CONSULENZA PRIVACY
Sabato 13 Luglio 2024




Approfondimenti in breve

  1. Alcune categorie particolari di dati come ad es. origine razziale, sesso, convinzione religiosa ecc, sono soggette a regole stringenti;
  2. Chi tratta dati personali di persone fisiche utilizzando il PC o altri strumenti elettronici deve effettuare controlli e aggiornamenti periodici sui sistemi informatici in uso e proteggerli;
  3. Con il GDPR 2016/679  aumenta la “responsabilizzazione” del Titolare/Responsabile, che deve attuare misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato conformemente al Regolamento;
  4. Con il GDPR 2016/679, il diritto “all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata;
  5. E’ un obbligo per tutte le imprese definire un’apposita struttura organizzativa e designare una persona per la gestione della privacy;
  6. Fra i compiti del RPD rientra la sensibilizzazione e la formazione del personale e la sorveglianza sullo svolgimento della valutazione di impatto;
  7. Gli ospedali, enti pubblici, società di selezione personale e istituti di rilevazione demoscopica trattano principalmente i dati sensibili e su larga scala;
  8. I dati personali sono elementi che consentono di identificare univocamente una persona fisica;
  9. I fondamenti di “liceità” del trattamento dati, sono indicati all’art. 6 del regolamento GDPR 2016/679 e coincidono, in linea di massima, con quelli previsti attualmente dal Codice;
  10. Il controllo degli adempimenti previsti dalla legge in fatto di privacy è affidato alla Polizia Postale e alla Guardia di Finanza;
  11. Il controllo e l’aggiornamento dei sistemi previene il rischio di abusi o perdita dei dati per chi usa strumenti elettronici;
  12. Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento;
  13. Il DPO è obbligatorio per la Pubblica Amministrazione eccetto autorità giudiziarie;
  14. Il DPO è obbligatorio per le aziende che trattano i dati sensibili con l’impiego di elaboratori elettronici su larga scala o con più di 250 dipendenti;
  15. Il piano di formazione sulla privacy del personale deve essere aggiornato periodicamente e rivolto a tutte le figure aziendali;
  16. Il registro delle operazioni di trattamento, secondo il GDPR, è uno strumento fondamentale per ogni valutazione e analisi del rischio;
  17. Il responsabile della protezione dei dati deve avere un’adeguata conoscenza delle norme di privacy e delle prassi per la protezione dei dati;
  18. Il titolare del trattamento dei dati personali collabora con DPO, Organismi indipendenti di Certificazione e Autorità del Garante;
  19. La DPIA è uno strumento con cui ogni azienda provvede ad una valutazione del rischio per la sicurezza del trattamento dei dati personali;
  20. La nomina di un DPO Data Protection Officer è obbligatoria per le aziende che trattano i dati personali sul larga scale con l’impiego di elaboratori elettronici;
  21. La normativa individua quattro soggetti coinvolti nel trattamento dei dati #personali: titolare, responsabile protezione dei dati, incaricati e interessato;
  22. La notifica al Garante va effettuata, tramite apposito procedimento telematico, qualora si trattino particolari tipologie di dati sensibili;
  23. La Privacy by design e la privacy by default sono utili per la protezione dei dati fin dalla progettazione con l’obiettivo di ridurre i rischi al minimo;
  24. La protezione dei dati personali deve essere tenuta in considerazione durante l’intero ciclo di vita del sistema, fin dalla progettazione e dalla scelta della tecnologia attraverso la quale i dati verranno gestiti, fino all’utilizzo o all’eliminazione finale;
  25. La raccolta diretta dei dati deve essere limitata il più possibile e comunque sempre nel rispetto della normativa sulla privacy;
  26. L’amministratore di sistema è una figura tecnica necessaria per la gestione e manutenzione dei sistemi informatici complessi;
  27. L’amministratore di sistema si occupa di configurare e gestire le chiavi di accesso e di autenticazione di tutti gli utenti;
  28. L’art. 20 del Regolamento UE 2016/679 definisce i criteri per la portabilità dei dati personali;
  29. L’informativa privacy secondo il Regolamento UE 2016/679 deve essere intelligibile per l’interessato e facilmente accessibile;
  30. L’onere della prova della sussistenza del consenso al trattamento prestato dall’interessato è in capo al titolare del trattamento dei dati;
  31. Per Il trattamento dei dati personali di una persona fisica deve essere rilasciata l’informativa e non tassativamente in forma scritta e comunicata la ragione dell’utilizzo;
  32. Secondo l’art. 17 del Regolamento UE 2016/679, l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento;
  33. Tutte le aziende sono soggette agli obblighi previsti dalla legge sulla #Privacy con modalità differenti a seconda dei dati trattati;
  34. Tutti i titolari di trattamento dei dati privacy dovranno documentare le violazioni di dati personali subite;
  35. Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo provocare danni fisici materiali o non alle persone.