itenfrdees

Promos Ricerche è un Consorzio senza fini di lucro. SCOPO: La promozione e l’introduzione dell’innovazione in qualsiasi forma e settore. Scopri di più.

News

Privacy, sotto tutela tutti i dati che consentono l’identificazione

Privacy, sotto tutela tutti i dati che consentono l’identificazione

Il decreto di adeguamento al regolamento Gdpr (Dlgs 101/2018) recepisce in toto la nozione di «dato personale» in continuità con la precedente legislazione Ue. Pertanto, sono da ritenersi attuali le elaborazioni concettuali e le applicazioni maturate prima del Dlgs 101/2018 e del Gdpr, con riguardo all’opinione n. 4/2007 del «Gruppo di lavoro ex art. 29».

L’articolo 4, n. 1, del Gdpr definisce il dato personale come «qualsiasi informazione riguardante una persona fisica identificata o identificabile (“interessato”)». L’identificazione/identificabilità dell’interessato è un requisito essenziale: non basta l’astratto collegamento del dato con una persona, ma occorre che quest’ultima sia singolarmente identificata o almeno possa esserlo; altrimenti, l’informazione rimane anonima e, quindi, estranea alle tutele del Regolamento. Malgrado l’apparente chiarezza della norma, nella pratica quotidiana ci si interroga su cosa vada realmente considerato «dato personale» in un determinato contesto.

Per consolidata impostazione, non occorre arrivare a conoscere il nome della persona, ma è sufficiente che questa venga distinta dagli altri membri di un gruppo. Ne deriva l’equipollenza, quanto alla nozione di dato personale, tra nome anagrafico e qualsiasi altro elemento informativo o complesso di elementi informativi – anche se detenuti da titolari diversi – ugualmente dotati di attitudine distintiva (immagini, suoni, codice identificativo, descrizione, «l’uomo vestito di nero al semaforo»). Nemmeno rileva che la persona sia individuabile da chiunque: ciò che determina l’applicazione delle tutele privacy e data protection è, invece, che essa possa essere distinta o riconosciuta con ragionevole probabilità almeno da qualcuno. Inoltre, dalla premessa che solo alcuni soggetti siano in grado di individuare l’interessato non deriva la conseguenza che una certa informazione sia «dato personale» solo rispetto a costoro, e non agli altri: questo implica che il titolare del trattamento potrebbe anche non conoscere l’identità dell’interessato, né avere modo di determinarla.

Nelle più complesse ipotesi, il collegamento tra identificativo e persona fisica non si configura in termini di certezza bensì di mera possibilità (ad esempio, l’immagine del volto di un soggetto non ancora identificato, ma che possa esserlo). Secondo l’articolo 4, n. 1, Gdpr «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente», ossia, secondo l’interpretazione del Gruppo ex art. 29, attraverso un collegamento dell’identificativo rispetto alla persona fisica di tipo immediato (nome) o mediato (codice fiscale), il quale ultimo consente l’identificazione soltanto attraverso un’operazione ulteriore (confronto con specimen, registri o elenchi).

Ai fini della nozione di identificabilità è essenziale il criterio della «ragionevole probabilità», nel senso che non ha pregio qualsiasi identificazione possibile, bensì, secondo il Considerando n. 26 Gdpr, solo quella a cui si possa pervenire tenendo conto dei mezzi che è probabile verranno utilizzati dal titolare o da un terzo.

La «ragionevole probabilità» va intesa come probabilità «qualificata», ossia con un margine di verificazione apprezzabile. Il legislatore Ue fornisce parametri di riferimento alla stregua dei quali determinare se l’utilizzo dei mezzi di identificazione appaia o no ragionevolmente probabile: per il Considerando n. 26 occorre guardare all’insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l’identificazione, tenendo conto sia delle tecnologie disponibili, sia degli sviluppi tecnologici. Nella valutazione del rischio, il Gruppo ex art. 29 suggerisce un approccio ex ante, integrato da verifiche periodiche, che tengano conto dello stato dell’arte e del mutamento dei contesti rilevanti: in particolare, per stabilire se le informazioni in suo possesso soggiacciono alla disciplina del Gdpr e della normativa interna, il titolare del trattamento deve valutare in ottica prognostica ogni fattore (tipologia dei dati trattati, finalità del trattamento, interessi di terzi a conoscerli ecc.) potenzialmente idoneo a incidere sulla ragionevole probabilità che altri pervengano all’identificazione dell’interessato. È il caso delle immagini della videosorveglianza, che vanno sempre considerate dati personali in quanto la finalità del trattamento è proprio quella di pervenire all’identificazione degli interessati laddove necessario; e ciò ancorché, nella pratica, non tutti i soggetti ripresi siano identificabili.

AdA

Fonte IlSole24Ore 272/18 RB

Leggi tutto...
Registro delle attività di trattamento dei dati, nuove FAQ del Garante Privacy

Registro delle attività di trattamento dei dati, nuove FAQ del Garante Privacy

Il Garante per la protezione dei dati personali ha messo a disposizione sul proprio sito le istruzioni sul Registro delle attività di trattamento, previsto dal Regolamento (EU) n. 679/2016 (di seguito “RGPD”).

Il Registro, che deve essere predisposto dal titolare e del responsabile del trattamento, è un documento contenente le principali informazioni (specificatamente individuate dall’art. 30 del Regolamento) relative alle operazioni di trattamento svolte da una impresa, un’associazione, un esercizio commerciale, un libero professionista.

L’obbligo di redigere il Registro costituisce uno dei principali elementi di accountability del titolare, poiché rappresenta uno strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile ai fini della valutazione o analisi del rischio e dunque preliminare rispetto a tale attività. 

Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e - al di sotto dei 250 dipendenti - qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Nelle FAQ vengono indicate, tra l’altro, quali informazioni deve contenere il Registro e le modalità per la sua conservazione e il suo aggiornamento.

AdA

Scarica il Registro

Leggi tutto...
Regolamento privacy arricchito con riferimenti ai “considerando”

Regolamento privacy arricchito con riferimenti ai “considerando”

Il Garante per la protezione dei dati personali rende disponibile una versione del regolamento (UE) 2016/679 aggiornata alle rettifiche pubblicate sulla Gazzetta Ufficiale dell'Unione europea 127 del 23 maggio 2018.

Per facilitare una fruizione più ampia e ragionata del testo, articoli e paragrafi del Regolamento riportano inoltre tra parentesi i rispettivi “Considerando”, laddove esistenti, indicati con l’abbreviazione “C” e il numero corrispondente.

AdA

Scarica il documento

Leggi tutto...
La privacy condona le sanzioni «vecchie» entro il 18 dicembre

La privacy condona le sanzioni «vecchie» entro il 18 dicembre

Il 19 settembre è entrato in vigore il decreto legislativo 101 che ha coordinato le vecchie norme nazionali in materia di riservatezza con il sistema introdotto dal regolamento Ue 679 (il cosiddetto Gdpr), diventato operativo il 25 maggio. Dunque, gli operatori pubblici e privati avranno tutti gli strumenti per muoversi tra i nuovi obblighi - a cominciare dalle procedure per il condono delle vecchie sanzioni, il cui pagamento va effettuato entro il 18 dicembre - anche se la navigazione si preannuncia complicata.

E questo per almeno due motivi. Per la complessità dell’apparato normativo, costituito dal Gdpr (che rappresenta il principale punto di riferimento) e dal decreto 101, che a sua volta si compone di due parti: le regole che vivono di vita propria e le modifiche al vecchio codice della privacy (il decreto legislativo 196 del 2003). Queste ultime rappresentano la materia più consistente del decreto. L’altra difficoltà è rappresentata dalla definitezza del nuovo sistema, che è tale solo in apparenza. All’appello mancano, infatti, ancora parecchi passaggi da compiere, a cominciare dalla ricognizione dei codici deontologici (come quello dei giornalisti o delle investigazioni difensive; si veda la scheda a fianco) e delle autorizzazioni generali: in entrambi i casi si deve appurare la loro compatibilità con la nuova privacy. Compito che spetta al Garante.

Per l’Autorità guidata da Antonello Soro si prospettano mesi di fuoco, perché dovrà gestire anche il contenzioso pregresso, occuparsi del condono delle sanzioni comminate prima del 25 maggio e, allo stesso tempo, monitorare l’applicazione del Gdpr, cercando, però, di non calcare troppo la mano. E questo in ottemperanza al periodo di rispetto di otto mesi imposto dal decreto 101, così da dare a imprese e pubbliche amministrazioni il modo di prendere le misure con i nuovi obblighi. Scatta per l’Autorità un fitto calendario di adempimenti che si concluderà a dicembre del prossimo anno, quando dovrà chiudere il registro dei trattamenti che finora ha gestito e che il Gdpr ha reso obsoleto. E ciò al netto di altri compiti che non prevedono una scadenza ma che spetta sempre al Garante portare a termine, come il regolamento sull’organizzazione e il funzionamento del proprio ufficio o le linee guida per semplificare la vita alle piccole e medie imprese.

L’urgenza maggiore è, tuttavia, rappresentata dalla revisione di cinque dei sette codici deontologici (per gli altri due c’è più tempo) e delle diverse autorizzazioni generali. Operazione che deve compiersi nei prossimi mesi e che prevede, in una prima fase, la verifica da parte del Garante della compatibilità di quei provvedimenti con il nuovo quadro normativo sulla privacy e, successivamente, la sottoposizione dei nuovi testi a una consultazione pubblica.

Altro capitolo da affrontare nell’immediato è quello della trattazione dei vecchi ricorsi, reclami e segnalazioni e il condono riservato a determinati tipi di violazioni che al 25 maggio risultavano non ancora definite con l’adozione dell’ordinanza-ingiunzione da parte del Garante. In quel caso, gli interessati potranno usufruire del pagamento della sanzione in misura ridotta (due quinti del minimo edittale), versamento da effettuare entro il 18 dicembre.

AdA

Fonte Sole24Ore 256/18 AC

Leggi tutto...
Decreto privacy GDPR, in Gazzetta il testo

Decreto privacy GDPR, in Gazzetta il testo

Pubblicato in Gazzetta Ufficiale del 4 settembre 2018 il decreto legislativo n. 101 del 10 agosto 2018 sulla privacy per l’adeguamento al GDPR. Le regole entreranno in vigore il prossimo 19 settembre.

Il decreto attuativo di armonizzazione delle regole sulla privacy al Regolamento UE 2016/679 recepisce le numerose novità in materia di tutela dei dati personali stabilite dal GDPR e conferma le misure di semplificazione per le micro, piccole e medie imprese, per le quali dovrà tuttavia esprimersi il Garante per la protezione dei dati personali, promuovendo modalità semplificate di adempimento degli obblighi del titolare del trattamento.

Chiarimenti anche in materia di sanzioni amministrative e penali previste in caso di violazione delle novità previste dal GDPR.

AdA

Scarica il decreto legislativo n. 101 del 10 agosto 2018

Leggi tutto...
Furto di dati aziendali, così la stretta dei giudici

Furto di dati aziendali, così la stretta dei giudici

Tutela dei dati aziendali rafforzata. Nell’interpretazione dei giudici, infatti, hanno assunto via via rilevanza disciplinare non solo le più classiche ipotesi di divulgazione di informazioni riservate all’esterno del perimetro aziendale, ma anche le condotte che – seppur non si concretizzino in un danno all’attività datoriale – ledono comunque le prerogative di riservatezza del datore di lavoro, il cui perimetro è da interpretarsi in senso ampio ed elastico ricomprendendo anche informazioni e dati non protetti e nella disponibilità del lavoratore.

Nell’ampia giurisprudenza sull’appropriazione dei dati aziendali da parte del lavoratore, particolare importanza assume la pronuncia della Corte di cassazione n.25147 del 20 ottobre, relativa a un dipendente che aveva ricopiato su una chiave Usb una mole consistente di documenti aziendali. I giudici hanno stabilito che é legittimo il licenziamento del dipendente e ciò indipendentemente dalla protezione delle informazioni attraverso una password e dalla loro divulgazione a terzi perché questa condotta viola il dovere di fedeltà sancito dall’articolo 2105 del Codice civile.

Questa decisione acquisisce particolare rilevanza alla luce dell’entrata in vigore del Gdpr che ha introdotto più stringenti adempimenti in materia di trattamento e sicurezza dei dati personali, ponendo così una rinnovata attenzione sul tema della riservatezza in ambito aziendale. In particolare, dato l’obbligo in capo alle aziende di porre in essere specifiche misure per garantire la sicurezza dei dati oggetto di trattamento (pena l’applicazione di esose sanzioni) si pone la necessità di individuare puntualmente le condotte dei dipendenti lesive degli obblighi di riservatezza e quindi rilevanti sotto il profilo disciplinare.

La sentenza si pone nell’ambito della giurisprudenza relativa ai casi in cui il lavoratore si appropri di informazioni aziendali; in questo contesto, tuttavia, non sempre è chiaro quando risulti integrata la violazione dell’articolo 2105 Codice civile, in particolar modo con riferimento sia alla natura dei dati/informazioni rilevanti, che alla necessità o meno di una divulgazione degli stessi. Nel caso di specie, il giudice ha interpretato i suddetti requisiti nel senso dell’irrilevanza sia della natura non riservata delle informazioni apprese che della mancata divulgazione delle stesse: la circostanza che per il dipendente l’accesso ai dati fosse libero, infatti, non lo autorizzava ad appropriarsene creandone copie idonee a far uscire le informazioni al di fuori della sfera di controllo del datore di lavoro. Pertanto, la condotta del dipendente integrava violazione del dovere di fedeltà sancito dall’articolo 2105 Codice civile che si sostanzia nell’obbligo del lavoratore di astenersi da attività contrarie agli interessi del datore di lavoro, tali dovendosi considerare anche quelle che, sebbene non attualmente produttive di danno, siano dotate di potenziale lesività.

Nella stessa direzione si pone una pronuncia della Corte di Cassazione (13 febbraio 2017, n. 3739) avente ad oggetto il caso di un lavoratore che si era abusivamente impossessato di appunti contenenti informazioni confidenziali, con la finalità di trasmetterle a un concorrente. In tale ipotesi, chiarivano i giudici, era irrilevante che la divulgazione all’esterno non fosse avvenuta perché impedita dall’intervento del datore di lavoro, dovendo ricondursi al dovere di fedeltà anche situazioni che non presentino tutti i requisiti dell’articolo 2105 Codice civile, atteso che il contenuto del suddetto obbligo è più ampio, dovendosi integrare questa norma con gli articoli 1175 e 1375 Codice civile, che impongono al lavoratore condotte rispettose di canoni generali di correttezza e buona fede.

Con riferimento alla natura delle informazioni violate, un’interessante pronuncia di merito (Corte di appello di Ancona, 9 gennaio 2012, n. 1136) ha specificato come le informazioni la cui apprensione è rilevante ai fini della sussistenza della suddetta violazione sono quelle relative alle modalità produttive e al “know how” dell’azienda che - per il loro apporto e originalità - il datore di lavoro abbia interesse a preservare.

Dinanzi a tale inadempimento, proseguiva la Corte, le eventuali intenzioni del lavoratore, se non corroborate da circostanze obiettive, rilevano ben poco al fine di escludere la sussistenza di una condotta avente rilevanza disciplinare: infatti, seppur la valutazione delle intenzioni del lavoratore non può essere elusa, in quanto necessaria al fine di un corretto esercizio del potere disciplinare, tuttavia la violazione dei canoni di riservatezza costituisce di per sé un inadempimento, indipendente dal possibile esito di un “processo alle intenzioni”.

AdA

fonte Sole24Ore 180/18 VP

Leggi tutto...
Regolamento GDPR. Aggiornato il software per la valutazione di impatto

Regolamento GDPR. Aggiornato il software per la valutazione di impatto

Disponibile sul sito del Garante Privacy l'aggiornamento, alla versione 1.6.3 con nuove funzionalità, del software per la valutazione di impatto sulla protezione dei dati.

Il software offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

Il software qui presentato non costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d'impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d'impatto che va integrata in ragione delle tipologie di trattamento esaminate.

È inoltre bene ricordare che la valutazione d'impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

AdA

Scarica la nuova versione del software

Leggi tutto...
Responsabile della Protezione dei Dati - procedura per la comunicazione dei dati di contatto

Responsabile della Protezione dei Dati - procedura per la comunicazione dei dati di contatto

Disponibile sul sito del Garante per la protezione dei dati personali, la procedura on-line per la comunicazione del nominativo del Responsabile della Protezione dei Dati.

In base all'articolo 37, paragrafo 7 del Regolamento UE/2016/679 occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato.

Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP 243 rev. 01 - punto 2.6).

Si ricorda, infatti, che in base all'articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.

Sul sito dell'Autorità è disponibile una procedura online per la comunicazione del nominativo.

Per facilitare i soggetti tenuti all'adempimento, nella sezione dedicata alla procedura, è presente anche un facsimile in formato .pdf - da non utilizzare per la comunicazione al Garante - che consente di familiarizzare con l'adempimento e verificare, prima di iniziare la compilazione online, quali saranno le informazioni richieste.

AdA

Vai alla procedura on-line

Scarica il fac-simile

Scarica le istruzioni per la compilazione

Scarica le Linee guida sui responsabili della protezione dei dati

Leggi tutto...
Regolamento UE. Un software per la valutazione di impatto

Regolamento UE. Un software per la valutazione di impatto

La CNIL, l'Autorità francese per la protezione dei dati, ha messo a disposizione un software di ausilio ai titolari in vista della effettuazione della valutazione d'impatto sulla protezione dei dati (DPIA).

Il software, la cui versione in lingua italiana è stata messa a punto con la collaborazione del Garante per la protezione dei dati personali, offre un percorso guidato alla realizzazione della DPIA, secondo una sequenza conforme alle indicazioni fornite dal WP29 nelle Linee-guida sulla DPIA.

Occorre sottolineare che il software è in continua evoluzione, con revisioni introdotte anche sulla base dell'esperienza raccolta e delle segnalazioni degli utenti.

Il software non costituisce un modello al quale fare riferimento in ogni situazione di trattamento, essendo stato concepito soprattutto come ausilio metodologico per le PMI. Offre in ogni caso un focus sugli elementi principali di cui si compone la procedura di valutazione d'impatto sulla protezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di una DPIA, ma non va inteso come schema predefinito per ogni valutazione d'impatto che va integrata in ragione delle tipologie di trattamento esaminate.

È inoltre bene ricordare che la valutazione d'impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati.

AdA

Scarica il software

Leggi tutto...
Regolamento Ue sulla privacy. Online la Guida applicativa aggiornata

Regolamento Ue sulla privacy. Online la Guida applicativa aggiornata

Il Garante per la protezione dei dati personali mette a disposizione l'aggiornamento 2018 della Guida all'applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali. Il documento - che traccia un quadro generale delle principali innovazioni introdotte dal Regolamento e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa - è stato in parte modificato e integrato alla luce dell'evoluzione della riflessione a livello nazionale ed europeo. Il testo potrà subire ulteriori aggiornamenti, allo scopo di offrire sempre nuovi contenuti e garantire un aggiornamento costante.

La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018. Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).

Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci. La presente Guida è soggetta a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo.

AdA

Scarica la Guida applicativa

Leggi tutto...
Sottoscrivi questo feed RSS
  • 1
  • 2