del servizio di web hosting, nel quale sarà precisato cosa può fare il fornitore di web hosting con i dati e quali misure di sicurezza (tecniche e organizzative) deve predisporre, tenendo conto che devono essere adeguate al rischio valutato. Il fornitore del servizio di Web Hosting dovrà, ovviamente, attenersi alle istruzioni di cui al contratto, anche se rimane una certa discrezionalità, ad esempio nella scelta degli strumenti tecnici ed organizzativi più adatti. Si tratta di un punto fondamentale, perché se il fornitore del servizio di Web Hosting va oltre le istruzioni diventa data controller (titolare) con tutte le conseguenze del caso. 

    Il fornitore del servizio di Web Hosting deve conservare il registro dei trattamenti effettuati per conto del cliente (titolare), nel quale deve includere il nome e i dati di contatto dei titolari del trattamento dati, i suoi responsabili ed eventuali incaricati, le categorie dei dati trattati, gli eventuali trasferimenti internazionali di dati, e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate. Dalla tenuta del registro in teoria sarebbero esentate le imprese con meno di 250 dipendenti, ma le esenzioni sono particolarmente stringenti e difficilmente applicabili ad un hosting. 
    Il fornitore del servizio di Web Hosting, inoltre, ha l'obbligo di notificare al titolare le eventuali violazioni dei dati. E' buona prassi, quindi, inserire tale obbligo anche nel contratto (che diventerà violazione legale e contrattuale). Poiché l'obbligo a carico del titolare di notificare la violazione agli interessati scatta a partire dal momento in cui ne viene a conoscenza (tramite la comunicazione da parte dell'hosting, in questo caso), si può utilizzare lo stesso termine del GDPR (72 ore). 
    Il titolare comunque è responsabile nei confronti delle autorità per eventuali violazioni commesse dal fornitore del servizio di web hosting stesso. 

    Ne segue che il web hosting è responsabile del trattamento con riferimento ai soli trattamenti realizzati per conto del titolare, cliente dell'hosting. Ma se il fornitore del servizio di web hosting va oltre i limiti del mandato, trattando i dati al di là delle istruzioni ricevute, ne diventa contitolare del trattamento. 

    Nel caso in cui ci si serve di un web hosting che si trova al di fuori dello Spazio Economico Europeo (SEE), siamo in presenza di un vero e proprio flusso transfrontaliero dei dati.

  • In cosa consiste il Principio di correttezza del trattamento?

    • Il principio di correttezza prescrive che il trattamento deve essere trasparente nei confronti degli interessati ossia: i dati devono essere trattati per scopi determinati, espliciti e legittimi, e senza scorrettezze o raggiri nei confronti degli interessati, come ad esempio potrebbe essere un'informazione confusa o parziale. 

      Quello della trasparenza non è solo un principio fondamentale del trattamento, ma anche un vero e proprio diritto dell'interessato. Devono essere trasparenti, e corrette le modalità di raccolta dei dati e di utilizzo degli stessi. Gli interessati devono essere informati in merito alle finalità del trattamento, alle modalità del trattamento e all'indirizzo del Data Controller, prima che si avvii il trattamento stesso. Le modalità del trattamento devono essere esplicitate in maniera comprensibile in modo che gli interessati siano in grado di capire cosa accadrà ai loro dati. 

      L'interessato deve avere a disposizione una procedura efficace e accessibile per consentirgli di ottenere l'accesso ai suoi dati in un tempo ragionevole, e quindi di conoscere se e quali dati sono detenuti dal Data Controller. 

      Qualsiasi trattamento occulto o segreto deve, quindi, ritenersi illecito. Il Data Controller e il Data Processor devono garantire agli interessati che i dati saranno trattati secondo liceità e correttezza e in modo da conformarsi, per quanto possibile, alla volontà degli interessati stessi.

  • Posso elaborare un documento come il vecchio DPS?

    • Ai fini dell'adempimento al Regolamento GDPR non esiste un documento analogo al DPS, considerato che si rende necessario elaborare le lettere di nomina e i mansionari per i data handler, le lettere di nomina e mansionari per i data processor esterni, le informative e consenso, il Registro dei Trattamenti e Privacy Impact Assessment (PIA), la Policy di Sicurezza, così come l'archiviazione di tutta la la documentazione privacy estrema.

  • Chi è il Comitato Europeo?

    Il Comitato Europeo per la protezione dei dati è l'organismo dell’UE incaricato dell’applicazione del regolamento generale sulla protezione dei dati, ed è composto dal responsabile di ciascuna autorità per la protezione dei dati e dal Garante europeo della protezione dei dati (o dai loro rappresentanti). Può fare da consulente alla Commissione europea in merito a qualsiasi questione relativa alla protezione dei dati personali nell’Unione.

    Possiamo quindi definire questo organismo l’erede del “Gruppo Ex Art. 29”, istituito appunto dall’art. 29 della Direttiva 95/46, la cui attività consultiva e indipendente, è stata principalmente quella di assicurarsi che le autorità di controllo nazionali seguissero interpretazioni comuni della normativa europea in materia di privacy.

  • Quando l'azienda può definirsi "compliance" ?

    L'azienda può definirsi compliance quando risulta conforme alle regole e disposizione del GDPR, nonchè alle normative cogenti. Oltre a rafforzare la sicurezza dei dati dei clienti, il GDPR prevede che, in caso di violazione della sicurezza, i clienti vengano informati entro 72 ore. Chiunque intenda operare nell'Unione Europea e/o lavorare con i dati dei suoi residenti dovrebbe verificare la propria conformità al GDPR. Questo significa identificare il rischio dei dati e rafforzare la tecnologia in modo da proteggerli adeguatamente. L'inadempienza implica che l'azienda non è compliance, e ciò comporterà sanzioni pari a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

  • Chi deve applicare il Regolamento Europeo 679/2016?

    Il Regolamento Europeo 2016/679 è la normativa per la protezione della privacy delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tra le misure privacy da adottare nel rispetto del Regolamento Europeo, c'è quella di redigere e conservare opportune documentazioni quali i Registri delle attività di trattamento (nel caso di imprese o organizzazioni con meno di 250 dipendenti), ai sensi dell'art. 30, in cui vengano riportare tutte le attività di trattamento dei dati svolte sotto la responsabilità del titolare o del responsabile.
    Viene richiesto anche di cooperare con l'autorità di controllo competente notificando qualsiasi violazione dei dati personali sia alla stessa sia al diretto interessato entro 72 ore dal momento in cui se ne è venuti a conoscenza, senza ingiustificato ritardo ai sensi dell'art. 33.

  • Perchè una riforma sulla Privacy?

    L'applicazione del Regolamento Privacy in tutti gli Stati Membri permette che la medesima normativa sia contemporaneamente in vigore in tutti gli stati dell'Unione Europea.

  • Come va applicato dalle aziende?

    Il Regolamento GDPR 679/2016 introdurrà nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento dei dati personali. Il Regolamento andrebbe vissuto dalle aziende non come una serie di "adempimenti", ma come una serie di "strumenti" e di "tutele" a vantaggio di chi tratta i dati personali. Quindi non solo privacy, ma anche sicurezza informatica.

  • Diritto all'oblio: cosa tutela?

    Con l'applicazione in tutti gli Stati Membri del Regolamento GDPR 679/2016, ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime) come previsto dall'art. 17 del GDPR stesso. Questo potrà accadere ad esempio in ambito web quando un utente richiederà l'eliminazione dei propri dati che sono in possesso di un social network o di un altro qualsiasi servizio web.

  • Qual è la carenza percepita sulla protezione dei dati personali ?

    La frammentazione delle modalità di applicazione della protezione dei dati personali nel territorio dell'Unione Europea, e l'assenza di una chiara tutela globale dei dati personali, incrementa la sfiducia dei consumatori verso i servizi online, rischiando di rallentare lo sviluppo di applicazioni tecnologiche e innovative.

    Chi è il Data Protection Officer (DPO o RPD)

  • Chi può svolgere il ruolo di DPO (o RPD) ?

    Il DPO (o RPD) deve essere un consulente esterno capace di assolvere i propri compiti in piena autonomia e indipendenza, sulla base di un CONTRATTO DI SERVIZI stipulato con le aziende per le quali ricopre la nomina di DPO. Esso può anche essere un dipendente della società titolare del trattamento ma si tratta di una scelta sconsigliabile dato il requisito di autonomia funzionale ed operativa che mal si concilia con un rapporto di lavoro subordinato). Ad ogni modo, ogni azienda dovrà rendere noti i dati del proprio DPO o RPD, il quale dovrà essere contattabile facilmente da tutti i soggetti interessati (quindi il nominativo dovrà essere inserito nell’informativa privacy), nonché la sua nomina dovrà essere comunicato al Garante mediante la procedura telematica fornita sul sito del Garante stesso. Per poter svolgere le attività richieste, il Data Protection Officer (DPO o RPD) deve possedere un'adeguata conoscenza del Regolamento GDPR 679/2016 e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali che rispetti l’art. 37 comma 5. Deve inoltre predisporre un insieme articolato di misure di sicurezza finalizzate alla tutela dei dati personali, che garantisca l'osservanza del Regolamento Europeo e assicuri riservatezza e sicurezza (art. 39 del Regolamento GDPR 679/2016). In sintesi il DPO deve essere:
    • Un professionista competente in materia di gestione dei dati personali; 
    • Indipendente nello svolgimento delle sue funzioni; 
    • Privo di conflitti di interesse con le aziende per le quali lavora. 

    Ai sensi dell’art. 37, paragrafo 5, del Regolamento GDPR 679/2016, il DPO è designato in funzione delle sue qualità professionali, in particolare in base alla sua conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della sua capacità di assolvere i compiti di cui all'articolo 39 del Regolamento GDPR 679/2016. Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base a: 
    • I trattamenti di dati effettuati e in base alla protezione richiesta per i dati personali oggetto dei trattamenti stessi; 
    • Conoscenze specialistiche: il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento; 
    • Qualità professionali: l'articolo 37, paragrafo 5, del Regolamento GDPR 679/2016 non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO; tuttavia sono pertinenti al riguardo la conoscenza da parte dello stesso della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, nonchè un'approfondita conoscenza del GDPR. Proficua anche la promozione di una formazione adeguata e continua rivolta ai DPO da parte delle Autorità di controllo.E' utile la conoscenza dello specifico settore di attività e della struttura organizzativa dell’azienda. Infine, il DPO dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte con i sistemi informativi per la gestione e protezione dei dati; 
    • Capacità di assolvere i propri compiti: le qualità personali dovrebbero comprendere, per esempio, l'integrità ed elevati standard deontologici. Inoltre il DPO dovrebbe perseguire in via primaria l'osservanza delle disposizioni del Regolamento GDPR 679/2016. Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all'interno dell'azienda o dell'organismo, e contribuisce a dare attuazione a elementi essenziali del Regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la comunicazione delle violazioni di dati personali; 
    • Un'adeguata conoscenza del Regolamento GDPR 679/2016 e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali (art. 37 comma 5 Regolamento GDPR 679/2016). Deve inoltre predisporre un insieme articolato di misure di sicurezza finalizzato alla tutela dei dati che garantisca l'osservanza del Regolamento Europeo e assicuri riservatezza e sicurezza (art. 39 Regolamento GDPR 679/2016).



  • DPO: Il ruolo è compatibile con altri incarichi?

    Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

  • DPO: è sufficiente un DPO per gruppo imprenditoriale?

    Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all’art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di “raggiungibilità”, v. punto 2.3 delle linee guida in precedenza menzionate).

  • Sono obbligato a fare backup dei miei dati importanti?

    Si, soprattutto se parliamo di una attività professionale che tratta dati particolari sanitari e/o giudiziari. L’attuale normativa sulla Privacy, D.Lgs. n. 196/2003, prevede almeno il backup settimanale dei dati più importanti su un supporto informatico esterno e possibilmente non nello stesso luogo ove risiedono i dati principali

  • Ho bisogno di un computer moderno e potente per lavorare?

    Per un lavoro medio ed una utenza singola, potrebbe bastare un computer che però non superi i 5-7 anni massimo di vita. Ovviamente per un uso più professionale ed aziendale conviene, anche per motivi di sicurezza e compatibilità con nuove tecnologie, avere dei computer con circa 3 anni di vita e dimensionati per lo scopo Un buon consulente potrà consigliarvi prima di effettuare acquisti, magari in promozione, non adatti allo scopo prefissato od in alcuni casi addirittura difformi da quanto previsto da norme tecniche.

  • l gruppo di continuità è importante?

    usare un UPS, di adeguata potenza, per proteggere i computer è di estrema importanza Un UPS oltre a stabilizzare la corrente che arriva allungando la vita dei computer protegge da possibili sovracorrenti/sovratensioni che potrebbero danneggiare sia il PC che l’hard disk che contiene i dati. Inoltre in caso di black-out, se adeguatamente configurato, permette lo spegnimento regolare del PC in breve tempo, salvaguardando i dati.

  • Cosa significa consenso?

    Il consenso è la libera indicazione della volontà del soggetto interessato di accettare esplicitamente una specifica operazione di trattamento relativa ai propri dati personali, di cui era stato informato in anticipo da colui che ha il potere di decidere su tale elaborazione (il Titolare del trattamento). Alcuni tipi di trattamento possono essere eseguiti senza il consenso dell'Interessato, ai sensi della sezione 24 del Codice italiano in materia di protezione dei dati. Il Regolamento UE 679/2016 tratta  negli articoli  7 e 8 il ""consenso"" quale onere della prova della sussistenza del consenso al trattamento prestato dall'interessato è in capo al titolare. In qualsiasi momento l'interessato può revocare il proprio consenso, senza che questo pregiudichi la liceità del trattamento già effettuato precedentemente. Il trattamento dei dati del minore è lecito solo se questo abbia almeno 16 anni (in alcuni stati anche 13), altrimenti è necessario il consenso prestato o autorizzato dal titolare della responsabilità genitoriale.

  • Cosa significa informativa?

    L'informativa è un avviso contenente le informazioni che il Titolare del trattamento è tenuto a fornire a tutti gli interessati, sia per via orale che per iscritto, in modo chiaro conciso, in merito a quando e come i dati vengono raccolti sia direttamente dall'Interessato che tramite terzi, e come gli stessi vengono utilizzati.

  • Cosa significa pseudonimizzazione?

    Il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti ad un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona identificata o identificabile

    l'ubicazione o gli spostamenti della persona fisica.

  • Il regolamento è composto da quanti articoli?

    Il Regolamento UE 679/2016 è composto di 99 articoli suddivisi in 11 Capi.
    ·         Capo I – Disposizioni generali 
    ·         Capo II – Principi 
    ·         Capo III – Diritti dell'interessato 
    ·         Capo IV – Titolare del trattamento e responsabile del trattamento 
    ·         Capo V – Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali 
    ·         Capo VI – Autorità` di controllo indipendenti 
    ·         Capo VII – Cooperazione e coerenza 
    ·         Capo VIII – Mezzi di ricorso, responsabilità` e sanzioni 
    ·         Capo IX – Disposizioni relative a specifiche situazioni di trattamento 
    ·         Capo X – Atti delegati e atti di esecuzione 
    ·         Capo XI – Disposizioni finali

    Il Regolamento 679/16 si apre con alcune disposizioni generali, suddivise in 2 CAPI: 

    ""Disposizioni"" generali che comprendono gli articoli da 1 a 4 e sono dedicate a individuare: 
    ·         oggetto e finalità del Regolamento; 
    ·         ambito di applicazione per materia; 
    ·         ambito di applicazione per territorio; 
    ·         definizioni. 

    E ""Principi"" che comprendono gli articoli da 5 a 11 e disciplinano: 
    ·         principi generali; 
    ·         liceità; 
    ·         consenso; 
    ·         consenso dei minori; 
    ·         particolari categorie di dati;
    ·         trattamenti relativi a condanne penali e reati

  • Chi è il titolare beneficiario del diritto alla protezione dei dati?

    Il titolare/beneficiario del diritto alla protezione dei dati è la persona fisica. Il regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, compresi il nome e la forma della persona giuridica e i suoi dati di contatto (considerando n. 14); Il regolamento non si applica ai trattamenti di dati personali solo quando si è in presenza di trattamento per finalità esclusivamente personali o domestiche (art,2, co. 2, lett. c ); considerando n. 18 e 27) La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla tutela non armonizzata delle persone fisiche con riguardo al trattamento dei dati personali. Il trattamento può essere interamente, parzialmente o non automatizzato. Per il trattamento dei dati effettuato da istituzioni, organi, uffici e agenzie dell'Unione, si applica il Regolamento 45/2001. La protezione dei diritti della persona è obiettivo da garantire soprattutto quando il dato personale passa ""di mano in mano"". Gli stessi ""considerando"" del Regolamento ritengono opportuno che le persone fisiche debbano avere il controllo dei dati personali. La circolazione delle informazioni è elemento necessario dello sviluppo e del progresso economico.

  • Come ci si comporta con i trattamenti particolari e quelli relativi a condanne penali?

    Secondo il Regolamento UE 679/16 alcune categorie di dati sono soggetti a regole stringenti, per esempio i trattamenti particolari e relativi a condanne penali (art. 9, 10).  In particolare, per i dati personali relativi a condanne penali e reati o connesse misure di sicurezza, può avvenire soltanto sotto il controllo dell'autorità pubblica o dietro autorizzazione del diritto dell'Unione o degli Stati Membri. Alcune categorie particolari di dati (sesso, origine razziale/etnica, convinzioni religiose e appartenenza politica, etc.) sono soggette a regole stringenti, in mancanza delle quali è vietato ogni trattamento: 
    ·         Consenso esplicito; 
    ·         Tutela di un interesse vitale; 
    ·         I dati trattati sono resi pubblici dall'interessato;
    ·         Motivi di interesse pubblico;

  • l termine incaricato si usa ancora?ou work with?

    A differenza che nel Codice Privacy, il nuovo Regolamento UE non utilizza espressamente il termine «incaricato», ma fa confluire in «terzo» chiunque sia sotto l'autorità diretta del Titolare o del Responsabile. (art. 10, n. 10).

  • Che cos’è il diritto all’oblio?

    Particolare importanza viene data al diritto all’oblio (art. 17) che è: 
    ·         diritto di veder cancellati i propri dati personali presso il titolare che li tratta 
    ·         diritto di veder cancellati i rinvii a questi dati, che potrebbero apparire sui motori di ricerca più diffusi Il diritto ad «essere dimenticati» deve concordarsi con il diritto di informazione e di libera espressione (si pensi ad un fatto di cronaca in cui è coinvolto l'interessato), e in generale con l'interesse pubblico e con eventuali obblighi legali. 
    Pertanto l'interessato non sempre potrà richiedere la cancellazione immediata dei dati che lo riguardano (riportati ad esempio da un sito web) fintanto che tali dati avranno una rilevanza pubblica, stante ovviamente la correttezza degli stessi. L'interessato ha diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano se sussiste uno dei seguenti motivi: 
    ·         I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti 
    ·         L'interessato revoca il consenso 
    ·         L'interessato si oppone al trattamento 
    ·         I dati personali sono stati trattati illecitamente 
    ·         I dati personali devono essere cancellati per adempiere ad un obbligo legale

    Il diritto alla cancellazione non si applica se il trattamento è necessario:
    ·         all'esercizio del diritto alla libertà di espressione e di informazione 
    ·         Per l'adempimento all'obbligo legale che richieda il trattamento previsto dal diritto dell'unione o dello stato membro cui è soggetto il titolare del trattamento, o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri 
    ·         Per motivi di interesse pubblico nel settore della sanità pubblica 
    ·         Ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici 
    ·         Per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria 

    L'interessato ha il diritto di ottenere la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
    ·         Contesta l'esattezza dei dati personali. 
    ·         Il trattamento è illecito e l'interessato si oppone alla cancellazione e chiede, invece, che ne sia limitato l'utilizzo. 
    ·         Benchè il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato in sede giudiziaria. 
    ·         l'interessato si è opposto al trattamento, in attesa della verifica in merito alla eventuale verifica della prevalenza dei motivi legittimi del titolare del trattamento. 

    Se il trattamento è limitato, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell'interessato o per l'accertamento di un diritto in sede giudiziale, o per motivi di interesse pubblico

  • Cosa sono i cookie?

    I cookie sono delle stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale o browser, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Questi possono essere di prima e terza parte.

  • Quali sono gli obblighi in caso di utilizzo di cookie di terze parti?

    In presenza di un sito internet contenente cookie analitici di terze parti dove sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già si dispone è sufficiente la sola informativa dei cookie, nel caso in cui non vengano adottati strumenti che riducono il potere identificativo dei cookies o la terza parte incrocia le informazioni raccolte con altre di cui già si dispone, sarà necessario predisporre l'informativa, inserire un banner con informativa breve e notificare al Garante Privacy l'uso di questi cookie. In presenza di ""profilazione"" con cookie analitici di terza parte è necessaria l'informativa e il banner.

  • E' obbligatorio tenere un registro dei cookie?

    La tenuta di un registro del consenso degli utenti per l'accettazione  dei cookie nel proprio dispositivo è obbligatorio nel momento in cui è presente l'obbligo di inserimento del banner ed è necessario tenerlo in modo tale che, in caso di richiesta da parte di un visitatore, ci sia la possibilità di prenderne visione e che sia possibile cancellare i dati del visitatore. Nel caso in cui nel sito siano presenti solo cookie tecnici, analitici di prima parte e di terza parte (nel momento in cui vengono anonimizzati i dati e non c'è un incrocio degli stessi da parte della terza parte) non sussiste l'obbligo di tenuta del registro del consenso.

  • In che modo il GDPR si occupa della videosorveglianza?

    Anche il Regolamento 679 si occupa di videosorveglianza stabilendo che il titolare del trattamento è tenuto a procedere con un preventivo data protection impact assesement (DPIA) ex art. 35 Regolamento UE 2016/679 nelle ipotesi di sorveglianza sistematica su larga scala di zona accessibile al pubblico.

  • In che modo deve essere effettuata la videosorveglianza?

    Chi fa uso della videosorveglianza, deve effettuare, nel rispetto del principio di proporzionalità, la scelta e le modalità della ripresa e la dislocazione delle telecamere affinché le stesse registrino i dati pertinenti e non eccedenti allo scopo della ripresa stessa. Ad esempio l'angolo di visuale della ripresa deve essere limitato ai soli spazi di esclusiva pertinenza, escludendo ogni registrazione audio-video di aree comuni, o ancora i soggetti interessati dalle riprese devono essere informati con apposita cartellonistica (visibile anche in orario notturno) e avvisati che stanno accedendo ad una zona video sorvegliata

  • Come si applica la normativa della videosorveglianza per le persone fisiche?

    La "videosorveglianza" che le persone fisiche fanno per scopi esclusivamente personali (videocitofono, sistema di ripresa di sicurezza ecc) se non viene condivisa/diffusa sistematicamente con terzi e non vengono rese pubbliche le riprese, non si applica la normativa Privacy.

  • Che tipo di vantaggi comporta per una azienda la corretta applicazione del GDPR 2016/679?

    La capacità di protezione dati è sinonimo di buona impresa, di competitività e buona reputazione. Un'azienda che non è in grado di proteggere il proprio patrimonio informativo tendenzialmente tenderà a essere emarginata dal mercato perché da una parte sarà considerata vulnerabile ad attacchi informatici e furti di identità, dall'altra avendo indebolito le garanzie offerte su questo terreno ai clienti, risulterà meno competitiva.

  • Le caselle di posta sono da considerarsi come dati personali?

    La Commissione Europea chiarifica che gli indirizzi e-mail sono, generalmente, classificati come dati non personali, tuttavia qualora contengano invece il nome di una persona allora il loro status cambia, in quanto il dato è riconducibile a una persona determinata, e dunque non è considerato più anonimo. Quindi, se l’indirizzo email è, ad esempio, info@azienda.com è da considerarsi “dato non personale”, se invece è nome.cognome@azienda.com diventa “dato personale”.

  • I dati identificativi riferiti a ditte individuali sono dati personali ai sensi della normativa privacy? Se vengono trattati, deve essere fornita l'informativa privacy?

    L’art. 1 del Reg. UE n. 2016/679/UE al comma 1 precisa che: “il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati”. Il regolamento (GDPR) non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare alle imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto; in tale caso, le disposizioni del regolamento troveranno applicazione con riferimento al trattamento dei dati personali del rappresentante legale. Pertanto, poiché i dati delle ditte individuali sono riferiti a persone fisiche, si applica la normativa privacy e bisognerà rendere l’informativa ai clienti persone siche (interessati) e ottenere da questi il consenso espresso per il trattamento dei dati.

  • Cosa deve fare il medico nel suo studio per essere in regola con la privacy?

    Ci sono alcuni adempimenti che il medico è tenuto a fare per ottemperare alle norme sulla privacy. Il primo e più importante è la raccolta del consenso previa informativa sul trattamento dei dati personali.

  • Questo consenso firmato dal paziente è “una tantum” o va rinnovato periodicamente?

    Il consenso del paziente al trattamento dei dati sanitari deve essere raccolto all’inizio del rapporto di cura e vale a tempo indeterminato. Se il medico intende utilizzare i dati del paziente per finalità diverse e ulteriori rispetto a quelle originarie (per esempio per sperimentazione scientifica) deve integrare l’informativa e acquisire un ulteriore consenso specifico. Ma se non vi sono queste situazioni particolari, il consenso vale una volta per tutte.

  • consenso di cui stiamo parlando equivale al consenso al trattamento sanitario?

    Il consenso di cui stiamo parlando riguarda esclusivamente l’autorizzazione che il paziente dà al medico ad utilizzare i suoi dati personali per finalità di diagnosi e cura. Tutt’altra cosa è il consenso del paziente all’atto medico, che non riguarda la legge sulla privacy, bensì l’art. 32 della Costituzione, a norma del quale nessuno può essere obbligato ad un trattamento sanitario contro la sua volontà

  • Se medico si avvale di un ragioniere e/o commercialista per la tenuta della sua contabilità, deve fare qualcosa per tutelare la privacy dei pazienti?

    Sì, anche al consulente fiscale va affidata la formale responsabilità per il trattamento dei dati.

  • Una volta espletate queste procedure, cosa deve fare il medico?

    Una volta raccolto il consenso dei pazienti e affidate ai collaboratori le rispettive responsabilità, il medico deve fare in modo che durante la sua quotidiana attività professionale i dati sanitari dei propri pazienti siano utilizzati, conservati e in definitiva trattati in modo adeguato, a seconda che vengano conservati su carta oppure archiviati su computer

  • E il personale di segreteria? Può accedere al computer e alle schede dei pazienti?

    Il personale di segreteria deve limitare l’accesso solo ai dati necessari per svolgere il proprio lavoro, per cui potrà sicuramente accedere ai dati personali dei pazienti come ad esempio l’indirizzo e il numero di telefono, ma non ha titolo per accedere ai dati sanitari dei pazienti. Anche in questo caso è necessario che l’accesso al computer sia effettuato con un nome utente e una password dedicata al personale di segreteria, in modo che il sistema limiti automaticamente l’accesso ai dati comuni e non a quelli sensibili.

  • Quali diritti ha il paziente diretto interessato?

    Il paziente diretto interessato ha diritto in ogni momento a sapere quali dati che lo riguardano sono in possesso del medico, ha diritto di verificare che tali dati siano esatti e corretti, ha diritto a chiedere la cancellazione in tutto o in parte dei dati che lo riguardano e ha diritto ad ottenere copia di tutti i dati che lo riguardano.

  • Il paziente ha diritto di chiedere al medico solo una copia degli atti o può pretendere di ottenere gli originali?

    Se il paziente a suo tempo ha consegnato al medico un documento sanitario (ad esempio una radiografia) e poi successivamente chiede che gli venga restituita, il medico deve consegnare lo stesso originale che aveva ricevuto dal paziente stesso. Se invece il paziente chiede la propria scheda sanitaria, può ottenerne una stampa o una fotocopia.

  • La consegna di documenti sanitari (ad esempio un certificato medico o una ricetta) deve farla materialmente il medico o può farlo anche il personale di segreteria?

    Può farlo anche il personale di segreteria, ma allora il documento sanitario deve sempre essere chiuso in una busta e spetterà al personale di segreteria identificare il soggetto che ritira la busta: se il diretto interessato o se un delegato. In quest’ultima ipotesi, dovrà acquisire la delega del diretto interessato.

  • Le buste chiuse contenenti i documenti sanitari possono essere messe a disposizione dei pazienti per il ritiro, ad esempio in uno scaffale della sala d’attesa dello studio?

    No, perché così facendo non si sa chi è il soggetto che ritira la busta e potrebbe anche succedere che il paziente (magari anche in buona fede) ritiri una busta che non è la sua. Per evitare questi rischi di indebita conoscenza di dati sanitari da parte di terzi non autorizzati, una efficace misura di sicurezza, ad esempio, è inserire le buste in appositi schedari ubicati non nella sala d’attesa dello studio, bensì nello spazio dedicato alla segreteria. In questo modo l’identificazione del soggetto e la consegna della busta è mediata dal personale di segreteria, che deve attenersi alle regole di tutela della privacy sopra descritte.

  • Il diritto alla privacy esiste anche per il paziente defunto?

    Sì perché il decesso dell’assistito non esime il medico dal dovere di tutelarne la riservatezza. Bisogna però ricordare che gli eredi del defunto subentrano in tutti i diritti del deceduto, per cui nei confronti di costoro il medico non può opporre il segreto

  • Il medico che cessa la propria attività come deve comportarsi?

    Vale quanto detto sopra: la cessazione dell’attività corrisponde alla cessazione del rapporto di cura. Da quel momento decorre la conservazione per 10 anni.

  • Cosa si intende per “Valutazione di Impatto” sulla protezione dei dati (VIP o in inglese PIA)?

    Ogni titolare del trattamento dei dati ha l’obbligo di effettuare una valutazione di impatto sulla protezione dei dati (Privacy Impact Assessment). Tale adempimento è richiesto in relazione ai trattamenti automatizzati con strumenti informatici, ivi compresa la profilazione, o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico. Sono esonerati da alcuni adempimenti, quelli più gravosi, solo alcune categorie tipo piccole PMI e chi tratta dati semplici, fermo restando però l’obbligo di adempiere a quelli di base obbligatori per chiunque tratta dati specie con strumenti informatici. Questo esonero non può essere applicato anche agli esonerati nel momento in cui però: “…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato”, il “trattamento non sia occasionale” o “includa il trattamento di categorie particolari di dati (sensibili)…o i dati personali relativi a condanne

  • Data Breach

    Importante novità introdotta dal Regolamento è l’obbligo da parte delle aziende e professionisti, in caso di violazione o perdita dei dati personali di notificare all’Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, l’avvenuta violazione dei dati degli interessati. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. Oggi l’obbligo di notifica della violazione è previsto solo in alcuni settori (provider telecomunicazioni); il Garante della Privacy lo scorso 24.5.2016 ha pubblicato un’infografica che offre un prospetto sintetico sugli attuali obblighi in caso di violazione dei data breach.

  • Il ruolo della formazione nel nuovo Regolamento

    Uno dei punti salienti che accomuna il D.Lgs. 196/03 al nuovo regolamento è sicuramente il ruolo cruciale della formazione di tutte le figure che interagiscono con il trattamento dei dati personali. Già nella 196, Allegato B – Disciplinare Tecnico in Materia di Misure Minime di Sicurezza veniva data grande importanza alla formazione continua del personale. 
    All’articolo 19 punto 6 (successivamente soppresso con la decadenza dell’obbligo di redazione del DPS) veniva dato grande risalto all’istruzione dei soggetti incaricati: 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu’ rilevanti in rapporto alle relative attivita’, delle responsabilita’ che ne derivano e delle modalita’ per aggiornarsi sulle misure minime adottate dal titolare. 

    La formazione e’ programmata gia’ al momento dell’ingresso in servizio, nonche’ in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Anche il nuovo regolamento pone l’attenzione sull’istruzione, in particolare su chiunque agisca per conto del titolare del trattamento, come si evince dall’ Art 32 paragrafo 4: 32.4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, […]. 

    La formazione è fondamentale in ogni ambito lavorativo. Come si istruisce il personale sul corretto utilizzo di un’attrezzatura di lavoro, si forma il personale anche sulle corrette misure per il trattamento dei dati personali. La formazione va intesa anche come misura di tutela per l’azienda per garantire la corretta applicazione della normativa privacy da parte di tutto il personale. La formazione è quindi obbligatoria, ed è compito del titolare formare i propri dipendenti. Un personale formato e preparato è in grado di affrontare qualsiasi situazione e trovare la giusta soluzione ad ogni problema.

  • Quando presentare e quando non presentare le informative

    L'informativa va generata per ogni trattamento di dati. L'obbligo di informare gli interessati va adempiuto prima o al massimo al momento di dare avvio alla raccolta dei dati. Non sussiste obbligo di fornire l'informativa se il trattamento riguarda dati anonimi (es. aggregati) o riguarda dati di enti o persone giuridiche (i cui dati non sono soggetti alla tutela prevista da Regolamento europeo).   

    Nel caso in cui i dati non siano raccolti direttamente presso l'interessato (art. 14 del Regolamento), l'informativa deve essere fornita entro un termine ragionevole, e comunque non oltre un mese dalla raccolta dei dati. Oppure va fatta al momento della comunicazione dei dati a terzi. 

    Non occorre informare l'interessato quando: 
    - l'interessato dispone già delle informazioni; 
    - comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; 
    - l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare; 
    - i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri. 

    In alcuni casi non è necessaria l'informativa, quando: 
    - i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; 
    - il trattamento è connesso allo svolgimento delle ""investigazioni difensive"" in materia penale (art. 38 norme di attuazione del c.p.p.) o alla difesa di un diritto in sede giudiziaria (a meno che il trattamento si protragga per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità o sia svolto per ulteriori scopi).

    .

  • Tempi di conservazione dei dati?

    Bisogna innanzitutto premettere che: 

    Ai sensi dell'art. 11, comma 1, lettera e) i dati personali oggetto di trattamento, che consentano l'identificazione dell'interessato, non possono essere conservati per un periodo di tempo superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

    La ratio della norma è collegata con l'art. 3 del Codice laddove è stato disciplinato il ""Principio di necessità nel trattamento dei dati"", per cui i dati personali o identificativi, qualunque sia la ragione della raccolta, debbano essere utilizzati solo se indispensabili per il raggiungimento delle finalità consentite. 
    Questa limitazione dello ""stato di necessità"" del trattamento di dati personali o identificativi non sussiste se detti dati possono essere trattati nell'anonimato o con identificazione ristretta. Quindi i confini del limite temporale del trattamento vanno ricercati nella natura dei dati trattati.

    Nel caso specifico delle strutture ricettizie come gli alberghi, i tempi di conservazione dipendendono quindi dalle seguenti finalità: Dal punto vi vista della trasmissione delle schede all’autorità di pubblica sicurezza. In questo    caso le schede possono essere distrutte fisicamente, non sussistendo alcuna ragione o obbligo di conservazione. Dal punto di vista fiscale, è notorio che l'addebito del servizio di alloggio deve essere documentato tramite fatture o ricevute, nelle quali vanno registrati i dati identificativi dei clienti.

    I documenti contabili devono essere conservati per 10 anni e, per altrettanto periodo così lungo di tempo, i dati rimangono in fase di trattamento, né il cliente può opporsi alla loro conservazione, dato che il gestore segue le direttive della legge. Dal punto di vista statistico, tali dati possono essere conservati solo se vengono anonimizzati.

  • Quando non è necessario fare domanda per installare la videosorveglianza?

    Non è necessario presentare la domanda per installare la videosorveglianza quando:

    • Quando non ci sono dipendenti;
    • Quando ci sono dipendenti, ma la videosorveglianza (a prescindere se in registrazione o sola visualizzazione) non riprende l’attività lavorativa;
    • Quando sono stati eletti rappresentanti sindacali aziendali (RSA) o rappresentanti sindacali unitari (RSU) e hanno raggiunto un accordo col titolare aziendale.
  • Dove devono essere collocati i monitor della videosorveglianza?

    Per quanto riguarda la collocazione dei monitor dell'impianto di videosorveglianza, non c'è una legge precisa che specifichi esplicitamente dove e come collocare i monitor (anche perché spesso si deve tener conto della dimensione e della struttura dell'azienda), ma bisogna considerare le leggi che regolano il trattamento delle immagini legate all'impianto di videosorveglianza: ciò impliaca che non è obbligatorio, ma fortemente consigliato collocare il/i monitor in zone in cui le immagini non siano visibili liberamente a chiunque. Inoltre, il posizionamento è un fattore di cui le Autorità tengono conto ai fini dell'autorizzazione per installare l'impianto di videosorveglianza stesso.

  • Quanto conservare le registrazioni della videosorveglianza?

    La conservazione delle immagini della videosorveglianza è di 24/48 ore (24 ore come “standard” e fino a 48 ore in caso di festività e chiusura degli uffici, e senza bisogno di deroghe per la conservazione fino a 48 ore).

    Per quanto riguarda il prolungamento fino a 7 giorni, tutte le aziende private (banche comprese) possono richiedere il prolungamento fino a 7 giorni, purché ci siano motivazioni serie (che in attività a rischio come quella delle banche ci sono) e la proroga va richiesta all’ispettorato del lavoro e non al Garante. Nel caso delle banche, quindi, la conservazione fino a 7 giorni non è “automatica”, bensì anche queste devono fare richiesta specifica che però nei loro casi è praticamente una formalità.

    Le aziende private possono chiedere all’ispettorato del lavoro di prolungare la conservazione fino a 7 giorni, specificando le proprie esigenze (che in questo caso non hanno ragione di esistere) ma fino a quel momento (e anche successivamente nel caso la richiesta venga respinta) dovranno sottostare all’obbligo delle 24/48 ore

  • Quali sono i criteri di liceità del trattamento?

    Il Regolamento GDPR conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di licietà del trattamento sono indicati all'art. 6 del Regolamento stesso, ossia adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, oblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi i cui dati vengono comunicati.

    Il consenso raccolto precedentemente al 25 Maggio 2018 resta valido se ha tutte le caratteristiche richieste dal Regolamento, in particolare occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste e dichiazioni rivolte all'interessato, per esempio all'interno di modulistiche.

  • Cosa si intende per Diritto di limitazione del trattamento?

    Si tratta di un diritto esercitabile non solo di violazione dei presupposti di liceità del trattamento, quale alternativa alla cancellazione dei dati stessi, bensì anche se l'interessato chiede la rettifica o si oppone al loro trattamento.Esclusa la conservazione ogni altro trattamento del dato di cui si chiede la limitazione è vietato a menoche ricorrano le altre circostanze (consenso dell'interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giudirica, interesse pubblico rilevante). Il diritto alla limitazione prevede che il dato personale sia contrassegnato in attesa di determinazioni ulteriori pertanto, è opportuno che i titolari prevedano nei propri sistemi informatici (elettronici o meno) misure idonee a tale scopo

  • Chi è il sub-responsabile del trattamento?

    Il responsabile del trattamento a sua volta può nominare responsabili di secondo livello, a meno che non sia vietato dalle istruzioni del titolare del trattamento. E' comunque il responsabile principale a rispondere di fronte al titolare del trattamento dell'operato dei sub-responsabili. Al sub-responsabile dovranno essere fornite le istruzioni, e dovrà operare nel rispetto degli obblighi imposti al primo responsabile del trattamento. E' il primo responsabile che risponde dell'inadempimento dei sub-responsabili, anche ai fini del risarcimento di eventuali danni causati dal trattamento, nei confronti del titolare, a meno che non riesca a dimostrare che il danno non è in alcun modo imputabile a lui. Per questo motivo il responsabile deve sempre avvisare il titolare della nomina o modifica di un sub-responsabile.

  • Quali sono le novità introdotte dal nuovo Decreto Lgs. 101/2018 ?

    Il Decreto:

    • Definisce in modo chiaro cosa si intenda per comunicazione e diffusione dei dati personali dei dati personali; individua nel Garante della privacy l’autorità incaricata del controllo e della promozione delle regole deontologiche in materia;
    • Stabilisce che il consenso al trattamento dei dati personali potrà essere espresso solo al compimento dei 14 anni  di età. Chi ha un’età inferiore necessita del consenso di chi esercita la sua responsabilità genitoriale. Il consenso poi deve essere richiesto dal titolare del trattamento in modo chiaro e semplice, facilmente comprensibile dal minore (Capo II art. 2 del Decreto);
    • Tutti gli organi giudiziari avranno l’obbligo di nominare il DPO e si precisano le limitazioni ai diritti degli interessati in relazione a ragioni di giustizia. Si rafforza il divieto di pubblicazione dei dati dei minori, e si prevede una relativa sanzione penale a riguardo;
    • Considera ovviamente rilevante l’interesse pubblico, che può portare ad utilizzare i dati personali di determinati soggetti;
    • Dovranno essere adottate misure adeguate di sicurezza, come tecniche di cifratura e di pseudonomizzazione a tutela del dato personale, misure di minimizzazione e le specifiche modalità per l’accesso selettivo ai dati;
    • Le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità;
    • E’ ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e protezione;
    • Al Garante viene assegnato il compito di scrivere le misure di garanzia per il trattamento di dati genetici, biometrici, sanitari;
    • Viene introdotto il concetto di diritto all’eredità del dato in caso di decesso, con l’introduzione di una norma che consente di disporre post mortem dei propri dati caricati nei servizi informativi delle società;
    • Viene data la possibilità (su autorizzazione dell’interessato) di comunicare i dati personali degli studenti universitari, per favorirne l’inserimento nel mondo del lavoro, la formazione e l’orientamento professionale; come forma di tutela, viene introdotto il reclamo, alternativo al ricorso in tribunale
  • In cosa consiste il Principio di esattezza dei dati?

    • I dati trattati non solo devono essere esatti, ma anche aggiornati, ed eventualmente corretti a richiesta dell'interessato nel caso in cui siano sbagliati. Ovviamente l'obbligo di trattare dati aggiornati non vuol dire che il Titolare del trattamento (Data Controller) abbia il diritto di accedere a nuove informazioni per poter aggiornare dati precedentemente raccolti. Così, ad esempio, se i dati sono utilizzati a fini di fatturazione, l'azienda non ha diritto di accedere all'anagrafe per aggiornare gli indirizzi di vecchi clienti allo scopo di inviare loro comunicazioni commerciali. In questo caso occorre un nuovo consenso per le comunicazioni commerciali e quindi si tratterà di una nuova raccolta. 

  • Come posso quantificare la "larga scala" ?

    Il concetto di “larga scala” è del tutto generico e si intende la gestione di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato. Ci sono però un gran numero di attività per le quali risulta impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati.

    In tali casi, nel definire i propri trattamenti ed i relativi campi di azione, è buona norma considerare:

    • il numero di soggetti interessati dal trattamento;
    • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
    • la durata del trattamento;
    • l’estensione geografica del trattamento.

    Invece, rientrano sempre nei trattamenti su larga scala le attività effettuate su:

    • dati relativi a pazienti svolte da un ospedale nell’ambito delle ordinarie attività;
    • dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino;
    • dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
    • dati personali da parte di un browser per finalità di pubblicità comportamentale;
    • dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
  • Cosa si intede per "archivio" nel GDPR ?

    Con il termine "archivio" si intende la raccolta di dati personali organizzati in un insieme ordinato e indicizzato (indipendentemente dal fatto che sia elettronico o manuale). Sono oggetto della normativa tutti i dati personali presenti in ARCHIVI ORGANIZZATI e INDICIZZATI, sia automatizzati che manuali. L’ordine è quindi l’elemento essenziale; il dato non ordinato (es. un appunto sulla scrivania) non viene preso in esame dalla normativa.

  • Quali sono i dati biometrici?

    I dati biometrici sono categorie particolari di dati personali, ottenuti da tecnologie in grado di rilevare in modo automatizzato una (o più) caratteristiche biologiche e/o comportamentali (biometria) di una persona fisica. Tra le caratteristiche fisiologiche: l’altezza, l’immagine facciale, le impronte digitali, la topografia della mano, il colore e la dimensione dell’iride, la retina, la forma dell’orecchio, la vascolarizzazione. Tra le caratteristiche comportamentali: l’impronta vocale, la scrittura grafica, la firma, i dati dattiloscopici, lo stile di battitura sulla tastiera, i movimenti del corpo. L'elemento fondamentale è la presenza di un processo automatizzato di analisi biometrica, tramite una tecnologia informatica. 

  • Quali sono le categorie di Data Breach ?

    La violazione dei dati personali (Data Breach) è suddivisibile in tre categorie:

    1. "Confidentiality Breach": in caso di divulgazione o accesso non autorizzato o accidentale ai dati personali;
    2. "Availability Breach": in caso di alterazione non autorizzata o accidentale dei dati personali;
    3. "Integrity Breach": in caso di modifica non autorizzata o accidentale dei dati personali.

    Notificare il Data Breach è un obbligo che, se non rispettato, viene pesantemente sanzionato: fino a 10.000.000 € per le pubbliche amministrazioni, e fino al 2 % del fatturato annuo dell'anno precedente per le imprese.

Richiedi una Consulenza Gratuita