Domande frequenti - Tutte le domande frequenti

Seleziona la categoria di domande

Cerca nelle domande frequenti

Si consiglia di esporre gli attestati di formazione/informazione e la privacy policies estesa ben visibili nelle aree di lavoro, in presenza di sito web inserire apposita pagina estesa e ridotta; la versione ridotta deve essere visionabili all'atto del firma consenso privacy

Il Regolamento sulla Data Protection, entrato in vigore il 25 maggio 2016 si applicherà a tutti i 28 Stati membri UE a decorrere dal 25 maggio 2018, disciplina l’istituzione della figura del Data Protection Officer (in italiano Responsabile della protezione dei dati) nei seguenti casi:
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati sularga scala; oppure

c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all'articolo 10.

L’articolo 9 del Regolamento al comma 1 definisce quelle che sono le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che: "rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.

L'art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):

1. Il DPO è incaricato almeno dei seguenti compiti:

a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) cooperare con l'autorità di controllo;

e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2. Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.

Il responsabile della protezione dei dati è una persona esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all'interno di un'azienda, di un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente.

Il Data Protection Order è una figura professionale con particolari competenze in campo informatico, giuridico, di valutazione del rischio e di analisi dei processi.

Il compito principale del DPO è l’osservazione, la valutazione e la gestione del trattamento dei dati personali allo scopo di far rispettare le normative europee e nazionali in materia di privacy.

L’obbligo di redazione e adozione del registro non è generale: infatti il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Inoltre, non bisogna ritenere che l’adozione del registro sia un mero obbligo, infatti la sua redazione potrebbe avere anche scopi ulteriori:

  • Diffondere informazione, consapevolezza e condivisione interna;
  • Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.
  • Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • Le finalità del trattamento;
  • La descrizione delle categorie di interessati e delle categorie di dati personali;
  • Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
  • Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
  • I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • Una descrizione generale delle misure di sicurezza tecniche e organizzative.

Qualsiasi figura individuata formalmente come incaricato, ad esempio il tecnico della manutenzione, il gestore dei sistemi informatici. Ci possono essere più incaricati.

Il Responsabile del Trattamento Dati può conferire formalmente l'incarico a dei sub Responsabili che per esempio possono operare in sua assenza. Le responsabilià viagginao sempre per via gerarchica.

Le sanzioni vengono comminate al Titolare del Trattamento Dati che potà rivalersi sui Responsabili del trattamento Dati e sui sub Responsabili del trattamento Dati.

L’utilizzo degli indirizzi mail dipende da 2 diversi elementi, ossia dalle modalità con le quali sono state reperite e dalle finalità per le quali vengono utilizzate.

- Modalità con le quali sono state reperite

Se la mail è pubblica perché può essere reperita in elenchi o in Rete l’utilizzo potrà essere effettuato senza problemi perché si tratta di un dato che il soggetto ha per così dire deciso di rendere pubblico.

Se, al contrario l’indirizzo è stato comunicato dall’interessato, ma per specifiche finalità, lo stesso potrà essere utilizzato unicamente per queste e non anche per altre senza un consenso esplicito al trattamento per le nuove finalità.

- Finalità per le quali vengono raccolte

Quando si tratta un dato personale è necessario specificare la finalità del trattamento.

Questo significa, come appena rilevato, che se per la finalità per la quale il dato viene trattato è stato rilasciato il consenso potrà essere utilizzato solo per quella e non già per altre finalità diverse, salvo ricorrano altri presupposti legittimanti il trattamento come il legittimo interesse o l’obbligo di legge.

Nessun faq trovato in questa categoria
Nessun faq trovato in questa categoria
Nessun faq trovato in questa categoria

Utilizziamo i cookie per migliorare il nostro sito Web e la vostra esperienza durante l'utilizzo. I cookie utilizzati per il funzionamento essenziale di questo sito sono già stati impostati. To find out more about the cookies we use and how to delete them, see our privacy policy.

  I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk