Ultimi articoli a cura di Vincenzo Colarocco
Data breach e GDPR, spunti pratici sulla valutazione della gravità e sull’obbligo di notifica
In premessa precisiamo che il presente contributo, ponendosi come fisiologica prosecuzione dell’analisi normativa precedentemente svolta (rinvenibile al seguente link), analizzerà il fenomeno “data breach” con taglio pratico e con l’intenzione di fornire una serie di esempi e di indicazioni utili agli addetti ai lavori. In particolare, saranno esaminati i profili legati all’eventuale[1] notificazione del breach -prevista agli artt. 33 («notificazione all’Autorità di Controllo») e 34 («notificazione agli interessati») del Regolamento UE 679/2016 (“GDPR” o “Regolamento”)- e l’inevitabile rapporto che sussiste tra quest’onere posto in capo al titolare e la (corretta) valutazione del rischio che la violazione subita possa compromettere diritti e libertà degli interessati coinvolti. A tal fine risulta assai utile rifarsi ad una serie di esempi pratici riportati all’interno... Continua a leggere...Data breach e GDPR, breve analisi normativa
Nel corso degli ultimi anni il tema legato alla violazione dei dati personali (o “data breach”) è stato oggetto di un interesse crescente che, dapprima limitato ai soli esperti in materia e alle rubriche specializzate, ha di recente attecchito anche all’interno dell’informazione quotidiana e generica. Traspare quindi la necessità di fare chiarezza in merito al substrato normativo in materia, analizzando le disposizioni presenti all’interno del Regolamento UE n. 679/2016 (“GDPR” o “Regolamento”) e soffermandosi, brevemente, sulle Linee Guida dettate sul punto dal “Gruppo di Lavoro Articolo 29 per la Protezione dei Dati (WP29)” (in seguito le “Linee Guida”). Per quanto nell’immaginario comune si tenda a far coincidere un data breach con una sottrazione di dati personali altrui, il GDPR, all’articolo... Continua a leggere...Privacy by design e privacy by default
I principi della c.d. “privacy by design” e “privacy by default”, congiuntamente col principio della c.d. “accountability” (con cui si pongono in stretto contatto), rappresentano un punto focale del Regolamento UE n. 679/2016 (“GDPR” o “Regolamento”), connotando quella che è stata la ratio legis del Legislatore comunitario nell’elaborazione della nuova normativa europea in materia di trattamento dei dati personali. In particolare, alla base del Regolamento, traspare chiaramente la necessità di introdurre un generale principio di responsabilità che richieda ai titolari e ai responsabili del trattamento di mettere in atto misure adeguate ed efficaci per garantire che gli obblighi normativamente prescritti siano effettivamente rispettati. Al tempo stesso, sussiste la parallela esigenza di lasciar spazio ad una certa adattabilità che consenta di... Continua a leggere...I registri delle attività di trattamento
I registri delle attività di trattamento si sostanziano in una tipica traduzione a livello pratico del più ampio principio di accountability che permea il Regolamento Europeo 679/16 per la protezione dei dati personali (GDPR o Regolamento). Il detto principio, altresì noto come principio di rendicontazione o di responsabilità, impone al titolare del trattamento l’obbligo di dimostrare l’adozione di un processo complessivo di misure giuridiche, amministrative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi. In altri termini, si richiede al titolare un ampio margine di proattività, diviene fondamentale assumere delle scelte ponderate che si traducano nell’adozione di misure adeguate, efficaci ed in grado di dimostrare la conformità delle attività di trattamento con il GDPR. È... Continua a leggere...Il principio di accountability: la silente rivoluzione nella protezione dei dati
Uno dei pilastri fondamentali del Regolamento Europeo 679/16 per la protezione dei dati personali (GDPR) è il principio di accountability che sta rivoluzionando l’approccio nei riguardi della data protection. Il Working Party 29 (WP29) con il parere 3/2010 ha rappresentato, già nel luglio del 2010, come i principi e gli obblighi dell’Unione europea in materia di protezione dei dati siano spesso applicati in modo insufficiente cagionando di fatto una lesione dei diritti degli interessati. Ed infatti se la protezione dei dati non fosse diventata parte integrante delle pratiche e dei valori condivisi di un’organizzazione e se le relative responsabilità non fossero state espressamente ripartite, il rispetto effettivo delle norme in materia di protezione dei dati sarebbe stato messo notevolmente a... Continua a leggere...
Archivio PDF
CERCA IN ARCHIVIO
