Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


appunti privacy gdpr, Dispense di Diritto informatico

appunti sulla privacy, codice e gdpr

Tipologia: Dispense

2024/2025

Caricato il 01/03/2026

Anagkhkgj
Anagkhkgj 🇮🇹

15 documenti

1 / 5

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Appunti sul GDPR: il Regolamento UE 2016/679
Il nuovo regolamento europeo (UE) 2016/679 per la Protezione dei Dati GDPR (General Data
Protection Regulation) determina le “linee guida” da adottare in materia di Protezione delle Persone
Fisiche con riguardo al Trattamento dei Dati noncalla libera circolazione di tali dati. È importante
sottolineare il fatto che, bensì l’obbligo sia per tutte le aziende, i “Dati” a cui si riferisce il
Regolamento sono quelli che riconducono o che si possono in qualche modo ricondurre a Persone
Fisiche e non giuridiche (aziende). Il regolamento Europeo in materia di protezione dei dati
personali (regolamento 2016/679), approvato in data 14 aprile 2016 dal Parlamento Europeo e
pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio, costituisce un prezioso tentativo di
armonizzazione delle regole privacy dei vari Stati ed è finalizzato a sviluppare il mercato unico
digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e
software. Il regolamento costituisce con la direttiva Direttiva (UE) 2016/680 del Parlamento europeo
e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine,
accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera
circolazione di tali dati il c.d. “pacchetto protezione dati personali”.
L’attuale Legge Italiana D.lgs 196 del 2003, meglio conosciuta come “Legge Privacy”, è stata
abrogata definitivamente nel marzo scorso. Il Regolamento UE 2016/679 GDPR abroga completamente la
vecchia Direttiva 95/46, dalla quale sono nate tutte le Leggi Privacy dei vari Stati Membri, tra cui anche la
nostra Dlgs 196/2003. Trattandosi appunto di Regolamento” e non di “Direttiva”, il GDPR non è
soggetto stavolta a “recepimento” e non potrà quindi essere modificato dagli Stati Membri, né sul
contenuto , tanto meno, sulle date di applicazione essendo applicabile, fin dall’inizio, esattamente
così com’è. Le aziende che avevano già adottato a suo tempo le misure previste nella “Legge Privacy”
come, ad esempio, il DPS o Documento Programmatico della Sicurezza (poi tolto dal 2013), saranno
sicuramente avvantaggiate perché non dovranno partire da zero, se non altro come “cultura” da
introdurre in azienda.
I VANTAGGI del Regolamento UE 2016/679 o GDPR.
Con questo Regolamento, il Consiglio Europeo, oltre ad armonizzare e ad aggiornare le normative
privacy in tutta la UE, si pone come secondo obiettivo, quello di ridefinire l’approccio delle aziende
in materia di protezione dati, in virtù dei continui attacchi informatici di cui sono oggetto da alcuni
anni le imprese di ogni dimensione e settore, fornendo una guida utile anche in questa direzione.
I principali vantaggi del GDPR sono:
norme uniche per tutta l’UE
condizione di parità per tutte le imprese UE
norme adatte alla web-economy
norme “scalabili” ed “adattabili” ai cambiamenti tecnologici ed ai futuri scenari economici.
La novità principale del nuovo regolamento è che sparisce il concetto di “MISURE MINIME” , alla
base dell’attuale normativa D.Lgs 196, per lasciare il posto a quello di “MISURE ADEGUATE”, e
viene introdotto il principio di “ACCOUNTABILITY”(Responsabilizzazione). Tale principio di fatto
attribuisce più discrezionalità ma, al tempo stesso, maggiore responsabilità al “Titolare del
Trattamento” su tutto quello che concerne la protezione dati con un inasprimento consistente delle
sanzioni previste in caso di inadempienza. Il Titolare ed il Responsabile del Trattamento hanno il
preciso dovere di dimostrare le ragioni che hanno determinato le scelte fatte.
L’impatto del regolamento ue 2016/679 su cittadini e PA
pf3
pf4
pf5

Anteprima parziale del testo

Scarica appunti privacy gdpr e più Dispense in PDF di Diritto informatico solo su Docsity!

Appunti sul GDPR: il Regolamento UE 2016/ Il nuovo regolamento europeo (UE) 2016/679 per la Protezione dei Dati GDPR (General Data Protection Regulation) determina le “linee guida” da adottare in materia di Protezione delle Persone Fisiche con riguardo al Trattamento dei Dati nonché alla libera circolazione di tali dati. È importante sottolineare il fatto che, bensì l’obbligo sia per tutte le aziende, i “Dati” a cui si riferisce il Regolamento sono quelli che riconducono o che si possono in qualche modo ricondurre a Persone Fisiche e non giuridiche (aziende). Il regolamento Europeo in materia di protezione dei dati personali (regolamento 2016/679), approvato in data 14 aprile 2016 dal Parlamento Europeo e pubblicato sulla Gazzetta Ufficiale Europea del 4 maggio, costituisce un prezioso tentativo di armonizzazione delle regole privacy dei vari Stati ed è finalizzato a sviluppare il mercato unico digitale attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software. Il regolamento costituisce con la direttiva Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati il c.d. “pacchetto protezione dati personali”. L’attuale Legge Italiana D.lgs 196 del 2003, meglio conosciuta come “Legge Privacy”, è stata abrogata definitivamente nel marzo scorso. Il Regolamento UE 2016/679 GDPR abroga completamente la vecchia Direttiva 95/46, dalla quale sono nate tutte le Leggi Privacy dei vari Stati Membri, tra cui anche la nostra Dlgs 196/2003. Trattandosi appunto di “Regolamento” e non di “Direttiva”, il GDPR non è soggetto stavolta a “recepimento” e non potrà quindi essere modificato dagli Stati Membri, né sul contenuto né, tanto meno, sulle date di applicazione essendo applicabile, fin dall’inizio, esattamente così com’è. Le aziende che avevano già adottato a suo tempo le misure previste nella “Legge Privacy” come, ad esempio, il DPS o Documento Programmatico della Sicurezza (poi tolto dal 2013), saranno sicuramente avvantaggiate perché non dovranno partire da zero, se non altro come “cultura” da introdurre in azienda. I VANTAGGI del Regolamento UE 2016/679 o GDPR. Con questo Regolamento, il Consiglio Europeo, oltre ad armonizzare e ad aggiornare le normative privacy in tutta la UE, si pone come secondo obiettivo, quello di ridefinire l’approccio delle aziende in materia di protezione dati, in virtù dei continui attacchi informatici di cui sono oggetto da alcuni anni le imprese di ogni dimensione e settore, fornendo una guida utile anche in questa direzione. I principali vantaggi del GDPR sono:  norme uniche per tutta l’UE  condizione di parità per tutte le imprese UE  norme adatte alla web-economy  norme “scalabili” ed “adattabili” ai cambiamenti tecnologici ed ai futuri scenari economici. La novità principale del nuovo regolamento è che sparisce il concetto di “MISURE MINIME” , alla base dell’attuale normativa D.Lgs 196, per lasciare il posto a quello di “MISURE ADEGUATE”, e viene introdotto il principio di “ACCOUNTABILITY”(Responsabilizzazione). Tale principio di fatto attribuisce più discrezionalità ma, al tempo stesso, maggiore responsabilità al “Titolare del Trattamento” su tutto quello che concerne la protezione dati con un inasprimento consistente delle sanzioni previste in caso di inadempienza. Il Titolare ed il Responsabile del Trattamento hanno il preciso dovere di dimostrare le ragioni che hanno determinato le scelte fatte. L’impatto del regolamento ue 2016/679 su cittadini e PA

I cittadini, con le nuove disposizioni, sono al centro del sistema; sono riconosciuti ai cittadini: il diritto alla portabilità dei dati, il diritto all’oblio (riconosciuto fino ad ora solo a livello giurisprudenziale), il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati sui suoi dati e di controllare, il diritto di essere informato sulle violazioni dei propri dati personali (“data breach”, notificazione di una violazione di dati). Il testo in esame riconosce, pertanto, un livello elevato e uniforme di tutela dei dati ed è finalizzato a dare un maggiore controllo ai cittadini sull’utilizzo dei loro dati. Il regolamento comporta un cambiamento anche culturale: difendere i dati, significa difendere le persone, l’identità e la libertà delle stesse. I cittadini hanno il diritto di essere avvertiti dalle pubbliche amministrazioni e dalle imprese delle violazioni dei loro dati personali (data breach notification) entro le 72 ore, obbligo previsto attualmente solo in alcuni settori (fascicolo e dossier sanitario, interscambio di dati fra le pubbliche amministrazioni, Tlc e settore bancario). I cittadini hanno il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali, di proporre il reclamo per loro conto e di esercitare per loro conto i diritti sui propri dati (v. artt. 77, 78 e 79) nonché, il diritto di ottenere il risarcimento dei danni causato dalla violazione del regolamento. Il testo impone alle imprese e alle pubbliche amministrazioni una forte responsabilizzazione, un cambio di passo, un approccio proattivo, la protezione dei dati personali diventa, finalmente, un asset strategico delle pubbliche amministrazioni che deve essere valutato prima, già nel momento di progettazione di nuove procedure, prodotti o servizi, (principi data protection by design” e “data protection by default) senza derive burocratiche che hanno negli anni passato relegato la protezione dei dati personali ad un mero adempimento formale. Le pubbliche amministrazioni hanno, a seguito delle disposizioni del regolamento europeo, l’obbligo prima di procedere al trattamento, di effettuare una valutazione dell’impatto (“privacy impact assessment”), dei trattamenti previsti dal regolamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. La valutazione di impatto privacy richiede una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati. Il regolamento europeo introduce alcune semplificazioni degli oneri e adempimenti a carico delle pa.: viene abrogato l’adempimento della notificazione preliminare al Garante privacy, dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di trattamenti dati particolarmente delicati (es. dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria etc..). Con il nuovo testo del regolamento in materia di protezione dei dati personali entra nel nostro ordinamento il “principio di accountability” (obbligo di rendicontazione): le pubbliche amministrazioni titolari del trattamento dei dati devono dimostrare:

  • di avere adottato le misure di sicurezza adeguate ed efficaci a protezione dei dati e, costantemente riviste e aggiornate e che le proprie attività;
  • trattamenti sono conformi con i principi e le disposizioni del regolamento europeo, compresa l’efficacia delle misure. Il regolamento prevede che l’adesione ai codici di condotta (v.art.40) o a un meccanismo di certificazione (v. art.42) può essere utilizzata come elemento per dimostrare il rispetto degli obblighi

La protezione dei dati personali costituisce, alla luce del nuovo regolamento, una pietra angolare nella progettazione dei servizi, programmi, software e dei processi aziendali anche delle pubbliche amministrazioni. Il regolamento richiede alle pubbliche amministrazioni di andare oltre le regole e gli aspetti formali: i dirigenti, funzionari devono essere attori di un profondo cambiamento culturale con forte impatto organizzativo nell’ottica di adeguare le norme di protezione dei dati ai cambiamenti determinati dall’incessante evoluzione delle tecnologie (cloud computing, digitalizzazione, social media, cooperazione applicativa, interconnessione di banche dati, pubblicazione automatizzata di dati on line) nelle organizzazioni pubbliche. I SOGGETTI del trattamento nel nuovo GDPR:  INTERESSATO al Trattamento: la persona fisica oggetto del trattamento dati  TITOLARE del Trattamento: la persona fisica o giuridica (azienda/ente) titolare del trattamento  RESPONSABILE del Trattamento: la persona fisica o giuridica responsabile di un determinato trattamento. Può essere anche esterno mediante nomina (es. dati in Hosting, provider di posta, servizio paghe..) o interno (es. resp. reparto/processo interno o lo stesso Titolare del Trattamento)  DPO (Data Protection Officer) o RPD (Responsabile Protezione Dati) o Privacy Officer: è la nuova figura introdotta nel 2016 dal GDPR. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.  Entrambi, Titolare e Responsabile, rispondono legalmente.  Possono essere nominati anche più responsabili del trattamento. Il Principio di “ACCOUNTABILITY” nel GDPR il GDPR pone l’accento sui concetti di “Responsabilizzazione” (Accountability) e di “Misure Adeguate” in quanto, il Titolare del Trattamento deve garantire ed essere sempre in grado di dimostrare di rispettare i princìpi del Regolamento nonché, di aver messo in atto le misure ritenute idonee dal Titolare stesso. Anche se nel GDPR sparisce il concetto di “Misure Minime”, presente nel D.lgs 196/2003, si può comunque prevedere un insieme minimo di azioni per soddisfare le esigenze di Accountability il cui nucleo potrebbe essere così composto:  Assessment: valutazione iniziale legale e informatica  Registro dei Trattamenti: non obbligatorio fino a 250 dipendenti ma, “caldamente consigliato”  Funzionigramma privacy: definizione Ruoli e Compiti  Risk Assessment: valutazione del rischio sul dati da trattare  Privacy Impact Assessment: distinte valutazioni sull’impatto privacy relative a particolari processi, servizi, prodotti, sistemi che il Titolare può adottare, installare o fornire (ad es: installazione di impianti di videosorveglianza o di gps; organizzazione di campagne marketing; ecc.)  Documentazione: Informative, consensi e nomine Formazione: adeguata istruzione a chi dovrà trattare i dati  Gestione: mediante audit periodici di controllo Il GDPR introduce un NUOVO RUOLO: il DPO Il GDPR prevede l’inserimento di un nuovo ruolo nell’organigramma: il Responsabiledella Protezione Dati o DPO (Data Protection Officer) detto anche Responsabile dellaSicurezza (Privacy Officer). CHI è il DPO

Il DPO è una nuova figura specialistica, con cognizioni tecniche, informatiche e giuridiche. Viene nominato dal Titolare del Trattamento e, il suo compito, è quello di supportare il Titolare nell’applicazione delle procedure che riguardano il nuovo regolamento fungendo anche da interfaccia fra le Autorità di Controllo e i diretti interessati. I COMPITI del DPO  Informare e fornire consulenza al titolare del trattamento nonché ai dipendenti;  Sorvegliare l’osservanza del Regolamento GDPR  Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati;  Cooperare con l‘Autorità di controllo (il Garante Privacy);  Fungere da punto di contatto per l‘Autorità di controllo per questioni connesse al trattamento; QUANDO devo nominare un DPO La designazione del DPO è obbligatoria per tutti gli enti pubblici mentre, per le aziende private solo per le seguenti tipologie di trattamenti:  effettuati su larga scala e sistematici (Es. Marketing, Profilazione..etc)  comandati da una Pubblica Autorità  che riguardano particolari categorie di dati sensibili Inoltre il DPO assume un ruolo fondamentale, in caso di violazione dei dati (Data Breach), come interfaccia con le Autorità di Controllo. Il Responsabile della Protezione dei Dati può essere:  un dipendente del titolare del trattamento o del responsabile del trattamento  oppure assolvere i suoi compiti in base a un contratto di servizi