Pillole di RGPD - ETIPrivacy: Tutto sul GDPR RGPD 2016/679

Avv. Ciccia Messsina RGPD GDPR
Antonio Ciccia Messina – Consulente RGPD
Avvocato iscritto all’Ordine di Torino

#pillolediRGPD/FORMAZIONE CON TEST LISTA DEI CONTROLLI/91

Necessario documentare che il personale ha seguito corsi e ha appreso le nozioni. Un corso senza test di apprendimento è monco (articolo 39).

#pillolediRGPD/informative LISTA DEI CONTROLLI/90

per la PA, per i privati che devono nominare/nominano il DPO/RPD e in moltissimi altri casi sono tutte da rifare. Necessario (articolo 12, par. 1) che il titolare del trattamento individui modalità di informativa erga omnes efficaci (ad es. prima impersonalmente su internet o simili e poi reiterando l’operazione al primo contatto individuale con l’interessato).

#pillolediRGPD/Sanzioni illegittime LISTA DEI CONTROLLI/89

per evitare illegittimità, incostituzionalità, violazione dei diritti dell’uomo e altre catastrofi giuridiche (l’enfasi è d’obbligo) occorre assolutamente che il legislatore gradui con minimi e massimi specifici ciascuna delle possibili violazioni amministrative

#pillolediRGPD/Portabilità e accesso LISTA DEI CONTROLLI/88

Sono due diritti che si integrano. Prevedibile che gli interessati li esercitino entrambi contestualmente. Prepararsi a gestire le richieste, a rilasciare i dati portabili e a dare copia dei dati non portabili.

#pillolediRGPD/PROFILAZIONE LISTA DEI CONTROLLI/87

Per rispettare i diritti dell’interessato bisogna prevedere un servizio di interfaccia/call center/desk con operatore e un processo di raccolta della contestazione, analisi della contestazione, revisione/conferma della decisione automatizzata.

#pillolediRGPD/BY DEFAULT LISTA DEI CONTROLLI/86

La privacy by default si basa sul principio di necessità. Prima individuare i dati necessari e poi si individuano i mezzi tecnici per consolidare la “necessarietà”. La p. by default è un concetto prima di tutto legale.

#pillolediRGPD/DPO E REGISTRI TRATTAMENTO LISTA DEI CONTROLLI/85

Anche quando il DPO/RPD è incaricato di tenere i registri del trattamento le sanzioni amministrative per violazioni delle norme sul registro sono irrogate al titolare del trattamento.

#pillolediRGPD/DIPENDENTI DEL RESPONSABILE ESTERNO LISTA DEI CONTROLLI/84

I dipendenti del responsabile esterno del trattamento devono firmare un impegno di riservatezza, da tenere a disposizione del titolare del trattamento. Ancora, nuovi adempimenti burocratici.

#pillolediRGPD/SILENZIO_COSTOSO LISTA DEI CONTROLLI/83

Non rispondere a un interessato che esercita i propri diritti di privacy potrà costare fino a 20 milioni di euro di sanzioni amministrative.

#pillolediRGPD/APPALTI PUBBLICI_CLAUSOLA PRIVACY LISTA DEI CONTROLLI/82

Negli appalti pubblici si deve prevedere la conformità al GDPR/RGPD del servizio/prodotto oggetto della gara.

#pillolediRGPD/BONUS PER IL DPO/RPD LISTA DEI CONTROLLI/81

Ai sensi del RGPD sono esenti da spese le richieste rivolte dal DPO/RPD al Garante

#pillolediRGPD/LEGITTIMO INTERESSE e MARKETING LISTA DEI CONTROLLI/80

Anche ai sensi del RGPD i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono utilizzare senza il consenso i recapiti (oltre che di posta elettronica ) di posta cartacea forniti dall’interessato, ai fini dell’invio diretto di proprio materiale pubblicitario o di propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione commerciale.

#pillolediRGPD/TARIFFA RPD/DPO GARE PUBBLICHE DELLE PA LISTA DEI CONTROLLI/79

Il compenso a base di gara dell’affidamento della funzione di RPD/DPO deve essere previsto dalla PA in modo che sia remunerativo. Ad esempio si può prevedere un compenso pari alla retribuzione del dirigente di più alto livello con l’aggiunta delle spese di formazione e delle spese vive.

#pillolediRGPD/inutilizzabilità LISTA DEI CONTROLLI/78

Sono inutilizzabili i dati raccolti e trattati in violazione del RGPD, anche se non c’è una norma analoga a quella dell’articolo 11 del codice della privacy. La mancata ripetizione dell’istituto non induca in errore.

#pillolediRGPD/bozza Codice Etico LISTA CONTROLLI/77

PRINCIPI GENERALI

1. Il RPD segue in tutte le sue azioni il principio per cui deve sempre prevalere l’interesse superiore alla protezione della persona fisica interessata dal trattamento.

2. Il RPD non consiglia né avalla né tollera azioni da cui derivi un pericolo e tanto meno un danno per la persona fisica. (segue)

#pillolediRGPD/POLIZZA_PRIVACY_APPALTI PA LISTA DEI CONTROLLI/76

Nei bandi di gara delle PA per servizi, che comportano il trattamento dei dati e la nomina dell’aggiudicatario quale responsabile esterno del trattamento, va valutato l’inserimento dell’obbligo di specifica copertura assicurativa per la responsabilità da violazione dei dati personali.

#pillolediRGPD/DPO_INDIPENDENTE_MA NON A PRIORI “CONTRO” IL TITOLARE URGE CODICE ETICO LISTA DEI CONTROLLI/75

Gli atti di sorveglianza e di consulenza a firma del DPO/RPD, rivlti al titolare del trattamento, non sono visionabili indiscriminatamente dagli interessati o dalle loro associazioni rappresentative. Il RPD/DPO è indipendente ma non è a priori un “testimone contro” il titolare del trattameno. Urge codice deontologico del RPD/DPO.

#pillolediRGPD/POLIZZA_PRIVACY LISTA DEI CONTROLLI/74

Nei contratti con il responsabile esterno del trattamento opportuno inserire obbligo di copertura assicurativa per la responsabilità da violazione dei dati personali.

#pillolediRGPD/RISARCIMENTI_CLAUSOLA LISTA DEI CONTROLLI/73

Nei contratti con l’interessato possibile inserire una clausola che deferisca a un organismo di conciliazione/arbitrato le eventuali controversie sui danni da violazione della privacy.

#pillolediRGPD/RECLAMI_TEMPI_LUNGHI LISTA DEI CONTROLLI/72

Il Regolamento UE allunga i tempi dei reclami al Garante. Non è un bene per il titolare del trattamento, che si trova “sotto giudizio” più a lungo. Meglio sempre prevenire le liti e gestire il contenzioso con strumenti di mediazione/conciliazione.
Non si deve dimenticare che la contestazione del trattamento è un presupposto del diritto dell’interessato alla limitazione del trattamento.

#pillolediRGPD/DATI_SENSIBILI_SENZA_AUTORIZZAZIONE LISTA DEI CONTROLLI/71

NOn appare compatibile con il RGPD il sistema delle autorizzazioni generali al trattamento dei dati sensibili.
Anche se per alcune particolari categorie di dati il Garante può elaborare prescrizioni, nei limiti del rinvio operato dallo stesso RGPD.

#pillolediRGPD/RESPONSABILI_INTERNI_NECESSARI LISTA DEI CONTROLLI/71

Impossibile fare a meno dei responsabili del trattamento interni. Anche nell’architettura del Regolamento Europeo bisogna creare centri di imputazione interna di responsabilità in relazione agli adempimenti da svolgere e alla divisione dei compiti per singole unità organizzative.
Le vecchie nomine sono compatibili con il nuovo regime, salvo un aggiornamento con riferimento ad adempimenti nuovi (ad esempio la compilazione del registro dei trattamenti, e così via).

#pillolediRGPD/VALUTAZIONE IMPATTO_ANALISI RISCHI LISTA DEI CONTROLLI/70

La valutazione di impatto è un pezzo della analisi del rischio (articolo 32): è una stima delle conseguenze del trattamento sulla persona fisica (previsione del tipo e grado di danno come conseguenza della condotta rischiosa) ed è necessaria per decidere se adottare una misura tecnica o una misura organizzativa o tutte e due o nessuna.
Ma non è una DPIA (articolo 35) propriamente detta.
Quest’ultima presuppone la valutazione del rischio elevato e si traduce in un documento sulla gestione della sicurezza, ma anche sulla gestione “giuridica” del rapporto (non a caso si prevede il coinvolgimento eventuale degli interessati e delle loro associazioni).

#pillolediRGPD/DATI_SENSIBILI_PUBBLICIZZATI LISTA DEI CONTROLLI/69

Anche se il regolamento prevede che si possono trattare, senza consenso, i dati sensibili resi manifestamente pubblici dall’interessato, gli usi devono rispettare il principio di correttezza. Avere reso pubblico una volta un dato, non significa averlo abbandonato per sempre, lasciando che se ne facciano trattamenti indiscriminati.

#pillolediRGPD/VALUTAZIONED’IMPATTO HA DUE FACCE LISTA DEI CONTROLLI/68

C’è la valutazione di impatto quale elemento dell’analisi dei rischi e c’è il documento Valutazione di impatto, ai sensi dell’articolo 35 del Regolamento Ue 2016/679.
Facile confonderle, indispensabile distinguerle.
La prima serve a individuare le misure di sicurezza adeguate.
la seconda serve è apparato documentale per la gestione del rischio elevato.

1 2 3 4 5 6 7 8 9 10 11

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.