Privacy
Risk assessment e DPIA
Sommario Uno degli elementi di maggiore novità introdotti dal Regolamento (UE) 2016/679 sulla protezione dei dati, è la previsione che i titolari del trattamento predispongano una valutazione di impatto (DPIA–Data protection impact assessment o anche PIA–Privacy impact assessment) ogni qual volta un trattamento presenti rischi elevati per i diritti e le libertà delle persone fisiche. Per determinare se debba essere predisposta la DPIA per uno specifico trattamento, e cioè per accertare se i rischi siano elevati, è implicitamente necessario effettuarne una stima. Il processo di stima del rischio è noto come risk assessment, ed è un elemento propredeutico all’avvio di qualunque trattamento. Se all’esito di una prima valutazione il rischio dovesse risultare elevato, il processo stesso dovrà essere formalizzato e…
Continua a leggere...Price discrimination e protezione dei dati personali: possibili scenari
Con l’espressione price discrimination si intende quella strategia di prezzi per la quale beni o servizi identici o simili tra loro vengono venduti, da parte di uno stesso fornitore, a prezzi differenti e maggiori del loro costo marginale[1]. In tali casi il prezzo di un bene non è definito dai suoi costi di produzione e commercializzazione, ma da quanto il consumatore è disponibile a spendere per acquistarlo (propensione al consumo o prezzo di riserva). Quanto più un’impresa è in grado di individuare con precisione tale propensione al consumo, tanto più ampia sarà la capacità di definire una strategia personalizzata attraverso la quale vendere lo stesso prodotto a più consumatori applicando a ciascuno un prezzo differente[2]. Sotto tale prospettiva, il tema…
Continua a leggere...La privacy non va in vacanza: i consigli del Garante
Il Garante della Privacy ha pubblicato un elenco di informazioni chiamato ‘Estate in privacy‘ utile per la propria riservatezza, che informa sulla protezione dei dati personali, acquisti online, app, social, informazioni su selfie e foto. Di seguito i suggerimenti: NON ESPORSI TROPPO CON SELFIE E FOTO – non tutti amano essere on line durante il periodo di pausa. Quando si condividono foto con tag riferiti ad altre persone è sempre bene accertarsi che la persona coinvolta sia d’accordo. Protezione alta, poi, alle foto in cui appaiono minori. Meglio, quindi, evitare di “postarle”, oppure utilizzare almeno alcune accortezze, come rendere irriconoscibile il viso del minore o anche limitare le impostazioni di visibilità delle immagini solo alle persone fidate. GEOLOCALIZZATI? NO, GRAZIE – è molto utile…
Continua a leggere...Codice per la protezione dei dati personali: un’abrogazione frettolosa (forse incostituzionale) e senz’altro pericolosa
Ho sfogliato velocemente il testo dello Schema di Decreto Legislativo che introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (in seguito GDPR – General Data Protection Regulation) in attuazione dell’art. 13 della Legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163) annunciato da Governo con un Comunicato Stampa del 21 marzo 2018. Premetto che ho ricevuto giorni fa il testo di questo decreto legislativo, ma per pudore istituzionale (e rispetto verso le fonti che me lo avevano cortesemente inviato), ho evitato di diffonderlo e anche di commentarlo. In pochi attimi, invece, la Rete è stata travolta da opinioni e testi pubblicati, in versione – più o meno – ufficiale. Questo lungo testo normativo (104 articoli contro…
Continua a leggere...Data protection officer interno o esterno? Il DPO sarà una figura strategica per ogni tipo di organizzazione, non affidiamola al caso
https://www.anorc.eu/ Si discute moltissimo in questi giorni della figura del Data Protection Officer o Responsabile della protezione dei dati personali (in seguito DPO o RPD). Una figura che, come sappiamo, è stata introdotta nel sistema normativo europeo dal GDPR (General Data Protection Regulation – Regolamento UE 2016/679), la cui nomina è stata resa obbligatoria per alcuni Titolari e Responsabili del trattamento[1] ed è, comunque, caldamente consigliata, in termini di buone prassi, in tutti i casi in cui, nell’esercizio delle attività di trattamento, siano ravvisabili concreti rischi per i diritti e le libertà delle persone fisiche (in attuazione del fondamentale principio dell’accountability). A questa delicata figura e ai compiti alla stessa attribuiti sono già stati dedicati alcuni approfondimenti[2]. Eviterò, quindi, di…
Continua a leggere...Privacy, il regalo di Natale per i big del digitale? I dati sensibili degli italiani
Quest’anno il nostro legislatore ha superato sé stesso per magnanimità. Il regalo di Natale per le multinazionali dell’Information Technology è piuttosto prezioso. Peccato però che a pagare il prezzo di siano i cittadini e il loro diritto alla protezione dei dati personali, addirittura quelli più sensibili, i dati sanitari. Nella Legge europea 2017 viene infatti introdotto l’art. 110-bis al Codice per la protezione dei dati personali che prevede la possibilità, per scopi statistici e di ricerca scientifica, di riutilizzo dei dati personali, anche sensibili (ad esclusione di quelli genetici), a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati a tutela degli interessati, previa autorizzazione del Garante. Questa norma è solo apparentemente dedicata a favorire la…
Continua a leggere...GDPR, quanti pasticci nella legge europea 2017: ecco cosa rischia l’Italia
L’Italia avanza lentamente e in modo scoordinato nell’armonizzazione della disciplina nazionale con il GDPR. Ancora poca chiarezza sul Responsabile del trattamento e troppo generiche le norme sul riutilizzo dei dati sanitari, in forma anonima, per scopi statistici e di ricerca. Futuro inquietante all’orizzonte Mentre altri Stati Europei hanno provveduto da tempo ad armonizzare la propria disciplina nazionale con l’arrivo piuttosto impetuoso del GDPR[1], l’Italia timidamente muove i suoi primi passi verso tale obiettivo in modo a prima vista poco coordinato e convincente. Si fa riferimento ovviamente alle novità in materia di protezione dei dati personali (e quindi modificative di alcuni articoli del Codice[2]) appena introdotte dalla legge 20 novembre 2017, n. 167 (in vigore dal 12 dicembre p.v.)[3]. Tali novità…
Continua a leggere...General Data Protection Regulation: come cambia la tutela dei dati personali
Il GDPR, ossia il Regolamento con cui la Commissione europea ha voluto armonizzare il trattamento dei dati personali dei cittadini Ue all’interno (ed all’esterno) dell’Ue, diventerà esecutivo il 25 maggio 2018, dopo un periodo di transizione durato due anni al termine del quale sostituirà finalmente la Direttiva 95/46/EC sulla protezione dei dati e si coordinerà con il noto Codice per la protezione dei dati personali (Dlgs. 196/2003). Società, aziende, imprese ed enti con sede legale nel territorio dell’UE (e non) che trattino dati personali di residenti Ue dovranno garantire la sicurezza dei dati gestiti, la facilità nell’ottenerne la cancellazione o rettifica, la loro portabilità e che la raccolta sia eseguita solo dietro esplicito consenso, con poche eccezioni di ordine meramente…
Continua a leggere...Privacy dei lavoratori: il parere dei garanti europei
I Garanti europei della privacy riuniti nel Gruppo “Articolo 29” (WP29) hanno fornito alle imprese alcune indicazioni in merito al rispetto della privacy dei loro dipendenti (“Opinion 2/2017 on data processing at work”, adottato l’8 giugno 2017 – scaricabile in calce al seguente articolo). Le indicazioni sono state espresse alla luce della normativa vigente e in base anche alle novità introdotte dal Regolamento UE 2016/679, già in vigore e direttamente esecutivo dal prossimo maggio 2018. Nel documento redatto dai Garanti europei si ricorda alle aziende private e agli enti pubblici che ogni lavoratore, indipendentemente dal contratto in essere, ha diritto alla tutela della propria privacy e in particolare ha il diritto ad essere adeguatamente informato sulle modalità di trattamento dei propri dati e sulle…
Continua a leggere...GDPR e portabilità dei dati: nuovo rischio per le imprese?
Un possibile fattore di promozione della concorrenza ma con apposite misure tecniche e organizzative L’articolo 20 del Regolamento Generale sulla Protezione dei Dati (GDPR) introduce il nuovo diritto alla portabilità dei dati. Il rilievo della novità risulta ancora maggiore se si considera che è di immediata applicazione, con la conseguenza che gli operatori economici ed ogni altro soggetto che tratta i dati personali devono adeguare la propria organizzazione aziendale al fine di garantire la possibilità agli interessati di richiedere ed ottenere la portabilità dei propri dati. La portabilità del dato è finalizzata, infatti, non solo a promuovere il controllo degli interessati sui propri dati personali, ma anche a favorire la circolazione, la copia o la trasmissione dei dati da un ambiente informatico…
Continua a leggere...- PRECEDENTE
- 1
- 2
- 3
- 4
- 5
- SUCCESSIVO