Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


privacy diritto e sicurezza informatica APPUNTI+DOMANDE, Sintesi del corso di Diritto

appunti delle videolezioni dell'esame di privacy diritto e sicurezza informatica per la magistrale di psicologia Processi Cognitivi e Tecnologie LM-51 UNINETTUNO

Tipologia: Sintesi del corso

2019/2020

In vendita dal 24/07/2020

-Noemi
-Noemi 🇮🇹

4.3

(15)

11 documenti

1 / 21

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Gli argomen, in rosso sono domande d’esame
Lezione 1
Cosa è la privacy
Dato: è qualunque informazione che produciamo; la produzione dei da9 è un fa:o individuale, consente di
ricostruire la storia, l’iden9tà, le abitudini e i costumi di ogni persona, a lasciare una traccia di se stesso.
Dato personale: informazione riconducibile a una persona che lo iden9fica.
Da un lato c’è il bisogno dell’uomo di lasciare traccia, quindi vivere il “per sempre” a:raverso i da9, dall’altro il
bisogno di riservatezza, quindi di tenere nascoste agli altri le informazioni sul proprio comportamento, diri:o
all’oblio.
Contrapposto al bisogno di riservatezza c’è il desiderio di acquisire informazioni e diffonderle: il diri:o alla
protezione dei da9 è fru:o di un’accresciuta sensibilità giuridica, ed è sorto in conseguenza alle nuove tecnologie.
La protezione dei da9 comprende: dato personale in a:o e dato personale potenziale (anonimo).
Tu:o questo fa parte del processo di profilazione: creare un profilo del consumatore; questo è il valore economico
del dato, riuscire a selezionare la clientela e orientare la pubblicità.
Lezione 2
La storia della privacy
Negli Sta, Uni, il diri:o alla privacy nasce come elemento di equilibrio fra riservatezza e informazione. La privacy
è un diriEo di libertà del privato.
in Europa c’è il controllo delle informazioni sui ci:adini da parte degli Sta,, e il traEamento automa,zzato dei da9
per la profilazione. La privacy è un diriEo del potere pubblico.
Grazie alle nuove tecnologie c’è più facilità di entrare in comunicazione e ci sono maggiori occasioni per esercitare
un controllo su esse.
La comunicazione è sempre esis9ta, prima venivano u9lizza9 i piccioni viaggiatori, poi è nato il telegrafo, poi
telefono, radio ecc; le tecnologie moderne hanno lo stesso scopo di quelle an9che, quindi cercare di spiarle, capire
i messaggi, interromperle, e così via. l’Europa è controllata dallo Stato ad esempio, cosa che l’America non ha,
cerca di capire la comunicazione interpersonale.
1
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15

Anteprima parziale del testo

Scarica privacy diritto e sicurezza informatica APPUNTI+DOMANDE e più Sintesi del corso in PDF di Diritto solo su Docsity!

Gli argomen, in rosso sono domande d’esame

Lezione 1

Cosa è la privacy

Dato : è qualunque informazione che produciamo; la produzione dei da9 è un fa:o individuale, consente di ricostruire la storia, l’iden9tà, le abitudini e i costumi di ogni persona, a lasciare una traccia di se stesso. Dato personale : informazione riconducibile a una persona che lo iden9fica. Da un lato c’è il bisogno dell’uomo di lasciare traccia , quindi vivere il “per sempre” a:raverso i da9, dall’altro il bisogno di riservatezza , quindi di tenere nascoste agli altri le informazioni sul proprio comportamento, diri:o all’oblio. Contrapposto al bisogno di riservatezza c’è il desiderio di acquisire informazioni e diffonderle: il diri:o alla protezione dei da9 è fru:o di un’accresciuta sensibilità giuridica, ed è sorto in conseguenza alle nuove tecnologie. La protezione dei da9 comprende: dato personale in a:o e dato personale potenziale (anonimo). Tu:o questo fa parte del processo di profilazione : creare un profilo del consumatore; questo è il valore economico del dato, riuscire a selezionare la clientela e orientare la pubblicità.

Lezione 2

La storia della privacy

Negli Sta, Uni, il diri:o alla privacy nasce come elemento di equilibrio fra riservatezza e informazione. La privacy è un diriEo di libertà del privato. in Europa c’è il controllo delle informazioni sui ci:adini da parte degli Sta, , e il traEamento automa,zzato dei da per la profilazione. La privacy è un diriEo del potere pubblico. Grazie alle nuove tecnologie c’è più facilità di entrare in comunicazione e ci sono maggiori occasioni per esercitare un controllo su esse. La comunicazione è sempre esis9ta, prima venivano u9lizza9 i piccioni viaggiatori, poi è nato il telegrafo, poi telefono, radio ecc; le tecnologie moderne hanno lo stesso scopo di quelle an9che, quindi cercare di spiarle, capire i messaggi, interromperle, e così via. l’Europa è controllata dallo Stato ad esempio, cosa che l’America non ha, cerca di capire la comunicazione interpersonale.

Lezione 3

Protezione dei dati in Europa e in Italia

La riservatezza è di diriEo fondamentale : ci sono differen9 regole a seconda di chi u9lizza i da9, se priva9 (in questo caso si chiede il consenso, es. quando do i miei da9 di casa per farmi mandare qualcosa che ho comprato) o potere pubblico (es. non occorre il consenso per mandare una multa a casa, per fare un’indagine ecc). Protezione dei da9 personali nell’ordinamento (hanno tuT e due molta importanza per quanto riguarda il tra:amento dei da9 personali):

- CEDU (Convenzione Europea DiriT dell’Uomo), sede a Strasburgo, comprende quasi 50 paesi, ha una Corte di

Gius9zia; comincia nel 1950, quindi poco dopo la seconda guerra mondiale, inizialmente pochi paesi firmano per la CEDU, la prima legge dice che ogni persona ha diri:o alla riservatezza della propria vita privata e della propria famiglia e in cui l’autorità pubblica può entrarvi solo in casi di assoluta necessità e solo se c’è una legge che l’autorizza.

- UE (Unione Europea), sede a Bruxelles, 27 membri, ha un’organizzazione complessa, ha molteplici competenze

in campo economico, di sicurezza e gius9zia. Convenzione 108 del 1981 della CEDU : tra:amento automa9zzato di da9 viene so:oposto a regole specifiche di garanzia sull’organizzazione dei da, e sul trasferimento dei da,.

Lezione 4

Protezione dei dati personali in Unione Europa

  • organizzazione sovranazionale
  • sede Bruxelles (si riunisce sia a Bruxelles che a Strasburgo)
  • organizzazione complessa
  • molteplici competenze (sopratu:o economia, scambi, sicurezza e difesa) CEE, CECA ed Euratom : comunità con lo scopo di me:ere in comune le risorse energe9che, favorire libertà di circolazione e scambio, per abbaTmento delle fron9ere (es. libera circolazione delle merci) —> col TraEato di Maastricht nel 1992 le 3 comunità confluiscono nell’ UE. 3 pilastri:

- integrazione economica (mercato unico)

- sicurezza e difesa

- polizia e gius9zia

Protezione dei da9: connessa al 1° pilastro (mercato unico); la direTva di riferimento è la direTva 95/46/CE, armonizzazione delle legislazioni nazionali, de:a anche direTva di armonizzazione. DireTva : norma9va europea

collaborazione di terzi, con ar9colare riferimento ad un iden9fica9vo come nome, n° iden9ficazione, ubicazione, elemen9 cara:eris9ci iden9tà fisica, gene9ca, psichica, economica, culturale o sociale. Alcuni da, sono più proteT di altri:

  • da9 par9colari/ sensibili : più pericolosi per i diriT delle persone, sono da9 riguardo all’origine etnica , opinioni poli,che , convinzioni personali filosofiche o religiose , da9 gene,ci e rela9vi alla salute , orientamento sessuale , da9 biometrici (per riconoscere univocamente un individuo in base alle sue conformazioni fisiche, es. impronta digitale) o biometrico-comportamentale (es. firma)
  • da9 giudiziari : da9 penali, rela9vi alle condanne, rea9, misure di sicurezza. Chi tra:a ques9 da9? I Data Controller , quindi il 9tolare del tra:amento, decide modalità e finalità da9, uno o più 9tolari; può essere anche una persona fisica ma lo è una società, un ente, lo si diventa per quello che si fa oppure perché la legge lo impone. Poi ci sono i Data Processor, elaborano i da9, un fornitore esterno che elabora per conto del commi:ente. Quando si tra7a di un dato NON personale quindi anonimo? GDPR ambito di applicazione:
  • (^) materiale: si applica al tra:amento interamente o parzialmente automa,zzato dei da9 personali di persone fisiche e al tra:amento non automa,zzato di da9 personali contenu9 in archivio o des9na9 a figurarvi. automa,zzato : eleEronico. Sono esclusi da questo ambito materiale tra:amen9 da9 che non rientrano nell’ambito di applicazione del diri:o dell’UE, quelli effe:ua9 dalla poli9ca estera che rientrano nell’ambito di applicazione del 9tolo V capo 2 dell’UE, quelli effe:ua9 da persone fisiche per l’esercizio di aTvità a cara:ere esclusivamente personale o domes9co ed infine i tra:amen9 effe:ua9 da autorità competen9 ai fini di prevenzione, indagine, accertamento rea9 o sanzioni penali
  • (^) territoriale : si applica al tra:amento da9 personali da parte 9tolari stabili9 in UE, indipendentemente dal fa:o che il tra:amento sia materialmente effe:uato o meno nell’UE; si applica anche a da9 che si trovano in UE, effe:uato da un 9tolare che non è nell’UE quando le aTvità di tra:amento riguardano l’offerta di beni o prestazione servizi oppure il monitoraggio dei loro comportamen9 quando il comportamento ha nuovo nell’UE Se sono un ente italiano e tra7o da/ di persone che si trovano in un’altra nazione applico il GDPR? GDPR principi generali: principi di base dell’art. 5
  • liceità, corre:ezza e trasparenza del tra:amento (quindi tra:are aTvità lecite, essere correT e leali)
  • limitazione della finalità del tra:amento (es. se chiedo una mail per mandare aggiornamen9 e poi invio pubblicità violo il principio di finalità)
  • minimizzazione dei da9 (es. se perseguire una finalità di tra:amento dei da9 “bastano 5 da9” non se ne devono chiedere 10-15)
  • esa:ezza e aggiornamento dei da9 (devono essere sempre aggiorna9 e veri9eri)
  • limitazione conservazione (non dovrebbero essere conserva9 per sempre, ma avere limite)
  • integrità e riservatezza (adeguata sicurezza da un punto di vista tecnico e organizza9vo)
  • Principio di Accountability : (molto importante) il 9tolare del tra:amento è competente per il rispe:o del paragrafo 2 (ovvero tuT quelli sopra) e deve essere in grado di comprovarlo; è la novità introdo:a nel GDPR. Impone di analizzare i rischi e individuare le contromisure, impone di documentare tu:o, dimostrare la conformità al GDPR
  • Privacy By Design e By Default : ar9colo 25. protezione dei da9 fin dalla proge:azione, per impostazione predefinita per ogni finalità del tra:amento. Privacy By Design è un conce:o di prevenzione dei rischi, quindi che segue i principi di: prevenire e non correggere eventuali problemi nella fase iniziale, quindi la fase di proge:azione; privacy come impostazione di default; privacy incorporata nel proge:o di un’azienda; funzionalità oTmale; sicurezza dei da9 durante tu:o il ciclo del prodo:o; principio di trasparenza; centralità dell’utente. Il principio di Privacy by Default stabilisce invece che le imprese dovrebbero tra:are solo i da9 personali nella misura necessaria e sufficiente per le finalità previste e per il periodo stre:amente necessario a tali fini, quindi che un’azienda non dovrà ricorrere all’u9lizzo di eccessivi da9 senza mo9vi specifici. Se chiedo un consenso all’interessato posso disapplicare i preceden/ principi?

Lezione 6

Basi e Condizioni di Liceità

art. 6 del GDPR il tra%amento è lecito solo se ricorre almeno una delle seguen/ condizioni : A. consenso interessato B. esecuzione di un contra:o di cui è parte l’interessato C. adempimento di obbligo legale D. salvaguardia interessi vitali interessato o altra persona fisica E. esecuzione compito di in interesse publico o connesso all’esercizio di pubblici poteri di cui è inves9to il 9tolare del tra:amento F. perseguimento del legiTmo interesse del 9tolare del tra:amento o di terzi, a condizione che non prevalgono interessi o diriT o libertà fondamentali dell’interessato; questo legiTmo interesse non si applica però al tra:amento dei da9 effe:uato dalle autorità pubbliche nell’esecuzione dei loro compi La base giuridica s u cui si fonda il tra:amento dei da9 per adempiere a un obbligo legale o per un compito d’interesse pubblico o connesso all’esercizio di pubblici poteri deve essere stabilita o dal diriEo dell’UE o dal diriEo dello stato membro. Limi, italiani dell’art. 2-ter del Codice Privacy : la base giuridica per il tra:amento dei da9 personali effe:uato per l’esecuzione di un compito di interesse pubblico è cos9tuita esclusivamente da una norma di legge, o, nei casi previs9 dalla legge, di regolamento. Un dirigente comunale può tra7are i da/ iden/fica/vi e di contra7o, es. mail, di un proprio ci7adino senza il suo consenso per fare pubblicità ad un’azienda?

  • (^) tenuta degli aT dello stato civile, anagrafi della popolazione dei ci:adini italiani e italiani all’estero, liste ele:orali, documen9 di viaggio, cambiamento delle generalità
  • (^) tenuta dei registri pubblici rela9vi a immobili o mobili
  • (^) tenuta dell’anagrafe nazionale degli abilita9 alla guida e archivio nazionale dei veicoli
  • (^) ci:adinanza, immigrazione, asilo, condizione dello straniero e profugo, stato di rifugiato
  • (^) ele:orato aTvo e passivo, protezione diploma9ca e consolare, documentazioni delle aTvità is9tuzionali di organi pubblici con par9colare riguardo a redazione di bersagli di assemblee rappresenta9ve e commissioni
  • (^) esercizio del mandato degli organi rappresenta9vi, compresa sospensione e scioglimento, accertamento elle cause di ineleggibilità, incompa9bilità o decadenza, ovvero rimozione o sospensione da cariche pubbliche
  • (^) svolgimento delle funzioni di controllo, indirizzo poli9co, inchiesta parlamentare e accesso a documen riconosciu9 dalla legge per finalità dire:amente connesse all’espletamento di un mandato eleTvo
  • (^) aTvità dei soggeT pubblici dire:e all’applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale
  • (^) aTvità di controllo e ispeTve
  • (^) concessioni, liquidazioni, modifica e revoca benefici economici
  • (^) conferimento onorificenze e ricompense, riconoscimento della personalità giuridica in associazioni, fondazioni e en9, accertamento di requisi9 di onorabilità e professionalità per le nomine, rilascio e revoca di autorizzazioni o abilitazioni, concessione di patrocini, patrona9 e premi di rappresentanza, adesione a comita9 d’onore e ammissione a cerimonie e incontri is9tuzionali
  • (^) rappor9 tra soggeT pubblici e en9 terzo se:ore
  • (^) obiezione di coscienza
  • (^) aTvità sanzionatorie e di tutela in sede amministra9va o giudiziaria
  • (^) rappor9 is9tuzionali con en9 di culto, confessioni religiose e comunità religiose
  • (^) aTvità socio-assistenziali a tutela di minori e soggeT bisognosi non autosufficien
  • (^) aTvità amministra9ve e cer9ficatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale
  • (^) compi9 di servizio sanitario nazionale e del soggeT operan9, compi9 di igiene e sicurezza sui luoghi di lavoro, protezione civile, salvaguardia della vita e incolumità fisica
  • (^) programmazione, ges9one, controllo assistenza sanitaria
  • (^) vigilanza su sperimentazioni, farmacovigilanza, autorizzazione all’immissione in commercio de importazione di medicinali e altri prodoT di rilevanza sanitaria
  • (^) tutela sociale della maternità e aborto, dipendenze, assistenza, diriT dei disabili
  • (^) istruzione scolas9ca, professionale, superiore o universitario
  • (^) tra:amen9 ai fini di archiviazione nel pubblico interesse o ricerca storica, per ricerca scien9fica e fini sta9s9ci

- instaurazione, ges9one e es9nzione di qualunque rapporto di lavoro anche non retribuito, altre forme di

impiego, materia sindacale, oppugnazione e collocamento obbligatorio, previdenza e assistenza, tutela minoranze, pari opportunità, igiene e sicurezza sul lavoro, aTvità ispeTva connesse Caso specifico dei da, giudiziari: il tra:amento dei da9 personali rela9vi alle condanne penali, rea9, misure di sicurezza deve avvenire soltanto so:o il controllo dell’autorità pubblica o se è autorizzato dall’UE o Sta9 Membri che preveda garanzie appropriate per i diriT e la libertà degli interessa9. Quali tra le aMvità di tra7amento che eseguite non sono ricomprese tra quelle di rilevante interesse pubblico elencate precedentemente?

Lezione 7

Altri adempimenti privacy

Le informa,ve : art. 12 del GDPR trasparenza e comprensibilità : il 9tolare del tra:amento ado:a misure appropriate per fornire all’interessato tu:e le informazioni in forma concisa, trasparente e facilmente accessibile, con un linguaggio semplice e chiaro, in par9colare nel caso di info des9nate a minori; le info devono essere fornite per iscriEo o in forma ele:ronica, se richiesto anche oralmente purché sia comprovata con altri mezzi l’iden9tà dell’interessato art. 13 del GDPR quali informazioni sono fornite :

- iden9tà e da9 di conta:o e ove applicabile anche il rappresentate

- da9 conta:o del DPO (data protec9on officer, responsabile della protezione dei da9)

- finalità e basi giuridiche

- quale sia l’interesse legiTmo del 9tolare

- chi sono i soggeT des9natari ai quali i da9 possono essere comunica9 e l’ambito di diffusione

- se 9tolare ha intenzione di trasferire i da9 verso un paese terzo, fuori UE

- periodo di conservazione da9 o criteri per determinarlo, es. criterio di necessità

- esistenza dei diriT dell’interessato

- qualora tra:amento sia basato sul consenso informare il sogge:o al diri:o di revocarlo

- se la comunicazione dei da9 personali è un obbligo legale oppure un requisito necessario per la conclusione del

contra:o

- diri:o di presentare reclamo all’autorità di controllo

- eventuale esistenza di un processo decisionale automa9zzato, compresa la profilazione (art.22)

- spiegazione di ulteriori finalità diverse da quelle per cui i da9 sono sta9 raccol

  • (^) descrizione generale delle misure di sicurezza tecniche e organizza9ve
  • (^) NON finalità, perché un responsabile potrebbe non conoscerle Posso aggiungere nel registro ulteriori elemen/ non obbligatori? Valutazione d’impaEo sulla protezione dei da, ( DPIA ): art. 35 del GDPR: descrivere un tra:amento di da9 per valutarne la legiTmità , la necessità e la proporzionalità nonché i rela9vi rischi , allo scopo di apportare misure idonee per affrontarli. La DPIA deve essere condo:a prima del tra:amento. Chi deve effe:uare un DPIA? Il ,tolare del tra:amento, il DPO che deve fornire un parere e sorvegliare lo svolgimento, e il 9tolare si deve consultare con il DPO, il parere ricevuto deve essere documentato all’interno della valutazione. Quando va effe:uato un DPIA?
  • (^) se il tra:amento determina una valutazione sistema9ca e globale di aspeT personali delle persone, basata su un tra:amento automa9zzato, compresa la profilazione, e sulla quale che si fondano decisioni che hanno effeT giuridici
  • (^) se il tra:amento riguarda da9 sensibili o giudiziari sul larga scala
  • (^) se il tra:amento riguarda la sorveglianza sistema9ca su larga scala di una zona accessibile al pubblico L’EDBP (comitato europeo della protezione dei da9) ha pubblicato le Linee Guida rela9ve alla Valutazione d’Impa:o precisando ulteriori criteri di cui l’art.35, u9li all’individuazione dei casi di necessità della DPIA; il Provvedimento del Garante 11 o:obre 2018 prevede un elenco non esaus9vo delle 9pologie di tra:amen soggeT al requisito di una valutazione d’impa:o, tra cui tra:amen9 valuta9vi o di scoring su larga scala, profilazione, aTvità prediTve. Non va effeEuato un DPIA:
  • (^) se un tra:amento trova la propria base legale nel diri:o dell’UE o Sta9 Membri, o è già stata condo:a una DPIA all’a:o della definizione della base giuridica sudde:a
  • (^) se il tra:amento è compreso nell’elenco facolta9vo dei tra:amen9 per i quali non è necessario La DPIA deve contenere :
  • (^) descrizione dei tra:amen9 previs9 e finalità, compreso, ove applicabile, l’interesse legiTmo perseguito dal 9tolare del tra:amento
  • (^) valutazione dei rischi per i diriT e libertà degli interessa
  • (^) misure previste per affrontare i rischi
  • (^) valutazione della necessità e proporzionalità dei tra:amen9 in relazione alle finalità —> l’art.35 paragrafo 7; la necessità è fondamentale nel valutare il bilanciamento tra interessi e diriT fondamentali, come il tra:amento dei da9 personali Un tra7amento dei da/ personali piò avere rischi per diriM e libertà delle perone fisiche solo se si verifica una violazione? O ci sono tra7amen/, pur legiMmi e dota/ di misure di sicurezza, rischiosi di per sé?

Trasferimento dei da, personali verso paesi terzi o organizzazioni internazionali : in generale è vietato fuori dall’UE. Violare il divieto può comportare, in Italia, la reclusione da 1 a 3 anni (art.167 Codice Privacy), e la sanzione amministra9va fino a 20mnl€ per un ente o fino al 4% del fa:urato mondiale annuo per le imprese. Il divieto può essere superato solo a certe condizioni, la Commissione Europea può acce:arlo se vengono date le garanzie dei paesi oppure può stringere paT con quei paesi per assicurare la libera circolazione dei da9:

  • presenza di uno strumento giuridicamente vincolante e aven9 efficacia esecu9va tra autorità pubbliche o organismi pubblici
  • norme vincolan9 d’impresa (BCR)
  • clausole 9po di protezione dei da9 ado:ate dalla Commissione Europea
  • clausole 9po di protezione dei da9 ado:ate da un’autorità di controllo e approvate dalla commissione
  • codice di condo:a approvato dall’autorità privacy europeo
  • meccanismo di cer9ficazione approvato dall’autorità privacy extraeuropeo
  • clausole contra:uali tra 9tolare o responsabile dei da9 e il 9tolare o responsabile des9natario dei da9 del paese terzo o organizzazione
  • disposizioni da inserire in accordi amministra9vi tra autorità pubbliche che comprendono diriT effeTvi e azionabili per gli interessa Nel caso non ci siano queste condizioni possono ricorrere alcune deroghe :
  • l’interessato abbia esplicitamente acconsen9to al trasferimento dopo essere informato dei rischi possibili
  • trasferimento sia necessario all’esecuzione di un contra:o concluso tra interessato e 9tolare
  • trasferimento sia necessario all’esecuzione o conclusione di un contra:o s9pulato tra 9tolare e un’altra persona fisica o giuridica a favore dell’interessato
  • trasferimento sia necessario per importan9 mo9vi di interesse pubblico
  • trasferimento sia necessario per accertare, esercitare o difendere un diri:o in sede giudiziaria
  • trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o altre persone qualcosa si trovasse in incapacità fisica o giuridica di prestare il proprio consenso
  • trasferimento sia effe:uato a par9re da un registro che mira a fornire informazioni al pubblico e può essere consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legiTmo interesse solo a condizione che ci siano i requisi9 previs9 dall’UE o Sta9 Membri. Nel caso in cui ci siano sentenze di un’autorità giurisdizionale o di decisioni di un’autorità amministra9va di un paese terzo che dispongono il trasferimento all’estero dei da9? Possono essere riconosciute soltanto le sentenze se basate su un accordo internazionale in vigore tra il paese terzo richiedente e l’UE o uno Stato Membro. Un impiegato comunale può memorizzare liberamente i da/ personali di un ci7adino su un server americano?

compi, fornendogli le risorse necessarie per assolvere i compi9 e accedere ai da9 personali e ai tra:amen9, quindi sono responsabili della formazione; infine si assicurano che il DPO non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compi9. Il DPO non è rimosso o penalizzato dal 9tolare/responsabile del tra:amento per l’adempimento dei propri compi, ; riferisce dire:amente al ver,ce gerarchico del 9tolare/responsabile del tra:amento. Il DPO può essere anche il Dire7ore dei Sistemi Informa/vi dello stesso ente (o porterebbe a un confli7o di interessi)? Figura degli incarica, autorizza, a traEare da, : il GDPR non prevede espressamente questa figura ma non esclude la presenza. art. 29 del GDPR tra7amento so7o l’aMvità del /tolare/responsabile del tra7amento : il responsabile del tra:amento che abbia accesso a da, personali non può traEarli se non è is,tuto in tal senso dal ,tolare del tra:amento, salvo che lo richieda a UE o Sta9 Membri. art. 2 quaterdecies del Codice Privacy a7ribuzioni di funzioni e compi/ a soggeM designa/ : il 9tolare/responsabile del tra:amento individuano le modalità più opportune per autorizzare al traEamento dei da9 personali le persone che operano so:o la propria autorità dire:a. Il 9tolare/responsabile del tra:amento possono prevedere che specifici compi, e funzioni connessi al tra:amento di da9 personali siano aEribui, a persone fisiche espressamente designate che operano soEo la loro autorità. Un incaricato può rifiutarsi di essere designato e applicare le istruzione ricevute? O è un obbligo? La disciplina per la ges,one delle violazione dei da, o Data Breach : art. 4.12 del GDPR: violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, perdita, modifica, divulgazione non autorizzata o accesso a da9 personali trasmessi, conserva9 o tra:a9. Cosa fare? art. 33 del GDPR no/fica di una violazione di da/ personali all’autorità di controllo : il responsabile del traEamento che viene a conoscenza di una violazione è tenuto a informare tempes,vamente il ,tolare in modo che possa aTvarsi, poi il 9tolare del tra:amento deve inviare entro 72 ore una no9fica della violazione al Garante per la protezione dei da9 personali ( se effe:uata oltre il termine deve essere accompagnata dai mo9vi del ritardo ) , a meno che questo compor9 un rischio per i diriT e le libertà delle persone fisiche, in questo caso il 9tolare deve comunicarlo a tuT gli interessa9. Comunque il ,tolare a prescindere dalla no9fica al garante deve documentare tu:e le violazioni , ad esempio predisponendo un apposito registro, tale documentazione consente all’Autorità di effe:uare eventuali verifiche sul rispe:o della norma9va. La no9fica deve contenere :

  • descrizione della natura dei della violazione dei da9 che comprenda se possibile:
  • (^) categorie e numero approssima9vo di persone interessate
  • (^) categorie e volume approssima9vo da9 personali
  • nome e riferimen9 di conta:o responsabile protezione dei da
  • descrizione delle possibili conseguenze violazione
  • descrizione misure ado:ate o di cui si propone l’adozione per porre rimedio alla violazione
  • solo in caso di no9fiche in ritardo descrizione della mo9vazione del ritardo art. 34 del GDPR comunicazione di una violazione dei da/ personali all’interessato : quando la violazione può presentare un rischio elevato il 9tolare comunica la violazione all’interessato senza ingius,ficato ritardo. Non è richiesta nei seguen9 casi:

- 9tolare ha messo in aEo le misure di sicurezza adeguate e tali misure erano state applicate ai da, personali

ogge:o della violazione, in par9colare cifrando i da

- 9tolare ha ado:ato misure di sicurezza a:e a scongiurare il sopraggiungere di un rischio elevato per i diriT e

libertà degli interessa

- comunicazione richiederebbe sforzi sproporziona,

Sanzioni: in caso di mancato rispe:o di no9fica della violazione si applica la sanzione amministra9va fino a 10mnl€ nel caso degli en9, oppure il 2% del fa:urato mondiale delle società. Caso par,colare : provvedimento 392 del 2 luglio 2015 per le pubbliche amministrazioni : “entro 48 ore dalla conoscenza del fa:o le amministrazioni pubbliche sono tenute a comunicare al Garante tu:e le violazioni dei da9” Un incaricato che subisca il furto del proprio disposi/vo di lavoro fornito in dotazione dall’ente deve prontamente segnalare al /tolare la violazione dei da/?

Lezione 9

I Diritti Privacy

I diriT degli interessa, come introdoT dal GDPR: si riferiscono alle persone fisiche , a prescindere che siano consumatori, produ:ori, ci:adini e di altro; in quanto essere umano una persona ha diriT privacy. Sono diriT fondamentali , inviolabili e indisponibili (non rinunciabili); c’è solo un’eccezione, verrà discussa più avan9. Ar9coli di riferimento del GDPR : art.15 diri7o di accesso dell’interessato : l’interessato ha il diri:o di oEenere dal 9tolare del tra:amento la conferma che sia o meno in corso un traEamento dei da9 personali e il diri:o di o:enerne l’accesso, prevede quindi il diriEo a riceve una copia dei da9 personali ogge:o del tra:amento; questo diri:o di avere una copia non deve ledere i diriT e le libertà altrui. È una forma di “diri:o di sapere” ex-post, riferibile a quasi tu:e le informazioni già mese con l’informa9va ex. art13-14 del GDPR. Fra le informazioni che il 9tolare deve fornire non rientrano le modalità del traEamento , mentre occorre indicare il periodo di conservazione previsto oppure i criteri per definirlo, e le garanzie applicate in caso di trasferimento dei da9 verso paesi terzi. art.16 diri7o di reMfica : l’interessato ha il diriEo di o:enere dal 9tolare del tra:amento la reTfica dei da, personali inesaT senza ingius9ficato ritardo. Possono avere diri:o di reTfica una data di nascita sbagliata, indirizzo ecc (quindi elemen9 oggeTvi), non possono averlo i giudizi personali (quindi elemen9 soggeTvi). art.17 diri7o alla cancellazione/diri7o all’oblio : l’interessato ha il diri:o di oEenere dal 9tolare del tra:amento la cancellazione dei da9 personali senza ingius9ficato ritardo, quando:

art.21 diri7o di opposizione : interessato ha il diri:o di opporsi in qualsiasi momento se i da9 sono tra:a9 per mo,vi connessi alla sua situazione par9colare:

  • (^) tra:amento necessario per esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici potere di cui è inves9to il 9tolare del tra:amento (necessaria una mo9vazione)
  • (^) tra:amento necessario per perseguimento del legiTmo interesse del 9tolare del tra:amento o di terzi (necessaria una mo9vazione)
  • (^) per finalità di marke9ng dire:o, compresa la profilazione (anche senza mo9vazione) Il 9tolare si as9ene dal tra:are ulteriormente i da9 personali salvo che egli dimostri l’esistenza di mo9vi legiTmi cogen9 per procedere al tra:amento che prevalgono sugli interessi, sui diriT e libertà dell’interessato, oppure per accertamento, esercizio o difesa di un diri:o in sede giudiziaria. art.22 processo decisionale automa/zzato rela/vo alle persone fisiche, compresa la profilazione : l’interessato ha il diriEo di non essere soEoposto a una decisione basata unicamente sul traEamento automa,zzato , compresa la profilazione, che produca effeT giuridici che lo riguardano. Questo è l’ unico caso in cui il diri:o è indisponibile (inizio lezione): tale diri:o non si applica nel caso in cui
  • (^) decisione sia necessaria per la conclusione o esecuzione di un contra:o tra interessato e 9tolare
  • (^) si basi sul consenso esplicito dell’interessato
  • (^) la decisione automa9zzata sia autorizzata dal’UE o Stato Membro a cui il 9tolare è sogge:o (precisa però altresì misure adeguate a tutela dei diriT e libertà interessato) Se un ci7adino esercita il diri7o alla portabilità dei da/, tra7a/ per fini di pubblico interesse da parte del Comune, esigendo che essi vengano trasmessi in formato ele7ronico ad un altro Comune, è possibile acce7are la sua istanza? Limitazione dei diriT, obblighi e principi: art.23 limitazione dei diriM, obblighi e principi : il diri:o dell’UE o Stato Membro cui è sogge:o il 9tolare/ responsabile del tra:amento può limitare , mediante misure legisla9ve, la portata degli obblighi, diriT e principi degli interessat i, per salvaguardare : - la sicurezza nazionale - difesa la sicurezza pubblica - la prevenzione, l’indagine, accertamento e il perseguimento dei rea9 l’esecuzione di sanzioni - altri importan9 obieTvi di interesse pubblico generale dell’UE o Stato Membro, in par9colare un rilevante interesse economico o finanziario - salvaguardia dell’’indipendenza della magistratura e dei procedimen9 giudiziari - aTvità volte a prevenzione, l’indagine, accertamento e il perseguimento delle violazioni della deontologia delle professioni regolamentate - tutela dell’interessato o dei diriT e libertà altrui

- esecuzione delle azioni civili Se un interessato esercita il diri7o alla cancellazione dei suoi da/ ancora tra7a/ per finalità di riscossione tributaria da parte di una connessione del Comune, è possibile dare seguito alla sua richiesta?

Lezione 10

Rimedi e Sanzioni

I reclami al garante e i ricorsi al giudice ordinario : il garante per la protezione dei da9 personali è l’autorità indipendente che ha la competenza nel ges,re e tra:are i reclami, e l’irrogazione (imposizione di una pena) delle sanzioni amministra9ve. art.77 del GDPR diri7o di proporre reclamo all’autorità di controllo : l’interessato che ritenga che il tra:amento che lo riguardi viola il GDPR ha il diri:o di proporre reclamo a un’autorità di controllo; l’autorità informa il reclamante dello stato e esito del reclamo ai sensi dell’art.78 del GDPR art.142 del Codice Privacy proposizione del reclamo : il reclamo con9ene un’indicazione più de:agliata possibile dei faT e circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, gli estremi iden9fica9vi del 9tolare/responsabile del tra:amento. Il reclamo deve essere so:oscri:o dall’interessato o su mandato da un ente del terzo se:ore che sia aTvo nel se:ore di tutela dei diriT e libertà degli interessa9. Il reclamo ha in allegato la documentazione u9le hai fini della sua valutazione e l’eventuale mandato, e indica un recapito per le comunicazioni (fax, tel, email) art.143 del Codice Privacy decisione del reclamo : il garante decide il reclamo entro 9 mesi dalla data di presentazione, entro 3 mesi informa l’interessato sullo stato del procedimento; in presenza di mo9vate esigenze istru:orie il reclamo è deciso entro 12 mesi. Nel caso di reclami che hanno come ogge:o l’esercizio di diriT il garante individua termini più brevi. art.78 del GDPR diri7o a un ricorso giurisdizionale effeMvo nei confron/ dell’autorità di controllo : ogni persona fisica o giuridica ha il diri:o di proporre un ricorso giurisdizionale effeTvo avverso una decisione giuridicamente vincolante dell’autorità di controllo che lo riguarda; ciascun interessato ha il diri:o di proporre un ricorso giurisdizionale effeTvo qualora l’autorità di controllo non traT un reclamo o non lo informi entro 3 mesi dallo stato o esito del reclamo. art.79 del GDPR diri7o a un ricordo giurisdizionale effeMvo nei confron/ del /tolare/responsabile del tra7amento: l’interessato ha il diri:o di proporre un ricorso giurisdizionale effeTvo qualora ritenga che i diriT di cui gode a norma del presente regolamento sia sta9 viola9 a seguito di un tra:amento di da9 (ad esempio si fa ricorso in giudizio, e non al garante, per chiedere un risarcimento). Le azioni nei confron9 del 9tolare/responsabile del tra:amento sono promesse dinanzi alle autorità giurisdizionali dell Stato membro in cui il 9tolare/responsabile del tra:amento ha uno stabilimento; in alterna9va tali azioni possono essere promosse nello Stato in cui l’interessato risiede abitualmente, salvo che il 9tolare/responsabile del tra:amento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri. D.Lgs. 150/2011 art.10: sono competen9 per il ricorso ordinario in giudizio il tribunale del luogo in cui il 9tolare/ responsabile del tra:amento risiede.

  • natura, gravità e durata della violazione tenendo in considerazione la natura, l'ogge:o o a finalità del tra:amento in ques9one, ed anche il numero di interessa9 lesi e il livello del danno da essi subito
  • cara:ere doloso o colposo della violazione
  • misure ado:ate dal 9tolare del tra:amento/responsabile del tra:amento per a:enuare il danno subito dagli interessa
  • grado di responsabilità del 9tolare/responsabile del tra:amento tenendo conto delle misure tecniche e organizza9ve da essi messe in a:o
  • eventuali preceden9 violazioni per9nen9 commesse dal 9tolare/responsabile del tra:amento
  • grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e a:enuarne i possibili effeT nega9vi
  • categorie di da9 personali interessate dalla violazione
  • la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in par9colare se e in che misura il 9tolare/responsabile del tra:amento ha no9ficato la violazione
  • qualora siano sta9 precedentemente dispos9 provvedimen9 nei confron9 del 9tolare/responsabile del tra:amento in ques9one rela9vamente allo stesso ogge:o
  • adesione ai codici di condo:a o ai meccanismi di cer9ficazione
  • eventuali altri fa:ori aggravan9 o a:enuan9 applicabili alle circostanze del caso, ad esempio i benefici finanziari consegui9 o le perdite evitate, dire:amente o indire:amente, quale conseguenza della violazione Se, in relazione allo stesso tra:amento o a tra:amen9 collega9, un 9tolare/responsabile del tra:amento viola, con dolo o colpa, varie disposizioni del presente regolamento l'importo totale della sanzione amministra9va pecuniaria non supera l'importo specificato per la violazione più grave. art.166 del Codice Privacy sanzioni amministra/ve in Italia : indica9 criteri di applicazione delle sanzioni e il procedimento per l’adozione dei provvedimen9 correTvi e sanzionatori. Il Garante è l’organo competente ad ado:are i provvedimen9 correTvi di cui all’ar9colo 58 paragrafo 2 del Regolamento, ed a irrogare le sanzioni amministra9ve pecuniarie e non pecuniarie. Se un par/to poli/co invia senza previo consenso dei des/natari mail di propaganda ele7orale ai dipenden/ del Comune rischia una sanzione e di quale en/tà? Le sanzioni penali : riguarda le persone fisiche: art.167 del Codice Privacy tra7amento illecito di da/ :
  • (^) chiunque, al fine di trarre per sé o per altri profiEo ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli ar9coli 123, 126 e 130 o dal provvedimento di cui all’ar9colo 129 arreca danno all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi
  • (^) chiunque, al fine di trarre per sé o per altri profiEo ovvero di arrecare danno all’interessato, procedendo al tra:amento dei da, personali , di cui agli ar9coli 9 e 10 del GDPR, è punito con la reclusione da uno a tre anni
  • (^) chiunque, al fine di trarre per sé o per altri profiEo ovvero di arrecare danno all’interessato, procedendo al trasferimento dei da, personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consen99 dal GDPR, arreca danno all’interessato, è punito con la reclusione da uno a tre anni art.167-bis del Codice Privacy comunicazione e diffusione illecita di da/ personali ogge7o di tra7amento su larga scala:
  • (^) chiunque comunica o diffonde al fine di trarre profiEo per sé o altri ovvero al fine di arrecare danno , un archivio automa9zzato o una parte sostanziale di esso contenente da9 personali ogge:o di tra:amento su larga scala , è punito con la reclusione da uno a sei anni. art.167-ter del Codice Privacy acquisizione fraudolenta di da/ personali ogge7o di tra7amento su larga scala:
  • (^) chiunque, al fine trarne profiEo per sé o altri ovvero di arrecare danno , acquisisce con mezzi fraudolen, un archivio automa,zzato o una parte sostanziale di esso contenente da, personali ogge:o di tra:amento su larga scala e’ punito con la reclusione da uno a quaEro anni. Bilanciamento in oTma di “ne bis in idem” (“non due volte per la stessa cosa”): quando per lo stesso fa:o è stata applicata a norma del Codice Privacy o del GDPR a carico dell’imputato o dell’ente una sanzione amministra9va pecuniaria dal Garante e questa è stata riscossa la pena è diminuita. art.168 del Codice Privacy falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compi/ o dell'esercizio dei poteri del Garante:
  • (^) chiunque, in un procedimento o nel corso di accertamen9 dinanzi al Garante, dichiara falsamente no,zie o circostanze o produce aT o documen, falsi, è punito con la reclusione da sei mesi a tre anni Fuori dei casi sopra è punito con la reclusione sino ad un anno chiunque intenzionalmente causa un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamen9 dallo stesso svol9. art.170 del Codice Privacy inosservanza di provvedimen/ del Garante: è prevista la reclusione da 3 mesi a 2 anni. art.171 del Codice Privacy violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori : la violazione delle disposizioni di cui agli ar9coli 4 , comma 1, e 8 della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’ar,colo 38 della medesima legge. Se un impelato comunale trasme7e illecitamente una grande banca da/ dei ci7adini a un’impresa, rischia di comme7ere un grave deli7o?