PROFESSIONE E STUDIO DIGITALE
Data breach e GDPR, breve analisi normativa
Nel corso degli ultimi anni il tema legato alla violazione dei dati personali (o “data breach”) è stato oggetto di un interesse crescente che, dapprima limitato ai soli esperti in materia e alle rubriche specializzate, ha di recente attecchito anche all’interno dell’informazione quotidiana e generica. Traspare quindi la necessità di fare chiarezza in merito al substrato normativo in materia, analizzando le disposizioni presenti all’interno del Regolamento UE n. 679/2016 (“GDPR” o “Regolamento”) e soffermandosi, brevemente, sulle Linee Guida dettate sul punto dal “Gruppo di Lavoro Articolo 29 per la Protezione dei Dati (WP29)” (in seguito le “Linee Guida”). Per quanto nell’immaginario comune si tenda a far coincidere un data breach con una sottrazione di dati personali altrui, il GDPR, all’articolo…
Continua a leggere...Le regole deontologiche nella normativa nazionale di adeguamento al GDPR
L’art. 2-quater del codice in materia di protezione dei dati personali introdotto dal d.lgs. n.101/2018, disciplina le regole deontologiche nelle materie riservate agli Stati membri. L’articolo affida al Garante per la protezione dei dati personali l’attività di promozione della sottoscrizione di “Regole deontologiche” negli ambiti in cui il regolamento riserva la materia agli Stati membri. In particolare, il regolamento prevede che il legislatore nazionale possa individuare disposizioni più specifiche, nonché determinare requisiti ad hoc relativamente a: a) trattamenti necessari per adempiere un obbligo legale; b) trattamenti necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri; c) trattamento di dati genetici, biometrici o relativi alla salute; d) talune specifiche situazioni di trattamento, come ad esempio…
Continua a leggere...Privacy by design e privacy by default
I principi della c.d. “privacy by design” e “privacy by default”, congiuntamente col principio della c.d. “accountability” (con cui si pongono in stretto contatto), rappresentano un punto focale del Regolamento UE n. 679/2016 (“GDPR” o “Regolamento”), connotando quella che è stata la ratio legis del Legislatore comunitario nell’elaborazione della nuova normativa europea in materia di trattamento dei dati personali. In particolare, alla base del Regolamento, traspare chiaramente la necessità di introdurre un generale principio di responsabilità che richieda ai titolari e ai responsabili del trattamento di mettere in atto misure adeguate ed efficaci per garantire che gli obblighi normativamente prescritti siano effettivamente rispettati. Al tempo stesso, sussiste la parallela esigenza di lasciar spazio ad una certa adattabilità che consenta di…
Continua a leggere...Il GDPR e i servizi cloud
Premessa Uno dei temi maggiormente rilevanti posti dal GDPR (Regolamento UE n. 679/2016) è certamente l’approccio al cloud computing, realtà ormai affermata nella vita quotidiana di aziende e professionisti ma che deve certamente fare i conti con le disposizioni ora in vigore in materia di protezione dei dati personali. Senza timore di smentita è possibile affermare che l’evoluzione di questa tecnologia sia stata una di quelle che maggiormente hanno spinto il legislatore europeo all’adozione di una normativa applicabile tendenzialmente in tutto il mondo. Per rendersi conto della correttezza di tali affermazioni è sufficiente leggere l’art. 3, comma 2, del Regolamento, laddove si prevede l’applicabilità dello stesso “al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un…
Continua a leggere...Le misure di garanzia per i dati genetici, biometrici e relativi alla salute
Con riferimento ai dati genetici, biometrici e relativi alla salute, il d.lgs. n. 101/2018 all’art. 2 introduce l’art. 2-septies del codice in materia di protezione dei dati personali che argomentando da quanto sancito dall’art. 9, par. 4 del GDPR il quale prevede una specifica “riserva” della normativa nazionale dispone che il relativo trattamento è subordinato anche al rispetto di misure di garanzia previste dal Garante con provvedimento adottato con cadenza almeno biennale. Lo stesso provvedimento dovrà tener conto: a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali; b) dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure; c)…
Continua a leggere...La profilazione e il processo decisionale automatizzato
Il processo decisionale automatizzato è disciplinato dall’art. 22 del Regolamento EU/2016/679 che prevede che l’interessato abbia il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona, quali il rifiuto automatico di una domanda di credito online o pratiche di assunzione (o licenziamento) elettronica senza interventi umani. Anzitutto occorre intendersi su cosa sia un processo decisionale automatizzato: si tratta di una decisione assunta da un algoritmo, senza intervento umano. Tale trattamento comprende la «profilazione», che consiste in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine…
Continua a leggere...I registri delle attività di trattamento
I registri delle attività di trattamento si sostanziano in una tipica traduzione a livello pratico del più ampio principio di accountability che permea il Regolamento Europeo 679/16 per la protezione dei dati personali (GDPR o Regolamento). Il detto principio, altresì noto come principio di rendicontazione o di responsabilità, impone al titolare del trattamento l’obbligo di dimostrare l’adozione di un processo complessivo di misure giuridiche, amministrative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi. In altri termini, si richiede al titolare un ampio margine di proattività, diviene fondamentale assumere delle scelte ponderate che si traducano nell’adozione di misure adeguate, efficaci ed in grado di dimostrare la conformità delle attività di trattamento con il GDPR. È…
Continua a leggere...Accreditamento e certificazione nel Regolamento UE 2016/679 – introduzione
Il Regolamento UE 2016/679 (di seguito Regolamento) agli articoli 42 e 43, prevede e incoraggia l’istituzione di meccanismi per la certificazione della protezione dei dati personali ai fini della corretta applicazione del Regolamento e della dimostrazione della conformità allo stesso dei trattamenti effettuati dai titolari e dai responsabili del trattamento (cfr. considerando 77, 81 e 100 e articoli 24 (3), 25(3), 28(5), 32(3), 35(8), 46(2) e 83(2)). La certificazione rappresenta uno strumento utile per il titolare e il responsabile del trattamento per dimostrare il rispetto degli obblighi, le garanzie sufficienti, la conformità a requisiti di protezione dei dati. In soggetti usualmente coinvolti in un sistema di accreditamento e certificazione sono: – l’azienda/ente che richiede la certificazione; – l’organismo di certificazione…
Continua a leggere...Social marketing e social spam fra diritto alla protezione dei dati personali e casistica concreta
Il fenomeno del social marketing e del social spam Al fine di svolgere un discorso consapevole e corretto, tanto sul piano teorico quanto sul piano concreto, occorre anzitutto definire il concetto di “social marketing”. A parte le particolari possibili sfumature semantiche, in sostanza, per “social marketing” potremmo convenzionalmente intendere l’attività promozionale veicolata tramite i social network cioè l’invio di comunicazioni promozionali effettuato nel contesto del social (per esempio, inviando messaggi promozionali in bacheca o nella chat degli utenti social, oppure (o anche in aggiunta) l’invio di siffatte comunicazioni a dati di contatto (indirizzi e-mail; numeri di telefono) reperiti sui social. Tale attività di per sé può considerarsi un’attività economica lecita, persino meritevole in ottica di utilità sociale, e comunque, potremmo…
Continua a leggere...Il “nuovo” Codice privacy – breve rassegna delle novità
Il 19 settembre scorso è entrato in vigore l’ormai attesissimo d.lgs. 101/2018, che ha novellato il Codice privacy (d.lgs. 196/03) per adeguarlo al Regolamento europeo in materia di protezione dei dati personali. L’occasione dunque è utile per tracciare un primo quadro delle principali novità. Necessari limiti di spazio limiteranno questa breve rassegna ad alcuni temi. Reclamo e segnalazione. Prevedibilmente, e opportunamente, è stato eliminato il ricorso al Garante, assorbendolo concettualmente nel rimedio reclamo, del quale è fissata la durata massima in nove-dodici mesi. Il termine non è esente da perplessità circa la sua compatibilità con la disciplina europea. Vero infatti che il Regolamento non prescrive termini di durata, tuttavia all’interprete è autorizzata dall’art. 78.2 GDPR qualche deduzione in merito a…
Continua a leggere...- PRECEDENTE
- 1
- 2
- …
- 21
- 22
- 23
- …
- 36
- 37
- SUCCESSIVO
CERCA IN ARCHIVIO