La base giuridica La disciplina comunitaria (Regolamento UE 679/2016, apparato normativo self executing) e quella nazionale (d.lgs. n. 196/2003) si curano di garantire la tutela dei dati personali, sotto una molteplicità di profili; per coloro che operano all’interno della Pubblica Amministrazione, particolare attenzione viene richiesta sin dal momento di stesura dell’atto (c.d. privacy by design)…

L’esperienza nella definitiva applicazione del Reg. UE 2016/679 (GDPR) ci ha portato ad affrontare molti casi concreti, superandoli anche con l’aiuto delle linee guida dell’European Data Protection Board (EDPB)[1] e del Garante per la Protezione dei Dati Personali[2]. Tra i documenti più recenti dell’EDPB, ancora nella fase di consultazione, ci sono le Guidelines 07/2020 on…

Gli illeciti amministrativi per omessa informativa e omessa acquisizione del consenso per il trattamento dei dati non si consumano uno actu, ma hanno carattere continuativo, potendo le violazioni essere sanate da un comportamento successivo. Il principio – lungi dall’essere una questione squisitamente dottrinale – ha grande impatto per titolari e gestori di banche dati, incidendo…

Qualche giorno fa il Garante europeo della protezione dei dati (GEPD) ha pubblicato un report su come le istituzioni, gli organi e le agenzie dell’UE (EUI) effettuano le valutazioni d’impatto sulla protezione dei dati (DPIA) per il trattamento di informazioni che presentano un rischio elevato per i diritti e la libertà delle persone fisiche. Wojciech…

Premessa – Chi è NOYB NOYB – Centro europeo per i diritti digitali (www.noyb.eu), è un’organizzazione senza scopo di lucro con sede a Vienna, in Austria, fondata nel 2017. Co-fondatore di NOYB è l’avvocato austriaco Max Schrems, attivista per la privacy diventato noto nel 2013 per avere avviato campagne contro Facebook Ireland per violazioni delle…

Information Security, Data Protection e Privacy: questi tre termini vengono spesso usati come sinonimi, ignorando le caratteristiche che ne sostanziano le differenze. È così che, soprattutto in contesti colloquiali, si parla indistintamente di Information Security, Cybersecurity o anche Sicurezza, Privacy e protezione dei dati. Allo stesso modo ci si riferisce al “Garante Privacy” o alla…

Segue dalla quarta parte. 4.5 FASE 5: identificazione delle misure di mitigazione del rischio per dimostrare la conformità Nella FASE 5 è necessario da parte del Titolare, sulla base dei risultati ottenuti nella valutazione del rischio effettuata nella fase precedente, decidere se e come introdurre nuove misure di mitigazione del rischio. Se dai risultati della…

Segue dalla terza parte. 4.3 FASE 3: valutazione della necessità e proporzionalità del trattamento, e delle misure di garanzia per la conformità Nella FASE 3 è necessario valutare come il Titolare abbia intenzione di risultare conforme alla norma in relazione alla necessità e proporzionalità del trattamento. Inoltre, deve descrivere come vengano gestite le misure di…

Segue dalla seconda parte 3. Come valutare la necessità dello svolgimento della DPIA: la FASE 0 La prima fase operativa, indicata nel seguito come Fase 0 del processo della DPIA, è rappresentata dalla decisione che il Titolare deve assumere a riguardo della necessità, o meno, di svolgere una DPIA per un trattamento specifico. 3.1 Fase…

Segue dalla prima parte 2.8 In quali trattamenti è necessaria la DPIA? L’Art.35 punto 3 evidenzia, in particolare, tre prime tipologie di trattamento in cui è sempre richiesto lo svolgimento della DPIA: Valutazione sistematica automatizzata dei dati (anche con profilazione) con effetti significativi sulle persone Una valutazione sistematica e globale di aspetti personali relativi a…