Sei sulla pagina 1di 4

14-10-21

ARTICOLO 4 DEL GDPR (regolamento europeo 679 del 2016)


Definizioni
Ai fini del presente regolamento si intende per:
1. "dato personale": qualsiasi informazione riguardante una persona fisica
identificata o identificabile; si considera identificabile la persona fisica che può
essere identificata, direttamente o indirettamente, con particolare riferimento a un
identificativo come il nome, un numero di identificazione ecc.
Il nome, un numero di identificazione, identificativo online, il DNA fanno parte
dell'identificabilità indiretta
2. "trattamento": qualsiasi operazione o insieme di operazioni compiute con o senza
l'ausilio di processi automatizzati e applicate a dati personali o insieme di dati
personali, come la raccolta (es. tessera fedeltà si compila un modulo dove vengono
raccolti i vari dati del cliente), la registrazione, l'organizzazione, comunicazione
mediante trasmissione (trasmettere un dato vuol dire che si ha un destinatario
definito es. Invio mail), diffusione (diffusione online; es. pubblicare su un social,
dunque si ha una messa a disposizione del dato pubblico indefinito) o qualsiasi altra
forma.
Dunque, conservare più del dovuto o meno del dovuto un dato personale di una
persona comporta una possibile sanzione, comporta che il garante dichiari quel
trattamento illecito.
3. "profilazione": è un trattamento automatizzato quindi non si può fare profilazione
manualmente, un algoritmo che va a profilare una persona fisica, cioè effettuare un
trattamento automatizzato di dati personali consistente nella valutazione di
determinati aspetti relativi a una persona fisica. In particolare, per analizzare o
prevedere il rendimento professionale, la salute, la situazione economica ecc.
Cos'è un processo decisionale automatizzato? Entra in gioco nella profilazione,
quando da questa analisi delle abitudini di consumo, di movimento di una una
persona fisica, automaticamente si va a trarre delle decisioni che hanno una
rilevanza giuridica e quindi incidono nella sfera giuridica del soggetto interessato (es.
quando si chiede un mutuo xi rischia questo processo, quindi prima si fa una
profilazione del cliente che dirà se si può concedere il mutuo o meno -> decide
l'algoritmo)
7. "titolare del trattamento": la persona fisica o giuridica che decide come e perché
trattare i dati, quindi determina le finalità e i mezzi del trattamento. Ovviamente ciò
può accadere singolarmente o insieme ad altri ("contitolarità")
8. "responsabile del trattamento": la persona fisica o giuridica che tratta dati
personali per conto del titolare, ovvero, è un responsabile esterno ed entra in gioco
quando vi è una esternalizzazione dei dati (es. enti pubblici che esternalizzano dei
servizi delle cooperative, ad esempio nelle RSA; le cooperative trattano i dati
personali per conto del titolare)
12. "violazione dei dati personali": la violazione di sicurezza che comporta
accidentalmente o in modo illecito, quindi intenzionalmente, che porta alla
distruzione (es. archivio si allaga), alla perdita di un dato. Inoltre, ci può essere anche
la modifica, divulgazione o l'accesso non autorizzato ai dati personali (es. campagne
di fishing)

ARTICOLO 5
Riguarda i principi applicabili al trattamento dei dati personali che sono:
a. trattati in modo lecito, coretto e trasparente (obbligo da parte del titolare di
fornire al soggetto interessato determinate informazioni sul trattamento) nei
confronti dell'interessato
b. raccolti per finalità determinate, esplicite e legittime → il titolare deve pensare a
cosa serve quel dato prima di trattarlo. A meno che non ci sia archiviazione nel
pubblico interesse ecc.
c. minimizzazione dei dati → i dati devono essere adeguati e pertinenti e limitati a
quanto necessario rispetto alle finalità per le quali sono trattati (es. quando accadde
una violazione dei dati è perché sono stati dati troppi dati e non solo quelli pertinenti
e necessari)
d. esatti e, se necessario, aggiornati
e. limitazione della conservazione → conservati in una forma che consenta
l'identificazione degli interessati per un arco di tempo non superiore al
conseguimento delle finalità per le quali sono trattati, quindi non tutti possono
essere conservati in eterno
f. integrità e riservatezza → i dati devono essere trattati in maniera da garantire
un'adeguata sicurezza dei dati personali da trattamenti non autorizzati o illeciti,
adottando misure e tecniche organizzative adeguate anche per la perdita del dato,
pure accidentalmente
- riservatezza: può essere al centro della violazione dei dati
Inoltre, nell'articolo 5 possiamo trovare il principio dei principi, ovvero, quello di
responsabilizzazione → il titolare è competente per il rispetto della normativa e in
grado di comprovarlo

ARTICOLO 6
Liceità o base giuridica del trattamento. Essa viene chiamata così, perché la norma
che si riferisce a un titolare rende il trattamento lecito (es. far vedere il green pass).
Il trattamento è lecito solo se:
a. l'interessato ha espresso il consenso del trattamento dei dati personali. Ma, un
trattamento per essere lecito non deve necessariamente basarsi sul proprio
consenso, perché possono coesistere più basi giuridiche del trattamento, il quale
può essere definito come una base giuridica residuale, ovvero se non si trova una
base giuridica, allora si chiede il consenso all'interessato
b. il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è
parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso
c. il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il
titolare del trattamento
e. il trattamento è necessario per l'esecuzione di un compito di interesse pubblico
d. il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato
f. il trattamento è necessario per il perseguimento del legittimo interesse del titolare
o di terzi. Non è una base giuridica per i trattamenti della pubblica istruzione

PRINCIPIO DI GRANULARITÀ DEL CONSENSO


Il consenso deve essere riferito a specifiche finalità e per ogni finalità del
trattamento deve esserci la possibilità di scelta (es. carta fedeltà per volantini,
raccolta punti ma non per il trattamento dei dati personali da parte di terzi)

ARTICOLO 9
Fa riferimento alle categorie particolari di dati che sono i dati sensibili
"Dati personali che rivelino l'origine etnica o razziale, le opinioni politiche, le
convinzioni religiose o filosofiche, nonché trattare dati genetici, dati relativi alla
salute, vita sessuale o orientamento sessuale della persona". Ciò comporta una serie
di basi giuridiche dedicate a:
- assolvere gli obblighi ed esercitare i dati specifici del titolare del trattamento
- tutelare un interesse vitale
- trattare i dati personali resi pubblici dall'interessato

ARTICOLI 13-14
Nell'articolo 13 troviamo le informazioni da fornire qualora i dati personali siano
raccolti presso l'interessato
Nell'articolo 14 troviamo le informazioni da fornire qualora i dati personali non siano
stati raccolti presso l'interessato, ma raccolti da un soggetto diverso (es. carta fedeltà
se il soggetto acconsente di divulgare i suoi dati personali che possono finire ad altre
persone le quali devono specificare da dove li hanno presi)

ARTICOLO 15
Diritto di accesso dell'interessato ai propri dati personali. Quindi avere qualche
informazione in più rispetto a ciò che si trova nell'informativa

ARTICOLO 18
Diritto di limitazione di trattamento dei dati personali

ARTICOLO 20
Diritto alla portabilità dei dati, molto limitato perché riguarda la possibilità di
trasferire i propri post da un social a un altro.
Esso non è percorribile per trattamenti effettuati con strumenti cartacei
ARTICOLO 25
Protezione dei dati fin dalla progettazione (by design) e protezione dei dati per
impostazione predefinita (by default; richiama il principio di minimizzazione dei dati
quindi vengono trattati solo quelli necessari)

ARTICOLO 28
Si riferisce al responsabile esterno del trattamento. In caso di sub-responsabili tutti
gli obblighi che incombono sul responsabile, incombono anche sul sub-responsabile.
Al termine del rapporto di collaborazione e del contratto lavorativo il responsabile
deve a scelta del titolare: o restituire tutti i dati o cancellare tutti i dati

ARTICOLO 30
Riguarda i registri del trattamento che sono importanti, perché vuol dire che si ha
una tabella dove si elencano tutte le varie tipologie di trattamenti.
Nel momento in cui si trattano categorie particolari di dati, il registro è comunque
obbligatorio da tenere in caso di controlli, è qnche un modo per dimostrare il
rispetto del principio di responsabilizzazione.

ARTICOLO 32
Sicurezza del trattamento
Il titolare e il responsabile del trattamento mettono in atto misure organizzative e
tecniche adeguate per garantire un livello di sicurezza adeguato al rischio
c. capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati
personali in caso di incidente fisico o tecnico (es. data center bank in Belgio)

Potrebbero piacerti anche