Trattamento dei dati personali

Il trattamento dei dati personali, secondo il GDPR, è definito come qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali. Queste operazioni includono la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione dei dati. Il GDPR ha introdotto il principio di responsabilizzazione (accountability) che attribuisce ai titolari del trattamento il compito di assicurare e dimostrare il rispetto dei principi applicabili al trattamento dei dati personali, implementando misure tecniche e organizzative adeguate.

FAQ generata da AI

I dati personali, secondo la normativa sulla privacy, sono qualsiasi informazione riguardante una persona fisica identificata o identificabile. Secondo l'articolo 4 del GDPR, si tratta di informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, abitudini, stile di vita, relazioni personali, stato di salute, situazione economica, ecc. Il Regolamento distingue anche categorie particolari di dati personali (precedentemente definiti come "dati sensibili"), che includono dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Questi dati particolari godono di una protezione rafforzata e il loro trattamento è vietato salvo specifiche eccezioni.

FAQ generata da AI

La differenza tra privacy e protezione dei dati personali è sostanziale, anche se i due concetti sono spesso considerati sinonimi. La privacy fa riferimento al diritto alla riservatezza delle informazioni personali e della propria vita privata, un principio che usiamo come strumento per tutelare la sfera intima dell'individuo e impedire che le informazioni siano divulgate senza autorizzazione. Il concetto americano di privacy nasce da un'esigenza di sicurezza personale legata alla proprietà, definita nel 1890 come "diritto ad essere lasciato solo". La protezione dei dati personali, invece, è un sistema di trattamento dei dati che identifica direttamente o indirettamente una persona, includendo i principi di riservatezza, disponibilità e integrità dei dati. Il concetto europeo della protezione dei dati personali nasce dal timore che una profilazione dell'individuo possa essere potenzialmente discriminatoria, come dimostrato da eventi storici in cui registri anagrafici furono usati per perseguitare minoranze.

FAQ generata da AI

Il responsabile del trattamento dei dati personali ("data processor") è definito all'art. 4, par. 1, n. 8 del GDPR come "la persona fisica, giuridica, PA o ente che elabora i dati personali per conto del titolare del trattamento". Le condizioni essenziali che qualificano un soggetto come responsabile sono la distinzione dal titolare ("data controller") e l'elaborazione dei dati per conto di quest'ultimo. Il responsabile deve avere una competenza qualificata, garantire affidabilità e disporre di risorse tecniche adeguate per attuare gli obblighi derivanti dal contratto di designazione e dalle norme sulla protezione dei dati. Per essere qualificato come responsabile, il trattamento deve avvenire "per conto" del titolare, senza agire sotto l'autorità o controllo diretto di quest'ultimo. Il responsabile non può effettuare trattamenti per proprie finalità, poiché finalità e mezzi devono essere sempre stabiliti dal titolare del trattamento.

FAQ generata da AI

I principi fondamentali del trattamento dei dati personali, stabiliti dall'articolo 5 del GDPR, sono: liceità, correttezza e trasparenza; limitazione della finalità (i dati devono essere raccolti per finalità determinate, esplicite e legittime); minimizzazione dei dati (i dati devono essere adeguati, pertinenti e limitati a quanto necessario); esattezza (i dati devono essere esatti e aggiornati); limitazione della conservazione (i dati devono essere conservati per un periodo non superiore a quello necessario); integrità e riservatezza (i dati devono essere trattati in modo da garantire un'adeguata sicurezza); responsabilizzazione (accountability, il titolare deve essere in grado di dimostrare il rispetto di tutti i principi). Questi principi sono alla base di ogni trattamento lecito e rappresentano le fondamenta su cui costruire un sistema di protezione dei dati personali efficace e conforme alla normativa.

FAQ generata da AI

I diritti degli interessati nel trattamento dei dati personali, previsti dal GDPR, includono: il diritto di accesso alle informazioni riguardanti il trattamento dei propri dati personali, riconosciuto anche dall'art. 8 della Carta dei Diritti Fondamentali dell'UE; il diritto di rettifica dei dati inesatti; il diritto alla cancellazione ("diritto all'oblio"); il diritto alla limitazione del trattamento; il diritto alla portabilità dei dati; il diritto di opposizione al trattamento; il diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati. Il diritto di accesso è propedeutico agli altri diritti, poiché consente all'interessato di verificare la legittimità del trattamento ed eventualmente modificarlo attraverso richieste di integrazione, cancellazione od opposizione. Questo diritto viene riconosciuto a prescindere dall'esistenza di una lesione lamentata dall'interessato e senza limiti temporali, permettendo un controllo costante sul trattamento dei dati.

FAQ generata da AI

La gestione del consenso al trattamento dei dati personali deve rispettare specifici requisiti stabiliti dal GDPR. Il consenso deve essere libero, specifico, informato, inequivocabile e manifestato attraverso un'azione positiva chiara. Non può essere tacito o presunto e deve essere sempre revocabile. Per essere valido, il consenso deve essere granulare, ovvero raccolto separatamente per ciascuna finalità di trattamento. Come evidenziato in un recente provvedimento del Garante privacy, l'utilizzo di formule generiche che non permettano all'interessato di selezionare specifiche categorie merceologiche per le offerte commerciali o di scegliere i canali di comunicazione non è conforme alla normativa. Il consenso deve essere documentabile e il titolare deve essere in grado di dimostrare che l'interessato ha acconsentito al trattamento. Particolare attenzione va posta al consenso per i minori, che richiede l'autorizzazione dei genitori o tutori per i minori di 14 anni in Italia.

FAQ generata da AI

Le misure di sicurezza necessarie per il trattamento dei dati personali, secondo l'articolo 32 del GDPR, devono garantire un livello di protezione adeguato al rischio. Queste includono: la pseudonimizzazione e la cifratura dei dati; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati in caso di incidente fisico o tecnico; procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative. Il titolare e il responsabile del trattamento devono implementare misure adeguate considerando lo stato dell'arte, i costi di attuazione, la natura, l'oggetto, il contesto e le finalità del trattamento, nonché i rischi per i diritti e le libertà delle persone fisiche. Tra le misure organizzative importanti vi è anche il piano di formazione dei dipendenti, essenziale per sensibilizzare il personale che tratta i dati personali.

FAQ generata da AI

In caso di violazione dei dati personali (data breach), il titolare del trattamento deve comunicare l'evento al Garante privacy se comporta impatti sui diritti e le libertà degli interessati. La notifica deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui si è venuti a conoscenza della violazione. Rispondere efficacemente a un data breach richiede un approccio multidisciplinare e integrato. Per supportare le organizzazioni nella gestione delle violazioni, l'EDPB (European Data Protection Board) ha adottato le Linee Guida 01/2021 con esempi pratici di data breach, che integrano le precedenti Linee Guida sulla notifica della violazione dei dati personali. A livello nazionale, il Garante Privacy ha predisposto un "Servizio telematico" dedicato al data breach, fornendo anche uno strumento di autovalutazione per la notifica. È fondamentale che le organizzazioni abbiano procedure chiare per identificare, gestire e notificare le violazioni dei dati personali, minimizzando così i rischi per gli interessati.

FAQ generata da AI

I tempi di conservazione dei dati personali devono rispettare il principio di "limitazione della conservazione" stabilito dal GDPR, secondo cui i dati devono essere "conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati". Non esistono criteri ufficiali uniformi, ma alcuni termini/principi possono essere individuati: per i dati di marketing, il Garante privacy ha indicato 24 mesi come periodo massimo di conservazione; per i dati di profilazione, il periodo massimo è di 12 mesi; per i curricula, il periodo suggerito è di 6 mesi in assenza di contatto. Tuttavia, questi termini possono essere ampliati in casi specifici, come dimostrato dalle autorizzazioni concesse a Bulgari SpA (10 anni) e TOD's (7 anni) per la conservazione dei dati di profilazione della clientela di lusso. La gestione delle tempistiche di conservazione è complessa e richiede un'analisi attenta delle finalità del trattamento, evitando limiti lunghi motivati solo da una valenza precauzionale.

FAQ generata da AI

Il trattamento dei dati personali nella ricerca scientifica è regolato dagli articoli 110 e 110-bis del Codice Privacy, recentemente modificati. Questi articoli stabiliscono che il consenso dell'interessato per il trattamento dei dati relativi alla salute a fini di ricerca scientifica in campo medico, biomedico o epidemiologico non è necessario in due casi: quando la ricerca è effettuata in base a disposizioni di legge o regolamento o al diritto dell'UE; quando informare gli interessati risulta impossibile, implica uno sforzo sproporzionato o rischia di pregiudicare le finalità della ricerca. In questi casi, il titolare del trattamento deve adottare misure appropriate per tutelare i diritti degli interessati, come acquisire il parere favorevole del Comitato etico territoriale ed effettuare una valutazione d'impatto. È fondamentale implementare misure di pseudonimizzazione e anonimizzazione per proteggere i dati personali trattati. Inoltre, è importante mantenere una separazione dei consensi per il trattamento dei dati connessi alle finalità "di cura" e per quelli destinati a finalità "di ricerca".

FAQ generata da AI

La gestione dei dati personali nelle operazioni societarie richiede particolare attenzione poiché la titolarità dei dati può cambiare in modo permanente o temporaneo. Nel caso di cessione di un ramo d'azienda, si verifica un cambiamento permanente nella titolarità del trattamento, e secondo il Provvedimento 258/2022 del Garante privacy, è necessario informare tutti gli interessati del cambio di titolarità prima che avvenga. L'informativa deve essere redatta ai sensi dell'art. 14 GDPR, poiché i dati non sono stati raccolti direttamente dal cessionario. Nel caso di un numero elevato di interessati, il Garante ha previsto che l'informativa possa essere diffusa tramite modalità alternative come avvisi sul sito web o annunci su quotidiani nazionali. Per l'affitto di ramo d'azienda, la modifica è temporanea e bisogna distinguere tra "vecchi" interessati, che devono essere informati della modifica, e "nuovi" interessati, i cui dati sono acquisiti direttamente dal nuovo titolare. Alla scadenza del contratto, il Conduttore deve restituire all'Affittuario l'intera banca dati "affittata", escludendo i dati acquisiti durante la propria attività.

FAQ generata da AI

Per un trattamento dati personali conforme in azienda, è necessario seguire cinque punti fondamentali. Innanzitutto, identificare chiaramente il titolare del trattamento, ovvero chi assume le decisioni in ambito privacy e se esiste traccia documentale di tali decisioni. In secondo luogo, verificare l'esistenza di un registro dei trattamenti ex art. 30 GDPR, essenziale per mappare i trattamenti e avere una precisa fotografia delle attività svolte nell'azienda. Il terzo punto riguarda la verifica delle misure di sicurezza tecniche e organizzative adottate, come antivirus, firewall, procedure di backup, piani di formazione e procedure di data breach. Quarto, implementare un piano di formazione dei dipendenti per sensibilizzarli sulla protezione dei dati personali. Infine, verificare l'esistenza e il contenuto delle nomine sottoposte ai responsabili del trattamento ex art. 28 GDPR e delle lettere di autorizzazione ex art. 29 GDPR per il personale dipendente. Questi cinque passi sono essenziali per dimostrare la responsabilizzazione (accountability) del titolare nei confronti degli interessati e possono essere verificati attraverso un processo di audit.

FAQ generata da AI