Appunti Informatica giuridica

Figure in ambito privacy

Titolare: determina finalità e mezzi per il trattamento dei dati personali

Contitolari: se vi sono più titolari, essi sono contitolari. Sono tenuti a definire il rispettivo ambito di responsabilità e compiti.

Responsabile: tratta i dati personali per conto del titolare.

Sub-responsabile: esegue specifiche mansioni per conto del responsabile, il quale detiene l'intera responsabilità.

Persona autorizzata al trattamento: istruita e autorizzata dal titolare per trattare i dati personali all'interno dell'organizzazione.

Difensore civico digitale (art. 17)

Il Difensore civico per il digitale ha il compito di raccogliere le segnalazioni relative alle presunte violazioni del CAD o di ogni altra norma in materia di digitalizzazione ed innovazione, a garanzia dei diritti di cittadinanza digitali dei cittadini e delle imprese.

Chiunque può presentare al difensore civico per il digitale, attraverso apposita area presente sul

sitoistituzionale dell'AgID, segnalazioni relative a presunte violazioni del CAD commesse dalle PA.

Ricevuta la segnalazione, il difensore civico, se la ritiene fondata, invita l'amministrazione responsabile della violazione a porvi rimedio tempestivamente e comunque non oltre trenta giorni, e la segnala all'ufficio competente per i procedimenti disciplinari interno all'amministrazione stessa.

10. DATA BREACH (artt. 33-34)

Per data breach si intende una violazione di sicurezza che comporta la distruzione, la perdita, la modifica o la divulgazione non autorizzata di dati personali.

Il GDPR prevede che la violazione venga notificata al Garante entro 72 ore dal momento in cui si è a conoscenza, a meno che sia improbabile che questa comporti rischi per diritti e libertà.

Ove vi sia rischio, dev'essere informato anche l'interessato.

L'interessato non si informa quando:

- Vengono adottate misure di protezione adeguate per la tutela di diritti e

libertà La comunicazione richiede sforzi nonproporzionati11.

DPO (Data Protection Officer)

Il DPO è un soggetto designato dal titolare o dal responsabile del trattamento per assolvere le funzioni di controllo e supporto relativamente all'applicazione del Regolamento.

REQUISITI:

• Deve adempiere alle sue funzioni in piena indipendenza
• Deve adempiere alle sue funzioni senza conflitto d'interesse
• Designato in base alle sue qualità professionali

DEVE:

• Sorvegliare l'osservanza del Regolamento
• Collaborare con titolare/responsabile
• Cooperare con il Garante
• Essere coinvolto in tutte le questioni riguardanti la protezione dei dati
• Poter riferire direttamente al vertice gerarchico
• Poter accedere ai dati personali

12. FOIA (Freedom Of Information Act)

Con la normativa FOIA, l'ordinamento italiano riconosce la libertà di accedere alle informazioni in possesso delle pubbliche amministrazioni come diritto fondamentale. Chiunque può richiedere

dati e documenti, così da svolgere un ruolo attivo di controllo sulle attività delle pubbliche amministrazioni. L'obiettivo della norma è anche quello di favorire una maggiore trasparenza nel rapporto tra le istituzioni e la società civile, e incoraggiare un dibattito pubblico informato su temi di interesse collettivo.

GARANTE

per la protezione dei dati personali

Autorità amministrativa indipendente che verifica che il trattamento dati avvenga secondo la legge. Inoltre:

• Esamina reclami
• Adotta provvedimenti
• Applica sanzioni in caso di inadempimento degli obblighi in materia e nei casi previsti dalla legge.

INFORMATIVA

L'informativa sul trattamento dei dati personali è il documento con il quale il titolare del trattamento, in forma scritta o orale, informa il soggetto interessato circa le finalità e le modalità del trattamento.

Il GDPR prevede:

• Informativa ex art. 13: i dati sono raccolti presso l'interessato.

nel momento in cui i dati sono raccolti - Informativa ex art. 14: i dati sono raccolti da fonte diversa.

Fornita:

• Entro un mese dalla raccolta
• Al momento della prima comunicazione dei dati personali

15. OPEN GOVERNMENT

Open government è un modello di amministrazione che cerca di rendere procedimenti e decisioni più trasparenti e aperti alla partecipazione dei cittadini. Più nello specifico, un governo che si propone di essere aperto deve garantire:

• trasparenza delle informazioni: i cittadini devono poter accedere a tutte le informazioni necessarie a conoscere il funzionamento e l'operato delle pubbliche amministrazioni;
• partecipazione: tutti i cittadini, senza alcuna discriminazione, devono essere coinvolti nei processi decisionali e nella definizione delle politiche contribuendo con idee, conoscenze e abilità al bene comune e all'efficienza delle amministrazioni;
• accountability: ovvero l'obbligo dei governi di "rendere conto" ai cittadini.

messaggio è garantita dal gestore che, verificata la correttezza delle credenziali di accesso del mittente,

2. Imbusta il messaggio nella cosiddetta "busta di trasporto" e vi appone la propria firma digitale. Questa operazione consente di certificare ufficialmente l'invio e la consegna del messaggio.

3. Il gestore PEC del destinatario, alla ricezione, effettua un ulteriore controllo sulla validità della firma del gestore del mittente e provvede a prendere in carico il messaggio tentando la consegna al destinatario. A prescindere dall'esito positivo o negativo della consegna, il gestore del destinatario invia la ricevuta nella casella PEC del mittente.

17. PRIVACY BY DESIGN e PRIVACY BY DEFAULT

Principi facenti parte del GDPR che impongono al titolare di mettere in atto azioni mirate alla protezione dei dati personali al fine di soddisfare i requisiti del Regolamento e tutelare i diritti degli interessati.

18. ACCOUNTABILITY (o "responsabilizzazione")

dati devono essere trattati in conformità con quanto previsto dal Regolamento e garantire sicurezza.

19. RESPONSABILE TRANSIZIONE DIGITALE

Il Responsabile della Transizione al Digitale (RTD) è la figura dirigenziale all'interno della PA che ha il compito di riorganizzare e digitalizzare l'amministrazione stessa

COMPITI:

• Pianificazione del processo di diffusione
• Pianificazione dell'acquisto di soluzioni e sistemi informatici
• Analisi periodica della coerenza tra amministrazione e utilizzo dei sistemi informatici

Il ruolo viene individuato tra gli uffici dirigenziali dell'amministrazione. Esso risponderà poi all'organo politico o all'ufficio amministrativo stesso.

L'atto di nomina dovrà contenere, oltre alle specifiche di compiti e responsabilità, anche lo staff che lo assisterà.

20. REGISTRO ATTIVITÀ DI TRATTAMENTO (art. 30)

Il registro è un documento che raccoglie le principali informazioni sulle

attività di trattamento compiute dal titolare. - Fornisce un quadro aggiornato dei trattamenti - Consente la supervisione da parte del Garante

Deve contenere:

• Nome e dati di contatto del titolare
• Finalità del trattamento
• Descrizione delle categorie di interessati
• Categorie di destinatari
• Trasferimenti di dati verso un paese terzo
• Termini ultimi per la cancellazione
• Descrizione delle misure di sicurezza

21. RIUSO SOFTWARE (art. 69)

Le pubbliche amministrazioni che siano titolari di soluzioni e programmi informatici realizzati su specifiche indicazioni del committente pubblico, hanno l'obbligo di rendere disponibile il relativo codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta, in uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano adattarli alle proprie esigenze, salvo motivate ragioni di ordine e sicurezza pubblica, difesa nazionale e consultazioni elettorali.

22.

SANZIONI- Violazione degli obblighi del titolare: sanzioni amm. fino a 10.000.000 euro, o per le imprese, fino al 2% del fatturato totale annuo, se superiore.

- Violazione dei principi di base del trattamento: sanzioni amm. fino a 20.000.000 euro, o per le imprese, fino al 2% del fatturato totale annuo, se superiore

23. SPID (art. 64)

Gestito da AgID, SPID è l'identità digitale pubblica composta da una coppia di credenziali (username e password), strettamente personali, con cui accedi ai servizi online della pubblica amministrazione e dei privati aderenti. Al momento il sistema di identificazione predisposto dall'AGID si è sostanziato in un PIN unico che viene rilasciato dagli enti certificatori accreditati presso l'Agenzia per l'Italia Digitale previa verifica dell'identità dei richiedenti.

I soggetti che partecipano allo SPID sono:

- Gestori dell'identità digitale: soggetti che assegnano e gestiscono gli attributi utilizzati

dall'utente al fine dell'identificazione- Gestori degli attributi qualificati: soggetti che possono certificare per legge una qualifica (ordini professionali)

L'accesso allo SPID può avvenire tramite carta d'identità elettronica o carta nazionale dei servizi.

TIPI DI DATI

- Dati personali comuni: consentono di identificare direttamente o indirettamente una persona

- Dati personali particolari: origini razziali, etniche