Le novità del GDPR e la figura del DPO

LE NOVITA’ GDPR e la figura del
dpo
obblighi, responsabilita’, opportunita’
per gli avvocati
Avv. Giorgio Piccolotto

TRASPARENZA SU INFORMAZIONI E MODALITA’ PER
L’ESERCIZIO DEI DIRITTI
Per rispettare il principio secondo cui i dati personali sono trattati in
modo lecito, corretto e trasparente nei confronti dell’interessato
(«liceità, correttezza e trasparenza» art. 5 lett. a) GDPR), il titolare
del trattamento dovrebbe adottare misure volte a:
 offrire trasparenza per quanto riguarda le funzioni (titolare del
trattamento, responsabile del trattamento, DPO…) e il
trattamento dei dati personali,
 consentire all’interessato di controllare il trattamento dei dati
(v. considerando 78)

INFORMAZIONI, COMUNICAZIONI E MODALITA’
TRASPARENTI PER L’ESERCIZIO DEI DIRITTI
DELL’INTERESSATO (ART. 12)

Il titolare del trattamento adotta misure appropriate per fornire
all’interessato l’informativa per i dati raccolti presso l’interessato
e non (artt. 13 e 14):
 in forma concisa, trasparente, intellegibile e facilmente
accessibile
«Facilmente accessibile» dalle Linee Guida sulla Trasparenza WP
art. 29 – 11 aprile 2018: nel sito web, il link dal quale si accede
all’informativa privacy deve essere chiaramente visibile sulla
pagina web con una formula comune del tipo «Privacy» o
«Privacy Policy» o «Data protection Notice».

 con linguaggio semplice e chiaro
«Con linguaggio semplice e chiaro» dalle Linee Guida sulla
Trasparenza WP art. 29 – 11 aprile 2018:
Es: «Potremo utilizzare i suoi dati personali per sviluppare nuovi
servizi»: NON CHIARO
Es: «Conserveremo i dettagli dei suoi acquisti e utilizzeremo i
dettagli dei prodotti che lei ha acquistato per suggerirle altri
prodotti che crediamo possano interessarla»: CHIARO
In particolare nel caso di informazioni destinate specificamente
ai minori o a categorie di soggetti vulnerabili, come ad esempio i
non vedenti (v. Linee Guida sulla Trasparenza WP art. 29)

Le informazioni sono fornite per iscritto o con altri mezzi (es.
grafici informativi, diagrammi, telefonicamente…), anche, se del
caso, con mezzi elettronici (es. video, IoT voice, alerts…).
Se richiesto dall’interessato, le informazioni possono essere fornite
oralmente, purché sia comprovata con altri mezzi l’identità
dell’interessato (es. telefonicamente, con possibilità di riascoltare
il messaggio pre-registrato; es. il soggetto interessato è un non
vedente)

ICONE STANDARDIZZATE PER FORNIRE LE
INFORMAZIONI AGLI INTERESSATI (ART. 12, par.
7 e 8)
Ø Le informazioni da fornire agli interessati (informativa) possono
essere fornite in combinazione con icone standardizzate per
dare, in modo facilmente visibile, intellegibile e chiaramente
leggibile, un quadro d’insieme del trattamento previsto. Se
presentate elettronicamente, le icone sono leggibili da
dispositivo automatico.
Ø Alla Commissione è conferito il potere di adottare atti delegati
al fine di stabilire le informazioni da presentare sotto forma di
icona e le procedure per fornire icone standardizzate.
Ø

AGGIORNAMENTO DELLE INFORMATIVE SULLA PRIVACY
Da effettuare per il 25.05.2018 e non prima (finché Codice Privacy in vigore) con nuovi
riferimenti normativi ed alcuni elementi da aggiungere rispetto a quelli attuali:
Ø dati di contatto del responsabile protezione dati (DPO),ove applicabile;
Ø base giuridica del trattamento e legittimi interessi perseguiti dal titolare o da terzi;
Ø trasferimento dati personali extra UE e garanzie adeguate
Ø periodo di conservazione dei dati (o criteri per determinare tale periodo);
Ø diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del
trattamento basata sul consenso prestato prima della revoca;
Ø diritto di proporre reclamo a un’Autorità di controllo;
Ø se la comunicazione di dati personali è un obbligo legale o contrattuale e se l’interessato ha
l’obbligo di fornire i dati personali;
Ø l’esistenza di un processo decisionale automatizzato, compresa la profilazione.

ART. 13 GDPR
Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato (nel
momento in cui i dati personali sono ottenuti):
a) l’identità e i dati di contatto del titolare del trattamento;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile DPO);
c) le finalità del trattamento cui sono destinati i dati personali (es. prestazione servizi / vendita prodotti,
finalità contabili / fiscail…), nonché la base giuridica del trattamento (es. necessità esecuzione
contratto / norma di legge / soddisfazione di una richiesta dell’interessato);
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f) (ossia: il trattamento è necessario per il
perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non
prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la
protezione dei dati personali, in particolare se l’interessato è un minore), i legittimi interessi
perseguiti dal titolare del trattamento o da terzi (v. considerando 47-50: es. trattamento necessario
per fini di prevenzione frodi o trattamento infragruppo per fini amministrativi interni o trattamento
dei dati personali relativi al traffico in misura strettamente necessaria a garantire la sicurezza delle
reti…);
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali (es. altre società, il
commercialista, il consulente del lavoro ecc…);
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a
un’organizzazione internazionale (no / si; verso…; sulla base di …)
g)

a) il periodo di conservazione dei dati personali oppure, se non è
possibile, i criteri utilizzati per determinare tale periodo (ES: 10
anni / fino al termine di prescrizione dei diritti sorti dal
rapporto contrattuale);
b) l’esistenza del diritto dell’interessato di chiedere al titolare del
trattamento l’accesso ai dati personali e la rettifica o la
cancellazione degli stessi o la limitazione del trattamento
che lo riguardano o di opporsi al loro trattamento, oltre al
diritto alla portabilità dei dati (es modalità per esercitare i
diritti…; rivolgere richiesta a…);
c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1,
lettera a), (consenso) oppure sull’articolo 9, paragrafo 2,
lettera a) (consenso), l’esistenza del diritto di revocare il
consenso in qualsiasi momento senza pregiudicare la liceità
del trattamento basata sul consenso prestato prima della
revoca (si devono indicare anche le modalità per revocare
il consenso…; ad es rivolgere comunicazione a…);

d) il diritto di proporre reclamo a un’autorità di controllo (indicano
le modalità per proporre reclamo…; rivolgersi a…);
e) se la comunicazione di dati personali è un obbligo legale o
contrattuale oppure un requisito necessario per la
conclusione di un contratto, e se l’interessato ha l’obbligo di
fornire i dati personali nonché le possibili conseguenze della
mancata comunicazione di tali dati;
f) l’esistenza di un processo decisionale automatizzato, compresa
la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno
in tali casi, informazioni significative sulla logica utilizzata,
nonché l’importanza e le conseguenze previste di tale
trattamento per l’interessato.

ART. 14 GDPR
Informazioni da fornire qualora i dati personali non siano stati ottenuti presso
l’interessato – ma da terzi (entro un termine ragionevole o al massimo entro un
mese):
a) l’identità e i dati di contatto del titolare del trattamento;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile (DPO);
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del
trattamento;
d) le categorie di dati personali in questione;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali (es.
altre società, il commercialista, il consulente del lavoro ecc…);
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un
Paese terzo o a un’organizzazione internazionale

In aggiunta alle precedenti informazioni, ai fini di un corretto e
trasparente trattamento, sono fornite altresì le seguenti informazioni
(art. 14, par. 2):
a) il periodo di conservazione dei dati personali oppure, se non è
possibile, i criteri utilizzati per determinare tale periodo (es 10 anni
/ fino al termine di prescrizione dei diritti sorti dal rapporto
contrattuale);
b) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i
legittimi interessi perseguiti dal titolare del trattamento o da terzi;
c) l’esistenza del diritto dell’interessato di chiedere al titolare del
trattamento l’accesso ai dati personali e la rettifica o la
cancellazione degli stessi o la limitazione del trattamento che lo
riguardano o di opporsi al loro trattamento, oltre al diritto alla
portabilità dei dati (indicando le modalità per esercitare i diritti…;
es: rivolgere richiesta a…);
d) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera
a) (ossia: consenso), oppure sull’articolo 9, paragrafo 2, lettera a)
(consenso esplicito), l’esistenza del diritto di revocare il consenso
in qualsiasi momento senza pregiudicare la liceità del
trattamento basata sul consenso prestato prima della revoca
(modalità per revocare il consenso…; rivolgere comunicazione
a…);

e) il diritto di proporre reclamo a un’autorità di controllo (modalità
per proporre reclamo…; rivolgersi a…);
f) la fonte da cui hanno origine i dati personali e, se del caso,
l’eventualità che i dati provengano da fonti accessibili al
pubblico;
g) l’esistenza di un processo decisionale automatizzato, compresa
la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno
in tali casi, informazioni significative sulla logica utilizzata,
nonché l’importanza e le conseguenze previste di tale
trattamento per l’interessato.

INFORMATIVA STRATIFICATA NEL CONTESTO
DIGITALE
Nel contesto digitale, l’informativa stratificata nel primo strato dovrà
contenere (v. Linee Guida Trasparenza WP art. 29 – 11 aprile 2018):
Ø le finalità del trattamento
Ø l’identità del titolare
Ø la descrizione dei diritti degli interessati
Ø le informazioni sui trattamenti che hanno il maggiore impatto sui
soggetti interessati e sui trattamenti che potrebbero sorprenderli
Ø le conseguenze che i trattamenti in questione possono avere per i
soggetti interessati
Ø

INFORMATIVA PER ULTERIORI FINALITA’ (ART. 13, par. 3 e
14, par. 4)
«Qualora il titolare del trattamento intenda trattare ulteriormente i dati
personali per una finalità diversa da quella per cui essi sono stati raccolti, prima
di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale
diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2 (sia
art. 13, sia art. 14)»
Ø

INFORMATIVA NEGLI STUDI LEGALI
devono essere predisposte per le seguenti principali categorie di
interessati:
Ø
Ø Clienti
Ø Dipendenti (segretaria), praticanti e collaboratori;
Ø Fornitori di servizi e di prodotti es: fornitore dei prodotti per ufficio ove si tratta di dati
riconducibili a persona fisica
Ø Consulenti es: commercialista o consulente del lavoro
Ø Candidati (v. art. 13, comma 5 bis Cod. Privacy)
Ø
Ø Sito web dello studio
Ø
Ø Ecc.

IL CONSENSO DELL’INTERESSATO NEL GDPR
Riferimenti normativi:
Ø Art. 4, n. 11: definizione
Ø Art. 6, lett. a: liceità del trattamento
Ø Art. 7: condizioni per il consenso
Ø Art. 8: consenso dei minori in relazione ai servizi della società
dell’informazione
Ø Art. 9: trattamento di categorie particolari di dati personali
Ø Considerando nn. 32, 33, 42, 43
Ø

IL CONSENSO DELL’INTERESSATO NEL GDPR
Ø
Ø «inequivocabile» per i dati personali «ordinari»
Art. 4, n. 11): «consenso dell'interessato»: «qualsiasi
manifestazione di volontà libera, specifica, informata e
inequivocabile dell'interessato, con la quale lo stesso
manifesta il proprio assenso mediante dichiarazione o
azione positiva inequivocabile, che i dati personali che lo
riguardano siano oggetto di trattamento»;
Ø «esplicito» per «categorie particolari di dati personali»
Art. 9, par. 2, lett. a): divieto di trattare dati sensibili sanitari
genetici e biometrici, a meno che l'interessato non abbia
«prestato il proprio consenso esplicito al trattamento di dati
personali per una o più finalità specifiche»
Ø

CARATTERISTICHE DEL CONSENSO (Cons. 32)
Ø
Ø Il consenso dovrebbe essere espresso mediante un atto positivo
inequivocabile con il quale l'interessato manifesta l'intenzione
libera, specifica, informata e inequivocabile di accettare il
trattamento dei dati personali che lo riguardano, ad esempio
mediante dichiarazione scritta, anche attraverso mezzi
elettronici, o orale
Ø Ciò potrebbe comprendere la selezione di un’apposita casella in
un sito Web, la scelta di impostazioni tecniche per servizi della
società dell'informazione o qualsiasi altra dichiarazione o
qualsiasi altro comportamento che indichi chiaramente in tale
contesto che l'interessato accetta il trattamento proposto.
Ø

CARATTERISTICHE DEL CONSENSO (Cons. 32)
Ø
Ø Non dovrebbe pertanto configurare consenso il silenzio o
l'inattività o la preselezione di caselle
Ø Il consenso dovrebbe applicarsi a tutte le attività di trattamento
svolte per la stessa o le stesse finalità.
Ø
Ø Qualora il trattamento abbia più finalità il consenso dovrebbe
essere prestato per tutte queste. Es. consenso per finalità di
marketing e consenso per prestare un altro servizio.
Ø
Ø Se il consenso dell'interessato è richiesto attraverso mezzi elettronici,
la richiesta deve essere chiara, concisa e non interferire
immotivatamente con il servizio per il quale il consenso è espresso
Ø

CONSENSO si ritiene INFORMATO
quando sono almeno note:
(Linee Guida WP art. 29 sul Consenso – 10 aprile
2018)
Ø Identità del titolare
Ø Finalità di ciascun trattamento per cui è richiesto il consenso
Ø Categorie di dati raccolti e utilizzati
Ø Esistenza del diritto di revocare il consenso
Ø Informazione sull’utilizzo dei dati per decisioni automatizzate ex art.
22
Ø Possibili rischi in caso di trasferimento dei dati personali extra UE,
dovuti all’assenza di decisioni di adeguatezza e di garanzie
adeguate ex art. 46
Ø

REQUISITI DEL CONSENSO NEL GDPR (art. 7)
1. Qualora il trattamento sia basato sul consenso, il titolare del
trattamento deve essere in grado di dimostrare che l'interessato ha
prestato il proprio consenso al trattamento dei propri dati personali
2. Se il consenso dell'interessato è prestato nel contesto di una
dichiarazione scritta che riguarda anche altre questioni, la
richiesta di consenso è presentata in modo chiaramente distinguibile
dalle altre materie in forma comprensibile e facilmente accessibile
utilizzando un linguaggio semplice e chiaro. Nessuna parte di una
tale dichiarazione che costituisca una violazione del presente
regolamento è vincolante.
Ø

REQUISITI DEL CONSENSO NEL GDPR (art. 7)
3. L'interessato ha il diritto di revocare il proprio consenso in qualsiasi
momento. La revoca del consenso non pregiudica la liceità del
trattamento basata sul consenso prima della revoca. Prima di
esprimere il proprio consenso, l'interessato è informato di ciò. Il
consenso è revocato con la stessa facilità con cui è accordato.
4. Nel valutare se il consenso sia stato liberamente prestato, si tiene
nella massima considerazione l'eventualità, tra le altre, che
l'esecuzione di un contratto, compresa la prestazione di un servizio,
sia condizionata alla prestazione del consenso al trattamento di dati
personali non necessari all'esecuzione di tale contratto.
Es. una banca chiede ai propri clienti il consenso di consentire a terze parti di
utilizzare i loro dati per finalità di marketing: questo trattamento non è
necessario per l’esecuzione del contratto e per la fornitura dei servizi bancari.
Se il rifiuto del cliente di prestare il predetto consenso porta al diniego dei
servizi bancari e alla chiusura del conto o ad un aumento del costo del
servizio, il consenso non si considera liberamente prestato.

PARTICOLARE REGIME PREVISTO PER I MINORI
Art. 8: concerne l’offerta diretta di servizi della società
dell’informazione ai minori
Informativa e consenso: genitori o rappresentante (tutore…)
Se minore ha più di 16 anni: il consenso del minore costituisce
condizione di liceità.
Se minore ha meno di 16 anni serve consenso genitori o tutore
Tali norme non pregiudicano le disposizioni generali degli stati
membri, quali le norme sulla validità, la formazione o l’efficacia
di un contratto rispetto al minore

TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI
PERSONALI (ART. 9 GDPR)
Principio di base: divieto generale di trattare i seguenti
dati personali:
- che rivelino l'origine razziale o etnica, le opinioni politiche, le
convinzioni religiose o filosofiche o l'appartenenza sindacale
-dati genetici
- dati biometrici intesi a identificare in modo univoco una persona
fisica (es: impronte digitali, riconoscimento facciale etcc.)
- dati relativi alla salute o alla vita sessuale o ad orientamento
sessuale della persona

PERSONALI (ART. 9)
Eccezioni al divieto generale:
a) l'interessato ha prestato il proprio consenso esplicito al
trattamento di tali dati personali per una o più finalità specifiche,
salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone
che l'interessato non possa revocare il divieto
b) il trattamento è necessario per assolvere gli obblighi ed esercitare i
diritti specifici del titolare del trattamento o dell'interessato in materia
di diritto del lavoro e della sicurezza sociale e protezione sociale,
nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati
membri o da un contratto collettivo ai sensi del diritto degli Stati
membri, in presenza di garanzie appropriate per i diritti fondamentali
degli interessi dell'interessato

TRATTAMENTO DI CATEGORIE PARTICOLARI DI DATI PERSONALI
(ART. 9)
c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra
persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il
proprio consenso;
d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate
garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro…
e) il trattamento riguarda dati personali resi manifestamente pubblici dall'interessato
f) il trattamento è necessario per accertare, esercitare o difendere un
diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali
esercitino le loro funzioni giurisdizionali
g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del
diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità
perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure
appropriate in specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato

PERSONALI (ART. 9)
h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro,
valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia
sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto
dell’Unione o degli Stati membri o conformemente al contratto con un professionista della
sanità, se i dati sono trattati da un sotto la responsabilità di un professionista soggetto al
segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme
stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta
all'obbligo di segretezza conformemente al diritto europeo o nazionale
i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità
pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la
garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e
dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede
misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare
il segreto professionale.
Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese
limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla
salute.

TRATTAMENTO DEI DATI PERSONALI RELATIVI A
CONDANNE PENALI E REATI (ART. 10) – EX DATI
GIUDIZIARI
Ø
Il trattamento dei dati personali relativi alle condanne penali e ai
reati o a connesse misure di sicurezza sulla base dell'articolo 6,
paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità
pubblica o se il trattamento è autorizzato dal diritto dell’Unione o
degli Stati membri che preveda garanzia appropriate per i diritti e
le libertà degli interessati
Ø
Un eventuale registro completo delle condanne penali deve essere
tenuto soltanto sotto il controllo dell'autorità pubblica

CONSENSO NEGLI STUDI LEGALI – COD PRIVACY
Sino al 24 maggio 2018 si applica il codice privacy che prevede
Per DATI COMUNI (Art. 24 Codice Privacy) non è necessario consenso per i seguenti
trattamenti:
lett. a), è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento
o dalla normativa comunitaria; es antiriciclaggio
lett. b), è necessario per eseguire obblighi derivanti da un contratto del quale è parte
l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste
dell'interessato; es. Contratto di opera professionale con cliente –
lett. f), con esclusione della diffusione, è necessario ai fini dello svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far
valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati
esclusivamente per tali finalità e per il periodo strettamente necessario al loro
perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e
industriale;
Per tutti gli altri trattamenti di DATI COMUNI è necessario consenso ai sensi dell’Art. 23 Codice
Privacy, salvo che non ricorrono altre ipotesi di esclusioni come trattamento di dati pubblici.

CONSENSO NEGLI STUDI LEGALI - COD PRIVACY
Per DATI SENSIBILI non è necessario consenso (ferma l’autorizzazione generale del
Garante*), per i seguenti trattamenti:
1. Art. 26 Codice privacy Comma 4 lett. c) quando il trattamento è necessario per lo
svolgimento di investigazioni difensive o, comunque, per far valere o
difendere in sede giudiziaria un diritto (sia per i dati del clienti sia per i dati di
terzi (controparte); es: dati s. trattati in virtù di mandato giudiziale .
2. Art 26 Codice Privacy comma 4, lett. d),, quando è necessario per adempiere a
specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla
normativa comunitaria per la gestione del rapporto di lavoro, anche in
materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e
assistenza; Es: dati s. trattati in virtù di contratto di lavoro con segretaria
Per tutti gli altri trattamenti di DATI SENSIBILI è necessario consenso e autorizzazione generale
del Garante ai sensi dell’Art. 26 Codice Privacy comma 1
Ø*Autorizzazione Generale al trattamento dei dati sensibili (dei clienti o terzi) da parte dei liberi
professionisti (n. 4/2016, con efficacia sino al 24 maggio 2018)
ØAutorizzazione Generale al trattamento dei dati sensibili (dei dipendenti) nei rapporto di
lavoro (n. 1/2016, con efficacia sino al 24 maggio 2018)

Per DATI ULTRA SENSIBILI (stato salute e vita sessuale) non è necessario consenso per
i seguenti trattamenti:
1. Art. 26 Codice privacy Comma 4 lett. c) seconda parte (ferma l’autorizzazione
generale del Garante*), quando nell’ambito dell’attività giudiziaria (investigazione
difensive / esercitare o far valere un diritto in giudizio) il diritto da far valere o
difendere in giudizio è di pari rango a quello dell’interessato ovvero consistente in
un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;
es: una domanda di risarcimento danni a contenuto patrimoniale non è di pari rango a
quella dell’interessato e quindi si dovrebbe domandare il consenso dell’interessato al
trattamento)
2.
Per tutti gli altri trattamenti di DATI ULTRASENSIBILI è necessario il consenso e autorizzazione
Generale del Garante ai sensi dell’Art. 26 Codice Privacy comma 1

Per DATI GIUDIZIARI non è necessario consenso ma basta rispettare autorizzazione
generale del Garante nel trattamento in materia .
Art. 27 Codice privacy rimanda all’autorizzazione generale del Garante in materia n. 7/2016;

Per Attività Stragiudiziale in generale non volta all’instaurazione di un
giudizio es redazione contratto, parere etcc.
Per dati comuni esonero dal consenso ai sensi dell’art 24. lett b per dati
comuni.
Per dati sensibili e ultrasensibili necessario il consenso e rispetto delle
prescrizioni dell’autorizzazione generale del Garante.
Per dati giudiziari è necessario rispetto prescrizioni autorizzazione
generale del garante.

CONSENSO NEGLI STUDI LEGALI – GDPR
Dal 25 maggio:
Per dati comuni non è necessario consenso quando:
●
●
Art 6, par. 1 lett. b) (dati comuni): il trattamento è necessario per l’esecuzione
di un contratto di cui l’interessato è parte o per l’adozione di misure
precontrattuali adottate su richiesta della stesso.
●
Es: contratto d’opera professionale stipulato con cliente.
●
●
Per tutti gli altri trattamenti è necessario «consenso inequivocabile»

CONSENSO NEGLI STUDI LEGALI - GDPR
Dal 25 maggio:
Per dati sensibili non è necessario consenso quando:
Ø Art. 9, lett. b) GDPR: (dati sensibili) il trattamento è necessario per assolvere gli obblighi ed
esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di
diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura
in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto
collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i
diritti fondamentali e gli interessi dell’interessato. es contratto con segretaria
Ø
Ø Art. 9 lett. f) GDPR: (dati sensibili) il trattamento è necessario per accertare, esercitare
o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali
esercitino le loro funzioni giurisdizionali. Es: mandato giudiziale.
Ø
Ø E necessario consenso esplicito per tutti gli altri trattamenti ai sensi dell’Art. 9, lett. a)
GDPR: (dati sensibili)

PRINCIPIO DI INTEGRITA’ E RISERVATEZZA
(pr. generale del trattamento - art 5, lett. f) GDPR)
Ø
I dati personali sono trattati in maniera da garantire un’adeguata sicurezza dei
dati personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita,
dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Ø
Art. 5, par. 2: Il titolare del trattamento è competente per il rispetto del paragrafo
1 e in grado di comprovarlo («responsabilizzazione»). (C74)

PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE
(PRIVACY BY DESIGN)
Art. 25, par. 1 GDPR
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche
dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche
costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia
all’atto del trattamento stesso il titolare del trattamento (in fase di sviluppo,
progettazione, selezione e utilizzo di applicazioni servizi e prodotti, a partire dai loro
produttori, fornitori) mette in atto misure tecniche e organizzative
adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i
principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le
necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i
diritti degli interessati.

PROTEZIONE DEI DATI PER IMPOSTAZIONE PREDEFINITA
(PRIVACY BY DEFAULT)
Art. 25, par. 2 GDPR
●
Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per
garantire che siano trattati, per impostazione predefinita, solo i dati
personali necessari per ogni specifica finalità del trattamento.
●
Tale obbligo vale per la quantità dei dati personali raccolti, la portata del
trattamento, il periodo di conservazione e l’accessibilità.
●
In particolare, dette misure garantiscono che, per impostazione predefinita, non
siano resi accessibili dati personali a un numero indefinito di persone
fisiche senza l’intervento della persona fisica.
●
Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere
utilizzato come elemento per dimostrare la conformità ai requisiti «privacy by
design» e «privacy by default» del presente articolo.

SICUREZZA DEL TRATTAMENTO Art. 32 GDPR
●
Obbligo generale di garantire la sicurezza: è connesso al principio generale di cui
all’art. 5 lett. f) (integrità e riservatezza del dato) e collegato al principio di
accountability (art. 5 par. 2) in capo al titolare del trattamento e al responsabile del
trattamento esterno.
●
Obbligo di sicurezza: parte dalla valutazione dei rischi / livello di sicurezza dei
trattamenti (cambio di approccio rispetto al passato: risk based approach), inclusi
quelli cartacei (ad es. distruzione dato, perdita dati, accesso non autorizzato etcc…
vedi DVR) e si attua mediante i seguenti adempimenti:
1. adozione di adeguate misure tecniche - informatiche;
2. adozione di adeguate misure organizzative;
3. formazione del personale nell’uso degli strumenti e nella sensibilizzazione ai temi della tutela
della riservatezza.
Ø
Giudizio Adeguatezza delle misure si basa su: valutazione dei rischi, stato dell’arte e costi di
attuazione.

ELENCO DELLE MISURE DI CUI ALL’ART. 32 GDPR
non esaustivo, ma indicativo
a) la pseudonimizzazione e la cifratura dei dati personali (la pseudonimizzazione indica il
trattamento dei dati personali in modo tale che essi non possano più essere attribuiti a un interessato
specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano
conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali
dati personali non siano attribuiti a una persona fisica identificata o identificabile - non è un metodo
di anonimizzazione; la cifratura è il processo di codifica e protezione del messaggio);
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di trattamento (quindi, procedure di controllo, di verifica e di
accesso, con adeguate misure logiche di protezione);
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di
incidente fisico o tecnico (procedure di disaster recovery);
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento (audit periodici).
Non sussisterà più l’obbligo delle misure minime di cui all.to B del Codice Privacy, anche se
ancora oggi di fatto sono la base indicativa del sistema di sicurezza, soprattutto per le
piccole realtà come gli studi professionali

MISURE DI SICUREZZA NEL CODICE PRIVACY
Artt. 31 e ss. Codice Privacy e Allegato B
Le misure minime consistono nell’insieme delle misure di sicurezza logiche, fisiche e organizzative,
che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31.
Art. 34 Cod. Privacy: Misure minime nel trattamento con strumenti elettronici
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e
dei sistemi;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei
a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

ESEMPI DELLE PRINCIPALI MISURE DI TRATTAMENTO CON AUSILIO
DI STRUMENTI INFORMATICI NEGLI STUDI LEGALI
●
l’assegnazione di un “user ID”, che identifica l’incaricato del trattamento, cioè il titolare dello
studio, i praticanti, avvocati, la segretaria. Tale codice è personale e non può essere
assegnato ad altri incaricati, neppure in tempi diversi;
●
dopo la digitazione dell’“user ID” occorre predisporre e inserire la “password”, che deve essere
di esclusiva conoscenza dell’incaricato del trattamento;
●
l’elenco delle password deve essere conservato in luogo non accessibile ad alcuno tranne al
soggetto designato a conservarlo; ciò significa che il titolare di una password non è
legittimato a conoscere la password di altri soggetti che operano nello studio (tranne
ovviamente il soggetto designato a conservare l’elenco). In caso di prolungata assenza o
impedimento anche temporaneo del titolare della password è possibile conoscere la sua
password sole per esigenze “indispensabili e indifferibili;
●
le regole dello studio legale relative all’uso di user ID e password (“credenziali di
autenticazione”) per le esigenze di cui sopra, debbono risultare da documento scritto
recante “idonee e preventive disposizioni al riguardo”;
●
debbono altresì essere impartite istruzioni circa le cautele da adottarsi per assicurare la
segretezza e la diligente custodia delle credenziali;

ESEMPI DELLE PRINCIPALI MISURE DI TRATTAMENTO CON AUSILIO
●
ogni password (composta di almeno otto caratteri, o comunque del numero di caratteri pari al
massimo consentito, ancor meglio se la composizione della password abbia anche l’utilizzo di
maiuscole e caratteri speciali) non può contenere riferimenti agevolmente riconducibili
all’incaricato (nome, cognome, etc.) e deve essere modificata ogni sei mesi (dati comuni) e,
nel caso di trattamento di dati sensibili o giudiziari, ogni tre mesi. Di conseguenza anche
l’elenco delle password deve essere modificato con medesima scadenza;
●
le credenziali non utilizzate per almeno sei mesi vanno disattivate;
●
il computer deve essere dotato di programmi antivirus, nonché di programmi contro il rischio di
intrusione (firewall);
●
I programmi suddetti debbono essere aggiornati almeno ogni sei mesi;
●
E’, infine, previsto che siano impartite istruzioni organizzative e tecniche per il salvataggio dei dati
con frequenza almeno settimanale (back up), per la custodia e l’uso dei supporti su cui sono
memorizzati i dati, nonché per il ripristino dei dati (da eseguirsi entro 7 giorni) che siano stati
danneggiati. I supporti non utilizzati devono essere distrutti o resi inutilizzabili.

MISURE DI SICUREZZA NEL CODICE PRIVACY
Artt. 31 e ss. Codice Privacy e Allegato B
Art. 35: Misure minime nel trattamento senza l’ausilio di
strumenti informatici
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli
incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad
accesso selezionato e disciplina delle modalità di accesso finalizzata
all'identificazione degli incaricati.

ESEMPI DELLE PRINCIPALI MISURE DI TRATTAMENTO SENZA AUSILIO
●
utilizzazione di contenitori per la conservazione delle pratiche sui quali si può apporre
un numero identificativo (benchè non previsto dalla normativa, sarebbe opportuno
non indicare sul fascicolo di parte il nome del cliente e delle parti convenute, al fine
di garantire una maggiore tutela del dato personale).
●
Inoltre, per evitare che persone non autorizzate possano conoscere i nomi dei clienti o
dei terzi che eventualmente risultino dal contenitore, è opportuno (anche se non
espressamente richiesto dalla norma) che i nomi siano evidenziati solo all’interno del
fascicolo.
●
In tal caso, l’elenco che abbina numeri e nomi deve essere conservato in luoghi e
secondo modalità che prevengano l’accesso non autorizzato.
●
Gli archivi debbono essere conservati in luoghi ad “accesso selezionato (che non
significa chiuso a chiave).
●

REGISTRO DEI TRATTAMENTI
●
L’obbligo del registro dei trattamenti è previsto all’art. 30, il quale prevede
tale dovere in capo al titolare e al responsabile del trattamento (che non
è il DPO).
●
Si tratta di un documento che censisce le caratteristiche principali
dell’attività del titolare del trattamento (impresa, ente, studio
professionale) e del responsabile del trattamento. La funzione del registro
è descrittiva. Nel registro si fa un’accurata ricognizione delle categorie di
attività relative al trattamento dati ad es; si indica nome e dati di
contatto del titolare, finalità del trattamento, categorie di dati personali
trattati e di interessati, etcc.
●
Il registro deve avere forma scritta, anche elettronica e deve essere esibito
su richiesta del Garante.

●
Art. 30 par. 5: Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle
imprese o organizzazioni con meno di 250 dipendenti, a meno che il
trattamento che esse effettuano possa presentare un rischio per i diritti e
le libertà dell’interessato, il trattamento non sia occasionale o includa il
trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo
1, o i dati personali relativi a condanne penali e a reati di cui all’articolo
10.
●
●
La norma si applica anche agli studi professionali, trattando gli stessi i dati
di cui all’art 9 par. 1 e i dati personali relativi a condanne penali e o reati
di cui all’art. 10.

●
La tenuta del registro dei trattamenti non costituisce un adempimento
formale, bensì parte integrante di un sistema di corretta gestione dei dati
personali (principio di accountability).
●
NB Il garante per la protezione personale sta valutando di mettere a
disposizione un modello di registro dei trattamenti nel proprio sito, che i
singoli titolari potranno integrare nei modi opportuni.

IL CLOUD COMPUTING
●
Il Cloud rappresenta un nuovo modo di fornire servizi informatici: i fornitori di servizi in
cloud mettono a disposizione degli utenti spazi di memorizzazione, software, server
virtuali e qualsivoglia altra tipologia di ambienti di sviluppo, con il vantaggio, per il
fruitore, di avere a disposizione memorie di massa illimitate e un risparmio in termini di
costi.
●
Distinzione tra:
-
Private Cloud Computing = infrastruttura informatica dedicata alle esigenze di una
singola organizzazione, ubicata nei suoi locali o affidata in gestione a un terzo, nei
confronti del quale il titolare dei dati può esercitare un controllo puntuale;
-
Public Cloud Computing = infrastruttura di proprietà di un cloud provider dove l’uso del
sistema informatico non è dedicato ad un singolo utente, ma ad una molteplicità di
fruitori indeterminati (es. Amazon);
-
Hybrid Cloud = soluzioni che prevedono l’utilizzo di servizi erogati da infrastrutture private
accanto a servizi acquistati da cloud pubblici;
-
Community Cloud = infrastruttura condivisa da diverse organizzazioni a beneficio di una
specifica comunità di utenti.

IL CLOUD COMPUTING
●
Vantaggio: abbattimento o riduzione dei costi
●
Diffidenza per: assenza di riservatezza, problemi inerenti la sicurezza dei dati,
dipendenza dal fornitore, profili giurisdizionali legati alla legge applicabile e alla
disciplina sull’accesso ai dati.
●
Principale problema rilevato dai Garanti europei: perdita di controllo (cd. loss of
control) da parte del titolare, in quanto il cloud provider, al fine di ottimizzare i propri
data center, può all’occorrenza spostare le informazioni (i dati) da un data center a
un altro, senza che il titolare dei dati ne abbia consapevolezza.
●
Altri problemi legati alla sicurezza: gli utenti accedono al proprio account cloud
tramite internet, con conseguente potenziale aumento dei rischi per la sicurezza
nelle procedure di trasmissione o di accesso (autenticazione), se i dati non sono
criptati o se la procedura di autenticazione è debole in quanto fondata su una
inadeguata password.

IL CLOUD COMPUTING
●
Inoltre, si dovrà verificare la presenza di adeguate garanzie di disponibilità
dei dati e di continuità operativa, e quindi valutare l’opportunità di
provvedere al salvataggio dei dati (backup) allocati in cloud cercando
una copia locale.
●
Si dovrà altresì prestare attenzione agli Stati nei quali risiedono fisicamente i
server sui quali vengono allocati i dati, in quanto il criterio territoriale è
determinante per stabilire la giurisdizione e la legge applicabile.
●
Sarà poi opportuno gestire con attenzione il rapporto contrattuale, in modo
tale che sia dettagliatamente descritta l’erogazione del servizio.
●
Infine, occorrerà verificare il termine ultimo, dopo la scadenza del contratto,
oltre il quale il fornitore è tenuto a cancellare definitivamente i dati che gli
sono stati caricati e che i dati siano conservati nel rispetto delle finalità e
delle modalità concordate, escludendo duplicazioni e comunicazioni a
terzi.

IL CLOUD COMPUTING ANCHE ALLA LUCE DEL GDPR
●
●
contratti con i fornitori di servizi in cloud – responsabili del trattamento e tenuti ad
adottare misure a tutela dei dati (art. 28 GDPR)
●
collocazione dei dati e trasferimenti dei dati fuori dall’UE
●
sicurezza dei dati (nella conservazione e nella trasmissione)
●
●
garanzia dei diritti dell’interessato
●
●
tempi di conservazione dei dati

GRAZIE PER L’ATTENZIONE
AVV GIORGIO PICCOLOTTO
INFO@PICCOLOTTOPIEROBON.COM
TEL 0438 411736
VIALE CARDUCCI N. 16 – 31015 CONEGLIANO (tv)
WWW.PICCOLOTTOPIEROBON.COM

Le novità del GDPR e la figura del DPO

Recommended

Recommended

More Related Content

What's hot

What's hot (15)

Similar to Le novità del GDPR e la figura del DPO

Similar to Le novità del GDPR e la figura del DPO (20)

Le novità del GDPR e la figura del DPO