vuoi
o PayPal
tutte le volte che vuoi
Art. 83 comma 4: se un’impresa ha l’obbligo di nominare il DPO e non lo nomina OPPURE non ha comunicato il
data breach (“infortunio della privacy”, fuga di dati/dati sporcati, cancellati, persi) all’Autorità Garante la sanzione
è di 10 milioni di euro o il 2% del fatturato mondiale annuo dell’anno precedente (prima si prendeva la cifra più
alta tra le due ora è discrezionale).
Art. 83 comma 5: in caso di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine
imposto dal Garante la sanzione è di 20 milioni di euro o il 4% del fatturato mondiale annuo dell’anno precedente.
Nel 2018 la direttiva europea è stata recepita dall’Italia con il D.Lgs. n.101.
Molti dati e informazioni spesso vengono raccolti senza la nostra consapevolezza, ma dove vanno a finire? Tutti i
dati confluiscono e vengono conservati nei C.D. data center (server).
Da chi sono stabilite le regole sulla gestione dei dati conservati nei data center? Nel 2016 è nato appositamente il
Regolamento UE n.679.
Analizziamo questa norma:
FINALITÀ:
Dare vita a un contesto di affidabilità e costituire un clima di fiducia per lo sviluppo economico, soprattutto negli
ambienti online con il fine ultimo di agevolare la sussistenza di un unico mercato eurounitario, in cui, oggi, la libera
circolazione dei dati personali svolge un ruolo imprescindibile.
Articolo 1 – Oggetto e finalità
Paragrafo 1: stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonché norme relative alla libera circolazione dei dati.
Paragrafo 3: la libera circolazione dei dati personali nell’UE non può essere limitata né vietata per motivi attinenti
alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Tale regolamento dà una funzione di indirizzo interpretativo attraverso i “CONSIDERANDO” (in totale sono 173):
n. 6 la rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei
dati personali. […] La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di
utilizzare dati personali, come mai in precedenza, nello svolgimento delle loto attività.
n. 7 data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il
mercato interno.
n. 10 al fine di assicurare un livello coerente ed elevato di protezione delle persone fisiche e rimuovere gli
ostacoli alla circolazione di dati personali all’interno dell’Unione, il livello di protezione dei diritti e delle libertà
delle persone fisiche con riguardo al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri.
Articolo 2 – Ambito di applicazione materiale
Paragrafo 1: il presente regolamento si applica al trattamento interamente o parzialmente automatizzato dei dati
personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
Paragrafo 2: il presente Regolamento non si applica ai trattamenti di dati personali:
a) effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
b) effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del Titolo V, Capo 2,
TUE;
c) effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o
esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle
stesse.
Articolo 3 – Ambito di applicazione territoriale
Paragrafo 1: il presente regolamento di applica al trattamento dei dati personali effettuato nell’ambito delle
attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del GDPR Garante per la
protezione dei dati personali trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia
effettuato o meno nell'Unione.
Se io ho una società nell’UE (fisicamente stabilita nell’UE) a prescindere dalla nazionalità dei proprietari dei dati
bisogna trattare tali dati secondo tali regole.
Paragrafo 2: Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano
nell’Unione, effettuato da un titolare del trattamento o un responsabile del trattamento che non è stabilito
nell’Unione quando le attività di trattamento riguardano:
a) L’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente all’obbligatorietà
di un pagamento dell’interessato.
b) Il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
Ma cos’è un DATO PERSONALE?
Articolo 4 – Definizioni
Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile cioè
identificabile direttamente (tramite codice fiscale) o indirettamente (tramite dei conoscenti).
L’impressione che si ricava dalla lettura del testo è un fenomeno di “ampio aggiornamento della nozione di dato
personale”, come emerge anche dalle definizioni di dettagli che fanno riferimento al dato genetico e dato
biometrico.
Considerando n.26 Per definire se una persona è identificabile è necessario valutare «tutti i mezzi, come
l’individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta
persona direttamente o indirettamente»
Considerando n.30 «le persone fisiche possono essere associate ad identificativi on line prodotti dai dispositivi,
dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies), o
identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce
che, in particolare, se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere
utilizzate per creare profili delle persone e identificarle».
I 6 PRINCIPI che disciplinano tutto il GDPR:
1 – Liceità, correttezza e trasparenza. Liceità significa che il trattamento dei dati deve essere lecito, deve avvenire
secondo le regole del regolamento. Correttezza significa che non bisogna essere scorretti e bisogna agire nel
rispetto del soggetto interessato. Trasparenza significa che il proprietario del dato deve sapere tutto ciò che fa il
titolare del trattamento.
2 – Limitazione della finalità. Il dato deve essere utilizzato solo per lo scopo dichiarato.
3 – Minimizzazione dei dati. Se si utilizzano i dati per uno specifico scopo bisogna usare solo i dati strettamente
necessari per quello scopo.
4 – Esattezza. I dati devono essere giusti (es.: età deve essere inserita nella fascia giusta). Se ciò non succede si può
avere un piccolo o grande data breach.
5 – Limitazione della conservazione. Può esserci una base giuridica o meno (es.: certi dati fiscali devono essere
tenuti per 10 anni). In ogni caso bisogna comunicare per quanto tempo verranno conservati i dati.
6 – Integrità e riservatezza. I dati devono essere integri (non vanno sporcati) e non possono essere diffusi.
In quest’ambito l’organo di vigilanza è Il Garante della privacy che però ha demandato il compito alla Guardia di
Finanza.
Le figure del GDPR
Titolare del Trattamento dei Dati: persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che,
singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. Chi decide quali
dati trattare e come trattarli.
Contitolare del Trattamento: è prevista l’ipotesi di contitolarità del trattamento allorché due o più titolari del
trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del
trattamento. In questo caso la sanzione arriva in solido per tutti (la stessa per tutti).
Responsabile del Trattamento (Data Processor): persona fisica o giuridica, l’autorità pubblica, il servizio o altro
organismo esterno che tratta dati personali per conto del titolare del trattamento. Ad esempio il datore di lavoro
(titolare del trattamento) nomina un data processor per creare le buste paga dei lavoratori. Anche il medico
competente è un data processor, ma in questo caso alcuni dati che tratta il medico non può conoscerli il titolare
del trattamento. In ogni caso il medico competente non è mai il titolare del trattamento bensì contitolare o
responsabile.
Se il data processor incarica una persona sotto di lui per trattare i dati si parlera di Sub-responsabile del
Trattamento (si differenzia dall’incaricato al trattamento, perché questo è un dipendente del Data processor).
Incaricato al Trattamento: il termine “incaricato” non è menzionato, ma lo si evince dall’art. 4 p.10 che definisce
terzo la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia la persona
autorizzata al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. Tale figura va
incaricata e formata (perché dovrà trattare i dati per conto del titolare).
Responsabile della Protezione dei Dati - RPD (Data Protection Officier - DPO): si ha l’obbligo di designazione e
comunicazione al Garante in caso di: monitoraggio regolare e sistematico (profilazione) degli interessati su larga
scala, o trattamenti su larga scala di categorie particolari di dati / Pubblica Amministrazione. “Categorie particolari
di dati” indica: dati medici, dati bancari, dati relativi a gruppi religiosi/gruppi politici/etnia… Su larga scala significa
in grande quantità e questo si calcola quando si fa la valutazione d’impatto (impatto derivante da un eventuale
data breach). Ad esempio un medico di medicina generale che ha 3000 pazienti non rientra nella definizione di
“larga scala”. Quando avviene un data breach il DPO viene contattato dal Garante ed è sanzionabile civilmente.
Soggetto Interessato (Data subject): persona FISICA a cui si riferiscono i dati personali.
In considerazione di ciò cosa deve fare un’organizzazione per adeguarsi?
o Bisogna avere un REGISTRO DEI TRATTAMENTI. Non è obbligatorio fare la valutazione d’impatto (a meno che non
sei una di quelle aziende che deve nominare il DPO).
o Si può fare (per alcuni è obbligatorio) la valutaz
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo
