La nuova legge sulla privacy: i dati dei tabulati telefonici e del traffico telematico – Un ulteriore intervento presente nell’articolo 9 del Decreto Capienze prevede l’ abrogazione dell’art.132, comma 5 del Codice della Privacy. Con ciò il Governo stabilisce che il trattamento dei dati telefonici e telematici finalizzato alla prevenzione e alla repressione dei reati non deve più essere sottoposto al rispetto delle misure e delle indicazioni disposte dal Garante della Privacy per la tutela di tali dati e per la loro distruzione.
Quali sono i dati coperti da privacy?
Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica. Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.
- Particolarmente importanti sono: • i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.
- E i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa); • i dati rientranti in particolari categorie : si tratta dei dati c.d.
“sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’ orientamento sessuale ; • i dati relativi a condanne penali e reati : si tratta dei dati c.d.
“giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.
Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza. Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
- LE PARTI IN GIOCO Interessato è la persona fisica alla quale si riferiscono i dati personali.
- Quindi, se un trattamento riguarda, ad esempio, l’indirizzo, il codice fiscale, ecc.
- Di Mario Rossi, questa persona è l”interessato” (articolo 4, paragrafo 1, punto 1), del Regolamento UE 2016/679 ); Titolare è la persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679 ); Responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679 ).
Il Regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. “sub-responsabile” (articolo 28, paragrafo 2). * (Scheda di sintesi redatta dall’Ufficio del Garante a mero scopo divulgativo.
Quali sono i dati sensibili di una persona?
GDPR e dati sensibili: è cambiato qualcosa? – L’articolo 9 del GPDR ci dice che i dati particolari (ex-sensibili) non devono essere trattatati – salvo consenso esplicito dell’interessato o in caso di necessità per assolvere ad alcuni obblighi ben codificati – e ci dice anche quali sono:
l’origine razziale o etnica le opinioni politiche, le convinzioni religiose o filosofiche i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona
Quindi rispetto al codice privacy cosa è cambiato? Solo la forma, poco la sostanza. Dati sensibili e dati particolari sono assimilabili ed è vietato trattarli, a meno che l’interessato non abbia dato il suo esplicito consenso e salvo alcuni casi particolari che vedremo fra poco.
- La novità vera è un’altra.
- È cambiato il concetto stesso di dato personale, che sull’onda dell’evoluzione tecnologica è diventato qualcosa di più complesso rispetto a quello che intendevamo una volta.
- Oggi i sono tutte le informazioni che riconducono ad un singolo individuo attraverso le sue caratteristiche, relazioni, abitudini, stile di vita e così via.
E quindi sono anche:
tutte le informazioni identificative, dai dati anagrafici alle immagini che ritraggono la persona i dati precedentemente definiti sensibili e quindi sottoposti a tutela particolare le informazioni giudiziarie che possono rivelare l’esistenza di determinati provvedimenti giudiziari a carico della persona i dati relativi alle comunicazioni elettroniche via telefono o internet come, per esempio, un indirizzo IP i dati che consentono di geolocalizzare una persona e da cui è possibile capire dove è andata, quando e a volte anche con chi i dati genetici e i dati biometrici
Quale legge ha sostituito il GDPR 679 16?
Informativa ai sensi del D. Lgs.196/2003 come modificato dal Decreto Legislativo 10 agosto 2018, n.101 e dell’articolo 13 del Regolamento UE n.2016/679 Ai sensi del D. Lgs.196/2003 come modificato dal Decreto Legislativo 10 agosto 2018, n.101 (di seguito “Codice Privacy”) e dell’art.13 del Regolamento UE n.2016/679 (di seguito “GDPR 2016/679”), recante disposizioni a tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, desideriamo informarLa che i dati personali da Lei forniti formeranno oggetto di trattamento nel rispetto della normativa sopra richiamata e degli obblighi di riservatezza.
Titolare del trattamento Il Titolare del trattamento è la Fondazione CRUI, nella persona del legale rappresentante pro tempore prof. Ferruccio Resta. Finalità del trattamento I dati personali da Lei forniti sono necessari per gli adempimenti previsti per legge, art.13 del Regolamento UE n.2016/679 (di seguito “GDPR 2016/679”) Modalità di trattamento e conservazione Il trattamento sarà svolto in forma automatizzata e/o manuale, nel rispetto di quanto previsto dal D.Lgs.196/2003 e s.m.i.
in materia di misure di sicurezza, ad opera di soggetti appositamente incaricati e in ottemperanza a quanto previsto dagli art.29 GDPR 2016/ 679. Le segnaliamo che, nel rispetto dei principi di liceità, limitazione delle finalità e minimizzazione dei dati, ai sensi dell’art.5 GDPR 2016/679, previo il Suo consenso libero ed esplicito espresso in calce alla presente informativa, i Suoi dati personali saranno conservati per il periodo di tempo necessario per il conseguimento delle finalità per le quali sono raccolti e trattati.
- Ambito di comunicazione e diffusione Informiamo inoltre che i dati raccolti non saranno mai diffusi e non saranno oggetto di comunicazione senza Suo esplicito consenso.
- Trasferimento dei dati personali I suoi dati non saranno trasferiti né in Stati membri dell’Unione Europea né in Paesi terzi non appartenenti all’Unione Europea.
Categorie particolari di dati personali Ai sensi degli articoli 9 e 10 del Regolamento UE n.2016/679, Lei potrebbe conferire, alla Fondazione CRUI dati qualificabili come “categorie particolari di dati personali” e cioè quei dati che rivelano “l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.
- Tali categorie di dati potranno essere trattate dalla Fondazione CRUI solo previo Suo libero ed esplicito consenso, manifestato in forma scritta in calce alla presente informativa.
- Esistenza di un processo decisionale automatizzato, compresa la profilazione La Fondazione CRUI non adotta alcun processo decisionale automatizzato, compresa la profilazione, di cui all’articolo 22, paragrafi 1 e 4, del Regolamento UE n.679/2016.
Diritti dell’interessato In ogni momento, Lei potrà esercitare, ai sensi degli articoli dal 15 al 22 del Regolamento UE n.2016/679, il diritto di: a) chiedere la conferma dell’esistenza o meno di propri dati personali; b) ottenere le indicazioni circa le finalità del trattamento, le categorie dei dati personali, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati e, quando possibile, il periodo di conservazione; c) ottenere la rettifica e la cancellazione dei dati; d) ottenere la limitazione del trattamento; e) ottenere la portabilità dei dati, ossia riceverli da un titolare del trattamento, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e trasmetterli ad un altro titolare del trattamento senza impedimenti; f) opporsi al trattamento in qualsiasi momento ed anche nel caso di trattamento per finalità di marketing diretto; g) opporsi ad un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.
h) chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; i) revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; j) proporre reclamo a un’autorità di controllo.
Può esercitare i Suoi diritti con richiesta scritta inviata al Direttore della Fondazione CRUI, all’indirizzo postale della sede legale o all’indirizzo mail [email protected] : Informativa ai sensi del D. Lgs.196/2003 come modificato dal Decreto Legislativo 10 agosto 2018, n.101 e dell’articolo 13 del Regolamento UE n.2016/679
Cosa prevede il codice della privacy?
La regola generale è che il trattamento dei dati da parte di privati o di enti pubblici economici può essere effettuato solo col consenso dell’interessato; in particolare, il consenso dell’interessato è necessario qualora il trattamento sia effettuato per finalità di direct marketing o promozionali.
Cosa si intende per diritto di oblio?
La pagina contiene link alla normativa e a documenti interpretativi, schede informative e pagine tematiche, ed è in continuo aggiornamento. Il diritto cosiddetto “all’oblio” (art.17 del Regolamento) si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata.
Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell´interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art.17, paragrafo 2 del Regolamento),
Ha un campo di applicazione più esteso di quello di cui all’art.7, comma 3, lettera b), del Codice, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (si veda art.17, paragrafo 1 del Regolamento),
LINEE GUIDA Linee guida 5/2019 sui criteri per l’esercizio del diritto all’oblio nel caso dei motori di ricerca, definite in base alle previsioni del Regolamento (UE) 2016/679 (parte I) Versione adottata dopo consultazione pubblica – 7 luglio 2020 DOCUMENTI – Sentenza nella causa C-507/17 (24 settembre 2019) Google LLC, succeduta alla Google Inc./ Commission nationale de l’informatique et des libertés (CNIL) Il gestore di un motore di ricerca non è tenuto a effettuare la deindicizzazione in tutte le versioni del suo motore di ricerca.
È tuttavia tenuto ad effettuarla nelle versioni di tale motore di ricerca corrispondenti a tutti gli Stati membri e ad attuare misure che scoraggino gli utenti di Internet dall’avere accesso, a partire da uno degli Stati membri, ai link di cui trattasi contenuti nelle versioni extra UE di detto motore – Sentenza della Corte di giustizia nella causa C-136/17 (24 settembre 2019) GC e a./Commission nationale de l’informatique et des libertés (CNIL) Il divieto di trattare determinate categorie di dati personali sensibili si applica anche ai gestori di motori di ricerca.
Nell’ambito di una domanda di deindicizzazione, dev’essere effettuato un bilanciamento tra i diritti fondamentali del richiedente la deindicizzazione e quelli degli utenti di Internet potenzialmente interessati a tali informazioni – Sentenza della Corte (Grande Sezione) del 13 maggio 2014 Google Spain SL e Google Inc.
contro Agencia Española de Protección de Datos (AEPD) e Mario Costeja González. Causa C‑131/12 Il gestore di un motore di ricerca su Internet è responsabile del trattamento da esso effettuato dei dati personali che appaiono su pagine web pubblicate da terzi.
Così, nel caso in cui, a seguito di una ricerca effettuata a partire dal nome di una persona, l’elenco di risultati mostra un link verso una pagina web che contiene informazioni sulla persona in questione, questa può rivolgersi direttamente al gestore oppure, qualora questi non dia seguito alla sua domanda, adire le autorità competenti per ottenere, in presenza di determinate – WP Art.29 – Linee-guida sull’attuazione della sentenza della Corte di Giustizia dell’Unione europea nel caso C-131/12 “Google Spain e Inc.
contro Agencia Española de Protección de Datos (AEPD) e Mario Costeja González” 26 Novembre 2014 – (English version) VEDI ANCHE – Relazione annuale 2018 – Relazione annuale 2017
Quando possono essere trattati i dati di una persona?
Quando possono essere trattati i dati personali? La tua azienda/organizzazione può trattare dati personali solo nelle seguenti circostanze:
con il consenso delle persone interessate;laddove esista un obbligo contrattuale (un contratto tra la tua azienda/organizzazione e un cliente);per adempiere a un obbligo giuridico ai sensi della legislazione UE o nazionale;quando il trattamento è necessario per l’esecuzione di un compito svolto nell’ interesse pubblico ai sensi della legislazione UE o nazionale;per proteggere gli interessi vitali di una persona;per i legittimi interessi della tua organizzazione, ma solo dopo aver verificato che non vengano compromessi i diritti e le libertà fondamentali della persona di cui stai trattando i dati. Se i diritti della persona prevalgono sui tuoi interessi, il trattamento non può essere effettuato sulla base di un interesse legittimo. La valutazione del fatto che la tua azienda/organizzazione abbia un legittimo interesse al trattamento che prevale su quello degli interessati dipende dalle singole circostanze del caso.
Chi può trattare i dati personali?
Privacy: chi è il Titolare del trattamento dei dati personali, casi aziendali Il Titolare del trattamento non è una figura nuova nell’ambito della normativa privacy, Secondo quanto stabilito, il Titolare del trattamento (data controller) è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità e modalità del trattamento di dati personali, nonché agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
In sostanza il “titolare del trattamento” non solo è colui che ha la facoltà di trattare i dati personali degli interessati senza ricevere istruzioni da altri (e senza dover rendere conto a terzi che non siano gli interessati), ma è anche colui che decide sia le ragioni che le modalità del trattamento dei dati.
In linea generale, quindi il Titolare è individuato nel vertice dell’azienda, ovvero la società, l’ente, l’associazione o lo studio associato nel loro complesso e, pertanto, corrisponde ad una persona giuridica. Nel caso in cui il trattamento dei dati venga effettuato nell’ambito di una persona giuridica, di una Pubblica Amministrazione o di un altro organismo, il titolare deve essere identificato nell’ente nel suo complesso (ad esempio, la società, il ministero, l’ente pubblico, l’associazione, ecc.) anziché in taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all’esterno (ad esempio, l’amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).
- In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di “responsabile del trattamento”.
- Ovviamente non può essere titolare del trattamento un soggetto privo di personalità giuridica propria (si veda in proposito il Parere emesso da parte dell’Autorità Garante per la Tutela dei Dati Personali in data 9 dicembre 1997).
Nel caso di gruppi di società la società madre e le controllate sono distinti titolari del trattamento, avendo una personalità giuridica distinta. In tal caso il trasferimento dei dati tra le società del gruppo deve essere autorizzata dagli interessati.
- Il Regolamento Europeo per la Tutela dei Dati personali riconosce come possibile la coesistenza di più “titolari del trattamento” (“contitolari” o “jointes controllers”) che decidono congiuntamente il trattamento di uno specifico insieme di dati per conseguire una finalità comune.
- In tale caso la normativa impone ai contitolari di definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti.
In ogni caso, però, gli interessati possono rivolgersi indifferentemente ad uno qualsiasi dei contitolari. Sul sito della sono state pubblicate alcune utili alle aziende per chiarire che cosa queste ultime debbano fare per rispettare le norme UE sulla protezione dei dati.
Cosa deve contenere l’informativa sulla privacy?
Dati del titolare (nome, denominazione o ragione sociale, domicilio o sede) o, ove applicabile, i dati del responsabile della protezione dei dati; finalità e basi giuridiche del trattamento dati; natura obbligatoria o facoltativa del consenso. Devono essere specificate le conseguenze del diniego del consenso.
Quali sono le principali novità del GDPR?
La principale novità del Regolamento è certamente costituita dalla centralità del principio di responsabilizzazione (accountability), per questo principio, è rimesso al titolare del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali.
Non vi è più una serie predefinita di adempimenti da rispettare, ma dev’essere ciascun titolare, nell’ambito della propria autonomia e previa accurata valutazione dei rischi, a dover individuare le più idonee (e adeguate) misure organizzative e tecniche, e a doverne dimostrare l’applicazione e l’efficacia.
È importante sottolineare la centralità dei profili di sicurezza dei dati, Infatti l’articolo 5 del GDPR, individua i principi generali in tema di trattamento e menziona espressamente l'”integrità e riservatezza” dei dati, stabilendo che il trattamento debba avvenire “in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali”. Altre novità riguardano l’informativa, in ordine alla quale saranno introdotte anche delle icone (uguali in tutta l’Unione Europea) per esemplificare i contenuti in forma sintetica e renderli di più immediata comprensione a un numero maggiore di persone.
In altre parole, quando la Commissione provvederà ad approvarle, sarà possibile avere una prima generale e immediata cognizione circa l’utilizzo dei dati personali, semplicemente attraverso un chiaro sistema di icone. L’informativa dovrà essere arricchita, in quanto dovranno essere inseriti: i dati di contatto del Data Protection Officer; la base giuridica del trattamento; l’indicazione se sia previsto il trasferimento di dati in Paesi terzi (vale a dire al di fuori dell’Unione europea), e, in caso affermativo attraverso quali strumenti; il periodo di conservazione dei dati o i criteri stabiliti per determinarne la durata; il diritto di presentare reclamo all’Autorità di controllo e, infine, se il trattamento comporti processi decisionali automatizzati e, nel caso, la logica applicata ai processi decisionali e le possibili conseguenze per Per quanto riguarda il consenso, analogamente a quanto previsto dall’articolo 18 del Codice della Privacy, esso non sarà richiesto se il trattamento (di dati non sensibili) sia “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
Il Regolamento introduce poi significative modifiche in tema di diritti dell’interessato, con una disciplina puntuale del diritto alla cancellazione (“diritto all’oblio”), e con un inedito “diritto alla portabilità del dato” (regolato dall’articolo 20).
In base a tale diritto, l’interessato gode della facoltà di ricevere i dati personali forniti a un titolare, in formato strutturato, di uso comune e leggibile da un dispositivo automatico, e di trasmettere tali dati a un altro titolare, per le ipotesi di trattamenti effettuati con mezzi automatizzati, basati sul consenso o su un contratto.
In pratica, il livello di “signoria” sui propri dati personali arriva al punto di poter migrare liberamente da un titolare all’altro. Questo innovativo “diritto alla portabilità” non si applica ai trattamenti di dati necessari per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, e quindi non potrà – con ogni probabilità – essere esercitato nei confronti delle pubbliche amministrazioni, quali il MIUR.
- Oltre a questi punti principali del GDPR, esso deve includere anche i concetti di “privacy by design” e “privacy by default”, anche noti come: “protezione dei dati fin dalla progettazione” e “protezione per impostazione predefinita”.
- Si tratta di due importanti presidi, a tutela del corretto trattamento dei dati personali, che devono iniziare a fare parte del bagaglio di cognizioni di chiunque debba realizzare – e utilizzare – sistemi che trattino dati personali.
Un altro importante adempimento è costituito dall’introduzione del Registro delle attività di trattamento. Il Registro, che ricorda il “Documento Programmatico di sicurezza” previsto dall’allegato B del Codice della Privacy, non è sempre obbligatorio, ma solo per coloro che abbiano più di 250 dipendenti, ovvero (anche sotto questa soglia) laddove il trattamento possa presentare un rischio per i diritti e le libertà dell’interessato, non sia occasionale o includa il trattamento di categorie “particolari” di dati, individuati nell’articolo 9 paragrafo 1 (già individuato prima), o i dati personali relativi a condanne penali e a reati.
Esso non è obbligatorio ma è sempre utile valutare la sua adozione, soprattutto nell’ottica della responsabilizzazione e della necessità di dover dimostrare il rispetto dei principi in tema di protezione di dati personali. Il Garante infatti ha avuto modo di precisare che “la tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione dei dati personali.
Per tale motivo, si invitano tutti i titolari di trattamento e i responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti svolti e delle rispettive caratteristiche – ove già non condotta Completiamo questa breve introduzione con altre tre importanti novità: l’obbligo di notificazione e comunicazione delle violazioni di dati personali (data breach), la valutazione d’impatto e la nomina del Responsabile della protezione dei dati personali, o Data Protection Officer.
Il GDPR introduce inoltre l’obbligo di notificazione al Garante dei data breach, entro settantadue ore dalla scoperta; obbligo a cui si aggiunge anche la comunicazione agli interessati, laddove ci sia un rischio elevato per i diritti e le libertà fondamentali. Questo impone di dotarsi di sistemi di adeguata segnalazione e reportistica delle intrusioni e delle diffusioni e perdite, anche accidentali, di dati, per essere in grado di adempiere correttamente all’obbligo.
Non si tratta di una novità assoluta per le pubbliche amministrazioni, ma certamente la sua portata è molto estesa rispetto al passato, per cui tutti i dipendenti devono essere a conoscenza dell’obbligo di attivarsi in caso di violazioni di dati personali.
Per quanto riguarda la valutazione d’impatto sulla protezione dei dati personali, essa costituisce un processo strutturato di valutazione e gestione del rischio legato ai trattamenti di dati personali, da effettuarsi obbligatoriamente in specifiche situazioni, laddove il trattamento, anche per l’uso di nuove tecnologie, possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
Vi sono delle ipotesi, espressamente individuate dal GDPR, nelle quali la valutazione d’impatto deve essere effettuata: il trattamento su larga scala di categorie particolari di dati o di dati relativi a condanne penali e a reati; la valutazione sistematica e globale di aspetti personali, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici; infine il monitoraggio sistematico di aree pubbliche su vasta scala.
- Per quanto riguarda invece il Data Protection Officer (DPO), esso è una figura sostanzialmente nuova, che deve essere nominata obbligatoriamente da enti od organismi pubblici (sia dal titolare che dal responsabile).
- Per i privati l’obbligo della nomina scatta solo se l’attività principale consiste in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure se l’attività principale consiste nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.
Il DPO (che può essere sia interno che esterno) è designato in funzione delle qualità professionali, e in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti espressamente individuati dal GDPR.
Da quando si applica il nuovo GDPR?
Il regolamento generale sulla protezione dei dati – Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il testo comprende la rettifica pubblicata nella GUUE del 23 maggio 2018. Il regolamento costituisce un passo essenziale per rafforzare i diritti fondamentali dei singoli nell’era digitale e agevolare le attività economiche rendendo chiare le regole per le imprese nel mercato unico digitale. Un unico atto legislativo porrà inoltre fine all’attuale frammentazione nei vari sistemi nazionali e agli oneri amministrativi superflui.
Il regolamento è entrato in vigore il 24 maggio 2016 e si applica dal 25 maggio 2018. Maggiori informazioni per le imprese e i cittadini, Informazioni sull’integrazione del regolamento generale sulla protezione dei dati (GDPR) nell’ accordo SEE, EU Member States notifications to the European Commission under the GDPR Study on Data Protection Certification Mechanisms