Regolamento Europeo 2016/679 è il testo per la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tra le misure privacy da adottare nel rispetto del Regolamento Europeo 679, c’è quella di redigere e conservare opportune documentazioni quali i Registri delle attività di trattamento secondo l’art. 30 (nel caso di imprese o organizzazioni con meno di 250 dipendenti), in cui vengano riportare tutte le attività di trattamento dei dati svolte sotto la responsabilità del “titolare” al trattamento o del responsabile.
Viene richiesto anche di cooperare con l’autorità di controllo notificando qualsiasi violazione dei dati personali alla stessa e al diretto interessato entro 72 ore dal momento in cui se ne è venuti a conoscenza, all’autorità di controllo competente, e senza ingiustificato ritardo secondo l’art. 33.
Il Regolamento Europeo è entrato in vigore il 25 maggio 2016 e si applicherà in tutti gli Stati Membri a partire dal 25 maggio 2018, termine entro il quale le aziende dovranno adeguarsi alla nuova legge sulla privacy. Con applicazione in tutti gli Stati Membri (a partire dal 25 maggio 2018) del regolamento Privacy 679, i Titolari e Responsabili del trattamento dovranno seguire il “principio della accountability” (art. 5 co. 2) che comporterà l’onere di dimostrare l’adozione, senza convenzionalismi, di tutte le misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al Regolamento (art. 24-25 e l’intero CAPO IV).
I regolamenti UE sono immediatamente esecutivi e non richiedendo la necessità di recepimento da parte degli Stati membri e garantiscono una maggiore armonizzazione a livello dell’intera UE.
L’applicazione da parte in tutti gli Stati Membri del Regolamento EU 2016/679 Privacy, permetterà che la medesima normativa sia contemporaneamente in vigore in tutti gli stati dell’Unione Europea.
La diffusione tecnologica, oltre a favorire i tradizionali scambi di beni e di servizi, ha permesso la condivisione globale di informazioni sensibili, sollevando numerose criticità soprattutto in materia di trattamento dei dati personali. Nell’era della digitalizzazione, sempre più individui rendono progressivamente pubbliche sulla rete mondiale le informazioni private che li riguardano e le autorità pubbliche e le imprese possono utilizzare questi dati personali resi pubblici nello svolgimento delle loro attività.
Esso concorrerà a ristabilire un clima di fiducia verso aziende e istituzioni, facilitando gli scambi, gli investimenti e l’economia digitale. Modificherà profondamente l’attuale modo di operare, obbligando a passare da un approccio “compilativo” ad un approccio basato sulla responsabilità e sulla verifica dell’efficacia. Fondamentali possono considerarsi l’introduzione del Risk Assessment (art. 35), del Privacy Impact Assessment (art. 35 e 36) e degli importanti concetti di privacy by design e privacy by default (art. 25).
Il Regolamento 679 Europeo Privacy o GDPR introdurrà nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento di dati personali. Il Regolamento Privacy andrebbe vissuto dalle aziende non come una serie di “adempimenti”, ma come una serie di “strumenti” e di “tutele” a vantaggio di chi tratta i dati personali. Quindi non solo privacy, ma anche sicurezza informatica.
Per tutti i dettagli e le casistiche previste per le sanzioni, si rimanda direttamente al Regolamento Privacy art. 83. In ogni caso, per di mancato rispetto di queste norme, il General Data Protection Regulation – GDPR – consente alle autorità di protezione dei dati di emettere multe fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo di una società.
Si, ed è per questo che si rende necessario un quadro legislativo comune e omogeneo in materia di protezione dei dati personali e di libera circolazione dei dati che sia di portata mondiale
In sintesi:
In sintesi qui di seguito elenchiamo:
Occorre aumentare la “fiducia” dell’Utente che usa il web per i suoi acquisti per dare una spinta allo sviluppo dell’economia digitale. Nel mercato UE, l’esistenza di regole non uniformi e modalità di applicazione differenziate comportano incertezza e costi per imprese, ostacolano l’integrazione dei mercati intra UE e l’attività economica negli stati membri. Sono sempre più numerose le situazioni di trattamento dei dati di soggetti intra UE da parte di operatori extra UE. Questa realtà fa si che se le regole applicabili sono molto diverse, si produce una distorsione della concorrenza e carenze di protezione.
L’applicazione delle norme previste dal Regolamento anche ai “dati personali trattati all’estero” da imprese che sono attive sul mercato unico e offrono servizi ai cittadini dell’Unione è un elemento fondamentale della proposta, così come l’obbligo per gli Stati Membri di “istituire Autorità di controllo indipendente” per la protezione dei dati e la “creazione di un Comitato europeo” per la protezione dei dati indipendente e composto dal responsabile dell’autorità di controllo indipendente di ciascun Paese e dal garante europeo della protezione dei dati. Per maggiori informazioni in merito a questi principi, fare riferimento al CAPO V (artt. dal 44 al 50) e al CAPO VI (artt. dal 51 al 59).
Responsabile Protezione Dati personali – Data Protection Officer è una figura obbligatoria in specifici contesti, con compiti di consiglio, informazione e controllo in merito agli obblighi legali relativi alla Privacy. Il DPO è obbligatorio per:
Per poter svolgere le attività richieste, Il Data Protection Officer deve avere un’adeguata conoscenza della normativa privacy e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali (art. 37 comma 5). Deve inoltre predisporre un articolato insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza (art. 39). In sintesi DPO deve essere:
In base all’articolo 37, paragrafo 5, il RPD “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento.
Lo staff tecnico di MODI SRL di Spinea, Mestre Venezia, assume il ruolo di DPO (“Data Protection Officer”) quale figura competente sia in aree giuridiche che informatiche, con il compito di analizzare, valutare e disciplinare la gestione del trattamento dei dati personali e della salvaguardia degli stessi all’interno dell’azienda Cliente, secondo le direttive imposte dalle normative vigenti.
All’interno del Regolamento Europeo 2016/679, viene indicato che il “Data Protection Officer” (quale figura autonoma), esegue le proprie funzioni in completa indipendenza per poi riferire sul suo operato direttamente ai vertici aziendali.
I vertici aziendali, per la piena esecuzione dei compiti portati avanti dal “Data Protection Officer”, devono fornire le risorse necessarie affinché egli possa articolare in autonomia e senza ricevere alcuna istruzione o impostazione gerarchica, l’insieme di misure di sicurezza finalizzate alla tutela dei dati che garantiscano l’osservanza del Regolamento Europeo e assicurino riservatezza e sicurezza (art. 37 comma 6).
Il “consenso” è la libera indicazione della volontà del soggetto interessato di accettare esplicitamente una specifica operazione di trattamento relativa ai propri dati personali, di cui era stato informato in anticipo da colui che ha il potere di decidere su tale elaborazione (il Titolare del trattamento).
Alcuni tipi di trattamento possono essere eseguiti senza il consenso dell’Interessato, ai sensi della sezione 24 del Codice italiano in materia di protezione dei dati.
Il Regolamento UE 679/2016 tratta negli articoli 7 e 8 il “consenso” quale onere della prova della sussistenza del consenso al trattamento prestato dall’interessato è in capo al titolare.
In qualsiasi momento l’interessato può revocare il proprio consenso, senza che questo pregiudichi la liceità del trattamento già effettuato precedentemente.
Il trattamento dei dati del minore è lecito solo se questo abbia almeno 16 anni (in alcuni stati anche 13), altrimenti è necessario il consenso prestato o autorizzato dal titolare della responsabilità genitoriale.
Il dato sensibile è il dato personale che, per sua natura, richiede particolare attenzione: i dati sensibili rivelano origine razziale o etnica, credenze religiose o altre convinzioni, opinioni politiche, tesseramento a partiti, sindacati o associazioni, salute e vita sessuale.
L’informativa è un avviso contenente le informazioni che il Titolare del trattamento è tenuto a fornire a tutti gli interessati, sia per via orale che per iscritto, in modo chiaro conciso, in merito a quando e come i dati vengono raccolti sia direttamente dall’Interessato che tramite terzi, e come gli stessi vengono utilizzati.
Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti della persona fisica.
Il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di in- formazioni aggiuntive, a condizione che tali in- formazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona identificata o identificabile.
Oggi come oggi, il conceto di privacy non è solo il diritto di essere «lasciati in pace» o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare l’uso e la circolazione di dati personali che costituiscono il bene primario della «società dell’informazione».
I principali soggetti della Privacy sono: l’interessato, il titolare del trattametno dei dati, il Reponsabile del trattamento, il DPO, il terzo e l’Autorità di Constrollo.
I punti fondamentali del nuovo Regolamento 2016/679 sono i seguenti:
Poiché il GDPR andrà a sostituire la normativa nazionale in materia di protezione dei dati personali, impattando anche sulle imprese con sede fuori dall’UE, è importante per tutti preoccuparsi fin da subito di raggiungere una sufficiente conformità con il dettato normativo europeo.
Il primo punto fondamentale sarà quello relativo al consenso, da ottenere nei confronti dell’interessato al trattamento, sia per i dati che devono essere ancora raccolti, sia per quelli già in possesso.
I dati già in possesso saranno oggetto di audit per verificare che rispettino il consenso.
Il secondo punto riguarda l’obbligo di notifica, entro 72 ore, di ogni violazione dei dati (data breach), sia al DPO che agli interessati.
Ogni organizzazione dovrà essere pronta ad eliminare i dati dell’interessato che ne faccia richiesta, sia perché i dati sono stati acquisiti illecitamente, sia perché lo permette la legge.
Si dovranno quindi implementare sistemi che rispondano prontamente alle richieste di «essere dimenticati».
La gestione del rischio dovrà costituire un processo integrato già dalla progettazione di una soluzione per assicurare la tutela dei dati personali (privacy by design), quando cioè la possibilità di eliminare eventuali minacce è più veloce, più efficace e meno onerosa.
In determinate circostanze previste dal Regolamento, dovrà essere nominata la figura, rappresentata dal DPO, di un responsabile della protezione dei dati, da individuarsi sia tra i dipendenti dell’azienda, sia servendosi di consulenti esterni, esperti in materia.
Sempre per specifici casi mandatori (seppur sia consigliato a tutti), ci si dovrà dotare di un registro delle attività di trattamento, distinto tra quello del Titolare e quello del o dei Responsabili.
Tale documento dovrà essere aggiornato con frequenza, affinché rappresenti realisticamente l’attività svolta in dell’azienda.
Il Regolamento UE 679/2016 è composto di 99 articoli suddivisi in 11 Capi.
Il Regolamento 679/16 si apre con alcune disposizioni generali, suddivise in 2 CAPI:
“Disposizioni” generali che comprendono gli articoli da 1 a 4 e sono dedicate a individuare:
E “Principi” che comprendono gli articoli da 5 a 11 e disciplinano:
Il titolare/beneficiario del diritto alla protezione dei dati è la persona fisica.
Il regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, compresi il nome e la forma della persona giuridica e i suoi dati di contatto
(considerando n. 14);
Il regolamento non si applica ai trattamenti di dati personali solo quando si è in presenza di trattamento per finalità esclusivamente personali o domestiche (art,2, co. 2, lett. c ); considerando n. 18 e 27)
La libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla tutela non armonizzata delle persone fisiche con riguardo al trattamento dei dati personali.
Il trattamento può essere interamente, parzialmente o non automatizzato.
Per il trattamento dei dati effettuato da istituzioni, organi, uffici e agenzie dell’Unione, si applica il Regolamento 45/2001.
La protezione dei diritti della persona è obiettivo da garantire soprattutto quando il dato personale passa “di mano in mano”.
Gli stessi “considerando” del Regolamento ritengono opportuno che le persone fisiche debbano avere il controllo dei dati personali.
La circolazione delle informazioni è elemento necessario dello sviluppo e del progresso economico.
Il Regolamento riprende, grazie all’intervento del Garante italiano, alcune definizioni (art. 4) già presenti nel D.lgs. 196/03, come quella di «titolare», «responsabile» e «interessato», ma introduce anche nuovi termini che vanno a sostituire o integrare il vocabolario normativo in materia.
Alcuni esempi:
Secondo i “Principi generali” (art. 5, 6, 7) il trattamento del dato deve essere lecito, corretto e trasparente e le finalità devono essere determinate, esplicite, legittime. Il dato deve essere adeguato, pertinente, limitato esatto, aggiornato e conservato per il tempo necessario per il quale è stato raccolto.
Le condizioni di liceità del consenso prevedono la presenza del consenso e l’obbligo di trattamento (insieme di operazioni riguardanti i dati personali come ad esempio la raccolta, modifica, uso, cancellazione e distruzione)
I dati vengono trattati per adempiere ad un obbligo legale, per la salvaguardia degli interessi vitali dell’interessato o di altra persona fisica, per l’esecuzione di un compito di interesse pubblico o connesso a pubblici poteri di cui è investito il titolare del trattamento, per il perseguimento del legittimo interesse de titolare del trattamento e di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Assolvere obblighi ed esercitare diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza e protezione sociale. Il trattamento si basa sul diritto dell’Unione o dello stato membro cui è soggetto il Titolare.
Secondo il Regolamento UE 679/16 alcune categorie di dati sono soggetti a regole stringenti?
Si per esempio i trattamenti particolari e relativi a condanne penali (art. 9, 10). In particolare, per i dati personali relativi a condanne penali e reati o connesse misure di sicurezza, può avvenire soltanto sotto il controllo dell’autorità pubblica o dietro autorizzazione del diritto dell’Unione o degli Stati Membri.
Alcune categorie particolari di dati (sesso, origine razziale/etnica, convinzioni religiose e appartenenza politica, etc.) sono soggette a regole stringenti, in mancanza delle quali è vietato ogni trattamento:
Con il termine by Design si intende protezione dei dati fin dalla progettazione. L’obiettivo è ridurre al minimo il trattamento dei dati personali, mediante misure tecniche e organizzative (es. pseudonimizzazione dei dati personali), in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali.
Il Contitolare del Trattamento è una persona fisica o giuridica, che affianca il Titolare e a cui competono diverse responsabilità decise tramite accordo interno (art.26)
L’accordo tra le parti, redatto in forma libera, deve riflettere in modo puntuale i ruoli reciproci (art.26.2), il riparto degli obblighi previsti dal Regolamento (art. 26.1), il rapporto reciproco nel confronto degli interessati (art. 26.2), come ad esempio in materia di riscontro e di fornitura dell’informativa (art. 26.1) e sebbene non direttamente accessibile nella sua totalità deve essere conosciuto dall’interessato il contenuto essenziale ma risulta inopponibile all’interessato che può rivolgersi a chi vuole.ù
Il Contitolare del Trattamento è una persona fisica o giuridica, che affianca il Titolare e a cui competono diverse responsabilità decise tramite accordo interno (art.26)
L’accordo tra le parti, redatto in forma libera, deve riflettere in modo puntuale i ruoli reciproci (art.26.2), il riparto degli obblighi previsti dal Regolamento (art. 26.1), il rapporto reciproco nel confronto degli interessati (art. 26.2), come ad esempio in materia di riscontro e di fornitura dell’informativa (art. 26.1) e sebbene non direttamente accessibile nella sua totalità deve essere conosciuto dall’interessato il contenuto essenziale ma risulta inopponibile all’interessato che può rivolgersi a chi vuole.
Il Responsabile del Trattamento – Data Processor è una funzione di sostegno operativo per il Titolare.
E’ fondamentale che sia una figura seria e affidabile e che presenti tutte le garanzie per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi il GDPR.
Tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale.
Non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche. Se il secondo Responsabile omette di adempiere agli obblighi in materia di protezione dei dati, è comunque il primo Responsabile che ne risponde al Titolare. Se un Responsabile determina le finalità ed i mezzi del trattamento, è considerato titolare del trattamento in questione.
A differenza che nel Codice Privacy, il nuovo Regolamento UE non utilizza espressamente il termine «incaricato», ma fa confluire in «terzo» chiunque sia sotto l’autorità diretta del Titolare o del Responsabile. (art. 10, n. 10).
Il Regolamento europeo dà un ampio spazio ai diritti dell’interessato rispetto al passato, ed un intero capo del regolamento europeo è dedicato a tale argomento.
Diritti di natura conoscitiva: Diritto all’informativa Diritto di accesso Diritto alla comunicazione di una violazione dei dati Diritti di controllo: Consenso al trattamento Diritto di limitazione del trattamento Revoca del consenso al trattamento Diritto di opposizione al trattamento Diritto alla portabilità dei dati Diritto di rettifica ed integrazione Diritto alla cancellazione e all’oblio Decisioni basate unicamente su trattamento automatizzato
In particolare ha assunto rilievo il cosiddetto DIRITTO ALL’OBLIO (art. 17)
Il diritto ad «essere dimenticati» deve concordarsi con il diritto di informazione e di libera espressione (si pensi ad un fatto di cronaca in cui è coinvolto l’interessato), e in generale con l’interesse pubblico e con eventuali obblighi legali.
Pertanto l’interessato non sempre potrà richiedere la cancellazione immediata dei dati che lo riguardano (riportati ad esempio da un sito web) fintanto che tali dati avranno una rilevanza pubblica, stante ovviamente la correttezza degli stessi.
L’interessato ha diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano se sussiste uno dei seguenti motivi:
Il diritto alla cancellazione non si applica se il trattamento è necessario:
L’interessato ha il diritto di ottenere la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
Se il trattamento è limitato, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento di un diritto in sede giudiziale, o per motivi di interesse pubblico.
L’obiettivo del Regolamento 679/2016 è quello di rafforzare il controllo sui propri dati personali quando questi sono trattati con mezzi automatizzati:
Il diritto dell’Unione Europea o dei singoli Stati membri può imporre limitazioni al diritto alla portabilità dei dati, se conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.
Si applica solo dietro consenso o se la stessa è necessaria per l’esecuzione di un contratto
NON si applica nei confronti dei titolari che trattano dati nell’esercizio delle loro funzioni pubbliche (es. obbligo legale)
NON deve obbligare il titolare ad adottare o mantenere sistemi di trattamento compatibili
L’informativa deve contenere la possibilità per l’interessato di richiedere la portabilità dei suoi dati.
I cookie sono delle stringhe di testo di piccole dimensioni che i siti visitati dall’utente inviano al suo terminale o browser, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Questi possono essere di prima e terza parte.
L’editore del sito è chiamato a dare informativa sui cookie da lui installati.
Nell’ambito dei siti internet non basta inserire la privacy policy in un’unica pagina web indicante ogni informazione sui dati trattati ma andranno create tante informative quanti sono i tipi di cookie utilizzati.
In presenza di un sito internet contenente cookie analitici di terze parti dove sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già si dispone è sufficiente la sola informativa dei cookie, nel caso in cui non vengano adottati strumenti che riducono il potere identificativo dei cookies o la terza parte incrocia le informazioni raccolte con altre di cui già si dispone, sarà necessario predisporre l’informativa, inserire un banner con informativa breve e notificare al Garante Privacy l’uso di questi cookie.
In presenza di “profilazione” con cookie analitici di terza parte è necessaria l’informativa e il banner.
La tenuta di un registro del consenso degli utenti per l’accettazione dei cookie nel proprio dispositivo è obbligatorio nel momento in cui è presente l’obbligo di inserimento del banner ed è necessario tenerlo in modo tale che, in caso di richiesta da parte di un visitatore, ci sia la possibilità di prenderne visione e che sia possibile cancellare i dati del visitatore.
Nel caso in cui nel sito siano presenti solo cookie tecnici, analitici di prima parte e di terza parte (nel momento in cui vengono anonimizzati i dati e non c’è un incrocio degli stessi da parte della terza parte) non sussiste l’obbligo di tenuta del registro del consenso.
La notifica al Garante Privacy va inviata nel caso in cui: • vengono utilizzati cookie analitici di terze parti e non sono stati adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui dispone • sono presenti cookie di profilazione di prima parte.
Anche il Regolamento 679 si occupa di videosorveglianza stabilendo che il titolare del trattamento è tenuto a procedere con un preventivo data protection impact assesement (DPIA) ex art. 35 Regolamento UE 2016/679 nelle ipotesi di sorveglianza sistematica su larga scala di zona accessibile al pubblico.
Chi fa uso della videosorveglianza, deve effettuare, nel rispetto del principio di proporzionalità, la scelta e le modalità della ripresa e la dislocazione delle telecamere affinché le stesse registrino i dati pertinenti e non eccedenti allo scopo della ripresa stessa.
Ad esempio l’angolo di visuale della ripresa deve essere limitato ai soli spazi di esclusiva pertinenza, escludendo ogni registrazione audio-video di aree comuni, o ancora i soggetti interessati dalle riprese devono essere informati con apposita cartellonistica (visibile anche in orario notturno) e avvisati che stanno accedendo ad una zona video sorvegliata.
La “videosorveglianza“ che le persone fisiche fanno per scopi esclusivamente personali (videocitofono, sistema di ripresa di sicurezza ecc) se non viene condivisa/diffusa sistematicamente con terzi e non vengono rese pubbliche le riprese, non si applica la normativa Privacy.
E’ opportuno ricordare che con il Jobs Act e il D.lgs. 151/2015 si elimina il divieto di utilizzo di strumenti audiovisivi e di controllo a distanza applicati agli strumenti utilizzati dal lavoratore per eseguire le sue mansioni, e agli strumenti di registrazione degli accessi e delle presenze. Non serve nessun previo accordo con i sindacati. Viene inoltre codificato il controllo difensivo, prima solamente contemplato dalla Giurisprudenza. I dati raccolti dunque possono essere utilizzati per ogni finalità connessa al rapporto di lavoro (anche disciplinare), l’importante è che il Datore di Lavoro abbia dato al lavoratore una precisa informativa privacy con l’obbligo di osservanza.
In un’intervista ufficiale di Antonello Soro, pubblicata sul sito ufficiale del Garante Privacy il 20 Aprile 2018, è stato evidenziato come il General Data Protection Regulation, ormai in vigore, preveda una semplificazione degli obblighi del titolari in ragione delle caratteristiche del trattamento effettuato. Inoltre, in tale sede, è stato confermato che il decreto legislativo di recepimento dell’ordinamento interno del Gdpr, nella versione approvata dal Consiglio dei ministri, preveda un’ulteriore semplificazione per le micro, piccole e medie imprese, rimandando al Garante la previsione di ulteriori semplificazioni. Il decreto di recepimento sarà pubblicato sulla Gazzetta Ufficiale nei prossimi mesi.
La capacità di protezione dati è sinonimo di buona impresa, di competitività e buona reputazione. Un’azienda che non è in grado di proteggere il proprio patrimonio informativo tendenzialmente tenderà a essere emarginata dal mercato perché da una parte sarà considerata vulnerabile ad attacchi informatici e furti di identità, dall’altra avendo indebolito le garanzie offerte su questo terreno ai clienti, risulterà meno competitiva.
Il documento che può essere preso come riferimento per interpretare il GDPR in merito alla questione è la linea guida “il GDPR e l’avvocato” (cliccare qui per visionare il documento), emesso dal CNF (Consiglio Nazionale Forense), in cui vengono distinti i casi in cui l’avvocato è da considerarsi “titolare” o “responsabile” del trattamento dei dati.
Nel paragrafo titolato “Quando l’avvocato è titolare?” si evidenzia (pag.14) che “L’avvocato sarà titolare del trattamento di tutte le informazioni che vengono allo stesso fornite dagli assistiti in virtù o in correlazione del mandato ricevuto.”.
Nel paragrafo titolato “Quando l’avvocato è responsabile del trattamento?” si evidenzia (pag. 22) che “L’avvocato può anche essere responsabile del trattamento dei dati personali nel momento in cui – ad esempio – gli venga richiesta una consulenza da un soggetto che è titolare del trattamento.”
Come si evince, possono quindi sussistere entrambi i casi, per cui è giusto considerare l’avvocato come un possibile “responsabile del trattamento”.
Nel decreto sono state indicate le seguenti disposizioni per l’adeguamento al regolamento (UE) 2016/679:
Il testo del Decreto pubblicato in Gazzetta ufficiale è entrato ufficialmente in vigore a partire dal 19 settembre 2018.
Ultima verifica: 05/05/2021
- M. Z. il 11/03/2024
- U. G. il 11/03/2024
- B. G. il 11/03/2024
- M. F. il 11/03/2024
- A. S. il 30/01/2024
- M. V. il 27/01/2024
- D. A. il 19/12/2023
- S. R. il 18/12/2023
- a. . il 17/12/2023
- D. Z. il 14/11/2023
LEGGI LE RECENSIONI(CONEPO SERVIZI SCARL) Grazie!
(CONEPO SERVIZI SCARL) Sei ore passate bene buon corso!!
(CONEPO SERVIZI SCARL) Ottimo corso
(VENEZIA SERVIZI SRL) Chiaro ed esaustivo
(MIRCO SANTI SRL) Nostro fornitore pluriennale, MODI offre sempre corsi di alto livello sia in aula che online tenuti da docenti...
(NAUTILUS S.R.L.) Molto interessante. Ottimo docente
(Barry-Wehmiller Packaging Systems Italia S.r.l.) Bel corso. Interessante.
(Barry-Wehmiller Packaging Systems Italia S.r.l.) ho seguito il corso per preposti perchè è obbligatorio. Devo dire che la formazione mi è servita anche a capire...
(Barry-Wehmiller Packaging Systems Italia S.r.l.) Ho seguito il corso per Preposto che la mia Azienda ha organizzato presso la nostra sede e sono rimasto soddisfatto del...
(Compagnia Mercantile SRL) Lezione esaustiva con molti esempi, accompagnata da un'ottima spiegazione da parte del docente.