RIPAM 3997

Privacy

Reg. UE 2016/679

GDPR - Protezione Dati Personali

Regolamento generale sulla protezione dei dati

In vigore dal 25 maggio 2018 9 articoli chiave

Sintesi per il Concorso

Termini e numeri

  • 72 ore: Notifica data breach al Garante
  • 250 dipendenti: Soglia esenzione registro trattamenti
  • 6 basi giuridiche: Consenso, contratto, obbligo legale, interessi vitali, interesse pubblico, legittimo interesse

Sanzioni penali (D.Lgs. 196/2003)

  • Trattamento illecito con nocumento: 6 mesi - 1 anno e 6 mesi
  • Diffusione illecita larga scala: 1 - 6 anni
  • Atti falsi al Garante: 6 mesi - 3 anni

Articoli Chiave - Approfondimenti

Art. 4

Definizioni

Dato personale, titolare, responsabile, DPO

Definizioni chiave

  • Dato personale: Qualsiasi informazione su persona fisica identificata o identificabile
  • Titolare: Chi determina finalità e mezzi del trattamento
  • Responsabile: Chi tratta per conto del titolare
  • DPO: Data Protection Officer, garante interno della privacy
  • Interessato: La persona fisica a cui i dati si riferiscono

Attenzione

Il titolare

Domande frequenti nei Quiz
  • Cos'è un dato personale? Qualsiasi informazione su persona identificata o identificabile
  • Chi è il titolare del trattamento? Chi determina finalità e mezzi
  • Qual è la differenza tra titolare è responsabile? Il responsabile tratta per conto del titolare
Da Ricordare
  • Titolare = decide finalità e mezzi
  • Responsabile = tratta per conto di
  • DPO = garante interno
Art. 6

Liceita trattamento

6 basi giuridiche (consenso, contratto, obbligo, ecc.)

Le 6 basi giuridiche

Il trattamento e lecito solo se ricorre almeno una delle seguenti condizioni:

  1. Consenso: L'interessato ha prestato il consenso
  2. Contratto: Necessario per eseguire un contratto
  3. Obbligo legale: Adempimento di obblighi di legge
  4. Interessi vitali: Tutela della vita dell'interessato
  5. Interesse pubblico: Esecuzione compito di interesse pubblico
  6. Legittimo interesse: Del titolare (non per PA)

Per la PA

La base tipica è l'interesse pubblico o l'obbligo legale.

Domande frequenti nei Quiz
  • Quante sono le basi giuridiche del trattamento? 6
  • Qual è la base tipica per la PA? Interesse pubblico o obbligo legale
  • Il legittimo interesse vale per la PA? No, e escluso per le PA
Da Ricordare
  • 6 basi giuridiche
  • PA: interesse pubblico o obbligo legale
Art. 9

Dati particolari

Ex sensibili: salute, religione, opinioni politiche

Categorie particolari (ex dati sensibili)

  • Origine razziale o etnica
  • Opinioni politiche
  • Convinzioni religiose o filosofiche
  • Appartenenza sindacale
  • Dati genetici e biometrici
  • Dati relativi alla salute
  • Dati sulla vita sessuale

Regola generale

Il trattamento e vietato, salvo eccezioni tassative (consenso esplicito, medicina del lavoro, etc.).

Domande frequenti nei Quiz
  • Cosa sono i dati particolari? Ex dati sensibili: salute, religione, opinioni politiche, etc.
  • Il trattamento dei dati particolari è ammesso? Di regola no, salvo eccezioni
Da Ricordare
  • Dati particolari = ex sensibili
  • Trattamento vietato di regola
Art. 15-22

Diritti interessato

Accesso, rettifica, oblio, portabilita, opposizione

I diritti dell'interessato

  • Art. 15 - Accesso: Sapere se e come i dati sono trattati
  • Art. 16 - Rettifica: Correggere dati inesatti
  • Art. 17 - Cancellazione (oblio): Eliminare dati non più necessari
  • Art. 18 - Limitazione: Sospendere il trattamento
  • Art. 20 - Portabilita: Trasferire i dati ad altro titolare
  • Art. 21 - Opposizione: Opporsi al trattamento
  • Art. 22 - Decisioni automatizzate: Non essere soggetto a decisioni solo automatiche
Domande frequenti nei Quiz
  • Quali sono i principali diritti dell'interessato? Accesso, rettifica, oblio, portabilita, opposizione
  • Cos'è il diritto alla portabilita? Il diritto di trasferire i dati ad altro titolare
Da Ricordare
  • Diritti: accesso, rettifica, oblio, portabilita, opposizione
Art. 17

Diritto all'oblio

Cancellazione dati non più necessari

Quando si applica

  • Dati non più necessari per le finalità
  • L'interessato revoca il consenso
  • L'interessato si oppone al trattamento
  • Trattamento illecito

Eccezioni

Non si applica quando il trattamento è necessario per:

  • Libertà di espressione e informazione
  • Obblighi legali
  • Interesse pubblico (sanità, archivi, ricerca)
  • Difesa in giudizio
Domande frequenti nei Quiz
  • Quando si può chiedere la cancellazione dei dati? Quando non sono più necessari o il consenso e revocato
  • L'oblio si applica sempre? No, ci sono eccezioni per obblighi legali e interesse pubblico
Da Ricordare
  • Oblio = cancellazione dati non necessari
  • Eccezioni: obblighi legali, interesse pubblico
Art. 20

Portabilita

Trasmissione dati ad altro titolare

Cos'è la portabilita

L'interessato ha diritto di ricevere i dati in formato strutturato, di uso comune, leggibile da dispositivo automatico.

Quando si applica

  • Trattamento basato su consenso o contratto
  • Trattamento automatizzato

Esempio

Trasferire i dati da un social network all'altro, da una banca all'altra.

Domande frequenti nei Quiz
  • In che formato devono essere i dati portabili? Strutturato, di uso comune, leggibile da macchina
  • Quando si applica la portabilita? Per trattamenti basati su consenso/contratto e automatizzati
Da Ricordare
  • Portabilita = dati in formato leggibile da macchina
  • Vale solo per consenso/contratto + automatizzato
Art. 30

Registro trattamenti

Obbligatorio (esenzione PMI sotto 250 dipendenti)

Cos'è il registro

Documento che descrive tutti i trattamenti effettuati dal titolare.

Contenuto

  • Nome del titolare e del DPO
  • Finalità del trattamento
  • Categorie di dati e interessati
  • Destinatari
  • Termini di cancellazione
  • Misure di sicurezza

Esenzione

Imprese con meno di 250 dipendenti, salvo trattamenti rischiosi o di dati particolari.

Domande frequenti nei Quiz
  • Il registro dei trattamenti è sempre obbligatorio? No, esenzione per PMI sotto 250 dipendenti
  • Cosa contiene il registro? Titolare, finalità, categorie dati, destinatari, termini, misure sicurezza
Da Ricordare
  • Registro = descrizione trattamenti
  • Esenzione: sotto 250 dipendenti (con eccezioni)
Art. 32

Sicurezza

Pseudonimizzazione, cifratura, resilienza

Misure di sicurezza

Il titolare deve implementare misure tecniche e organizzative adeguate:

  • Pseudonimizzazione: Separare i dati identificativi
  • Cifratura: Crittografia dei dati
  • Riservatezza: Garantire la confidenzialita
  • Integrita: Proteggere da alterazioni
  • Disponibilita: Garantire l'accesso
  • Resilienza: Capacita di ripristino

Valutazione rischio

Le misure devono essere proporzionate al rischio.

Domande frequenti nei Quiz
  • Quali sono le principali misure di sicurezza? Pseudonimizzazione, cifratura, resilienza
  • Le misure devono essere uguali per tutti? No, proporzionate al rischio
Da Ricordare
  • Misure: pseudonimizzazione, cifratura, resilienza
  • Proporzionate al rischio
Art. 33-34

Data breach

Notifica Garante 72h, comunicazione interessato

Cos'è il data breach

Violazione di sicurezza che comporta distruzione, perdita, modifica, divulgazione non autorizzata di dati.

Obblighi del titolare

  • Notifica al Garante: Entro 72 ore dalla scoperta
  • Comunicazione all'interessato: Senza ritardo se rischio elevato
  • Documentazione: Registrare tutte le violazioni

Contenuto notifica

  • Natura della violazione
  • Contatti del DPO
  • Conseguenze probabili
  • Misure adottate
Domande frequenti nei Quiz
  • Entro quanto va notificato il data breach al Garante? 72 ore
  • Quando va comunicato all'interessato? Quando c'è rischio elevato per i suoi diritti
Da Ricordare
  • Notifica Garante: 72 ore
  • Comunicazione interessato: se rischio elevato

RIPAM Studio - Preparazione Concorsi Pubblici

Telegram RIPAM: t.me/ripam3997studio | Telegram MIC: t.me/mic1800studio

Facebook: facebook.com/share/1DVTAWWmRg