GDPR: Titolare, Responsabile, Addetto

Il Titolare del trattamento è l’azienda o l’ente a cui fa capo un intero processo di trattamento dei dati personali. È il titolare che da un lato comunica con l’interessato, cioè con l’individuo a cui si riferiscono i dati per garantire i suoi diritti, e dall’altro si interfaccia con l’Autorità Garante quando necessario. Tra le altre cose, il titolare del trattamento deve tenere un registro dei trattamenti e nominare un DPO quando previsto.

All’articolo 26 il GDPR introduce anche la co-titolarità del trattamento dei dati imponendo comunque ai diversi titolari di definire il rispettivo ambito di responsabilità e i compiti.

Il Responsabile del trattamento è l’organizzazione esterna al titolare designata per operare materialmente con i dati personali secondo le finalità comunicate all’interessato. Anche il responsabile del trattamento dovrà redigere il registro dei trattamenti e nominare se necessario un Data Protection Officer. Il Regolamento Europeo 16/679 consente anche la nomina di sub-responsabili (articolo 28) e introduce cambiamenti importanti su questa figura.

L’Addetto al trattamento – anche detto incaricato – è un’ulteriore figura già introdotta dalla 196, la legge italiana recentemente armonizzata con quella europea, i cui compiti sono solamente relativi alle operazioni di gestione quotidiana dei dati.

Il General Data Protection Regulation non prevede espressamente questa figura ma non la esclude facendo riferimento a “persone autorizzate al trattamento sotto l’autorità diretta del titolare o del responsabile”. Chiunque all’interno o all’esterno dell’organizzazione svolga questa attività dovrà essere sempre adeguatamente informato e quindi formato su come trattare i dati operativamente.

Grazie al metodico lavoro dello Staff di PrivacyLab siamo in grado di mettere a disposizione di tutti:

– un confronto sinottico tra la vecchia e la nuova 196.

– il nuovo testo completo (DL 196 integrato dal DL 101)

Read More

GDPR: Che cos’è il legittimo interesse?

Secondo il GDPR la base giuridica cui far riferimento per le operazioni di trattamento dei dati personali è la valutazione della liceità di tali operazioni. Questo significa che il trattamento dei dati viene considerato legittimo in tutte le condizioni previste dal Regolamento EU 16/679 (in particolare l’articolo 6) ma – ed è questo il punto – anche se il trattamento viene esercitato per perseguire uno scopo del titolare, a meno che non siano prevalenti su tale scopo i diritti e le libertà fondamentali dell’interessato. Anche in assenza del consenso dell’interessato, quindi, il titolare può procedere al trattamento dei dati nel caso in cui ci sia un legittimo interesse.

Nel considerando n. 47 del General Data Protection Regulation si affronta proprio il tema del legittimo interesse. Ciò a cui si fa riferimento sono le “ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento”. In altre parole questo significa che se il titolare svolge in modo autonomo una valutazione di legittimo interesse allora si sta basando sul fatto che l’interessato si attende tale comportamento rispetto al trattamento dei propri dati vista la tipologia del loro contatto o rapporto in essere. Ma quali sono questi casi? Il rapporto tra cliente e fornitore, per esempio, o quello tra dipendente e datore di lavoro, ossia situazioni in cui è ovvio che verrà effettuato un trattamento dei dati personali per perseguire legittimi interessi.

Read More

23-10-2018 PrivacyLab Academy & N4B SRL – Grazie a tutti i Partecipanti al Corso Avanzato utilizzo di PrivacyLab

Un ringraziamento a tutti i partecipanti all’intensa giornata di ieri che ha permesso di approfondire tematiche molto interessanti in ambito compliance GDPR e di approfondire l’utilizzo di PrivacyLab per permettere un approccio pratico sempre più efficace ed efficiente.

Un ringraziamento particolare alla “Focus Station”, ad Andrea Chiozzi che ha gestito la giornata con la solita maestria e allo Staff dell’Agriturismo La Camilla che ci ha ospitato con la solita proverbiale accoglienza.

Cogliamo l’occasione per invitare i partecipanti e tutte le persone interessate a scoprire i prossimi appuntamenti del programma formativo della PrivacyLab Academy e le date degli Esami di certificazione:

Corso di formazione per Consulente Privacy

28 NOVEMBRE 2018 – 29 NOVEMBRE 2018 A REGGIO EMILIA

Corso di Formazione da DPO – Data Protection Officer

19 NOVEMBRE 2018 – 24 GENNAIO 2019 A BOLOGNA + ONLINE

Read More

Regolamento Ue: le istruzioni del Garante privacy sul registro dei trattamenti e FAQ sul registro delle attività di trattamento

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e dal responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

 

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività.

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e – al di sotto dei 250 dipendenti – qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Nelle FAQ vengono indicate, tra l’altro, quali informazioni deve contenere il Registro e le modalità per la sua conservazione e il suo aggiornamento.

Clicca qui  per accedere alle FAQ

Roma, 8 ottobre 2018

Read More

GDPR – DPIA: quando è obbligatoria?

In alcuni casi il Regolamento Europeo 16/679 obbliga le imprese a svolgere una valutazione d’impattosulla protezione dei dati (DPIA) prima ancora di dare inizio ad un trattamento. Si tratta di uno strumento importante in termini di accountability perché permette all’organizzazione di valutare la conformità delle procedure messe in piedi.

In generale la DPIA è necessaria quando il trattamento può presentare un rischio elevato per i diritti e le libertà della persona e più in particolare quando:

  • il trattamento dei dati avviene in modo automatizzato

  • vengono effettuati trattamenti valutativi come la profilazione

  • avviene un monitoraggio sistematico come nel caso della videosorveglianza

  • il trattamento riguarda dati sensibili o soggetti vulnerabili come i minori

  • avvengono trattamenti di dati personali su larga scala.

Tuttavia, vista la sua utilità, è fortemente consigliata la valutazione d’impatto per tutti i trattamenti e non solo nei casi in cui il GDPR la prescrive come obbligatoria.

Il Garante per la protezione dei dati personali ha inoltre realizzato una mappa concettuale per aiutarci a capire quando effettuarla.

 

Read More

Corso Base Utilizzo PrivacyLab – Grazie a Tutti i partecipanti & Stay tuned

PrivacyLab Academy & N4B SRL

ringraziano i Partecipanti al Corso Base di utilizzo di Privacylab tenutosi Venerdi 5 ottobre presso l’Agriturismo “La Camilla” di Concorezzo.

E’ stato un pomeriggio intenso che grazie al sempre vulcanico Andrea Chiozzi ha permesso ai partecipanti di entrare dentro a PrivacyLab e cominciare a prenderne possesso per un uso consapevole, competente e responsabile.

Un primo livello di “Guida sicura” che siamo convinti porterà i partecipanti ad approcciarsi alla soluzione ed ai clienti in modo sempre più efficiente ed efficace.

Vi aspettiamo il 23 ottobre sempre nell’accogliente cornice della “Camilla” per il

Corso di Utilizzo avanzato di PrivacyLab,

secondo step del percorso formativo proposto dalla PrivacyLab Academy che prevede altri 2 ulteriori steps nelle figure del Consulente Certificato PrivacyLab e del Corso di Certificazione DPO…..

Visita il sito www.n4b.it e www.privacylab.it per scoprire l’offerta formativa di PrivacyLab Academy ed un approccio integrato alla sicurezza informatica, alla Business Continuity e alla compliance al GDPR.

Stay tuned……

Read More

Swascan vince i Startupbootcamp !

Complimenti a Sara Colnago e a tutto lo Staff

Swascan è tra le 11 #startups mondo scelte dal più grande acceleratore Europeo.

Pierguido Iezzi ( Co-Founder – CyberSecurity Strategy Director Swascan) ha commentato:

“Un riconoscimento importante che testimonia:

– la qualità della nostra piattaforma di #cybersecurity Testing

– le competenze e forza del Team

Un riconoscimento che condivido con tutti i nostri Partner, Distributori, Reseller e Aziende che hanno scelto la piattaforma e i servizi di consulenza Swascan.”

Ovviamente non ci fermiamo e altre good #news sono in arrivo.

Read More

GDPR e acquisti online

La gestione di un sito o di un’app di e-commerce comporta inevitabilmente il trattamento di numerosi dati personali degli acquirenti e dei semplici visitatori raccolti sotto forma di cookie o tramite la comunicazione diretta di queste informazioni da parte dell’utente stesso.

Nel percorso che ha portato alla scrittura del nuovo Regolamento Europeo 16/679 sulla privacy si è più volte evidenziata la necessità di fornire ai consumatori le informazioni necessarie a favorire scelte consapevoli e tutelare i dati personali tramite l’adozione di adeguate misure di sicurezza contro i data breach e gli altri possibili rischi.

Cosa cambia con il GDPR

Con l’entrata in vigore del General Data Protection Regulation nessun sito internet può raccogliere, memorizzare, utilizzare per effettuare offerte commerciali, gestire e cedere dati sugli acquisti fatti, sulle preferenze, sulle ricerche, sui click effettuati senza il permesso dell’interessato. La normativa comunitaria stabilisce di fatto il completo controllo del cittadino sui suoi dati e si tratta di una svolta che nessun operatore di commercio elettronico può ignorare.

I passaggi necessari per la compliance di un sito di e-commerce sono quindi 2:

  • informare correttamente l’utente sulle modalità dei trattamenti operati per erogare il servizio

  • richiedere il consenso per utilizzare le informazioni ricevute per scopi pubblicitari o per profilare l’utente.

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Read More

Le modifiche alla Legge 196. Lo scenario delineato dal D.Lgs 101/2018 – Scarica il documento in pdf di confronto tra vecchia e nuova 196

Un ringraziamento allo Staff di PrivacyLab per l’egregio lavoro svolto.

Il presente documento, destinato alla libera circolazione, è stato redatto per favorire il confronto, l’informazione e la sensibilizzazione in materia di protezione dei dati personali e si rivolge a consulenti, imprese, DPO ed enti.

Il risultato è un’utile tabella di raffronto tra il previgente Codice Privacy ed il dettato normativo così come modificato dal decreto legislativo n.101 di adeguamento che in parte abroga ed in parte modifica il d.lgs. 196/2003.

Clicca qui per scaricare il documento in formato pdf

Lo scenario delineato dalle modifiche in riferimento a:

Le Sanzioni

Per i primi otto mesi (…) il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento UE 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie.” Quindi non c’è alcuna sospensione delle sanzioni, tuttavia il Garante terrà conto per un periodo limitato e su base chiaramente discrezionale di possibili attenuantipiù o meno generiche.

Semplificazioni per le PMI

Il Decreto Legislativo 101 evidenzia l’esigenza di semplificare gli adempimenti per le micro, piccole e medie imprese. Il Garante per la protezione dei dati personali, pertanto, dovrà adottare delle linee guida di indirizzo riguardanti le misure organizzative e tecniche di attuazione dei principi del GDPR per le PMI, individuando eventuali modalità semplificate per essere in regola. Ciò nonostante deve essere molto chiaro che ciò non autorizza le PMI a non adeguarsi già a quanto previsto dalla normativa comunitaria.

Illeciti penali
Il decreto elenca alcune condotte del titolare del trattamento che possono costituire un illecito penale. In particolare il D.Lgs 101/2018 fa riferimento:

– al “trattamento illecito di dati” (art. 167)

– alla “comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” (art. 167-bis)

– all'”acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala” (art. 167-ter).

– “falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio di poteri del Garante” (art. 168)

– “inosservanza di provvedimenti del Garante” (art. 170)

– “violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori” (art. 171)

– eventuali pene accessorie previste dall’art. 172.

Tutti aspetti a cui dedicare ulteriori approfondimenti.

RIPRODUZIONE RISERVATA. È consentito un uso parziale del testo, previa citazione della fonte. È vietata la divulgazione del documento senza citazione della fonte.

Read More

Decreto 101 e Gdpr, le urgenze dopo l’uscita in Gazzetta Ufficiale

Un compito immane attende il Garante privacy, chiamato a un lavoro di messa in asse del sistema costituito dal GDPR, dal decreto delegato di attuazione e dal vecchio Codice come novellato dal decreto 101 del 10 agosto 2018. Ecco tutte le criticità di un quadro normativo estremamente complesso, le difficoltà interpretative, il rischio di aumento dei contenziosi, i poteri del Garante, come accelerare il passaggio al nuovo sistema, le incongruenze tra vecchio e nuovo, la necessità di un’azione rapida per evitare ricorsi contro l’Italia ……

Clicca qui per leggere l’analisi del Professor Pizzetti su Agenda Digitale.

Read More