Estratto del documento

DIRITTO DELL’ECONOMIA DIGITALE I

REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERSONALI (GDPR “general data

protection regulation”)

Regolamento elaborato in quanto ci si rende conto dell'inadeguatezza della disciplina europea in

campo di protezione dei dati personali si è avviato un processo di revisione della normativa

vigente che ha avuto inizio con una proposta della Commissione Europea del 2012.

Regolamento 2016/679 UE (GDPR): atto “self executing” > atto che si applica direttamente negli

stati membri senza richiedere disposizioni di attuazione

ha sostituito la Direttiva 95/46/CE disegnando un quadro normativo applicabile in ciascun

❖ direttiva

Stato membro focus sui diritti del titolare dei dati > fissava con rigidità una

→ regolamento

serie di obblighi per i titolari, mentre il attribuisce ai titolari una maggiore

flessibilità nel trattamento dei dati in quanto segue un principio del rischio: titolare deve

scegliere le misure adeguate in base al rischio che riguarda il trattamento dei dati

è divenuto applicabile nel 2018

❖ accountability

si basa sul principio di ossia di responsabilizzazione del titolare che

❖ effettua il trattamento dei dati quest’ultimo dovrà dimostrare di aver posto in essere

tutte le misure idonee a contrastare il verificarsi di rischi relativi al trattamento dei dati >

GDPR rispetto alla direttiva prende atto che il trattamento dei dati avvengono su larga

scale in modo costante e continuo e in quanto tale ci possono essere rischi

GDPR nel nostro ordinamento è stato ripreso da un decreto legislativo: D.lgs.10 Agosto 2018

n.101 «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE)

2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone

fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga

la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)»:

- Non ha cancellato il Codice della Privacy ma ha abrogato gli articoli non conformi ed

ormai superati

- Ha adeguato la normativa nazionale

2 livelli primo posto GDPR ossia fonte sovranazionale a cui tutti gli stati membri devono

uniformarsi e poi abbiamo il codice della privacy modificato alla luce delle norme contentue nel

GDPR

Principali novità

1. Si introducono regole più chiare su informativa e consenso

2. Si stabiliscono i limiti al trattamento automatizzato dei dati personali

3. Si pongono le basi per l’esercizio di nuovi diritti

4. Si stabiliscono criteri rigorosi per il trasferimento dei dati al di fuori dell’UE

(data breach)

5. Si fissano norme rigorose per i casi di violazione dei dati

in passato > diritto di riservatezza e alla privacy erano sinonimi; poi > art 1 ha codificato la

differenza tra i 2: da un lato vuole tutelare il titolare che da consenso al trattamento dei propri

dati, dall’altra vuole regolamentare la libera circolazione dei dati

diritto riservatezza > diritto di essere lasciato solo, diritto del singolo a tutelare le vicende

❏ della propria vita privata 1

diritto di privacy > diritto alla protezione dei dati personali e coincide con diritto di

❏ controllare la circolazione dei dati che riguardano la nostra persona

il nostro codice già aveva dato risalto a questa distinzione

Chi è tenuto ad adeguarsi?

- Tutti i soggetti pubblici e privati che effettuano il trattamento dei dati personali archiviati

in forma elettronica e/o cartacea: aziende, avvocati, commercialisti, istituzioni scolastiche,

comuni e tutti coloro che trattano dati personali, anche mediante l’ausilio di strumenti

elettronici

- Restano escluse le attività di sfruttamento dei dati personali di tipo non professionale o

domestico (uso di un social network per finalità esclusivamente personali)

- Vi rientrerebbe l’amministrazione di una fan page (l’ha detto la Corte di Giustizia) e tutte

le attività svolte da chi gestisce piattaforme di comunicazione (Considerando 18 GDPR = il

considerando è una premessa che fa il consiglio dell’UE per giustificare quanto scritto

nelle norme spesso ne anticipano e completano il contenuto delle norme)

Principali novità introdotte dal GPDR:

Rafforzamento della responsabilità del titolare ovvero del responsabile del trattamento

➢ (accountability). Titolare ≠ responsabile del trattamento. Il titolare del trattamento dovrà

applicare misure efficaci per garantire che la nuova disciplina contenuta nel regolamento

sia rispettata e dimostrare che le tecniche che ha adottato sono conformi a quanto

prescritto nel GDPR privacy by

Pubbliche amministrazioni (Stato) o imprese devono rispettare i principi di

➢ design privacy by default

e : ogni nuova attività (di trattamento) deve essere

progettata/pensata sin dal principio in modo tale da essere rispettosa della nuova

disciplina (delle norme contenute nel regolamento) garantendo una tutela di default →

questi 2 principi implicano che il titolare del trattamento dovrà attuare misure tali per cui

si limitino i rischi legati ai dati (perdita, alterazione dei dati)

Viene introdotto l’obbligo di nominare un Data protection officer (Dpo) responsabile

➢ della protezione dei dati personali (questo sogg fa da tramite tra autorità garante per la

protezione dei dati personali e il titolare del trattamento). Serve per tutti i soggetti pubblici

e per tutte le imprese (private) che trattino grandi moli di dati o svolgano attività di

profilazione o trattino dati giudiziari (relativi a condanne penali) o sensibili (salute e

tendenze sessuali) Dpo dovrà essere un professionista, un soggetto competente

soprattutto con riferimento alle norme del DPGR

Si stabilisce il diritto degli interessati alla “portabilità del dato” (data take away = portar

➢ via il dato) es. trasferimento dei propri dati da un social network ad un altro

Si introduce lo sportello unico (One –stop- shop): le imprese con diversi stabilimenti in

➢ Europa possono stabilire lo stabilimento principale e dialogare con una sola Autorità

garante nazionale in passato tutte le multinazionali con più stabilimenti erano costrette

a dialogare con i garanti di tutti i paesi in cui avevano sede i propri stabilimenti

Potenziamento dell’apparato sanzionatorio con inasprimento delle sanzioni

➢ amministrative in caso di violazione delle norme del Regolamento 2

PRINCIPALI DEFINIZIONI (sono state influenzate dalla Direttiva 95/46/CE):

Dato personale (art. 4, n.1): identificata

qualsiasi informazione riguardante una persona fisica (ben individuata) o

● identificabile (interessato = prestato il consenso al trattamento di informazioni che lo

riguardano): nome, cognome, immagine di una persona, codice fiscale

E’ identificabile la persona fisica che può essere identificata direttamente o indirettamente (es.

attraverso il codice fiscale)

insieme delle informazioni relative ad una persona fisica come gli identificativi prodotti da

➢ dispositivi on line (indirizzo IP, cookies)

dati che pur sottoposti a pseudonimizzazione possono essere oggetto di combinazione

➢ con ulteriori informazioni in modo da renderne possibile l’identificazione del soggetto.

La pseudonimizzazione è un'operazione che comporta che i dati personali relativi ad un

sogg vengano trattati in modo che gli stessi dati non possano più essere attribuiti a quel

determinato sogg senza andare a prendere delle info aggiuntive, info che dovranno

essere conservate separatamente l’utente non può essere immediatamente

identificato, ma solo andando a prendere altri dati che sono stati conservati

l’anonimato

separatamente. Si usa per garantire della persona

SOTTO CATEGORIE DI DATO PERSONALE:

Dati comuni: consentono in vario modo l’identificazione e tracciamento della persona

➢ (nome, codice fiscale, indirizzo, numero di telefono, indirizzo e-mail)

Dati sensibili rilevano particolari info sulla persona

➢ Dati super sensibili: riguardano lo stato di salute e la vita sessuale dell’individuo

➢ Dati giudiziari: rivelano la qualità di imputato o indagato del soggetto nonché tutte le

➢ informazioni in materia di casellario giudiziale (rubrica in cui sono contenuti tutti i reati

commessi da un soggetto) e di anagrafe delle sanzioni amministrative dipendenti da reati

Dati sensibili (art.9):

Informazioni che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni

★ religiose o filosofiche o l'appartenenza sindacale cui si aggiungono dati genetici, dati

biometrici idonei ad identificare in modo univoco una persona fisica, dati relativi alla

salute o alla vita sessuale o all’orientamento sessuale della persona

Si parla di dati sensibili per contrapporli ai dati comuni. Questo perché il trattamento di

★ questi dati è sottoposto a cautele aggiuntive rispetto al trattamento dei dati comuni (il

consenso al trattamento dei dati sensibili da parte dell’interessato deve essere esplicito e

fornito per uno o più finalità specifiche)

Trattamento

: definizione contenuta nell’articolo 4 del regolamento = qualsiasi operazione o

insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicati a dati

personali o insiemi di dati personali e consistente in:

1. raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento

modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, messa a

disposizione

2. raffronto tra i dati, interconnessione (mettere dati in confronto gli uni con gli altri),

limitazione

3. distruzione o cancellazione 3

4. profilazione (insieme delle attività di raccolta ed elaborazione dei dati inerenti gli utenti di

un servizio al fine di suddividerli in gruppi a seconda del loro comportamento)

la definizione di trattamento è onnicomprensiva in quanto descrive tutte le attività che

possono essere riconducibili con i dati personale

Titolare del trattamento:

- Può considerarsi a tutti gli effetti il dominus (proprietario) del trattamento dei dati

personali, è la controparte dell'interessato cui si riferiscono i dati personali

- “persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o

egli ha un

insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” →

potere di controllo sui dati e questo può derivare o dal fatto che la legge che un

determinato soggetto sia il titolare del trattamento (formalmente), oppure il controllo sui

dati personali può essere assegnato implicitamente

Nel GDPR il titolare del trattamento è una figura importantissima, nel nostro ordinamento questa

figura non è sconosciuta in quanto già prevista nel codice della privacy l’importanza del

titolare comporta che quest’ultimo deve attuare tutte le misure che siano in grado di garantire

che il trattamento avvenga in conformità delle norme del GDPR e in virtù del principio della

responsabilizzazione. Queste misure in concreto in cosa consistono? I dati devono essere

legittimamente conservata conformemente alle norme di legge. Inoltre il titolare deve attuare

procedure che mettano in sicurezza dei dati, deve agire nel rispetto dei requisiti di autorizzazione

preventiva dell’autorità di controllo e deve definire tutte le info che devono essere fornite

all’interessato ha responsabilità gravosa

Dalla def di titolare del trattamento può verificarsi una situazione di contitolarità al trattamento

dei dati persona,i. Questa situazione di contitolarità è oggetto di una norma contenuta nell'art 26:

questa norma prevede la situazione dove 2 o più titolari prevedano insieme mezzi di trattamento;

essi devono determinare in modo chiaro nei confronti dell'interessato e del garante le rispettive

responsabilità.

es. fanpage su facebook i titolari sono il gestore di facebook e il gestore della fanpage

posso rivolgermi indifferentemente a ciascun contitolare del trattamento

→ in virtù del principio di responsabilizzazione, il titolare deve adottare misure per salvaguardare i

dati secondo le norme del regolamento = privacy by design

- indicato formalmente o implicitamente

figura già stata prevista nel codice della privacy > importanza resa maggiore con il GDPR

es. datore di lavoro rispetto ai dati del lavoratore; l'università rispetto ai dati degli studenti

Responsabile del trattamento

: “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro

(art 4).

organismo che tratta dati personali per conto del titolare del trattamento”

Il responsabile deve svolgere il proprio mandato (incarico) nell'interesse e per conto del titolare: è

necessario un atto di delega da parte del titolare. Sarà necessario un atto di delega da parte del

contratto

titolare ossia un che vincola il responsabile al titolare e individua la durata, natura,

finalità del trattamento e le categorie di interessati definiti tutti gli aspetti fondamentali del

Ad es: studio professionale che svolge in outsourcing servizi contabili e di gestione

trattamento.

paghe potrà svolgere il trattamento dei dati personali di dipendenti di un datore di lavoro ma allo

stesso tempo agire come titolare del trattamento dei dati dei propri dipendenti 4

PRINCIPI GENERALI PER IL TRATTAMENTO DEI DATI PERSONALI (ART.5 del GDPR)

Liceità, correttezza e trasparenza trattamento deve essere lecito ossia conforme alle

❏ norme di legge contenute nel regolamento, deve essere corretto e trasparente (devono

essere chiare le modalità con cui i dati sono raccolti e utilizzati)

Limitazione delle finalità (determinate, esplicite e legittime) i dati devono essere

❏ raccolti per finalità determinate esplicite = conformi alla legge e legittime dati devono

essere trattati anche successivamente a quando il trattamento ha avuto inizio in modo

che non ci sia incompatibilità con tali finalità = dati raccolti non devono essere superflui

Minimizzazione dei dati (adeguatezza pertinenza e limitazione rispetto alle finalità) i

❏ dati devono essere adeguati al trattamento, pertinenti e limitati per il perseguimento delle

finalità per i quali sono stati raccolti

Da cui deriva:

Esattezza (aggiornamento) dati devono essere esatti, devono essere oggetto di un

❏ costante aggiornamento. Nel caso in cui non siano esatti se non si riescono a rettificare in

modo tempestivo, dovranno essere eliminati.

Limitazione della conservazione (per il lasso di tempo non superiore al conseguimento

❏ della finalità per i quali sono trattati) dati devono essere conservati per il tempo

necessario al raggiungimento della finalità per cui sono stati raccolti

Integrità e riservatezza dati devono essere trattati in modo da garantire sicurezza

❏ all’interessato e protegge i dati da trattamenti non autorizzati o illeciti o da perdite o

distruzione

Tali principi devono essere rispettati dal titolare del trattamento (accountability) che

❏ deve dare prova in ogni momento dell'adempimento di tali principi

CONSENSO DELL'INTERESSATO

: massima espressione dell'elemento volontaristico e del

potere dispositivo dell'interessato sui propri dati manifestazione di volontà con cui individuo

acconsente al trattamento dei suoi dati

CONSENSO

: qualsiasi manifestazione di volontà libera, specifica, informata, inequivocabile

dell'interessato, con cui lo stesso manifesta il proprio assenso, mediante dichiarazione o azione

positiva inequivocabile (che non faccia sorgere dubbi), a che I dati personali che lo riguardano

siano oggetto di trattamento. Il GDPR rafforza le condizioni per l'espressione del consenso in

modo da garantire la consapevolezza dell'interessato. Il GDPR ha definito il consenso, ma non è

stato disciplinato in maniera compiuta = critica fatta al GDPR

Il consenso deve essere:

- libero (interessato nel momento in cui presta consenso non deve essere obbligato, non

deve essere oggetto di alcun pregiudizio. L'interessato deve avere controllo dei propri dati

personali. Il consenso è libero quando non è condizionato, ma scevro ossia svincolato da

condizionamenti. Un consenso è condizionato se avviene sotto ricatto ad esempio),

informato (deve attribuire all’interessato una effettiva consapevolezza di ciò che sta

firmando e garantire il controllo del contratto all’interessato) e specifico (diretto solo a

determinati ambiti) fornito sulla base di un'informativa adeguata ed esaustiva che il

titolare deve consegnare all'interessato

- esplicito quando riguarda particolari categorie di dati (sensibili)

CONSENSO DELL'INTERESSATO

: lo analizziamo dal punto di vista del titolare = massima

espressione dell'elemento volontaristico e del potere dispositivo dell'interessato sui propri dati 5

il titolare del trattamento deve dimostrare che l'interessato ha prestato il proprio

➢ consenso

se il consenso è prestato nel contesto di una dichiarazione scritta, esso deve essere

➢ chiaramente distinto rispetto alle altre eventuali dichiarazioni rese dall'interessato su altre

materie deve essere chiaro che interessato presta consenso quando si vanno a firmare

moduli particolarmente ricchi sotto il profilo contenutistico

l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento

➢ prima di esprimere il consenso, l’interessato deve essere informato della facoltà di

➢ revocarlo in seguito, senza pregiudicare la liceità del trattamento effettuato prima della

revoca (an

Anteprima
Vedrai una selezione di 6 pagine su 22
Regolamento generale sulla protezione dei dati personali Pag. 1 Regolamento generale sulla protezione dei dati personali Pag. 2
Anteprima di 6 pagg. su 22.
Scarica il documento per vederlo tutto.
Regolamento generale sulla protezione dei dati personali Pag. 6
Anteprima di 6 pagg. su 22.
Scarica il documento per vederlo tutto.
Regolamento generale sulla protezione dei dati personali Pag. 11
Anteprima di 6 pagg. su 22.
Scarica il documento per vederlo tutto.
Regolamento generale sulla protezione dei dati personali Pag. 16
Anteprima di 6 pagg. su 22.
Scarica il documento per vederlo tutto.
Regolamento generale sulla protezione dei dati personali Pag. 21
1 su 22
D/illustrazione/soddisfatti o rimborsati
Acquista con carta o PayPal
Scarica i documenti tutte le volte che vuoi
Dettagli
SSD
Scienze giuridiche IUS/05 Diritto dell'economia

I contenuti di questa pagina costituiscono rielaborazioni personali del Publisher giulia_natta di informazioni apprese con la frequenza delle lezioni di Diritto dell'economia digitale I e studio autonomo di eventuali libri di riferimento in preparazione dell'esame finale o della tesi. Non devono intendersi come materiale ufficiale dell'università Università degli Studi di Modena e Reggio Emilia o del prof Iocca Maria Grazia.
Appunti correlati Invia appunti e guadagna

Domande e risposte

Hai bisogno di aiuto?
Chiedi alla community