INFORMATICA GIURIDICA

Modulo 1 Protezione Dati Personali – Privacy e Sicurezza

Protezione dei dati personali e sicurezza
Informatica Giuridica
Modulo 1
Protezione Dati Personali
Privacy e Sicurezza
Evoluzione della Privacy
 La nascita del diritto alla privacy inizia a fine
Ottocento e si sviluppa in maniera significativa nel
Novecento, per poi esplodere all'inizio del XXI
secolo.
 L'aver isolato la privacy come istituto giuridico
definito da un insieme di regole è un fenomeno
recente, legato soprattutto allo sviluppo delle
tecnologie.
Evoluzione della Privacy
 L'inizio della disciplina del
diritto alla privacy è
considerato l'articolo The Right
to Privacy, apparso il 15
dicembre 1890 sulla Harvard
Law Review (tuttora la più
famosa rivista giuridica degli
Stati Uniti), ad opera di due
giovani avvocati bostoniani,
Samuel D. Warren e Louis D.
Brandeis.
Evoluzione della Privacy
 L'articolo seppe distinguere tra il diritto ad
informare e ad essere informati se l'oggetto
dell'informazione è una persona pubblica, perché
tale informazione ha una giustificazione
democratica soprattutto se la persona in questione
ha una carica che comporta responsabilità
pubbliche e il diritto alla riservatezza se la
persona è un normale privato cittadino, perché in
tal caso manca l'interesse pubblico legittimo nel
conoscerne i comportamenti.
Evoluzione della Privacy
 La privacy fu, quindi, definita come il diritto di
essere lasciati soli, a non subire nella propria sfera
privata le interferenze provenienti dall’esterno
soprattutto con l’avvento del progresso tecnologico
(mezzi di informazione).
Evoluzione della Privacy
 La nascita e l’evoluzione della privacy sono
strettamente connesse allo sviluppo tecnologico e
all’utilizzo dei nuovi mezzi messi a disposizione
all’interno della società e quindi tale evoluzione
tecnologica impone un continuo aggiornamento
dei principi e delle modalità di protezione dei dati
personali.
Evoluzione della Privacy
Interesse a
controllare
l’utilizzazione delle
informazioni
personali, quando
sono state acquisite
Interesse a non fare da terzi
Interesse a fare
circolare informazioni cessare
personali (senza l’utilizzazione dei
consenso) dati acquisiti

Obiettivi
odierni in
tema di
tutela della
privacy
Linee guida e riferimenti normativi
 All’inizio degli anni ottanta si sviluppa una nuova
concezione della privacy, quale diritto della
persona ad avere dominio esclusivo sulle
informazioni che la riguardano, anche quando
vengono condivise da altre persone o raccolte in
banche dati (Linee Guida OCSE del 1980 e
Convenzione del Consiglio d’Europa del
28/01/1981 sulla protezione delle persone).
Linee guida e riferimenti normativi
 In Francia e in Germania si sviluppa il concetto di
autodeterminazione informativa da intendersi
come il diritto di un individuo di decidere
liberamente circa la cessione e l’uso dei propri
dati personali.
 Su tali basi, negli anni novanta furono definite le
attuali legislazioni a tutela del trattamento (anche
automatizzato) dei dati personali.
Evoluzione della Privacy
 La Legge 675/96 di recepimento della Direttiva
Europea 95/46, rappresenta il primo intervento
legislativo in materia di privacy in Italia.
 Questa legge, necessaria anche per rispettare gli
accordi di Schengen, permise di istituire la figura
del Garante per la protezione dei dati personali.
Evoluzione della Privacy
La direttiva protegge i diritti e le libertà delle persone,
attraverso i seguenti principi.
 Legittimazione al trattamento dati, ovvero trattamento
effettuato solo con il consenso esplicito dell’interessato;
 Informazione delle persone interessate dal trattamento dati
da parte del titolare;
 Diritto di accesso ai dati, ovvero diritto di ottenere da parte
del responsabile la conferma dell’esistenza o meno dei
trattamenti oltre la rettifica, la cancellazione o il blocco dei
dati per i quali il trattamento non è conforme alla direttiva;
 Diritto di opposizione al trattamento, ovvero il diritto di
opporsi per ragioni legittime, al trattamento dati.
Normativa nazionale sulla Privacy
 Dal 1 gennaio 2004 è in vigore il
Codice in materia di protezione dei
dati personali (D. Lgs. 196 del 30
giugno 2003).
 I principi fondamentali che
caratterizzano il codice si
riassumono in finalità, necessità,
liceità, correttezza e
proporzionalità del trattamento.
Normativa nazionale sulla Privacy
Finalità
 Il Codice garantisce che il trattamento dei dati

personali si svolga nel rispetto dei diritti e delle

libertà personali, nonché della dignità
dell’interessato con particolare riferimento alla
riservatezza e al diritto alla protezione dei dati
personali.
Normativa nazionale sulla Privacy
Principio di necessità
 I sistemi operativi e i programmi informatici sono

configurati riducendo al minimo l’utilizzazione dei

dati personali e dei dati identificativi, escludendo il
trattamento quando le finalità perseguite possono
essere realizzate mediante dati anonimi o tramite
opportune modalità che permettano di identificare
l’interessato solo in caso di necessità.
Le principali definizioni
 Si definisce trattamento qualunque operazione o
complesso di operazioni, svolti con o senza l’ausilio
di mezzi elettronici, concernenti la raccolta, la
registrazione, l’organizzazione, la conservazione,
l’elaborazione, la modificazione, la selezione,
l’estrazione, il raffronto, l’utilizzo, l’interconnessione,
il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati.
Le principali definizioni
 Si definisce dato personale qualunque
informazione relativa a persona fisica, identificata
o identificabile, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale.
 Si definiscono dati identificativi i dati personali che
permettono l’identificazione diretta dell’interessato.
Le tipologie di dati
 Si definisce dato anonimo il dato che in origine, o
a seguito di trattamento, non può essere associato
ad un interessato identificato o identificabile.
 Si definiscono dati sensibili i dati personali idonei
a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni
od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a
rivelare lo stato di salute e la vita sessuale.
Le tipologie di dati
 Si definiscono dati giudiziari i dati personali idonei
a rivelare provvedimenti di cui all’articolo 3, comma
1 (lettere a-o e r-u), del DPR 313/2002 in materia
di casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi
carichi pendenti, o la qualità di imputato o di
indagato ai sensi degli articoli 60 e 61 del codice
di procedura penale.
Le tipologie di dati
 Si definiscono dati quasi-sensibili i dati personali
diversi da quelli sensibili e giudiziari il cui
trattamento può comportare rischi specifici per i
diritti e le libertà fondamentali, nonché per la
dignità dell’interessato, in relazione alla natura dei
dati o alle modalità di trattamento o agli effetti
che può determinare.
Ruoli e Figure previste
 Si definisce Titolare del Trattamento
la persona fisica o giuridica, la
pubblica amministrazione e qualsiasi
altro ente, associazione od
organismo, cui competono, anche
unitamente ad altro titolare, le
decisioni in ordine alle finalità, alle
modalità del trattamento di dati
personali e agli strumenti utilizzati,
ivi compreso il profilo della
sicurezza.
Ruoli e Figure previste
 Si definisce Responsabile del Trattamento la
persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione
od organismo preposti dal titolare al trattamento di
dati personali. Non è una figura obbligatoria.
 Affianca il titolare per compiti e responsabilità . È in
grado di soddisfare esigenze tecnico-pratiche
connesse al trattamento.
 Risponde, nella stessa misura del titolare, alle
manchevolezze del suo operato.
Ruoli e Figure previste
 Si definisce Incaricato del Trattamento la persona
fisica autorizzata a compiere operazioni di
trattamento dal titolare o dal responsabile.
 È il soggetto che materialmente esegue le operazioni
di trattamento.
 L’incaricato non ha alcuna responsabilità di fronte
alla legge e le conseguenze di un eventuale
inadempimento ricadono sempre sui soggetti alla cui
autorità è sottoposto, i quali in un secondo momento
potranno rivalersi sull’incaricato in questione per dolo
o colpa grave.
Ruoli e Figure previste
 Pertanto, è necessaria una seria opera di formazione
e sensibilizzazione degli incaricati al trattamento,
oltre che una nomina specifica.
 La nomina, disciplinata dall’art. 30, comma 2,
stabilisce che la designazione deve essere fatta per
iscritto e deve individuare l’ambito del trattamento
consentito per ciascun incaricato.
 Si definisce Interessato del Trattamento la persona
fisica cui si riferiscono i dati personali.
L’informativa (Art. 13)
L’informativa costituisce lo strumento principale a disposizione
dell’interessato per esercitare il controllo sul trattamento dei dati.
Tra i suoi contenuti
 Finalità e modalità del trattamento;

 Natura obbligatoria o facoltativa del conferimento dei dati;

 Conseguenze di un eventuale rifiuto di rispondere;

 Soggetti o categorie di soggetti a cui i dati sono comunicati o

che possono venire a conoscenza in qualità di responsabili o

incaricati o l’ambito di diffusione degli stessi;
 I diritti dell’interessato, indicati all’art. 7 del Codice;

 Denominazione, sede del titolare e di almeno un responsabile;

 Categorie di dati trattati, se questi sono raccolti presso terzi.

Comunicazione e Diffusione
 Si definisce comunicazione il dare conoscenza dei
dati personali a uno o più soggetti determinati
diversi dall’interessato, in qualunque forma, anche
mediante la loro messa a disposizione o
consultazione.
 Non è considerata comunicazione la conoscenza dei
dati personali da parte delle persone incaricate al
trattamento.
Comunicazione e Diffusione
 Si definisce diffusione il dare
conoscenza dei dati personali a
soggetti indeterminati, in qualunque
forma, anche mediante la loro messa
a disposizione o consultazione.
 A differenza della comunicazione,
l’ambito di diffusione è più vago in
quanto i soggetti terzi non sono
identificabili singolarmente.
Il consenso
 Il consenso è un altro elemento fondamentale
introdotto a livello internazionale per la protezione
dei dati personali.
 Il trattamento dei dati è ammesso in via generale
solo con il consenso espresso dell’interessato.
 Ciò significa che deve essere manifestata una
volontà chiara ed esplicita da parte
dell’interessato.
Il consenso
 Il consenso può riferirsi all’intero
trattamento o ad una o più
operazioni dello stesso.
 Pertanto i dati trattati dal titolare
ma oggetto di comunicazione a
terzi, necessitano della richiesta
sia del consenso per la raccolta
sia di quello per la
comunicazione a terzi.
Il consenso
 Il consenso può considerarsi valido solo se espresso
liberamente, in forma specifica e documentata e se
è stata resa l’informativa.
 Si conferma quindi il principio di sovranità
dell’interessato.
Il consenso
In alcuni casi di trattamento di dati sensibili, il titolare
viene esonerato dal richiedere il consenso quando:
 è effettuato da associazioni, enti od organismi senza

scopo di lucro;
 è necessario per la salvaguardia della vita o

dell’incolumità fisica di un terzo;

 è necessario ai fini di svolgimento delle

investigazioni difensive;
 è necessario per adempiere a specifici obblighi o
compiti previsti dalla legge.
I diritti degli interessati
 Il codice ha riservato un intero
articolo (Art. 7) per definire i
diritti di cui l’interessato gode
per poter controllare la
correttezza e liceità del
trattamenti relativo ai suoi dati
da parte dei soggetti che li
hanno direttamente o
indirettamente raccolti.
I diritti degli interessati
 Diritto di accesso, ossia di ottenere la conferma
dell’esistenza o meno dei dati personali che lo
riguardano e di conoscere l’origine, le finalità e le
modalità del trattamento, la logica applicata in caso di
trattamento automatizzato (criterio di elaborazione), gli
estremi identificativi del titolare e degli eventuali
responsabili, i soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza
in qualità di responsabili o incaricati.
 Diritto di aggiornamento, rettifica e integrazione dei
dati.
I diritti degli interessati
 Diritto di inibizione, ovvero la cancellazione, la
trasformazione in forma anonima o il blocco dei
dati trattati in violazione della legge.
 Diritto di opposizione ai trattamenti leciti in
presenza di motivi legittimi e nel caso di invio di
materiale pubblicitario o vendita diretta o per il
compimento di ricerche di mercato o di
comunicazione commerciale.
L'Autorità Garante
 L’Autorità Garante per la protezione dei dati
personali, nasce in riferimento alla Direttiva Europea
95/46/CE.
 È indipendente e autonoma nel giudizio e nella
valutazione, in quanto dotata di propria soggettività
giuridica e slegata da influenze politiche.
 Esercita il suo potere di vigilanza e i suoi compiti di
garanzia e controllo sull’attuazione della norma in
materia di privacy agendo in piena libertà,
autogovernandosi e decidendo autonomamente le
proprie linee di condotta.
Competenze dell'Autorità Garante
 Controllare se il trattamento è effettuato nel rispetto della regole;
 Segnalare ai titolari le modifiche per ottemperare alla norma;
 Esaminare i reclami e le segnalazioni e provvedere sui ricorsi
presentati;
 Adottare provvedimenti;
 Vietare, in tutto o in parte, il trattamento illecito o non corretto dei
dati o disporne il blocco;
 Segnalare al governo l’opportunità di provvedimenti;
 Predisporre annualmente la relazione sull’attività e stato di
applicazione delle norme;
 Esercitare il controllo sui trattamenti mediante visita ed ispezioni;
 Occuparsi delle autorizzazioni individuali e generali;
 Emettere pareri in tema di privacy.
Principi applicabili al settore pubblico

 L’art. 18, relativamente ai principi di trattamento

applicabili ai soggetti pubblici, precisa che il
trattamento dei dati personali è consentito solo per
lo svolgimento delle funzioni istituzionali
osservando i presupposti e limiti sanciti dal Codice.
Principi applicabili al settore pubblico

 Il trattamento dei dati diversi da quelli sensibili e

giudiziari è consentito per quelle attività di minore
impatto, anche in mancanza di una legge o
regolamento.
 Per il trattamento di dati sensibili è necessaria
un’espressa disposizione di legge in cui siano
specificati i tipi di dati trattati, le operazioni
eseguibili e le finalità di rilevante interesse
pubblico perseguite.
Le finalità di rilevante interesse pubblico

 Accesso a documenti amministrativi al fine di

favorire la partecipazione e di assicurarne
l’imparzialità e la trasparenza.
 Tenuta degli atti e dei registri dello stato civile, delle
anagrafi della popolazione residente in Italia e dei
cittadini italiani residenti all’estero, delle liste elettorali.
 Rilascio e rinnovo di visti, permessi, attestazioni,
autorizzazioni e documenti di tipo sanitario per
cittadinanza ed immigrazione, riconoscimento del diritto
di asilo o dello status di rifugiato.
Le finalità di rilevante interesse pubblico

 Obblighi dei datori di lavoro o dei lavoratori e

applicazione delle norme in materia di istruzione e
alloggio.
 Elettorato attivo e passivo, di esercizio di altri diritti
politici e documentazione dell’attività istituzionale di
organi pubblici.
 Riconoscimento dei benefici economici, concessione di
contributi e riconoscimento di esonero agevolazioni
fiscali.
 Rapporti istituzionali con enti di culto, confessioni
religiose e comunità religiose.
Il trattamento nel settore scuola
 È riconosciuta alla finalità di istruzione e
formazione in ambito scolastico, professionale,
superiore o universitario, il fine di rilevante
interesse pubblico.
 Il trattamento è consentito solo per lo svolgimento
delle funzioni istituzionali.
 Non è richiesto il consenso.
Il trattamento nel settore scuola
 La comunicazione e la diffusione sono ammesse
quando siano previste da norme di legge o di
regolamento o risultino comunque necessarie per lo
svolgimento delle funzioni istituzionali.
 In quest’ultimo caso, deve essere data
comunicazione al Garante e le
operazioni possono iniziare decorsi
45 giorni dalla comunicazione.
Il trattamento nel settore scuola
 Per trattare i dati sensibili o giudiziari degli alunni,
gli istituti scolastici devono adottare un regolamento
che disciplina il trattamento di tali dati in
conformità alle indicazioni del Garante (tale
adempimento è cessato con l’emanazione del
Regolamento del MIUR, con DM 305/2006).
Il trasferimento dei dati all’estero
 Il trasferimento anche
temporaneo fuori del
territorio nazionale, con
qualsiasi forma o mezzo, di
dati personali oggetto di
trattamento deve essere
previamente notificato al
Garante, qualora sia diretto
verso un Paese extra UE.
Il trasferimento dei dati all’estero
 Infatti, le disposizioni del Codice non si possono
applicare al fine di restringere o vietare la libera
circolazione dei dati personali fra gli stati dell’Unione
Europea.
 Il trasferimento di dati verso un Paese non appartenente
all’Unione Europea è vietato qualora l’ordinamento
dello Stato di destinazione o di transito dei dati non
assicuri un livello di tutela delle persone adeguato.
Il trasferimento dei dati all’estero
 Applicata ad Internet questa disposizione può
portare a delle conseguenze paradossali.
 Infatti la semplice immissione in rete di un dato
equivale al suo trasferimento in tutto il mondo
senza avere la possibilità a priori di conoscere
neppure il percorso seguito e se i paesi nei quali il
dato è transitato (o transiterà) sono dotati o meno
di una normativa adeguata.
Il trasferimento dei dati all’estero
 L’Unione Europea ha emanato una decisione
C(2001) 1539 per il trasferimento di dati verso
Paesi terzi.
 Vengono definite regole di comportamento, che
assumono la formula di clausole contrattuali su
base volontaria, che costituiscono una salvaguardia
per i soggetti coinvolti (titolare, responsabile e
interessato).
La Sicurezza delle Informazioni
 Gli Art. 33 e 34 del Codice si occupano di misure
minime di sicurezza.
 Il trattamento di dati personali effettuato con
strumenti elettronici è consentito solo se sono
adottate, nei modi previsti dal disciplinare tecnico
nell’allegato B, le seguenti misure minime di
sicurezza.
Misure minime di sicurezza
 Autenticazione informatica.
 Procedure di gestione delle credenziali di autentificazione.
 Sistema di autorizzazione.
 Aggiornamento periodico dell’individuazione dell’ambito di
trattamento consentito ad incaricati e addetti alla gestione o
manutenzione degli strumenti elettronici.
 Protezione di dati rispetto a trattamenti illeciti e accessi non
consentiti.
 Procedure per la custodia di copie di sicurezza (backup) e
ripristino della disponibilità dei dati.
 Adozione di cifratura o codici identificativi per determinati
trattamenti idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.
Il sistema di autenticazione
 Il trattamento di dati personali
con strumenti elettronici è
consentito agli incaricati dotati
di credenziali di
autenticazione che consentano
il superamento di una
procedura di autenticazione
relativa ad uno specifico
trattamento o a un insieme di
trattamenti.
Il sistema di autenticazione
 Le credenziali di autenticazione
consistono in un codice per
l’identificazione dell’incaricato
associato a una parola chiave
riservata conosciuta solamente dal
medesimo oppure in un dispositivo
di autenticazione in possesso e uso
esclusivo dell’incaricato, oppure in
una caratteristica biometrica
dell’incaricato, eventualmente
associata a un codice identificativo
o a una parola chiave.
Il sistema di autenticazione
 Con le istruzioni impartite agli incaricati è prescritto
di adottare le necessarie cautele per assicurare la
segretezza della componente riservata della
credenziale e la diligente custodia dei dispositivi in
possesso ed uso esclusivo dell’incaricato.
Il sistema di autenticazione
 La parola chiave è composta da almeno otto
caratteri oppure, nel caso in cui lo strumento
elettronico non lo permetta, da un numero di
caratteri pari al massimo consentito.
 Essa non contiene riferimenti agevolmente
riconducibili all’incaricato ed è modificata da
quest’ultimo al primo utilizzo e, successivamente,
almeno ogni sei mesi oppure ogni tre mesi, in caso
di trattamento di dati sensibili e di dati giudiziari.
Il sistema di autenticazione
 Il codice per l’identificazione, laddove utilizzato, non
può essere assegnato ad altri incaricati, neppure in
tempi diversi.
 Le credenziali di autenticazione non utilizzate da
almeno sei mesi sono disattivate, salvo quelle
preventivamente autorizzate per soli scopi di gestione
tecnica.
 Le credenziali sono disattivate anche in caso di
perdita della qualità che consente all’incaricato
l’accesso ai dati personali.
Il sistema di autenticazione
 Sono impartite istruzioni agli
incaricati per non lasciare
incustodito e accessibile lo
strumento elettronico durante una
sessione di trattamento.
 Le disposizioni sul sistema di
autenticazione non si applicano
ai trattamenti di dati personali
destinati alla diffusione.
Il sistema di autorizzazione
 Quando per gli incaricati sono individuati profili di
autorizzazione di ambito diverso è utilizzato un
sistema di autorizzazione.
 Un sistema di autorizzazione è l’insieme degli
strumenti e delle procedure che permettono di
stabilire quali siano i dati e le operazioni di
trattamento su di essi consentite agli incaricati che
avranno accesso.
Il sistema di autorizzazione
 I profili di autorizzazione, per ciascun incaricato o
per classi omogenee di incaricati, sono individuati
e configurati anteriormente all’inizio del
trattamento, in modo da limitare l’accesso ai soli
dati necessari per effettuare le operazioni di
trattamento.
 Periodicamente, e comunque almeno annualmente, è
verificata la sussistenza delle condizioni per la
conservazione dei profili di autorizzazione.
La sicurezza delle informazioni
 I dati personali sono protetti contro il rischio di
intrusione e dall’azione di programmi aventi per
scopo o per effetto il danneggiamento di un
sistema informatico, mediante l’attivazione di
idonei strumenti elettronici.
 Per tale scopo si possono usare applicativi software
come gli antivirus e anti-spyware
oppure strumenti hardware e
software come i firewall.
La sicurezza delle informazioni
 Gli aggiornamenti periodici dei programmi per
elaboratore volti a prevenire la vulnerabilità degli
strumenti elettronici e a correggerne difetti, sono
effettuati almeno annualmente.
 In caso di trattamento di dati sensibili o giudiziari
l’aggiornamento è almeno semestrale.
 Ci si riferisce, in sintesi, agli antivirus e all’
installazione periodica degli ultimi aggiornamenti
(patch, service pack) disponibili per il sistema
operativo e le applicazioni.
Copie di sicurezza e ripristino
 Al fine di garantire l’integrità
e la disponibilità dei dati
sono impartite istruzioni
organizzative e tecniche per
la realizzazione e custodia di
copie di sicurezza dei dati
(che devono prevedere anche
periodiche verifiche dei
supporti utilizzati per le copie
di sicurezza e prove di
ripristino).
Copie di sicurezza e ripristino
 Sono adottate idonee misure per garantire il
ripristino dell’accesso ai dati in caso di
danneggiamento degli stessi o degli strumenti
elettronici, in tempi certi compatibili con i diritti
degli interessati e non superiori a sette giorni.
 Per soddisfare il requisito viene spesso elaborato un
piano di emergenza (Disaster Recovery) che va
inserito nel Documento Programmatico sulla
Sicurezza.
La gestione dei supporti rimovibili
 Sono impartite istruzioni organizzative e tecniche per
la custodia e l’uso dei supporti rimovibili su cui sono
memorizzati i dati al fine di evitare accessi non
autorizzati e trattamenti non consentiti.
 I supporti rimovibili contenenti dati sensibili o
giudiziari, se non utilizzati, sono distrutti o resi
inutilizzabili, ovvero possono essere riutilizzati da
altri incaricati, non autorizzati al trattamento degli
stessi dati, se le informazioni precedentemente in essi
contenute non sono intelligibili e tecnicamente in
alcun modo ricostruibili.
La cifratura dei dati sensibili
 I dati sensibili atti a rivelare lo stato di salute e la
vita sessuale contenuti in elenchi, registri o banche
dati, tenuti con l’ausilio di strumenti elettronici, sono
trattati con tecniche di cifratura o mediante
l’utilizzazione di codici identificativi o di altre
soluzioni che, considerato il numero e la natura dei
dati trattati, li rendano temporaneamente
inintellegibili anche a chi è autorizzato ad accedervi
e permettono di identificare gli interessati solo in
caso di necessità.
La cifratura dei dati sensibili
 Sono conservati
separatamente da altri dati
personali.
 I dati relativi all’identità
genetica sono trattati
esclusivamente all’interno di
locali protetti e accessibili ai
soli incaricati del trattamento
ed ai soggetti
specificatamente autorizzati.
La cifratura dei dati sensibili
 Il trasporto dei dati genetici all’esterno dei locali
riservati al loro trattamento deve avvenire in
contenitori muniti di serratura o dispositivi
equipollenti.
 Il trasferimento dei dati in formato elettronico è
cifrato, mentre nel caso in cui i dati si trovino su
documenti cartacei il servizio di
spedizione postale più sicuro è
l’assicurata.
L’Amministratore di Sistema
 La figura dell’Amministratore di Sistema, già
disciplinata dal DPR 318/99, è stata reintrodotta
dall’Autorità Garante, vista la rilevanza di tale figura,
mediante apposito Provvedimento del novembre 2008.
 La sua designazione deve avvenire previa valutazione
dell’esperienza, capacità e affidabilità del soggetto, il
quale deve fornire idonea garanzia del pieno rispetto
delle disposizioni in materia di trattamento, compreso
il profilo relativo alla sicurezza.
L’Amministratore di Sistema
 Le funzioni tipiche dell‘Amministratore di Sistema
sono richiamate nell’Allegato B e comprendono la
realizzazione di copie di sicurezza (operazioni di
backup e recovery dei dati), la custodia delle
credenziali, la gestione dei sistemi di
autenticazione e di autorizzazione.
L’Amministratore di Sistema
 Il Garante ha introdotto l’obbligo di verifiche
periodiche dell’operato dell’amministratore di
sistema, a carico del titolare o del responsabile.
 A tal fine il Garante ha stabilito che debbano
essere registrati tutti gli accessi logici
(autenticazione informatica) ai sistemi di
elaborazione e agli archivi elettronici da parte
degli amministratori di sistema.
L’Amministratore di Sistema
 Le registrazioni (access log) devono comprendere i
riferimenti temporali e la descrizione dell’evento
che le ha generate (log-in, log-out, o una
condizione di errore) e devono essere conservate
per un periodo non inferiore a sei mesi.
 Il provvedimento non chiede in alcun modo che
vengano registrati dati sull’attività degli
amministratori una volta ottenuto l’accesso al
sistema informativo.
L’Amministratore di Sistema
 La norma richiede che gli access log abbiano
caratteristiche di completezza, inalterabilità e
possibilità di verifica della loro integrità, adeguate
al raggiungimento dello scopo di verifica per cui
sono richieste.
Misure minime per il trattamento senza
l’ausilio di strumenti elettronici
Il trattamento di dati personali effettuato senza
l’ausilio di strumenti elettronici è consentito solo se
sono adottate le seguenti misure minime (Allegato B).
 Aggiornamento periodico dell’individuazione

dell’ambito del trattamento consentito.

 Previsione di procedure per un’idonea custodia di
atti e documenti affidati agli incaricati.
 Previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato e
disciplina delle modalità di accesso finalizzata
all’identificazione degli incaricati.
Misure minime per il trattamento senza
l’ausilio di strumenti elettronici
 Agli incaricati sono impartite istruzioni scritte
finalizzate al controllo e alla custodia di atti e
documenti contenenti dati personali, per l’intero ciclo
delle operazioni di trattamento.
 Quando i documenti contengono dati sensibili o
giudiziari vengono controllati e custoditi dagli
incaricati fino alla restituzione in maniera che ad essi
non accedano persone prive di autorizzazione, sono
restituiti al termine delle operazioni affidate e
l’accesso agli archivi è controllato.
Documento Programmatico sulla Sicurezza

 Il titolare del trattamento di dati sensibili o giudiziari

può redigere, anche attraverso il responsabile se
designato, il Documento Programmatico sulla
Sicurezza, ovvero un documento che ha lo scopo di
ottemperare alle misure minime di sicurezza e gestire
la politica aziendale in tema di sicurezza, partendo
dall’analisi dei rischi propri del sistema informativo.
 Il Documento Programmatico sulla Sicurezza, con il
Decreto Semplificazioni, emanato il 9 Febbraio 2012,
non è più obbligatorio.
Documento Programmatico sulla Sicurezza

Il DPS è, comunque, un’ utile strumento organizzativo

per avere un quadro preciso sulla sicurezza posseduta
e di quella programmata. Le informazioni in esso
contenute riguardano:
1. l’elenco dei trattamenti;
2. la distribuzione dei compiti e delle responsabilità;
3. l’analisi dei rischi che incombono sui dati;
4. le misure da adottare per garantire l’integrità e la
disponibilità dei dati, nonché la protezione delle
aree e dei locali, ai fini della loro custodia e
accessibilità;
Documento Programmatico sulla Sicurezza

5. la descrizione dei criteri e delle modalità per il

ripristino della disponibilità dei dati in seguito a
distruzione o danneggiamento;
6. la previsione della formazione degli incaricati sui rischi
e sulle misure disponibili per prevenire eventi dannosi,
sulla protezione dei dati, sulle responsabilità derivanti e
sulle misure minime adottate dal titolare. La formazione
è programmata già al momento dell’ingresso in
servizio, nonché in occasione di cambiamenti di
mansioni, o di introduzione di nuovi significativi strumenti;
Documento Programmatico sulla Sicurezza

7. la descrizione dei criteri da adottare per garantire

l’adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al
codice, all’esterno della struttura del titolare;
8. per i dati personali idonei a rivelare lo stato di salute e
la vita sessuale, l’individuazione dei criteri da adottare
per la cifratura o per la separazione di tali dati dagli
altri dati personali dell’interessato.
Tipologie rilevanti di trattamento
 I datori di lavoro nel trattare i dati personali dei
lavoratori devono sempre tenere presente i principi
fondamentali della riservatezza e della protezione
dei dati stabiliti dal Codice e quanto indicato dallo
Statuto dei Lavoratori.
 È necessaria l’adozione di un regolamento aziendale
che stabilisca il corretto utilizzo ai quali sono destinati
i beni e gli strumenti aziendali e quali
forme di controllo il datore di lavoro
intende applicare per verificarne il
giusto uso.
La privacy nel mondo del lavoro
Il datore di lavoro è chiamato
 Ad adottare ogni misura in grado di prevenire il

rischio di utilizzi impropri, così da ridurre controlli

successivi sui lavoratori.
 Individuare preventivamente i siti considerati
correlati o meno con la prestazione lavorativa.
 Utilizzare filtri che prevengano determinate

operazioni, quali l’acceso a siti inseriti in una black list

o il download di file musicali o multimediali.
La privacy nel mondo del lavoro
 Rendere disponibili indirizzi condivisi tra più
lavoratori, rendendo chiara la natura non privata
della corrispondenza.
 Attribuire al lavoratore un altro indirizzo destinato
ad uso personale.
 Prevedere, in caso di assenza del lavoratore,
messaggi di risposta automatica con le coordinate
di altri lavoratori cui rivolgersi.
Disposizioni sulla videosorveglianza
 La videosorveglianza è
possibile a condizione che le
apparecchiature poste
abbiano finalità di controllo
e di sicurezza e che
l’informativa, nella quale
vanno esposte con chiarezza
le finalità del trattamento, sia
pubblicata in modo da
garantire reperibilità,
usabilità e accessibilità.
Disposizioni sulla videosorveglianza
Prima di procedere all’installazione di sistemi di
videosorveglianza, il titolare deve sottoporre a
verifica preliminare del Garante i casi in cui tale
sistema consenta:
 il riconoscimento della persona sulla base del
confronto di immagini;
 di indicizzare le immagini per ricerche
automatizzate;
 di rilevare automaticamente comportamenti o
eventi anomali, segnalarli e registrarli.
Disposizioni sulla videosorveglianza
 Deve essere escluso ogni
impiego non necessario,
superfluo o eccessivo ed è
d’obbligo valutare se sia
realmente proporzionata agli
scopi prefissati e legittimamente
perseguibili.
 L’impiego di tali sistemi, quindi,
può risultare eccedente qualora
siano già adottati altri efficaci
sistemi di controllo o vigilanza.
Disposizioni sulla videosorveglianza

Indicazione Indicazione
presenza di periodo di
impianti di conservazione
videosorveglianza dati (max 24h)

Principio di Riconoscimento
proporzionalità diritto di accesso
dei mezzi usati
Presupposti
rispetto
Privacy
Disposizioni privacy sulla posta elettronica

 In alcuni ordinamenti giuridici, tra cui l’Italia, è stata

estesa anche alla posta elettronica, nonostante la
minor riservatezza offerta dovuta al mezzo tecnico
e alle soluzioni tecnologiche utilizzate, la rigorosa
tutela prevista per la corrispondenza cartacea,
secondo la quale la libertà e la segretezza della
corrispondenza e di ogni altra forma di
comunicazione sono inviolabili.
Disposizioni privacy sulla posta elettronica

 Limiti a libertà e segretezza della corrispondenza

possono essere disposti solo con atto motivato
dall’autorità giudiziaria e con le garanzie stabilite
dalla legge.
 La segretezza della corrispondenza è oggetto di
tutela anche in sede penale, dove per
corrispondenza si intende quella epistolare,
telegrafica, informatica o telematica, ovvero
effettuata con ogni altra forma di
comunicazione a distanza.
Disposizioni privacy sulla posta elettronica

Esistono tre ipotesi di reato specifiche per le

comunicazioni telematiche:
1. l’intercettazione di comunicazioni telematiche;
2. l’installazione di apparecchiature atte ad
intercettare o interrompere comunicazioni
telematiche;
3. la formazione falsa, ovvero l’alterazione o la
soppressione in tutto o in parte
del contenuto di una comunicazione
telematica, anche se occasionalmente
intercettata.
La privacy digitale: informativa e consenso

 L’informativa sul web deve avere gli stessi

contenuti di quella normale.
 L’informativa deve essere rilasciata al momento
della raccolta e cioè preventivamente al
conferimento dei dati da parte dell’interessato per
permettergli una cosciente scelta in merito alla
destinazione dei dati che lo riguardano.
La privacy digitale: informativa e consenso

 La forma con cui le informazioni sono rese

all’interessato può essere scritta o orale (si pensi al
caso in cui i dati siano raccolti per via telefonica),
anche sul web (mediante una pagina ben visibile).
 Quindi, per quanto riguarda l’informativa, essa può
essere resa anche in forma elettronica (via
Internet) e deve contenere tutte le finalità per le
quali i dati personali vengono raccolti.
La privacy digitale: informativa e consenso

 Al momento della raccolta dei dati i siti Internet

dovrebbero specificare se i dati raccolti saranno
comunicati o resi disponibili a terzi e le relative
motivazioni.
 In questi casi è fondamentale che gli utenti Internet
dispongano di un’effettiva possibilità di opporsi a
detta comunicazione cliccando su di una casella di
spunta ed esprimendo così il proprio favore alla
comunicazione dei dati con finalità diverse dalla
fornitura del servizio richiesto.
La privacy digitale: informativa e consenso

 Deve essere possibile esprimere il consenso

separatamente per ogni trattamento, per ogni
finalità e per ogni titolare.
 I form su web, attraverso cui è possibile raccogliere
il consenso, devono prevedere la certezza della
volontà dell’interessato e ciò può avvenire mediante
l’operazione di selezione di un’apposita
casella in una pagina del sito
(OPT-in, OPT-out).
La privacy digitale: i file di log
 Nell’attuale società si
individuano due bisogni non
disgiunti e contrapposti: il
bisogno di identificabilità e il
bisogno di anonimato.
 Anche su Internet, pur se con
modalità diverse, vi sono
possibilità di anonimato,
possibilità di identificazione e
obblighi di identificazione.
La privacy digitale: i file di log
 Accanto alla scelta cosciente di un utente nel fornire
dati identificativi, Internet offre la possibilità di
raccogliere informazioni su un utente a sua
insaputa.
 Esistono particolari software che seguono e
memorizzano il clickstream di ciascun utente, tra cui
log e cookies, i quali forniscono una grande quantità
di dati che possono essere elaborati per ottenere
informazioni su abitudini e interessi degli utenti
(identità sociale).
La privacy digitale: i file di log
Esistono strumenti tecnologici per proteggersi dalla raccolta dei dati
in Internet, che prendono il nome di PET’s (Privacy Enahancing
Technologies) e permettono di minimizzare o eliminare del tutto
l’invio dei dati personali.
 L’anonymous surfing permette  L’anonymous remailing
all’utente di evitare che i server permette all’utente di inviare
web possano raccogliere messaggi di posta elettronica
informazioni quali l’indirizzo IP, il senza rivelare la propria identità
browser per la navigazione o utilizzando uno o più server
l’ultimo server visitato, scaricando intermedi che assicurano
la pagina web che si vuole visitare l’anonimato cancellando dal
su un server, detto anonimizzatore, messaggio le informazioni che
il quale scarica il documento e lo identificano l’utente.
invia successivamente al computer
dell’utente.
La tutela della privacy nei social network

 Le Autorità Garanti hanno impartito alcune precise

raccomandazioni anche agli utenti, i quali devono
valutare con attenzione se e in quale misura
pubblicare dati personali in un profilo creato sui
servizi di social network e sono comunque tenuti a
rispettare la privacy altrui.
Le sanzioni previste
Le sanzioni previste in caso di violazione delle norme
contenute nel Codice si dividono in sanzioni amministrative
e penali.
Le sanzioni amministrative si riferiscono a:
 Omessa o inidonea informativa all’interessato;

 Mancata o incompleta notificazione;

 Omessa informazione o esibizione al Garante;

 Cessione illecita di dati;

 Violazione delle norme in materia di conservazione dei

dati di traffico telefonico e telematico;

 Violazione del diritto di opposizione.
Le sanzioni previste
Le sanzioni penali si riferiscono a:
 Trattamento illecito di dati;

 Falsità nelle dichiarazioni e notificazioni al Garante;

 Omissione delle misure minime di sicurezza;

 Inosservanza dei provvedimenti del Garante.

Chiunque omette di adottare le misure minime di

sicurezza è punito con l’arresto sino a due anni.
Le disposizioni sui danni cagionati
 L’art. 15 nell’ambito della sezione sul risarcimento dei
danni provocati per effetto del trattamento dei dati,
definisce tale attività pericolosa ai sensi dell’art. 2050 c.c.
 [Art. 2050 c.c.. Responsabilità per l’esercizio di attività
pericolose].
Chiunque cagiona danno ad altri nello svolgimento di
un’attività pericolosa (nel nostro caso il trattamento di dati
personali), per sua natura o per la natura dei mezzi
adoperati, è tenuto al risarcimento, se non prova di avere
adottato tutte le misure idonee a evitare il danno.
Le comunicazioni elettroniche non sollecitate
Informatica Giuridica
Modulo 1
Protezione Dati Personali
Privacy e Sicurezza
Le comunicazioni elettroniche non
sollecitate
Direct marketing
 Insieme delle attività che permettono di offrire

prodotti e servizi e di trasmettere ogni altro

messaggio pubblicitario a segmenti di popolazione
mediante posta, telefono o altri mezzi diretti a
scopo d’informazione o al fine di sollecitare una
reazione da parte della persona interessata.
Le comunicazioni elettroniche non
sollecitate
Spamming
 Tecnica di invio massivo e spesso

indiscriminato di comunicazioni
elettroniche non desiderate
(messaggi di posta elettronica non
richiesti), a fini commerciali.
Le comunicazioni elettroniche non
sollecitate

Sottrazione di
tempo utile
agli operatori

Costi a carico Intasamento

dell’azienda dei canali di
trasmissione

Aspetti
nocivi per
l’azienda
ricevente
Il quadro normativo sulle comunicazioni
indesiderate
 L’ art 130 del Codice, disciplinante le comunicazioni
indesiderate, dispone che l’uso di sistemi
automatizzati di chiamata per l’invio di materiale
pubblicitario o di vendita diretta è consentito con il
consenso dell’interessato (principio di opt-in).
 Tale disposizione si applica anche alle
disposizioni elettroniche, effettuate
per suddette finalità mediante posta
elettronica, sms, mms o altro.
Il quadro normativo sulle comunicazioni
indesiderate
 Se il titolare del trattamento utilizza, ai fini di vendita
diretta di propri prodotti o servizi, le coordinate di
posta elettronica fornite dall’interessato nel contesto
della vendita di un prodotto o di un servizio, può non
richiedere il consenso dell’interessato sempre che si
tratti di servizi analoghi a quelli oggetto della vendita.
 Il destinatario dev’essere comunque informato della
possibilità di opporsi ad ulteriori messaggi in qualsiasi
momento e in modo semplice e gratuito (principio di
opt-out).
Il quadro normativo sulle comunicazioni
indesiderate
 E’ vietato in ogni caso l’invio di comunicazioni a scopo
promozionale effettuato camuffando o celando
l’identità del mittente o senza fornire un idoneo
recapito presso il quale l’interessato possa esercitare
i diritti previsti dal Testo Unico.
 Il Registro Pubblico delle Opposizioni è un nuovo
servizio concepito a tutela del cittadino, il cui numero
è presente negli elenchi telefonici pubblici, che
decide di non voler più ricevere telefonate per
scopi commerciali o di ricerche di
mercato.
Le disposizioni in materia di telemarketing

 Le società che operano nel settore

del telemarketing non potranno più
contattare i numeri degli abbonati
iscritti nel Registro delle opposizioni.
 La singola azienda che abbia,
invece, ricevuto in passato il
consenso dell’abbonato a ricevere
telefonate promozionali, potrà
contattarlo anche se questi è
iscritto nel Registro.
Le disposizioni in materia di telemarketing

 Gli operatori di telemarketing che intendono contattare

gli abbonati presenti negli elenchi telefonici pubblici per
attività commerciali, promozionali o per il compimento di
ricerche di mercato tramite l’uso del telefono, sono tenuti
a registrarsi al sistema gestito dal Gestore del registro
pubblico delle opposizioni e a comunicare la lista dei
numeri che intendono contattare.
 Il Gestore, mettendo a confronto le informazioni contenute
nel registro e la lista dei numeri fornita dall’operatore,
cancellerà da essa tutti i numeri degli abbonati che hanno
richiesto di non essere contattati.
La riservatezza nelle comunicazioni
indesiderate
Dal 2005 è stata modificata la gestione degli
elenchi telefonici, in particolare:
 Il diritto, riconosciuto agli abbonati, di decidere

liberamente, in forma specifica e documentata per

iscritto, se e come comparire nell’elenco;
 la possibilità di inserire negli elenchi, sempre su

libera scelta dell’abbonato, altri dati riguardanti la

professione, il titolo di studio, l’indirizzo e-mail, ecc.
La riservatezza nelle comunicazioni
indesiderate
 I dati relativi al traffico sono definiti come i dati
sottoposti a trattamento "ai fini della trasmissione
di una comunicazione su una rete di
comunicazione elettronica o della relativa
fatturazione".
 L’art. 123 del Codice stabilisce in sei mesi il limite
temporale per la conservazione dei dati di
traffico telefonico.
La riservatezza nelle comunicazioni
indesiderate
 L’obbligo di conservazione riguarda i dati relativi al
traffico telefonico, inclusi quelli concernenti le
chiamate senza risposta, nonché i dati inerenti al
traffico telematico, esclusi comunque i contenuti
delle comunicazioni.
 Allo scadere dei termini previsti per la conservazione,
i dati di traffico sono resi non disponibili per le
elaborazioni dei sistemi informativi e le relative
consultazioni.
La riservatezza nelle comunicazioni
indesiderate
L’art. 125 del Codice introduce, a garanzia della
riservatezza degli utenti, alcune modalità di gestione
della funzione di identificazione della linea chiamante. È
riconosciuto gratuitamente il diritto di
 impedire la presentazione della linea chiamante;

 respingere le chiamate entranti se la presentazione

della linea chiamante è stata eliminata dall’utente;
 impedire la presentazione dell’identificazione della
linea collegata all’utente chiamante.
 INFORMATICA GIURIDICA
Modulo 1 Protezione Dati Personali – Privacy e Sicurezza
 IL GDPR
GENERAL DATA PROTECTION REGULATION
Modulo 1 Protezione Dati Personali – Privacy e Sicurezza
IL GDPR
 General Data Protection Regulation
 È il nuovo Regolamento UE 2016/679 del
Parlamento Europeo e del Consiglio, relativo
alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali,
nonché alla libera circolazione di tali dati.
COSA CAMBIA CON IL GDPR?
 Il nuovo Regolamento è stato approvato ed è
in vigore dal 25 maggio 2016 e stabilisce che
ci sono due anni di tempo (fino al 25 maggio
2018) per le organizzazioni, per adeguarsi a
ciò che di nuovo è stato introdotto.
 Da quella data il regolamento sarà

definitivamente operativo in tutti gli stati della

UE.
Cosa succede dopo il 25/05/2018?

 Con il nuovo regolamento europeo l'Autorità di

controllo interviene principalmente ex post,
cioè la sua valutazione si colloca
successivamente alle valutazioni del Titolare
del trattamento.
 ATTENZIONE! Continua a vigere il Dlgs

196/03 con le prescrizioni puntuali che il

Regolamento non specifica direttamente (es: le
misure minime di sicurezza dell’ All. B al
196/03).
A CHI SI RIVOLGE IL GDPR?
 Praticamente …. a Tutti !!!
 Tutte le organizzazioni che operano come
realtà produttiva (imprese, comuni, ospedali)
hanno giocoforza a che fare con le persone,
siano esse clienti, fornitori o collaboratori.
 E con queste persone si acquisiscono e si

devono gestire le informazioni che si

scambiano con esse.
QUALI NOVITÀ INTRODUCE IL GDPR?

 La privacy non è più considerato un semplice

adempimento burocratico ma diventa un asset
strategico da proteggere all’interno di tutte le
organizzazioni (Principio di Accountability).
 Privacy da concezione formale ad un ruolo
proattivo per i titolari delle imprese.
PRINCIPALI CAMBIAMENTI

Perimetro
• La rilevanza coinvolge tutti gli Stati della UE mantenendo le
singole legislazioni nazionali e chiunque tratti dati di cittadini
europei a prescindere dalla localizzazione della sede del
titolare del trattamento dei dati.
Responsabilità
• Viene disciplinata in modo più dettagliato la responsabilità
del titolare che deve essere in grado di dimostrare di
avere adottato le misure tecniche ed organizzative
adeguate (e non più le misure minime dell’all.B del 196/03)
per garantire la conformità al regolamento. (art. 24)
PRINCIPALI CAMBIAMENTI

Informative chiare
• Viene rafforzato l’obbligo di fornire informative chiare e
semplici al fine di rafforzare il controllo degli interessati
rispetto al trattamento dei loro dati personali. Le
informative sono estese anche ai minori di anni 16 con
intervento prestato dal titolare della responsabilità
genitoriale (art. 8).
Diritto all’oblio
• Viene introdotto il diritto per l’interessato di ottenere dal
titolare del trattamento l’oblio dei propri dati personali
al ricorrere di determinate specifiche ipotesi. (art. 17)
PRINCIPALI CAMBIAMENTI

Portabilità dei dati

• Viene introdotto il diritto della portabilità dei dati che
consente all’interessato di ricevere i propri dati in formato
strutturato leggibile da sistema automatizzato e consente
di farli trasferire da un titolare all’altro. (art. 20)
Privacy by design e by default
• Il titolare deve implementare misure idonee a proteggere i
dati sia dal momento della determinazione dei servizi di
trattamento (by design) e garantire solo il trattamento dei
dati necessari per le finalità per cui sono trattati (by
default). (art. 25)
PRINCIPALI CAMBIAMENTI

Data Breach notification

• Viene stabilito che le violazioni ai dati personali “Data
Breach” siano notificate all’autorità di controllo entro le 72h
dal rilevamento dell’incidente, inoltre qualora ciò impatti
sulla liberta e sui diritti dell’interessato anche quest’ultimo
deve essere informato. (art. 33)
Privacy Impact Assessment
• Viene introdotto l’obbligo per ciascun titolare di effettuare
un’autovalutazione del rischio derivante dai trattamenti
effettuati e, sulla base degli esiti delle analisi, di effettuare
una consultazione preventiva con l’autorità garante. (art. 35)
PRINCIPALI CAMBIAMENTI

Data Protection Officer

• Viene introdotta la figura del DPO per taluni titolari o per taluni
trattamenti che ricadono in specifiche condizioni (art. 37).
• Autorità o Organismo Pubblico
• Trattamenti che richiedono il monitoraggio sistematico e regolare
degli interessati su larga scala.
• Le attività di trattamento interessano, su larga scala, dati di cui
all’art.9 ovvero i cosiddetti “sensibili” e art.10 ”giudiziari ”.
Registri del trattamento
• Obbligo di tenuta, anche in formato elettronico, di un registro dei
trattamenti con specifici contenuti. (art. 30)
SONO PREVISTE SANZIONI DAL GDPR?

 Il GDPR introduce pesantemente un approccio

sanzionatorio talmente elevato che non
consente di pensare “me la cavo con poco”.
 L’art. 83 cita esplicitamente che le sanzioni per

inadempienza al regolamento ed ai diritti

prima citati possono arrivare a
GLI INCARICHI PREVISTI
GDPR
 Rappresentante del titolare
del trattamento nella UE
 Responsabile del
trattamento (non
obbligatoria)
 Data Protection Officer
(obbligatoria su condizione)
D. Lgs.vo 196/2003
 Incaricato esterno del
trattamento (obbligatoria
su condizione)
 Incaricato interno al
trattamento (obbligatoria)
 Amministratore di sistema
(obbligatoria)