Corso Privacy

LUCERNA IURIS – LEGAL EUROPEAN NETWORK
STUDIO LEGALE MAGLIO E ASSOCIATI
Gaia Solution

Cosa è la privacy
Il diritto fondamentale di esercitare il
pieno e consapevole controllo sui nostri
dati personali.
Ovvero
Il diritto di scelta circa l'uso che vogliamo
gli altri facciano dei nostri dati personali.
Gaia Solution

Gaia Solution
La tutela dei dati personali è
regolamentata dal D.Lgs 196/2003
“Codice in materia di protezione dei dati
personali” e dalla normativa ad esso
collegata ed emessa dal Garante per la
protezione dei dati personali.

Gaia Solution
Tra il 2011 e il 2012, la normativa italiana è stata
investita da modifiche che hanno apportato i seguenti
cambiamenti:
- nuova definizione di dato personale, ora applicabile
alle sole persone fisiche;
- eliminazione dell’obbligo di redigere il Documento
programmatico per la sicurezza (DPS).

Il D.Lgs. 196/2003 “Codice della Privacy
disciplina”:
una attività: il TRATTAMENTO
compiuta da alcuni: SOGGETTI
ed avente ad oggetto: DATI PERSONALI
Gaia Solution

Gaia Solution
TRATTAMENTO: qualunque operazione o
complesso di operazioni, effettuati anche senza
l’ausilio di strumenti elettronici, concernenti la
raccolta, la registrazione, l’organizzazione, la
conservazione, la consultazione,l’elaborazione, la
modificazione, la selezione, il raffronto, l’utilizzo,
l’interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca dati. (Art.4).

Soggetti privati
Infine occorre tenere presente che il trattamento di
dati personali effettuato da persone fisiche per fini
esclusivamente personali è soggetto
all'applicazione del presente codice solo se i dati
sono destinati ad una comunicazione sistematica
o alla diffusione.
Gaia Solution

Soggetti del trattamento
Esaminiamo chi sono i soggetti che intervengono nelle operazioni di
trattamento dei dati personali.
Le figure cui la normativa attribuisce poteri di controllo sono:
 Titolare
 Responsabile
 Incaricato
 Interessato
 Garante per la tutela dei dati personali
 Autorità Giudiziaria ordinaria
 Custode delle password
Gaia Solution

Per titolare, s'intende la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo cui
competono anche unitariamente ad altro titolare, le decisioni in ordine alle
finalità e alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza. Quando il trattamento è
effettuato da una persona giuridica o da un ente titolare è l'entità nel suo
complesso e non la persona fisica che la rappresenta. (Joint Controller)
Il responsabile del trattamento è la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od organismo
preposto al trattamento di dati personali. La sua nomina non è obbligatoria ma
è lasciata alla discrezionalità del titolare. Il responsabile procede al trattamento
attenendosi alle istruzioni impartite per iscritto dal titolare che, anche tramite
verifiche periodiche, vigila sulla puntuale osservanza delle norme di legge e
delle proprie istruzioni.
Gaia Solution

Consulente: titolare autonomo o Responsabile
esterno?
I “responsabili” operano seguendo le istruzioni impartitegli dall’azienda
titolare, il “titolare” esterno ha piena autonomia nella gestione del
trattamento dei dati (nomina i propri incaricati del trattamento, decide
l’hardware e il software da utilizzare per i trattamento dei dati, ha
autonomia di spesa per i sistemi di sicurezza da adottare, eccetera). Il
titolare autonomo non sottostà alle direttive e al potere di controllo del
“titolare del trattamento”, ma, al più, deve rilasciare una dichiarazione
che attesti di aver messo in atto quanto previsto dal Codice della
privacy e che i dati personali comunicategli dal titolare saranno trattati
solo per il tempo necessario e per il fine per il quale gli sono stati
comunicati.
Gaia Solution

Gli incaricati del trattamento sono le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal responsabile. Si tratta quindi dei
soggetti che possono elaborare i dati personali, ai quali accedono attenendosi
alle istruzioni ricevute dal titolare o dal responsabile.
L'interessato è il soggetto cui si riferiscono i dati personali. È quindi il vero
protagonista del trattamento.
L'autorità preposta alla tutela della riservatezza dei dati personali è il
Garante per la protezione dei dati personali. Dal punto di vista generale il
Garante è un'autorità amministrativa indipendente. Le funzioni principali del
Garante sono controllare la legittimità dei trattamenti, esaminare i ricorsi e le
segnalazioni ricevute dagli interessati.
Gaia Solution

La normativa italiana fa inoltre esplicito riferimento alla giurisdizione del Giudice
ordinario. Infatti resta ferma la possibilità di far valere i diritti fondamentali
attribuiti all'interessato, oltre che con ricorso davanti al Garante, mediante
l'esercizio dell'azione davanti all' Autorità Giudiziaria.
Tuttavia la tutela offerta dal Garante è alternativa a quella fornita dal Giudice
Ordinario: il ricorso al Garante non può essere proposto se, per il medesimo
oggetto e tra le stesse parti, è stata già adita l'Autorità Giudiziaria.
Compete sempre alla magistratura ordinaria ogni azione volta ad ottenere il
risarcimento del danno tanto patrimoniale quanto non patrimoniale.
Gaia Solution

All’interno della vostra organizzazione rispetto al
trattamento dei dati personali voi siete:
titolare
responsabile
incaricato
nessuna di queste figure
Gaia Solution

Gaia Solution
DATO PERSONALE: qualunque informazione
relativa a persona fisica, identificati o identificabili,
anche indirettamente,mediante riferimento a
qualsiasi altra informazione. Ivi compreso il
numero di identificazione personale.
DATI IDENTIFICATIVI: (definizione nuova) i dati
personali che permettono l’identificazione diretta
dell’interessato.

Gaia Solution
DATO ANONIMO: il dato che in origine, o a seguito
di trattamento, non può essere associato ad un
interessato identificato o identificabile
DATI SENSIBILI: i dati personali idonei a rivelare
l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei
a rivelare lo stato di salute e la vita sessuale.

Gaia Solution
DATI GIUDIZIARI: i dati personali idonei a rivelare
provvedimenti di cui all’art. 3, comma 1, lettere da a) a o)
e da r) a u), del DPR 14 novembre 2002, n. 313, in
materia di casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi
pendenti, o la qualità di indagato ai sensi degli articoli 60
e 61 del codice di procedura penale.
DATI PARTICOLARI (art. 17): ...dati...che presentino per la
loro natura o per le modalità del trattamento rischi
specifici per i diritti e le libertà dell’interessato
(considerandosi quindi particolari o semi sensibili).
Presumibilmente si tratta di dati sul patrimonio, sulla
capacità di essere solvibile, sul reddito prodotto, ma
anche sulle abitudini di vita e sugli interessi. Un caso di
dati particolari riconosciuti dal legislatore sono i dati di
traffico telefonico.

Abbiamo visto la distinzione tra dati comuni e dati
sensibili. La vostra organizzazione:
tratta solo dati comuni
tratta sia dati comuni che dati sensibili
Gaia Solution

Proteggere i dati personali: principi
generali
Malgrado le norme che proteggono i dati personali siano
molto complesse ed articolate, è possibile individuare
alcuni principi fondamentali ai quali le regole si ispirano: è
necessario conoscere questi principi per comprendere
quali criteri garantiscono la protezione dei dati personali.
Gaia Solution

generali
1. Principio di precauzione
Occorre prevenire ogni forma di illecito utilizzo di
dati personali, anche per mera negligenza o
imperizia.
E’ necessario adottare qualsiasi cautela per
evitare l’accesso a dati di provenienza non
definita.
Gaia Solution

generali
2. Principio di necessità nel trattamento dei dati
È il criterio che mira a limitare le raccolte ed i
trattamenti di dati non necessari.
Vanno raccolti solo i dati necessari per il
trattamento che si intende realizzare.
Gaia Solution

generali
3. Principio di finalità
È il principio che collega l’attività di raccolta dei
dati personali con l’uso che di quelle informazioni
viene fatto
ovvero
la ragione per la quale i dati sono raccolti: questa
finalità deve essere legittima e determinata.
Gaia Solution

generali
4. Principio di autodeterminazione informativa
Ogni individuo ha diritto di stabilire se ed in che
misura le informazioni a lui riferite possono
circolare ed essere conosciute dagli altri.
Gaia SolutionGaia Solution

generali
5. Principio di correttezza
La raccolta di dati avviene presso l’interessato in
modo trasparente e non mediante ricorso ad
artifizi e raggiri.
Gaia Solution

generali
Rispettare i principi che abbiamo ora esaminato è importante
perché
i dati personali trattati in violazione della disciplina rilevante in
materia di trattamento dei dati personali non possono essere
utilizzati.
Quindi, rispettare questi principi permette di prevenire contestazioni
che possono portare al blocco del trattamento dei dati (che per
un’azienda significa non poter più svolgere la propria attività).
Gaia Solution

Gaia Solution
Applicazione dei principi
Rapporti con gli
interessati
(Front office)
Principi:
- finalità
- correttezza
- autodeterminazione
- necessità
• Informativa (art. 13 e 161);
• Consenso (artt. 23 e 24);
• Rispetto dei diritti esercitati
dagli interessati (artt.
7,8,9 e 10).
• Consenso informato
dipendenti / clienti e fornitori
/curricula
• Istanza per l’esercizio dei diritti
(modello del Garante)
Organizzazione
aziendale
(Back office)
Principi:
- precauzione
- necessità
• Definire un organigramma
aziendale funzionale
agli adempimenti
(artt28,29 e 30);
• Predisposizione di un
sistema di sicurezza
idoneo (artt. 31-36 e
disciplinare tecnico).
• Designazione e istruzioni agli
incaricati (compreso il
Regolamento aziendale per
l’utilizzo del sistema
informatico)
• Nomina del Custode delle copie
delle credenziali
• Clausola (o lettera integrativa)
per prestatore di servizi
• Lettera di riservatezza

Informativa e consenso
Contenuto minimo dell'informativa (art.13):ognuno ha diritto di
conoscere:
- per quali finalità e con quali modalità i dati sono raccolti;
- quali diritti può esercitare su quel trattamento (art.7);
- i soggetti ai quali i dati possono essere comunicati;
- se i dati sono obbligatori o facoltativi;
- il nome del titolare del trattamento;
- le conseguenze di un eventuale rifiuto di rispondere .
Dopo aver ricevuto queste informazioni la persona cui si
riferiscono i dati ha diritto di decidere se consentire o non
consentire quel trattamento.
Gaia Solution

Informativa e consenso
Sulla base delle informazioni ricevute ha diritto di scegliere
se permettere o vietare questo trattamento.
Da un lato è posto l'obbligo di informare l'interessato
oralmente o per iscritto, e dall'altro è stabilito l'obbligo di
chiedere il consenso espresso all'interessato per poter
effettuare l'operazione di trattamento (salvi i casi in cui il
consenso non è necessario).
Gaia Solution

Esempio di informativa
I suoi dati sono raccolti per adempiere obblighi contrattuali,
contabili, amministrativi e fiscali ed il trattamento avviene con
modalità manuale ed informatizzata.
Il conferimento dei dati ha natura obbligatoria. In caso di rifiuto di
conferire i dati le conseguenze saranno di non poter instaurare il
rapporto contrattuale.
I suoi dati saranno comunicati a enti verso i quali la
comunicazione è obbligatoria per legge, a titolari autonomi quali
istituti bancari e studi commerciali per gli adempimenti contrattuali
e non saranno diffusi. In azienda saranno comunicati agli uffici
contabilità quali incaricati del trattamento.
Può rivolgersi all’azienda per far valere i suoi diritti ai sensi dell’art.
7 del D. Lgs. 196/03. Il Titolare del trattamento è Stefano Di Zio.
L'informativa integrale è reperibile presso il sito
gaiasolution.blogspot.it.
Gaia Solution

Cerchiamo ora di applicare i principi sotto
l'aspetto organizzativo per trattare
correttamente i dati personali, evitando condotte
a rischio e per escludere gli abusi nell'utilizzo dei
dati personali.
Questi 10 punti dovrebbero essere indicati nella
lettera di nomina dell’incaricato.
Gaia Solution

Istruzioni per gli incaricati
1
Accedere solo se autorizzati e custodire in modo
riservato banche dati, contratti e comunque ogni
documentazione raccolta nello svolgimento dell’attività.
Gaia Solution

2
Comunicare i dati esclusivamente ai soggetti esterni
indicati nell’informativa.
Gaia Solution

3
Adottare le cautele organizzative oggetto della
formazione ricevuta per evitare abusi per negligenza,
imprudenza o imperizia.
Gaia Solution

4
Verificare sempre l’origine dei dati utilizzati per
l’effettuazione di autonome campagne promozionali e
verificare che la persona che si contatta abbia fornito il
consenso.
Gaia Solution

5
Informare prontamente il proprio referente qualora un
interessato formuli un’istanza per l’esercizio dei suoi
diritti.
Gaia Solution

Gaia Solution
In base all’ art. 7 Codice Privacy l’interessato ha diritto:
a. Sapere se vengono trattati dati personali che lo riguardano
b. Conoscere l’origine dei dati personali trattati
c. Conoscere le finalità e le modalità del trattamento
d. Conoscere gli estremi identificativi del titolare
e. Ottenere l’indicazione dei soggetti o categorie di soggetti ai
quali i dati possono essere comunicati
f. Ottenere l’aggiornamento, la rettificazione, l’integrazione, la
cancellazione, la trasformazione in forma anonima e il blocco
dei dati trattati
g. Opporsi in tutto in parte al trattamento

6
Evitare di utilizzare liste di nominativi ed indirizzi quando
non ne è certa la provenienza. Non creare nuove banche
dati senza consenso.
Gaia Solution

7
Fare attenzione a qualsiasi anomalia riscontrata nella
qualità dei dati presenti nel data base aziendale.
Gaia Solution

8
La password di accesso è personale; le variazioni
disposte autonomamente dallo stesso incaricato con
periodicità semestrale (trimestrale in caso di trattamento
di dati sensibili o giudiziari) devono essere comunicate,
sempre in modo riservato, al custode delle credenziali.
Gaia Solution

9
La postazione informatica non va lasciata incustodita
lasciando accessibili i dati;
tutti i supporti magnetici utilizzati vanno riposti negli
archivi;
i supporti non più utilizzati possono essere eliminati solo
dopo che i dati contenuti sono stati resi effettivamente
inutilizzabili.
Gaia Solution

10
L’incaricato non può installare software non autorizzati.
(inserimento opportuno per il rispetto della normativa del
diritto d’autore a tutela del software, e per evitare
possibili danni al sistema derivanti da virus od
incompatibilità tecniche).
Gli strumenti informatici e telematici messi a disposizione
(computer, software, navigazione su internet, e- mail)
costituiscono degli strumenti di lavoro da utilizzare
esclusivamente per l’esecuzione delle mansioni affidate.
Gaia Solution

Clausola per prestatori di servizi
Nell’espletamento dell’incarico conferitovi, la vostra società tratta
dati personali, di cui è titolare la nostra impresa.
Vi chiediamo di confermarci che nell’esecuzione dell’incarico
da parte vostra sono state adottate tutte le misure di sicurezza
minime obbligatorie previste dal disciplinare tecnico allegato
allo stesso d. lgs.vo n. 196/2003, e più in generale che la vostra
società si è dotata di adeguate misure di sicurezza informatiche ed
organizzative atte a garantire la sicurezza, integrità e riservatezza
dei dati personali trattati per nostro conto.
Vi precisiamo che siete tenuti ad informare correttamente i vostri
incaricati e a garantire il loro rispetto delle misure minime di
sicurezza.
Resta inteso che non potrete effettuare alcuna comunicazione dei
dati stessi a terzi se non previa nostra autorizzazione.
Gaia Solution

Lettera di riservatezza
Lei, nella Sua qualità di addetto alle pulizie, potrebbe avere accesso alle
banche dati da noi gestite.
Con la sottoscrizione della presente lettera Lei si impegna a esentarsi
dallo svolgere qualsivoglia operazione di trattamento (compresa la
semplice consultazione) sui dati dei quali dovesse venire a contatto e in
ogni caso ad usare la massima riservatezza e discrezione su quelli di cui
dovesse comunque venire a conoscenza.
La informiamo che è tenuto a seguire le sopraddette istruzioni e che
qualunque violazione delle stesse potrebbe dare luogo a
responsabilità.
Gaia Solution

Istruzioni Custode delle password
•Ricevere dagli incaricati la busta chiusa contenente la nuova
password che hanno provveduto sostituire autonomamente
con la prevista periodicità;
• Custodire le parole chiave;
•Nel caso in cui il titolare del trattamento abbia la necessità
indifferibile di accedere ad un elaboratore in caso di
prolungata assenza dell’incaricato, consegnare al titolare
stesso la busta contenente la parola chiave;
• Informare tempestivamente l’incaricato affinché questi
provveda immediatamente alla sostituzione della parola
chiave, e farsela consegnare in una nuova busta chiusa.
Gaia Solution

Check up misure obbligatorie
Il Check-up si compone di una serie di domande suddivise sotto tre profili:
 strumenti di autenticazione informatica
 sistemi di autorizzazione
 altre misure di sicurezza
Vediamo i quesiti relativi a questi tre aspetti distintamente.
Gaia Solution

Strumenti di autenticazione informatica
- Gli utenti sono dotati delle credenziali di autenticazione
che consentano il proprio login al sistema?
- Il login al sistema consente all’utente di accedere
indistintamente a tutte le informazioni presenti sul sistema
informatico?
Gaia Solution

- L’ambito di utilizzo delle risorse per ciascun utente è
stato definito e/o comunicato per iscritto all’utente?
-
- Gli utenti dispongono di parole chiave univoche, a loro
solamente riservate e da loro solamente conosciute?
-
- Gli utenti possono scambiarsi user name e password tra
loro?
-
Gaia Solution

- Sono state impartite per iscritto le raccomandazioni di
adottare le necessarie cautele per assicurare la
segretezza delle password?
-
- Le password sono composte da almeno otto caratteri?
-
Gaia Solution

- Nel caso in cui lo strumento elettronico non lo permetta, le
password sono composte da un numero di caratteri pari al
massimo consentito?
- E' vietato l’utilizzo di password agevolmente riconducibili
all’incaricato?
- E' vietato l’utilizzo di password contenenti riferimenti di
tipo personale, come la data di nascita o il nome
dell’animale domestico?
Gaia Solution

- Le password sono state modificate dopo il primo utilizzo?
- Le password sono cambiate almeno ogni sei mesi (tre in
presenza di dati sensibili)?
- Sono state adottate regole per il non utilizzo da parte di
altri incaricati di codici di identificazione, già attribuiti ad altri
soggetti, anche in tempi diversi?
- È prevista la disattivazione delle password non utilizzate
da almeno sei mesi?
Gaia Solution

- È prevista la procedura per disabilitare le credenziali di
autenticazione in caso di perdita della qualità che
consente all’incaricato l’accesso ai dati personali?
- Sono impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico
durante una sessione di trattamento?
Gaia Solution

- Nei casi di prolungata assenza dell’incaricato sono state
impartite disposizioni scritte per individuare le modalità con
le quali il titolare può disporre dei dati e degli strumenti
elettronici?
- Esiste una copia delle credenziali di autenticazione?
- Le copie delle credenziali sono state affidate per iscritto
ad un custode?
Gaia Solution

- I responsabili della custodia delle password sono stati
avvisati con istruzione scritta del loro dovere di informare
tempestivamente l’incaricato degli eventuali interventi
effettuati?
-
-
- Il sistema di autorizzazione discrimina gli ambiti in base ai
profili prestabiliti?
-
Gaia Solution

Sistemi di autorizzazione
- È stato adottato un piano delle verifiche periodiche
(almeno annuali) per la verifica della sussistenza delle
condizioni per la conservazione dei profili di
autorizzazione?
Gaia Solution

Altre misure di sicurezza
- I dati personali sono protetti contro il rischio di intrusione
con firewall (software e/o hardware) ?
- Si dispone di antivirus aggiornato semestralmente?
Gaia Solution

Altre misure di sicurezza
- Le copie di backup vengono eseguite ogni settimana?
- È stato definito un incaricato ed un apposito piano di
ripristino da copia in caso di perdita totale o parziale
dei dati (Disaster Ricovery)?
-
-
- Esiste un piano di formazione in materia di privacy per
gli incaricati?
-
Gaia Solution

Sanzioni in caso di violazione delle
regole
La normativa, in caso di violazione delle regole che disciplinano il trattamento
dei dati, prevede alcune sanzioni che possono essere applicate dal Garante o
dall'Autorità Giudiziaria ordinaria.
Le sanzioni possono essere:
 penali: comportano l'applicazione di pene detentive o pecuniarie da parte
dell'Autorità Giudiziaria;
 amministrative: determinano l'applicazione di sanzioni pecuniarie da parte
del Garante o di specifiche limitazioni rispetto al libero trattamento dei dati
personali; in particolare il Garante può disporre il blocco del trattamento dei
dati.
Gaia Solution

regole
L'interessato che ritiene di aver subito un danno
dall'illegittimo trattamento dei dati può chiedere,
esclusivamente all'Autorità Giudiziaria, il
risarcimento del danno subito.
Per evitare di essere obbligati al risarcimento
occorre dimostrare di aver adottato tutte le misure
idonee a evitare il danno.
Gaia Solution

regole
La normativa prevede inoltre espressamente che, in caso
di violazione della disciplina in materia di modalità del
trattamento e requisiti dei dati, è risarcibile anche il
danno non patrimoniale, cioè il danno che non incide
direttamente sull'integrità economica dell'interessato.
Si tratta di quello che viene comunemente definito danno
morale.
Peraltro, rimane in ogni caso a carico del danneggiato
l'onere di provare l'esistenza del nesso causale fra l'attività
di trattamento dei dati personali e l'evento dannoso.
Gaia Solution

Gaia Solution
Falsità nelle notificazioni, comunicazioni, atti e
dichiarazioni al Garante
Art. 168 Reclusione da 6 mesi a tre anni.
Omessa adozione delle misure di sicurezza minime
obbligatorie previste dall’art.33
Art. 169 Arresto sino a 2 anni o ammenda da 10.000 a 50.000
euro.
Trattamento di dati illecito (violazione artt.18-19-23-
123-126- 129-130)
Art. 167-
1°comma
Reclusione da 6 a 18 mesi purchè vi sia nocumento;
trattamento con comunicazione o diffusione del dato:
da 6 a 24 mesi.
Trattamento in violazione alle prescrizioni su dati che
presentano rischi specifici (art.17), sui dati sensibili
(art.20,21,22,26), sui dati giudiziari (art.27), e sui
divieti di trasferimento dei dati all’estero(art.45).
Art. 167 – 2°
comma
Reclusione da 1 a 3 anni, purchè dal fatto derivi
nocumento.
Mancata osservanza provvedimenti del Garante Art. 170 Reclusione da 3 mesi a 2 anni.
Violazione artt. 4 (controlli a distanza) e 8 (divieto di
indagini sulle opinioni) dello Statuto dei lavoratori
Art. 171 Ammenda da 154 a 1549 euro od arresto da 15 gg. a 1
anno
Violazione dell’obbligo di informazione dell’interessato Art. 161 Sanzione pecuniaria amministrativa da 3.000 a 18.000
euro; nei casi più gravi o relativi ai dati sensibili,
giudiziari ad agli altri dati con particolari rischi da 5.000
a 30.000 euro. Possibilità di aumento fino al triplo.
Violazione dell’obbligo di fornire informazioni o
documenti al Garante
Art. 164 Sanzione pecuniaria amministrativa 4.000 a 24.000
euro.

Gaia Solution
La Commissione europea ha presentato nel 2012 la proposta di un
Regolamento generale sulla protezione dei dati, che andrà a
sostituire, oltre alla direttiva 95/46/CE, lo stesso Codice privacy;
introducendo identiche regole nei Paesi che compongono la UE.
I Regolamenti UE, a differenza delle direttive, sono
immediatamente esecutivi e non necessitano di recepimento da
parte degli Stati membri e non possono subire adattamenti se non in
meglio.
Il nuovo Regolamento, al momento solo in bozza, non è previsto
che apporterà riduzioni o stravolgimenti dei requisiti rispetto
all’attuale Codice privacy.
Il futuro: Regolamento Europeo

Gaia Solution
Regolamento Europeo - obblighi
- Diritto all'oblio: ogni persona, per motivi legittimi, può richiedere la
cancellazione di dati in possesso.
- Diritto alla portabilità dei dati personali: per esempio un fornitore
di servizi cloud di una rubrica on line deve permettere l'esportabilità dei
dati in altri cloud service provider.
- Data Protection Officer : per le medie e grandi imprese e per tutti gli
enti pubblici devono dotarsi di consulenti privacy o avvocati esperti in
materia.

Gaia Solution
- Sanzioni elevate: entità simili alle violazioni antitrust (2% del volume
d'affari annuale mondiale)
- Notifica di violazione dei dati personali: tutti i titolari del
trattamento avranno l'obbligo di notificare al Garante il furto di dati.
- Joint Controller : due o più titolari autonomi devono concordare
l'ambito delle proprie responsabilità in caso di un medesimo
trattamento di dati.

Gaia Solution
- Responsabilità verificabile : onere di dimostrare
l'adozione di tutte le misure e cautele privacy in capo a chi
tratta i dati, senza formalismi e badando alla sostanza.
Si devono produrre “evidenze” attestanti l'adozione di un
modello organizzativo e di sicurezza privacy.

Domande di verifica
Gaia Solution

Domande di verifica
1) Cosa si intende per trattamento?
R: 1 La raccolta. L’elaborazione, la conservazione dei
dati
R: 2 Qualunque attività si compia sui dati compresa la
consultazione
R: 3 Le attività compiute sui dati mediante strumenti
elettronici
2) Il consenso dell’interessato per il trattamento dei
dati:
R: 1 Deve essere richiesto in ogni caso
R: 2 Ci sono particolari casi di deroga in cui non è
richiesto
R: 3 E’ chiesto solo per il trattamento dei dati sensibili
Gaia Solution

Domande di verifica
3) La designazione del Responsabile è:
R: 1 Obbligatoria
R: 2 Facoltativa e può essere rifiutata dal designato
R: 3 Facoltativa ma non può essere rifiutata dal
designato
4) I dati sensibili sono:
R: 1 Qualsiasi dato personale
R: 2 I dati che necessitano di consenso
R: 3 Dato personale idoneo a rivelare l’origine razziale
ed etnica, le convinzioni religiose, l’adesione a partiti,
sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati
idonei a rivelare lo stato di salute e la vita sessuale
Gaia Solution

Domande di verifica
5) Il diritto di accesso ai dati può essere esercitato:
R: 1 Da qualsiasi interessato
R: 2 Solo dal Responsabile
R: 3 Solo dall’Incaricato
6) Il trattamento dei dati personali può comportare:
R: 1 Conseguenze esclusivamente civili
R: 2 Sanzioni amministrative
R: 3 Conseguenze civili, sanzioni amministrative e
condanne penali
Gaia Solution

Domande di verifica
7) L’informativa completa:
R: 1 E’ sempre dovuta nei confronti di qualsiasi
interessato
R: 2 E’ dovuta solo in caso di trattamento di dati
sensibili
R: 3 Non è mai dovuta
8) Le misure di sicurezza previste dal Codice Privacy:
R: 1 Sono solo le misure minime
R: 2 Sono le misure minime e le misure idonee
R: 3 Sono solo le misure idonee
Gaia Solution

Domande di verifica
9) Quale tra le seguenti NON è un illecito penale?
R: 1 Trattamento illecito dei dati
R: 2 Omissione di misure di sicurezza
R: 3 Omessa o inidonea informativa all’interessato
10) Il Documento Programmatico sulla sicurezza:
R: 1 Non è più obbligatorio
R: 2 E’ obbligatorio per i trattamenti con strumenti
NON elettronici
R: 3 E’ obbligatorio per i trattamenti con strumenti
elettronici
Gaia Solution

Corso Privacy

Recommended

Recommended

More Related Content

Featured

Featured (20)

Corso Privacy