Archivio dei tag dati

DiGiampaolo Cirioni

Anche il parrucchiere deve essere conforme al GDPR

Pillole di Privacy #6 – 10/10/2018

Con il comunicato stampa dell’8 ottobre 2018 il Garante ha pubblicato il modulo di registro dei trattamenti per imprese e professionisti sotto i 250 dipendenti e sebbene il GDPR tratti il registro come adempimento obbligatorio soltanto per alcune categorie di imprese e professionisti, è l’Autorità Garante della Privacy a consigliare a tutti di redigerlo e aggiornarlo, in quanto rappresenta uno degli strumenti più importanti per fornire un quadro aggiornato dei trattamenti effettuati e per ogni attività di valutazione del rischio.

Il registro delle attività di trattamento è uno degli adempimenti obbligatori per titolari e responsabili appartenenti alle seguenti categorie:

  • imprese o organizzazioni con almeno 250 dipendenti;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 GDPR, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 GDPR.

L’obbligo quindi si estende anche alle piccole imprese che hanno anche un solo dipendente, bar, ristoranti, piccoli negozi o anche titolari di partita IVA che per via della loro attività trattano dati sanitari dei propri clienti.

Quindi, tornando all’esempio del titolo: il parrucchiere che effettua test su possibili allergie dei propri clienti, dovrà necessariamente redigere un Registro dei Trattamenti.

DiGiampaolo Cirioni

Chi pensa che per essere in regola con il GDPR sia sufficiente compilare file o moduli si sbaglia, e di molto!

Pillole di Privacy #5 – 01/10/2018
L’intero Regolamento si basa sul principio di Accountability, ovvero di responsabilizzazione di chi è titolare del trattamento dei dati. Quest’ultimo, infatti, avrà l’obbligo di prendersi del tempo per seguire con attenzione il percorso del dato e dovrà garantirgli la massima sicurezza possibile in tutto il suo percorso.

Sembra facile, ma non lo è, non è standardizzabile poiché ognuno ha una struttura informatica diversa, ognuno ha relazioni gestite in modo diverso, la nuova Privacy è “un vestito su misura” da riprovare ogni anno per adattarlo ai cambiamenti fisiologici.

DiGiampaolo Cirioni

ENTRATO​ IN VIGORE IL D.LGS. 101/18

Pillole di Privacy #4 – 18/09/2018

Il GDPR ha abrogato la Direttiva 95/46/CE ma non il D.lgs. 196/2003 (c.d. Codice della Privacy) con cui era stata appunto recepita, a suo tempo, tale direttiva. Infatti il D.lgs.196/2003 non conteneva solo riferimenti a quest’ultima, ma anche ad altri fonti, quali ad esempio, la Direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Per questa ragione, si è reso necessario emendare il D.lgs. 196/2003 per comprendere quali punti sono stati effettivamente superati e adeguare gli altri al nuovo Regolamento Europeo. Questo è avvenuto grazie al D.lgs. 101/2018, il quale entrerà in vigore dal 19 settembre 2019 e, quindi, esplicherà da questo giorno i suoi effetti.

DiGiampaolo Cirioni

Per la Privacy, l’età minima per il consenso è quella dei 14 anni

Pillole di Privacy #3 – 13/09/2018

Il nuovo Decreto 101/2018 ha previsto che può esprimere il consenso al trattamento dei propri dati personali il minore che abbia compiuto i 14 anni di età. Questa previsione, quindi, abbassa da 16 a 14 gli anni previsti dal GDPR. Invece, il trattamento dei dati personali del minore di età inferiore a 14 anni è lecito solo nel caso in cui sia prestato da chi esercita la responsabilità genitoriale.

In questo senso, il Titolare del trattamento deve essere attento anche nel linguaggio che viene utilizzato per informare il minore. La normativa , infatti, richiede esplicitamente che le informazioni e le comunicazioni relative al trattamento dei dati del minore siano chiare, semplici, concise, esaustive, facilmente accessibili e comprensibili.

DiGiampaolo Cirioni

Il GDPR non si applica ai dati delle persone giuridiche

Pillole di Privacy #2 – 10/09/2018

divieto

Il titolo puo’ trarre in inganno. In effetti, quello che si vuole spiegare è quanto previsto nel Considerando 14 del GDPR:

“(14) È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.”.

Il GDPR incentra il suo spettro di azione ai dati “Personali”, vale a dire delle persone fisiche, e fa un preciso distinguo con quelli relativi alle persone giuridiche: questo non vuol dire che quest’ultimi non debbano essere protetti, ma solo che non rientrano nel campo di azione del GDPR.

In un altra “pillola” vedremo, poi, che al pari dei dati giuridici, il GDPR non si occupa di un’altra categoria di dati: quelli privati.