Che materia stai cercando?

Anteprima

ESTRATTO DOCUMENTO

28. 28. Quali società?• Solo le CCS stabilite nel territorio dell’UE• «non riguarda né l’abolizione

di monopoliche forniscono servizi né gli aiuti concessidagli Stati membri cui si applicano le

regolecomunitarie di concorrenza» (richiamo adart. 1, par. 3 direttiva 2006/123/CE)• società

devono essere di proprietà ocomunque controllate dai propri membri28

29. 29. Titolare del diritto• qualsiasi soggetto – persona fisica o giuridica –che detenga diritti

d’autore o diritti connessi eche abbia diritto ad «una parte dei proventiderivanti da qualsiasi

diritto gestito dalla societàdi gestione collettiva»• Amministratore: «qualsiasi

amministratoreresponsabile della gestione, qualsiasi membrodel consiglio di

amministrazione, del consiglio digestione o del consiglio di sorveglianza di unasocietà di

gestione collettiva»29

30. 30. Membri• CCS devono agire nell’interesse dei propri membri• Tenuta di un registro dei

membri, aggiornato• Membri di qualsiasi nazionalità• Possono assegnare solo una parte

del propriorepertorio o solo per specifiche utilizzazioni• Consenso espresso per ogni diritto

o categoria didiritti o tipologia di opere• Recesso: non oltre 6 mesi• Rifiuto dell’iscrizione:

sulla base di criteri oggettivi30

31. 31. Gestione dei proventi• Gestione separata dalle altre attività• Obbligo di distribuzione

almeno ogni 12 mesi• Possibilità di fare intermediazione e raccoltaanche per società

straniere (accordi direciprocità)• Poca tutela delle diversità culturali (Unesco2005)31

32. 32. Trasparenza e rendicontazione• Problema già avvertito nella dir. InfoSoc• Le

informazioni devono essere rese disponibili permezzo di strumenti elettronici• Proventi

raccolti per il periodo interessato, percategorie di diritti, tipologia di utilizzazione e

duratadella riscossione• Comunicazione delle deduzioni• Pubblicità di contratti di

licenza/repertorio /accordi dirappresentanza• Elenco degli autori/interpreti non identificati32

33. 33. Licenze multiterritoriali• Riprende i principi della decisione CISAC• Circoscritto ai diritti

sulle opere on-line• Banche dati costantemente aggiornate• Raccolta e distribuzione dei

proventi33

34. 34. Misure di esecuzione• Istituzione di forme di ADR (analogie con iCopyright Tribunals)•

Anche in caso di licenze multiterritoriali• Devono essere comunicate agli iscritti34

35. 35. Monopolio• Corte di Giustizia – Tournier e Lacazeau – haconfermato che i monopoli de

jure e de factorappresentati dalle società di gestionecollettiva non sono lesivi di per sé

dellaconcorrenza, a patto però, che essi nonimpongano restrizioni irragionevoli ai

loromembri o all’accesso ai diritti da parte diclienti potenziali35

36. 36. Monopoly as the evil?• It is right that authors be remunerated; and theleast

exceptionable [objectionable?] way ofremunerating them is by a monopoly. Yetmonopoly is

an evil. For the sake of the goodwe must submit to the evil; but the evil oughtnot to last a

day longer than is necessary forthe purpose of securing the good.• Thomas Babington

Macaulay (speech deliveredto the House of Commons on February 5,1841)36

Axioma privacy 29.2.12

1. 1. IMPRESE E PRIVACY: MODIFICHE LEGISLATIVE E ANALISI DEI PIÙ RECENTI

PROVVEDIMENTI DEL GARANTE Roma, 29 febbraio 2012 1

2. 2. Il Codice della Privacy è stato adottato con ilIl codice della privacy Decreto Legislativo

30 giugno 2003 n.196 e regola il trattamento dei Il Codice ha sostituito la legge 675/96

2dati personali

3. 3. modifica della direttiva 2002/22/CE relativa alDirettiva 2009/136/CE servizio universale

e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della

direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata

nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla

cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela

dei consumatori 3

4. 4. La legge 15 dicembre 2011, n. 217, pubblicata in Gazz. Uff.Recepimento del 2 gennaio

2012, contiene, all’art. 9, una delega al Governo affinché adotti, entro tre mesi dalla data di

entrata in vigore della legge stessa, un decreto legislativo di recepimento della direttiva 4

5. 5. Proposta di Regolamento europeo e del Consiglio concernenteRegolamento la tutela

delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di

tali dati 5

6. 6. Diminuito il numero dei ricorsi, reclami, segnalazioni eGarante Diminuito il numero

delle Diminuite le istanze di accessoquesiti Diminuite le sanzioni (3 ml di euro)

6ispezioni

7. 7. Art. 5: a chiunque è stabilito nel territorioApplicabilità del Codice Il Codice si applica

anche al trattamento di dati personalidello Stato effettuato da chiunque è stabilito nel

territorio di un Paese non appartenente allUnione europea e impiega, per il trattamento,

strumenti situati nel territorio dello Stato 7

8. 8. Anche “tramite un semplice ufficio, gestito daNozione di stabilimento persone

dipendenti dall’impresa” (Corte di Giustizia: Reinhard Gebhard) Ovvero per mezzo

dell’azione di un semplice agente (Corte di Giustizia: Problema del cloud computing 8

Caso Vividown c. GoogleDaily Mail)

9. 9. Il luogo di stabilimento coincide con quelloProposta di Regolamento “in cui sono prese

le principali decisioni sulle finalità, le condizioni Non si tratta di une i mezzi del trattamento

dei dati personali” criterio di individuazione giuridico (es. la sede sociale) né fisico (es.

luogo dove si trovano materialmente i dati personali) 9

10. 10. Se le decisioni non sono adottate nell’UE,Prop. Regolamento – Extra UE lo

stabilimento coincide col “luogo in cui sono condotte le principali attività di trattamento

nell’ambito delle attività di uno stabilimento Nessuna novitàdi un responsabile del

trattamento nell’Unione” significativa per quanto riguarda i gruppi di imprese 10

11. 11. Il trattamento dei datiPrincipi fondamentali nel Codice della Privacy personali si fonda

su cinque principi fondamentali: a) correttezza e pertinenza (art. 11) b) notificazione (art.

37) c) informativa (art. 13) d) consenso dell’interessato (art. 23); e) diritti dell’interessato

(art. 7) 11

12. 12. Qualunque operazione o complesso diDefinizioni. Trattamento operazioni, effettuati

anche senza lausilio di strumenti elettronici, concernenti la raccolta, la registrazione,

lorganizzazione, la conservazione, la consultazione, lelaborazione, la modificazione, la

selezione, lestrazione, il raffronto, lutilizzo, linterconnessione, il blocco, la comunicazione,

la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca

di dati. 12

13. 13. trattati in modo lecito eModalità di trattamentoI dati devono essere: raccolti e registrati

per scopi determinati,secondo correttezza; espliciti e legittimi, ed utilizzati in altre

operazioni del trattamento esatti e, se necessario,in termini compatibili con tali scopi;

pertinenti, completi e non eccedenti rispetto alle finalitàaggiornati; conservati inper le

quali sono raccolti o successivamente trattati; una forma che consenta lidentificazione

dellinteressato per un periodo di tempo non superiore a quello necessario agli scopi per i

quali essi sono stati raccolti o successivamente trattati. 13

14. 14. Dato personale è qualunqueDefinizioni. Dato personale/ dato sensibile informazione

relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili,

anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un

Dato sensibile è quel dato idoneo anumero di identificazione personale. rivelare lorigine

razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,

ladesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico,

politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita

sessuale 14

15. 15. Semplificazioni di taluni adempimenti in ambitoGarante 19.6.2008 pubblico e privato

rispetto a trattamenti per finalità amministrative e “Diverse realtà, specie imprenditoriali di

piccole e mediecontabili dimensioni, trattano dati, anche in relazione a obblighi

contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e

contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti,

fornitori, realtà esterne di supporto anche in outsourcing, dipendenti)”. 15

16. 16. Ai fini dellapplicazione delle disposizioni inArt. 34 comma 1-ter materia di protezione

dei dati personali, i trattamenti effettuati per finalità amministrativo - contabili sono quelli

connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria

e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità

le attività organizzative interne, quelle funzionali alladempimento di obblighi contrattuali e

precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della

contabilità e allapplicazione delle norme in materia fiscale, sindacale, previdenziale-

assistenziale, di salute, igiene e sicurezza sul lavoro. 16

17. 17.  Conv. dalla legge 12 luglio 2011, n. 106D.L. 13 maggio 2011, n. 70 “Il trattamento dei

dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nellambito

di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-

contabili, come definite allarticolo 34, comma 1-ter, non Nozione di abbonato?e soggetto

allapplicazione del presente codice” 17

18. 18. I soggetti 18

19. 19. L’art. 11 del Codice, prima diCorrettezza e pertinenza del trattamento ogni altra

prescrizione, impone al titolare di trattare i dati: a) in modo lecito e secondo correttezza; b)

per scopi determinati, espliciti e legittimi c) in altre operazioni solo per ragioni compatibili

con gli scopi originari; d) esatti e, se necessario, aggiornati; e) pertinenti, completi e non

eccedenti rispetto alle finalità per le quali sono raccolti e successivamente trattati; f) in

forma identificativa solo per il tempo necessario per il perseguimento dei predetti scopi (es.

I dati trattati in violazione di tali prescrizionivideosorveglianza). non possono essere

utilizzati e il titolare è obbligato al risarcimento dei danni eventuali subiti dall’interessato. 19

20. 20. È il soggetto cui competono le decisioni inIl titolare del trattamento ordine alle finalità,

alle modalità del trattamento di dati personali e Se il trattamento è effettuato da unaagli

strumenti utilizzati persona giuridica, titolare del trattamento è titolare del trattamento è

lentità nel suo complesso o lunità od organismo periferico che esercita un potere

decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento (es. società

italiana di un gruppo di società) 20

21. 21. Il responsabile del trattamento è laIl responsabile del trattamento persona fisica o

giuridica preposta dal titolare al trattamento: a) scelto tra soggetti competenti; b) designato

in forma scritta; c) con Il titolare può nominare anchepredeterminazione analitica dei

compiti più responsabili, anche con suddivisioni dei compiti (e/o dei trattamenti: ad es.,

responsabile dei trattamenti dei dati relativi al Puòrapporto di lavoro, responsabile delle

misure di sicurezza, etc.). essere anche un soggetto esterno rispetto alla struttura

imprenditoriale 21

22. 22.  Bozza Regolamento comunitarioResponsabile della protezionedei dati obbligatorio

per tutte le imprese che abbiano almeno 250 dipendenti soggetto dotato di specifiche

qualifiche professionali, inclusa la designato per un periodoconoscenza specialistica della

normativa il suo nome e le sue coordinate diminimo di due anni, rinnovabile contatto

devono essere comunicati al pubblico 22

23. 23. Affinché dipendenti e/o collaboratoriL’incaricato del trattamento possano procedere al

trattamento, è necessario nominarli incaricati del trattamento (art. 30): a) La nomina deve

provenire dal titolare o dal responsabile b) La nomina deve essere formalizzata per iscritto

e deve predeterminare l’ambito del trattamento consentito 23

24. 24. La nomina dell’incaricato non amplia laL’incaricato del trattamento sfera delle

mansioni assegnate al dipendente ma si limita a conferirgli il potere di svolgere le

operazione di trattamento dei dati. Non deve L’incaricato deve agirequindi essere oggetto

di alcuna contrattazione. sotto la diretta autorità del titolare o del responsabile, attenendosi

alle istruzioni impartite. 24

25. 25. Cloud Computing 25

26. 26. Private cloud: data center, la proprietà dei server èTre figure Public cloud: la proprietà

dei server è di un soggettodell’impresa Hybrid cloud 26esterno

27. 27. Preferibili Scegliere servizi affidabiliIndicazioni del Garante soluzioni che consentano

un salvataggio dei dati in remoto (procedure di Analizzare responsabilità nelle condizioni

generali diback up) Obblighi formativi per i Tempo di conservazione dei daticontratto

dipendenti 27

28. 28. Informativa/consenso 28 Nomina di responsabili o titolari autonomi? Legge

applicabileProblemi

29. 29. NotificazioneArt. 37 del Codice 29

30. 30. Legge 675/96 (art. 7): il titolare eraL’obbligo di notificazione obbligato alla notificazione

di tutti i trattamenti di dati effettuati, Codice (art. 37): il titolare èsalvo quelli espressamente

esclusi. obbligato alla notificazione dei soli trattamenti espressamente individuati dalla

Legge. 30

31. 31. L’art. 37 del Codice obbliga il titolareI trattamenti da notificare alla notificazione solo se

il trattamento riguarda: a) dati genetici o biometrici; b) dati relativi all’ubicazione geografica;

c) dati sanitari o sessuali trattati per talune ragioni sanitarie; d) dati sanitari o psichici trattati

da associazioni o enti senza scopo di lucro; 31

32. 32. L’obbligo di notificazionee) dati trattati con strumenti automatizzati per definire il profilo

o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a

monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti

tecnicamente indispensabili per fornire servizi agli utenti;f) dati sensibili registrati in banche

di dati per finalità di selezione del personale (es. curriculum vitae ed appartenenza dei

candidati a categorie protette);g) dati sensibili utilizzati per sondaggi di opinione e simili;h)

dati registrati in banche di dati relative al rischio sulla solvibilità economica, alla situazione

patrimoniale (es. dealers) ecc. 32

33. 33. L’art. 20 del Regolamento, se confrontatoRegolamento - Profilazione con la

legislazione italiana vigente, amplia le ipotesi di profilazione Sono inclusi, per esempio, il

rendimento professionale, l’affidabilità ed il comportamento del soggetto interessato. 33

34. 34. Informativa e il consenso Artt. 13 e 23 del Codice 34

35. 35. Il titolare (o chi agisce per esso),L’obbligo di fornire l’informativa prima di raccogliere i

dati, deve fornire alla persona che li fornisce le seguenti informazioni: a) Finalità e modalità

del trattamento; b) Natura del conferimento dei dati (obbligatoria o facoltativa); c) I soggetti

o le categorie di soggetti (ad es., Concessionari della Rete) ai quali i dati possono essere

comunicati (compresi eventuali responsabili o incaricati); 35

36. 36. L’obbligo di fornire l’informativa d) L’ambito di diffusione dei dati (ad es., pubblicazione

su sito internet); e) I diritti di cui all’art. 7; f) Gli estremi identificativi del titolare; g) Gli

estremi identificativi del responsabile e, se sono nominati più responsabili, almeno di uno

(preferibilmente quello al quale è affidato il compito di gestire i diritti di cui all’art. 7), con

espressa indicazione delle modalità attraverso le quali è agevolmente ed effettivamente

conoscibile la lista di tutti i responsabili. 36

37. 37. L’informativa deve essere fornita alla persona dalla qualeLe modalità si raccolgono i

dati, che non necessariamente è l’interessato (es. Qualora tale soggetto sia una persona

diversa,ordini di lavoro). l’informativa deve essere resa anche all’interessato al momento

della registrazione dei dati o al momento della prima comunicazione (ad es., mediante invio

postale). In tal caso l’informativa all’interessato potrebbe essere omessa solo se i dati sono

trattati per obblighi normativi, qualora siano trattati per finalità di difesa in giudizio oppure

nel caso in cui il Garante, per particolari ragioni, lo autorizzi espressamente. 37

38. 38. L’informativa non è dovuta in caso di ricezione di curriculaCurriculum spontaneamente

trasmessi dagli interessati ai fini dell’eventuale Al momento del primo

contattoinstaurazione di un rapporto di lavoro successivo all’invio del curriculum, il titolare

è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente

almeno gli elementi di cui al comma 1, lettere a), d) ed f) 38

39. 39. Dichiarato illecito Garante, 21 luglio 2011Questionario per selezione il trattamento

effettuato dallAler con il questionario somministrato ai candidati che partecipavano alla

selezione per il reclutamento di un Le domande ivi contenute riguardavano aspetti

anchedirigente tecnico intimi della sfera personale/affettiva/sessuale dei candidati 39

40. 40. L’omessa informativa comporta, nei casi più gravi,Le sanzioni l’irrogazione di una

sanzione amministrativa da 5.000,00 a 30.000,00 euro, aumentabili sino al triplo a seconda

delle condizioni economiche del titolare. 40

41. 41. Proposta di rego il periodo per il quale i dati indicare anche:lamento il diritto di

proporre reclamopersonali saranno conservati il modo per contattare detta autorità

41all’autorità di controllo

42. 42. Il trattamento dei dati può essere effettuato solo seIl consenso l’interessato ha

manifestato il suo consenso, che deve essere: a) espresso b) scritto c) specifico d) libero e)

informato f) relativo ad un intero trattamento o ad una o più operazioni dello stesso 42

43. 43. Il consenso non è comunqueI casi di esclusione del consenso necessario, per quanto

qui interessa, quanto il trattamento: a) È necessario per adempiere ad un obbligo normativo

(es. comunicazione alla PA dei dati del dipendente in caso di multa con company car); b) È

necessario per adempiere ad un obbligo contrattuale del quale è parte l’interessato o per

adempiere a richieste dell’interessato in fase precontrattuale; c) Riguarda dati provenienti

da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; 43

44. 44. I casi di esclusione del consensod) Riguarda dati relativi allo svolgimento di attività

economiche;e) È necessario per finalità difensiva (con esclusione della diffusione);f) È

effettuato da associazioni o enti senza scopo di lucro relativamente ai dati degli associati;g)

È necessario per finalità di ricerca scientifica o statistica. 44

45. 45. Esclusione dell’obbligo di richiedereArt. 24, comma 1, lettera i-ter il consenso

all’interessato nello specifico caso di “comunicazione” (non di “diffusione”) di dati (di

qualsiasi interessato) tra società, enti o associazioni con società controllanti, controllate o

collegate ai sensi dellarticolo 2359 c.c. ovvero con società sottoposte a comune controllo,

nonché tra consorzi, reti di imprese e raggruppamenti e A.T.I. con i soggetti ad essi aderenti

debitamente informati di tali finalità con linformativa di cui allarticolo 13 45

46. 46. Il trattamento dei dati sensibili puòIl trattamento dei dati sensibili essere effettuato

solo1. Con il consenso dell’interessato salvo che: Il trattamento riguardi dati trattati da enti

senza scopo di lucro Il trattamento siarelativamente ai dati dei propri associati; Il

trattamento sia effettuato pereffettuato per ragioni di salute; Il trattamento sia necessario

perfinalità di difesa in giudizio; adempiere ad obbligo normativi per la gestione del

contratto di lavoro.1. Con l’autorizzazione del Garante per la protezione dei dati personali

(spesso per mezzo delle autorizzazioni generali, per intere categorie di soggetti). 46

47. 47. Il trattamento dei dati personali per finalità promozionali e I dati personali possono

essere trattati per finalitàcommerciali commerciali solo con il consenso dell’interessato.

Pertanto, i dati dei clienti non possono essere utilizzati per finalità promozionali senza che

gli stessi abbiano espresso il loro consenso (regole su L’informativa, in tal caso, può

essere allegata o unitatelemarketing) L’unico caso in cui è possibilealla comunicazione

promozionale. procedere senza il consenso è quello in cui i dati sono stati raccolti da

elenchi, atti o documenti conoscibili da chiunque (social network?). In tal caso, tuttavia,

resta comunque obbligatorio inviare all’interessato l’informativa di cui all’art. 13 all’atto della

registrazione dei dati o della prima comunicazione. 47

48. 48. Sufficiente il Forma scritta?Acquisizione del consensovia internet Il consenso

Garante Privacy, Provv. 15 luglio 2010 (Casa.it)click? per finalità promozionali non può

essere condizione per l’erogazione del servizio 48

49. 49. “Gli Stati membri assicurano cheCookies – Art. 5(3) Dir. 136 l’archiviazione di

informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di

un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o

l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere

stato informato in modo chiaro e completo […] tra l’altro sugli Da opt-out ad opt-in 49scopi

del trattamento”.

50. 50. Il consenso – come precisato dal GruppoModalità per il consenso Articolo 29, che

raccoglie i Garanti europei – non può essere presunto, Il consenso prestato copre, però,

anche i successiviné successivo. utilizzi, per cui non è richiesta una nuova manifestazione

di volontà da Riconfermatoparte dell’utente per ogni singolo collegamento.

periodicamente? 50

51. 51. Diritti dell’interessato Art. 7 del Codice 51

52. 52. Rispetto al trattamento dei suoi dati,I diritti di accesso l’interessato ha il diritto: a) di

ottenere la conferma o meno di dati personali che lo riguardano; b) di conoscere l’origine

dei dati personali; c) di conoscere le finalità e le modalità del trattamento; d) relativamente

ai trattamenti automatizzati, di conoscere la logica applicato agli stessi; e) di conoscere gli

estremi identificativi del titolare e dei responsabili; f) di conoscere gli estremi dei soggetti o

delle categorie di soggetti ai quali i dati possono essere comunicati; 52

53. 53. L’interessato ha inoltre il diritto diI diritti di intervento ottenere: a) L’aggiornamento, la

rettificazione ovvero, qualora vi abbia interessa, l’integrazione dei dati; b) La cancellazione,

la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; c)

L’attestazione che le predette operazioni sono state portate a conoscenza dei soggetti ai

quali i dati erano stati comunicati (salvo che tale adempimento si riveli impossibile o

eccessivamente gravoso). 53

54. 54. L’interessato ha inoltre il diritto: a) diI diritti di opposizione opporsi alla prosecuzione

del trattamento (o di una parte di esso) effettuato per fini promozionali; b) di opporsi, per

motivi legittimi, alla prosecuzione del trattamento (o di una parte di esso), anche qualora i

dati trattati siano conformi alle finalità della raccolta. 54

55. 55. I diritti di cui all’art. 7Modalità per l’esercizio dei diritti possono essere fatti valere

dall’interessato, il quale può delegare terzi (persone fisiche o associazioni) o, nel caso in

cui sia deceduto, da chiunque vi abbia interesse, senza particolari formalità (anche

Devono essere esercitati mediante richiesta, anche verbale,oralmente). Non

possonorivolta al titolare, al responsabile o a un incaricato. essere esercitati solo nel caso

in cui ciò potrebbe pregiudicare Conl’esercizio dei propri diritti dinanzi l’autorità giudiziaria.

esclusione della rettificazione o l’integrazione, possono essere esercitati anche su dati di

tipo valutativo (ad es., valutazione dei concessionari). 55

56. 56. Ricevuta la richiesta, ilModalità per il riscontro all’interessato titolare (o chi per esso)

deve darvi riscontro: a) anche oralmente, salvo che l’istante abbia richiesto espressamente

la forma scritta. In tal caso il riscontro può essere dato anche mediante estrazione copia dei

documenti nei quali sono contenuti i dati (salvo l’oscuramento di quelli relativi a terzi); b)

con riferimento a tutti i dati trattati, salvo che la richiesta fosse limitata a particolari

trattamenti; 56

57. 57. Modalità per il riscontro all’interessato c) gratuitamente, salvo che non sia confermata

l’esistenza di dati. In tal caso il titolare può Ilchiedere il rimborso spese, nei limiti stabiliti

dal Garante; riscontro deve comunque avvenire entro 15 giorni. Entro tale termine, per

giustificato motivo, il titolare o il responsabile possono darne comunicazione all’interessato

e il termine è prorogato di ulteriori 15 In caso di mancato riscontro, è molto probabile

chegiorni. l’interessato ricorra al Garante. 57

58. 58. Le misure a garanzia dei diritti dell’interessato e l’organizzazione Il Codice obbliga il

titolare del trattamento a: a) agevolareaziendale l’accesso ai dati anche tramite appositi

software; b) semplificare le modalità di accesso; c) ridurre i tempi di accesso. 58

59. 59. Le misure a garanzia dei diritti dell’interessato e l’organizzazione Il titolare non può: a)

subordinare l’accesso all’indicazioneaziendale di codici identificativi; b) chiedere

all’interessato di specificare in quale trattamento sono contenuti i dati ai quali chiede di

accedere; c) chiedere le motivazioni sottese all’interpello, salvo che nei casi

espressamente previsti dalla legge. 59

60. 60. Il Regolamento introduce il diritto all’oblio: siDiritto all’oblio tratta della formalizzazione

del diritto di cancellazione nel caso in Cessione acui venga meno la necessità di

conservare i dati personali. terzi dei dati personali: l’obbligo per il responsabile di adottare

“tutte le misure ragionevoli, anche tecniche, in relazione ai dati della cui pubblicazione è

responsabile, per informare i terzi che stanno trattando tali dati della richiesta

dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali”. 60

61. 61. Marketing 61

62. 62. Istituisce il Registro delle opposizioni,DPR 7 settembre 2010, n. 178 L’operatore che

intenda utilizzare glipresso Fondazione Bordoni elenchi pubblici deve iscriversi al Registro

delle opposizioni Comunicare la lista degli abbonati i cui dati intendono utilizzare 62

63. 63. Il Registro cancella i nominativi dei soggetti che hannoRegistro La lista – depurata dai

nominativichiesto di non essere contattati 15 gg. diiscritti – è messa a disposizione

dell’operatore entro 24 ore validità 63

64. 64. qualunque persona fisica, persona giuridica, ente oAbbonato associazione parte di un

contratto con un fornitore di servizi telefonici accessibili al pubblico per la fornitura di tali

servizi, o destinatario di tali servizi anche tramite schede prepagate, la cui numerazione sia

comunque inserita negli elenchi 64

65. 65. qualunque soggetto, persona fisica o giuridica, che, inOperatore qualità di titolare,

intenda effettuare il trattamento dei dati per fini di invio di materiale pubblicitario o di vendita

diretta o per il compimento di ricerche di mercato o di comunicazione commerciale,

mediante limpiego del telefono 65

66. 66. È escluso il Trattamenti per mezzo del telefonoAmbito di applicazione marketing via

fax/e-mail/sms/senza operatore (dischi preregistrati) Invio di materiale pubblicitario

Compimento diVendita diretta Comunicazione commerciale 66ricerche di mercato

67. 67. È possibile Numero presente in elenchi pubbliciPrerequisito utilizzare per finalità di

marketing i dati personali, pur presenti negli elenchi e iscritti al Registro delle opposizioni,

se raccolti in Sanzioni da 10 a 120 milaaltra maniera (es. campagne pubblicitarie) euro 67

68. 68. Vietato utilizzare per scopi promozionali iGarante, 29 settembre 2011 dati personali di

iscritti negli albi professionali se il promotore non acquisisce il consenso dellinteressato o

se non presenta offerte attinenti lattività svolta dal professionista contattato. 68

69. 69. Il comma 6 dell’art. 6 estende anche agli indirizziDecreto sviluppo gli operatori di

marketing direttopostali il regime dell’opt-out possono utilizzare anche gli indirizzi degli

abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere

il consenso, alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del

proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni 69

70. 70. “Titolarità del trattamento di dati personaliGarante - 15 giugno 2011 in capo ai soggetti

che si avvalgono di agenti per attività Società che effettuano in outsourcing l’attività

dipromozionali” marketing per conto di altre società 70

71. 71. Nominare “responsabili del trattamento le agenzie che,Prassi corretta operando in

outsourcing, si occupano, appunto, della promozione e della commercializzazione di

prodotti e servizi per conto della società avviando, a tal fine, mirati contatti commerciali nei

confronti di potenziali clienti”. 71

72. 72. gli agenti in questione agiscono in qualità di titolariPrassi errata autonomi

rivendicando la propria estraneità rispetto ad eventuali illeciti (quali, ad esempio, contatti

promozionali indesiderati avviati nei confronti di titolari di utenze telefoniche che abbiano

curato la propria iscrizione nel Registro delle opposizioni; trasmissione, in assenza del

consenso informato dellinteressato, di messaggi a carattere pubblicitario via telefax etc.)”

72

73. 73. database localizzati al di fuori del territorio italiano,Garante utilizzo di un apparato di

rete (fax gateway) collocato nei confini strumenti per il applicazione dell’art. 5 del

Codicenazionali trattamento nel territorio italiano 73

74. 74. Il Garante ha vietato il trattamento dei datiGarante, 2 marzo 2011 personali effettuato

da Travel Factory s.r.l tramite linvio di fax Nel caso di specie era carente uninidonea

informativa edpromozionali un consenso specifico, espresso e documentato degli

interessati ex art. 130 del Codice. 74

75. 75. L’Autorità ha vietato il trattamento di datiGarante, 5 maggio 2011 personali posto in

essere da Digitaldox.it s.r.l., con riferimento allinvio da parte della medesima di

comunicazioni promozionali con modalità automatizzate quali sms ed e-mail o effettuate

tramite telefax I dati tratti dal suo data base, senza aver fornito linformativa di cui allart. 13

del Codice ed aver acquisito il necessario consenso di cui allart. 130 del Codice. 75

76. 76. Solo con il consenso preventivo delDirettiva 2009/136/CE Posta elettronica: è

necessario “che ai clienti siadestinatario. offerta in modo chiaro e distinto la possibilità di

opporsi, gratuitamente e in maniera agevole, all’uso di tali coordinate elettroniche al

momento della raccolta delle coordinate e in occasione di ogni messaggio, qualora il cliente

non abbia rifiutato inizialmente Non è ammesso l’invio di comunicazione “occulte” 76tale

uso”.

77. 77. Rapporti di lavoro 77

78. 78. Vieta impianti art. 4 della l. 20.05.70 n. 300:Statuto dei lavoratori audiovisivi e altre

apparecchiature con finalità di controllo a Disciplina le modalità didistanza dellattività

lavorativa (comma 1) adozione di impianti ed apparecchiature di controllo che siano

richiesti da esigenze organizzative e produttive o dalla sicurezza del lavoro, dai quali può

derivare la possibilità di controllo (comma 2) 78

79. 79. il licenziamento èCass. Civ., sez. lavoro, 23febbraio 2012, n. 2722. stato fondato su

una prova raccolta controllando la posta elettronica di Tizia in assenza di previo accordo

con le r.s.a. e/o autorizzazione del violazioneservizio ispettivo della Direzione provinciale

del lavoro di art. 4 Statuto dei lavoratori, art. 8 CEDU e art. 114 Codice privacy 79

80. 80. Licenziamento dovuto alla disclosure diControllo ex post del datore Il controllo

“prescindeva dalla pura e sempliceinformazioni riservate sorveglianza sull’esecuzione

della prestazione”, essendo, invece, “diretto ad accertare la perpetrazione di eventuali

comportamenti illeciti (poi effettivamente riscontrati)”. 80

81. 81. Licenziamenti avvenuti Art. 160, comma 6 CodiceUtilizzo dei dati Garante rimette al

Giudicesulla base di dati acquisiti illecitamente del lavoro la cognizione della controversia

81

82. 82. “esatto adempimento delle obbligazioni”Natura del controllo è “destinato ad accertare

undiscendenti dal rapporto di lavoro comportamento che poneva in pericolo la stessa

immagine dell’istituto presso terzi”. 82

83. 83. “dove sono collocati i le telecamere non posizionateVideosorveglianza areecartellini

di presenza dei dipendenti e gli orologi marcatempo” accessiinterne nelle quali sono

effettuate le prestazioni lavorative  anche riprese non continuativeai luoghi di lavoro o

degli ascensori non sufficienti i cartelli se c’è violazione 83

84. 84. È sempre necessario “uno specifico accordo conGarante, 14 aprile 2011 le

rappresentanze sindacali aziendali riguardo allinstallazione ed al funzionamento del

sistema di videosorveglianza” o un’autorizzazione della Direzione Provinciale del Lavoro.

84

85. 85. Apparati di ripresa digitali connessi a reti informatiche,Cautele protetti contro accesso

abusivo di cui allart.615-ter c.p.) Applicazione tecniche crittografiche che garantiscano la

riservatezza della trasmissione delle immagini daapparati di videosorveglinza o punti di

ripresa dotati di connessioni wireless(tecnologie wi- fi, wi-max, Gprs) 85

86. 86. Possibile raccogliere i In astratto lecitiSistemi di geolocalizzazione  Non giri del

motore e frenatadati sulla posizione del veicolo Indicano la tipologia di guidata 86

87. 87. Predisporre un sistema di verifica conAccessi con biometria (10.6.11) confronto tra il

template delle impronte rilevate ad ogni accesso alle aree riservate destinate alla custodia

dei valori e alla contazione, e Non memorizzare datiquello memorizzato sui dispositivi di

lettura personali riferiti ai lavoratori in relazione agli accessi effettuati a Rendere

linformativa completa 87dette aree;

88. 88. Informativa su eventuali siti vietati (es. socialInternet e e-mail network) o possibilità di

effettuare pagamenti con fatturazione privata Utilizzo per finalitàLog delle connessioni e

tempo di conservazione Indirizzi e-mail condivisi (es.private della posta elettronica

info@societa.it) 88

89. 89. Deposito Individuare soggetti (es. responsabile)Assenze o malattie Consentire

accessi per finalità di legge o obblighidelle password Cancellazione delle e-mail personali

in caso di cessazionecontrattuali del rapporto di lavoro 89

90. 90. il codice identificativo delBanche e accesso ai dati(Provv. 12.5.11) il codice della

postazione di la data e lora di esecuzionedipendente il codice del cliente ed il tipo di

rapportolavoro utilizzata contrattuale "consultato" (numero del conto corrente, fido, mutuo,

deposito titoli) 90

91. 91. I file di log di tracciamento delleUlteriori obblighi per le banche operazioni, comprese

quelle di semplice consultazione, conservati per 24 Le banche, inoltre, dovranno

prevedere lattivazione di alert chemesi  Comunicazione al clienteindividuino

comportamenti anomali o a rischio Comunicazione al Garante 91

92. 92. Misure di sicurezza Art. 31 del Codice 92

93. 93. Misure adeguate di sicurezza: sonoLe tipologie di misure di sicurezza le misure di

sicurezza determinabili in base al progresso tecnico, alla natura dei dati e alle specifiche

caratteristiche del trattamento che devono tendere a ridurre al minimo i rischi di: a)

distruzione dei dati b) perdita dei dati; c) accesso non autorizzato ai dati; d) trattamento non

consentito dei dati; e) trattamento non conforme alle finalità della raccolta. 93

94. 94. SonoMisure minime di sicurezza: trattamenti automatizzati espressamente individuate

e devono essere attuate nei modi previsti dall’Allegato B del Codice: a) autenticazione

informatica; b) adozione di procedura di gestione credenziali di autenticazione; c)

utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione

dell’ambito del trattamento consentito; 94

95. 95. Misure minime di sicurezza: trattamenti automatizzati e) protezione degli strumenti

elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti e a determinati

software; f) adozione di procedure di custodia di copie di sicurezza, il ripristino della

disponibilità dei dati e dei sistemi; g) tenuta di un Documento Programmatico sulla

Sicurezza dei Dati (DPS), da aggiornarsi annualmente entro il 31 marzo. 95

96. 96. SonoMisure minime di sicurezza: trattamenti non automatizzati espressamente

individuate e devono essere attuate nei modi previsti dall’Allegato B del Codice: a)

aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito; b)

previsione di procedura per un’idonea custodia di atti e documenti affidati agli incaricati per

lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di

determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso

finalizzata all’identificazione degli incaricati. 96

97. 97. DPS 97

98. 98. il d.l. 9 febbraio 2012, n. 5 ha soppresso inAbrogazione del DPS particolare dagli

adempimenti in materia di misure minime di sicurezza Occorreproprio il Documento

Programmatico per la Sicurezza (DPS) Cosa fare se la conversione nonattendere la

conversione in legge interviene prima del 31 marzo? 98

99. 99.  Intercettazione dati in rete Furto di risorseAnalisi dei rischi  Accessi fisici non

autorizzatiFurto di credenziali di autenticazione Incendi o cadute di tensione Virus /

SpywareCancellazione di dati Eventi naturali o socio-politici 99elettrica

100. 100. Criticità Alta: i salvataggi dei dati ad altaSalvataggio dati criticità vengono

eseguiti con frequenza quotidiana, settimanale e Criticità Media: i salvataggi dei dati

relativi a questamensile. criticità vengono eseguiti con frequenza settimanale e mensile.

Criticità Bassa: i salvataggi dei dati relativi a questa criticità vengono eseguiti con

frequenza mensile salvo diversa indicazione dell’owner dei dati . 100

101. 101. alla posta alla rete LAN AccessoCustodia e accessibilità dei dati

Disattivazione delle a particolari server aziendalielettronica credenziali 101

102. 102. Patch critiche e aggiornamento Antivirus utilizzatiSicurezza  Firewall e IDP

(sistema rilevamento intrusioni)periodico dei sistemi Controllo degli accessi fisici 102

103. 103.  Test periodici di sicurezza Disaster RecoveryRipristino dati Custodia dei

supportiMemorizzazione dei dati su supporti esterni magnetici 103

104. 104. Interventi formativi degli incaricati, per renderliPiani di formazione edotti dei

rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei

profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative

attività, La formazione è programmata già al momentodelle responsabilità dell’ingresso in

servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi

significativi strumenti, rilevanti rispetto al Trattamento di dati personali 104

105. 105. Descrizione dei criteri da adottareTrattamenti effettuati all’esterno per

garantire ladozione delle misure minime di sicurezza in caso di trattamenti di dati personali

affidati, in conformità al codice, Indicazione dei soggetti cheall’esterno della struttura del

titolare effettuano trattamenti dati: es. commercialisti, avvocati, società di marketing, ecc.

105

106. 106. Più violazioni da 50.000 a 300.000 Da 10.000 a 120.000 euroSanzioni

Omissione: arresto con pena detentiva sino a due anni 106euro

107. 107. Figure professionali addette alla gestione eAmministratore di sistema Attività:

backup/recovery,manutenzione di un impianto di elaborazione organizzazione flussi di

rete, gestione dei supporti di memorizzazione e Designato previa valutazione

dellesperienza,la manutenzione hardware Designazione individuale condella capacità e

dellaffidabilità elencazione analitica degli ambiti di operatività consentiti in base al profilo di

autorizzazione assegnato 107

108. 108. Estremi identificativi ed elenco delleObblighi connessi all’AdS funzioni

conservate in un documento interno da mantenere aggiornato Attività soggetta a verifica

almeno annuale da parte del titolare o del Registrazione degli accessi logici

(autenticazioneresponsabile Nelinformatica) ai sistemi di elaborazione e agli archivi

elettronici caso di servizi di AdS affidati in outsourcing, il titolare o il responsabile esterno

devono conservare gli estremi identificativi degli amministratori di sistema 108

109. 109. Smaltimento rifiuti elettronici 109

110. 110. Decreto RAEE il 1º settembre 2007 (DMCosa sono i rifiuti elettronici?

apparecchiature che dipendono per un corretto funzionamento185/2007) da correnti

elettriche o da campi elettromagnetici [...] progettate per essere usate con una tensione

non superiore a 1.000 volt per la corrente Ealternata e a 1.500 volt per la corrente

continuas. computer, stampanti, fotocopiatrici, ma anche lampade, fari e telecamere di

controllo 110

111. 111. Contenzioso innanzi al Garante 111

112. 112. ottenerne accedere ai dati che lo riguardano,Diritti dell’interessato

l’aggiornamento, la rettificazione o l’integrazione, la cancellazione, la trasformazione in

forma anonima o il blocco, se trattati in opporsi al trattamento effettuato a finiviolazione di

legge, promozionali, pubblicitari o commerciali oppure in presenza di motivi Non è prevista

una forma particolare per la presentazionelegittimi dell’istanza (fax, email, racc., ecc.) 112

113. 113. 30 giorni, se le 15 giorni dal suo ricevimento;Riscontro all’istanza operazioni

necessarie per un integrale riscontro sono di particolare complessità, ovvero ricorre altro

giustificato motivo. In tal caso, il titolare o il responsabile devono comunque darne

comunicazione all’interessato entro i predetti 15 giorni 113

114. 114. L’interessato può presentare subitoRicorso all’AG o al Garante l’istanza,

direttamente all’autorità giudiziaria o, con ricorso, al Garante (senza cioè rivolgersi

previamente al titolare, o al responsabile, se designato), solo nei casi in cui il decorso dei

termini sopraindicati lo esporrebbe ad un pregiudizio imminente ed irreparabile che deve

risultare comprovato. 114

115. 115. ricorso 115 reclamo circostanziato segnalazioneTutela innanzi al Garante

116. 116. Il Garante può Se non è possibile presentare un reclamoSegnalazione

intervenire per controllare l’applicazione della disciplina rilevante in Anche in carta libera e

nonmateria di protezione dei dati personali sono previste spese (bolli, ecc.) 116

117. 117.  fatti e delle circostanze su cui si fondaReclamoElementi necessari estremi

misure richiestedisposizioni che si presumono violate identificativi del titolare, del

responsabile, ove conosciuto, e dellistante 117

118. 118. sottoscritto dagli interessati, o da associazioni che liReclamo allegare la

privo di particolari formalitàrappresentano recapito la procuradocumentazione utile al fini

della sua valutazione per linvio di comunicazioni anche tramite posta elettronica, telefax o

prova del pagamento dei diritti di segreteria 118telefono

119. 119. SanzioniArtt. 161 ss. del Codice 119


ACQUISTATO

2 volte

PAGINE

26

PESO

70.94 KB

AUTORE

Myl

PUBBLICATO

+1 anno fa


DETTAGLI
Corso di laurea: Corso di laurea magistrale in giurisprudenza
SSD:
Università: Salerno - Unisa
A.A.: 2016-2017

I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher Myl di informazioni apprese con la frequenza delle lezioni di Diritto Comparato ed Europeo della Comunicazione e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Salerno - Unisa o del prof Riccio Giovanni Maria.

Acquista con carta o conto PayPal

Scarica il file tutte le volte che vuoi

Paga con un conto PayPal per usufruire della garanzia Soddisfatto o rimborsato

Recensioni
Ti è piaciuto questo appunto? Valutalo!

Altri appunti di Corso di laurea magistrale in giurisprudenza

Riassunto esame Diritto Privato, prof. Valentino, libro consigliato Diritto Privato, Perlingeri
Appunto
Riassunto esame Diritto degli Enti Locali, prof. Di Lieto, libro consigliato Il sistema delle autonomie locali, Vandelli
Appunto
Riassunto esame Diritto del lavoro, prof. Loele, libro consigliato Diritto della previdenza sociale, Persiani
Appunto
Riassunto esame Diritto dell'UE, prof. Di Stasi, Spazio europeo e diritti di giustizia
Appunto