Privacy

Misure di sicurezza per la protezione dei dati personali

Una delle sfide che l’Italia si trova a dover affrontare con celerità ed efficacia è quella di alzare il livello di sicurezza dei servizi ICT offerti. È una sfida preoccupante, reale, sentita in primis dal Garante della Privacy che nella giornata del 27/03/2019 ha emesso un comunicato sul proprio sito per spiegare quanto sia importante e centrale il ruolo della Cyber Security oggi più di ieri. Per poter soddisfare questa crescente esigenza di sicurezza non servono solo i tecnici, né tantomeno i “semplici” giuristi; è invece necessario che la figura del giurista, essenziale in questa sfida, si evolva e si apra ad un mondo per lui certamente nuovo ma carico di prospettive e sfide. In questa direzione e su queste…

Continua a leggere...

Privacy: quando i professionisti sono responsabili del trattamento?

Lo scorso 7 febbraio il Garante Privacy ha fornito alcune precisazioni in merito al ruolo e alle responsabilità dei Consulenti del lavoro nel trattamento dei dati dei dipendenti dei loro clienti, tenendo conto delle novità introdotte con il GDPR. I chiarimenti forniti assumono estrema rilevanza, soprattutto in considerazione della possibilità di estendere gli stessi ad altri professionisti ai fini della loro corretta qualificazione. Giova a tal proposito ricordare che il Consiglio Nazionale dei Consulenti del lavoro si era pronunciato sul punto con circolare n. 1150 del 23 luglio 2018, escludendo l’obbligo, in capo ai Consulenti del lavoro, di essere nominati responsabili del trattamento. Nell’ambito della richiamata circolare il Consiglio Nazionale dei Consulenti del lavoro si è infatti soffermato sul ruolo…

Continua a leggere...

Data breach e GDPR, spunti pratici sulla valutazione della gravità e sull’obbligo di notifica

In premessa precisiamo che il presente contributo, ponendosi come fisiologica prosecuzione dell’analisi normativa precedentemente svolta (rinvenibile al seguente link), analizzerà il fenomeno “data breach” con taglio pratico e con l’intenzione di fornire una serie di esempi e di indicazioni utili agli addetti ai lavori. In particolare, saranno esaminati i profili legati all’eventuale[1] notificazione del breach –prevista agli artt. 33 («notificazione all’Autorità di Controllo») e 34 («notificazione agli interessati») del Regolamento UE 679/2016 (“GDPR” o “Regolamento”)- e l’inevitabile rapporto che sussiste tra quest’onere posto in capo al titolare e la (corretta) valutazione del rischio che la violazione subita possa compromettere diritti e libertà degli interessati coinvolti. A tal fine risulta assai utile rifarsi ad una serie di esempi pratici riportati all’interno…

Continua a leggere...

Il “Responsabile deresponsabilizzato” e il “Titolare irresponsabile”: il teatro dell’assurdo nell’applicazione del GDPR

Le nomine dei Responsabili del trattamento dei dati personali da parte dei Titolari rincorrono percorsi che sembrano ispirati al teatro dell’assurdo e di certo non sembrano perseguire gli obiettivi legati all’accountability che pervadono il GDPR. Proviamo a fare ordine e a sfatare certe logiche legate troppo ai formalismi tipici della normativa precedente che invece il legislatore europeo richiede con forza di superare. *** Sulle sfaccettature del rapporto tra Titolare e Responsabile del trattamento (ai sensi dell’art. 28 del Regolamento 2016/679/UE – GDPR), sono stati già versati fiumi d’inchiostro e di bit. Accanto alle esegesi teoriche della norma – o, talvolta, indipendentemente da esse – il dibattito interpretativo si è sviluppato anche in relazione alle molteplici fattispecie in cui, nella prassi…

Continua a leggere...

Data breach e GDPR, breve analisi normativa

Nel corso degli ultimi anni il tema legato alla violazione dei dati personali (o “data breach”) è stato oggetto di un interesse crescente che, dapprima limitato ai soli esperti in materia e alle rubriche specializzate, ha di recente attecchito anche all’interno dell’informazione quotidiana e generica. Traspare quindi la necessità di fare chiarezza in merito al substrato normativo in materia, analizzando le disposizioni presenti all’interno del Regolamento UE n. 679/2016 (“GDPR” o “Regolamento”) e soffermandosi, brevemente, sulle Linee Guida dettate sul punto dal “Gruppo di Lavoro Articolo 29 per la Protezione dei Dati (WP29)” (in seguito le “Linee Guida”). Per quanto nell’immaginario comune si tenda a far coincidere un data breach con una sottrazione di dati personali altrui, il GDPR, all’articolo…

Continua a leggere...

Le regole deontologiche nella normativa nazionale di adeguamento al GDPR

L’art. 2-quater del codice in materia di protezione dei dati personali introdotto dal d.lgs. n.101/2018, disciplina le regole deontologiche nelle materie riservate agli Stati membri. L’articolo affida al Garante per la protezione dei dati personali l’attività di promozione della sottoscrizione di “Regole deontologiche” negli ambiti in cui il regolamento riserva la materia agli Stati membri. In particolare, il regolamento prevede che il legislatore nazionale possa individuare disposizioni più specifiche, nonché determinare requisiti ad hoc relativamente a: a) trattamenti necessari per adempiere un obbligo legale; b) trattamenti necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri; c) trattamento di dati genetici, biometrici o relativi alla salute; d) talune specifiche situazioni di trattamento, come ad esempio…

Continua a leggere...

Privacy by design e privacy by default

I principi della c.d. “privacy by design” e “privacy by default”, congiuntamente col principio della c.d. “accountability” (con cui si pongono in stretto contatto), rappresentano un punto focale del Regolamento UE n. 679/2016 (“GDPR” o “Regolamento”), connotando quella che è stata la ratio legis del Legislatore comunitario nell’elaborazione della nuova normativa europea in materia di trattamento dei dati personali. In particolare, alla base del Regolamento, traspare chiaramente la necessità di introdurre un generale principio di responsabilità che richieda ai titolari e ai responsabili del trattamento di mettere in atto misure adeguate ed efficaci per garantire che gli obblighi normativamente prescritti siano effettivamente rispettati. Al tempo stesso, sussiste la parallela esigenza di lasciar spazio ad una certa adattabilità che consenta di…

Continua a leggere...

Le misure di garanzia per i dati genetici, biometrici e relativi alla salute

Con riferimento ai dati genetici, biometrici e relativi alla salute, il d.lgs. n. 101/2018 all’art. 2 introduce l’art. 2-septies del codice in materia di protezione dei dati personali che argomentando da quanto sancito dall’art. 9, par. 4 del GDPR il quale prevede una specifica “riserva” della normativa nazionale dispone che il relativo trattamento è subordinato anche al rispetto di misure di garanzia previste dal Garante con provvedimento adottato con cadenza almeno biennale. Lo stesso provvedimento dovrà tener conto: a)  delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali; b)   dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure; c)…

Continua a leggere...

I registri delle attività di trattamento

I registri delle attività di trattamento si sostanziano in una tipica traduzione a livello pratico del più ampio principio di accountability che permea il Regolamento Europeo 679/16 per la protezione dei dati personali (GDPR o Regolamento). Il detto principio, altresì noto come principio di rendicontazione o di responsabilità, impone al titolare del trattamento l’obbligo di dimostrare l’adozione di un processo complessivo di misure giuridiche, amministrative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi. In altri termini, si richiede al titolare un ampio margine di proattività, diviene fondamentale assumere delle scelte ponderate che si traducano nell’adozione di misure adeguate, efficaci ed in grado di dimostrare la conformità delle attività di trattamento con il GDPR. È…

Continua a leggere...

Accreditamento e certificazione nel Regolamento UE 2016/679 – introduzione

Il Regolamento UE 2016/679 (di seguito Regolamento) agli articoli 42 e 43, prevede e incoraggia l’istituzione di meccanismi per la certificazione della protezione dei dati personali ai fini della corretta applicazione del Regolamento e della dimostrazione della conformità allo stesso dei trattamenti effettuati dai titolari e dai responsabili del trattamento (cfr. considerando 77, 81 e 100 e articoli 24 (3), 25(3), 28(5), 32(3), 35(8), 46(2) e 83(2)). La certificazione rappresenta uno strumento utile per il titolare e il responsabile del trattamento per dimostrare il rispetto degli obblighi, le garanzie sufficienti, la conformità a requisiti di protezione dei dati. In soggetti usualmente coinvolti in un sistema di accreditamento e certificazione sono: – l’azienda/ente che richiede la certificazione; – l’organismo di certificazione…

Continua a leggere...