Il Regolamento Europeo 2016/679 è la normativa per la protezione della privacy delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Tra le misure privacy da adottare nel rispetto del Regolamento Europeo, c'è quella di redigere e conservare opportune documentazioni quali i Registri delle attività di trattamento (nel caso di imprese o organizzazioni con meno di 250 dipendenti), ai sensi dell'art. 30, in cui vengano riportare tutte le attività di trattamento dei dati svolte sotto la responsabilità del titolare o del responsabile.
Viene richiesto anche di cooperare con l'autorità di controllo competente notificando qualsiasi violazione dei dati personali sia alla stessa sia al diretto interessato entro 72 ore dal momento in cui se ne è venuti a conoscenza, senza ingiustificato ritardo ai sensi dell'art. 33.

L'applicazione del Regolamento Privacy in tutti gli Stati Membri permette che la medesima normativa sia contemporaneamente in vigore in tutti gli stati dell'Unione Europea.

Il Regolamento GDPR 679/2016 introdurrà nuove tutele a favore degli interessati, e inevitabilmente nuovi obblighi a carico di Titolari e Responsabili del trattamento dei dati personali. Il Regolamento andrebbe vissuto dalle aziende non come una serie di "adempimenti", ma come una serie di "strumenti" e di "tutele" a vantaggio di chi tratta i dati personali. Quindi non solo privacy, ma anche sicurezza informatica.

Con l'applicazione in tutti gli Stati Membri del Regolamento GDPR 679/2016, ogni individuo potrà richiedere la cancellazione dei propri dati in possesso di terzi (per motivazioni legittime) come previsto dall'art. 17 del GDPR stesso. Questo potrà accadere ad esempio in ambito web quando un utente richiederà l'eliminazione dei propri dati che sono in possesso di un social network o di un altro qualsiasi servizio web.

La frammentazione delle modalità di applicazione della protezione dei dati personali nel territorio dell'Unione Europea, e l'assenza di una chiara tutela globale dei dati personali, incrementa la sfiducia dei consumatori verso i servizi online, rischiando di rallentare lo sviluppo di applicazioni tecnologiche e innovative.

Chi è il Data Protection Officer (DPO o RPD)

Il DPO (o RPD) deve essere un consulente esterno capace di assolvere i propri compiti in piena autonomia e indipendenza, sulla base di un CONTRATTO DI SERVIZI stipulato con le aziende per le quali ricopre la nomina di DPO. Esso può anche essere un dipendente della società titolare del trattamento ma si tratta di una scelta sconsigliabile dato il requisito di autonomia funzionale ed operativa che mal si concilia con un rapporto di lavoro subordinato). Ad ogni modo, ogni azienda dovrà rendere noti i dati del proprio DPO o RPD, il quale dovrà essere contattabile facilmente da tutti i soggetti interessati (quindi il nominativo dovrà essere inserito nell’informativa privacy), nonché la sua nomina dovrà essere comunicato al Garante mediante la procedura telematica fornita sul sito del Garante stesso. Per poter svolgere le attività richieste, il Data Protection Officer (DPO o RPD) deve possedere un'adeguata conoscenza del Regolamento GDPR 679/2016 e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali che rispetti l’art. 37 comma 5. Deve inoltre predisporre un insieme articolato di misure di sicurezza finalizzate alla tutela dei dati personali, che garantisca l'osservanza del Regolamento Europeo e assicuri riservatezza e sicurezza (art. 39 del Regolamento GDPR 679/2016). In sintesi il DPO deve essere:
• Un professionista competente in materia di gestione dei dati personali; 
• Indipendente nello svolgimento delle sue funzioni; 
• Privo di conflitti di interesse con le aziende per le quali lavora. 

Ai sensi dell’art. 37, paragrafo 5, del Regolamento GDPR 679/2016, il DPO è designato in funzione delle sue qualità professionali, in particolare in base alla sua conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonché della sua capacità di assolvere i compiti di cui all'articolo 39 del Regolamento GDPR 679/2016. Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base a: 
• I trattamenti di dati effettuati e in base alla protezione richiesta per i dati personali oggetto dei trattamenti stessi; 
• Conoscenze specialistiche: il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento; 
• Qualità professionali: l'articolo 37, paragrafo 5, del Regolamento GDPR 679/2016 non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO; tuttavia sono pertinenti al riguardo la conoscenza da parte dello stesso della normativa e delle prassi nazionali ed europee in materia di protezione dei dati, nonchè un'approfondita conoscenza del GDPR. Proficua anche la promozione di una formazione adeguata e continua rivolta ai DPO da parte delle Autorità di controllo.E' utile la conoscenza dello specifico settore di attività e della struttura organizzativa dell’azienda. Infine, il DPO dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte con i sistemi informativi per la gestione e protezione dei dati; 
• Capacità di assolvere i propri compiti: le qualità personali dovrebbero comprendere, per esempio, l'integrità ed elevati standard deontologici. Inoltre il DPO dovrebbe perseguire in via primaria l'osservanza delle disposizioni del Regolamento GDPR 679/2016. Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all'interno dell'azienda o dell'organismo, e contribuisce a dare attuazione a elementi essenziali del Regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la comunicazione delle violazioni di dati personali; 
• Un'adeguata conoscenza del Regolamento GDPR 679/2016 e delle prassi in materia di protezione dei dati, per poter fornire alle aziende la consulenza necessaria per elaborare, verificare e regolamentare un sistema organizzato di gestione dei dati personali (art. 37 comma 5 Regolamento GDPR 679/2016). Deve inoltre predisporre un insieme articolato di misure di sicurezza finalizzato alla tutela dei dati che garantisca l'osservanza del Regolamento Europeo e assicuri riservatezza e sicurezza (art. 39 Regolamento GDPR 679/2016).

Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

Il Regolamento (UE) 2016/679 prevede che un gruppo imprenditoriale (v. definizione di cui all’art. 4, n. 19) possa designare un unico responsabile della protezione dei dati personali, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di “raggiungibilità”, v. punto 2.3 delle linee guida in precedenza menzionate).

Si, soprattutto se parliamo di una attività professionale che tratta dati particolari sanitari e/o giudiziari. L’attuale normativa sulla Privacy, D.Lgs. n. 196/2003, prevede almeno il backup settimanale dei dati più importanti su un supporto informatico esterno e possibilmente non nello stesso luogo ove risiedono i dati principali

Per un lavoro medio ed una utenza singola, potrebbe bastare un computer che però non superi i 5-7 anni massimo di vita. Ovviamente per un uso più professionale ed aziendale conviene, anche per motivi di sicurezza e compatibilità con nuove tecnologie, avere dei computer con circa 3 anni di vita e dimensionati per lo scopo Un buon consulente potrà consigliarvi prima di effettuare acquisti, magari in promozione, non adatti allo scopo prefissato od in alcuni casi addirittura difformi da quanto previsto da norme tecniche.

usare un UPS, di adeguata potenza, per proteggere i computer è di estrema importanza Un UPS oltre a stabilizzare la corrente che arriva allungando la vita dei computer protegge da possibili sovracorrenti/sovratensioni che potrebbero danneggiare sia il PC che l’hard disk che contiene i dati. Inoltre in caso di black-out, se adeguatamente configurato, permette lo spegnimento regolare del PC in breve tempo, salvaguardando i dati.

Il consenso è la libera indicazione della volontà del soggetto interessato di accettare esplicitamente una specifica operazione di trattamento relativa ai propri dati personali, di cui era stato informato in anticipo da colui che ha il potere di decidere su tale elaborazione (il Titolare del trattamento). Alcuni tipi di trattamento possono essere eseguiti senza il consenso dell'Interessato, ai sensi della sezione 24 del Codice italiano in materia di protezione dei dati. Il Regolamento UE 679/2016 tratta  negli articoli  7 e 8 il ""consenso"" quale onere della prova della sussistenza del consenso al trattamento prestato dall'interessato è in capo al titolare. In qualsiasi momento l'interessato può revocare il proprio consenso, senza che questo pregiudichi la liceità del trattamento già effettuato precedentemente. Il trattamento dei dati del minore è lecito solo se questo abbia almeno 16 anni (in alcuni stati anche 13), altrimenti è necessario il consenso prestato o autorizzato dal titolare della responsabilità genitoriale.

L'informativa è un avviso contenente le informazioni che il Titolare del trattamento è tenuto a fornire a tutti gli interessati, sia per via orale che per iscritto, in modo chiaro conciso, in merito a quando e come i dati vengono raccolti sia direttamente dall'Interessato che tramite terzi, e come gli stessi vengono utilizzati.

Il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti ad un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona identificata o identificabile

l'ubicazione o gli spostamenti della persona fisica.

Il Regolamento UE 679/2016 è composto di 99 articoli suddivisi in 11 Capi.
·         Capo I – Disposizioni generali 
·         Capo II – Principi 
·         Capo III – Diritti dell'interessato 
·         Capo IV – Titolare del trattamento e responsabile del trattamento 
·         Capo V – Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali 
·         Capo VI – Autorità` di controllo indipendenti 
·         Capo VII – Cooperazione e coerenza 
·         Capo VIII – Mezzi di ricorso, responsabilità` e sanzioni 
·         Capo IX – Disposizioni relative a specifiche situazioni di trattamento 
·         Capo X – Atti delegati e atti di esecuzione 
·         Capo XI – Disposizioni finali

Il Regolamento 679/16 si apre con alcune disposizioni generali, suddivise in 2 CAPI: 

""Disposizioni"" generali che comprendono gli articoli da 1 a 4 e sono dedicate a individuare: 
·         oggetto e finalità del Regolamento; 
·         ambito di applicazione per materia; 
·         ambito di applicazione per territorio; 
·         definizioni. 

E ""Principi"" che comprendono gli articoli da 5 a 11 e disciplinano: 
·         principi generali; 
·         liceità; 
·         consenso; 
·         consenso dei minori; 
·         particolari categorie di dati;
·         trattamenti relativi a condanne penali e reati

Il titolare/beneficiario del diritto alla protezione dei dati è la persona fisica. Il regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, compresi il nome e la forma della persona giuridica e i suoi dati di contatto (considerando n. 14); Il regolamento non si applica ai trattamenti di dati personali solo quando si è in presenza di trattamento per finalità esclusivamente personali o domestiche (art,2, co. 2, lett. c ); considerando n. 18 e 27) La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla tutela non armonizzata delle persone fisiche con riguardo al trattamento dei dati personali. Il trattamento può essere interamente, parzialmente o non automatizzato. Per il trattamento dei dati effettuato da istituzioni, organi, uffici e agenzie dell'Unione, si applica il Regolamento 45/2001. La protezione dei diritti della persona è obiettivo da garantire soprattutto quando il dato personale passa ""di mano in mano"". Gli stessi ""considerando"" del Regolamento ritengono opportuno che le persone fisiche debbano avere il controllo dei dati personali. La circolazione delle informazioni è elemento necessario dello sviluppo e del progresso economico.

Secondo il Regolamento UE 679/16 alcune categorie di dati sono soggetti a regole stringenti, per esempio i trattamenti particolari e relativi a condanne penali (art. 9, 10).  In particolare, per i dati personali relativi a condanne penali e reati o connesse misure di sicurezza, può avvenire soltanto sotto il controllo dell'autorità pubblica o dietro autorizzazione del diritto dell'Unione o degli Stati Membri. Alcune categorie particolari di dati (sesso, origine razziale/etnica, convinzioni religiose e appartenenza politica, etc.) sono soggette a regole stringenti, in mancanza delle quali è vietato ogni trattamento: 
·         Consenso esplicito; 
·         Tutela di un interesse vitale; 
·         I dati trattati sono resi pubblici dall'interessato;
·         Motivi di interesse pubblico;

A differenza che nel Codice Privacy, il nuovo Regolamento UE non utilizza espressamente il termine «incaricato», ma fa confluire in «terzo» chiunque sia sotto l'autorità diretta del Titolare o del Responsabile. (art. 10, n. 10).

Particolare importanza viene data al diritto all’oblio (art. 17) che è: 
·         diritto di veder cancellati i propri dati personali presso il titolare che li tratta 
·         diritto di veder cancellati i rinvii a questi dati, che potrebbero apparire sui motori di ricerca più diffusi Il diritto ad «essere dimenticati» deve concordarsi con il diritto di informazione e di libera espressione (si pensi ad un fatto di cronaca in cui è coinvolto l'interessato), e in generale con l'interesse pubblico e con eventuali obblighi legali. 
Pertanto l'interessato non sempre potrà richiedere la cancellazione immediata dei dati che lo riguardano (riportati ad esempio da un sito web) fintanto che tali dati avranno una rilevanza pubblica, stante ovviamente la correttezza degli stessi. L'interessato ha diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano se sussiste uno dei seguenti motivi: 
·         I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti 
·         L'interessato revoca il consenso 
·         L'interessato si oppone al trattamento 
·         I dati personali sono stati trattati illecitamente 
·         I dati personali devono essere cancellati per adempiere ad un obbligo legale

Il diritto alla cancellazione non si applica se il trattamento è necessario:
·         all'esercizio del diritto alla libertà di espressione e di informazione 
·         Per l'adempimento all'obbligo legale che richieda il trattamento previsto dal diritto dell'unione o dello stato membro cui è soggetto il titolare del trattamento, o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri 
·         Per motivi di interesse pubblico nel settore della sanità pubblica 
·         Ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici 
·         Per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria 

L'interessato ha il diritto di ottenere la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
·         Contesta l'esattezza dei dati personali. 
·         Il trattamento è illecito e l'interessato si oppone alla cancellazione e chiede, invece, che ne sia limitato l'utilizzo. 
·         Benchè il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato in sede giudiziaria. 
·         l'interessato si è opposto al trattamento, in attesa della verifica in merito alla eventuale verifica della prevalenza dei motivi legittimi del titolare del trattamento. 

Se il trattamento è limitato, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell'interessato o per l'accertamento di un diritto in sede giudiziale, o per motivi di interesse pubblico

I cookie sono delle stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale o browser, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Questi possono essere di prima e terza parte.

In presenza di un sito internet contenente cookie analitici di terze parti dove sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già si dispone è sufficiente la sola informativa dei cookie, nel caso in cui non vengano adottati strumenti che riducono il potere identificativo dei cookies o la terza parte incrocia le informazioni raccolte con altre di cui già si dispone, sarà necessario predisporre l'informativa, inserire un banner con informativa breve e notificare al Garante Privacy l'uso di questi cookie. In presenza di ""profilazione"" con cookie analitici di terza parte è necessaria l'informativa e il banner.

La tenuta di un registro del consenso degli utenti per l'accettazione  dei cookie nel proprio dispositivo è obbligatorio nel momento in cui è presente l'obbligo di inserimento del banner ed è necessario tenerlo in modo tale che, in caso di richiesta da parte di un visitatore, ci sia la possibilità di prenderne visione e che sia possibile cancellare i dati del visitatore. Nel caso in cui nel sito siano presenti solo cookie tecnici, analitici di prima parte e di terza parte (nel momento in cui vengono anonimizzati i dati e non c'è un incrocio degli stessi da parte della terza parte) non sussiste l'obbligo di tenuta del registro del consenso.

Anche il Regolamento 679 si occupa di videosorveglianza stabilendo che il titolare del trattamento è tenuto a procedere con un preventivo data protection impact assesement (DPIA) ex art. 35 Regolamento UE 2016/679 nelle ipotesi di sorveglianza sistematica su larga scala di zona accessibile al pubblico.

Chi fa uso della videosorveglianza, deve effettuare, nel rispetto del principio di proporzionalità, la scelta e le modalità della ripresa e la dislocazione delle telecamere affinché le stesse registrino i dati pertinenti e non eccedenti allo scopo della ripresa stessa. Ad esempio l'angolo di visuale della ripresa deve essere limitato ai soli spazi di esclusiva pertinenza, escludendo ogni registrazione audio-video di aree comuni, o ancora i soggetti interessati dalle riprese devono essere informati con apposita cartellonistica (visibile anche in orario notturno) e avvisati che stanno accedendo ad una zona video sorvegliata

La "videosorveglianza" che le persone fisiche fanno per scopi esclusivamente personali (videocitofono, sistema di ripresa di sicurezza ecc) se non viene condivisa/diffusa sistematicamente con terzi e non vengono rese pubbliche le riprese, non si applica la normativa Privacy.

La capacità di protezione dati è sinonimo di buona impresa, di competitività e buona reputazione. Un'azienda che non è in grado di proteggere il proprio patrimonio informativo tendenzialmente tenderà a essere emarginata dal mercato perché da una parte sarà considerata vulnerabile ad attacchi informatici e furti di identità, dall'altra avendo indebolito le garanzie offerte su questo terreno ai clienti, risulterà meno competitiva.

La Commissione Europea chiarifica che gli indirizzi e-mail sono, generalmente, classificati come dati non personali, tuttavia qualora contengano invece il nome di una persona allora il loro status cambia, in quanto il dato è riconducibile a una persona determinata, e dunque non è considerato più anonimo. Quindi, se l’indirizzo email è, ad esempio, info@azienda.com è da considerarsi “dato non personale”, se invece è nome.cognome@azienda.com diventa “dato personale”.

L’art. 1 del Reg. UE n. 2016/679/UE al comma 1 precisa che: “il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati”. Il regolamento (GDPR) non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare alle imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto; in tale caso, le disposizioni del regolamento troveranno applicazione con riferimento al trattamento dei dati personali del rappresentante legale. Pertanto, poiché i dati delle ditte individuali sono riferiti a persone fisiche, si applica la normativa privacy e bisognerà rendere l’informativa ai clienti persone siche (interessati) e ottenere da questi il consenso espresso per il trattamento dei dati.

Ci sono alcuni adempimenti che il medico è tenuto a fare per ottemperare alle norme sulla privacy. Il primo e più importante è la raccolta del consenso previa informativa sul trattamento dei dati personali.

Il consenso del paziente al trattamento dei dati sanitari deve essere raccolto all’inizio del rapporto di cura e vale a tempo indeterminato. Se il medico intende utilizzare i dati del paziente per finalità diverse e ulteriori rispetto a quelle originarie (per esempio per sperimentazione scientifica) deve integrare l’informativa e acquisire un ulteriore consenso specifico. Ma se non vi sono queste situazioni particolari, il consenso vale una volta per tutte.

Il consenso di cui stiamo parlando riguarda esclusivamente l’autorizzazione che il paziente dà al medico ad utilizzare i suoi dati personali per finalità di diagnosi e cura. Tutt’altra cosa è il consenso del paziente all’atto medico, che non riguarda la legge sulla privacy, bensì l’art. 32 della Costituzione, a norma del quale nessuno può essere obbligato ad un trattamento sanitario contro la sua volontà

Sì, anche al consulente fiscale va affidata la formale responsabilità per il trattamento dei dati.

Una volta raccolto il consenso dei pazienti e affidate ai collaboratori le rispettive responsabilità, il medico deve fare in modo che durante la sua quotidiana attività professionale i dati sanitari dei propri pazienti siano utilizzati, conservati e in definitiva trattati in modo adeguato, a seconda che vengano conservati su carta oppure archiviati su computer

Il personale di segreteria deve limitare l’accesso solo ai dati necessari per svolgere il proprio lavoro, per cui potrà sicuramente accedere ai dati personali dei pazienti come ad esempio l’indirizzo e il numero di telefono, ma non ha titolo per accedere ai dati sanitari dei pazienti. Anche in questo caso è necessario che l’accesso al computer sia effettuato con un nome utente e una password dedicata al personale di segreteria, in modo che il sistema limiti automaticamente l’accesso ai dati comuni e non a quelli sensibili.

Il paziente diretto interessato ha diritto in ogni momento a sapere quali dati che lo riguardano sono in possesso del medico, ha diritto di verificare che tali dati siano esatti e corretti, ha diritto a chiedere la cancellazione in tutto o in parte dei dati che lo riguardano e ha diritto ad ottenere copia di tutti i dati che lo riguardano.

Se il paziente a suo tempo ha consegnato al medico un documento sanitario (ad esempio una radiografia) e poi successivamente chiede che gli venga restituita, il medico deve consegnare lo stesso originale che aveva ricevuto dal paziente stesso. Se invece il paziente chiede la propria scheda sanitaria, può ottenerne una stampa o una fotocopia.

Può farlo anche il personale di segreteria, ma allora il documento sanitario deve sempre essere chiuso in una busta e spetterà al personale di segreteria identificare il soggetto che ritira la busta: se il diretto interessato o se un delegato. In quest’ultima ipotesi, dovrà acquisire la delega del diretto interessato.

No, perché così facendo non si sa chi è il soggetto che ritira la busta e potrebbe anche succedere che il paziente (magari anche in buona fede) ritiri una busta che non è la sua. Per evitare questi rischi di indebita conoscenza di dati sanitari da parte di terzi non autorizzati, una efficace misura di sicurezza, ad esempio, è inserire le buste in appositi schedari ubicati non nella sala d’attesa dello studio, bensì nello spazio dedicato alla segreteria. In questo modo l’identificazione del soggetto e la consegna della busta è mediata dal personale di segreteria, che deve attenersi alle regole di tutela della privacy sopra descritte.

Sì perché il decesso dell’assistito non esime il medico dal dovere di tutelarne la riservatezza. Bisogna però ricordare che gli eredi del defunto subentrano in tutti i diritti del deceduto, per cui nei confronti di costoro il medico non può opporre il segreto

Vale quanto detto sopra: la cessazione dell’attività corrisponde alla cessazione del rapporto di cura. Da quel momento decorre la conservazione per 10 anni.

Ogni titolare del trattamento dei dati ha l’obbligo di effettuare una valutazione di impatto sulla protezione dei dati (Privacy Impact Assessment). Tale adempimento è richiesto in relazione ai trattamenti automatizzati con strumenti informatici, ivi compresa la profilazione, o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico. Sono esonerati da alcuni adempimenti, quelli più gravosi, solo alcune categorie tipo piccole PMI e chi tratta dati semplici, fermo restando però l’obbligo di adempiere a quelli di base obbligatori per chiunque tratta dati specie con strumenti informatici. Questo esonero non può essere applicato anche agli esonerati nel momento in cui però: “…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato”, il “trattamento non sia occasionale” o “includa il trattamento di categorie particolari di dati (sensibili)…o i dati personali relativi a condanne

Importante novità introdotta dal Regolamento è l’obbligo da parte delle aziende e professionisti, in caso di violazione o perdita dei dati personali di notificare all’Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, l’avvenuta violazione dei dati degli interessati. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. Oggi l’obbligo di notifica della violazione è previsto solo in alcuni settori (provider telecomunicazioni); il Garante della Privacy lo scorso 24.5.2016 ha pubblicato un’infografica che offre un prospetto sintetico sugli attuali obblighi in caso di violazione dei data breach.

Uno dei punti salienti che accomuna il D.Lgs. 196/03 al nuovo regolamento è sicuramente il ruolo cruciale della formazione di tutte le figure che interagiscono con il trattamento dei dati personali. Già nella 196, Allegato B – Disciplinare Tecnico in Materia di Misure Minime di Sicurezza veniva data grande importanza alla formazione continua del personale. 
All’articolo 19 punto 6 (successivamente soppresso con la decadenza dell’obbligo di redazione del DPS) veniva dato grande risalto all’istruzione dei soggetti incaricati: 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu’ rilevanti in rapporto alle relative attivita’, delle responsabilita’ che ne derivano e delle modalita’ per aggiornarsi sulle misure minime adottate dal titolare. 

La formazione e’ programmata gia’ al momento dell’ingresso in servizio, nonche’ in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Anche il nuovo regolamento pone l’attenzione sull’istruzione, in particolare su chiunque agisca per conto del titolare del trattamento, come si evince dall’ Art 32 paragrafo 4: 32.4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, […]. 

La formazione è fondamentale in ogni ambito lavorativo. Come si istruisce il personale sul corretto utilizzo di un’attrezzatura di lavoro, si forma il personale anche sulle corrette misure per il trattamento dei dati personali. La formazione va intesa anche come misura di tutela per l’azienda per garantire la corretta applicazione della normativa privacy da parte di tutto il personale. La formazione è quindi obbligatoria, ed è compito del titolare formare i propri dipendenti. Un personale formato e preparato è in grado di affrontare qualsiasi situazione e trovare la giusta soluzione ad ogni problema.

L'informativa va generata per ogni trattamento di dati. L'obbligo di informare gli interessati va adempiuto prima o al massimo al momento di dare avvio alla raccolta dei dati. Non sussiste obbligo di fornire l'informativa se il trattamento riguarda dati anonimi (es. aggregati) o riguarda dati di enti o persone giuridiche (i cui dati non sono soggetti alla tutela prevista da Regolamento europeo).   

Nel caso in cui i dati non siano raccolti direttamente presso l'interessato (art. 14 del Regolamento), l'informativa deve essere fornita entro un termine ragionevole, e comunque non oltre un mese dalla raccolta dei dati. Oppure va fatta al momento della comunicazione dei dati a terzi. 

Non occorre informare l'interessato quando: 
- l'interessato dispone già delle informazioni; 
- comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; 
- l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare; 
- i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri. 

In alcuni casi non è necessaria l'informativa, quando: 
- i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; 
- il trattamento è connesso allo svolgimento delle ""investigazioni difensive"" in materia penale (art. 38 norme di attuazione del c.p.p.) o alla difesa di un diritto in sede giudiziaria (a meno che il trattamento si protragga per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità o sia svolto per ulteriori scopi).

.

Bisogna innanzitutto premettere che: 

Ai sensi dell'art. 11, comma 1, lettera e) i dati personali oggetto di trattamento, che consentano l'identificazione dell'interessato, non possono essere conservati per un periodo di tempo superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

La ratio della norma è collegata con l'art. 3 del Codice laddove è stato disciplinato il ""Principio di necessità nel trattamento dei dati"", per cui i dati personali o identificativi, qualunque sia la ragione della raccolta, debbano essere utilizzati solo se indispensabili per il raggiungimento delle finalità consentite. 
Questa limitazione dello ""stato di necessità"" del trattamento di dati personali o identificativi non sussiste se detti dati possono essere trattati nell'anonimato o con identificazione ristretta. Quindi i confini del limite temporale del trattamento vanno ricercati nella natura dei dati trattati.

Nel caso specifico delle strutture ricettizie come gli alberghi, i tempi di conservazione dipendendono quindi dalle seguenti finalità: Dal punto vi vista della trasmissione delle schede all’autorità di pubblica sicurezza. In questo    caso le schede possono essere distrutte fisicamente, non sussistendo alcuna ragione o obbligo di conservazione. Dal punto di vista fiscale, è notorio che l'addebito del servizio di alloggio deve essere documentato tramite fatture o ricevute, nelle quali vanno registrati i dati identificativi dei clienti.

I documenti contabili devono essere conservati per 10 anni e, per altrettanto periodo così lungo di tempo, i dati rimangono in fase di trattamento, né il cliente può opporsi alla loro conservazione, dato che il gestore segue le direttive della legge. Dal punto di vista statistico, tali dati possono essere conservati solo se vengono anonimizzati.

Non è necessario presentare la domanda per installare la videosorveglianza quando:

• Quando non ci sono dipendenti;
• Quando ci sono dipendenti, ma la videosorveglianza (a prescindere se in registrazione o sola visualizzazione) non riprende l’attività lavorativa;
• Quando sono stati eletti rappresentanti sindacali aziendali (RSA) o rappresentanti sindacali unitari (RSU) e hanno raggiunto un accordo col titolare aziendale.

Per quanto riguarda la collocazione dei monitor dell'impianto di videosorveglianza, non c'è una legge precisa che specifichi esplicitamente dove e come collocare i monitor (anche perché spesso si deve tener conto della dimensione e della struttura dell'azienda), ma bisogna considerare le leggi che regolano il trattamento delle immagini legate all'impianto di videosorveglianza: ciò impliaca che non è obbligatorio, ma fortemente consigliato collocare il/i monitor in zone in cui le immagini non siano visibili liberamente a chiunque. Inoltre, il posizionamento è un fattore di cui le Autorità tengono conto ai fini dell'autorizzazione per installare l'impianto di videosorveglianza stesso.

La conservazione delle immagini della videosorveglianza è di 24/48 ore (24 ore come “standard” e fino a 48 ore in caso di festività e chiusura degli uffici, e senza bisogno di deroghe per la conservazione fino a 48 ore).

Per quanto riguarda il prolungamento fino a 7 giorni, tutte le aziende private (banche comprese) possono richiedere il prolungamento fino a 7 giorni, purché ci siano motivazioni serie (che in attività a rischio come quella delle banche ci sono) e la proroga va richiesta all’ispettorato del lavoro e non al Garante. Nel caso delle banche, quindi, la conservazione fino a 7 giorni non è “automatica”, bensì anche queste devono fare richiesta specifica che però nei loro casi è praticamente una formalità.

Le aziende private possono chiedere all’ispettorato del lavoro di prolungare la conservazione fino a 7 giorni, specificando le proprie esigenze (che in questo caso non hanno ragione di esistere) ma fino a quel momento (e anche successivamente nel caso la richiesta venga respinta) dovranno sottostare all’obbligo delle 24/48 ore

Il Regolamento GDPR conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di licietà del trattamento sono indicati all'art. 6 del Regolamento stesso, ossia adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, oblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi i cui dati vengono comunicati.

Il consenso raccolto precedentemente al 25 Maggio 2018 resta valido se ha tutte le caratteristiche richieste dal Regolamento, in particolare occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste e dichiazioni rivolte all'interessato, per esempio all'interno di modulistiche.

Si tratta di un diritto esercitabile non solo di violazione dei presupposti di liceità del trattamento, quale alternativa alla cancellazione dei dati stessi, bensì anche se l'interessato chiede la rettifica o si oppone al loro trattamento.Esclusa la conservazione ogni altro trattamento del dato di cui si chiede la limitazione è vietato a menoche ricorrano le altre circostanze (consenso dell'interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giudirica, interesse pubblico rilevante). Il diritto alla limitazione prevede che il dato personale sia contrassegnato in attesa di determinazioni ulteriori pertanto, è opportuno che i titolari prevedano nei propri sistemi informatici (elettronici o meno) misure idonee a tale scopo

Il responsabile del trattamento a sua volta può nominare responsabili di secondo livello, a meno che non sia vietato dalle istruzioni del titolare del trattamento. E' comunque il responsabile principale a rispondere di fronte al titolare del trattamento dell'operato dei sub-responsabili. Al sub-responsabile dovranno essere fornite le istruzioni, e dovrà operare nel rispetto degli obblighi imposti al primo responsabile del trattamento. E' il primo responsabile che risponde dell'inadempimento dei sub-responsabili, anche ai fini del risarcimento di eventuali danni causati dal trattamento, nei confronti del titolare, a meno che non riesca a dimostrare che il danno non è in alcun modo imputabile a lui. Per questo motivo il responsabile deve sempre avvisare il titolare della nomina o modifica di un sub-responsabile.

Il Decreto:

• Definisce in modo chiaro cosa si intenda per comunicazione e diffusione dei dati personali dei dati personali; individua nel Garante della privacy l’autorità incaricata del controllo e della promozione delle regole deontologiche in materia;

• Stabilisce che il consenso al trattamento dei dati personali potrà essere espresso solo al compimento dei 14 anni  di età. Chi ha un’età inferiore necessita del consenso di chi esercita la sua responsabilità genitoriale. Il consenso poi deve essere richiesto dal titolare del trattamento in modo chiaro e semplice, facilmente comprensibile dal minore (Capo II art. 2 del Decreto);

• Tutti gli organi giudiziari avranno l’obbligo di nominare il DPO e si precisano le limitazioni ai diritti degli interessati in relazione a ragioni di giustizia. Si rafforza il divieto di pubblicazione dei dati dei minori, e si prevede una relativa sanzione penale a riguardo;

• Considera ovviamente rilevante l’interesse pubblico, che può portare ad utilizzare i dati personali di determinati soggetti;

• Dovranno essere adottate misure adeguate di sicurezza, come tecniche di cifratura e di pseudonomizzazione a tutela del dato personale, misure di minimizzazione e le specifiche modalità per l’accesso selettivo ai dati;

• Le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità;

• E’ ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e protezione;

• Al Garante viene assegnato il compito di scrivere le misure di garanzia per il trattamento di dati genetici, biometrici, sanitari;

• Viene introdotto il concetto di diritto all’eredità del dato in caso di decesso, con l’introduzione di una norma che consente di disporre post mortem dei propri dati caricati nei servizi informativi delle società;

• Viene data la possibilità (su autorizzazione dell’interessato) di comunicare i dati personali degli studenti universitari, per favorirne l’inserimento nel mondo del lavoro, la formazione e l’orientamento professionale; come forma di tutela, viene introdotto il reclamo, alternativo al ricorso in tribunale

• I dati trattati non solo devono essere esatti, ma anche aggiornati, ed eventualmente corretti a richiesta dell'interessato nel caso in cui siano sbagliati. Ovviamente l'obbligo di trattare dati aggiornati non vuol dire che il Titolare del trattamento (Data Controller) abbia il diritto di accedere a nuove informazioni per poter aggiornare dati precedentemente raccolti. Così, ad esempio, se i dati sono utilizzati a fini di fatturazione, l'azienda non ha diritto di accedere all'anagrafe per aggiornare gli indirizzi di vecchi clienti allo scopo di inviare loro comunicazioni commerciali. In questo caso occorre un nuovo consenso per le comunicazioni commerciali e quindi si tratterà di una nuova raccolta. 

Il concetto di “larga scala” è del tutto generico e si intende la gestione di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato. Ci sono però un gran numero di attività per le quali risulta impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati.

In tali casi, nel definire i propri trattamenti ed i relativi campi di azione, è buona norma considerare:

• il numero di soggetti interessati dal trattamento;
• il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
• la durata del trattamento;
• l’estensione geografica del trattamento.

Invece, rientrano sempre nei trattamenti su larga scala le attività effettuate su:

• dati relativi a pazienti svolte da un ospedale nell’ambito delle ordinarie attività;
• dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino;
• dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
• dati personali da parte di un browser per finalità di pubblicità comportamentale;
• dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Con il termine "archivio" si intende la raccolta di dati personali organizzati in un insieme ordinato e indicizzato (indipendentemente dal fatto che sia elettronico o manuale). Sono oggetto della normativa tutti i dati personali presenti in ARCHIVI ORGANIZZATI e INDICIZZATI, sia automatizzati che manuali. L’ordine è quindi l’elemento essenziale; il dato non ordinato (es. un appunto sulla scrivania) non viene preso in esame dalla normativa.

I dati biometrici sono categorie particolari di dati personali, ottenuti da tecnologie in grado di rilevare in modo automatizzato una (o più) caratteristiche biologiche e/o comportamentali (biometria) di una persona fisica. Tra le caratteristiche fisiologiche: l’altezza, l’immagine facciale, le impronte digitali, la topografia della mano, il colore e la dimensione dell’iride, la retina, la forma dell’orecchio, la vascolarizzazione. Tra le caratteristiche comportamentali: l’impronta vocale, la scrittura grafica, la firma, i dati dattiloscopici, lo stile di battitura sulla tastiera, i movimenti del corpo. L'elemento fondamentale è la presenza di un processo automatizzato di analisi biometrica, tramite una tecnologia informatica. 

La violazione dei dati personali (Data Breach) è suddivisibile in tre categorie:

1. "Confidentiality Breach": in caso di divulgazione o accesso non autorizzato o accidentale ai dati personali;
2. "Availability Breach": in caso di alterazione non autorizzata o accidentale dei dati personali;
3. "Integrity Breach": in caso di modifica non autorizzata o accidentale dei dati personali.

Notificare il Data Breach è un obbligo che, se non rispettato, viene pesantemente sanzionato: fino a 10.000.000 € per le pubbliche amministrazioni, e fino al 2 % del fatturato annuo dell'anno precedente per le imprese.