15-10-21

ARTICOLO 33
Riguarda la notifica della violazione dei dati personali. Innanzitutto, bisogna
notificare la violazione dei dati stessa all'autorità di controllo o garante privacy.
Quindi, chi subisce una violazione o una perdita di un dato in modo accidentale o
intenzionale deve comunicarlo al garante.
Qual è la via di fuga? Qual è l'unico caso in cui si può evitare la notifica al garante?
A meno che sia improbabile che la violazione dei dati personali presenti un rischio
per i diritti e le libertà delle persone fisiche (es. smarrimento o furto di un supporto
di memoria, se questo è protetto con misure crittografiche, possiamo essere
tranquilli, perché il rischio per i diritti e le libertà delle persone fisiche è
improbabile). La notifica va fatta entro 72 ore, decorrenti da quando il responsabile
del trattamento ne è venuto a conoscenza, perché ad esempio ci sono delle
violazioni informatiche che vengono scoperte dopo molti anni
Cosa succede se non si riesce a capire cosa sia successo entro 72 ore? Si può fare una
notifica preliminare, quindi si comincia a comunicare al garante quel poco che si sa,
per poi fare una ulteriore notifica integrativa per reperire qualche informazione in
più. È comunque importante comunicare sempre cosa si sa nell'immediato,
altrimenti occorrerebbe giustificare i motivi del ritardo, ma anche questo potrebbe
essere ritenuto insufficiente e quindi essere esposti a sanzioni. La notifica deve
almeno:
c. descrivere le probabili conseguenze della violazione dei dati personali
d. descrivere le misure adottate o di cui si propone l'adozione da parte del titolare
del trattamento per porre rimedio o attenuare gli effetti negativi della violazione dei
dati. Bisogna dimostrare di aver fatto qualcosa per porre rimedio
Conseguenze (C85-87-88)
85. una violazione dei dati personali può provocare danni fisici, materiali o
immateriali, perdita di controllo dei dati personali, limitazione dei loro diritti,
discriminazione, furto o usurpazione d'identità, pregiudizio alla reputazione, perdita
di riservatezza dei dati personali protetti da segreto professionale.

ARTICOLO 34 (C86-88)
Riguarda la comunicazione di una violazione dei dati personali all'interessato. Nel
caso il rischio sia elevato, noi dobbiamo non solo notificare la violazione al garante,
ma anche comunicarla agli interessati (es. violazione dati sanitari o mole di dati
abbondante). Questa comunicazione deve essere fatta ad ogni interessato, tuttavia,
vi è il problema che non sempre si possa comunicare con tutti gli interessati e in
questi casi bisogna fare una comunicazione pubblica e arriverà successivamente una
sanzione.
ARTICOLO 35
La valutazione d'impatto sulla protezione dei dati e riguarda una valutazione
preventiva di determinati aspetti, nel caso in cui ci siano dei trattamenti che
utilizzino nuove tecnologie e possano presentare un rischio elevato per i diritti e le
libertà di una persona fisica.

ARTICOLO 37
A livello di valutazione d'impatto, entra in gioco anche la figura del responsabile della
protezione dei dati o "data protection officer". È una figura nuova che è stata
introdotta dal GDPR, sostanzialmente, si occupa di consulenza in materia di
protezione dei dati personali, ma che va obbligatoriamente consultata in
determinate occasioni.
Il DPO deve essere obbligatoriamente nominato nella pubblica amministrazione
oppure nel caso di trattamento di categorie particolari di dati o monitoraggio del
comportamento di soggetti su larga scala.
Inoltre, il DPO può essere sia una figura interna, sia una figura esterna

ARTICOLO 39
Riguarda i compiti del DPO
Perché il DPO va consultato nell'ambito della violazione dei dati? Perché il garante,
letta la notifica, potrebbe o chiamare il titolare del trattamento o chiamare il DPO
stesso e chiedere quindi dei chiarimenti. Il DPO poi non ha solo una funzione
consulenza nei confronti del titolare o responsabile dei trattamenti ma guarda anche
agli interessati che lo possono contattare per avere conferme in relazione a
determinate domande concernenti i trattamenti dei propri dati personali o per
sapere come esercitare uno dei diritti di cui ha il GDPR

ARTICOLO 82
Diritto del risarcimento dei danni da parte del titolare o responsabile del
trattamento. Esso può essere materiale o immateriale, chi lo subisce perché un
soggetto non ha rispettato il GDPR ha diritto a un risarcimento del danno,
quantificato da un giudice. Interessante è il riferimento alla norma codice privacy: si
diceva che il diritto sussisteva, perché si fa riferimento al articolo 2050 del Codice
Civile, dove si parla del risarcimento del danno nell'ambito dell'esercizio di attività
pericolosa, dunque si può affermare che trattare i dati è un'attività pericolosa.

ARTICOLO 83
Riguarda le condizioni generali per infliggere sanzioni amministrative pecuniarie da
parte del garante: infatti, sono i singoli garanti nazionali a decidere a quanto
ammonterà la sanzione e se erogarla o meno.
Paragrafo 4
Le sanzioni amministrative pecuniarie sono divise in due categorie:
- sanzioni meno elevate che possono arrivare fino a 10 milioni di euro, o per le
imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente
(es. google) in modo tale che la sanzione possa essere effettiva
(violazione art.8-da 25 a 29-32-33-34-37-38-39)
Paragrafo 5
- sanzioni amministrative pecuniarie più elevate che possono arrivare fino a 20
milioni di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo. Non
vi è un processo per erogare questa sanzione, ma l'autorità garante fa un
procedimento amministrativo e alla fine si eroga la sanzione (violazione art.5-6-7-9)

ARTICOLO 17
Diritto alla cancellazione ("diritto all'oblio")
Ha un'intestazione non giuridica, a-tecnica. L'interessato ha il diritto di ottenere dal
titolare la cancellazione dei dati, nel caso in cui i dati non siano più necessari per le
finalità trattate, quando l'interessato revoca il consenso o quando i dati personali
sono stati trattati illecitamente.
Per quanto riguarda il diritto all'oblio, esso nasce offline: infatti, già negli 1930-1940
si hanno i primi casi in cui emergevano queste istanza di diritto all'oblio. È un diritto
ibrido, perché in parte prende in considerazione il diritto alla riservatezza e in parte il
diritto all'identità personale. Quest'ultimo riguarda il diritto a essere rappresentati
nel contesto sociale con le caratteristiche che al momento lo contraddistinguono.
Il diritto all'oblio in internet non funziona come una censura, ma vuol dire non
cancellare quell'articolo dal sito del quotidiano cosa che si potrebbe fare se fosse
una comunicazione illecita (diritto alla cancellazione), ma semplicemente a togliere il
link a quella pagina dall'elenco dei risultati del motore di ricerca (SERP), quindi
dall'indice.
Non è necessario un secondo articolo in questo diritto all'oblio, perché il permanere
di quell'articolo equivale a una nuova pubblicazione lecita che crea qualche
problema con il decorso del tempo.

ARTICOLO 2
L'incapacità di agire si distingue in due tipologie:
- incapacità legale: casi di incapacità di agire previsti dalla legge: ad esempio i
minorenni, ma ci sono casi in cui la legge prevede determinate procedure e
l'intervento di un giudice, in relazione a soggetti maggiorenni che siano, in tutto o in
parte, incapaci di agire (soggetto debole maggiorenne). Esistono tre istituti che
guardano, in ordine decrescente, i profili di incapacità di agire:
• interdizione -> ci sono due tipi di interdizione: giudiziale, dove vi è un intervento
del giudice che valuta la situazione e dichiara il soggetto interdetto. Ma, vi è anche
l'interdizione legale (o interdizione accessoria), dove il soggetto viene interdetto dai
pubblici uffici.
ART. 414
● rubricato: persone che possono essere interdette
"Il maggiore di età [...] il quale si trovi in condizione di abituale infermità di mente
che lo rende incapace di provvedere ai propri interessi e bisogni"
In questi casi, è necessario un tutore che si sostituisce al soggetto interdetto e pure
ai suoi interessi
• inabilitazione
ART.415
● rubricato: persone che possono essere inabilitate
"Il maggiore di età infermo di mente, quindi stessa espressione dell'articolo 414, lo
stato del quale non è talmente grave da far luogo all'interdizione". Possiamo dire che
si ha qualche sprazzo di capacità di agire
Comma 2
"Possono essere anche inabilitati coloro che per prodigalità o per abuso di bevande
alcoliche espongono sé e la propria famiglia a gravi pregiudizi economici". Quindi,
quando il soggetto dilapida il proprio patrimonio mettendo a rischio sé stesso e
l'intera famiglia. In questi casi, non è necessario un tutore che si sostituisce al
soggetto, ma un curatore che assiste il soggetto beneficiario, il quale verifica e
conferma il compiere di quell'atto giuridico e sostanzialmente fa anche una
valutazione che non sia pregiudizievole nei confronti del soggetto o della sua
famiglia.
Comma 3
Altri casi in cui si ricorre all'inabilitazione, sono quelli della sordità e della cecità.
Quindi, soggetto sordo o cieco, a patto che non abbia ricevuto un'educazione idonea
(es. chi non conosce la lingua dei segni o non sappia leggere/scrivere). Dunque,
anche qui interviene un curatore che fa da controllore del fatto che quell'atto
giuridico non sia pregiudizievole nei confronti del soggetto debole maggiorenne.
• amministrazione di sostegno
ART 404
● rubricato: amministrazione di sostegno
"La persona che per effetto di un'infermità, ovvero, per una menomazione fisica o
psichica si trova nell'impossibilità anche parziale o temporanea di provvedere ai
propri interessi, può essere assistita da un amministratore di sostegno nominato dal
giudice tutelare". In questo caso, si ha un amministratore di sostegno non può fare
quello che vuole, ma è il giudice, all'interno del decreto di nomina, a stabilire
l'elencazione dei suoi atti che l'amministratore di sostegno è legittimato a compiere.
- incapacità di intendere o di volere (incapacità naturale) → ART.428 del Codice
Civile
● rubricato: "atti compiuti da persone incapaci di intendere o di volere".
"Gli atti compiuti da persona che sebbene non interdetta si provi a essere stata per
qualsiasi causa, anche transitoria, incapace di intendere o di volere al momento in
cui gli atti sono stati compiuti possono essere annullati", dunque l'atto è annullabile.
Si tratta ovviamente di soggetti maggiorenni.
L'incapacità di intendere o di volere può essere di natura transitoria e le cause che la
comportano sono, ad esempio, lo stato di ebrezza o abuso di sostanze stupefacenti,
ma anche patologie che solo temporaneamente rendono il soggetto non in grado di
intendere o di volere.
Per quanto riguarda l'annullabilità, essa è una forma di tutela, dove l'ultima parola
spetta alla persona che era, in quel momento, incapace di intendere e di volere