Ultima Offerta
Cloud Backup

Sezione News
NETLEX PER AVVOCATI

Sezione Eventi

Sistema Assistenza Web



Il sistema di teleassistenza web garantisce il controllo remoto del PC del cliente, permettendo di rispondere alle domande e dare assistenza tecnica immediata.

Faq - Domande frequesti sulla Privacy


L'entrata in vigore del GDPR comporta l'abrogazione del D.LGS 196/2003?

L'entrata in vigore del GDPR non comporta l'abrogazione automatica del D.Lgs 196/2003; tuttavia tutte le disposizioni della legge statale che risultino in contrasto con le nuove norme europee dovranno essere disapplicate in favore della nuova disciplina. Con legge 25 ottobre 2017, n. 163 il parlamento ha delegato il Governo ad armonizzare il Codice per la protezione dei dati personali proprio con il GDPR, dando 6 mesi di tempo per effettuare tali modifiche ( quindi fino a fine Aprile 2018) Solo allora si sapra' cosa rimane in vigore del Dlgs 196/2003


Chi sono I soggetti destinatari del Regolamento Generale sulla Protezione dei dati U E (GDPR)

Il Regolamento Generale sula Protezione dei Dati (GDPR) 2016/679, che stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché le norme relative alla libera circolazione di tali dati , interessa imprese, professionisti e enti pubblici ed e' obbligatorio e applicabile in tutti gli Stati membri . Si applica anche qualora il trattamento dei dati personali di cittadini UE venga effettuato in Stati Extra UE


Quale e' la nozione di trattamento dati?

Per trattamento si intende qualunque operazione o insieme di operazioni, compiuto con o senza l'ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l 'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione


Cosa e' un dato personale?

Per dato personale si intende qualunque informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che puo' essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo on line o a uno o piu' elementi caratteristici della sua identita' fisica, fisiologica, genetica, psichica, economica, culturale o sociale.


Cosa si intende per categoria particolare di dati personali?

Si intendono dati personali idonei a rivelare l'origine razziale o etnica, le convinzioni religiose, filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Normalmente in una azienda o studio i dati particolari in possesso possono essere quelli relativi al personale dipendente oppure a soci, amministratori di societa' artigiane o societa' esercenti attivita' commerciale. Diverso e' il discorso per quanto riguarda i commercialisti, i consulenti del lavoro, medici e poliambulatori ove e' più vasta la casistica dei dati particolari trattati (si pensi ai dati dei pazienti assistiti dal medico o da un poliambulatorio, oppure all'informazione della destinazione dell'8 per mille alle varie organizzazioni di carattere religioso che ricevono i commercialisti da parte dei loro clienti, o all'elaborazione delle paghe da parte dei consulenti del lavoro che rilevano l'adesione ad un sindacato, o una indennita' malattia….


Chi e' il titolare del trattamento?

Si definisce Titolare del trattamento la persona fisica, la persona giuridica, l'autorita' pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalita' e i mezzi del trattamento dei dati personali; quando le finalita' e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli stati membri.


Cos'e' la contitolarita'?

Allorche' due o più titolari del trattamento determinano congiuntamente le finalita' e i mezzi del trattamento, essi sono contitolari e determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilita' in merito all'osservanza degli obblighi derivanti dal Regolamento.


E' obbligatorio nominare un responsabile del trattamento?

La nomina del Responsabile del Trattamento va fatta quando un trattamento debba essere effettuato da un altro soggetto per conto del titolare del trattamento; la nomina del responsabile deve ricadere su soggetti che presentino garanzia sufficienti per mettere in atto misure tecniche ed organizzative adeguate per tutelare i diritti dell'interessato. I trattamenti da parte del responsabile sono disciplinati da un contratto o da altro atto giuridico ove verranno dettagliati i trattamenti, la durata del trattamento, la natura, la finalita' del trattamento, i tipi di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

Chi e' il Rappresentante del titolare del trattamento?

Qualora si effettui il trattamento di dati personali di interessati che si trovano nell'Unione da parte di un titolare o responsabile del trattamento che non e' stabilito nell'Unione, il Titolare o responsabile designa per iscritto un rappresentante nell'Unione stabilito in uno degli Stati membri in cui si trovano gli interessati. Il rappresentante e' incaricato a fungere da interlocutore con le autorita' di controllo e con gli interessati per tutte le questioni riguardanti il trattamento

Quando rilasciare le informative per il trattamento dei dati personali?

Il titolare, nel momento in cui raccoglie i dati dall'interessato, deve fornire apposita informativa specificando:

  • identita' del titolare e, se presente, del suo rappresentante
  • i dati del responsabile del trattamento, ove applicabile
  • le finalita' del trattamento e la base giuridica del trattamento
  • l'eventuale intenzione di trasferire i dati personali a un paese terzo ad una organizzazione internazionale
  • i destinatari o categorie di destinatari dei dati personali
  • il periodo di conservazione dei dati
  • l'esistenza del diritto dell'interessato di chiedere l'accesso o la rettifica o la cancellazione dei dati o la limitazione del trattamento, nonché di opporsi al trattamento o di ottenere la portabilita' dei dati
  • possibilita' di revocare il consenso in base a determinate condizioni
  • diritto di proporre reclamo ad autorita' di controllo
  • se la comunicazione dei dati e' un obbligo legale o contrattuale o requisito necessario per la conclusione del contratto
  • se esiste un processo decisionale automatizzato ( compresa la profilazione)
  • la natura obbligatoria o facoltativa del conferimento dei dati, specificando le eventuali conseguenze di un rifiuto di rispondere
Se i dati non sono ottenuti presso l'interessato, entro un tempo ragionevole dall'ottenimento dei dati, ma al piu' tardi entro un mese, oltre alle informazioni suddette, bisognera' specificare:
  • la fonte da cui hanno origine i dati personali e se provengono da fonti accessibili al pubblico
Se i dati raccolti da altra fonte sono destinati alla comunicazione con l'interessato, l'informativa sara' data non oltre la prima comunicazione dei dati; se invece e' prevista la comunicazione ad altro destinatario, l'interessato dovra' essere informato non oltre la prima comunicazione dei dati personali


Quando richiedere il consenso agli interessati?

In base all'art. 6 del GDPR i trattamenti sono leciti solo se ricorrono alcune condizioni; tra le altre, alla lettera c) si legge “ l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o piu' specifiche attivita' “ Qualora quindi il trattamento sia basato sul consenso il titolare deve essere in grado di dimostrare che l'interessato ha realmente prestato il consenso, pertanto e' preferibile usare la forma scritta, avendo cura di formulare la richiesta di consenso in modo chiaro e comprensibile e separando i consensi per eventuali diverse finalita'. .L'interessato ha il diritto di revocare il proprio consenso ma cio' non pregiudica la liceita' del trattamento basata sul consenso prima della revoca.


Cosa vuol dire Privacy By design e Privacy by default?

Il titolare del trattamento deve definire politiche interne e adottare procedure aziendali che garantiscano il rispetto dei principi privacy fin dalla fase della progettazione (Privacy by design), prevedendo impostazioni aziendali standard predefinite che limitino al massimo la raccolta di dati personali (Privacy by default) In fase di progettazione, sviluppo, selezione e utilizzo di applicazioni software, servizi e prodotti che per il loro utilizzo necessitano di un trattamento di dati personali, i produttori devono tenere in debito conto gli aspetti relativi alla protezione dei dati personali e adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato dei dati personali (es: pseudonimizzazione, cifratura, configurazioni privacy personalizzabili per consentire all'interessato di controllare il trattamento dei dati, trasparenza delle modalita' di trattamento …). Prima di iniziare le operazioni di trattamento, il Titolare deve mettere in atto misure tecniche e organizzative adeguate a garantire che le impostazioni predefinite degli applicativi software aziendali permettano di raccogliere e trattare solamente i dati personali effettivamente necessari al raggiungimento delle finalita' dichiarate all'interessato. In particolare, le impostazioni predefinite devono essere pre configurate in modo tale da garantire che non vi sia un accesso non autorizzato o non consentito ai dati personali senza l'intervento manuale di una persona fisica.

Le impostazioni predefinite devono essere pre configurate in modo tale da garantire che sia sempre ridotto al minimo:

la quantita' dei dati personali raccolti

la portata e l'ambito del trattamento

il periodo di conservazione

le modalita' di accessibilita'.


Chi e' il DPO (Data Protection Officer)

Il DPO e' il soggetto che per esperienza, capacita' ed affidabilita', fornisce garanzia del pieno rispetto della normativa privacy e della sicurezza delle informazioni, quindi deve essere designato in funzione di qualita' professionali, della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati. Il DPO puo' essere un dipendente del titolare o del responsabile del trattamento, od un soggetto esterno che assolve i suoi compiti sulla base di un contratto di servizi; la nomina deve essere fatta per iscritto. Il DPO deve godere di una certa autonomia e indipendenza all'interno dell'organizzazione del titolare o responsabile e sara' il punto di contatto per le Autorita' Garanti Privacy Tra i compiti del DPO : fornire consulenza al titolare del trattamento, al responsabile, agli incaricati in merito agli obblighi previsti dal GDPR monitorare l'osservanza e l'applicazione da parte del titolare e responsabile del trattamento degli obblighi previsti dal GDPR fornire parere, se richiesto, in merito alla valutazione d'impatto sulla protezione dei dati personali


La nomina del DPO e' sempre obbligatoria?

La nomina del DPO e' obbligatoria nei seguenti casi:
quando il trattamento e' effettuato da una Pubblica Amministrazione (escluse autorita' giurisdizionali)
quando le attivita' di trattamento richiedono il monitoraggio regolare e sistematico di persone fisiche su larga scala
quando le attivita' principali di trattamento consistono nel trattamento sistematico di dati personali sensibili, giudiziari, sanitari, genetici su larga scala


Cosa si intende con il concetto "larga scala"?

In base alle Linee Guida del GRUPPO DI LAVORO SULLA TUTELA DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DI DATI PERSONALI istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, si raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala:

  • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
  • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
  • la durata, ovvero la persistenza, dell'attivita' di trattamento;
  • la portata geografica dell'attivita' di trattamento.

Alcuni esempi di trattamento su larga scala sono i seguenti:

  • trattamento di dati relativi a pazienti svolto da un ospedale nell'ambito delle ordinarie attivita';
  • trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
  • trattamento di dati di geolocalizzazione raccolti in tempo reale per finalita' statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
  • trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell'ambito delle ordinarie attivita';
  • trattamento di dati personali da parte di un motore di ricerca per finalita' di pubblicita' comportamentale;
  • trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Alcuni esempi di trattamento non su larga scala sono i seguenti:

  • trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario;
  • trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.

Cosa si intende per monitoraggio sistematico?

Dalle Linee Guida del GRUPPO DI LAVORO SULLA TUTELA DELLE PERSONE FISICHE CON RIGUARDO AL TRATTAMENTO DI DATI PERSONALI istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 si legge: Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all'interno del RGPD; tuttavia, il considerando 24 menziona il “monitoraggio del comportamento di detti interessati”ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalita' di pubblicita' comportamentale. Occorre rilevare, però, che la nozione di monitoraggio non trova applicazione solo con riguardo all'ambiente online, e che il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati. L'aggettivo "regolare" ha almeno uno dei seguenti significati a giudizio del WP29 - che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito;

  • ricorrente o ripetuto a intervalli costanti;
  • che avviene in modo costante o a intervalli periodici.

L'aggettivo "sistematico" ha almeno uno dei seguenti significati a giudizio del WP29:

  • che avviene per sistema;
  • predeterminato, organizzato o metodico;
  • che ha luogo nell'ambito di un progetto complessivo di raccolta di dati;
  • svolto nell'ambito di una strategia.

Alcune esemplificazioni di attivita' che possono configurare un monitoraggio regolare e sistematico di interessati: curare il funzionamento di una rete di telecomunicazioni; la prestazione di servizi di telecomunicazioni; il reindirizzamento di messaggi di posta elettronica; attivita' di marketing basate sull'analisi dei dati raccolti; profilazione e scoring per finalita' di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); tracciamento dell'ubicazione, per esempio da parte di app su dispositivi mobili; programmi di fidelizzazione; pubblicita' comportamentale; monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili; utilizzo di telecamere a circuito chiuso; dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc.


Cos'e' il Registro dell'attivita' dei trattamenti e quando e' obbligatorio tenerlo?

Il GDPR stabilisce che ogni titolare e responsabile dei trattamenti tiene un registro delle attivita' di trattamento svolto sotto la propria responsabilita' e deve contenere delle informazioni:

  • i riferimenti del titolare, del contitolare e del rappresentante ( se esistono) e del DPO
  • le finalita' del trattamento
  • una descrizione delle categorie di interessati
  • una descrizione delle categorie di dati personali trattati
  • le categorie di destinatari a cui i dati saranno comunicati
  • se i dati vengono trasferiti verso un paese terzo o un'organizzazione internazionale, identificando il paese terzo e documentare le garanzie adeguate
  • i termini ultimi previsti per la cancellazione dei dati
  • una descrizione delle misure di sicurezza tecniche e organizzative

Nel caso in cui a tenere il registro sia il responsabile del trattamento, nel registro si dovra' indicare: il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile, del rappresentante del titolare del trattamento o del responsabile del trattamento e ove applicabile del DPO

  • le categorie dei trattamenti effettuati per conto di ogni titolare
  • se i dati vengono trasferiti verso un paese terzo o un'organizzazione internazionale, identificando il paese terzo e documentare le garanzie adeguate
  • una descrizione delle misure di sicurezza tecniche e organizzative

La tenuta del registro e' obbligatorio per le imprese o organizzazioni che hanno piu' di 250 dipendenti, ma se le imprese o organizzazioni con meno di 250 dipendenti trattano particolari categorie di dati o dati personali relativi a condanne penali e reati , allora hanno comunque l'obbligo di tenere il registro


Vi a' nel GDPR un elenco di misure di sicurezza da porre in essere?

l'Art. 32 del GDPR genericamente impone l'obbligo di mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, comprendendo tra tali misure: la psedonimizzazione e la cifratura dei dati personali ( tecnica che consiste nel conservare i dati in una forma che impedisce l'identificazione del soggetto senza l'utilizzo di informazioni aggiuntive) la capacita' di assicurare su base permanente la riservatezza, l'integrita', la disponibilita' e la resilienza dei sistemi e dei servizi di trattamento la capacita' di ripristinare tempestivamente la disponibilita' o l'accesso ai dati in caso di incidente fisico o tecnico una procedura per testare verificare e valutare regolarmente l'efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento per definire “l'adeguato livello di sicurezza” bisogna tenere conti di rischi che possono derivare dalla distruzione dalla perdita, dalla modifica, dalla divulgazione non autorizzata i dall'accesso non consentito ai dati trattati, e prendere quindi gli opportuni provvedimenti per ridurre al massimo tali rischi Un'altra misura di sicurezza e' senz'altro la formazione di chiunque agisce sotto l'autorita' del titolare e /o del responsabile ( il c.d incaricato)


Cos'e' la pseudonimizzazione?

All'art. 4 del GDPR viene data la presente definizione di psedunimizzazione:
«pseudonimizzazione»:il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;


Cos'e' il data breach?

Il data breach e' definito come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali. In caso di violazione il titolare del trattamento notifica la violazione all'autorita' di controllo competente senza ingiustificato ritardo, e ove possibile, entro 72 ore dal momento in cui si e' venuti a conoscenza, indicando la natura della violazione, le categorie e il numero approssimativo degli interessati coinvolti, il tipo di dati violati, le probabili conseguenze della violazione, descrivere le misure adottate o che attuera' sia per porre rimedio alla violazione sia per evitare il ripetersi della violazione stessa.


Cosa significa "Valutazione di impatto sulla protezione dati personali?"

Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalita' del trattamento, puo' presentare un rischio elevato per i diritti e le liberta' delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali Nella Valutazione d'impatto bisognera' fare una analisi dei rischi tenendo in considerazione i seguenti parametri:

  • Origine
  • Natura
  • Probabilita'
  • Gravita'
  • Contromisure

E si dovranno stimare i seguenti rischi: discriminazioni, furto di identita', perdite finanziarie o economiche, danni materiali immateriali o sociali, pregiudizio alla reputazione, violazione del segreto professionale, decifratura non autorizzata, perdita del controllo sui dati personali, profilazione e geolocalizzazione non autorizzate. Sulla base dei risultati emersi dall'attivita' di analisi dei rischi il titolare deve adottare le misure idonee ad abbassare al minimo i rischi rilevati
La Valutazione di impatto sulla protezione dei dati personali e' obbligatoria nel caso in cui le attivita' di trattamento consistono in:

  • valutazioni sistematiche e globali di aspetti personali delle persone fisiche , basati su trattamenti automatizzati ( profilazione) e sui quali si fondano decisioni che hanno effetti giuridici o incidono in maniera significativa sui diritti degli interessati
  • operazioni su larga scala di dati personali sensibili e/ giudiziari
  • sorveglianza su larga scala sistematica di zone accessibili al pubblico
Accesso Area Riservata

Username


Password


EDINFORM sas di SIMONTE ANTONINO & C. Via G.B. Fardella, 40 91100 Trapani - Tel. +39 0923.872287 - Fax. +39 0923.1876088 - P.IVA 01496450816