Reg. UE 2016/679
GDPR - Protezione Dati Personali
Regolamento generale sulla protezione dei dati
Sintesi per il Concorso
Termini e numeri
- 72 ore: Notifica data breach al Garante
- 250 dipendenti: Soglia esenzione registro trattamenti
- 6 basi giuridiche: Consenso, contratto, obbligo legale, interessi vitali, interesse pubblico, legittimo interesse
Sanzioni penali (D.Lgs. 196/2003)
- Trattamento illecito con nocumento: 6 mesi - 1 anno e 6 mesi
- Diffusione illecita larga scala: 1 - 6 anni
- Atti falsi al Garante: 6 mesi - 3 anni
Articoli Chiave - Approfondimenti
Definizioni
Dato personale, titolare, responsabile, DPO
Definizioni chiave
- Dato personale: Qualsiasi informazione su persona fisica identificata o identificabile
- Titolare: Chi determina finalità e mezzi del trattamento
- Responsabile: Chi tratta per conto del titolare
- DPO: Data Protection Officer, garante interno della privacy
- Interessato: La persona fisica a cui i dati si riferiscono
Attenzione
Il titolare
Domande frequenti nei Quiz
- Cos'è un dato personale? Qualsiasi informazione su persona identificata o identificabile
- Chi è il titolare del trattamento? Chi determina finalità e mezzi
- Qual è la differenza tra titolare è responsabile? Il responsabile tratta per conto del titolare
Da Ricordare
- Titolare = decide finalità e mezzi
- Responsabile = tratta per conto di
- DPO = garante interno
Liceita trattamento
6 basi giuridiche (consenso, contratto, obbligo, ecc.)
Le 6 basi giuridiche
Il trattamento e lecito solo se ricorre almeno una delle seguenti condizioni:
- Consenso: L'interessato ha prestato il consenso
- Contratto: Necessario per eseguire un contratto
- Obbligo legale: Adempimento di obblighi di legge
- Interessi vitali: Tutela della vita dell'interessato
- Interesse pubblico: Esecuzione compito di interesse pubblico
- Legittimo interesse: Del titolare (non per PA)
Per la PA
La base tipica è l'interesse pubblico o l'obbligo legale.
Domande frequenti nei Quiz
- Quante sono le basi giuridiche del trattamento? 6
- Qual è la base tipica per la PA? Interesse pubblico o obbligo legale
- Il legittimo interesse vale per la PA? No, e escluso per le PA
Da Ricordare
- 6 basi giuridiche
- PA: interesse pubblico o obbligo legale
Dati particolari
Ex sensibili: salute, religione, opinioni politiche
Categorie particolari (ex dati sensibili)
- Origine razziale o etnica
- Opinioni politiche
- Convinzioni religiose o filosofiche
- Appartenenza sindacale
- Dati genetici e biometrici
- Dati relativi alla salute
- Dati sulla vita sessuale
Regola generale
Il trattamento e vietato, salvo eccezioni tassative (consenso esplicito, medicina del lavoro, etc.).
Domande frequenti nei Quiz
- Cosa sono i dati particolari? Ex dati sensibili: salute, religione, opinioni politiche, etc.
- Il trattamento dei dati particolari è ammesso? Di regola no, salvo eccezioni
Da Ricordare
- Dati particolari = ex sensibili
- Trattamento vietato di regola
Diritti interessato
Accesso, rettifica, oblio, portabilita, opposizione
I diritti dell'interessato
- Art. 15 - Accesso: Sapere se e come i dati sono trattati
- Art. 16 - Rettifica: Correggere dati inesatti
- Art. 17 - Cancellazione (oblio): Eliminare dati non più necessari
- Art. 18 - Limitazione: Sospendere il trattamento
- Art. 20 - Portabilita: Trasferire i dati ad altro titolare
- Art. 21 - Opposizione: Opporsi al trattamento
- Art. 22 - Decisioni automatizzate: Non essere soggetto a decisioni solo automatiche
Domande frequenti nei Quiz
- Quali sono i principali diritti dell'interessato? Accesso, rettifica, oblio, portabilita, opposizione
- Cos'è il diritto alla portabilita? Il diritto di trasferire i dati ad altro titolare
Da Ricordare
- Diritti: accesso, rettifica, oblio, portabilita, opposizione
Diritto all'oblio
Cancellazione dati non più necessari
Quando si applica
- Dati non più necessari per le finalità
- L'interessato revoca il consenso
- L'interessato si oppone al trattamento
- Trattamento illecito
Eccezioni
Non si applica quando il trattamento è necessario per:
- Libertà di espressione e informazione
- Obblighi legali
- Interesse pubblico (sanità, archivi, ricerca)
- Difesa in giudizio
Domande frequenti nei Quiz
- Quando si può chiedere la cancellazione dei dati? Quando non sono più necessari o il consenso e revocato
- L'oblio si applica sempre? No, ci sono eccezioni per obblighi legali e interesse pubblico
Da Ricordare
- Oblio = cancellazione dati non necessari
- Eccezioni: obblighi legali, interesse pubblico
Portabilita
Trasmissione dati ad altro titolare
Cos'è la portabilita
L'interessato ha diritto di ricevere i dati in formato strutturato, di uso comune, leggibile da dispositivo automatico.
Quando si applica
- Trattamento basato su consenso o contratto
- Trattamento automatizzato
Esempio
Trasferire i dati da un social network all'altro, da una banca all'altra.
Domande frequenti nei Quiz
- In che formato devono essere i dati portabili? Strutturato, di uso comune, leggibile da macchina
- Quando si applica la portabilita? Per trattamenti basati su consenso/contratto e automatizzati
Da Ricordare
- Portabilita = dati in formato leggibile da macchina
- Vale solo per consenso/contratto + automatizzato
Registro trattamenti
Obbligatorio (esenzione PMI sotto 250 dipendenti)
Cos'è il registro
Documento che descrive tutti i trattamenti effettuati dal titolare.
Contenuto
- Nome del titolare e del DPO
- Finalità del trattamento
- Categorie di dati e interessati
- Destinatari
- Termini di cancellazione
- Misure di sicurezza
Esenzione
Imprese con meno di 250 dipendenti, salvo trattamenti rischiosi o di dati particolari.
Domande frequenti nei Quiz
- Il registro dei trattamenti è sempre obbligatorio? No, esenzione per PMI sotto 250 dipendenti
- Cosa contiene il registro? Titolare, finalità, categorie dati, destinatari, termini, misure sicurezza
Da Ricordare
- Registro = descrizione trattamenti
- Esenzione: sotto 250 dipendenti (con eccezioni)
Sicurezza
Pseudonimizzazione, cifratura, resilienza
Misure di sicurezza
Il titolare deve implementare misure tecniche e organizzative adeguate:
- Pseudonimizzazione: Separare i dati identificativi
- Cifratura: Crittografia dei dati
- Riservatezza: Garantire la confidenzialita
- Integrita: Proteggere da alterazioni
- Disponibilita: Garantire l'accesso
- Resilienza: Capacita di ripristino
Valutazione rischio
Le misure devono essere proporzionate al rischio.
Domande frequenti nei Quiz
- Quali sono le principali misure di sicurezza? Pseudonimizzazione, cifratura, resilienza
- Le misure devono essere uguali per tutti? No, proporzionate al rischio
Da Ricordare
- Misure: pseudonimizzazione, cifratura, resilienza
- Proporzionate al rischio
Data breach
Notifica Garante 72h, comunicazione interessato
Cos'è il data breach
Violazione di sicurezza che comporta distruzione, perdita, modifica, divulgazione non autorizzata di dati.
Obblighi del titolare
- Notifica al Garante: Entro 72 ore dalla scoperta
- Comunicazione all'interessato: Senza ritardo se rischio elevato
- Documentazione: Registrare tutte le violazioni
Contenuto notifica
- Natura della violazione
- Contatti del DPO
- Conseguenze probabili
- Misure adottate
Domande frequenti nei Quiz
- Entro quanto va notificato il data breach al Garante? 72 ore
- Quando va comunicato all'interessato? Quando c'è rischio elevato per i suoi diritti
Da Ricordare
- Notifica Garante: 72 ore
- Comunicazione interessato: se rischio elevato