Domande più frequenti
FAQ GDPR: Risposte alle Domande più Frequenti
Scopri le risposte alle domande più comuni sul Regolamento Generale sulla Protezione dei Dati (GDPR), selezionate dalle richieste dei nostri utenti. Un pratico approfondimento per chiarire dubbi e orientarti nella conformità normativa.
- Cos'è il Regolamento Europeo 679/2016?
Regolamento UE 2016/679: tutela della privacy e libera circolazione dei dati personali
Il Regolamento Europeo 2016/679 (GDPR) stabilisce norme per la protezione della privacy delle persone fisiche, regolando il trattamento dei dati personali e la loro libera circolazione.Obblighi documentali: redazione e conservazione dei Registri delle attività di trattamento
Le organizzazioni devono redigere e conservare documentazioni come i Registri delle attività di trattamento, che mappano tutte le operazioni svolte sotto la responsabilità del titolare o del responsabile.Registri attività di trattamento per imprese sotto i 250 dipendenti: requisiti dell’art. 30
L’art. 30 prevede eccezioni per imprese con meno di 250 dipendenti, ma obbliga comunque a registrare le attività di trattamento se impattano diritti degli interessati o riguardano dati sensibili.Cooperazione con autorità e notifica violazioni dati: obblighi di trasparenza
Il GDPR richiede di collaborare con le autorità di controllo e di segnalare tempestivamente violazioni dei dati personali, garantendo trasparenza verso gli interessati e le istituzioni.Termini rigorosi per segnalare violazioni: 72 ore e comunicazione agli interessati (art. 33)
Le violazioni vanno notificate all’autorità competente entro 72 ore dalla scoperta (art. 33), senza ritardi ingiustificati. Gli interessati devono essere informati se il rischio è elevato. - Cosa permette l'applicazione a tutti gli stati membri del Regolamento Europeo 679/2016?
Uniformità del GDPR nell'UE: applicazione simultanea in tutti gli Stati membri
Il Regolamento Privacy garantisce l'armonizzazione normativa, essendo direttamente applicabile e contemporaneamente valido in tutti i Paesi dell'Unione Europea senza necessità di recepimento nazionale.Effetto unificante del GDPR: stessa disciplina in tutta l'UE
L'applicazione diretta del Regolamento assicura che le norme sulla protezione dati abbiano identico valore giuridico in ogni Stato membro, eliminando divergenze legislative tra i diversi Paesi.Vantaggi dell'approccio uniforme: certezza del diritto e parità di condizioni
Questa uniformità crea un quadro giuridico chiaro per cittadini e imprese, favorendo la libera circolazione dei dati nel rispetto di identici standard di protezione in tutta l'Unione.Ruolo delle autorità nazionali: applicazione coerente del GDPR
Pur nella cornice unificata, le autorità di controllo locali vigilano sull'applicazione, assicurando coerenza pur nel rispetto delle specificità nazionali previste dalle clausole di flessibilità del Regolamento.Meccanismi di cooperazione: sistema unico con garanzie comuni
Il sistema one-stop-shop e il Comitato Europeo per la Protezione Dati garantiscono l'applicazione coordinata, risolvendo eventuali conflitti per mantenere l'unitarietà del sistema privacy europeo. - Si può ritenere che il Regolamento 679/2016 Privacy sia "un buon regolamento", e che fornirà strumenti molto efficaci all'interessato per conoscere, controllare e intervenire sul destino dei propri dati?
Il GDPR 679/2016: un regolamento efficace per la tutela dei dati personali?
Il Regolamento UE 679/2016 rappresenta un significativo passo avanti nella protezione dei dati, offrendo agli interessati strumenti concreti per conoscere, controllare e influenzare il trattamento delle proprie informazioni personali.Strumenti rafforzati per i diritti degli interessati
Il GDPR potenzia notevolmente i diritti degli individui, introduendo meccanismi più efficaci per l'accesso, la rettifica e la portabilità dei dati, oltre al diritto all'oblio, garantendo un maggiore controllo sul proprio information footprint.Verso un nuovo modello di fiducia digitale
L'armonizzazione delle norme a livello europeo contribuisce a ricostruire la fiducia dei cittadini verso aziende e istituzioni, creando un terreno più sicuro per gli scambi commerciali e lo sviluppo dell'economia digitale nell'Unione.Dal formalismo alla responsabilità attiva: un cambio di paradigma
Il regolamento impone un radicale cambiamento culturale, spostando l'attenzione dalla mera compliance formale a un approccio proattivo basato sulla responsabilizzazione (accountability) e sulla dimostrazione concreta delle misure adottate.Gli strumenti chiave: DPIA, risk assessment e privacy by design
L'introduzione obbligatoria della Valutazione d'Impatto (DPIA), del risk assessment (art. 35) e dei principi di privacy by design/default (art. 25) rappresentano innovazioni cruciali per una protezione dati efficace e preventiva.Sfide e opportunità per le organizzazioni
Sebbene l'implementazione richieda sforzi significativi, il GDPR offre alle aziende l'opportunità di trasformare la privacy da vincolo a vantaggio competitivo, migliorando la trasparenza e la qualità dei processi di trattamento dati.Verso una maturità privacy-driven
Il regolamento sta effettivamente spingendo le organizzazioni verso un modello più maturo di governance dei dati, dove la protezione delle informazioni diventa parte integrante della strategia aziendale e del valore offerto agli stakeholder. - Quali sono le sanzioni amministrative?
Sanzioni GDPR: quadro generale e importi
Ai sensi dell'art. 83 del GDPR, le sanzioni amministrative per violazioni del regolamento prevedono un sistema proporzionale alla gravità dell'infrazione, con due fasce principali di sanzioni:Violazioni meno gravi (art. 83, par. 4):
Multe fino a 10 milioni di euro o, per imprese, 2% del fatturato globale annuo (se superiore)
Si applicano a violazioni procedurali (es. mancata tenuta dei registri, inosservanza privacy by design)
Violazioni più gravi (art. 83, par. 5-6):
Multe fino a 20 milioni di euro o, per imprese, 4% del fatturato globale annuo (se superiore)
Riguardano infrazioni sostanziali (es. trattamento illecito di dati, mancata ottenimento del consenso, inosservanza dei diritti degli interessati)
Criteri di determinazione della sanzione (art. 83, par. 2)
Le autorità considerano:
✔ Natura/gravità della violazione
✔ Dolo o negligenza
✔ Misure di mitigazione adottate
✔ Precedenti violazioni
✔ Grado di cooperazione con l'autorità
✔ Categorie di dati coinvoltiEsempi applicativi
Violazione principio di accountability: fino al 2% del fatturato
Data breach non notificato: fino al 4% del fatturato
Mancato rispetto dei diritti degli interessati: fino a 20 milioni
Poteri correttivi complementari (art. 58)
Oltre alle multe, le autorità possono:
➤ Emettere avvertimenti
➤ Imporre limitazioni temporanee al trattamento
➤ Ordinare la rettifica/cancellazione dei datiPer un'analisi completa delle fattispecie sanzionatorie si raccomanda la consultazione diretta dell'art. 83 GDPR, che elenca dettagliatamente tutte le ipotesi applicative.
Approccio europeo: Le sanzioni sono applicate dalle singole autorità nazionali (es. Garante Privacy in Italia) in coordinamento con l'EDPB per garantire uniformità nell'Unione.
- La tutela della privacy è un’esigenza che travalica i confini nazionali?
La privacy come diritto globale: necessità di standard internazionali
Il carattere transnazionale dei flussi dati rende imprescindibile un approccio armonizzato alla protezione della privacy, che superi i confini giuridici nazionali. Il GDPR rappresenta attualmente lo standard più avanzato in questa direzione.Modello GDPR: un benchmark per la regolamentazione mondiale
Il regolamento europeo si sta affermando come riferimento globale, influenzando numerose legislazioni (Brazilian LGPD, California CCPA, Japan's APPI) e ispirando iniziative internazionali come l'adesione al Convenio 108+ del Consiglio d'Europa.Libera circolazione vs. protezione dati: l'equilibrio necessario
Un quadro normativo comune deve conciliare due esigenze:Garantire tutele minime uniformi per i cittadini
Consentire il transborder data flow essenziale per l'economia digitale
Sfide per l'interoperabilità normativa
Le differenze culturali e giuridiche tra Paesi richiedono:Meccanismi di adeguatezza (art. 45 GDPR)
Clausole contrattuali standard (SCCs)
Certificazioni internazionali
Verso un "gold standard" globale
L'approccio europeo dimostra che è possibile:
✓ Elevare gli standard di protezione
✓ Creare fiducia nei servizi digitali
✓ Mantenere la competitività economicaProspettive future
L'evoluzione verso framework globali dovrà considerare:L'impatto delle nuove tecnologie (AI, IoT)
L'armonizzazione dei meccanismi enforcement
La cooperazione tra autorità di controllo mondiali
Il GDPR rappresenta quindi non solo un modello regolatorio, ma una visione filosofica della privacy come diritto fondamentale nella società digitale globale.
- Chi è il Data Protection Officer (DPO o RPD)
Il Responsabile della Protezione dei Dati (DPO/RPD): ruolo e obblighi
Il Data Protection Officer (DPO) è una figura chiave nel sistema GDPR, con funzioni di:
✔ Consulenza interna su adempimenti privacy
✔ Sorveglianza sull'osservanza del regolamento
✔ Punto di contatto con autorità e interessatiObbligo di nomina del DPO (Art. 37 GDPR)
La designazione è obbligatoria per:
Pubbliche Amministrazioni
Obbligatorie per tutti gli enti pubblici
Eccezione: autorità giudiziarie nell'esercizio delle funzioni giurisdizionali
Attività di trattamento su larga scala
Trattamento sistematico e regolare di dati particolari (ex sensibili)
(es: dati sanitari, biometrici, giudiziari)Monitoraggio sistematico di persone (es: profilazione, telecamere, geolocalizzazione)
Core business basato su dati
Aziende il cui modello operativo si fonda su:
Trattamento intensivo di dati personali
Attività di monitoraggio regolare (es: big data, advertising digitale)
Requisiti del DPO (Art. 37-39 GDPR)
Competenze giuridiche e tecniche in materia di privacy
Indipendenza nell'esercizio delle funzioni
Accesso diretto al vertice aziendale
Assenza di conflitti d'interesse (es: non può essere il Responsabile IT o il Legal Counsel)
Casi pratici di obbligo
▪ Ospedali e cliniche (dati sanitari)
▪ Banche e assicurazioni (dati finanziari + profilazione)
▪ Grandi retailer online (monitoraggio utenti)
▪ Comuni e enti locali (trattamento dati cittadini)Nota: Anche quando non obbligatorio, la nomina è consigliata come best practice per dimostrare compliance.
Sanzioni per mancata nomina (Art. 83 GDPR):
Fino a 10 milioni di € o 2% del fatturato globale se l'obbligo viene ignorato.Il DPO non è un mero adempimento formale, ma un asset strategico per:
Mitigare rischi
Costruire fiducia con clienti
Ottimizzare i processi data-driven
*Per i dettagli operativi: Artt. 37-39 GDPR e Linee Guida WP29 (ora EDPB) n. 243/2016.*
- Quali sono i principali compiti del RPD?
I
Ruolo e Compiti del Responsabile della Protezione dei Dati (RPD/DPO)
Il Data Protection Officer (DPO) opera con piena autonomia e indipendenza, riferendo direttamente al Titolare del trattamento o ai vertici aziendali, senza subire influenze gerarchiche da altri dirigenti.
Principali Compiti del DPO (Art. 39 GDPR)
1. Funzione consultiva e di supporto
Informare e consigliare Titolare/Responsabile del trattamento sugli obblighi GDPR
Fornire pareri su Valutazioni d’Impatto (DPIA – Data Protection Impact Assessment)
Monitorare l’applicazione delle policy aziendali in materia di privacy
2. Sorveglianza e controllo della compliance
Verificare il rispetto della normativa privacy (GDPR e legislazione nazionale)
Sensibilizzare e formare il personale e gli auditor interni
Tenere traccia degli adempimenti (es. registri delle attività di trattamento)
3. Interfaccia con gli interessati e le autorità
Punto di contatto per i cittadini
Gestire richieste di esercizio dei diritti (accesso, cancellazione, portabilità, ecc.)
Rispondere a reclami o segnalazioni su violazioni dati
Interlocutore con il Garante Privacy
Collaborare con l’autorità di controllo
Consultare il Garante su dubbi interpretativi o casi complessi
Segnalare eventuali violazioni (data breach)
4. Gestione del rischio e accountability
Valutare i rischi legati ai trattamenti dati e proporre misure correttive
Promuovere approcci proattivi come Privacy by Design e Privacy by Default
Supportare la risposta a incidenti (es. data breach)
Indipendenza e Autonomia del DPO (Art. 38 GDPR)
Nessuna interferenza da parte di altri dirigenti
Accesso prioritario alle decisioni strategiche in materia di dati personali
Divieto di sanzioni o ritorsioni per l’esercizio delle sue funzioni
Casi Pratici di Intervento del DPO
✔ Introduzione di un nuovo software CRM → Verifica conformità GDPR
✔ Violazione dati (data breach) → Coordinamento con il Garante e notifica agli interessati
✔ Richiesta di cancellazione dati (right to be forgotten) → Gestione della procedura internaSanzioni per Mancato Supporto al DPO
Multe fino a 10 milioni di € o 2% del fatturato globale (Art. 83 GDPR) se l’azienda ostacola il suo lavoro.
Perché il DPO è Strategico?
Previene sanzioni garantendo compliance
Migliora la reputazione aziendale
Facilita l’innovazione in ottica privacy-aware
*Riferimenti normativi: Artt. 37-39 GDPR e Linee Guida WP29 n. 243/2016 (EDPB).*
- DPO: Persona fisica o giuridica, esterno o interno?
DPO: Modalità di Designazione (Persona Fisica/Giuridica, Interno/Esterno)
Il GDPR (Art. 37) e le Linee Guida WP29/EDPB forniscono flessibilità nella scelta del DPO, ma con precisi requisiti per garantire indipendenza ed efficacia.
1. DPO INTERNO vs. ESTERNO
DPO Interno (Dipendente) DPO Esterno (Consulente/Società Esterna) ✔ Designabile come dipendente dell’azienda ✔ Può essere un libero professionista o una società di servizi ✔ Deve evitare conflitti di interesse (es. non può essere il Responsabile IT, Legal, HR o chi decide sui trattamenti) ✔ Deve garantire continuità operativa e risorse adeguate ✔ Più integrato nei processi aziendali ✔ Maggiore indipendenza, ma con necessità di accesso ai dati e processi 2. PERSONA FISICA vs. GIURIDICA
Il DPO deve essere una persona fisica identificabile (anche se la consulenza è affidata a una società esterna).
Esempio: Se un’azienda incarica uno studio legale, quest’ultimo deve nominare un referente fisico come DPO (Linee Guida WP29, punto 2.4).
Non è ammesso un "DPO collettivo" (es. un team senza un unico referente).
3. REQUISITI ESSENZIALI
Indipendenza (nessuna interferenza da parte del Titolare/Responsabile del trattamento)
Assenza di conflitti d’interesse (es. il DPO non può essere chi decide come usare i dati)
Competenze giuridiche + tecniche (conoscenza GDPR e settore di attività)
Disponibilità e risorse (tempo e strumenti per svolgere i compiti)
4. OBBLIGHI FORMALI
Pubblicità del nominativo (il DPO deve essere comunicato al Garante Privacy e agli interessati).
Punto di contatto unico (anche se la consulenza è esterna, deve esserci un solo referente per autorità e cittadini).
Casi Pratici
Multinazionale: Spesso sceglie un DPO interno (es. un dirigente dedicato).
PMI: Opta per un DPO esterno (es. studio legale specializzato).
Pubblica Amministrazione: Di solito nomina un dipendente interno (es. Responsabile Privacy).
Sanzioni per Errori nella Designazione
Mancata nomina (se obbligatoria): Fino a 10 milioni di € o 2% del fatturato.
Conflitto di interesse: Il DPO non è efficace e l’azienda rischia sanzioni per mancata compliance.
*Riferimenti: Art. 37-39 GDPR + Linee Guida WP29 n. 243/2016 (punto 2.4).*
- Posso usare un Antivirus di quelli che si scaricano gratis da Internet nella mia attività aziendale/professionale??
Antivirus Gratuiti in Ambito Professionale: Perché Sono Vietati?
❌ Divieto d'Uso in Attività Commerciali (P.IVA, Aziende, Professionisti)
La maggior parte degli antivirus gratuiti (es. Avast Free, AVG, Kaspersky Free) hanno licenze solo per uso personale e domestico.
Violazione dei Termini di Licenza: L’utilizzo in contesti professionali (anche in piccoli studi o freelance) è espressamente vietato dai contratti delle software house.
Rischi Legali: L’azienda potrebbe essere soggetta a reclami per violazione del copyright o sanzioni in caso di audit software.
🛡️ Limiti Tecnici degli Antivirus Gratuiti
Anche se funzionanti, questi strumenti mancano di funzioni critiche per le aziende, come:
✔ Protezione avanzata per server
✔ Gestione centralizzata delle policy
✔ Reportistica e monitoraggio compliance
✔ Supporto tecnico prioritario
✔ Protezione da ransomware e attacchi mirati⚠️ Rischi per la Sicurezza Aziendale
Mancata conformità al GDPR: Un antivirus non professionale potrebbe non garantire adeguata protezione dei dati, esponendo a violazioni e sanzioni (fino al 4% del fatturato).
Vulnerabilità aumentate: Nessun aggiornamento automatico delle minacce emergenti.
Assenza di garanzie legali: In caso di data breach, il fornitore free non offre coperture assicurative.
✅ Soluzioni Consigliate per Aziende e Professionisti
Antivirus Business a pagamento (es. Bitdefender GravityZone, Kaspersky Endpoint Security)
Licenze dedicate per PMI e grandi imprese
Conformità a normative (GDPR, NIS2, ISO 27001)
Soluzioni in Cloud con gestione centralizzata (es. Microsoft Defender for Business)
Pacchetti MSP per studi professionali (soluzioni su misura per piccoli uffici)
📌 Conclusione
No, non puoi usare antivirus gratuiti in attività professionali.
Se hai Partita IVA, devi acquistare una licenza business.
Se gestisci dati sensibili, è essenziale una protezione avanzata per evitare rischi legali e finanziari.
Per evitare sanzioni e cyberattacchi, investi in una soluzione professionale adatta alla tua attività.
- Devo utilizzare una password anche se ho un solo computer che uso personalmente?
Perché Devi Usare una Password sul Tuo Computer (Anche se è Solo Tuo)
🔒 Protezione da accessi fisici non autorizzati
Se il tuo PC viene rubato o smarrito, senza password chiunque può accedere a:
Email, account social, home banking (rischio furto d’identità)
File personali, foto, documenti sensibili
Dati professionali (se lavori in smart working)
🌐 Difesa da attacchi informatici remoti
Senza password, un hacker potrebbe:
Infectare il PC con malware (es. ransomware)
Rubare dati tramite connessioni non protette (reti pubbliche, Wi-Fi)
Sfruttare il computer per attacchi botnet
📌 Obblighi legali (se usi dati personali/aziendali)
Il GDPR richiede misure minime di sicurezza (Art. 32), anche per dispositivi personali usati per lavoro.
Se il PC contiene dati di clienti o collaboratori, una password è un requisito base.
Come Rendere la Password Efficace
✅ Usa un codice complesso (minimo 12 caratteri, con numeri/simboli)
✅ Attiva l’autenticazione a due fattori (2FA) se supportato
✅ Crittografa il disco (BitLocker su Windows, FileVault su Mac)
✅ Aggiorna sempre il sistema operativo⚠️ Attenzione alle scorciatoie pericolose
No password = rischio concreto (basta un accesso fisico o un malware per violare tutto).
Anche se sei l’unico utente, un PC senza password è come una casa con la porta sempre aperta.
Casi Pratici in Cui la Password è Essenziale
Lavoro da remoto → Protezione da fughe di dati
Uso di servizi cloud → Evita accessi indesiderati a Google Drive/Dropbox
Transazioni online → Blocca ladri di credenziali bancarie
Conclusione
Sì, devi assolutamente usare una password, anche su un computer personale.
Minimo sforzo, massima sicurezza → Basta pochi secondi per evitare danni gravi.
Non esistono dispositivi "troppo piccoli" per essere protetti (PC, smartphone, tablet).
Metti subito una password se non l’hai già fatto! 🔐
- Se stacco il mio computer da internet, rischio di prendere lo stesso dei virus se si trova in rete LAN con altri computer?
Anche senza Internet, un PC in LAN può prendere virus?
Sì, assolutamente. Anche se stacchi il computer da Internet, resta vulnerabile se connesso a una rete locale (LAN) aziendale o domestica.
🔴 Come può infettarsi un PC offline ma in LAN?
Infezione da altri dispositivi della rete
Se un altro computer in LAN è infetto (es. da malware, ransomware, worm), può diffondere il virus tramite:
Cartelle condivise (accesso non protetto)
Attacchi lateralizzati (es. exploit di protocolli di rete come SMB)
Dispositivi infetti collegati in rete
NAS, server, stampanti di rete compromessi possono infettare i PC collegati.
Chiavette USB o dispositivi esterni
Un collega inserisce una penna USB infetta → il malware si propaga in tutta la LAN.
Dischi esterni, smartphone, periferiche con driver corrotti.
Email o file scaricati prima dello "sconnessione"
Un malware dormiente può attivarsi dopo giorni e infettare la rete locale.
🛡️ Come proteggersi?
1. Isolamento fisico (Air Gap) se necessario
Nessuna connessione LAN/Wi-Fi → L’unico modo per essere sicuri al 100%.
Blocca le porte USB con policy aziendali.
2. Protezione della rete LAN
Firewall interno (segmentazione della rete)
Disabilitare condivisioni non necessarie (SMB, FTP)
Aggiornare tutti i dispositivi di rete (router, switch)
3. Antivirus e controlli avanzati
Endpoint Protection (non solo antivirus base)
Scansioni periodiche anche su PC offline
Controllo dispositivi USB (soluzioni come USB Write Blocker)
4. Formazione del personale
No chiavette USB sconosciute
Verifica dei file prima del trasferimento
📌 Conclusione
Un PC senza Internet ma in LAN può infettarsi tramite altri dispositivi o supporti esterni.
Le aziende devono adottare policy di sicurezza anche per reti locali.
Se il computer deve essere completamente sicuro, l’unica soluzione è l’air gapping (nessuna connessione, né Internet né LAN).
- Il mio datore di lavoro può controllare le mie mail ed la navigazione web?
anche dopo il Jobs Act, i controlli datoriali devono comunque essere improntati a gradualità nell’ampiezza e nella tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie.
Ad esempio, se il datore di lavoro riscontra la presenza di virus sui pc aziendali, può dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati.
Del resto, come il Garante ha affermato in più occasioni, il datore di lavoro è tenuto all’individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell’adozione di filtri per il blocco dell’accesso a determinati siti o del download di alcuni file.
Non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l’analisi occulta di computer portatili affidati in uso.
- Cosa significa dato sensibile secondo il Regolamento UE 679?
Dati Sensibili (o "Dati Particolari") nel GDPR (Regolamento UE 679/2016)
Il GDPR (Art. 9) definisce i dati sensibili (tecnicamente chiamati "dati particolari") come categorie speciali di dati personali che, per la loro natura intima o potenzialmente discriminatoria, richiedono tutele rafforzate.
📋 Cosa Rientra nei Dati Sensibili?
Secondo l’Art. 9 GDPR, sono dati sensibili quelli che rivelano:
Origine razziale o etnica
Opinioni politiche
Convinzioni religiose o filosofiche
Appartenenza sindacale
Dati genetici
Dati biometrici (se usati per identificazione univoca, es. impronte digitali)
Dati relativi alla salute (storico medico, diagnosi, terapie)
Dati sulla vita sessuale o l’orientamento sessuale
(Attenzione: in Italia, il Codice Privacy include anche lo stato giudiziario tra i dati sensibili.)
🔒 Perché Sono Protetti in Modo Speciale?
Rischio di discriminazione: Se esposti, questi dati possono ledere diritti fondamentali (es. rifiutare un lavoro per motivi religiosi).
Impatto sulla dignità: Violazioni di salute o vita privata possono causare danni morali gravi.
Obblighi legali rafforzati: Il GDPR vieta il loro trattamento salvo eccezioni (es. consenso esplicito, motivi di salute pubblica).
🛡️ Come Possono Essere Trattati?
Il trattamento è vietato in linea generale, ma il GDPR prevede eccezioni (Art. 9.2), tra cui:
Consenso esplicito (non generico, ma specifico e documentato).
Obblighi legali (es. invio di dati sanitari all’ASL).
Interessi vitali (es. emergenze mediche).
Utilizzo per motivi di sanità pubblica (es. pandemie).
⚠️ Cosa Succede se Violi le Regole?
Sanzioni fino a 20 milioni di € o 4% del fatturato globale (Art. 83 GDPR).
Danni reputazionali: Perdita di fiducia di clienti e partner.
📌 Esempi Pratici
✔ Dati sanitari in un ospedale → Necessario consenso o base legale.
✔ Appartenenza sindacale in un’azienda → Trattabile solo per obblighi contrattuali.
✔ Dati biometrici per l’accesso a uno smartphone → Richiede garanzie aggiuntive.Conclusione
I dati sensibili sono la categoria più protetta dal GDPR.
Non possono essere trattati senza una giustificazione valida.
Richiedono misure di sicurezza extra (es. crittografia, audit frequenti).
- Cosa significa profilazione?
Profilazione nel GDPR: Definizione e Implicazioni
La profilazione è un concetto chiave nel Regolamento UE 679/2016 (GDPR), definito all’Art. 4(4) come:
*"Qualsiasi forma di trattamento automatizzato di dati personali volto a valutare aspetti specifici di una persona fisica, in particolare per analizzare o prevedere caratteristiche come:
Prestazioni lavorative o economiche
Salute
Preferenze personali (es. gusti, abitudini di acquisto)
Affidabilità o comportamento
Spostamenti o ubicazione (geolocalizzazione)"*
🔍 Come Funziona la Profilazione?
Raccolta dati: Dati da fonti come:
Cookie di navigazione
Transazioni finanziarie
Storico acquisti online
Dati di geolocalizzazione (GPS, Wi-Fi)
Analisi algoritmica: Uso di IA, machine learning o sistemi automatizzati per creare profili.
Decisioni automatizzate: Applicazioni pratiche come:
Pubblicità mirata (es. Facebook Ads)
Scoring creditizio (es. richiesta di un prestito)
Filtraggio CV automatizzato
⚖️ Cosa Dice il GDPR?
Diritto di opposizione (Art. 21): L’interessato può rifiutare la profilazione, salvo motivi legittimi (es. contratto).
Decisioni solo automatizzate (Art. 22): Se hanno "effetti giuridici" (es. negare un mutuo), l’utente ha diritto a:
Spiegazione della logica usata
Intervento umano (riesame della decisione)
Trasparenza: Obbligo di informativa chiara (Art. 13-14).
📌 Esempi Comuni
✔ Pubblicità comportamentale (es. Amazon che suggerisce prodotti in base agli acquisti passati)
✔ Credit scoring (banche che valutano l’affidabilità creditizia)
✔ Facial recognition (sistemi di sorveglianza che analizzano volti)
✔ Big data HR (software che filtrano CV con algoritmi)🛡️ Diritti degli Utenti
Accesso (sapere quali dati sono usati per profilare).
Correzione (modificare dati inesatti).
Cancellazione (diritto all’oblio).
Portabilità (ottenere i propri dati in formato digitale).
⚠️ Rischi e Sanzioni
Discriminazione algoritmica: Se il sistema replica bias (es. escludere donne da offerte di lavoro).
Violazione della privacy: Sanzioni fino al 4% del fatturato globale (Art. 83 GDPR).
Conclusione
La profilazione è uno strumento potente ma ad alto rischio privacy.
Aziende: Devono garantire trasparenza, sicurezza e rispetto dei diritti.
Utenti: Hanno controllo sui propri dati e possono opporsi.
Se subisci decisioni ingiuste da algoritmi, esercita i tuoi diritti GDPR!
Cosa significa pseud
- Cosa significa Privacy?
Privacy: Evoluzione di un Concetto Fondamentale nell'Era Digitale
📜 Dal "Diritto di Essere Lasciati Soli" al Controllo dei Dati
Definizione storica: Tradizionalmente, privacy = protezione della sfera intima da intrusioni ("right to be let alone", Warren e Brandeis, 1890).
Rivoluzione digitale: Oggi, privacy = controllo attivo su raccolta, uso e condivisione dei propri dati personali (Art. 4 GDPR).
💻 Privacy nella Società dell'Informazione
Dati come "nuova valuta": Ogni interazione online genera dati che definiscono identità digitali, preferenze e comportamenti.
Surveillance capitalism: Modelli di business basati su profilazione massiva (es. social media, pubblicità mirata).
🔐 Diritti del GDPR: Strumenti di Controllo
Accesso e portabilità (Art. 15, 20): Sapere quali dati sono trattati e ottenerli in formato riutilizzabile.
Rettifica e cancellazione (Art. 16, 17): Correggere errori o chiedere l’oblio.
Opposizione alla profilazione (Art. 21): Rifiutare decisioni automatizzate.
⚠️ Sfide Moderne
AI e algoritmi: Rischi di discriminazione (es. prestiti negati da sistemi di scoring).
IoT e dispositivi connessi: Dati biometrici (es. smartwatch) o abitudini domestiche (es. assistenti vocali).
Social media: Sovraesposizione volontaria vs. sfruttamento commerciale.
🛡️ Strumenti di Tutela Pratica
Crittografia end-to-end (es. WhatsApp, Signal).
VPN e navigazione anonima.
Consapevolezza digitale: Leggere le policy, limitare i cookie.
🌍 Impatto Sociale
Democrazia: Sorveglianza di massa minaccia libertà di espressione (es. Cina con Social Credit System).
Discriminazione: Dati usati per escludere gruppi sociali (es. assicurazioni basate su dati genetici).
Fiducia istituzionale: Scandali come Cambridge Analytica erodono la fiducia nelle istituzioni.
🚀 Prospettive Future
Regolamenti globali: Verso standard internazionali ispirati al GDPR (es. California CCPA, Brasile LGPD).
Privacy by Design: Integrare protezione dati nella progettazione di tecnologie (Art. 25 GDPR).
Conclusione
La privacy oggi è autodeterminazione digitale: non più solo "segretezza", ma governo consapevole della propria identità informativa.
Per i cittadini: Esercitare i diritti GDPR.
Per le aziende: Trasformare la compliance in vantaggio competitivo.
Per la società: Equilibrare innovazione e tutela dei diritti umani.
Senza controllo sui dati, non c’è libertà. La privacy è la nuova frontiera dei diritti umani. 🔒🌐
New chat - Che caratteristiche deve avere il trattamento?
📌 Principi Generali del Trattamento (Art. 5 GDPR)
Liceità, correttezza e trasparenza
Il trattamento deve rispettare la legge, essere equo e comprensibile per l’interessato.
Limitazione delle finalità
I dati devono essere raccolti per scopi determinati, espliciti e legittimi (es. non è lecito riutilizzarli per fini incompatibili con quelli iniziali).
Minimizzazione dei dati
Dati adeguati, pertinenti e limitati al necessario per le finalità dichiarate (no raccolta indiscriminata).
Esattezza
Dati accurati e aggiornati; errori vanno corretti o cancellati tempestivamente.
Limitazione della conservazione
Conservazione limitata al tempo strettamente necessario (es. dati cartacei distrutti dopo X anni).
Integrità e riservatezza
Protezione da accessi illeciti, perdite o danni (es. crittografia, controlli di accesso).
Accountability (responsabilizzazione)
Il Titolare deve dimostrare attivamente la conformità al GDPR (es. documentazione, DPIA).
✅ Condizioni di Liceità del Trattamento (Art. 6 GDPR)
Il trattamento è lecito solo se sussiste almeno una di queste condizioni:
Consenso esplicito dell’interessato (Art. 7)
Libero, specifico, informato e revocabile.
Esecuzione di un contratto
Es. trattamento dati per stipulare un’assicurazione richiesta dall’interessato.
Adempimento di un obbligo legale
Es. invio dati all’Agenzia delle Entrate per dichiarazioni fiscali.
Salvaguardia di interessi vitali
Es. condividere dati sanitari in emergenze mediche.
Interesse pubblico o esercizio di pubblici poteri
Es. trattamenti da parte di Comuni per servizi sociali.
Legittimo interesse del Titolare o di terzi
Es. prevenzione frodi, marketing diretto (solo se non prevalgono i diritti dell’interessato).
🛡️ Casi Speciali (Art. 9 GDPR)
Per i dati sensibili (salute, religione, ecc.) le condizioni sono più stringenti:
Necessario un consenso esplicito o una base giuridica specifica (es. motivi di sanità pubblica).
⚖️ Obblighi Specifici nel Lavoro e Sicurezza Sociale (Art. 88 GDPR)
I trattamenti in ambito lavorativo o previdenziale richiedono:
Garanzie aggiuntive (es. policy interne chiare).
Rispetto delle leggi nazionali (es. Statuto dei Lavoratori in Italia).
📋 Esempi Pratici
E-commerce:
Tratta dati per spedire prodotti (base: contratto).
Non può usarli per marketing senza consenso.
Ospedale:
Tratta dati sanitari per cure (base: interesse vitale).
HR Aziendale:
Conserva CV solo per il tempo necessario alle selezioni.
⚠️ Sanzioni per Violazioni
Fino a 20 milioni di € o 4% del fatturato globale per violazioni dei principi base (Art. 83 GDPR).
Conclusione
Il GDPR richiede un approccio etico, proporzionato e documentato al trattamento dati.
Per le aziende: Integrare la privacy nella governance.
Per i cittadini: Esercitare i diritti di controllo (accesso, cancellazione, opposizione).
Ogni trattamento deve partire da una domanda: "È necessario, giusto e sicuro?" 🔒
- Quali trattamenti esegue tipicamente un’azienda o uno studio professionale?
📌 Cosa si intende per "Trattamento" (Art. 4 GDPR)
Qualsiasi operazione o insieme di operazioni su dati personali, automatizzate o manuali, tra cui:
Raccolta (es. modulo di registrazione online)
Registrazione (creazione di archivi/database)
Consultazione (accesso ai dati)
Modifica (aggiornamento di informazioni)
Comunicazione (condivisione con terzi)
Cancellazione (eliminazione da un sistema)
Trasmissione (invio via email, cloud, ecc.)
🗃️ Banche Dati e Attività Comuni Soggette a GDPR
1. Anagrafiche Clienti/Fornitori
Esempi:
Nome, indirizzo, P.IVA, email, storico acquisti
Dati di pagamento (es. IBAN, carta di credito)
Finalità: Fatturazione, assistenza, marketing (se autorizzato)
GDPR:
Base giuridica: Contratto (Art. 6.1.b) o consenso per marketing (Art. 6.1.a)
Sicurezza: Crittografia, accessi limitati (Art. 32)
2. Gestione Dipendenti/Collaboratori
Esempi:
Curriculum, stipendio, dati sindacali, assenze
Dati sanitari (es. certificati medici)
GDPR:
Base giuridica: Obblighi di legge (Art. 6.1.c) o interesse legittimo (Art. 6.1.f)
Note: Rispetto dello Statuto dei Lavoratori e codici deontologici nazionali (Art. 88)
3. Videosorveglianza
Esempi:
Telecamere interne/esterne
Registrazioni conservate su server
GDPR:
Informativa obbligatoria (cartelli visibili, Art. 13)
Conservazione massima: 24-72 ore (salvo indagini)
4. Marketing e Campagne Commerciali
Esempi:
Newsletter via email
Profilazione per pubblicità mirata (es. cookie)
GDPR:
Consenso esplicito (Art. 6.1.a e 7)
Diritto di opposizione (Art. 21)
5. Siti Web/App
Esempi:
Cookie analytics (es. Google Analytics)
Form di contatto
Login utenti
GDPR:
Cookie Banner con scelta attiva (Direttiva ePrivacy)
SSL per dati trasmessi
6. Cloud e Servizi Esterni
Esempi:
Archiviazione su Google Drive, Dropbox
CRM in cloud (es. HubSpot)
GDPR:
Nomina Responsabile Esterno (Art. 28)
Clausole contrattuali (SCC) per trasferimenti extra-UE
7. Gestione Contabilità
Esempi:
Software contabili (es. Zucchetti, SAP)
Scansione di fatture cartacee
GDPR:
Conservazione 10 anni (obblighi fiscali, Art. 6.1.c)
📋 Documentazione Obbligatoria (Art. 30 GDPR)
Il Registro dei Trattamenti deve includere per ogni attività:
Finalità del trattamento
Categorie di dati e interessati
Destinatari (es. fornitori IT)
Termini di conservazione
Misure di sicurezza (es. pseudonimizzazione)
Esempio di Registro:
Attività Dati Trattati Base Giuridica Conservazione Misure Sicurezza Fatturazione Nome, P.IVA, importo Art. 6.1.b 10 anni Crittografia ⚠️ Rischi e Sanzioni
Violazioni comuni:
Database non aggiornati
Mancata informativa privacy
Conservazione eccessiva dei dati
Sanzioni: Fino a 20 milioni di € o 4% del fatturato (Art. 83 GDPR).
Conclusione
Anche attività apparentemente banali (es. inviare una mail a un cliente) sono "trattamenti" soggetti a GDPR.
Per essere compliant:
Mappare tutti i trattamenti nel Registro (ROPA)
Applicare misure tecniche (es. backup cifrati)
Formare il personale
Ogni clic, ogni file, ogni modulo: la privacy va protetta in ogni fase! 🔒
- Chi è il Contitolare del Trattamento?
📌 Chi è il Contitolare del Trattamento?
Definizione (Art. 26.1 GDPR):
Soggetto (persona fisica/giuridica) che, insieme al Titolare, determina congiuntamente le finalità e i mezzi del trattamento dei dati.Esempio classico:
▪ Un’azienda e un partner tecnologico che gestiscono insieme un servizio condiviso.
▪ Due società collegate che condividono un database clienti per campagne di marketing.
✅ Requisiti dell’Accordo tra Contitolari (Art. 26.2 GDPR)
L’accordo interno deve specificare:
Ripartizione degli obblighi GDPR
Chi gestisce:
▪ Informativa agli interessati (Art. 13-14)
▪ Esercizio dei diritti (accesso, cancellazione, Art. 15-22)
▪ Sicurezza dei dati (Art. 32)
Punto di contatto unico per gli interessati
Gli interessati possono rivolgersi a uno dei Contitolari per esercitare i propri diritti.
Responsabilità verso le autorità
Entrambi sono responsabili verso il Garante Privacy, ma l’accordo può definire ripartizioni interne.
⚠️ Obblighi verso gli Interessati
Trasparenza:
L’informativa privacy deve indicare:
▪ L’esistenza di Contitolari
▪ L’essenza dell’accordo (es. "i dati sono gestiti congiuntamente da X e Y per...")Il testo completo dell’accordo non è pubblico, ma gli interessati hanno diritto a conoscerne i contenuti chiave.
🔍 Esempi Pratici di Contitolarità
E-commerce e logistica:
Un negozio online e un corriere condividono dati per gestire consegne e resi.
App con servizi integrati:
Un’app di fitness e un ospedale collaborano su dati sanitari per ricerca.
Reti di professionisti:
Studi legali associati che condividono un CRM centralizzato.
⚖️ Responsabilità Legale
Responsabilità solidale (Art. 26.3 GDPR):
Gli interessati possono agire legalmente contro entrambi i Contitolari per danni, a meno che uno dimostri di non essere responsabile.Accordo interno:
Pur non sostituendo la responsabilità verso terzi, serve a definire:
▪ Chi paga eventuali sanzioni
▪ Chi gestisce le richieste degli interessati
📋 Cosa Deve Contenere l’Accordo?
Un accordo tipo include:
Finalità congiunte del trattamento
Ruoli operativi (es. chi conserva i dati, chi li modifica)
Meccanismi di coordinamento per:
▪ Risposta a data breach
▪ Verifiche di complianceClausole di riservatezza
Durata e modalità di recesso
🚨 Errori Comuni da Evitare
Confondere Contitolari e Responsabili del trattamento:
I Contitolari decidono insieme finalità e mezzi, i Responsabili agiscono per conto del Titolare.Accordi vaghi:
L’assenza di un accordo scritto espone a sanzioni (fino a 10 milioni di € o 2% del fatturato, Art. 83).Omessa informativa:
Non menzionare i Contitolari nell’informativa privacy è una violazione del GDPR.
Conclusione
La contitolarità è utile per partnership strategiche, ma richiede:
Accordo dettagliato che rispetti l’Art. 26
Comunicazione trasparente agli interessati
Monitoraggio continuo delle responsabilità
Esempio di clausola nell’informativa:
"I Suoi dati sono trattati congiuntamente da [Azienda X] e [Azienda Y] per [finalità]. Per maggiori dettagli, contattare il nostro DPO ".
- Che diritti hanno gli interessati?
Ecco una panoramica strutturata dei diritti degli interessati previsti dal GDPR (Regolamento UE 679/2016), con riferimenti agli articoli, esempi pratici e implicazioni operative:
🔍 Diritti di Natura Conoscitiva (Informazione e Trasparenza)
1. Diritto all’informativa (Artt. 13-14 GDPR)
Cosa include:
Finalità del trattamento
Categorie di dati trattati
Destinatari dei dati
Conservazione
Diritti esercitabili
Esempio:
Un modulo di iscrizione a un sito deve spiegare chiaramente come verranno usati i dati.
2. Diritto di accesso (Art. 15 GDPR)
Cosa ottiene l’interessato:
Copia dei dati personali in formato leggibile
Informazioni su finalità, destinatari, conservazione
Esempio:
Richiedere alla banca una copia di tutti i dati conservati (es. transazioni, indirizzi).
3. Diritto alla comunicazione di violazioni (Art. 34 GDPR)
Quando: La violazione comporta un rischio elevato per i diritti delle persone.
Esempio:
Un data breach che espone password o dati sanitari → l’azienda deve notificare gli utenti.
🛡️ Diritti di Controllo (Gestione Attiva dei Dati)
4. Diritto al consenso (Art. 7 GDPR)
Requisiti:
Libero, specifico, informato e revocabile
Obbligo di prova del consenso per il Titolare
Esempio:
Un’app di fitness non può attivare la geolocalizzazione senza un’opzione esplicita.
5. Diritto di limitazione del trattamento (Art. 18 GDPR)
Quando:
Dati contestati (es. l’interessato nega la correttezza)
Trattamento illecito ma l’interessato chiede la conservazione
Esempio:
Bloccare temporaneamente un pagamento online finché non si verifica un reclamo.
6. Diritto di revoca del consenso (Art. 7.3 GDPR)
Effetti:
La revoca non rende illeciti i trattamenti precedenti
Obbligo di cessare il trattamento futuro
Esempio:
Disiscriversi da una newsletter cliccando su "Annulla l’iscrizione".
7. Diritto di opposizione al trattamento (Art. 21 GDPR)
Quando:
Trattamento basato su interesse legittimo (es. marketing diretto)
Diritto di opposizione assoluto per il marketing diretto
Esempio:
Opporsi alla profilazione pubblicitaria su un social network.
8. Diritto alla portabilità dei dati (Art. 20 GDPR)
Cosa ottiene l’interessato:
Dati in formato strutturato, leggibile e interoperabile
Trasferimento diretto tra fornitori (es. da un operatore telefonico a un altro)
Esempio:
Esportare la cronologia Spotify per migrare a un altro servizio musicale.
9. Diritto di rettifica e integrazione (Art. 16 GDPR)
Cosa: Correggere dati inesatti o completare informazioni incomplete.
Esempio:
Modificare l’indirizzo residenziale su un conto bancario.
10. Diritto alla cancellazione (oblio) (Art. 17 GDPR)
Quando:
Dati non più necessari
Consenso revocato
Trattamento illecito
Eccezioni: Obblighi legali (es. conservazione fiscale per 10 anni).
Esempio:
Cancellare un account social e tutti i dati associati.
11. Diritto a non essere sottoposto a decisioni automatizzate (Art. 22 GDPR)
Cosa: Opporsi a decisioni basate solo su algoritmi (es. scoring creditizio).
Esempio:
Richiedere un riesame umano se un sistema AI rifiuta un mutuo.
⚖️ Come Esercitare i Diritti
Modalità:
Richiesta scritta (email, modulo online) al Titolare o DPO
Risposta entro 1 mese (prorogabile a 2 per complessità)
Gratuità:
Le richieste sono gratuite, salvo richieste manifestamente infondate o eccessive.
⚠️ Sanzioni per Violazione dei Diritti
Fino a 20 milioni di € o 4% del fatturato globale (Art. 83 GDPR) per:
Mancata risposta alle richieste
Ostacoli all’esercizio dei diritti
Trattamento illecito dopo revoca del consenso
Conclusione
Il GDPR trasforma gli interessati da soggetti passivi a protagonisti del proprio dato:
Per i cittadini: Strumenti per controllare la propria identità digitale.
Per le aziende: Obbligo di creare processi snelli per gestire le richieste.
Esempio di richiesta:
"Ai sensi dell’Art. 15 GDPR, richiedo accesso a tutti i dati personali che mi riguardano, inclusi finalità e destinatari."
- Cos'è la portabilità del dato?
📌 Cos’è la Portabilità dei Dati?
Il diritto alla portabilità consente all’interessato di:
Ricevere i propri dati in un formato strutturato, di uso comune e leggibile automaticamente (es. CSV, JSON, XML).
Trasferirli a un altro titolare del trattamento (es. cambiare fornitore di servizi).
Richiedere il trasferimento diretto tra titolari, se tecnicamente possibile.
Obiettivo: Rafforzare il controllo degli utenti sui propri dati, promuovere la concorrenza e l’interoperabilità tra servizi digitali.
✅ Quando si Applica?
Base giuridica:
Consenso esplicito (Art. 6.1.a GDPR)
Esecuzione di un contratto (Art. 6.1.b GDPR)
Solo per dati trattati con mezzi automatizzati (non si applica a archivi cartacei).
🚫 Limiti e Eccezioni
Esclusioni:
Dati trattati per obblighi di legge (es. autorità pubbliche per compiti istituzionali).
Dati che coinvolgono diritti di terzi (es. dati condivisi in un gruppo WhatsApp).
Limiti tecnici:
Il titolare non è obbligato a mantenere sistemi compatibili con altri provider.
Il trasferimento diretto è richiesto solo se tecnicamente fattibile.
Interessi superiori:
Restrizioni legittime da parte di Stati membri o UE per proteggere:
▪ Sicurezza nazionale
▪ Ordine pubblico
▪ Diritti e libertà altrui (Art. 23 GDPR).
📋 Cosa Include la Portabilità?
Dati forniti volontariamente dall’interessato (es. profilo social, storico acquisti).
Dati osservati (es. dati di utilizzo di un’app fitness).
Dati derivati (es. preferenze calcolate da algoritmi).
Esclusi:
Dati anonimi o aggregati.
Dati creati dal titolare (es. valutazioni interne su un cliente).
📝 Obblighi del Titolare
Informativa privacy (Art. 13-14 GDPR):
Deve specificare l’esistenza del diritto alla portabilità.
Tempi di risposta:
1 mese (prorogabile a 2 per complessità) dalla richiesta.
Gratuità:
Nessun costo, salvo richieste ripetute o abusive.
🛠️ Esempi Pratici
Social Media:
Esportare foto, contatti e post da Facebook per migrare a un altro servizio.
Servizi Finanziari:
Trasferire storico transazioni bancarie a una nuova banca.
Cloud Storage:
Spostare file da Google Drive a Dropbox con un clic.
⚖️ Differenze con il Diritto di Accesso
Portabilità (Art. 20) Accesso (Art. 15) Formato strutturato e riutilizzabile Copia in qualsiasi formato Trasferimento diretto a terzi Solo ricezione dati Solo dati forniti/derivati Tutti i dati, inclusi quelli creati dal titolare ⚠️ Sanzioni
Fino a 20 milioni di € o 4% del fatturato globale per:
Rifiuto ingiustificato di portabilità
Formati non interoperabili (es. PDF non modificabile)
Conclusione
La portabilità è uno strumento chiave per:
Libertà digitale: Evitare lock-in con fornitori.
Innovazione: Favorire nuovi servizi basati su dati esistenti.
Trasparenza: Consentire agli utenti di "riprendersi" i propri dati.
Esempio di richiesta:
"Ai sensi dell’Art. 20 GDPR, richiedo la portabilità dei miei dati personali in formato CSV, inclusi storico acquisti e preferenze, per trasferirli a [nuovo servizio]."
- Come va gestita l'informativa privacy per i cookie?
Gestione dell’Informativa Cookie: Linee Guida GDPR-Compliant
Per garantire la conformità al GDPR e alla direttiva ePrivacy ("Cookie Law"), l’informativa sui cookie deve essere strutturata in modo trasparente e mirato. Ecco come organizzarla correttamente:
1. Cookie Policy Dedicata e Dettagliata
Separare l’informativa cookie dalla privacy policy generale: crea una sezione specifica (es. “Cookie Policy” o “Gestione dei Cookie”) accessibile da ogni pagina del sito.
Classifica i cookie per tipologia:
Cookie tecnici/necessari (essenziali per il funzionamento del sito, non richiedono consenso).
Cookie analitici (monitoraggio traffico, attivabili solo con consenso esplicito).
Cookie di marketing/profilazione (tracciamento per pubblicità personalizzata, richiedono consenso esplicito).
Specifica per ogni categoria: finalità, durata, terze parti coinvolte (es. Google Analytics, Facebook Pixel).
2. Meccanismo di Consenso Attivo
Implementa un banner cookie GDPR-compliant in homepage che:
Informi in modo chiaro sull’uso dei cookie.
Offra opzioni granulari (“Accetta tutto”, “Rifiuta tutto”, “Personalizza preferenze”).
Blocchi i cookie non necessari prima del consenso utente (no pre-ticking!).
Consenti modifica facile delle preferenze: inserisci un link alla cookie policy in footer (es. “Gestisci i cookie”) per revocare/aggiornare le scelte.
3. Aggiornamenti e Accessibilità
Mantieni l’informativa sempre aggiornata: documenta eventuali nuovi cookie o cambiamenti nelle finalità.
Usa linguaggio semplice e diretto: evila termini giuridici complessi per garantire comprensibilità.
Perché queste modifiche?
Conformità legale: Rispetti l’obbligo di consenso preventivo (Art. 7 GDPR) e trasparenza (Art. 13-14 GDPR).
Esperienza utente ottimizzata: L’utente controlla attivamente la propria privacy, riducendo il rischio di sanzioni.
Flessibilità: Strumenti di gestione cookie (es. plugin dedicati) automatizzano il processo, semplificando l’aderenza alle norme.
Strumenti consigliati: Cookiebot, OneTrust, o soluzioni integrate in CMS come WordPress (GDPR Cookie Consent).
👉 Esempio di struttura banner:
“Questo sito utilizza cookie tecnici, analitici e di marketing. Cliccando ‘Accetta tutto’, acconsenti all’uso. Puoi personalizzare le preferenze o leggere la nostra Cookie Policy per maggiori dettagli.”
Una corretta gestione dei cookie non solo evita sanzioni (fino al 4% del fatturato), ma rafforza la fiducia degli utenti nella tua brand reputation.
- Quando è prevista la notifica al Garante Privacy di uso di cookie?
Notifica al Garante Privacy per l’uso di cookie: Quando è obbligatoria?
La notifica al Garante Privacy (ora GPDP) è richiesta solo in specifici casi definiti dal Codice Privacy (Art. 37) e dalle linee guida del Garante. Ecco quando è prevista l’obbligatorietà:1. Cookie di profilazione (prima o terza parte)
Se utilizzi cookie di profilazione (anche di prima parte) per tracciare utenti e creare profili comportamentali a fini pubblicitari o marketing, devi notificare il trattamento al Garante, indipendentemente dal fatto che i dati siano anonimi o meno.
Esempio: Cookie che registrano abitudini di navigazione per personalizzare annunci.
2. Cookie analitici di terze parti non anonimizzati
La notifica è obbligatoria se:
Utilizzi cookie analitici di terze parti (es. Google Analytics, Facebook Pixel) senza attivare strumenti di anonimizzazione (es. mascheramento dell’IP, riduzione del potere identificativo).
La terza parte combina i dati raccolti con altre informazioni in suo possesso (es. account utente, cronologia cross-siti).
Attenzione: Se i cookie analitici sono configurati in modalità strettamente aggregata e anonima (senza incroci con altri dati), la notifica non è necessaria.
Casi in cui la notifica NON è richiesta
Cookie tecnici (es. login, carrello, preferenze lingua).
Cookie analitici di prima parte anonimizzati (dati usati solo dal titolare del sito in forma non identificabile).
Cookie di terze parti per i quali è stato disattivo l’incrocio dati (es. Google Analytics in modalità “consent mode” con IP anonimo).
Come effettuare la notifica
Registrati sull’area riservata del sito del GPDP.
Compila il modulo “Trattamenti non soggetti a DPIA” (se applicabile), specificando:
Tipologia di cookie utilizzati.
Finalità del trattamento.
Strumenti di anonimizzazione adottati (se presenti).
Conserva la ricevuta come prova della notifica.
Riferimenti normativi
Art. 37 Codice Privacy (obbligo di notifica per trattamenti "idonei a creare un rischio specifico").
Provvedimento Garante del 8 maggio 2014 (Linee guita cookie).
Regolamento ePrivacy (in attesa di approvazione definitiva).
Perché è fondamentale?
Sanzioni: Omessa notifica può comportare multe fino a €120.000 (Art. 163 Codice Privacy).
Responsabilità: Anche i fornitori terzi (es. piattaforme advertising) devono garantire la conformità.
👉 Consiglio pratico: Prima di implementare cookie di profilazione o analitici avanzati, consulta un DPO o un legale esperto in privacy digitale per valutare la necessità di notifica o DPIA (Valutazione d’Impatto).
- E’ possibile accedere ai files di un dipendente su un computer aziendale?
Condizioni per l’accesso legittimo
Finalità legittima e proporzionata:
L’accesso deve perseguire obiettivi specifici e giustificati, come:
Prevenire illeciti (es. furto di dati, violazione della proprietà intellettuale).
Tutelare la sicurezza aziendale (es. malware, fughe di informazioni).
Verificare l’adempimento degli obblighi lavorativi (es. uso improprio del dispositivo per attività personali durante l’orario di lavoro).
Preavviso e trasparenza:
Il datore di lavoro deve informare preventivamente i dipendenti, tramite:
Privacy policy aziendale (Art. 13 GDPR), che specifichi le modalità di monitoraggio.
Disciplinare interno o contratto collettivo, che definisca le regole d’uso dei dispositivi.
Proporzionalità e minimizzazione:
L’accesso deve limitarsi ai file strettamente correlati alla finalità dichiarata (es. indagini su un sospetto illecito).
È vietata la sorveglianza massiva o indiscriminata (es. controllo continuo della posta elettronica senza sospetti specifici).
Assenza di alternative meno invasive:
Il datore deve dimostrare che non esistono mezzi meno intrusivi per raggiungere lo scopo (es. sistemi di allerta automatici invece dell’accesso diretto ai file).
Casi pratici di legittimità
Indagine su violazione di policy aziendali: Accesso a file o email per verificare la condivisione non autorizzata di dati sensibili.
Protezione da minacce informatiche: Analisi di cartelle per identificare malware o attività sospette.
Controllo dell’attività lavorativa: Verifica di documenti relativi a progetti aziendali, purché prevista dalle policy.
Limiti e divieti
File personali del dipendente:
Se il dipendente ha creato cartelle o file chiaramente contrassegnati come "personali" (es. "Documenti/Personali"), l’accesso è consentito solo in casi eccezionali (es. sospetto di reati gravi).
Dati sensibili:
L’accesso a dati sanitari, religiosi, o sindacali richiede una base giuridica ulteriore (es. consenso esplicito o necessità di tutela della vita del dipendente).
Sanzioni per violazioni
GDPR: Multe fino a €20 milioni o il 4% del fatturato globale (Art. 83 GDPR) per accessi illegittimi o mancata informativa.
Statuto dei Lavoratori: Sanzioni penali (Art. 38) per controlli non giustificati o discriminatori.
Risarcimento danni: Il dipendente può richiedere un risarcimento per violazione della privacy.
Linee guida operative per i datori di lavoro
Redigere una policy chiara:
Specificare quali dati sono monitorati, con quali strumenti e per quali finalità.
Formare i dipendenti:
Illustrare le regole d’uso dei dispositivi aziendali durante l’onboarding.
Coinvolgere il sindacato o RSU:
Per controlli sistematici, è necessaria un’intesa con le rappresentanze dei lavoratori (Art. 4 Statuto).
Utilizzare strumenti certificati:
Software di monitoraggio che rispettino il principio di minimizzazione (es. log di accesso senza archiviazione del contenuto).
Esempio di legittimo accesso:
Un’azienda sospetta che un dipendente stia condividendo segreti industriali con un concorrente. Dopo aver informato il lavoratore delle policy, accede alla cartella di lavoro specifica e alle email aziendali, riscontrando prove concrete dell’illecito.
Esempio di accesso illegittimo:
Un datore di lavoro legge sistematicamente le email personali di un dipendente (es. account Gmail privato) senza alcun sospetto giustificato, violando la riservatezza delle comunicazioni.
👉 Consiglio finale: Prima di accedere ai file, consultare un esperto in diritto del lavoro o un DPO per valutare la conformità al GDPR e alle norme nazionali (es. Provvedimento Garante Privacy del 1/12/2022 sulle attività di controllo).
- Cos’è l’informativa sul trattamento dei dati personali del paziente?
Informativa sul Trattamento dei Dati Personali del Paziente: Guida Chiara e Conforme al GDPR
L’informativa sul trattamento dei dati personali del paziente è un documento obbligatorio (ex Art. 13-14 GDPR e Art. 12 Codice Privacy) che il medico, o la struttura sanitaria, deve fornire al paziente per garantire trasparenza, correttezza e consenso informato sul uso dei suoi dati. Ecco cosa include e perché è fondamentale:Cosa deve contenere l’informativa
Finalità del trattamento:
Perché i dati sono raccolti (es. diagnosi, terapia, prevenzione, ricerca scientifica).
Base giuridica del trattamento (es. esecuzione di un contratto, obblighi di legge, consenso esplicito per dati sensibili).
Tipologie di dati raccolti:
Dati sanitari (storia clinica, esami, terapie).
Dati anagrafici, contatti, eventuali dati genetici o biometrici.
Soggetti che accedono ai dati:
Titolare del trattamento: Il medico o la struttura sanitaria.
Responsabili esterni: Laboratori analisi, specialisti coinvolti, assicurazioni (solo se necessario).
Autorità pubbliche: Segnalazioni obbligatorie (es. malattie infettive).
Diritti del paziente:
Accesso, rettifica, cancellazione (diritto all’oblio), portabilità dei dati.
Opposizione al trattamento (es. per finalità di marketing).
Revoca del consenso, se previsto come base giuridica.
Conservazione dei dati:
Periodo di retention (es. 10 anni per obblighi legali, a meno che non sussistano esigenze cliniche).
Sicurezza e trasferimenti:
Misure di protezione adottate (es. cartelle cliniche cifrate).
Eventuali trasferimenti extra-UE (solo a Paesi con adeguato livello di protezione o garanzie specifiche).
Perché è obbligatoria?
GDPR e Codice Privacy: Il paziente deve essere informato in modo chiaro e accessibile prima della raccolta dei dati (Art. 13 GDPR).
Consenso informato: Senza un’informativa adeguata, il consenso del paziente non è valido, specie per dati sensibili (Art. 9 GDPR).
Protezione della relazione di fiducia: Evita contenziosi legali e rafforza la trasparenza medico-paziente.
Come va consegnata?
Forma scritta: Cartacea o digitale (es. email, portale dedicato).
Linguaggio semplice: Comprensibile anche a non esperti, evitando tecnicismi.
Tempistica: Prima del primo trattamento (es. durante la prima visita).
Esempio pratico di informativa
"Il Dr. Rossi, titolare del trattamento, raccoglie i Suoi dati sanitari per garantire una diagnosi accurata e un piano terapeutico personalizzato. I dati potranno essere condivisi con il laboratorio analisi XY e il cardiologo referente. Potrà accedere ai Suoi dati o chiederne la correzione contattando lo studio via email. I dati saranno conservati per 15 anni, come previsto dalla legge, e protetti con sistemi crittografici."
Cosa succede se manca l’informativa?
Sanzioni GDPR: Multe fino a €20 milioni o il 4% del fatturato globale.
Risarcimento danni: Il paziente può richiedere un indennizzo per violazione della privacy.
Invalidità del consenso: Trattamenti successivi (es. terapie) potrebbero essere considerati illeciti.
👉 Consiglio operativo: Usa template pre approvati da un legale specializzato in privacy sanitaria e aggiornali regolarmente (es. cambiamenti nelle normative o nelle tecnologie usate).
Fonti normative:
Art. 13-14 GDPR (obbligo di informativa).
Linee guida del Garante Privacy sul trattamento dei dati sanitari (2023).
Codice di Deontologia Medica (Art. 14: segreto professionale e tutela dati).
- Una volta che il paziente è stato informato, cosa deve fare il medico?
Consenso al Trattamento dei Dati del Paziente: Obblighi del Medico dopo l’Informativa
Una volta fornita l’informativa, il medico deve ottenere il consenso esplicito del paziente al trattamento dei dati personali, specialmente se sensibili (come quelli sanitari). Ecco le regole da seguire per una procedura a norma GDPR e Codice Privacy:Step 1: Raccolta del Consenso
Forma consentita:
Orale: Valido legalmente (Art. 7 GDPR), ma sconsigliato per mancanza di prova documentale.
Scritto: Opzione preferibile (firma su modulo cartaceo o digitale) per dimostrare l’avvenuta acquisizione.
Contenuto minimo:
Riferimento all’informativa ricevuta.
Specifica delle finalità (es. diagnosi, terapie, condivisione con altri specialisti).
Menzione del diritto di revocare il consenso in qualsiasi momento.
Step 2: Documentazione del Consenso
Modulo dedicato:
Deve includere:
Nome e dati del medico/titolare.
Dichiarazione chiara: "Dichiaro di aver ricevuto l’informativa e di acconsentire al trattamento dei miei dati per le finalità indicate".
Spazio per firma e data.
Esempio pratico:
*"☑ Acconsento al trattamento dei miei dati sanitari per finalità diagnostiche e terapeutiche, come descritto nell’informativa del 01/01/2024.
Firma ________________________ , Data ________"*
Consenso digitale:
Valido se ottenuto tramite sistemi certificati (es. firma elettronica, click su piattaforma protetta con tracciabilità).
Eccezioni: Casi in cui il Consenso NON è Richiesto
Obblighi di legge:
Trattamento necessario per adempiere obblighi sanitari pubblici (es. segnalazione di malattie infettive).
Emergenze vitali:
Impossibilità fisica o mentale del paziente di esprimere consenso, purché il trattamento sia indispensabile per salvaguardarne la vita.
Terapie obbligatorie:
Es. cure imposte da autorità giudiziaria (Art. 9.2 GDPR).
Perché preferire il consenso scritto?
Prova legale: In caso di contestazioni (es. violazione della privacy), il modulo scritto è un elemento decisivo per difendersi.
Chiarezza: Riduce il rischio di equivoci sul cosa il paziente abbia autorizzato.
Conformità alle Linee Guida Garante Privacy: Il Provvedimento del 2021 raccomanda la forma scritta per dati sanitari, data la loro sensibilità.
Cosa succede se il consenso è mancante o invalido?
Illegittimità del trattamento: Anche se il medico agisce in buona fede, l’uso dei dati diventa illecito (Art. 6 GDPR).
Sanzioni:
Multe fino a €20 milioni o 4% del fatturato globale (GDPR).
Responsabilità disciplinare (Ordine dei Medici) per violazione del segreto professionale.
Risarcimento danni: Il paziente può chiedere un indennizzo per violazione della privacy.
Consigli Operativi per Medici e Strutture
Utilizza moduli precompilati approvati da un legale esperto in privacy sanitaria.
Archivia i consensi in modo sicuro e organizzato (es. cartella clinica digitale con accesso protetto).
Aggiorna regolarmente i documenti in caso di cambiamenti nelle finalità del trattamento.
Forma il personale: Assicurati che collaboratori e segretari conoscano le procedure corrette.
👉 Esempio di Buona Pratica:
Prima di una visita specialistica, il paziente riceve via email l’informativa e un modulo di consenso digitale. Firma elettronicamente, e il sistema registra automaticamente data/ora. Il medico conserva il documento nel database cifrato dello studio.
Riferimenti normativi:
Art. 7 e 9 GDPR (consenso per dati sensibili).
Linee Guida Garante Privacy n. 65/2022 su trattamento dati sanitari.
Codice di Deontologia Medica (Art. 14: obbligo di riservatezza).
- Chi può esprimere il consenso? Solo il paziente?
Chi può esprimere il consenso al trattamento dei dati sanitari? Linee guida GDPR e Normativa Italiana
Il consenso al trattamento dei dati sanitari è regolato dal GDPR (Art. 4, 7, 8) e dal Codice Privacy (Art. 23, 24), con specifiche disposizioni per minori e soggetti incapaci. Ecco una sintesi chiara:1. Paziente maggiorenne e capace
Unico titolare del consenso:
Solo il paziente adulto, con piena capacità di intendere e volere, può autorizzare il trattamento dei propri dati sanitari.
Esempio: Un paziente di 30 anni che firma il consenso per una terapia oncologica.
2. Minori (under 14) o incapaci
Consenso esercitato da terzi:
Minori sotto i 14 anni: Il consenso è espresso dai genitori (anche separati o non coniugati) o da chi esercita la potestà genitoriale. Non è necessaria l’unanimità: un genitore può agire disgiuntamente (Art. 316 Codice Civile).
Esempio: Un bambino di 10 anni riceve un vaccino: la madre (separata dal padre) firma il consenso.
Minori tra 14 e 18 anni: In Italia, per il trattamento dati in servizi digitali, il consenso può essere espresso direttamente dal minore dai 14 anni (Art. 2-quinquies Codice Privacy). Tuttavia, per atti medici complessi (es. interventi chirurgici), rimane necessaria l’autorizzazione genitoriale.
Adulti incapaci (interdetti/inabilitati): Il consenso è dato dal tutore o amministratore di sostegno, nominato dal tribunale (Art. 427 Codice Civile).
3. Casi particolari
Pazienti parzialmente capaci (es. disagio mentale temporaneo):
Valutare la capacità residua di comprendere il trattamento. Se insufficiente, coinvolgere il tutore/legale rappresentante.
Emergenze vitali (paziente incosciente o in pericolo di vita):
Il trattamento è lecito senza consenso se finalizzato a salvare la vita (Art. 9.2.c GDPR).
Esempio: Intervento d’urgenza su un paziente privo di sensi dopo un incidente.
4. Documentazione del consenso
Obbligo di prova:
Il medico deve conservare la prova del consenso (modulo scritto, registrazione audio/video in casi eccezionali).
Se il consenso è dato da un tutore, allegare documentazione giudiziale (es. decreto di nomina del tutore).
Consenso per atti specifici:
Ogni intervento sanitario rilevante (es. chirurgia, terapie invasive) richiede un consenso distinto e informato.
Rischi in caso di consenso non valido
Nullità del trattamento: I dati sanitari raccolti senza consenso legittimo non possono essere utilizzati, salvo casi di emergenza.
Sanzioni GDPR: Fino a €20 milioni o 4% del fatturato globale.
Responsabilità civile e penale: Risarcimento danni al paziente o ai familiari; sanzioni per violazione del segreto professionale (Art. 622 Codice Penale).
Esempi pratici
✅ Consenso valido:
Un tutore legale firma il modulo per la chemioterapia di un paziente affetto da Alzheimer, presentando il decreto di tutela.
❌ Consenso invalido:
Un medico opera un minore di 13 anni basandosi sul consenso orale della sorella maggiorenne, senza coinvolgere i genitori.
Linee guida per i medici
Verifica dell’identità:
Accertati che chi firma il consenso sia effettivamente il genitore/tutore (es. documento d’identità).
Formazione continua:
Aggiornati sulle sentenze del Garante Privacy (es. Provvedimento n. 123/2023 su minori e dati sanitari).
Template preapprovati:
Utilizza moduli di consenso differenziati per:
Maggiorenni capaci.
Minori (con sezione dedicata ai genitori).
Incapaci (con riferimento al tutore).
👉 Fonti normative:
Art. 8 GDPR (consenso per minori).
Art. 12 Codice Privacy (disposizioni specifiche per l’Italia).
Linee Guida Garante Privacy del 2021 su trattamento dati sanitari e tutela dei vulnerabili.
Una gestione corretta del consenso protegge il paziente, il medico e la struttura sanitaria da rischi legali e promuove un rapporto di fiducia basato sulla trasparenza.
- Dopo aver dato l’informativa e aver raccolto il consenso, cos’altro deve fare il medico nel suo studio?
Ecco una checklist completa degli adempimenti GDPR per un medico (o uno studio medico) dopo aver fornito l’informativa e ottenuto il consenso:
📋 Obblighi del Medico/Titolare del Trattamento
Nomina del personale come Incaricati del trattamento
Lettera di incarico formale (Art. 29 GDPR) per:
▪ Segreteria
▪ Collaboratori (es. infermieri, sostituti)
▪ Fornitori esterni (es. chi gestisce il software gestionale)Contenuto minimo:
▪ Elenco dei dati accessibili
▪ Istruzioni per il trattamento (es. "non condividere cartelle con estranei")
▪ Obbligo di riservatezza
Registro dei trattamenti (Art. 30 GDPR)
Documentare:
▪ Categorie di dati sanitari trattati
▪ Finalità (es. diagnosi, fatturazione)
▪ Destinatari (es. ASL, laboratori analisi)
▪ Misure di sicurezza (es. archiviazione protetta)
Misure di sicurezza tecniche e organizzative (Art. 32 GDPR)
Accesso fisico:
▪ Cartelle cliniche in armadi blindati
▪ PC con autenticazione forte (password + PIN)Accesso digitale:
▪ Software medicali con crittografia
▪ Backup cifratiFormazione del personale su:
▪ Privacy by default (es. non lasciare schermi sbloccati)
▪ Gestione data breach
Valutazione d’impatto (DPIA) se necessario (Art. 35 GDPR)
Obbligatoria per:
▪ Trattamenti ad alto rischio (es. database centralizzati di pazienti)
▪ Uso di sistemi cloud per dati sanitari
Gestione delle violazioni (Data breach)
Notifica al Garante Privacy entro 72 ore se la violazione comporta rischi per i diritti dei pazienti (Art. 33).
Aggiornamento dell’informativa
Se cambiano finalità (es. nuovi esami diagnostici offerti) → richiedere un nuovo consenso.
📌 Attenzione a Questi Aspetti
Consenso specifico per dati sanitari (Art. 9 GDPR):
Non basta un generico "accetto", serve esplicitare:
▪ Quali dati sono trattati (es. referti, diagnosi)
▪ Chi può accedervi (es. specialisti consulenti).
Comunicazioni a terzi (es. invio referti via email):
Usare canali sicuri (es. PEC, piattaforme certificate).
⚖️ Sanzioni per Omissioni
Mancata nomina incaricati: Fino a 10 milioni di € o 2% del fatturato.
Violazione dati sanitari: Fino a 20 milioni di € o 4% del fatturato.
Esempio Pratico: Lettera di Incarico alla Segreteria
*"Il/la sottoscritto/a [Nome], in qualità di Titolare del trattamento, incarica [Nome segretaria] di trattare i dati sanitari dei pazienti esclusivamente per:
Prenotazioni appuntamenti
Fatturazione elettronica
Archiviazione cartelle cliniche
con obbligo di riservatezza e rispetto delle policy interne.
Firmato: [Medico]".*
Conclusione
Oltre a consenso e informativa, il medico deve:
Formalizzare gli incarichi
Proteggere i dati con misure concrete
Tenere traccia di ogni operazione
La compliance non è burocrazia, ma tutela per pazienti e professionisti. 🩺🔒
Riferimenti: Art. 29, 30, 32, 35 GDPR e Linee Guida Garante Privacy su dati sanitari.
- E nel caso dell’odontoiatra che si avvalga dell’opera dell’odontotecnico?
Anche nel contesto dell’attività odontoiatrica, è necessario che il professionista rediga un’apposita lettera di incarico con la quale affida formalmente la responsabilità del trattamento dei dati personali a soggetti terzi, qualora coinvolti (es. collaboratori, segretarie, assistenti alla poltrona, consulenti esterni).
Tale documento deve specificare in modo chiaro i compiti, le responsabilità e i limiti del trattamento assegnati, conformemente a quanto previsto dal Regolamento (UE) 2016/679 (GDPR). È altresì fondamentale che gli incaricati ricevano istruzioni adeguate e siano debitamente formati in materia di protezione dei dati personali.
Il comportamento da adottare, sotto il profilo della tutela della privacy e della sicurezza dei dati, è sostanzialmente analogo a quello previsto per gli studi medici. Ciò implica l’adozione di tutte le misure organizzative e tecniche idonee a garantire la riservatezza, l’integrità e la disponibilità dei dati trattati, sia in formato elettronico che cartaceo.
- Partiamo dall’ipotesi in cui il medico non utilizzi il computer, ma conservi tutto su carta. Quali accorgimenti deve adottare?
Nel caso in cui il trattamento dei dati personali dei pazienti avvenga in formato cartaceo, è opportuno che il medico predisponga, per ciascun assistito, una scheda sanitaria individuale. Tale scheda dovrà contenere il modulo di consenso informato debitamente sottoscritto, nonché ogni altro documento clinico e amministrativo rilevante ai fini della diagnosi, cura e gestione del rapporto terapeutico.
La conservazione di tali documenti deve avvenire nel rispetto dei principi di riservatezza, integrità e sicurezza. È pertanto necessario custodire le schede in un luogo fisicamente sicuro, non accessibile a soggetti non autorizzati. Ad esempio, qualora siano riposte in un armadio, quest’ultimo dovrà essere dotato di serratura e collocato in un locale dello studio non aperto al pubblico o al personale non autorizzato. Le chiavi dell’armadio dovranno essere detenute esclusivamente dal medico, dal suo sostituto o da collaboratori medici specificamente incaricati, e non da personale amministrativo o da terzi non autorizzati.
Inoltre, al fine di tutelare i dati anche contro eventi accidentali, è raccomandabile che l’armadio o il contenitore utilizzato sia realizzato in materiale ignifugo, così da ridurre il rischio di perdita o distruzione delle informazioni in caso di incendio.
È fondamentale ricordare che la normativa in materia di protezione dei dati personali – in particolare il Regolamento (UE) 2016/679 (GDPR) – non si limita a garantire la riservatezza delle informazioni, ma impone anche l’adozione di misure tecniche e organizzative adeguate per prevenire eventi quali incendi, furti, accessi non autorizzati, smarrimenti o deterioramenti accidentali.
In caso di violazione, sottrazione o distruzione dei dati, il medico deve essere in grado di dimostrare di aver adottato tutte le misure ragionevolmente necessarie per evitare tali eventi. Una conservazione negligente o superficiale può infatti comportare responsabilità civili e obblighi risarcitori, oltre che sanzioni amministrative da parte dell’Autorità Garante.
- E se il medico lavora in associazione con altri colleghi (medicina di gruppo) ?
È fondamentale che l’informativa privacy riporti in modo chiaro e trasparente che i dati personali dei pazienti possono essere trattati non solo dal medico titolare del trattamento, ma anche dagli altri medici appartenenti alla stessa associazione professionale, medicina di gruppo o rete, esclusivamente per finalità connesse alla prevenzione, diagnosi, cura e riabilitazione del paziente, nel rispetto del principio di minimizzazione e pertinenza del trattamento.
Si ricorda, inoltre, che nel contesto della medicina di gruppo o in rete, è obbligatoria la designazione di un Responsabile della Protezione dei Dati (RPD), noto anche come Data Protection Officer (DPO), figura incaricata di vigilare sull’osservanza della normativa in materia di protezione dei dati personali, fornire consulenza e fungere da punto di contatto con il Garante per la protezione dei dati personali.
- Ma se il paziente, per ipotesi, chiede al medico di cancellare tutti i suoi dati, il rapporto di cura può proseguire?
Evidentemente è così. Infatti nell’informativa il medico fa presente che se il paziente si rifiuta di fornire al medico i dati sanitari necessari per instaurare il rapporto di cura questo non può aver luogo. Allo stesso modo, se il paziente chiede la cancellazione dei suoi dati è come se revocasse il consenso che originariamente aveva dato. Per cui il medico non può che prenderne atto, accogliere la richiesta del paziente e considerare terminato il rapporto di cura.
- Il medico può opporsi a queste richieste del paziente?
Dipende dal tipo di richiesta formulata dal paziente. In generale, il paziente ha specifici diritti riconosciuti dal Regolamento (UE) 2016/679 (GDPR), ma il medico può opporsi solo in determinati casi, giustificati da motivi legittimi. Ecco un quadro sintetico:
✅ Richieste a cui il medico non può opporsi (obbligo di accoglimento):
Accesso ai dati personali
Il paziente ha sempre diritto a sapere quali dati personali vengono trattati, per quali finalità, e da chi.Rettifica dei dati inesatti
Se i dati clinici contengono errori, il medico deve correggerli.Limitazione del trattamento
In determinati casi (es. contestazioni sull’esattezza dei dati), il paziente può chiedere che i dati siano "congelati" (cioè conservati ma non usati).Portabilità dei dati
Il paziente ha diritto a ricevere i propri dati in formato strutturato e a trasmetterli a un altro professionista, ad esempio in caso di cambio di medico o struttura sanitaria.
❌ Richieste a cui il medico può opporsi (in tutto o in parte):
Cancellazione dei dati (diritto all’oblio)
Il medico può legittimamente rifiutare la cancellazione dei dati quando:la conservazione è necessaria per obblighi di legge (es. obblighi fiscali, sanitari, deontologici);
i dati sono necessari per finalità di diagnosi, cura o tutela legale;
sussiste un interesse pubblico (es. archiviazione sanitaria).
Opposizione al trattamento
Il paziente può opporsi, ma non può impedire il trattamento dei dati necessari per motivi medici, legali o di interesse pubblico. Il medico ha il diritto (e in alcuni casi l’obbligo) di continuare il trattamento se motivato da:necessità di cura,
obblighi normativi,
tutela della salute pubblica.
In sintesi
Il medico non può opporsi arbitrariamente ai diritti previsti dal GDPR, ma può respingere alcune richieste (come la cancellazione dei dati) quando esistono obblighi giuridici o motivi clinici che giustificano la conservazione o il trattamento.
- Se il paziente chiede al medico una attestazione dettagliata del suo stato di salute, perché per esempio deve presentarla al datore di lavoro per usufruire di permessi speciali, il medico può rifiutarsi di farlo per motivi di privacy?
Infatti, la facoltà di comunicare a terzi informazioni inerenti la propria salute spetta esclusivamente al paziente, in quanto titolare del diritto alla riservatezza. Il medico, in questo caso, non deve e non può esercitare alcuna forma di controllo o giudizio sulla scelta del paziente di rivelare o meno tali dati, purché la richiesta sia chiara, consapevole e volontaria.
Di conseguenza, qualora il paziente domandi una certificazione sanitaria dettagliata, il medico ha il dovere di redigerla in modo veritiero, completo e professionale, limitandosi a riportare fedelmente le informazioni sanitarie in suo possesso, utili a giustificare la richiesta del paziente, senza omissioni o giudizi personali.
Rimane inteso che il medico deve comunque:
acquisire una richiesta scritta o comunque formalizzata da parte del paziente;
garantire che il documento sia consegnato esclusivamente al diretto interessato o a persona da lui formalmente incaricata;
evitare la trasmissione diretta al datore di lavoro, salvo esplicito consenso documentato.
medica dettagliata, il medico deve soddisfare la richiesta del suo assistito, dichiarando i dati sanitari in suo possesso (ovviamente secondo verità). Non è compito del medico sindacare questa decisione del paziente.
- Per quanto tempo il medico deve conservare i dati dei pazienti nel proprio studio?
Il medico ha l’obbligo di conservare la documentazione sanitaria e gli atti relativi ai pazienti per tutta la durata del rapporto di cura e, successivamente, per un periodo minimo di 10 anni dalla conclusione dello stesso. Questo termine risponde a esigenze sia medico-legali (in caso di contenziosi) sia normative, tenuto conto delle disposizioni del Codice Civile e della normativa sanitaria in materia di responsabilità professionale.
Al termine del periodo di conservazione decennale, è possibile procedere alla distruzione sicura dei documenti, secondo modalità che ne garantiscano l'irrecuperabilità e la tutela della riservatezza (es. triturazione, incenerimento certificato o distruzione tramite ditte autorizzate).
Tuttavia, ove possibile, è preferibile offrire ai pazienti la possibilità di ritirare la propria documentazione sanitaria prima della distruzione, informandoli preventivamente in modo adeguato. Questo approccio, oltre a essere rispettoso dei diritti dell’interessato, può evitare future contestazioni.
È importante ricordare che la distruzione anticipata dei dati o la loro conservazione oltre i limiti stabiliti senza giustificazione possono costituire violazioni del Regolamento (UE) 2016/679 (GDPR) o essere oggetto di sanzioni da parte dell’Autorità Garante.
- Quando è necessario il Registro delle Attività di Trattamento?
Una delle novità rilevanti introdotte dal Regolamento (UE) 2016/679 (GDPR) è l’obbligo, per determinati soggetti, di tenere un Registro delle attività di trattamento dei dati personali sotto la propria responsabilità, anche in formato elettronico. Tale obbligo ha l’obiettivo di dimostrare la conformità alle disposizioni del Regolamento, in particolare per quanto riguarda le misure tecniche e organizzative adottate per garantire la sicurezza, la trasparenza e la responsabilità nel trattamento dei dati.
✅ Chi è obbligato a tenere il registro?
L’obbligo riguarda:
Tutti i titolari e i responsabili del trattamento che effettuano trattamenti non occasionali;
Soggetti che trattano categorie particolari di dati, come quelli relativi alla salute, alla vita sessuale, alle opinioni politiche o all’origine etnica (come avviene negli studi medici, dentistici, psicologici, ecc.);
Soggetti che effettuano trattamenti che possono presentare un rischio per i diritti e le libertà delle persone fisiche.
Pertanto, un medico o odontoiatra che tratta regolarmente dati sanitari dei pazienti rientra pienamente tra i soggetti obbligati a tenere questo registro.
📋 Cosa deve contenere il registro?
Il Registro delle attività di trattamento deve includere almeno le seguenti informazioni:
Il nome e i dati di contatto del titolare del trattamento (e, se designati, del responsabile del trattamento e del DPO);
Le finalità del trattamento;
Una descrizione delle categorie di interessati (es. pazienti) e delle categorie di dati personali trattati (es. dati sanitari, anagrafici);
Le categorie di destinatari a cui i dati sono stati o saranno comunicati (es. laboratori, ASL, commercialisti);
Eventuali trasferimenti di dati verso paesi terzi o organizzazioni internazionali;
I termini previsti per la cancellazione delle diverse categorie di dati;
Una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (es. protezione antivirus, accessi con password, armadi chiusi a chiave per i documenti cartacei, backup dei dati).
📎 Forma del registro
Il registro può essere tenuto in formato cartaceo o elettronico, purché sia facilmente accessibile in caso di richiesta da parte dell’Autorità Garante e sia costantemente aggiornato.
In sintesi, il Registro delle attività di trattamento non è un semplice adempimento burocratico, ma uno strumento fondamentale per documentare la responsabilità (accountability) del professionista nella gestione dei dati personali e per prevenire sanzioni in caso di ispezioni o violazioni.
- Principio Responsabilizzazione - Accountability.
Uno degli elementi cardine introdotti dal Regolamento (UE) 2016/679 (GDPR) è il principio di responsabilizzazione, noto anche come “accountability”. Questo principio impone al titolare del trattamento (es. medico, odontoiatra, azienda sanitaria, struttura privata) l’obbligo non solo di rispettare la normativa sulla protezione dei dati personali, ma anche di poter dimostrare, in modo concreto e documentato, di aver adottato tutte le misure necessarie a garantirne la conformità.
📌 Cosa comporta l’accountability?
Il principio è esplicitato all’articolo 5, paragrafo 2 e concretizzato all’articolo 24 del Regolamento, il quale stabilisce che:
"Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire – e essere in grado di dimostrare – che il trattamento dei dati è effettuato conformemente al presente Regolamento."
🛡️ Quali misure deve adottare il titolare?
Tra le misure tecniche e organizzative richieste, rientrano:
La predisposizione di informative trasparenti;
La redazione del registro delle attività di trattamento;
La designazione di responsabili e incaricati con compiti ben definiti;
L’adozione di misure di sicurezza fisiche e informatiche (es. protezione password, backup, armadi chiusi a chiave);
La formazione del personale;
La gestione delle violazioni dei dati (data breach);
La valutazione d’impatto sulla protezione dei dati (DPIA), ove necessaria.
✅ Strumenti per dimostrare la conformità
Il GDPR prevede inoltre, all’articolo 42, la possibilità per i titolari e responsabili del trattamento di aderire a meccanismi di certificazione, marchi o sigilli di protezione dei dati, rilasciati da organismi accreditati. Tali certificazioni non sono obbligatorie, ma costituiscono una forma riconosciuta di dimostrazione della conformità, utile in caso di controlli o contestazioni.
🎯 In sintesi
Il principio di accountability impone un cambiamento di approccio: non basta più rispettare la legge, ma occorre poterlo dimostrare con atti, documenti, procedure e comportamenti concreti. L’onere della prova ricade sul titolare del trattamento, che deve essere sempre in grado di giustificare le scelte fatte e le misure adottate in materia di protezione dei dati.
- Quando un trattamento è lecito?
La liceità del trattamento è uno dei principi fondamentali sia del Codice Privacy italiano (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018) sia del Regolamento (UE) 2016/679 (GDPR). Affinché un trattamento di dati personali sia considerato lecito, deve basarsi su almeno una delle condizioni di legittimità previste dall’articolo 6 del GDPR.
📌 Le basi giuridiche del trattamento
Un trattamento è lecito solo se ricorre almeno una delle seguenti condizioni:
Consenso esplicito dell’interessato
Il soggetto cui si riferiscono i dati ha fornito un consenso libero, specifico, informato e inequivocabile per una o più finalità determinate.Esecuzione di un contratto
Il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte (es. contratto di fornitura di servizi) o per l’esecuzione di misure precontrattuali su richiesta dell’interessato.Obbligo legale
Il trattamento è necessario per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento (es. obblighi fiscali, obblighi in ambito sanitario).Tutela degli interessi vitali dell’interessato o di un’altra persona fisica
È ammesso quando il trattamento è indispensabile per proteggere la vita o l’incolumità fisica di una persona (es. emergenze mediche).Esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri
Il trattamento è legittimo se necessario per l’esecuzione di attività istituzionali affidate a enti pubblici o soggetti privati autorizzati.Legittimo interesse del titolare o di terzi
Il trattamento è giustificato se è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di un terzo, a condizione che non prevalgano i diritti e le libertà fondamentali dell’interessato.
⚠️ Attenzione: Il legittimo interesse non può essere utilizzato come base giuridica per il trattamento di categorie particolari di dati (es. dati relativi alla salute), salvo casi specifici e molto limitati.
📎 Nota sulle categorie particolari di dati
Quando il trattamento riguarda dati sensibili (tra cui quelli sanitari), è necessaria anche una base giuridica specifica aggiuntiva, prevista dall’articolo 9 del GDPR. In ambito sanitario, ad esempio, il trattamento può essere lecito anche senza consenso se necessario per finalità di diagnosi, cura, assistenza sanitaria o gestione dei servizi sanitari, nel rispetto della normativa vigente e sotto la responsabilità di un professionista soggetto al segreto professionale.
✅ In sintesi
Perché un trattamento sia considerato lecito, il titolare deve:
individuare una base giuridica valida;
informare l’interessato in modo chiaro;
dimostrare il rispetto di tutti gli altri principi del GDPR, inclusi trasparenza, minimizzazione, limitazione della conservazione e sicurezza.
- Pubblicazioni sui Social: permessi e divieti
La condivisione sui social network, come Facebook, di fotografie o video che ritraggono persone identificabili costituisce a tutti gli effetti un trattamento di dati personali. In assenza del consenso dell’interessato, tale trattamento può configurarsi come illecito, esponendo il soggetto che pubblica il contenuto a responsabilità civili e amministrative, secondo quanto previsto dal Regolamento (UE) 2016/679 (GDPR) e dalla normativa italiana sulla privacy.
❌ Quando la pubblicazione è vietata (salvo consenso esplicito)
È illecito pubblicare fotografie o video sui social se:
✅ La persona ritratta non ha espresso un consenso specifico alla pubblicazione (il semplice consenso allo scatto non autorizza automaticamente la pubblicazione dell'immagine online).
✅ La persona ritratta è riconoscibile, anche se non in primo piano o presente solo parzialmente nella foto (es. viso parzialmente visibile, anche da lontano).
✅ Si tratta di un minore, e manca il consenso espresso di entrambi i genitori o del tutore legale.
✅ L'immagine è usata a fini promozionali, pubblicitari o commerciali, anche se non esplicitamente legati a un’attività economica.
✅ L’immagine mostra informazioni sensibili, come dati sulla salute, appartenenza religiosa, orientamento politico, ecc.
✅ Il soggetto ritratto è isolato dal contesto, anche se l’intento dell’autore non è denigratorio o commerciale.
✅ Quando la pubblicazione è ammessa senza consenso
È ammessa la pubblicazione, purché non si leda la dignità o la riservatezza delle persone coinvolte, nei seguenti casi:
📸 Foto scattate in luoghi pubblici o durante eventi pubblici, in cui le persone ritratte compaiono in modo accidentale e non sono il soggetto principale dell’immagine.
👥 Persone riconoscibili ma inserite in un contesto visibile solo a una cerchia ristretta di amici o contatti fidati (uso privato, non pubblico).
😶 Persone il cui volto non è riconoscibile, anche se ritratte da vicino (es. di spalle, in penombra, con il volto oscurato).
🧍♂️ Dettagli del corpo (mani, schiena, abbigliamento, ecc.) non idonei a identificare la persona in modo univoco.
👶 Minori non riconoscibili (volto oscurato o non inquadrato).
📚 Finalità giustificate da interesse pubblico o rilevanza sociale, come pubblicazioni a scopo scientifico, didattico, culturale, giudiziario o di pubblica sicurezza, a condizione che non ledano la dignità dell’interessato.
⚠️ Attenzione: consenso ≠ uso illimitato
È importante ricordare che:
Il consenso allo scatto non coincide con il consenso alla pubblicazione.
Il consenso può essere revocato in qualsiasi momento dall’interessato.
La pubblicazione su Facebook, Instagram o altri social comporta una diffusione potenzialmente globale, e pertanto l’illecito può avere conseguenze gravi (compresi risarcimenti e sanzioni amministrative).
📌 In sintesi
Chi pubblica contenuti sui social deve:
Valutare se le persone ritratte sono riconoscibili;
Accertarsi di avere un consenso valido e specifico alla pubblicazione;
Limitare la visibilità dei contenuti, se non si ha una base giuridica sufficiente alla diffusione pubblica.
- Amministratore di sistema
Amministratori di Sistema: obblighi, precisazioni e buone prassi
📜 Riferimenti normativi
Il tema degli Amministratori di sistema (AdS) è stato disciplinato dal Provvedimento del Garante per la Protezione dei Dati Personali del 27 novembre 2008, aggiornato il 25 giugno 2009. Sebbene il Regolamento (UE) 2016/679 (GDPR) non tratti in modo specifico questa figura, gli obblighi previsti da tale Provvedimento restano pienamente vigenti nell’ordinamento italiano.
🧾 Chi è l’Amministratore di Sistema?
L’Amministratore di Sistema è una figura tecnica incaricata della gestione e manutenzione dei sistemi informatici e delle reti, e che, per sua natura, può accedere a dati personali anche di natura sensibile. Proprio per questa possibilità, il suo ruolo è soggetto a particolari obblighi di trasparenza, tracciabilità e controllo.
✅ Obblighi del Titolare del trattamento
Designazione formale individuale
Il Titolare deve designare per iscritto ciascun amministratore di sistema, specificando gli ambiti di operatività consentiti, in relazione al profilo di autorizzazione assegnato.Documentazione interna
Deve essere redatto un registro interno contenente:i dati identificativi degli Amministratori designati;
la descrizione delle funzioni assegnate;
l’indicazione delle aree e dei sistemi su cui operano.
Informazione ai dipendenti
Se gli Amministratori di sistema possono accedere ai dati dei lavoratori, è obbligo del Titolare informare esplicitamente i dipendenti, che hanno diritto di conoscere l’identità degli AdS.Audit e tracciabilità degli accessi
È obbligatorio adottare sistemi di logging che registrino gli accessi logici effettuati dagli amministratori ai sistemi e agli archivi elettronici. Questi log devono:essere completi, integri e non modificabili;
riportare timestamp, descrizione dell’evento e sistema coinvolto;
essere conservati per almeno 6 mesi.
Esternalizzazione del servizio
Se i servizi di amministrazione di sistema sono affidati a terzi, l’elenco degli AdS può essere conservato dal Titolare o dal Responsabile esterno del trattamento (outsourcer), purché disponibile in caso di controlli.
⚠️ Attenzione: il consenso al supporto IT non equivale a nomina
Caso pratico: se una società IT presta supporto tecnico continuativo (es. manutenzione dei server) senza accedere o trattare direttamente dati personali, non è necessaria la designazione formale come amministratore di sistema. Tuttavia, è **fortemente consigliata la nomina come Responsabile Esterno del Trattamento, specificando nel contratto e nelle "note" le attività svolte presso il cliente.
Viceversa, se il fornitore:
accede ai server del cliente,
effettua backup,
gestisce credenziali,
copia o trasferisce dati,
allora deve essere formalmente nominato amministratore di sistema oppure Responsabile Esterno, a seconda della tipologia di attività.
🖥️ Quando registrare gli accessi?
Non tutti i contesti richiedono un sistema di Access Log, ma il principio è il seguente:
Ambienti mono-utente (es. PC personale del dipendente)
Se l'accesso è regolato da credenziali individuali, il rischio è contenuto. Un sistema di Access Log può non essere necessario.Aree condivise (es. cartelle condivise su rete aziendale)
Qui è opportuno registrare gli accessi (log-in/log-off) per ogni utente che può interagire con la banca dati.Postazioni Server o sistemi con accesso remoto
In questi casi, è essenziale attivare log di accesso, soprattutto quando vi operano soggetti esterni come fornitori IT o altri Data Processor.Software gestionale in cloud
La software house, se fornisce hosting e gestione del database, dovrebbe integrare sistemi di audit e fornire evidenza della tracciabilità al cliente.
🔐 Conclusione
La corretta gestione degli Amministratori di sistema è cruciale per garantire trasparenza, sicurezza e conformità al GDPR. È un ambito in cui la forma è sostanza, e l’omissione anche solo di una delle formalità richieste può esporre l’azienda a sanzioni.
- Quando è necessario fare domanda per installare la videosorveglianza?
L’installazione di un impianto di videosorveglianza nei luoghi di lavoro richiede particolari cautele quando può comportare il controllo a distanza dell’attività dei lavoratori.
In questi casi, è obbligatorio ottenere l’autorizzazione dell’Ispettorato Territoriale del Lavoro (ITL), salvo che non sia stato raggiunto un accordo sindacale preventivo.
✅ È necessario presentare domanda all’ITL quando:
📍 L’impianto di videosorveglianza riprende l’attività lavorativa dei dipendenti, anche se:
non registra le immagini (solo visualizzazione in tempo reale),
è attivo solo in alcuni orari,
è presente per finalità dichiarate come sicurezza o prevenzione.
⚖️ Non sono presenti rappresentanze sindacali aziendali (RSA o RSU) con cui stipulare un accordo.
⚠️ Sono presenti RSA o RSU, ma non si è raggiunto un accordo con il datore di lavoro sull’installazione dell’impianto.
❌ Non serve presentare domanda all’Ispettorato se:
✅ È stato sottoscritto un accordo sindacale con le rappresentanze dei lavoratori (RSA/RSU) in azienda;
✅ L’impianto è installato esclusivamente per esigenze di sicurezza in aree dove non è possibile identificare né monitorare i lavoratori, ad esempio:
aree di accesso o perimetri esterni non frequentati dal personale;
ambienti non lavorativi (es. parcheggi riservati);
✅ Le immagini non sono in alcun modo associate o associabili a specifici dipendenti (es. riprese aggregate, senza individui riconoscibili).
📌 Obblighi aggiuntivi
🛑 Informativa privacy obbligatoria: i lavoratori devono essere informati in modo chiaro della presenza delle telecamere e delle finalità del trattamento dei dati.
🔐 Limitazione dell’accesso ai filmati: solo persone autorizzate possono visualizzare le immagini.
🕒 Tempi di conservazione: in genere non superiori a 72 ore, salvo esigenze particolari motivate (es. indagini giudiziarie).
📄 In sintesi
Situazione Domanda all’ITL necessaria? Presenza di dipendenti, impianto che li riprende, niente RSA/RSU ✅ Sì Presenza di dipendenti, RSA/RSU presenti ma niente accordo ✅ Sì Presenza di dipendenti, accordo sindacale firmato ❌ No Videosorveglianza solo a fini di sicurezza e non riprende lavoratori ❌ No - A chi deve essere presentata la domanda per installare la videosorveglianza?
La richiesta di autorizzazione all’installazione di un impianto di videosorveglianza, nei casi in cui sia necessaria (es. in assenza di accordo sindacale), deve essere presentata all’Ispettorato Territoriale del Lavoro (ITL) competente per territorio, ossia quello della provincia in cui è situata la sede interessata dall’installazione dell’impianto.
📬 Modalità di invio della domanda
La domanda può essere trasmessa con due modalità:
Invio tramite PEC (Posta Elettronica Certificata)
Il modulo di richiesta, compilato e firmato, può essere inviato alla PEC ufficiale dell’Ispettorato Territoriale del Lavoro competente.Consegna a mano
È possibile recarsi direttamente presso gli uffici dell’ITL e presentare la pratica in formato cartaceo, firmata e corredata della documentazione richiesta.
🔎 Dove trovare i recapiti
Per conoscere:
la PEC dell’Ispettorato della tua zona,
l’indirizzo fisico per la consegna a mano,
gli orari di apertura al pubblico,
puoi consultare il sito ufficiale dell’Ispettorato Nazionale del Lavoro alla pagina:
👉 https://www.ispettorato.gov.it/
(sezione "Ispettorati Territoriali")📑 Documentazione da allegare alla domanda
Oltre al modulo di richiesta, solitamente vanno allegati:
la relazione tecnica descrittiva dell’impianto;
una planimetria dei locali con l’indicazione del posizionamento delle telecamere;
copia dell’informativa privacy che sarà fornita ai lavoratori;
eventuali giustificazioni relative alle finalità di sicurezza.
- Come si deve gestire la cartellonistica della videosorveglianza?
L’installazione di un impianto di videosorveglianza comporta l’obbligo di informare in modo chiaro, trasparente e visibile le persone che stanno per entrare in un’area sorvegliata. Questo avviene tramite l’affissione di apposita cartellonistica informativa.
📌 Dove vanno posizionati i cartelli?
I cartelli devono essere collocati prima che una persona entri nell’area videosorvegliata, non dopo, in modo da consentire un’informazione preventiva.
Devono essere ben visibili, leggibili e comprensibili anche in orario notturno (es. illuminati o riflettenti, se necessario).
Vanno installati in prossimità delle telecamere, o comunque in tutti i punti di accesso all’area sorvegliata.
📄 Cosa deve contenere il cartello?
Il cartello deve essere conciso ma completo delle informazioni fondamentali richieste dalla normativa:
Indicazione chiara della presenza della videosorveglianza
Es. “Area videosorvegliata” o “Questa area è soggetta a videosorveglianza”.
Finalità del trattamento
Es. “per motivi di sicurezza”, “per la tutela del patrimonio”, “per esigenze organizzative”.
Indicazione se le immagini sono solo visualizzate o anche registrate
Es.
“Le immagini sono rilevate da... per fini di...” (solo visione)
“La registrazione è effettuata da... per fini di...” (con memorizzazione)
Identità del Titolare del trattamento
È preferibile indicare il Titolare, anziché il Responsabile, con:
Nome/ragione sociale
Recapiti (indirizzo, email, telefono)
Eventuale riferimento al DPO (se nominato)
Obbligatorio se è previsto dalla struttura aziendale.
Rinvio alla privacy policy completa
Con diciture tipo: “Per maggiori informazioni sul trattamento dei dati personali, è possibile consultare l’informativa completa presso [indirizzo fisico o sito web]”.
🔍 Esempio di dicitura corretta
🔴 AREA VIDEOSORVEGLIATA
La registrazione è effettuata da: Studio Medico Dott. Rossi – Via Verdi, 15 – Roma
per finalità di sicurezza e tutela del patrimonio.
Per maggiori informazioni sul trattamento dei dati personali e sull’esercizio dei diritti, consultare l’informativa disponibile in sede o su www.studiomedico.it/privacy.⚠️ Ricorda
Il cartello non sostituisce l’informativa privacy completa, che deve essere comunque disponibile in sede o su richiesta.
L’uso di icone e simboli (es. l’immagine stilizzata della videocamera) è consigliato per rendere il messaggio più immediato.
Il modello ufficiale di cartello è disponibile sul sito del Garante per la protezione dei dati personali.
- Perchè lavoratori volontari non devono essere censiti nè come Data Handler nè come Data Processor?
Dal punto di vista del Regolamento UE 2016/679 (GDPR), i lavoratori volontari, ovvero coloro che operano senza scopo di lucro e in forma mutualistica o solidaristica, non devono essere formalmente censiti né come:
Incaricati del trattamento (oggi correttamente definiti come "persone autorizzate al trattamento" ex art. 29 GDPR),
né come Responsabili del trattamento (art. 28 GDPR),
anche se materialmente si trovano a trattare dati personali, inclusi dati sensibili o particolari.
⚖️ Perché non devono essere censiti?
La ragione è da ricondurre a due fattori principali:
Mancanza di responsabilità formale e decisionale
I volontari non assumono responsabilità autonome sul trattamento dei dati, non decidono finalità né modalità del trattamento, e operano sotto la diretta autorità del Titolare.
In quanto tali, rientrano in modo implicito nella struttura interna dell’organizzazione e non richiedono una nomina formale come soggetto esterno (es. Data Processor o responsabile esterno).Natura non professionale e non contrattualizzata del rapporto
Trattandosi di rapporti non regolati da un contratto professionale o di fornitura, e privi di corrispettivo economico, il GDPR non impone l’obbligo di nomina formale, se i volontari agiscono secondo istruzioni ricevute e sotto controllo del Titolare.
📌 Conclusione
👉 I volontari non devono essere censiti né come responsabili né come incaricati del trattamento.
Tuttavia, è buona prassi che ricevano una formazione minima sul trattamento dei dati e adeguate istruzioni documentate, per assicurare la conformità ai principi di integrità, riservatezza e sicurezza (art. 32 GDPR). - Quali sono i termini di notifica delle violazioni di dati personali?
⏰ Termini e obblighi di notifica delle violazioni di dati personali (Data Breach)
A partire dal 25 maggio 2018, il Regolamento Europeo GDPR (Reg. UE 2016/679) ha introdotto l’obbligo per tutti i titolari del trattamento di notificare all’Autorità di controllo competente (in Italia, il Garante per la protezione dei dati personali) le violazioni dei dati personali di cui vengano a conoscenza.
📌 Quando è obbligatoria la notifica?
La notifica è obbligatoria solo se la violazione è suscettibile di comportare un rischio per i diritti e le libertà degli interessati (ad es. rischio di furto d’identità, frodi, danni alla reputazione, perdita del controllo dei dati personali, ecc.).
La valutazione di tale rischio spetta al titolare del trattamento, che dovrà agire secondo i principi di responsabilizzazione (accountability).
⏱ Termine di notifica
La notifica all’Autorità di controllo deve avvenire:
entro 72 ore dalla scoperta della violazione;
e comunque senza ingiustificato ritardo.
⚠️ Se la notifica non può essere effettuata entro 72 ore, deve essere accompagnata da una giustificazione del ritardo.
🧾 Contenuto della notifica all’Autorità (art. 33 GDPR)
La comunicazione deve includere almeno:
La natura della violazione dei dati personali;
Le categorie e il numero approssimativo degli interessati coinvolti;
Le categorie e il numero approssimativo dei dati personali coinvolti;
Il nome e i dati di contatto del DPO o di altro punto di contatto;
Le probabili conseguenze della violazione;
Le misure adottate o proposte per porre rimedio alla violazione e mitigarne gli effetti negativi.
👥 Comunicazione agli interessati (art. 34 GDPR)
Se la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare è tenuto a comunicare direttamente agli interessati le seguenti informazioni:
Natura della violazione;
Contatti per ricevere ulteriori informazioni;
Conseguenze probabili della violazione;
Misure correttive adottate.
❗ Tuttavia, la comunicazione agli interessati non è necessaria se:
Il titolare ha adottato misure tecniche e organizzative adeguate (es. cifratura dei dati);
Ha successivamente eliminato il rischio elevato;
La comunicazione richiederebbe uno sforzo sproporzionato (in tal caso, è sufficiente una comunicazione pubblica adeguata).
📚 Obbligo di documentazione (art. 33.5 GDPR)
Anche se non vi è obbligo di notifica, il titolare deve documentare internamente tutte le violazioni, comprese:
Le circostanze della violazione;
Le sue conseguenze;
Le misure adottate per porvi rimedio.
Questa documentazione è essenziale per dimostrare la conformità con il GDPR in caso di controlli.
✅ In sintesi
Obbligo Condizione Termine Riferimento Notifica al Garante Se c’è rischio per i diritti e le libertà Entro 72 ore Art. 33 Comunicazione agli interessati Se c’è rischio elevato Senza ritardo Art. 34 Documentazione interna Sempre, anche se non si notifica Tempestivamente Art. 33.5 - Come comportarsi nel caso in cui il dipendente si rifiuti di firmare la lettera di nomina?
🔐 Rifiuto del dipendente a firmare la nomina a incaricato del trattamento (data handler)
📌 Contesto normativo
Secondo l’art. 30 del Codice Privacy (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018):
“Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.”
Il GDPR, pur non usando più il termine “incaricato”, conferma che il trattamento deve avvenire sotto l’autorità del titolare e nel rispetto di istruzioni documentate (art. 29 GDPR).
❗ Cosa succede se il dipendente si rifiuta di firmare?
Il rifiuto di firmare la lettera di nomina ad incaricato non impedisce automaticamente al datore di lavoro di considerare valido l’incarico, se esiste una documentazione oggettiva che dimostra che il dipendente è stato assegnato formalmente e consapevolmente a una mansione che comporta il trattamento di dati.
Ad esempio:
La preposizione a un ufficio (es. amministrazione, segreteria, gestione clienti) dove il trattamento è inevitabile;
La formazione privacy ricevuta e documentata;
L'accesso assegnato a strumenti informatici o archivi contenenti dati personali.
⚖️ Conseguenze del rifiuto
Il rifiuto può avere rilievo disciplinare o contrattuale, perché:
Il trattamento di dati è parte integrante della mansione;
La nomina formale serve a tutelare l’azienda e a dimostrare la conformità al GDPR;
Se il dipendente rifiuta l’atto formale ma continua a trattare i dati, si crea un rischio giuridico per il datore.
🛑 Se invece si rifiuta anche di trattare i dati, allora non può svolgere la mansione assegnata e il rifiuto può essere considerato un inadempimento contrattuale, con possibili:
Contestazioni disciplinari;
Trasferimento ad altra mansione (se disponibile);
Nei casi estremi, anche risoluzione del rapporto di lavoro per giustificato motivo soggettivo.
✅ Cosa fare in pratica
Conservare la lettera non firmata, con data e annotazione del rifiuto.
Verbalizzare il rifiuto, eventualmente con un testimone.
Richiamare il dipendente per iscritto, spiegando che la firma è parte integrante del suo ruolo e serve per la conformità normativa.
Valutare sanzioni disciplinari o la riassegnazione, in base al contratto collettivo e alle policy aziendali.
In assenza di collaborazione, valutare la risoluzione del contratto se il trattamento dei dati è parte essenziale del ruolo.
📝 Esempio di comunicazione al dipendente
"Gentile [Nome], la sua mansione prevede il trattamento di dati personali ai sensi del Regolamento (UE) 2016/679. La designazione ad incaricato del trattamento è obbligatoria per garantire la legittimità e la sicurezza delle operazioni svolte. Il suo rifiuto a firmare tale designazione compromette la possibilità di proseguire nella funzione assegnata. La invitiamo a rivalutare la sua posizione entro [X giorni] al fine di evitare ulteriori provvedimenti."
- Chi fornisce il servizio di Web Hosting deve essere nominato Responsabile del trattamento?
Sì, chi fornisce un servizio di Web Hosting (cioè ospita il sito web, database, email, ecc.) deve essere nominato Responsabile del Trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (GDPR), se tratta dati personali per conto del Titolare del trattamento.
🔍 Perché è necessario nominarlo?
Il fornitore di hosting ha accesso (anche solo potenziale) a dati personali che transitano o sono conservati nei server, come:
Dati degli utenti del sito (form di contatto, ordini, iscrizioni);
Dati raccolti tramite cookie o analytics;
Email gestite tramite il dominio del cliente;
Backup o database contenenti dati identificabili.
Anche se non accede volontariamente ai dati, il solo fatto di gestire e conservare i server implica una responsabilità sul trattamento.
✅ Cosa fare
Il titolare del trattamento (es. il proprietario del sito o dell’attività) deve:
Verificare che il provider fornisca sufficienti garanzie di conformità al GDPR (sicurezza, riservatezza, misure tecniche e organizzative).
Stipulare un contratto o atto di nomina a "Responsabile del trattamento", con i contenuti previsti dall’art. 28 del GDPR.
Conservare copia del contratto tra la documentazione privacy aziendale.
❗Attenzione
Non importa se il fornitore è italiano o estero. Se ospita o gestisce dati di cittadini UE, deve essere nominato formalmente e contrattualmente come Responsabile del trattamento.
❌ Quando NON serve la nomina?
Se il servizio di hosting non tratta dati personali per conto del cliente, ad esempio:
Si tratta solo di un servizio di registrazione dominio (senza spazio web, database, mail, ecc.);
Il sito ospitato è puramente informativo e non raccoglie alcun dato personale (nessun form, cookie, analytics, login…).
In questi rari casi, il provider potrebbe non essere considerato Responsabile, ma è sempre meglio valutare caso per caso.
- In cosa consiste il Principio di correttezza del trattamento?
Il principio di correttezza del trattamento dei dati personali, sancito dal Regolamento Generale sulla Protezione dei Dati (GDPR), impone che ogni trattamento:
sia trasparente nei confronti degli interessati,
sia coerente con le loro legittime aspettative,
non contenga elementi ingannevoli, opachi o ambigui.
⚖️ Cosa implica il principio di correttezza?
Informazione chiara e preventiva
Gli interessati devono essere informati prima che inizi il trattamento, in modo chiaro, semplice e comprensibile (non con linguaggio tecnico o legalese).Nessuna ambiguità o raggiro
Il trattamento non può avvenire in modo occulto o approfittare dell’ignoranza dell’interessato.
→ Ad esempio, non è corretto ottenere dati dicendo che servono “per fini statistici” e poi usarli per marketing.Finalità dichiarate e legittime
I dati devono essere raccolti per scopi leciti, espliciti e dichiarati (vedi anche il principio di limitazione della finalità), senza deviare da questi scopi senza ulteriore informazione o consenso.Accessibilità e controllo da parte dell’interessato
L’interessato ha il diritto di sapere quali dati sono trattati, da chi, perché e per quanto tempo, e di ottenere risposte in tempi ragionevoli.Rispetto della volontà dell’interessato
Quando l’interessato esprime un consenso, una revoca, o esercita un diritto, il titolare del trattamento deve rispettarlo tempestivamente.
❌ Cosa viola il principio di correttezza?
Informative poco chiare o incomplete;
Trattamento dei dati all’insaputa dell’interessato;
Raccolta dati per uno scopo e uso per un altro;
Ostacolare o ritardare l’accesso dell’interessato ai propri dati;
Rendere complicata o inefficace la procedura per l’esercizio dei diritti.
✅ In sintesi
Il principio di correttezza è la garanzia etica e giuridica che i dati non vengano utilizzati contro la volontà o gli interessi dell’interessato. Si affianca al principio di liceità e trasparenza, ed è alla base del rapporto di fiducia tra utenti e titolari del trattamento.
- Posso elaborare un documento come il vecchio DPS?
Sì, puoi elaborare un documento simile al vecchio DPS (Documento Programmatico sulla Sicurezza), ma non è più obbligatorio né riconosciuto formalmente dal GDPR. Tuttavia, un documento interno ben strutturato può essere estremamente utile per dimostrare la “accountability” (responsabilizzazione) richiesta dal Regolamento.
🔎 Cosa prevede il GDPR al posto del DPS?
Il GDPR non impone un documento unico come il DPS, ma richiede una serie di documenti separati, ognuno con uno scopo specifico. Ecco gli elementi che devono essere predisposti:
Obbligatori (a seconda dei casi):
✅ Lettere di nomina e mansionari per:
Data handler interni (incaricati del trattamento);
Data processor esterni (responsabili del trattamento).
✅ Informative e raccolta del consenso (artt. 12–14);
✅ Registro delle attività di trattamento (art. 30 GDPR);
✅ Valutazione d’Impatto sulla Privacy (DPIA/PIA), se necessaria (art. 35);
✅ Policy di Sicurezza e misure tecniche-organizzative;
✅ Gestione delle violazioni e delle notifiche (Data Breach);
✅ Archiviazione e tracciabilità di tutta la documentazione privacy.
📄 Puoi creare un “documento riassuntivo”?
Sì, è una buona prassi. Puoi realizzare un documento interno di sintesi (simile al DPS) che:
riepiloga l’organizzazione della privacy in azienda;
descrive le misure adottate;
documenta i flussi dei dati e i soggetti coinvolti;
richiama i riferimenti ai documenti obbligatori (registro, informative, nomine, ecc.).
❗ Importante: questo documento non sostituisce i singoli obblighi del GDPR, ma può essere un utile strumento di audit, formazione e prova di accountability.
✅ Conclusione
Puoi creare un documento in stile DPS come strumento integrativo per l’organizzazione interna e per dimostrare la tua conformità, ma non è obbligatorio. Il GDPR ti chiede invece di tenere e aggiornare singoli documenti ufficiali, ognuno con una funzione ben precisa.
- Chi è il Comitato Europeo?
🔹 Cos'è il Comitato Europeo per la Protezione dei Dati (EDPB)?
È l’organismo indipendente dell’Unione Europea incaricato di garantire l’applicazione coerente del GDPR in tutta l’UE.
🔹 Composizione
Un rappresentante per ogni Autorità nazionale di protezione dei dati (es. il Garante per la Privacy in Italia);
Il Garante Europeo della protezione dei dati (EDPS);
La Commissione Europea partecipa ai lavori ma senza diritto di voto.
🔹 Compiti principali
Assicura l’uniformità dell’applicazione del GDPR in tutta Europa;
Fornisce linee guida, raccomandazioni e buone pratiche;
Emette decisioni vincolanti in caso di controversie tra autorità nazionali (meccanismo di coerenza);
Consiglia la Commissione Europea su proposte legislative relative alla protezione dei dati;
Promuove la cooperazione tra le autorità di controllo.
🔹 Erede del “Gruppo Art. 29”
Sì, il Comitato è l’evoluzione del “Gruppo di lavoro ex art. 29” della vecchia Direttiva 95/46/CE. A differenza del suo predecessore, l’EDPB ha poteri più ampi e decisioni vincolanti, non solo consultive.
- Quando l'azienda può definirsi "compliance" ?
✅ Quando un’azienda è "compliance" al GDPR
Tratta i dati personali nel rispetto dei principi del GDPR:
Liceità, correttezza e trasparenza
Limitazione della finalità
Minimizzazione dei dati
Esattezza dei dati
Limitazione della conservazione
Integrità e riservatezza
Responsabilizzazione (accountability)
Ha predisposto tutta la documentazione necessaria, tra cui:
Registro dei trattamenti (Art. 30 GDPR)
Informative privacy e gestione dei consensi
Lettere di nomina (data handler, data processor)
Valutazioni d’impatto (DPIA) se richieste
Policy e procedure interne aggiornate
Ha implementato misure tecniche e organizzative adeguate:
Protezione dei dati con crittografia, backup, antivirus, ecc.
Controllo degli accessi e gestione delle autorizzazioni
Monitoraggio dei trattamenti e formazione del personale
Rispetta i diritti degli interessati, garantendo:
Accesso, rettifica, cancellazione, opposizione, portabilità
Risposte in tempi previsti dal GDPR
Gestisce correttamente eventuali violazioni di dati (data breach):
Notifica all’Autorità entro 72 ore, se necessario
Documentazione delle violazioni anche se non notificate
Ha designato un DPO (Data Protection Officer) se obbligatorio:
Pubblica amministrazione
Organizzazioni che monitorano regolarmente su larga scala
Trattamenti di categorie particolari di dati su larga scala
⚠️ Sanzioni per mancata conformità
Fino a 20 milioni di euro, o
Fino al 4% del fatturato mondiale annuo (se superiore).
- Chi deve applicare il Regolamento Europeo 679/2016?
📌 Chi è tenuto ad applicarlo?
1. Tutti i titolari e responsabili del trattamento stabiliti nell’UE
Qualsiasi impresa, ente pubblico, associazione o organizzazione con sede in uno Stato membro dell’UE, che tratta dati personali (anche solo di clienti o dipendenti).
2. Titolari e responsabili extra-UE che offrono beni o servizi in UE
Aziende non stabilite nell’Unione Europea che:
Offrono beni o servizi (anche gratuiti) a persone che si trovano nell’UE;
Monitorano il comportamento di persone fisiche nell’UE (es. tracciamento online).
⚙️ Principali obblighi per essere conformi (compliance):
Tenuta del Registro dei trattamenti (art. 30 GDPR), anche per le organizzazioni con meno di 250 dipendenti se i trattamenti non sono occasionali o se includono dati sensibili o penali.
Designazione del Data Protection Officer (DPO) quando obbligatoria (es. enti pubblici, trattamenti su larga scala).
Adozione di misure tecniche e organizzative adeguate alla protezione dei dati (es. pseudonimizzazione, cifratura).
Gestione dei consensi e delle informative trasparenti (art. 13 e 14).
Notifica del Data Breach entro 72 ore all’Autorità Garante e agli interessati (art. 33 e 34).
Valutazioni d’impatto sulla protezione dei dati (DPIA) quando previste (art. 35).
🧾 In sintesi:
Chiunque tratti dati personali di persone fisiche nell’UE è soggetto al GDPR, inclusi:
Aziende private
Pubbliche amministrazioni
Professionisti
Organizzazioni non profit
Fornitori di servizi web
- Perchè una riforma sulla Privacy?
⚖️ Perché è stata introdotta la riforma?
1. Uniformità normativa in tutta l’UE
Prima del GDPR, ogni Stato membro applicava direttive europee in modo diverso, creando disparità nella protezione dei dati personali.
Il Regolamento, a differenza di una Direttiva, è vincolante e direttamente applicabile in tutti i Paesi UE senza bisogno di leggi nazionali di recepimento.
2. Adeguamento all’evoluzione tecnologica
Le vecchie norme (es. Direttiva 95/46/CE) erano obsolete rispetto alla diffusione di Internet, social media, cloud computing, Big Data, intelligenza artificiale.
Serviva una normativa aggiornata capace di proteggere i diritti degli utenti nell’attuale contesto digitale.
3. Migliore tutela dei diritti degli interessati
Sono stati introdotti o rafforzati diritti come:
Il diritto all’oblio
Il diritto alla portabilità dei dati
Il diritto di accesso e di rettifica
Il diritto di opposizione al trattamento
4. Rafforzamento delle responsabilità per le aziende
Il GDPR ha introdotto il principio di accountability, responsabilizzando titolari e responsabili del trattamento.
Le imprese devono dimostrare di essere conformi, attraverso documentazione, DPIA, registri dei trattamenti, e policy adeguate.
5. Maggiore fiducia degli utenti
Una normativa comune e più rigorosa sulla privacy rafforza la fiducia dei cittadini e degli utenti nei confronti delle aziende e dei servizi digitali.
6. Più poteri alle autorità di controllo
Il GDPR ha ampliato i poteri dei Garanti della Privacy e del Comitato Europeo per la Protezione dei Dati, assicurando coerenza nell’applicazione delle regole.
🧾 In sintesi:
La riforma è nata per unificare, aggiornare e rafforzare la protezione dei dati personali nell’Unione Europea, tutelando meglio i cittadini e rendendo le aziende più responsabili e trasparenti.
- Come va applicato dalle aziende?
✅ Come va applicato il GDPR nelle aziende
1. Mappatura dei trattamenti
Individuare quali dati personali vengono trattati, come, da chi, perché e dove.
Costruire un Registro dei trattamenti ai sensi dell’art. 30, anche se l’azienda ha meno di 250 dipendenti, se effettua trattamenti a rischio.
2. Designare le figure chiave
Titolare del trattamento (Data Controller)
Responsabili esterni (Data Processor), tramite contratti specifici
Incaricati/autorizzati (Data Handler)
Valutare se è necessario nominare un DPO (Data Protection Officer)
3. Redigere e aggiornare la documentazione
Informative privacy
Consensi, ove richiesti
Lettere di nomina (data handler, data processor)
Policy aziendali (es. Policy di sicurezza, policy per l’uso di email e strumenti aziendali)
Privacy Impact Assessment (DPIA), se necessario
4. Garantire i diritti degli interessati
L’azienda deve essere in grado di gestire:
Richieste di accesso ai dati
Rettifiche o cancellazioni
Opposizione al trattamento
Richiesta di portabilità
Limitazioni del trattamento
5. Sicurezza dei dati
Misure tecniche e organizzative per proteggere i dati (es. backup, antivirus, accessi riservati, crittografia)
Formazione periodica del personale
Controlli sugli accessi ai dati
Gestione delle violazioni (data breach): notifica all’autorità entro 72 ore
6. Approccio basato sul rischio
Applicare il principio di "privacy by design" e "by default"
Valutare i rischi associati al trattamento e adottare misure proporzionate
🧩 Non solo privacy, ma anche sicurezza
Il GDPR collega strettamente protezione dei dati e sicurezza informatica. Questo significa che:
La cybersecurity diventa parte integrante della compliance GDPR
La protezione dei dati non è solo un tema legale, ma anche tecnico e organizzativo
🎯 In conclusione
Applicare il GDPR in azienda significa:
Rispettare la legge
Migliorare la governance dei dati
Ridurre i rischi legali e reputazionali
Dimostrare trasparenza e affidabilità verso clienti, fornitori e partner
- Diritto all'oblio: cosa tutela?
Il Diritto all’oblio, disciplinato dall’articolo 17 del Regolamento GDPR 679/2016, tutela il diritto di ogni persona a ottenere la cancellazione dei propri dati personali in determinate circostanze, specialmente quando non sussiste più una base giuridica valida per conservarli o trattarli.
🔐 Cosa tutela il Diritto all’Oblio
Il diritto all’oblio tutela:
La dignità e la reputazione dell’interessato
La protezione della vita privata e dei dati personali
La possibilità di "sparire" digitalmente, nei casi previsti, da motori di ricerca o da archivi digitali
📌 Quando si può esercitare il Diritto all’oblio
Un soggetto può chiedere la cancellazione dei propri dati se:
I dati non sono più necessari per le finalità per cui erano stati raccolti o trattati.
L’interessato revoca il consenso, e non esistono altri motivi legittimi per il trattamento.
L’interessato si oppone al trattamento, e non ci sono motivi legittimi prevalenti.
I dati sono stati trattati illecitamente.
I dati devono essere cancellati per obbligo di legge.
I dati riguardano minori in relazione all’offerta di servizi della società dell’informazione.
❗️Quando il diritto all’oblio non si applica
Il diritto non è assoluto. Non si applica se il trattamento è necessario per:
Esercitare il diritto alla libertà di espressione e di informazione
Adempiere a un obbligo legale
Motivi di interesse pubblico nel settore sanitario
Finalità di archiviazione nel pubblico interesse, ricerca scientifica o storica
Accertamento, esercizio o difesa di un diritto in sede giudiziaria
💡 Esempi pratici
Un ex imputato assolto richiede la rimozione del proprio nome da articoli online che lo collegano a un crimine.
Un utente chiede a un social network la cancellazione definitiva del suo profilo e dei dati associati.
Un cittadino chiede a Google di de-indicizzare link non più attuali che danneggiano la sua reputazione.
- Qual è la carenza percepita sulla protezione dei dati personali ?
La carenza percepita sulla protezione dei dati personali è legata principalmente a:
📉 Frammentazione normativa e mancanza di armonizzazione
Prima dell’entrata in vigore del Regolamento (UE) 2016/679 (GDPR), la protezione dei dati personali nei diversi Stati membri dell’Unione era disciplinata da leggi nazionali spesso molto diverse tra loro. Questo ha creato:
Incertezze legali per le imprese che operano a livello transfrontaliero
Differenze nei livelli di tutela per i cittadini
Difficoltà di applicazione uniforme da parte delle autorità nazionali
❗️ Conseguenze della frammentazione
Sfiducia crescente dei cittadini nell’affidare i propri dati ai servizi digitali, soprattutto in ambito e-commerce, sanità digitale e social media.
Riluttanza ad adottare nuove tecnologie, soprattutto se percepite come invasive (es. AI, riconoscimento facciale, big data).
Freno all’innovazione e alla competitività europea, poiché le imprese devono affrontare costi e oneri burocratici diversi nei vari paesi.
🌍 Assenza di una tutela globale uniforme
Oltre ai problemi interni all’UE, si aggiunge la mancanza di:
Standard condivisi a livello mondiale sulla protezione dei dati
Garanzie reali contro il trasferimento illecito o non controllato dei dati verso Paesi terzi con livelli di protezione inadeguati
Il Regolamento GDPR è nato proprio per colmare queste lacune:
Uniformando le regole in tutta l’UE
Rafforzando la fiducia dei cittadini
Stimolando l’innovazione responsabile
O o RPD)
- Chi può svolgere il ruolo di DPO (o RPD) ?
Chi può svolgere il ruolo di DPO (Data Protection Officer) o RPD (Responsabile della Protezione dei Dati)?
Secondo l’art. 37, par. 5 del Regolamento GDPR 679/2016, il DPO può essere:
✅ Un consulente esterno
Questa è l'opzione più comune e consigliata, in quanto:
Garantisce autonomia e indipendenza nello svolgimento delle funzioni
Evita possibili conflitti di interesse
Si formalizza il rapporto attraverso un contratto di servizi
✅ Un dipendente interno
Anche se ammesso dal Regolamento, è meno consigliato, perché:
È difficile garantire un’autonomia operativa reale
Potrebbero sorgere conflitti con altre funzioni aziendali (es. responsabile IT, legale o HR)
Deve comunque essere funzionalmente indipendente
⚠️ Requisiti fondamentali del DPO
Secondo il GDPR, il DPO deve:
Avere competenze professionali adeguate (conoscenza specialistica del GDPR e delle prassi in materia di protezione dati)
Essere indipendente e non ricevere istruzioni su come svolgere i compiti
Essere privo di conflitti di interesse
Essere facilmente contattabile da interessati e autorità (es. i suoi dati vanno indicati nell’informativa privacy)
Non è necessaria una certificazione formale, ma la formazione continua è altamente raccomandata
📋 Compiti del DPO (art. 39 del GDPR)
Informare e consigliare il titolare o il responsabile del trattamento
Sorvegliare il rispetto del Regolamento
Fornire pareri su richieste di valutazione d’impatto (DPIA)
Cooperare con l’Autorità di controllo (es. Garante Privacy)
Essere punto di contatto per l’autorità e per gli interessati
🧠 Competenze auspicabili
Approfondita conoscenza del GDPR
Familiarità con la struttura e i processi aziendali
Competenze in sicurezza informatica e gestione dei rischi
Integrità, riservatezza e alti standard etici
- DPO: Il ruolo è compatibile con altri incarichi?
Esatto. Il ruolo di DPO (Data Protection Officer) è compatibile con altri incarichi, purché non vi sia conflitto di interessi.
✅ Cosa significa "assenza di conflitto di interessi"?
Il DPO non deve essere coinvolto nelle decisioni operative sul trattamento dei dati. In altre parole, non può decidere “come” e “perché” i dati vengano trattati, ma deve sorvegliare e consigliare chi lo fa.
❌ Incarichi incompatibili (tipicamente con conflitto di interessi):
Amministratore delegato (CEO)
Membro del CDA
Direttore generale
Direttore HR
Direttore marketing
CFO (Direttore finanziario)
Responsabile IT o CIO
Questi ruoli determinano finalità e mezzi del trattamento, quindi non possono controllare sé stessi.
⚠️ Incarichi potenzialmente compatibili, da valutare caso per caso:
Responsabile legale
Compliance officer
Responsabile audit
Responsabile qualità
Questi ruoli non implicano decisioni dirette sui trattamenti, ma devono comunque essere valutati in base all’organizzazione specifica.
🧩 Buona prassi:
Formalizzare in documentazione interna l’assenza di conflitto d’interessi
In caso di dubbio, preferire un consulente esterno, soprattutto nelle PMI o quando non c'è una chiara separazione dei ruoli
- DPO: è sufficiente un DPO per gruppo imprenditoriale?
Sì, è sufficiente un unico DPO per un intero gruppo imprenditoriale, a condizione che siano rispettati alcuni requisiti previsti dal Regolamento (UE) 2016/679 (GDPR) e dalle Linee guida del Comitato Europeo per la Protezione dei Dati (EDPB).
📌 Riferimento normativo:
Art. 37, par. 2 del GDPR:
“Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati a condizione che tale responsabile sia facilmente raggiungibile da ciascuno stabilimento.”
✅ Requisiti da rispettare:
Facile raggiungibilità del DPO
Il DPO deve essere accessibile da ogni entità del gruppo, anche se è fisicamente ubicato in una sola sede.Ciò significa:
Comunicazioni agevoli via email, telefono, ecc.
Disponibilità a partecipare a riunioni (anche da remoto)
Conoscenza del contesto normativo e organizzativo di ciascuna azienda del gruppo
Conoscenza dei trattamenti
Il DPO unico deve avere una chiara visione dei trattamenti effettuati da tutte le entità del gruppo, anche se differenziati per area geografica o per settore.Adeguate risorse
Il DPO deve disporre di tempo, risorse e personale adeguati per svolgere i compiti in tutte le aziende del gruppo.Assenza di conflitti di interesse
Il DPO deve mantenere indipendenza e autonomia rispetto ai trattamenti effettuati da ciascuna entità del gruppo.
📝 Buona prassi:
Formalizzare la nomina in ciascuna azienda del gruppo
Inserire i dati del DPO in ogni informativa privacy
Assicurare la formazione del DPO su tutti i contesti aziendali coinvolti
- Sono obbligato a fare backup dei miei dati importanti?
Sì, sei obbligato a fare il backup dei dati importanti, in particolare se svolgi un'attività professionale che tratta dati personali, e ancor più se si tratta di categorie particolari di dati (come quelli sanitari o giudiziari).
📌 Riferimenti normativi:
Regolamento (UE) 2016/679 (GDPR):
L'art. 32 richiede che il titolare e il responsabile del trattamento mettano in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, tra cui:“la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico”.
Codice Privacy italiano (D.Lgs. 196/2003 aggiornato dal D.Lgs. 101/2018):
Pur non imponendo più l’obbligo di un backup settimanale in modo tassativo, si richiama il dovere di adottare misure minime di sicurezza, in linea con quanto previsto dal GDPR.
✅ Buone prassi da rispettare:
Backup regolare e automatico (almeno settimanale)
Backup su supporto separato dal dispositivo principale
Backup off-site (in cloud o in una sede diversa)
Cifratura del backup, specialmente se contiene dati sensibili
Verifica periodica della possibilità di ripristino
Redazione di una procedura di backup documentata (utile anche in caso di ispezioni o audit)
⚠️ Inadempienza:
Non fare backup in modo adeguato può essere interpretato come mancata adozione di misure di sicurezza, con conseguenti responsabilità civili e amministrative in caso di perdita di dati o data breach.
- Ho bisogno di un computer moderno e potente per lavorare?
Non serve sempre un computer "ultimo modello", ma è importante che sia adatto allo scopo e aggiornato sul piano della sicurezza e compatibilità.
✅ In sintesi:
👤 Utenza singola / uso
- l gruppo di continuità è importante?
usare un UPS, di adeguata potenza, per proteggere i computer è di estrema importanza Un UPS oltre a stabilizzare la corrente che arriva allungando la vita dei computer protegge da possibili sovracorrenti/sovratensioni che potrebbero danneggiare sia il PC che l’hard disk che contiene i dati. Inoltre in caso di black-out, se adeguatamente configurato, permette lo spegnimento regolare del PC in breve tempo, salvaguardando i dati.
- Cosa significa consenso?
Il consenso è la libera indicazione della volontà del soggetto interessato di accettare esplicitamente una specifica operazione di trattamento relativa ai propri dati personali, di cui era stato informato in anticipo da colui che ha il potere di decidere su tale elaborazione (il Titolare del trattamento). Alcuni tipi di trattamento possono essere eseguiti senza il consenso dell'Interessato, ai sensi della sezione 24 del Codice italiano in materia di protezione dei dati. Il Regolamento UE 679/2016 tratta negli articoli 7 e 8 il ""consenso"" quale onere della prova della sussistenza del consenso al trattamento prestato dall'interessato è in capo al titolare. In qualsiasi momento l'interessato può revocare il proprio consenso, senza che questo pregiudichi la liceità del trattamento già effettuato precedentemente. Il trattamento dei dati del minore è lecito solo se questo abbia almeno 16 anni (in alcuni stati anche 13), altrimenti è necessario il consenso prestato o autorizzato dal titolare della responsabilità genitoriale.
- Cosa significa informativa?
L'informativa è un avviso contenente le informazioni che il Titolare del trattamento è tenuto a fornire a tutti gli interessati, sia per via orale che per iscritto, in modo chiaro conciso, in merito a quando e come i dati vengono raccolti sia direttamente dall'Interessato che tramite terzi, e come gli stessi vengono utilizzati.
- Cosa significa pseudonimizzazione?
Il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti ad un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona identificata o identificabile
l'ubicazione o gli spostamenti della persona fisica.
- Il regolamento è composto da quanti articoli?
Il Regolamento UE 679/2016 è composto di 99 articoli suddivisi in 11 Capi.
· Capo I – Disposizioni generali
· Capo II – Principi
· Capo III – Diritti dell'interessato
· Capo IV – Titolare del trattamento e responsabile del trattamento
· Capo V – Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
· Capo VI – Autorità` di controllo indipendenti
· Capo VII – Cooperazione e coerenza
· Capo VIII – Mezzi di ricorso, responsabilità` e sanzioni
· Capo IX – Disposizioni relative a specifiche situazioni di trattamento
· Capo X – Atti delegati e atti di esecuzione
· Capo XI – Disposizioni finaliIl Regolamento 679/16 si apre con alcune disposizioni generali, suddivise in 2 CAPI:
""Disposizioni"" generali che comprendono gli articoli da 1 a 4 e sono dedicate a individuare:
· oggetto e finalità del Regolamento;
· ambito di applicazione per materia;
· ambito di applicazione per territorio;
· definizioni.E ""Principi"" che comprendono gli articoli da 5 a 11 e disciplinano:
· principi generali;
· liceità;
· consenso;
· consenso dei minori;
· particolari categorie di dati;
· trattamenti relativi a condanne penali e reati - Chi è il titolare beneficiario del diritto alla protezione dei dati?
Il titolare/beneficiario del diritto alla protezione dei dati è la persona fisica. Il regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, compresi il nome e la forma della persona giuridica e i suoi dati di contatto (considerando n. 14); Il regolamento non si applica ai trattamenti di dati personali solo quando si è in presenza di trattamento per finalità esclusivamente personali o domestiche (art,2, co. 2, lett. c ); considerando n. 18 e 27) La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla tutela non armonizzata delle persone fisiche con riguardo al trattamento dei dati personali. Il trattamento può essere interamente, parzialmente o non automatizzato. Per il trattamento dei dati effettuato da istituzioni, organi, uffici e agenzie dell'Unione, si applica il Regolamento 45/2001. La protezione dei diritti della persona è obiettivo da garantire soprattutto quando il dato personale passa ""di mano in mano"". Gli stessi ""considerando"" del Regolamento ritengono opportuno che le persone fisiche debbano avere il controllo dei dati personali. La circolazione delle informazioni è elemento necessario dello sviluppo e del progresso economico.
- Come ci si comporta con i trattamenti particolari e quelli relativi a condanne penali?
Secondo il Regolamento UE 679/16 alcune categorie di dati sono soggetti a regole stringenti, per esempio i trattamenti particolari e relativi a condanne penali (art. 9, 10). In particolare, per i dati personali relativi a condanne penali e reati o connesse misure di sicurezza, può avvenire soltanto sotto il controllo dell'autorità pubblica o dietro autorizzazione del diritto dell'Unione o degli Stati Membri. Alcune categorie particolari di dati (sesso, origine razziale/etnica, convinzioni religiose e appartenenza politica, etc.) sono soggette a regole stringenti, in mancanza delle quali è vietato ogni trattamento:
· Consenso esplicito;
· Tutela di un interesse vitale;
· I dati trattati sono resi pubblici dall'interessato;
· Motivi di interesse pubblico; - l termine incaricato si usa ancora?ou work with?
A differenza che nel Codice Privacy, il nuovo Regolamento UE non utilizza espressamente il termine «incaricato», ma fa confluire in «terzo» chiunque sia sotto l'autorità diretta del Titolare o del Responsabile. (art. 10, n. 10).
- Che cos’è il diritto all’oblio?
Particolare importanza viene data al diritto all’oblio (art. 17) che è:
· diritto di veder cancellati i propri dati personali presso il titolare che li tratta
· diritto di veder cancellati i rinvii a questi dati, che potrebbero apparire sui motori di ricerca più diffusi Il diritto ad «essere dimenticati» deve concordarsi con il diritto di informazione e di libera espressione (si pensi ad un fatto di cronaca in cui è coinvolto l'interessato), e in generale con l'interesse pubblico e con eventuali obblighi legali.
Pertanto l'interessato non sempre potrà richiedere la cancellazione immediata dei dati che lo riguardano (riportati ad esempio da un sito web) fintanto che tali dati avranno una rilevanza pubblica, stante ovviamente la correttezza degli stessi. L'interessato ha diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano se sussiste uno dei seguenti motivi:
· I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti
· L'interessato revoca il consenso
· L'interessato si oppone al trattamento
· I dati personali sono stati trattati illecitamente
· I dati personali devono essere cancellati per adempiere ad un obbligo legaleIl diritto alla cancellazione non si applica se il trattamento è necessario:
· all'esercizio del diritto alla libertà di espressione e di informazione
· Per l'adempimento all'obbligo legale che richieda il trattamento previsto dal diritto dell'unione o dello stato membro cui è soggetto il titolare del trattamento, o per l'esecuzione di un compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri
· Per motivi di interesse pubblico nel settore della sanità pubblica
· Ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
· Per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziariaL'interessato ha il diritto di ottenere la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
· Contesta l'esattezza dei dati personali.
· Il trattamento è illecito e l'interessato si oppone alla cancellazione e chiede, invece, che ne sia limitato l'utilizzo.
· Benchè il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato in sede giudiziaria.
· l'interessato si è opposto al trattamento, in attesa della verifica in merito alla eventuale verifica della prevalenza dei motivi legittimi del titolare del trattamento.Se il trattamento è limitato, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell'interessato o per l'accertamento di un diritto in sede giudiziale, o per motivi di interesse pubblico
- Cosa sono i cookie?
I cookie sono delle stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale o browser, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Questi possono essere di prima e terza parte.
- Quali sono gli obblighi in caso di utilizzo di cookie di terze parti?
In presenza di un sito internet contenente cookie analitici di terze parti dove sono adottati strumenti che riducono il potere identificativo dei cookie e la terza parte non incrocia le informazioni raccolte con altre di cui già si dispone è sufficiente la sola informativa dei cookie, nel caso in cui non vengano adottati strumenti che riducono il potere identificativo dei cookies o la terza parte incrocia le informazioni raccolte con altre di cui già si dispone, sarà necessario predisporre l'informativa, inserire un banner con informativa breve e notificare al Garante Privacy l'uso di questi cookie. In presenza di ""profilazione"" con cookie analitici di terza parte è necessaria l'informativa e il banner.
- E' obbligatorio tenere un registro dei cookie?
La tenuta di un registro del consenso degli utenti per l'accettazione dei cookie nel proprio dispositivo è obbligatorio nel momento in cui è presente l'obbligo di inserimento del banner ed è necessario tenerlo in modo tale che, in caso di richiesta da parte di un visitatore, ci sia la possibilità di prenderne visione e che sia possibile cancellare i dati del visitatore. Nel caso in cui nel sito siano presenti solo cookie tecnici, analitici di prima parte e di terza parte (nel momento in cui vengono anonimizzati i dati e non c'è un incrocio degli stessi da parte della terza parte) non sussiste l'obbligo di tenuta del registro del consenso.
- In che modo il GDPR si occupa della videosorveglianza?
Anche il Regolamento 679 si occupa di videosorveglianza stabilendo che il titolare del trattamento è tenuto a procedere con un preventivo data protection impact assesement (DPIA) ex art. 35 Regolamento UE 2016/679 nelle ipotesi di sorveglianza sistematica su larga scala di zona accessibile al pubblico.
- In che modo deve essere effettuata la videosorveglianza?
Chi fa uso della videosorveglianza, deve effettuare, nel rispetto del principio di proporzionalità, la scelta e le modalità della ripresa e la dislocazione delle telecamere affinché le stesse registrino i dati pertinenti e non eccedenti allo scopo della ripresa stessa. Ad esempio l'angolo di visuale della ripresa deve essere limitato ai soli spazi di esclusiva pertinenza, escludendo ogni registrazione audio-video di aree comuni, o ancora i soggetti interessati dalle riprese devono essere informati con apposita cartellonistica (visibile anche in orario notturno) e avvisati che stanno accedendo ad una zona video sorvegliata
- Come si applica la normativa della videosorveglianza per le persone fisiche?
La "videosorveglianza" che le persone fisiche fanno per scopi esclusivamente personali (videocitofono, sistema di ripresa di sicurezza ecc) se non viene condivisa/diffusa sistematicamente con terzi e non vengono rese pubbliche le riprese, non si applica la normativa Privacy.
- Che tipo di vantaggi comporta per una azienda la corretta applicazione del GDPR 2016/679?
La capacità di protezione dati è sinonimo di buona impresa, di competitività e buona reputazione. Un'azienda che non è in grado di proteggere il proprio patrimonio informativo tendenzialmente tenderà a essere emarginata dal mercato perché da una parte sarà considerata vulnerabile ad attacchi informatici e furti di identità, dall'altra avendo indebolito le garanzie offerte su questo terreno ai clienti, risulterà meno competitiva.
- Le caselle di posta sono da considerarsi come dati personali?
La Commissione Europea chiarifica che gli indirizzi e-mail sono, generalmente, classificati come dati non personali, tuttavia qualora contengano invece il nome di una persona allora il loro status cambia, in quanto il dato è riconducibile a una persona determinata, e dunque non è considerato più anonimo. Quindi, se l’indirizzo email è, ad esempio, info@azienda.com è da considerarsi “dato non personale”, se invece è nome.cognome@azienda.com diventa “dato personale”.
- I dati identificativi riferiti a ditte individuali sono dati personali ai sensi della normativa privacy? Se vengono trattati, deve essere fornita l'informativa privacy?
L’art. 1 del Reg. UE n. 2016/679/UE al comma 1 precisa che: “il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati”. Il regolamento (GDPR) non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare alle imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto; in tale caso, le disposizioni del regolamento troveranno applicazione con riferimento al trattamento dei dati personali del rappresentante legale. Pertanto, poiché i dati delle ditte individuali sono riferiti a persone fisiche, si applica la normativa privacy e bisognerà rendere l’informativa ai clienti persone siche (interessati) e ottenere da questi il consenso espresso per il trattamento dei dati.
- Cosa deve fare il medico nel suo studio per essere in regola con la privacy?
Ci sono alcuni adempimenti che il medico è tenuto a fare per ottemperare alle norme sulla privacy. Il primo e più importante è la raccolta del consenso previa informativa sul trattamento dei dati personali.
- Questo consenso firmato dal paziente è “una tantum” o va rinnovato periodicamente?
Il consenso del paziente al trattamento dei dati sanitari deve essere raccolto all’inizio del rapporto di cura e vale a tempo indeterminato. Se il medico intende utilizzare i dati del paziente per finalità diverse e ulteriori rispetto a quelle originarie (per esempio per sperimentazione scientifica) deve integrare l’informativa e acquisire un ulteriore consenso specifico. Ma se non vi sono queste situazioni particolari, il consenso vale una volta per tutte.
- consenso di cui stiamo parlando equivale al consenso al trattamento sanitario?
Il consenso di cui stiamo parlando riguarda esclusivamente l’autorizzazione che il paziente dà al medico ad utilizzare i suoi dati personali per finalità di diagnosi e cura. Tutt’altra cosa è il consenso del paziente all’atto medico, che non riguarda la legge sulla privacy, bensì l’art. 32 della Costituzione, a norma del quale nessuno può essere obbligato ad un trattamento sanitario contro la sua volontà
- Se medico si avvale di un ragioniere e/o commercialista per la tenuta della sua contabilità, deve fare qualcosa per tutelare la privacy dei pazienti?
Sì, anche al consulente fiscale va affidata la formale responsabilità per il trattamento dei dati.
- Una volta espletate queste procedure, cosa deve fare il medico?
Una volta raccolto il consenso dei pazienti e affidate ai collaboratori le rispettive responsabilità, il medico deve fare in modo che durante la sua quotidiana attività professionale i dati sanitari dei propri pazienti siano utilizzati, conservati e in definitiva trattati in modo adeguato, a seconda che vengano conservati su carta oppure archiviati su computer
- E il personale di segreteria? Può accedere al computer e alle schede dei pazienti?
Il personale di segreteria deve limitare l’accesso solo ai dati necessari per svolgere il proprio lavoro, per cui potrà sicuramente accedere ai dati personali dei pazienti come ad esempio l’indirizzo e il numero di telefono, ma non ha titolo per accedere ai dati sanitari dei pazienti. Anche in questo caso è necessario che l’accesso al computer sia effettuato con un nome utente e una password dedicata al personale di segreteria, in modo che il sistema limiti automaticamente l’accesso ai dati comuni e non a quelli sensibili.
- Quali diritti ha il paziente diretto interessato?
Il paziente diretto interessato ha diritto in ogni momento a sapere quali dati che lo riguardano sono in possesso del medico, ha diritto di verificare che tali dati siano esatti e corretti, ha diritto a chiedere la cancellazione in tutto o in parte dei dati che lo riguardano e ha diritto ad ottenere copia di tutti i dati che lo riguardano.
- Il paziente ha diritto di chiedere al medico solo una copia degli atti o può pretendere di ottenere gli originali?
Se il paziente a suo tempo ha consegnato al medico un documento sanitario (ad esempio una radiografia) e poi successivamente chiede che gli venga restituita, il medico deve consegnare lo stesso originale che aveva ricevuto dal paziente stesso. Se invece il paziente chiede la propria scheda sanitaria, può ottenerne una stampa o una fotocopia.
- La consegna di documenti sanitari (ad esempio un certificato medico o una ricetta) deve farla materialmente il medico o può farlo anche il personale di segreteria?
Può farlo anche il personale di segreteria, ma allora il documento sanitario deve sempre essere chiuso in una busta e spetterà al personale di segreteria identificare il soggetto che ritira la busta: se il diretto interessato o se un delegato. In quest’ultima ipotesi, dovrà acquisire la delega del diretto interessato.
- Le buste chiuse contenenti i documenti sanitari possono essere messe a disposizione dei pazienti per il ritiro, ad esempio in uno scaffale della sala d’attesa dello studio?
No, perché così facendo non si sa chi è il soggetto che ritira la busta e potrebbe anche succedere che il paziente (magari anche in buona fede) ritiri una busta che non è la sua. Per evitare questi rischi di indebita conoscenza di dati sanitari da parte di terzi non autorizzati, una efficace misura di sicurezza, ad esempio, è inserire le buste in appositi schedari ubicati non nella sala d’attesa dello studio, bensì nello spazio dedicato alla segreteria. In questo modo l’identificazione del soggetto e la consegna della busta è mediata dal personale di segreteria, che deve attenersi alle regole di tutela della privacy sopra descritte.
- Il diritto alla privacy esiste anche per il paziente defunto?
Sì perché il decesso dell’assistito non esime il medico dal dovere di tutelarne la riservatezza. Bisogna però ricordare che gli eredi del defunto subentrano in tutti i diritti del deceduto, per cui nei confronti di costoro il medico non può opporre il segreto
- Il medico che cessa la propria attività come deve comportarsi?
Vale quanto detto sopra: la cessazione dell’attività corrisponde alla cessazione del rapporto di cura. Da quel momento decorre la conservazione per 10 anni.
- Cosa si intende per “Valutazione di Impatto” sulla protezione dei dati (VIP o in inglese PIA)?
Ogni titolare del trattamento dei dati ha l’obbligo di effettuare una valutazione di impatto sulla protezione dei dati (Privacy Impact Assessment). Tale adempimento è richiesto in relazione ai trattamenti automatizzati con strumenti informatici, ivi compresa la profilazione, o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico. Sono esonerati da alcuni adempimenti, quelli più gravosi, solo alcune categorie tipo piccole PMI e chi tratta dati semplici, fermo restando però l’obbligo di adempiere a quelli di base obbligatori per chiunque tratta dati specie con strumenti informatici. Questo esonero non può essere applicato anche agli esonerati nel momento in cui però: “…il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato”, il “trattamento non sia occasionale” o “includa il trattamento di categorie particolari di dati (sensibili)…o i dati personali relativi a condanne
- Data Breach
Importante novità introdotta dal Regolamento è l’obbligo da parte delle aziende e professionisti, in caso di violazione o perdita dei dati personali di notificare all’Autorità di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, l’avvenuta violazione dei dati degli interessati. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. Oggi l’obbligo di notifica della violazione è previsto solo in alcuni settori (provider telecomunicazioni); il Garante della Privacy lo scorso 24.5.2016 ha pubblicato un’infografica che offre un prospetto sintetico sugli attuali obblighi in caso di violazione dei data breach.
- Il ruolo della formazione nel nuovo Regolamento
Uno dei punti salienti che accomuna il D.Lgs. 196/03 al nuovo regolamento è sicuramente il ruolo cruciale della formazione di tutte le figure che interagiscono con il trattamento dei dati personali. Già nella 196, Allegato B – Disciplinare Tecnico in Materia di Misure Minime di Sicurezza veniva data grande importanza alla formazione continua del personale.
All’articolo 19 punto 6 (successivamente soppresso con la decadenza dell’obbligo di redazione del DPS) veniva dato grande risalto all’istruzione dei soggetti incaricati: 19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu’ rilevanti in rapporto alle relative attivita’, delle responsabilita’ che ne derivano e delle modalita’ per aggiornarsi sulle misure minime adottate dal titolare.La formazione e’ programmata gia’ al momento dell’ingresso in servizio, nonche’ in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali. Anche il nuovo regolamento pone l’attenzione sull’istruzione, in particolare su chiunque agisca per conto del titolare del trattamento, come si evince dall’ Art 32 paragrafo 4: 32.4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, […].
La formazione è fondamentale in ogni ambito lavorativo. Come si istruisce il personale sul corretto utilizzo di un’attrezzatura di lavoro, si forma il personale anche sulle corrette misure per il trattamento dei dati personali. La formazione va intesa anche come misura di tutela per l’azienda per garantire la corretta applicazione della normativa privacy da parte di tutto il personale. La formazione è quindi obbligatoria, ed è compito del titolare formare i propri dipendenti. Un personale formato e preparato è in grado di affrontare qualsiasi situazione e trovare la giusta soluzione ad ogni problema.
- Quando presentare e quando non presentare le informative
📄 Quando è obbligatorio fornire l'informativa privacy
✅ Obbligo generale (Art. 13 e 14 GDPR)
L’informativa deve essere fornita per ogni trattamento di dati personali, prima o al più tardi al momento della raccolta dei dati, se i dati sono ottenuti direttamente dall’interessato.
Nel caso in cui i dati siano raccolti indirettamente (es. da fonti pubbliche o da terzi), l’informativa deve essere fornita:
entro un termine ragionevole, e comunque non oltre un mese dalla raccolta,
oppure al momento della prima comunicazione con l’interessato,
oppure al momento della comunicazione dei dati a terzi, se prevista.
❌ Quando NON è necessario fornire l'informativa
1. Dati esclusi dal campo di applicazione del GDPR
Non è necessario fornire l’informativa se:
i dati trattati sono anonimizzati o aggregati e non riconducibili a una persona fisica identificabile;
i dati riguardano persone giuridiche (es. aziende, enti), i cui dati non sono protetti dal Regolamento (salvo eccezioni, es. nominativi di referenti facilmente identificabili).
2. Eccezioni previste dall’art. 14 GDPR (dati raccolti da terzi)
L’obbligo di informativa può essere escluso se:
l’interessato è già in possesso delle informazioni (es. ha ricevuto l’informativa in precedenza);
fornire l’informativa è impossibile o comporterebbe uno sforzo sproporzionato (es. in trattamenti di massa da fonti pubbliche);
l’acquisizione o la comunicazione dei dati è espressamente prevista da una legge nazionale o dell’Unione Europea;
i dati devono rimanere riservati per effetto di un obbligo di segreto professionale (es. medico, avvocato).
3. Ulteriori esclusioni previste dalla normativa nazionale
In alcuni casi non è richiesta l’informativa se:
il trattamento è effettuato in base a un obbligo di legge, regolamento o normativa UE;
il trattamento è legato a:
attività di investigazione difensiva in ambito penale (art. 38 disp. att. c.p.p.);
esercizio o difesa di un diritto in sede giudiziaria, purché il trattamento non si prolunghi oltre il necessario o non venga esteso a scopi ulteriori.
📝 Conclusione operativa
✔ Fornire sempre l’informativa, a meno che non si rientri in una delle deroghe esplicitamente previste dal GDPR o dalla legge nazionale.
✔ In caso di dubbi, è buona prassi documentare la motivazione dell’eventuale omissione dell’informativa. - Tempi di conservazione dei dati?
Bisogna innanzitutto premettere che:
🕒 Tempi di conservazione dei dati personali
📌 Principio generale
Ai sensi dell’art. 11, comma 1, lett. e) del D.Lgs. 196/2003 (Codice Privacy) e in conformità all’art. 5, par. 1, lett. e) del GDPR, i dati personali devono essere:
“conservati in una forma che consenta l’identificazione dell’interessato per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”.
In altri termini, il tempo di conservazione dei dati deve essere limitato allo stretto necessario, in funzione dello scopo per cui i dati stessi sono stati raccolti e trattati.
⚖️ Principio di necessità
Il principio di necessità nel trattamento dei dati personali (art. 3 del Codice Privacy) impone che:
i dati personali o identificativi siano trattati solo quando indispensabili per raggiungere le finalità legittime previste;
laddove possibile, si privilegi l’uso di dati anonimi o pseudonimizzati, riducendo al minimo l’identificabilità degli interessati.
🏨 Esempio applicativo: Strutture ricettive (alberghi)
Nel caso degli alberghi o strutture ricettive, i tempi di conservazione variano a seconda delle finalità:
1. Finalità di pubblica sicurezza
Le schedine alloggiati devono essere trasmesse all’Autorità di Pubblica Sicurezza (art. 109 T.U.L.P.S.).
Una volta trasmessi i dati, non esiste obbligo di conservarli ulteriormente, pertanto possono essere distrutti fisicamente.
2. Finalità fiscali e amministrative
I dati identificativi dei clienti, contenuti in fatture, ricevute e registri contabili, devono essere conservati per 10 anni, come stabilito dalla normativa fiscale e civilistica (es. Codice Civile, art. 2220).
In questo periodo, il trattamento è obbligatorio per legge e l’interessato non può opporsi alla conservazione.
3. Finalità statistiche
I dati raccolti a fini statistici possono essere conservati solo in forma anonima.
Se l’anonimizzazione non è possibile, la conservazione dovrà rispettare i limiti temporali e di proporzionalità previsti dalla normativa.
📎 Conclusione operativa
✔ Ogni titolare del trattamento deve stabilire i tempi di conservazione per ciascuna finalità e riportarli nell’informativa privacy (art. 13-14 GDPR).
✔ È consigliabile mantenere un registro delle attività di trattamento in cui siano indicati chiaramente i tempi di conservazione per ogni categoria di dato.
✔ Una volta decorso il termine di conservazione, i dati devono essere cancellati, anonimizzati o distrutti in modo sicuro. - Quando non è necessario fare domanda per installare la videosorveglianza?
L’autorizzazione dell’Ispettorato Territoriale del Lavoro non è necessaria nei seguenti casi:
✅ 1. Assenza di dipendenti
Se nell’ambiente in cui viene installato l’impianto non sono presenti lavoratori subordinati, non si applica l’art. 4 dello Statuto dei Lavoratori e non è necessario alcun accordo o autorizzazione.
✅ 2. Videosorveglianza che non riprende l’attività lavorativa
Quando sono presenti dipendenti, ma:
le telecamere non inquadrano postazioni di lavoro o aree in cui si svolge abitualmente l’attività lavorativa;
l’impianto è finalizzato esclusivamente alla tutela del patrimonio (es. ingresso, magazzino, parcheggi esterni) senza riprendere i lavoratori durante lo svolgimento delle loro mansioni.
In questi casi non si configura controllo a distanza, e quindi non serve alcuna domanda né accordo sindacale.
✅ 3. Accordo sindacale raggiunto
Se:
nell’azienda sono stati eletti RSA (Rappresentanti Sindacali Aziendali) o RSU (Rappresentanza Sindacale Unitaria);
e viene raggiunto un accordo tra il datore di lavoro e le rappresentanze sindacali,
non è necessario rivolgersi all’Ispettorato del Lavoro. L'accordo interno è sufficiente per procedere con l'installazione dell’impianto di videosorveglianza.
⚠️ Ricorda sempre
Anche quando non è necessaria l'autorizzazione, restano obbligatori:
il rispetto dei principi del GDPR (liceità, minimizzazione, proporzionalità);
l’adeguata informazione degli interessati tramite cartellonistica;
la limitazione dei tempi di conservazione delle immagini.
- Dove devono essere collocati i monitor della videosorveglianza?
🖥️ Collocazione dei monitor di videosorveglianza: cosa prevede la normativa
Sebbene non esista una norma specifica che imponga una collocazione precisa per i monitor collegati a un impianto di videosorveglianza, il loro posizionamento deve comunque rispettare i principi fondamentali del GDPR e dello Statuto dei Lavoratori in materia di protezione dei dati personali e controllo sul luogo di lavoro.
📌 Linee guida per una collocazione corretta
✅ Accesso limitato:
È fortemente consigliato collocare i monitor in zone riservate, non accessibili o visibili al pubblico o a personale non autorizzato, per evitare che le immagini registrate siano consultabili indiscriminatamente.✅ Riservatezza garantita:
La visualizzazione delle immagini in tempo reale o registrate deve essere limitata a soggetti espressamente autorizzati (es. titolare, addetti alla sicurezza, personale incaricato al trattamento).✅ Contesto aziendale:
Il posizionamento dei monitor deve tenere conto della struttura fisica dell’azienda e delle dimensioni degli ambienti, in modo da evitare che chiunque possa, anche solo accidentalmente, vedere le riprese.✅ Influenza sull'autorizzazione:
Nel caso in cui l’impianto necessiti di autorizzazione da parte dell’Ispettorato del Lavoro (ai sensi dell’art. 4 dello Statuto dei Lavoratori), anche il posizionamento dei monitor può essere valutato dall’Autorità come elemento rilevante per la concessione del nulla osta.❌ Cosa evitare
Monitor installati in aree comuni aperte al pubblico (es. reception, sale d’attesa) senza adeguate protezioni visive.
Monitor visibili a dipendenti non autorizzati, specie se le riprese riguardano postazioni di lavoro.
Monitor lasciati incustoditi in locali accessibili a più persone senza credenziali o registrazione di accesso.
📄 Suggerimento operativo
Per rafforzare la conformità al Regolamento, è opportuno:
inserire nel Registro delle Attività di Trattamento anche la descrizione del luogo di collocazione dei monitor;
indicare nella policy aziendale sulla videosorveglianza chi ha accesso alle immagini e con quali modalità;
attuare misure tecniche come schermi oscurati lateralmente, autenticazione con password e registri di accesso ai monitor e alle registrazioni.
- Quanto conservare le registrazioni della videosorveglianza?
🕒 Tempi di conservazione delle registrazioni di videosorveglianza
La normativa in materia di videosorveglianza prevede limiti rigorosi alla durata della conservazione delle immagini, al fine di tutelare i diritti e le libertà degli interessati, come previsto dal Regolamento Generale sulla Protezione dei Dati (GDPR) e dai provvedimenti del Garante per la protezione dei dati personali.
⏳ Durata standard di conservazione
✅ 24 ore:
È il limite di conservazione ordinario e consentito in assenza di particolari esigenze. Questo tempo è ritenuto sufficiente a soddisfare le finalità di sicurezza in contesti ordinari.✅ Fino a 48 ore:
È ammesso senza necessità di richiesta preventiva, nei casi in cui siano presenti:Giorni festivi o fine settimana (con chiusura degli uffici o dell’attività);
Eventi specifici che giustifichino l’estensione (es. impossibilità di visione in tempo reale).
📝 Richiesta di estensione a 7 giorni
⏱ Conservazione estesa fino a 7 giorni:
È ammissibile previa autorizzazione dell'Ispettorato Territoriale del Lavoro (non del Garante) e solo se:Vi sono fondati motivi di sicurezza (es. attività a rischio come banche, gioiellerie, depositi di valore);
L’azienda presenta un’istanza motivata all’Ispettorato competente, specificando:
Le finalità di sicurezza;
Le aree riprese;
Le modalità di accesso e consultazione delle immagini;
I tempi di conservazione proposti.
⚠️ Attenzione: fino al momento dell’autorizzazione (e in caso di rigetto), valgono i limiti ordinari di 24/48 ore.
📌 Casi particolari
Le banche e altri istituti simili non sono esentati: anche loro devono fare richiesta formale all’Ispettorato per ottenere l’estensione, sebbene in tali casi l’autorizzazione sia generalmente considerata una formalità.
In assenza di dipendenti, e se non viene ripresa l’attività lavorativa, non è necessaria l'autorizzazione, ma rimangono comunque validi i limiti temporali di conservazione per rispetto del principio di minimizzazione.
⚖️ Conformità e responsabilità
Superare arbitrariamente i limiti di conservazione costituisce illecito trattamento e può comportare sanzioni amministrative e penali;
Il titolare del trattamento deve garantire che i sistemi di registrazione siano configurati per la cancellazione automatica delle immagini al termine del periodo autorizzato.
- Quali sono i criteri di liceità del trattamento?
Il Regolamento GDPR conferma che ogni trattamento deve trovare fondamento in un'idonea base giuridica; i fondamenti di licietà del trattamento sono indicati all'art. 6 del Regolamento stesso, ossia adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, oblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi i cui dati vengono comunicati.
Il consenso raccolto precedentemente al 25 Maggio 2018 resta valido se ha tutte le caratteristiche richieste dal Regolamento, in particolare occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste e dichiazioni rivolte all'interessato, per esempio all'interno di modulistiche.
- Cosa si intende per Diritto di limitazione del trattamento?
Si tratta di un diritto esercitabile non solo di violazione dei presupposti di liceità del trattamento, quale alternativa alla cancellazione dei dati stessi, bensì anche se l'interessato chiede la rettifica o si oppone al loro trattamento.Esclusa la conservazione ogni altro trattamento del dato di cui si chiede la limitazione è vietato a menoche ricorrano le altre circostanze (consenso dell'interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giudirica, interesse pubblico rilevante). Il diritto alla limitazione prevede che il dato personale sia contrassegnato in attesa di determinazioni ulteriori pertanto, è opportuno che i titolari prevedano nei propri sistemi informatici (elettronici o meno) misure idonee a tale scopo
- Chi è il sub-responsabile del trattamento?
🔹 Chi è il sub-responsabile del trattamento?
È designato dal responsabile del trattamento per svolgere alcune attività delegate, solitamente in ambito tecnico o operativo (es. società di cloud, servizi IT, call center, ecc.).
È vincolato contrattualmente dal primo responsabile e non direttamente dal titolare, ma deve comunque rispettare le stesse regole stabilite dal GDPR.
🔹 Condizioni e responsabilità
Autorizzazione del Titolare
Il responsabile può nominare un sub-responsabile solo se ha ricevuto autorizzazione generale o specifica dal titolare del trattamento (Art. 28.2 GDPR).
In caso di autorizzazione generale, deve comunque informare il titolare di ogni cambiamento e quest’ultimo può opporsi.
Responsabilità contrattuale
Il primo responsabile è responsabile in solido verso il titolare per qualsiasi inadempienza del sub-responsabile, salvo possa dimostrare di non avere colpe (Art. 28.4 GDPR).
Contratto tra responsabile e sub-responsabile
Deve contenere gli stessi obblighi previsti nel contratto tra titolare e responsabile (es. sicurezza, durata del trattamento, tipo di dati, diritti degli interessati, ecc.).
📌 Esempio pratico
Un’azienda (titolare) affida a una società informatica (responsabile) la gestione dei suoi server. La società informatica, a sua volta, appalta il servizio di backup a un fornitore cloud (sub-responsabile).
➡ In questo caso:Il titolare deve essere informato (e, se richiesto, dare consenso).
Il responsabile deve stipulare un contratto anche con il sub-responsabile.
Il responsabile è legalmente responsabile del trattamento anche per conto del sub-responsabile.
- Quali sono le novità introdotte dal nuovo Decreto Lgs. 101/2018 ?
📘 Decreto Legislativo 101/2018 – Le principali novità
Adeguamento al GDPR
Il decreto ha armonizzato il Codice Privacy (D.Lgs. 196/2003) con il Regolamento Europeo GDPR, abrogando articoli incompatibili e integrando quelli ancora validi.
Età per esprimere il consenso
Il consenso al trattamento dei dati può essere espresso a partire dai 14 anni.
Sotto i 14 anni è necessario il consenso di chi esercita la responsabilità genitoriale.
Obbligo di nomina del DPO
Tutti gli organi giurisdizionali sono tenuti a nominare un Data Protection Officer (DPO).
Vengono chiarite limitazioni ai diritti degli interessati per ragioni di giustizia.
Tutela rafforzata dei minori
Divieto di pubblicazione dei dati personali dei minori salvo casi previsti dalla legge.
Introdotte sanzioni penali per la violazione di tali disposizioni.
Dati genetici, biometrici e sanitari
Trattamenti ammessi solo con misure di garanzia definite dal Garante, sentito il Ministro della Salute.
Ammesso l’uso di dati biometrici per accessi fisici o logici, nel rispetto di specifiche garanzie.
Misure di sicurezza
Rafforzato il principio di “protezione dei dati fin dalla progettazione”.
Richiesto l’uso di tecniche come cifratura, pseudonimizzazione, minimizzazione e accesso selettivo ai dati.
Comunicazione e diffusione dei dati
Distinzione chiara tra comunicazione (trasmissione a soggetti determinati) e diffusione (conoscibilità generalizzata).
Entrambe sono lecite solo nei casi previsti dalla legge o con consenso.
Accesso ai dati per finalità di interesse pubblico
Viene considerato lecito l’uso dei dati personali per motivi di rilevante interesse pubblico.
Diritto post-mortem
Introdotto il diritto all’eredità digitale: in assenza di disposizioni contrarie, gli eredi possono accedere ai dati del defunto.
Dati degli studenti universitari
Su autorizzazione dell’interessato, le università possono comunicare i dati personali degli studenti a enti o imprese, per finalità di orientamento, formazione e inserimento lavorativo.
Reclamo al Garante
Introdotto il reclamo al Garante per la protezione dei dati personali come alternativa più semplice al ricorso giudiziario.
- In cosa consiste il Principio di esattezza dei dati?
Il principio di esattezza dei dati, previsto dall’art. 5, par. 1, lett. d) del GDPR, impone che i dati personali:
siano esatti e, se necessario, aggiornati;
siano corretti o cancellati senza indugio, se inesatti rispetto alle finalità per cui sono trattati.
📌 In pratica, questo principio comporta che:
Il titolare del trattamento (Data Controller) deve adottare misure ragionevoli per garantire l’accuratezza dei dati, in funzione della finalità per cui vengono raccolti e trattati.
L’interessato ha il diritto di richiedere la rettifica o aggiornamento dei propri dati personali (art. 16 del GDPR), in caso di errore o incompletezza.
Non è ammesso un aggiornamento arbitrario:
Il titolare non può accedere a nuove fonti (es. registri pubblici, anagrafe) senza una base giuridica valida o senza nuovo consenso.
Ad esempio, un’azienda non può aggiornare l’indirizzo di un ex-cliente per l’invio di pubblicità senza un nuovo consenso, anche se ha accesso a database pubblici.
Obbligo di cancellazione o rettifica:
Quando i dati non sono più aggiornati o esatti rispetto alle finalità del trattamento, devono essere corretti o cancellati.
🧩 Esempio concreto:
Una società conserva l’indirizzo e-mail di un cliente per finalità di assistenza post-vendita. Dopo alcuni anni, desidera usare quel contatto per inviare offerte.
👉 Senza nuovo consenso, questo uso violerebbe il principio di esattezza e finalità, oltre al principio di liceità.
- Come posso quantificare la "larga scala" ?
Il concetto di "larga scala" nel GDPR non è definito con numeri precisi, ma è contestuale e valutato caso per caso, tenendo conto di più fattori. Serve soprattutto per decidere se sia necessario nominare un DPO, effettuare una valutazione d’impatto (DPIA), e altre misure di compliance.
✅ Criteri per valutare se un trattamento è su larga scala:
Numero di interessati coinvolti
Centinaia, migliaia o milioni, anche potenziali.
Volume dei dati trattati
Quantità totale e varietà (es. dati anagrafici, sanitari, comportamentali).
Durata del trattamento
Quanto dura il trattamento: una tantum, continuo, sistematico.
Estensione geografica
Locale, regionale, nazionale, sovranazionale.
🧪 Esempi tipici di trattamenti sempre su larga scala:
Trattamenti di dati sanitari da parte di un ospedale.
Monitoraggio continuo degli spostamenti dei passeggeri su mezzi pubblici.
Analisi di dati bancari o assicurativi su tutta la clientela.
Raccolta di dati da parte di motori di ricerca o browser per fini pubblicitari.
Trattamento di metadati e geolocalizzazione da parte di fornitori di telecomunicazioni.
❌ Esempi che non sono su larga scala:
Un singolo medico di base che tratta dati dei suoi pazienti.
Un avvocato che gestisce i dati dei propri assistiti.
Un artigiano che registra i dati dei suoi clienti per la fatturazione.
📌 Conclusione operativa:
In caso di dubbio, valuta questi 4 elementi:
Quantità + Varietà + Durata + Estensione geografica.
Se almeno 2 o 3 sono elevate → è probabile che si tratti di larga scala. - Cosa si intede per "archivio" nel GDPR ?
Nel contesto del GDPR, il termine "archivio" è definito all’art. 4, punto 6 del Regolamento come:
"qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico."
📚 In sintesi, un archivio è:
Un insieme organizzato di dati personali (non dati casuali).
Può essere elettronico (es. database, CRM, email) o cartaceo (es. fascicoli in armadi etichettati).
Deve essere strutturato e accessibile secondo criteri (es. ordine alfabetico, per cliente, per data).
❌ Non è considerato “archivio” ai fini GDPR:
Un foglietto volante con dati personali lasciato sulla scrivania.
Appunti non strutturati né indicizzati.
Dati non organizzati secondo criteri specifici.
✅ Esempi di archivi soggetti al GDPR:
Un gestionale clienti con dati anagrafici e cronologia ordini.
Un file Excel con elenco di fornitori ordinato per codice.
Un archivio cartaceo di dipendenti classificato per matricola.
📌 Perché è importante?
Perché il GDPR si applica al trattamento di dati contenuti in archivi. Se i dati non sono archiviati in modo strutturato, alcuni obblighi del Regolamento potrebbero non applicarsi (fermo restando che non si può eludere la norma rendendo volutamente disordinati i dati).
- Quali sono i dati biometrici?
I dati biometrici sono dati personali derivanti da specifici trattamenti tecnici relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, che ne permettono o confermano l’identificazione univoca.
Sono definiti all’art. 4, punto 14 del GDPR come:
“dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, come l'immagine facciale o i dati dattiloscopici.”
✅ Esempi di dati biometrici (quando trattati con sistemi automatizzati):
Fisiologici:
Impronte digitali
Immagine facciale (riconoscimento facciale)
Retina o iride
Geometria della mano o delle dita
Tratti del viso
Vascolarizzazione (vene della mano o del dito)
Altezza e proporzioni corporee (se usate per identificazione automatica)
Comportamentali:
Impronta vocale (voce)
Firma grafometrica (analisi della firma)
Stile di scrittura o di battitura sulla tastiera
Movimenti e postura
Ritmo del passo (camminata)
⚠️ Condizioni per essere considerati "biometrici" ai sensi GDPR:
Devono essere ottenuti da un trattamento tecnico automatizzato.
Devono consentire o confermare l’identificazione univoca dell’interessato.
Un semplice dato biologico (es. una foto nel documento) non è un dato biometrico a meno che non venga processato tramite software per identificarlo automaticamente.
🛑 Trattamento e tutela:
I dati biometrici sono classificati come categorie particolari di dati personali (art. 9 GDPR) e il loro trattamento è vietato, salvo alcune eccezioni specifiche (es. consenso esplicito, motivi di interesse pubblico rilevante, sicurezza sul lavoro, giustizia, ecc.).
- Quali sono le categorie di Data Breach ?
le violazioni dei dati personali (Data Breach) nel contesto del GDPR possono essere classificate in tre categorie principali, a seconda del tipo di compromissione:
🔐 1. Confidentiality Breach
Violazione della riservatezza dei dati
➡️ Si verifica quando i dati personali vengono divulgati o acceduti da persone non autorizzate, sia in modo accidentale che illecito.Esempi:
Invio di e-mail con dati sensibili al destinatario sbagliato
Accesso non autorizzato a database da parte di hacker
Perdita di documenti cartacei contenenti dati personali
🔧 2. Integrity Breach
Violazione dell’integrità dei dati
➡️ Si verifica quando i dati personali vengono modificati in modo non autorizzato o accidentale, compromettendo la loro accuratezza e affidabilità.Esempi:
Manipolazione di dati da parte di un soggetto non autorizzato
Malfunzionamento di un sistema che altera dati memorizzati
Corruzione di file causata da malware
🚫 3. Availability Breach
Violazione della disponibilità dei dati
➡️ Si verifica quando i dati personali diventano inaccessibili o perduti, in modo accidentale o illecito, impedendo l’accesso da parte di chi ne ha diritto.Esempi:
Malfunzionamento di server senza backup disponibile
Attacco ransomware che blocca l’accesso ai dati
Cancellazione accidentale di archivi
⚠️ Obbligo di notifica del Data Breach (art. 33 GDPR):
Entro 72 ore dalla scoperta, se il data breach può comportare un rischio per i diritti e le libertà degli interessati.
Se il rischio è elevato, è necessario informare anche gli interessati (art. 34 GDPR).
💰 Sanzioni previste:
Fino a 10 milioni di euro o
Fino al 2% del fatturato mondiale annuo dell’esercizio precedente (per le imprese), se superiore.Se vuoi, posso fornirti anche una checklist per la gestione operativa di un Data Breach secondo il GDPR.