




















Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
una buona guida per la privacy
Tipologia: Guide, Progetti e Ricerche
1 / 28
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!





















a cura di Bianca Maria Baron e Valeria Andretta, Relazioni Industriali ANCE
EDILSTAMPA srl via G.A. Guattani 20 - 00161 Roma tel. 0684567403 - fax 0684567590 [email protected] - www.edilstampa.it
SOMMARIO
1. Introduzione 5 - Applicabilità del GDPR 2. I principi generali 6 - Nuovo quadro giuridico - La responsabilizzazione - Accountability - Privacy by design - Privacy by default 3. Il trattamento dei dati 6 - Tipologie di trattamento - Principi generali del trattamento 4. I dati 7 - Dati personali 5. I soggetti 8 - Titolare - Responsabile del trattamento - Incaricati - Responsabile protezione dati (DPO) - Interessati 6. I diritti degli interessati 9 - Diritto di informazione - Diritto di accesso - Diritto di rettifica - Diritto alla cancellazione (c.d. all’oblio) - Diritto di limitazione del trattamento - Diritto alla portabilità dei dati - Diritto di opposizione 7. I fondamenti di liceità del trattamento 9 - Esecuzione di un contratto - Adempimenti ad obblighi di Legge - Salvaguardia degli interessi vitali dell’interessato - Esecuzione di un compito di interesse pubblico - Legittimo interesse - Consenso 8. Il consenso 10 - Condizioni del consenso - Pluralità dei consensi - Diritto di revoca
Applicabilità del GDPR
1. INTRODUZIONE
Il 25 maggio 2018 diventerà applicabile, in tutti gli Stati membri, il Nuovo Regolamento Europeo ( GDPR - General Data Protection Regulation ) re- lativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati , (in vigore dal 24 maggio 2016). Il Nuovo Regolamento promuove la tutela dei dati personali basata sulla re- sponsabilizzazione dei titolari del trattamento dati (c.d. accountability). La logica propria del Regolamento è, infatti, quella di procedere ad una mes- sa a punto di processi interni delle imprese (o degli Enti o di tutti coloro che trattano dati personali) che, partendo da una valutazione dei rischi sull’uti- lizzo dei dati stessi, possa mettere in atto sistemi di tutela ad hoc. Alcuni dei principi della precedente normativa rimarranno validi anche con l’attuazione del nuovo Regolamento (l’obbligo di informativa, il consenso dell’interessato, la distinzione tra dati personali e dati sensibili). Altri, invece, rappresentano delle novità o parzialmente tali (la denominazione degli attori
Nuovo quadro giuridico
La responsabiliz- zazione Accountability
Privacy by design - Privacy by default
Tipologie di trattamento
I principi generali del trattamento
2. I PRINCIPI GENERALI (ARTT. 24-25)
Il legislatore comunitario ha adottato un Regolamento per rendere più omo- genea l’applicazione delle norme sulla Privacy su tutto il territorio comuni- tario. Il Regolamento, infatti, è direttamente applicabile in tutti gli Stati membri. La conformità ( compliance ) al Regolamento deve essere interpretata quale necessità per le imprese per la corretta tutela dei dati trattati. Il Nuovo Regolamento è incentrato sul concetto di responsabilizzazione ( cd accountability ) del titolare, nel senso di attuare tutte le misure necessarie per una corretta compliance al Regolamento. Rientra nel concetto di responsabilizzazione del titolare, a titolo esemplifi- cativo, il compito di effettuare, anche tramite il DPO (ove nominato) o attra- verso un responsabile interno, la valutazione dei rischi del trattamento dei dati, l’attuazione delle misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, la redazione del registro dei dati. Per tale ragione si parla di Privacy by design, nel senso di definire il tratta- mento dati in ottemperanza al Regolamento dimostrando di aver fatto tutto il possibile per evitare il rischio, e di Privacy by default, nel senso di aver adottato tutti gli strumenti tecnologici per proteggere il dato.
3. IL TRATTAMENTO DEI DATI (ART. 4.2)
Il trattamento dei dati consiste in qualsiasi operazione compiuta anche senza l’ausilio dei processi automatizzati, concernente la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estra- zione, consultazione, uso, comunicazione, messa a disposizione, raffronto, interconnessione, limitazione, cancellazione, diffusione, distruzione dei dati. Il trattamento dei dati deve essere orientato al rispetto dei seguenti principi:
Titolare
Responsabile del trattamento
Incaricati
Responsabile protezione dati (DPO) (Art. 37)
Interessati
5. I SOGGETTI (ART. 4)
La persona fisica o giuridica che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (impresa). La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
Tutti coloro che hanno accesso ai dati (es. impiegati ufficio del personale).
Il DPO (Data Protection Officer) è colui che, in una posizione di indipendenza dal titolare e dal responsabile, sorveglia il rispetto del Regolamento, della cui inosservanza rimangono unici responsabili il titolare e il responsabile del trattamento. Non sempre è obbligatoria la nomina del DPO, che riguarda solo i casi di trattamento di dati che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala o comunque il caso di trattamenti su larga scala di dati particolari (ex dati sensibili). Sembrerebbe quindi che per le imprese edili del comparto tale obbligo non sussista. Ciò non toglie che un’impresa possa determinarsi comunque di nominare un DPO mediante un contratto di designazione nel quale vengono indicate tutte le funzioni ad esso attribuite. Potrebbe essere nominato unico DPO an- che in un gruppo di imprese. La nomina del DPO deve essere comunicata all’Autorità di controllo (Ga- rante). Il DPO deve possedere un’idonea professionalità data dalla conoscenza del- la normativa (GDPR), del settore di attività e della specifica struttura dell’im- presa (formazione adeguata e continua).
Il DPO svolge:
Coloro i cui dati vengono trattati dal titolare e dai responsabili.
Diritto di informazione
Diritto di accesso
Diritto di rettifica
Diritto alla cancellazione (c.d. all’oblio)
Diritto di limitazione
Diritto alla portabilità dei dati
Diritto di opposizione
6. I DIRITTI DEGLI INTERESSATI (ARTT. 13-21)
Diritto di ricevere tutte le informazioni relative al trattamento in forma concisa, trasparente, intellegibile e facilmente accessibile (informativa).
Diritto di accedere ai propri dati e ai relativi trattamenti.
Diritto di rettificare i propri dati con relativo obbligo del titolare di comunicare tali modifiche.
Diritto di richiedere la cancellazione dei propri dati quando è esaurita la fi- nalità del trattamento, è stato revocato il consenso, è stata fatta opposizione al trattamento, i dati sono stati trattati in violazione di legge.
Diritto di limitare il trattamento dei propri dati in caso di inesattezze, di con- testazione o come misura alternativa alla cancellazione.
Diritto di trasferire i dati da un titolare a un altro.
Diritto di opporsi in qualsiasi momento al trattamento dei propri dati perso- nali.
7. I FONDAMENTI DI LICEITÀ DEL TRATTAMENTO (ART. 6)
Il trattamento dei dati è lecito solo in presenza di una delle 6 condizioni pre- viste dal Regolamento:
oppure
Senza il consenso o un’altra condizione di liceità, il trattamento è illecito/san- zionabile.
10. IL REGISTRO DEI TRATTAMENTI (ART. 30)
Il registro dei trattamenti è un “quadro di censimento e di sintesi”, che de- vono predisporre, in forma scritta, il titolare e il responsabile del trattamento, e contiene le seguenti informazioni:
È obbligatorio per le imprese con più di 250 dipendenti o in tutti quei casi in cui il trattamento non sia occasionale e includa dati particolari (stato di sa- lute, trattenute sindacali, etc...) o che potrebbero provocare rischi per i diritti e le libertà degli interessati. Si reputa, pertanto, sempre consigliata la sua redazione (accountabi- lity).
11. VALUTAZIONE DEL RISCHIO (ART. 32) E VALUTAZIONE D’IMPATTO (DPIA) (ARTT. 35-36)
Ogni qual volta il trattamento dei dati presenta rischi elevati per la libertà e i diritti delle persone fisiche il titolare deve effettuare, prima di procedere al trattamento, la valutazione sul rischio dell’eventuale impatto negativo che il trattamento dei dati può avere sulla libertà e sul diritto degli interessati. All’esito della valutazione di impatto, il titolare potrà decidere in autonomia se iniziare il trattamento ovvero consultare l’Autorità di controllo competente per ottenere indicazioni su come gestire il rischio. Anche laddove non si ravvisino rischi elevati sussiste comunque l’obbligo generale del titolare di mettere in atto tutte le misure per gestire in modo idoneo i rischi esistenti, valutati dopo una ordinaria valutazione del rischio (art. 32 nonché ex DPS), che comunque è sempre consigliabile effettuare.
Notifica al garante
Comunicazione all’interessato
Caratteristiche
Responsabilità
Risarcimento del danno
12. IL DATA BREACH - VIOLAZIONE DEI DATI (ARTT. 33-34)
Quando un evento comporta la violazione di dati personali (perdita, distru- zione o diffusione indebita), il titolare del trattamento deve, entro 72 ore dal momento in cui ne è venuto a conoscenza (a seguito dell’informazione da parte del responsabile del trattamento), notificare al Garante l’eventuale vio- lazione, comunicando:
L’Autorità di controllo collaborerà con il titolare per mettere in atto tutte le misure necessarie per contenere il danno. Se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche (es. frode, furto d’identità, danno all’immagi- ne, etc...), il titolare del trattamento comunica la violazione anche all’inte- ressato.
13. LA CERTIFICAZIONE (ART. 42)
Vi è la possibilità di richiedere l’ausilio di meccanismi di certificazione, sigilli e marchi di protezione dei dati per consentire ai titolari e ai responsabili del trattamento di dimostrare la conformità al Regolamento. La certificazione è volontaria, accessibile tramite procedura trasparente e non riduce la responsabilità del titolare del trattamento o del responsabile del trattamento. Può essere rilasciata dal Garante o da altri Enti certificatori accreditati ( non ancora individuati ) ed ha una validità di 3 anni. È rinnovabile e revocabile per perdita dei requisiti.
14. IL REGIME SANZIONATORIO (ARTT. 82-84)
Il titolare è responsabile per il danno causato dal suo trattamento, mentre il responsabile del trattamento risponde solo se non ha adempiuto agli obbli- ghi previsti dal Regolamento o ha agito in modo difforme rispetto a quanto indicato dal titolare (nel contratto). Il titolare o il responsabile del trattamento sono tenuti al risarcimento del danno nei confronti di chiunque subisce un danno materiale o immateriale derivante dalla violazione del trattamento dei dati personali.
Per l’istallazione degli impianti di videosorveglianza o di controllo, dovranno emergere in modo chiaro, in ogni richiesta di autorizzazione, le ragioni or- ganizzative e produttive , nonché quelle legate alla sicurezza del lavoro e alla tutela del patrimonio aziendale. In particolare, in merito all’ utilizzo di telecamere , è stato chiarito che:
Per l’utilizzo di sistemi di videosorveglianza che si basano su tecnologie digitali volte all’elaborazione su PC e alla trasmissione su rete dei dati (es. rete IP, cablata o wireless) e che consentono il passaggio di video e audio da un computer all’altro, è stato chiarito che, ove sussistano ragioni giusti- ficatrici del provvedimento, è autorizzabile la visione da postazione remota delle immagini sia in tempo reale che registrate. La visione in tempo reale delle immagini deve essere autorizzata solo in casi eccezionali. L’accesso, invece, alle immagini registrate deve essere tracciato, tramite si- stemi che consentano la conservazione dei “log di accesso”, per un periodo non inferiore a 6 mesi. Con riferimento all’utilizzo di dispositivi e tecnologie per la raccolta e il trat- tamento dei dati biometrici (impronta digitale, topografia della mano) è stato chiarito che, essendo tali sistemi utilizzati per assicurare elevati livelli di sicurezza o per consentire l’utilizzo di macchinari pericolosi, si può con- siderare l’utilizzo di tali sistemi come “funzionale a rendere la prestazione lavorativa” e, pertanto, non necessitano di accordo sindacale né di proce- dimento autorizzativo.
Circolare n. 5/
Nomina dei soggetti privacy
(cfr. punto 5)
16. GLI ADEMPIMENTI PER LE IMPRESE
IL TITOLARE DEL TRATTAMENTO DATI È L’IMPRESA (LEGALE RAPPRESENTANTE)
- in caso di outsourcing (es. servizi esterni di buste paga, gestione esterna del sistema informatico, gestione fatturazioni clienti da parte del commer- cialista) il responsabile esterno coincide con l’outsourcer e la nomina deve risultare dal contratto di servizi che ne individua i ruoli e le responsabilità - il responsabile svolge la valutazione del rischio sui dati connessi al con- tratto di servizi - il responsabile garantisce l’adozione di misure tecniche organizzative per garantire la sicurezza dei dati oggetto del contratto - il responsabile si occupa della tenuta del Registro dei trattamenti dei dati oggetto del contratto - il responsabile assiste il titolare nel rispetto degli obblighi del GDPR
- la nomina avviene con lettera di incarico che individua i ruoli e le respon- sabilità - il responsabile interno è un dipendente dell’impresa - svolge la valutazione del rischio - garantisce l’adozione di misure tecniche organizzative per garantire la si- curezza dei dati - si occupa della tenuta del Registro dei trattamenti - assiste il titolare nel rispetto degli obblighi del GDPR
- la nomina avviene con atto di designazione che individua i ruoli e le re- sponsabilità del DPO - della nomina va data comunicazione all’Autorità di controllo (Garante)
1
Data ultimo aggiornamento: …..
(^1) Le indicazioni contenute nel presente documento hanno carattere esemplificativo e sono state elaborate sulla base delle indicazioni finora fornite dal GDPR e dal Garante e sulla base di quanto emerso in occasione del Gruppo di lavoro presso la Confindustria. Potranno, pertanto, essere suscettibili di modifiche e/o integrazioni a seguito degli eventuali aggiornamenti.
I SOGGETTI
Titolare del trattamento Denominazione o ragione sociale Indirizzo Telefono Indirizzo email
Contitolare del trattamento Denominazione o ragione sociale Indirizzo Telefono Indirizzo email Riferimento accordo interno
Rappresentante del titolare del trattamento (quando il titolare non è stabilito nell’UE) Denominazione o ragione sociale Indirizzo Telefono Indirizzo email Riferimento atto di designazione
Responsabile del trattamento (da replicare laddove sia interno e/o esterno) Denominazione o ragione sociale Indirizzo Telefono Indirizzo email Riferimento lettera di incarico/contratto di servizi
Responsabile della protezione dati _DPO Denominazione o ragione sociale Indirizzo Telefono Indirizzo email Riferimento eventuale contratto di servizi
Incaricati dal Titolare o dal Responsabile del trattamento (da replicare per ogni finalità del trattamento) Nome e cognome Indirizzo Telefono Indirizzo email Riferimento eventuale contratto di servizi