Posted on

Come deve essere eseguito un backup ?

Non esiste una normativa unica e specifica che stabilisca esattamente come deve essere effettuato un backup, ma ci sono diverse linee guida e regolamenti che richiedono alle aziende e alle organizzazioni di implementare misure adeguate per la protezione e il backup dei dati, specialmente in settori che trattano informazioni sensibili o critiche.

Principali riferimenti normativi e standard per il backup:

1. GDPR (Regolamento Generale sulla Protezione dei Dati – UE 2016/679)

Il GDPR non definisce esattamente come deve essere fatto un backup, ma stabilisce che i dati personali devono essere protetti contro la perdita, la distruzione accidentale e il furto. Le aziende devono quindi adottare misure tecniche e organizzative adeguate per garantire l’integrità e la disponibilità dei dati, e il backup è una di queste misure.

  • Art. 32: Impone alle aziende di garantire la sicurezza dei dati trattati, incluse misure per la disponibilità e l’accesso tempestivo ai dati personali in caso di incidenti fisici o tecnici.
  • Art. 5: Richiede che i dati siano gestiti e conservati in modo tale da garantirne la protezione, inclusa la possibilità di ripristinarli in caso di perdita accidentale.

2. ISO/IEC 27001

La norma ISO/IEC 27001 è uno standard internazionale per la gestione della sicurezza delle informazioni. Essa richiede che le organizzazioni implementino controlli per la protezione dei dati, inclusi piani di backup regolari e testati per garantire che i dati siano recuperabili in caso di perdita.

  • Annex A.12.3: Focalizza sull’integrità dei dati e la loro disponibilità, richiedendo il backup dei dati essenziali, inclusi test regolari sui processi di ripristino.

3. NIST SP 800-34 (National Institute of Standards and Technology)

Questa linea guida del NIST statunitense tratta della “Contingency Planning Guide for Information Technology Systems” e contiene raccomandazioni dettagliate su come eseguire il backup dei dati critici e ripristinarli in caso di disastro. Sebbene non obbligatoria, la guida è ampiamente utilizzata come standard di riferimento.

Processo di backup secondo il NIST:

Valutazione del rischio: Identificare i rischi associati alla perdita di dati, inclusi i disastri naturali, 
errori umani, guasti hardware e attacchi informatici.

Determinazione dei requisiti di backup: Valutare la criticità dei dati e definire obiettivi 
di Recovery Point Objective (RPO) e Recovery Time Objective (RTO), ovvero quanto "indietro" 
si può tollerare di perdere dati (RPO) e quanto velocemente i sistemi devono essere ripristinati (RTO).

Implementazione della strategia di backup: Definire il tipo di backup più adatto 
(completo, incrementale, differenziale), la frequenza, la localizzazione dei 
backup e le tecnologie da utilizzare.

Protezione dei backup: Assicurare che i backup siano adeguatamente protetti 
attraverso la crittografia e limitare gli accessi ai dati di backup.

Test di ripristino regolari: Verificare che i backup possano essere ripristinati 
efficacemente, testando periodicamente il processo di recupero.

 

4. HIPAA (Health Insurance Portability and Accountability Act – USA)

Negli Stati Uniti, la HIPAA richiede alle organizzazioni sanitarie di proteggere i dati sanitari sensibili. Questo include requisiti specifici per il backup e il ripristino dei dati per garantire la continuità operativa e la protezione della privacy in caso di perdita o compromissione dei dati.

  • §164.308(a)(7): Richiede l’implementazione di un piano di backup dei dati e di un piano di ripristino in caso di emergenza per garantire la disponibilità continua delle informazioni elettroniche protette.

5. Regolamenti e norme settoriali

In vari settori, come quello bancario, finanziario e assicurativo, esistono regolamenti specifici che impongono requisiti per il backup dei dati, specialmente per garantire la continuità operativa e la conformità alle normative sulla protezione delle informazioni sensibili.

6. Regole interne e policy aziendali

Oltre ai requisiti normativi, molte aziende creano le proprie policy di backup, basandosi su esigenze interne o raccomandazioni degli standard di sicurezza. Queste policy definiscono tempi, metodi, frequenza e responsabilità riguardo ai backup e al loro ripristino.

Buone pratiche per il backup

Anche se le normative non sempre specificano i dettagli di come eseguire i backup, esistono delle buone pratiche riconosciute:

  • Frequenza: Il backup deve essere eseguito regolarmente, in base alla criticità dei dati. Alcune normative richiedono che i dati sensibili vengano salvati quotidianamente.
  • Sicurezza dei backup: I dati devono essere criptati sia a riposo che durante il trasferimento. Questo è particolarmente importante per proteggere i dati sensibili in conformità con il GDPR e altre normative.
  • Ridondanza: I backup dovrebbero essere conservati in più di un luogo fisico o logico (ad es. cloud e on-premise).
  • Test di ripristino: I processi di backup dovrebbero essere regolarmente testati per garantire che i dati possano essere ripristinati correttamente.
  • Piani di emergenza e continuità: È consigliabile creare un piano di continuità operativa che includa i processi di backup e di ripristino per ridurre al minimo i tempi di inattività in caso di incidenti.

Conclusione

Sebbene non esista una singola legge che indichi come debba essere effettuato un backup, diverse normative, come il GDPR e gli standard ISO/IEC 27001, impongono requisiti che influenzano la strategia di backup di un’organizzazione. Ogni azienda deve sviluppare procedure di backup in linea con la propria industria, con i regolamenti applicabili e con le migliori pratiche internazionali, per proteggere i dati e garantire la continuità operativa.

Posted on

COVID-19 E GDPR

Il Decreto del Presidente del Consiglio dei Ministri del 26 Aprile 2020 (DCPM 26/04/2020) presenta l’allegato 6 (pagina 21), cioè il “Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro fra il Governo e le parti sociali” del 24 Aprile 2020. (link protocollo condiviso)

In questo documento si definiscono alcune informazioni che devono essere obbligatoriamente date dal dipendente all’azienda al fine di garantire la sicurezza di tutto il luogo di lavoro. Questi dati devono essere rilevati e trattati ai sensi della normativa (GDPR) per consentire la piena consapevolezza dei diritti e doveri dei lavoratori.

In particolare tutti i lavoratori o chiunque entri in azienda devono dichiarare tempestivamente, anche successivamente all’ingresso, se sussistono condizioni di pericolo (sintomi di influenza, temperatura, provenienza da zone a rischio o contatto con persone positive al virus nei 14 giorni precedenti,etc).

Il personale, prima dell’accesso al luogo di lavoro potrà essere sottoposto al controllo della temperatura corporea. Se tale temperatura risulterà superiore ai 37,5, non sarà consentito l’accesso ai luoghi di lavoro.

La rilevazione in tempo reale della temperatura corporea costituisce un trattamento di dati personali e, pertanto, deve avvenire ai sensi della disciplina privacy vigente. A tal fine si suggerisce di :

  1. rilevare la temperatura e non registrare il dato acquisito. E’ possibile identificare l’interessato e registrare il superamento della soglia di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali.
  2. fornire l’informativa sul trattamento dei dati personali. Si ricorda che l’informativa può omettere le informazioni di cui l’interessato è già in possesso e può essere fornita anche oralmente. Quanto ai contenuti dell’informativa, con riferimento alla finalità del trattamento, potrà essere indicata la prevenzione dal contagio da COVID-19 e con riferimento alla base giuridica, può essere indicata l’implementazione dei protocolli di sicurezza anti-contagio ai sensi dell’art n.1, n.7, lett d.) del DPCM 11 mARZO 2020 e con riferimento alla durata dell’eventuale conservazione dei dati si può fare riferimento al termine dello stato di emergenza.
  3. Definire le misure di sicurezza ed organizzative adeguate a proteggere i dati. In particolare, sotto il profilo organizzativo, occorre individuare i soggetti preposti al trattamento e fornire loro le istruzioni necessarie. A tal fine si ricorda che i dati possono essere trattati esclusivamente per finalità di prevenzione dal contagio di COVID-19 e non devono essere diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative (es. in caso di richiesta da parte della Autorità sanitaria per la ricostruzione della filiera degli eventuali “contatti stretti di un lavoratore risultato positivo al COVID-19.
  4. In caso di isolamento momentaneo dovuto al superamento della soglia di temperatura, assicurare modalità tali da garantire la riservatezza e la dignità del lavoratore. Tali garanzie devono essere assicurate anche nel caso in cui il lavoratore comunichi all’ufficio responsabile del personale di aver avuto, al di fuori del contesto aziendale, contatti con soggetti risultati positivi al COVID-19  e nel caso di allontanamento del lavoratore che durante l’attività lavorativa sviluppi febbre e sintomi di infezione respiratoria e dei suoi colleghi.
  5. Qualora si richieda il rilascio di una dichiarazione attestante la non provenienza dalle zone a rischio epidemiologico e l’assenza di contatti, negli ultimi 14 giorni, con soggetti risultati positivi al COVID-19, si ricorda di prestare attenzione alla disciplina sul trattamento dei dati personali, poiché l’acquisizione della dichiarazione costituisce un trattamento dati. A tal fine si applicano le indicazioni di cui al precedente punto 1 e, nello specifico, si suggerisce di raccogliere solo i dati necessari, adeguati e pertinenti rispetto alla prevenzione del contagio da COVID-19, Ad esempio, se si richiede una dichiarazione sui contatti con persone risultate positive al COVID-19, occorre astenersi dal richiedere informazioni aggiuntive  in merito alla persona risultata positiva. Oppure se si richiede una dichiarazione sulla provenienza da zone a rischio epidemiologico, è necessario astenersi dal chiedere informazioni aggiuntive in merito alla specificità dei luoghi.

Queste note sono state estratte direttamente dal documento.

Le informazioni che potete (dovreste) chiedere ed ottenere sono quindi :

  1. i dati attinenti alla temperatura corporea come indicazione di superamento o meno della soglia critica.
  2. le informazioni in merito a contatti stretti ad alto rischio di esposizione, negli ultimi 14 giorni, con soggetti sospetti o risultati positivi al COVID-19;
  3. le informazioni in merito alla provenienza, negli ultimi 14 giorni, da zone a rischio secondo le indicazioni dell’OMS.

In pratica, rispetto al GDPR, nell’ambito di questa richiesta di informazioni suppletive al lavoratore o cliente/fornitore dell’azienda bisogna, in ottemperanza con la normativa vigente in materia di gestione dei dati personali :

  1. Fornire agli interessati l’informativa su questo particolare trattamento di dati personali. (es di informativa)
  2. Fornire ai soggetti preposti al trattamento le istruzioni necessarie.
  3. Registrare le informazioni necessarie fornite dall’interessato (dichiarazione) o da esso prelevate senza informazioni aggiuntive
Posted on

Prima di Inviare un Computer in Assistenza: Importanza del Backup dei Dati

Quando un computer presenta problemi tecnici o guasti, inviarlo in assistenza è spesso la scelta migliore per risolvere il problema. Tuttavia, è fondamentale che i clienti comprendano l’importanza di eseguire un backup completo dei propri dati prima di consegnare il dispositivo ai tecnici. Molte aziende di assistenza, come la Mecdata Srl di Ozzano dell’Emilia, chiariscono che la protezione dei dati personali è responsabilità del cliente, e non possono essere ritenute responsabili per la perdita di dati durante il processo di riparazione.

Backup: Un Passaggio Essenziale

Prima di affidare il proprio computer a un centro di assistenza, è consigliato effettuare un backup completo. Questo significa salvare una copia di tutti i file, documenti, foto, video e altri dati importanti su un dispositivo esterno (come un hard disk, un’unità flash USB) o in cloud. Ecco alcune ragioni per cui il backup è essenziale prima di procedere con l’assistenza:

  1. Rischio di perdita dei dati: Anche se l’obiettivo dell’assistenza è risolvere il problema, durante operazioni come la reinstallazione del sistema operativo, la formattazione o la sostituzione dell’hardware, potrebbe essere necessario cancellare tutti i dati dal dispositivo. Senza un backup, queste informazioni potrebbero andare perse in modo permanente.
  2. Ripristino dopo l’assistenza: Dopo l’intervento tecnico, il cliente potrà ripristinare facilmente i propri dati sul dispositivo riparato, garantendo una continuità nel lavoro e nelle attività personali.
  3. Imprevisti tecnici: Anche con le migliori intenzioni e competenze, durante le riparazioni possono verificarsi eventi imprevisti, come guasti al disco rigido o corruzione di file. Un backup previene ogni possibile danno irreversibile.

Limitazione di Responsabilità dell’Assistenza

Una regola comune tra i centri di assistenza informatica, come per Mecdata Srl, è che l’azienda non è responsabile per la perdita di dati durante le operazioni di riparazione. Questo perché il processo di assistenza può includere azioni tecniche che potrebbero comportare la cancellazione dei dati, come:

  • Formattazione del disco rigido: Durante la risoluzione di alcuni problemi di sistema, potrebbe essere necessario formattare il disco rigido, eliminando tutti i file presenti.
  • Sostituzione di componenti: In caso di malfunzionamento di parti hardware, come il disco rigido o la scheda madre, il recupero dei dati potrebbe non essere sempre possibile.
  • Installazione di nuovo software o sistema operativo: Per risolvere alcuni problemi software, i tecnici possono dover reinstallare completamente il sistema operativo, azione che cancella tutti i dati preesistenti.

Pertanto, Mecdata richiede esplicitamente al cliente di fare il backup prima di consegnare il dispositivo.

Regole

SI DOVRANNO CREARE DELLE COPIE DI RISERVA (BACKUP) PERIODICHE DEI DATI CONTENUTI NEL DISCO RIGIDO O IN ALTRE PERIFERICHE DI MEMORIZZAZIONE COME MISURA PRECAUZIONALE CONTRO POSSIBILI GUASTI, ALTERAZIONI O PERDITA DEI DATI. PRIMA DI CONSEGNARE UN PRODOTTO AL SERVIZIO DI ASSISTENZA, ASSICURARSI DI ESEGUIRE IL BACKUP DEI DATI E DI RIMUOVERE TUTTI I DATI RISERVATI, ESCLUSIVI O PERSONALI. MECDATA NON SARÀ RESPONSABILE IN CASO DI DANNI A O PERDITA DI PROGRAMMI, DATI O SUPPORTI DI MEMORIZZAZIONE RIMOVIBILI. MECDATA NON SARÀ RESPONSABILE DEL RIPRISTINO NÉ DELLA REINSTALLAZIONE DI QUALSIASI PROGRAMMA O DI DATO. I DATI DEL DISCO FISSO POTREBBERO VENIRE CANCELLATI DALL’UNITÀ INVIATA ALL’ASSISTENZA E I PROGRAMMI POTREBBERO ESSERE RIPRISTINATI AL LORO STATO ORIGINALE.

Conclusione

Prima di inviare un computer in assistenza, il backup dei dati è una misura essenziale per proteggere informazioni preziose da possibili perdite. Le aziende di assistenza informatica, come la Mecdata Srl, non possono garantire la salvaguardia dei dati durante le riparazioni, poiché alcune operazioni tecniche richiedono inevitabilmente la cancellazione di file. Per evitare spiacevoli inconvenienti, è fondamentale che il cliente si faccia carico di eseguire un backup completo prima di procedere. Una piccola precauzione che può fare la differenza tra la tranquillità e la perdita di dati importanti.

Posted on

GDPR. CAPO IV

libero riassunto degli articoli del GDPR a cura di Mecdata srl.

CAPO IV

Articolo 24 : Responsabilità del titolare del trattamento

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. Le misure di cui al paragrafo includono l’attuazione di politiche adeguate in materia di protezione dei dati.

L’adesione ai codici di condotta di cui all’articolo 40 o a un meccanismo di certificazione di cui all’articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

 

Semplificando, ogni azienda (il Titolare) deve dimostrare di sapere di possedere dati riguardanti persone fisiche, dimostrare di possedere tali dati per uno scopo “lecito” e dimostrare di proteggerli dalla appropriazione illecita.

 

Articolo 25 : Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

Tenendo conto dello stato dell’arte e dei costi di attuazione, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati.

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.  In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti del presente articolo.

 

Articolo 26 : Contitolari del trattamento

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14.

 

Articolo 27 : Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell’Unione

 

Articolo 28 : Responsabile del trattamento

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2.Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.  Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

c) adotti tutte le misure richieste ai sensi dell’articolo 32;

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4.Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento.

Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

5. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

8. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

 

Articolo 29 : Trattamento sotto l’autorità del titolare del trattamento o del responsabile del trattamento

Articolo 30 : Registri delle attività di trattamento

1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

f) dove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.

4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.

5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Articolo 31 : Cooperazione con l’autorità di controllo

Articolo 32 : Sicurezza del trattamento

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

 

Articolo 33 : Notifica di una violazione dei dati personali all’autorità di controllo

Articolo 34 : Comunicazione di una violazione dei dati personali all’interessato

 

Articolo 35 : Valutazione d’impatto sulla protezione dei dati

1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.
3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a)una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b)il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

4. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.
5. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei dati. L’autorità di controllo comunica tali elenchi al comitato.
6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all’interno dell’Unione.

7. La valutazione contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.
9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
10. Qualora il trattamento effettuato ai sensi dell’articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell’Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l’insieme di trattamenti in questione, e sia già stata effettuata una valutazione d’impatto sulla protezione dei dati nell’ambito di una valutazione d’impatto generale nel contesto dell’adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.
11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.

Articolo 35 : Approfondimento del Garante delle privacy

Vedi : https://www.garanteprivacy.it/regolamentoue/dpia

Il Dpia (Valutazione di Impatto sulla Protezione dei dati) “è obbligatoria in tutti i casi in cui un trattamento di dati può presentare un rischio elevato per i diritti e le libertà delle persone”. In particolare il regolamento individua 9 casi specifici:

  1. Trattamento valutativi compresa la profilazione.
  2. Decisioni automatizzate che producono significativi effetti giuridici (assunzioni, concessioni di prestiti, stipula di assicurazioni).
  3. Il monitoraggio sistematico (videosorveglianza).
  4. Trattamento di dati sensibili, giudiziari o di natura estremamente personale (come le opinioni politiche).
  5. Trattamento dati personali su larga scala.
  6. Trattamento di Big Data.
  7. Trattamento di dati di soggetti vulnerabili (anziani, minori, richiedenti asilo).
  8. Trattamento di dati con l’utilizzo di nuove tecnologie (riconoscimento facciale, dispositivi IoT, ecc…).
  9. Trattamento che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto (screening dei clienti di una banca attraverso i dati registrati in una centrale rischi per stabilire la concessione di un finanziamento).

Articolo 36 : Consultazione preventiva

Articolo 37 : Designazione del responsabile della protezione dei dati

1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

2. Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.

3. Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

4. Nei casi diversi da quelli di cui al paragrafo 1, il titolare e del trattamento, il responsabile del trattamento o le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento possono o, se previsto dal diritto dell’Unione o degli Stati membri, devono designare un responsabile della protezione dei dati. Il responsabile della protezione dei dati può agire per dette associazioni e altri organismi rappresentanti i titolari del trattamento o i responsabili del trattamento.

5. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.
6. Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.
7. Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e li comunica all’autorità di controllo.

 

Articolo 38 : Posizione del responsabile della protezione dei dati

1.Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.

2. Il titolare e del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.

3. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.

4 Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento.

5. Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.

6. Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.

 

Articolo 39 : Compiti del responsabile della protezione dei dati

1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

d)cooperare con l’autorità di controllo; e

e)fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2. Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

 

Responsabile protezione dei dati : linee guida Garante Privacy

Vedi : https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8036793

Il responsabile della protezione dei dati personali (RDP o DPO), al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

Sono tenuti alla designazione del responsabile della protezione dei dati personali il titolare e il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di “core business”) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati.Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l’effettivo assolvimento dei compiti.Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest’ultimo potrà essere anche una persona giuridica

Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

 

Articolo 40 : Codici di condotta

Articolo 41 : Monitoraggio dei codici di condotta approvati

Articolo 42 : Certificazione

Articolo 43 : Organismi di certificazione


PRECEDENTE – INDICESUCCESSIVO

Posted on

GDPR. CAPO III

libero riassunto degli articoli del GDPR a cura di Mecdata srl.

CAPO III

Articolo 12 : Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato

Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.
Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato. Il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’interessato al fine di esercitare i suoi diritti salvo che il titolare del trattamento dimostri che non è in grado di identificare l’interessato.

 

Articolo 13 : Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato

In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni: l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; i dati di contatto del responsabile della protezione dei dati, ove applicabile; le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale; il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; la possibilità dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; il diritto di proporre reclamo a un’autorità di controllo; se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; l’esistenza di un processo decisionale automatizzato, compresa la profilazione; .

Il tutto  non si applica se e nella misura in cui l’interessato dispone già delle informazioni.

 

Articolo 14 : Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato

Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le informazioni già descritte all’articolo 13 ed inoltre : la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico.

 

Articolo 15 : Diritto di accesso dell’interessato

L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle informazioni degli articoli 13 e 14. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento.

 

Articolo 16 : Diritto di rettifica

L’interessato ha il diritto di ottenere dal titolare del trattamento la modifica dei dati personali inesatti che lo riguardano.

 

Articolo 17 : Diritto alla cancellazione (diritto all’oblio)

L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano  e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti;l’interessato revoca il consenso; l’interessato si oppone al trattamento.

 

Articolo 18 : Diritto di limitazione di trattamento

L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento.

 

Articolo 19 : Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento

 

Articolo 20 : Diritto alla portabilità dei dati

L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento.

 

Articolo 21 :

 

Articolo 22 :


PRECEDENTE – INDICESUCCESSIVO

Posted on

GDPR. CAPO II

libero riassunto degli articoli del GDPR a cura di Mecdata srl.

CAPO II

Articolo 5 : Principi applicabili al trattamento di dati personali

Il titolare del trattamento è in grado di capire e provare che i dati personali sono trattati per finalità specifiche e limitate: che i dati personali raccolti, sono adeguati alle finalità ; che i dati personali raccolti sono esatti e, se non lo sono, vengono aggiornati tempestivamente; che i dati personali sono conservati solo per conseguire le finalità specifiche, dopo di che vengono marcati come non più utilizzabili e non più utilizzati; che i dati personali vengono trattati in modo da garantire una adeguata protezione rispetto a distruzione, modifica accidentale, o furto.

 

Articolo 6 : Liceità del trattamento

Il trattamento è lecito solo se sussiste almeno una delle seguenti condizioni:

a)l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

b)il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;

c)il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

d)il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;

e)il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

f)il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore.

 

Articolo 7 : Condizioni per il consenso

Il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali. Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento e tale revoca non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.

 

Articolo 8 : Condizioni applicabili al consenso dei minori

Per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito solo se  tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.

Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.

 

Articolo 9 : Trattamento di categorie particolari di dati personali

È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, trattare dati genetici, dati biometrici , dati relativi alla salute o alla vita sessuale o all’orientamento sessuale, salvo che :

a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali

b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato;

c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;

d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;

e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;

f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria

g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri,

h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale

i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero

j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici

 

Articolo 10 : Trattamento dei dati personali relativi a condanne penali e reati

 

Articolo 11 : Trattamento che non richiede l’identificazione

Se le finalità per cui un titolare del trattamento tratta i dati personali non richiedono  l’identificazione dell’interessato, il titolare del trattamento non è obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l’interessato al solo fine di rispettare il presente regolamento. Qualora, nei casi di cui al paragrafo 1 del presente articolo, il titolare del trattamento possa dimostrare di non essere in grado di identificare l’interessato, ne informa l’interessato, se possibile. In tali casi, gli articoli da 15 a 20 non si applicano tranne quando l’interessato, al fine di esercitare i diritti di cui ai suddetti articoli, fornisce ulteriori informazioni che ne consentano l’identificazione.


PRECEDENTE – INDICE – SUCCESSIVO

Posted on

GDPR. CAPO I

libero riassunto degli articoli del GDPR a cura di Mecdata srl.

CAPO I

Articolo 1 : Oggetto e finalità

Il regolamento stabilisce norme relative alla protezione delle persone fisiche riguardo al trattamento dei dati personali.

nb: la normativa a protezione dei dati personali non concerne le informazioni relative a soggetti diversi dalle persone fisiche (detto questo il trattamento di dati dell’ente/persona giuridica, quasi sempre, include inevitabilmente quello di dati riconducibili alle persone fisiche che vi operano/lavorano).

Articolo 2 : Ambito di applicazione materiale

Il regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio (cartaceo).

Il presente regolamento non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività. Tuttavia, il presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico (punto 18).

Il presente regolamento non si applica al trattamento dei dati personali effettuati dalle autorità competenti a fini di  indagine.

Articolo 3 : Ambito di applicazione territoriale

Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’UE, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’UE.  Il presente regolamento si applica al trattamento dei dati personali di persone che si trovano nell’UE, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’UE, quando le attività di trattamento riguardano la vendita di benei e servizi (anche se non effettuata) o la profilazione del loro comportamento.


Il GDPR deve essere preparato da tutte le aziende che si trovano nella UE o che non si trovano nella UE e che gestiscono dati di persone fisiche di cittadini della UE.


Articolo 4 : Definizioni

1) dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità.
2) trattamento: qualsiasi operazione compiuta con o senza l’ausilio di processi automatizzati sui dati personali, come la raccolta,la conservazione, la consultazione, l’uso, la comunicazione, la cancellazione.
3) limitazione di trattamento: quando il titolare proceda a limitare il trattamento, tali dati personali sono trattati solo per la conservazione, e ulteriori trattamenti saranno possibili soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro
4) profilazione: creazione automatica di un profilo di una persona fisica  per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti.
5) pseudonimizzazione: il principio per cui le informazioni dei dati personali debbano essere conservate in una forma che impedisce l’identificazione dell’utente
6) archivio: qualsiasi insieme strutturato di dati personali accessibili.
7) titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
8) responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
9) destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.
10) terzo: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile;
11) consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
12) violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;
13) dati genetici: i dati personali relativi alle caratteristiche genetiche
14) dati biometrici: i dati personali delle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
15) dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;
16) stabilimento principale: per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione. Se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento.
17) rappresentante: la persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;
18) impresa: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica;
19) gruppo imprenditoriale: un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate;
20) norme vincolanti d’impresa: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento nel trasferimento a un altro titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale.
21) autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51;
22) autorità di controllo interessata: un’autorità di controllo interessata dal trattamento di dati personali in quanto: il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure un reclamo è stato proposto a tale autorità di controllo;
23) trattamento transfrontaliero : trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro ; oppure  trattamento di dati personali che incide su interessati in più di uno Stato membro;
24) obiezione pertinente e motivata: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione;
25) servizio della società dell’informazione: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio (19);
26) organizzazione internazionale: un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.


PRECEDENTE – INDICESUCCESSIVO

Posted on

GDPR. Introduzione

GDPRGeneral Data Protection Regulation

In italiano viene chiamato RGPD : Regolamento Generale sulla Protezione dei Dati

Il GDPR è un regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.

Viene applicato a partire dal 25 maggio 2018 dopo un periodo di transizione di due anni e, a differenza di una Direttiva, non richiede alcuna forma di legislazione applicativa da parte degli stati membri.

La documentazione si trova sul sito delle leggi dell’Unione Europea : documento , in tutte le lingue dell’unione.

Il testo del GDPR comincia citando ben 173 punti analizzati, su cui si baserà il testo successivo. Finito questo lungo elenco, sono presenti i 99 articoli, raggruppati in 11 capitoli.

Consigliandovi la lettura del testo, proviamo a riassumerne i punti salienti :


INDICESUCCESSIVO