Glossario della Privacy

Ai sensi del GDPR, i dati possono essere trattati solo se sussiste almeno una base giuridica del trattamento.

Segue un elenco delle possibili basi giuridiche del trattamento:

• L’utente ha prestato il proprio consenso per una o più specifiche finalità;

• Il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto;

• Il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto;

• Il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi;

• Il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento;

• Il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore.

Codice dell’Amministrazione Digitale E’ il D.Lgs. n. 82/2005, aggiornato, da ultimo, con le modifiche apportate dal Decreto Legislativo n. 179/2016.

Da un’attenta lettura del Codice dell’Amministrazione Digitale, si desume chiaramente che la conoscenza della disciplina privacy è una premessa fondamentale e imprescindibile per la corretta comprensione ed applicazione delle disposizioni legislative in esso contenute:in tutto il testo di legge, infatti, ritroviamo continui ed espliciti richiami al D.lgs 196/2003.

Così detto.

Computer Emergency Response Team (ovvero Squadra per la risposta ad emergenze informatiche). Oggi l’acronimo viene inteso anche come “Computer Emergency Readiness Team”, con l’intento di sottolineare l’attenzione volta alla prevenzione dei rischi.

Un’altra sigla usata per identificare questi gruppi è CSIRT (“Computer Security Incident Response Team”), ovvero Squadre preposte a rispondere in caso di incidenti informatici.

Solitamente, i checkbox sono mostrati sullo schermo come dei quadrati che possono contenere spazio bianco (quando non sono selezionati) oppure segno di spunta (quando sono selezionati).

Adiacente al checkbox è solitamente mostrata una breve descrizione.

Per invertire lo stato (selezionato/non selezionato) del checkbox è sufficiente cliccare sul riquadro o sulla descrizione.

In caso di utilizzo di check box per raccolta del consenso, essi non devono essere mai preselezionati.

In caso di utilizzo di check box per raccolta del consenso per finalità di marketing, essi non devono essere mai obbligatori.

Il Comitato Europeo per la Protezione dei Dati (EDPB) è un organismo europeo indipendente il cui scopo è garantire un’applicazione coerente del Regolamento generale sulla Protezione dei Dati (GDPR) e promuovere la cooperazione tra le autorità di protezione dei dati dell’ UE.

Il 25 maggio 2018, l’EDPB ha sostituito il gruppo di lavoro “Articolo 29”.Il ruolo dell’EDPB include le seguenti competenze:

• Pubblicare linee guida, raccomandazioni e identificare le migliori pratiche relative all’interpretazione e all’applicazione del RGPD,

• Informare la Commissione europea in merito a questioni riguardanti la protezione dei dati personali nello Spazio economico europeo (SEE),

• Adottare pareri volti a garantire la coerenza dell’applicazione del GDPR da parte delle autorità nazionali di vigilanza, in particolare in merito alle decisioni che hanno effetti transfrontalieri,

• Fungere da organo di risoluzione nelle controversie tra autorità nazionali che cooperano all’applicazione legislativa nel contesto di casi transfrontalieri,

• Incoraggiare lo sviluppo di codici di condotta e istituire meccanismi di certificazione nel campo della protezione dei dati,

• Promuovere la cooperazione e lo scambio efficace di informazioni e buone pratiche tra le autorità nazionali di vigilanza.

Il Comitato europeo per la Protezione dei Dati è rappresentato dal suo presidente, eletto tra i membri del consiglio a maggioranza semplice, per un mandato di cinque anni, rinnovabile una volta.

La stessa procedura elettorale e lo stesso mandato si applicano ai due vicepresidenti.

Il consiglio di amministrazione è composto dai rappresentanti delle autorità nazionali di protezione dei dati dei 27 paesi in seno all’EU, da 3 paesi appartenenti allo Spazio economico europeo e dal Garante europeo della protezione dei dati (GEPD).

E’ la cura e il consolidamento dell’immagine aziendale dal punto di vista della correttezza delle procedure e del rispetto delle norme.

Tutto ciò, al fine di non incorrere in sanzioni che potrebbero danneggiare la reputazione dell’azienda nei confronti dei clienti, dei partner e di tutti gli stakeholders in generale.

Questo significato ultimo di Compliance vale soprattutto in quegli ambiti di business nei quali la fiducia è un elemento imprescindibile per la transazione.

Quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.

Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato.

I cookie HTTP (più comunemente denominati cookie web, o per antonomasia cookie) una sorta di gettone identificativo, usato dai server web per poter riconoscere i browser durante comunicazioni con il protocollo HTTP usato per la navigazione web.

Tale riconoscimento permette di realizzare meccanismi di autenticazione, usati ad esempio per i login; di memorizzare dati utili alla sessione di navigazione, come le preferenze sull’aspetto grafico o linguistico del sito; di associare dati memorizzati dal server, ad esempio il contenuto del carrello di un negozio elettronico; di tracciare la navigazione dell’utente, ad esempio per fini statistici o pubblicitari.

Computer Security Incident Response Team (ovvero Squadra preposta a rispondere in caso di incidenti informatici).

Un’altra sigla usata per identificare questi gruppi è CERT (“Computer Emergency Response Team”), ovvero Squadre preposte a rispondere in caso di emergenze informatiche.

Si intende per data breach la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità”. In realtà il concetto più generale di “data breach” non riguarda strettamente i dati personali e i servizi accessibili al pubblico, si riporta a qualsiasi contesto in cui ci sia una violazione dei dati.

In sostanza è la trasmissione o comunicazione non autorizzata di informazioni “sensibili” ad una parte, solitamente esterna all’organizzazione vittima, che non è autorizzata a possedere o vedere l’informazione.

Vedi Data Breach sul sito del Garante della Privacy.

L’interessato ha il diritto di richiedere i propri dati personali e poterli trasferire da un Titolare all’altro. Tale diritto mira a facilitare la circolazione, la copia o il trasferimento dei dati personali da un ambiente informatico all’altro senza impedimenti.

Il GDPR promuove lo sviluppo di formati interoperabili (ad esempio strumenti per il download dei dati o automatismi di trasferimento online) da parte dei Titolari in modo da consentire la portabilità dei dati, ma non configura un obbligo in capo ai Titolari stessi di introdurre o mantenere sistemi di trattamento tecnicamente compatibili.

Vieta ai Titolari di creare ostacoli alla trasmissione dei dati.

L’interessato ha la possibilità di richiedere la cancellazione di tutti i propri dati personali al Titolare del trattamento.

Tale diritto può essere esercitato anche dopo la revoca del consenso al trattamento.

In base all’articolo 12 (comma 5), se la richiesta risultasse essere infondata o eccessiva (in particolare per il carattere ripetitivo), il Titolare del trattamento può rifiutare la richiesta dell’interessato oppure addebitargli un contributo alle spese da sostenere per la cancellazione.

In ogni caso è il Titolare che deve dimostrarne la infondatezza o l’eccessività della richiesta.

Per diffusione si intende il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione.

Si ha di conseguenza diffusione anche quando si pubblica online, ad esempio una fotografia su un social network. In assenza di consenso tale attività deve ritenersi illecita.

La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.

Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.

Dati personali che rivelino:

• l’origine razziale o etnica,

• le opinioni politiche,

• le convinzioni religiose o filosofiche,

• l’appartenenza sindacale,

• dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica,

• dati relativi alla salute,

• dati relativi alla vita sessuale o all’orientamento sessuale della persona.

Tra i più discussi adempimenti imposti dal Regolamento c’è la definizione del “periodo di conservazione dei dati personali” (data retention) e più precisamente dei “criteri utilizzati per determinare tale periodo” (art 13, comma 2, lettera a del Regolamento).

Valutare correttamente l’estensione temporale del periodo di conservazione dei dati personali consente di ottenere la compliance in merito a data retention e GDPR.

Tale requisito deve essere inserito tra le informazioni sul trattamento dei dati personali (Informativa) che il Titolare al trattamento deve fornire all’interessato “per garantire un trattamento corretto e trasparente”.

Alcuni termini di conservazione sono determinati direttamente dalla normativa o da un contratto mentre altri sono autodeterminati dal Titolare del trattamento.

L’interessato ha la possibilità di opporsi, in qualsiasi momento e per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano.

Nel caso di attività di marketing diretto, questo diritto può essere esercitato senza fornire motivazioni.

In caso di operazioni che si svolgono prevalentemente online o comunque elettroniche (per esempio invio di newsletter o sms promozionali) sarebbe opportuno che il Titolare predisponesse un meccanismo automatizzato che consenta all’interessato di esercitare il cosidetto opt-out.

DeoxyriboNucleic Acid (Acido DesossiriboNucleico).

E’ un acido nucleico che contiene le informazioni genetiche necessarie alla biosintesi di RNA e proteine, molecole indispensabili per lo sviluppo ed il corretto funzionamento della maggior parte degli organismi viventi.

Acronimo di Direttore dei Servizi Generali ed Amministrativi. Nella Scuola sovrintende ai servizi generali amministrativo-contabili e ne cura l’organizzazione svolgendo funzioni di coordinamento, promozione delle attività e verifica dei risultati.

Organizza autonomamente l’attività del personale A.T.A. nell’ambito delle direttive del Dirigente scolastico.

Attribuisce al personale A.T.A. incarichi di natura organizzativa e le prestazioni di lavoro eccedenti l’orario d’obbligo, quando necessario.

Svolge attività di istruzione, predisposizione e formalizzazione degli atti amministrativi e contabili; è consegnatario dei beni mobili.

Sovrintende, con autonomia operativa, ai servizi generali ed amministrativo – contabili e ne cura l’organizzazione svolgendo funzione di coordinamento, promozione delle attività e verifica dei risultati conseguiti, rispetto degli obiettivi assegnati ed agli indirizzi impartiti al personale A.T.A., posto alle sue direttedipendenze.

Può svolgere attività di studio e di elaborazione di piani e programmi richiedente specifica specializzazione professionale, con autonoma determinazione dei processi formativi ed attuativi.

Può svolgere incarichi di attività di tutor, di aggiornamento e formazione nei confronti del personale. Il D.S.G.A., in ambito finanziario e contabile è il responsabile della contabilità e degli adempimenti fiscali.

Inoltre:

• attua la gestione del programma annuale (ex bilancio di previsione) e del conto consuntivo;

• emette i mandati di pagamento e reversali d’incasso;

• effettua la verifica dei c/c intestati all’Istituto;

• predispone la scheda finanziaria analitica per ogni singolo progetto/attività previsti dal Programma Annuale;

• definisce ed esegue tutti gli atti contabili, di ragioneria ed economato;

• cura l’attuazione amministrativa, finanziaria e contabile delle delibere del Consiglio d’Istituto in materia di bilancio;

• predispone la relazione sullo stato delle entrate, degli impegni di spesa, dei pagamenti eseguiti;

• cura l’istruttoria delle attività contrattuali;

• determina l’ammontare presunto dell’avanzo d’amministrazione;

• valuta e seleziona i fornitori, gestendo le offerte e gli ordini di acquisto, consultandosi con il Dirigente scolastico;

• gestisce la manutenzione ordinaria dell’Istituto, interfacciandosi con fornitori qualificati;

• gestisce le scorte del magazzino.

Acronimo di Disturbi Specifici di Apprendimento. Con la locuzione disturbi specifici di apprendimento (DSA), definiti anche con la sigla F81 nella Classificazione Internazionale ICD-10 dell’Organizzazione mondiale della sanità, si intendono disturbi nell’apprendimento di alcune abilità specifiche che non permettono una completa autosufficienza nell’apprendimento, poiché le difficoltà si sviluppano sulle attività che servono per la trasmissione della cultura come, ad esempio, la lettura, la scrittura e/o fare calcoli.

Data Protection Officier. Il DPO è una persona esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all’interno di un’azienda, di un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente.

Data Protection Impact Assessment. Il DPIA (in italiano Valutazione dell’impatto sulla protezione dei dati) è un’attività cui è tenuto il titolare del trattamento prima di compiere operazioni su dati personali che pongano a rischio elevato i diritti degli interessati.

La finalità è quella di valutare la proporzionalità e necessità del trattamento e analizzare i rischi a cui esso espone gli interessati, indicando e ponendo in essere misure idonee per eliminarli o mitigarli.

il DPIA fotografa in definitiva l’“impatto privacy” di una determinata attività e le azioni predisposte in chiave di prevenzione del rischio.

Il doppio consenso che deve dare l’interessato in due step separati:

• prima nel form di richiesta sulla pagina del blog o del sito per accedere ad una determinata offerta

• dopo nella successiva mail di conferma che gli viene inviata, in cui deve dare nuovamente il suo consenso all’utilizzo e al trattamento dei dati che ha condiviso con l’azienda. Buona pratica sarebbe che nell’email sia riportato il testo della politica della privacy adottata dall’azienda

L’adozione di un documento programmatico sulla sicurezza (DPS) era un obbligo previsto dal DLgs 196/2003; l’obbligo esisteva per tutte le imprese, lavoratori autonomi, enti o associazioni che trattano i dati personali – anche sensibili, giudiziari o con strumenti elettronici – ed è venuto meno a seguito del Decreto Legge n. 5 del 9 febbraio 2012, convertito dalla Legge n. 35 del 4 aprile 2012.

Il documento andava predisposto ed aggiornato annualmente entro il 31 marzo successivo, per attestare la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali.

Il DL 9 febbraio 2012 n. 5 ha modificato alcune disposizioni in materia di misure minime di sicurezza sopprimendo in particolare il Documento Programmatico di Sicurezza.

L’abolizione dell’obbligo di redazione del DPS non solleva tuttavia dall’attuazione di tutti gli altri adempimenti privacy previsti dalla legislazione.

L’e-Health – o Sanità in rete – è un neologismo universalmente accettato, nonostante la mancanza di una definizione chiara e condivisa. Per la Commissione della Comunità Europea “l’e-Health descrive l’applicazione delle tecnologie dell’informazione e delle comunicazioni attraverso l’intera gamma di funzioni che riguardano il settore sanitario” mentre per l’Organizzazione Mondiale della Sanità (OMS) definisce l’e-Health quale “utilizzo dell’ICT per la salute”.

Più semplicemente, la Sanità in Rete è un innovativo approccio ai servizi sanitari fondato sull’utilizzo di strumenti basati sulle tecnologie dell’informazione e della comunicazione per sostenere e promuovere la prevenzione, la diagnosi, il trattamento e il monitoraggio delle malattie e la gestione della salute e dello stile di vita.

Nel corso degli ultimi anni, le applicazioni dell’e-Health sono aumentate notevolmente.

Si è progressivamente diffusa la refertazione digitale on-line, cioè la consegna all’assistito mediante procedure telematiche (web, posta elettronica certificata o altre modalità digitali).

In notevole crescita è anche la telemedicina, ossia “quell’insieme di tecnologie di telecomunicazione e informatiche attraverso il quale è possibile fornire servizi diagnostici e, più in generale, assistenza medica a pazienti che si trovano in siti distanti da ospedali o presidi specialistici”.

Acronimo di European Data Protection Board.

Il Comitato europeo per la Protezione dei Dati (EDPB) è un organismo europeo indipendente il cui scopo è garantire un’applicazione coerente del Regolamento generale sulla Protezione dei Dati (GDPR) e promuovere la cooperazione tra le autorità di protezione dei dati dell’ UE.

Il 25 maggio 2018, l’EDPB ha sostituito il gruppo di lavoro “Articolo 29”.Il ruolo dell’EDPB include le seguenti competenze:

• Pubblicare linee guida, raccomandazioni e identificare le migliori pratiche relative all’interpretazione e all’applicazione del RGPD,

• Informare la Commissione europea in merito a questioni riguardanti la protezione dei dati personali nello Spazio economico europeo (SEE),

• Adottare pareri volti a garantire la coerenza dell’applicazione del GDPR da parte delle autorità nazionali di vigilanza, in particolare in merito alle decisioni che hanno effetti transfrontalieri,

• Fungere da organo di risoluzione nelle controversie tra autorità nazionali che cooperano all’applicazione legislativa nel contesto di casi transfrontalieri,

• Incoraggiare lo sviluppo di codici di condotta e istituire meccanismi di certificazione nel campo della protezione dei dati,

• Promuovere la cooperazione e lo scambio efficace di informazioni e buone pratiche tra le autorità nazionali di vigilanza.

Il Comitato europeo per la Protezione dei Dati è rappresentato dal suo presidente, eletto tra i membri del consiglio a maggioranza semplice, per un mandato di cinque anni, rinnovabile una volta.

La stessa procedura elettorale e lo stesso mandato si applicano ai due vicepresidenti.

Il consiglio di amministrazione è composto dai rappresentanti delle autorità nazionali di protezione dei dati dei 27 paesi in seno all’EU, da 3 paesi appartenenti allo Spazio economico europeo e dal Garante europeo della protezione dei dati (GEPD).

Il principio di finalità del trattamento prevede che i dati personali debbano essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” (articolo 5.1.b del GDPR).

Si tratta di un principio generale che si fonda sulla stretta corrispondenza tra i motivi della raccolta dei dati personali e l’effettivo utilizzo degli stessi.

Le finalità del trattamento devono sempre essere:

• Determinate: il Titolare deve indicare in modo sufficientemente chiaro quali siano le finalità effettive per cui ha intenzione di raccogliere e trattare i dati personali. Non sono pertanto ammesse indicazioni generiche ovvero finalità, per così dire, in corso di definizione, indefinite e/o illimitate;

• Esplicite: le finalità devono essere sufficientemente inequivocabili e chiaramente espresse. L’interessato deve, quindi, essere messo a conoscenza dei motivi per i cui i suoi dati sono trattati;

• Legittime: le finalità del trattamento devono essere lecite rispetto alla normativa applicabile e, allo stesso tempo, legittime. Non sono dunque ammesse finalità contra legem e men che meno finalità lecite ma illegittime.

Il principio di finalità è inoltre correlato strettamente:

• all’obbligo del titolare di dover informare gli interessati in merito alle finalità del trattamento;

• al diritto degli interessati a prestare il consenso al trattamento (quando il consenso rappresenta la giusta condizione di liceità);

• al corretto esercizio dei diritti degli interessati ai sensi di legge.

Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente italiana istituita dalla Legge 31 dicembre 1996, n. 675, per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.

Ai sensi del codice della privacy è costituita da quattro membri eletti dai due rami del Parlamento della Repubblica Italiana – che ne individuano due ciascuno – le candidature possono essere avanzate da persone che assicurino indipendenza e che risultino di comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche o dell’informatica e devono pervenire almeno trenta giorni prima della nomina e i curricula devono essere pubblicati negli stessi siti internet. I designati a loro volta quali eleggono uno di loro come presidente, il voto del quale prevale in caso di parità.

All’atto dell’istituzione il mandato dei componenti durava quattro anni e poteva essere rinnovato; la durata per i mandati successivi è fissata in sette anni e il mandato non può essere rinnovato.

Il Gruppo fu stato istituito dall’art. 29 della Direttiva Europea1995/46: era un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione. Il presidente veniva eletto dal Gruppo al suo interno ed aveva un mandato di due anni, rinnovabile una volta.

Il Gruppo adottava le sue decisioni a maggioranza semplice dei rappresentanti delle autorità di controllo.

Fra i compiti più rilevanti tra quelli disciplinati dall’art.30 della direttiva:

• esaminare le questioni attinenti all’applicazione delle norme nazionali di attuazione della direttiva;

• formulare pareri sul livello di tutela nella Comunità e nei paesi terzi;

• consigliare la Commissione in merito ad ogni progetto di modifica della direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle libertà, nonché in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti e libertà;

• formulare pareri sui codici di condotta elaborati a livello comunitario;

• formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardi la protezione dei dati personali nella Comunità;

• definire i criteri di adeguatezza per i paesi terzi.

In particolare veniva indicato che, qualora ci fossero state delle divergenze tra le legislazioni degli stati membri che potevano pregiudicare l’equivalenza della tutela persone, il gruppo intervenisse informando la Commissione.

Il gruppo aveva la possibilità, inoltre, di formulare di propria iniziativa delle raccomandazioni su qualsiasi questione riguardante la tutela dei dati personali nella Comunità.

I pareri e le raccomandazioni del gruppo venivano trasmessi di regola alla Commissione.

La Commissione era tenuta ad informare il gruppo del seguito dato ai suoi pareri e raccomandazioni.

Il 25 maggio 2018 è stato sostituito dal Comitato europeo per la protezione dei dati (EDPB) ai sensi del Regolamento Generale sulla protezione dei dati dell’UE 2016/679 (GDPR).

Il Garante europeo della protezione dei dati (GEPD) è un’autorità di controllo indipendente il cui ruolo consiste nel garantire che le istituzioni e gli organi dell’UE adempiano ai loro obblighi in materia di protezione dei dati, sanciti dal regolamento (CE) n. 45/2001 sulla protezione dei dati personali.

Le principali funzioni del GEPD sono il controllo, la consultazione e la cooperazione.

Il gruppo di lavoro «Articolo 29» eraun organo consultivo indipendente sulla protezione dei dati e sulla privacy, istituito ai sensi dell’articolo 29 della direttiva sulla protezione dei dati.

Era composto da rappresentanti delle autorità nazionali competenti in materia di protezione dei dati, del GEPD e della Commissione.

Il gruppo formulava raccomandazioni e pareri ed elaborava documenti di lavoro.

Il gruppo di lavoro «Articolo 29» è stato sostituito dal Comitato Europeo per la Protezione dei Dati nel quadro del nuovo Regolamento Generale sulla protezione dei dati.

Ha visto la luce a Novembre 2017 la norma UNI 11697 – “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che va a definire i profili legati al nuovo Regolamento Europeo 2016/679.

E’ una certificazione delle competenze delle persone, ovvero un certificato che viene rilasciato ai singoli individui dopo un processo di controllo dei prerequisiti ed il superamento di un esame.

Dopo anni in cui le certificazioni privacy (ad esempio il Data Protection Officer) erano rilasciate senza controllo centrale, e quindi con un grado di credibilità legato esclusivamente al credito che il mercato decideva di attribuire chi le rilasciava, oggi è stata emessa una norma tecnica, la UNI 11697, ed una circolare ACCREDIA.

Il combinato disposto dei due documenti definisce i prerequisiti, le modalità di esame ed altre regole (ad esempio i requisiti di competenza degli esaminatori) che sono necessari per certificare e per essere certificati.

La norma ISO 9001 definisce i requisiti di un sistema di gestione per la qualità per un’organizzazione.

I requisiti espressi sono di carattere generale e possono essere implementati da ogni tipologia di organizzazione; ultima revisione nel 2015 (ISO 9001:2015).

La ISO 9001 è la normativa di riferimento per chi vuole sottoporre a controllo qualità il proprio processo produttivo in modo ciclico, partendo dalla definizione dei requisiti (espressi e non) dei clienti, arrivando fino al monitoraggio di tutto il percorso/processo produttivo.

Il cliente e la sua soddisfazione sono al centro della ISO 9001; ogni attività, applicazione e monitoraggio delle attività/processi sono infatti volte a determinare il massimo soddisfacimento dell’utilizzatore finale.

Le fasi di applicazione della norma partono dalla definizione delle procedure e registrazioni per ogni singolo processo o macro processo identificato all’interno dell’organizzazione aziendale.

Nel diritto civile, l’institore è la persona fisica che ha la qualifica di dirigente preposto dal titolare all’esercizio di un’impresa commerciale.

La figura dell’institore è normata in Italia dal codice civile al libro V, articoli 2203 e seguenti: essa ha poteri di rappresentanza e dipende gerarchicamente direttamente dall’imprenditore, senza figure intermedie (art. 2203).

La sua rappresentanza è esercitata sempre nei limiti dei poteri a lui conferiti dalla procura (art. 2204).

La procura institoria non implica necessariamente l’insorgenza di un rapporto di lavoro subordinato, atteso che la procura può essere conferita in base ad un rapporto di varia natura.

Le informazioni che il titolare del trattamento deve fornire ad ogni interessato, verbalmente o per iscritto quando i dati sono raccolti presso l’interessato stesso, oppure presso terzi.

Le informazioni sul trattamento dei dati personali devono precisare sinteticamente e in modo colloquiale:

• quali sono gli scopi e le modalità del trattamento;

• se l’interessato è obbligato o no a fornire i dati;

• quali sono le conseguenze se i dati non vengono forniti;

• a chi possono essere comunicati o diffusi i dati;

• quali sono i diritti riconosciuti all’interessato;

• chi sono il Titolare e l’eventuale responsabile della Protezione dei dati personali (DPO) e dove sono raggiungibili (indirizzo, telefono, fax, ecc.).

Un indirizzo IP (dall’inglese Internet Protocol address) – in informatica e nelle telecomunicazioni – è un’etichetta numerica che identifica univocamente un dispositivo collegato a una rete informatica che utilizza l’Internet Protocol come protocollo di rete.

Gli indirizzi IP possono essere assegnati in maniera permanente (per esempio un server che si trova sempre allo stesso indirizzo) oppure in maniera temporanea, da un intervallo di indirizzi disponibili; di conseguenza gli indirizzi IP possono essere di due tipi: dinamici oppure statici.

Il Soggetto autorizzato (ex Incaricato) è la persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.

L’autorizzato può operare alle dipendenze del titolare, ma anche del responsabile se nominato. Ovviamente gli autorizzati possono essere organizzati con diversi livelli di delega.

Il regolamento europeo non prevede l’obbligo di nomina o designazione espressa, ma è fondamentale fornire agli autorizzati le istruzioni operative (art. 29 GDPR), compreso gli obblighi inerenti le misure di sicurezza, e che sia fornita loro la necessaria formazione. In caso contrario, infatti, anche in presenza di formali designazioni, queste sarebbero del tutto prive di valore.

L’eventuale designazione non necessita di firma per accettazione, anche se è utile una firma per presa visione, quale prova della conoscenza dell’incarico e delle istruzioni fornite.

L’autorizzato deve attenersi strettamente alle istruzioni ricevute, e non deve avere alcuna autonomia (altrimenti sarebbe “responsabile”).

La normativa non prevede requisiti quantitativi per essere considerati autorizzati, per cui anche la semplice presa visione di un dato personale (es. il magazziniere che consulta la bolla di consegna, il portantino che trasporta il malato e la cartella sanitaria) si qualifica come trattamento.

Si tratta di un concetto nuovo per il nostro ordinamento che consente di considerare legittimo il trattamento dei dati personali qualora lo stesso sia effettuato per perseguire uno scopo legittimo del titolare a condizione che non siano prevalenti su tale scopo gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6, 1° comma, lett. f) del GDPR).

Trattandosi di un nuovo istituto è utile, per comprenderne la portata e le modalità di attuazione, rifarsi al considerando n. 47 del GDPR chiarisce che per la valutazione della sussistenza di un legittimo interesse del titolare si deve innanzitutto tenere conto delle “ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento”.

Tale valutazione, che nell’impostazione del Regolamento Europeo è svolta autonomamente dal Titolare, deve quindi basarsi su ciò che l’interessato potrebbe ragionevolmente attendersi rispetto al trattamento dei propri dati da parte del Titolare con cui abbia rapporti (o venga in contatto).

Il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro.

Il diritto alla limitazione del trattamento consiste nel diritto da parte dell’interessato di esigere che il titolare del trattamento limiti le operazioni sui propri dati personali al verificarsi di determinate situazioni, ovvero:

• quando ne contesta la veridicità: la limitazione può essere domandata al titolare del trattamento per il tempo a lui necessario per effettuare il controllo sull’esattezza dei tali dati personali;

• quando il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali, chiedendone invece che ne sia limitato l’utilizzo (per precostituirsi la prova dell’illiceità del trattamento ad esempio);

• quando i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

• quando l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1 del Regolamento ed attende che si concluda l’accertamento sull’eventuale prevalenza dell’interesse legittimo del titolare del trattamento rispetto a i diritti e alle libertà dell’interessato (si pensi a casi particolari in cui un datore di lavoro utilizza delle telecamere per il controllo dei dipendenti).

Viene adottato quando un’autorità di controllo intende prendere delle misure, con riguardo ad attività di trattamento di dati personali, che abbiano effetti giuridici su un numero significativo di interessati in vari Stati membri oppure può essere messo in atto quando un’autorità di controllo interessata o la Commissione EDPB chieda che tale questione sia trattata nell’ambito del meccanismo di coerenza, proprio per garantire un trattamento uniforme nei vari Stati.

Il meccanismo di coerenza rientra nella cooperazione tra le autorità di controllo degli stati membri che, allo scopo di contribuire all’applicazione coerente del Regolamento in tutta l’Unione Europea, cooperano tra loro e, nel caso, con la Commissione Europea mediante appunto il meccanismo di coerenza.

Può essere utilizzato anche per favorire una coerente applicazione delle sanzioni amministrative pecuniarie.

Qualora ci siano divergenze, il Comitato emette una decisione vincolante a cui tutti gli stati membri dovranno uniformarsi.

Il GDPR stabilisce che i dati personali devono essere “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)”.

Da notare che è l’intero trattamento a dover essere sicuro, non solo i dati come prodotto finale. Ciò comporta anche che le valutazioni di sicurezza vanno sviluppate per ogni tipo di trattamento.

Le misure di sicurezza devono essere approntate “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.

Le misure di sicurezza, quindi, devono essere adeguate, imponendo non un’obbligazione di risultato, bensì un’obbligazione di mezzi, in modo che le misure siano ragionevolmente soddisfacenti alla luce delle conoscenze e delle prassi.

Le misure di sicurezza si dividono in due categorie: misure organizzative e misure tecniche.

Le misure tecniche comprendono, tra le altre:

• la pseudonimizzazione e la cifratura dei dati personali;

• la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;

• una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

La sicurezza, infatti, non riguarda solo l’aspetto informatico del trattamento, ma anche l’aspetto organizzativo a coprire eventi quali la sottrazione o la perdita di documenti.

Le misure di sicurezza, devono infatti garantire che:

• i dati possono essere consultati, modificati, divulgati o cancellati solo dalle persone autorizzate a farlo (e che tali persone agiscono solo nell’ambito dell’autorità che gli viene concessa);

• i dati trattati sono accurati e completi in relazione al motivo per cui lo stai elaborando;

• i dati rimangono accessibili e utilizzabili, cioè, in caso di perdita, modifica o distruzione accidentale, si deve essere in grado di recuperarli e prevenire danni alle persone interessate, predisponendo un opportuno piano di continuità operativa.

Il principio di sicurezza prevede infine l’obbligo di riservatezza, integrità e disponibilità dei dati.

Un’organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Acronimo di Organizzazione Mondiale della Sanità. L’OMS (o World Health Organization, WHO in inglese) è un’agenzia dell’ONU fondata nel 1946 con sede a Ginevra, ha per obiettivo il raggiungimento da parte di tutte le popolazioni del livello più alto possibile di salute, definita nella medesima costituzione come condizione di completo benessere fisico, mentale e sociale, e non soltanto come assenza di malattia o di infermità.

La Privacy by default comporta, da una parte, che i sistemi informatici utilizzati garantiscano conformità alla legge anche rispetto a come questi vengono impostati e che determinate informazioni vengano protette in modo rafforzato.

Dall’altra parte comporta l’utilizzo di determinate impostazioni in automatico di maggiore tutela per l’utente: queste impostazioni vengono affidate a chi “costruisce” il sistema informatico.

Per Privacy by design si intende, invece, la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo.

L’attuale codice della privacy contiene in nuce la definizione delle PET – Privacy enabling technologies – che costituiscono il fondamento della privacy by design.

Significa che i programmi informatici e i sistemi informativi devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi.

Ciò consente di escludere il trattamento dei dati quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi o opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

Acronimo di Responsabile della Protezione dei Dati, detto anche DPO (Data Protection Officer).

il Data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679.

La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

La nomina del DPO all’interno di un’azienda è obbligatoria al verificarsi delle seguenti condizioni: – il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, escluse le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; – le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure – le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati particolari | sensibili) o di dati relativi a condanne penali e a reati.

Acronimo di RiboNucleic Acid (Acido RiboNucleico).

E’ una molecola polimerica implicata in vari ruoli biologici di codifica, decodifica, regolazione e l’espressione dei geni. L’RNA e il DNA sono acidi nucleici, e, insieme con proteine e carboidrati, costituiscono le tre principali macromolecole essenziali per tutte le forme di vita conosciute.

Acronimo di Regolamento Generale sulla Protezione dei Dati.

Più usato: GDPR (General Data Protection Regulation).

Corrisponde al Regolamento Europeo 2016/679

Il Regolamento Europeo 2016/679 prevede, all’articolo 30, un importante strumento di compliance aziendale, in materia di dati personali: il registro delle attività di trattamento dei dati personali. Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come previsto dal par. 4 dell’art. 30: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.” Il Registro del Trattamento Dati deve contenere:

• Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

• Le finalità del trattamento;

• La descrizione delle categorie di interessati e delle categorie di dati personali;

• Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;

• Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;

• I termini ultimi previsti per la cancellazione delle diverse categorie di dati;

• Una descrizione generale delle misure di sicurezza tecniche e organizzative.

Questo registro rappresenta dunque una delle novità (resiscitando in un certo modo il D.P.S. e uno degli adempimenti più importanti concernenti le attività di trattamento.

L’obbligo di redazione e adozione del registro non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”

Bisogna ritenere che l’adozione del registro sia un mero obbligo, ma, come avveniva per il D.P.S., la sua redazione potrebbe avere ulteriori scopi:

• Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.

• Propagare all’interno informazione, consapevolezza e condivisione delle problematiche relative alla Privacy

Il consenso ai sensi del GDPR è una questione di primaria importanza: è obbligatorio registrare in modo puntuale i consensi ottenuti affinché l’organizzazione sia in grado di dimostrare che l’utente abbia effettivamente prestato il consenso; in caso di problemi, l’onere della prova è a carico del titolare del trattamento, quindi la tenuta di un registro accurato è vitale.

Il registro deve includere:

• chi ha fornito il consenso;

• quando e come è stato acquisito il consenso del singolo utente;

• il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso;

• un riferimento ai documenti legali e alle condizioni in essere nel momento in cui il consenso è stato acquisito.

Attività di vita quotidiana (ADL) è un termine utilizzato nella sanità per definire le attività quotidiane per la cura personale.

Le ADL di base consistono in attività di cura personale che includono:

• La mobilità funzionale, spesso riferita a un movimento (spostarsi da un luogo a un altro compiendo le attività). Per la maggior parte della gente, la mobilità funzionale è calcolata in base alla loro capacità di camminare, salire e scendere dal letto, sedersi o alzarsi dalla sedia; la suddetta definizione generica è utile per quanto riguarda le persone con diverse capacità fisiche che sono ancora in grado di deambulare in maniera indipendente

• Fare un bagno o la doccia (lavare il corpo)

• Vestirsi

• Nutrirsi in maniera autosufficiente (esclusa la capacità di cucinare, masticare o ingoiare)

• Badare alla propria igiene e cure personale (inclusi spazzolarsi, pettinarsi e sistemarsi i capelli)

• Igiene legato alla toilette (andare al bagno, pulirsi da soli, rialzarsi dalla tazza)

È il soggetto che pone in essere attività di trattamento di dati personali, per conto e su delega del Responsabile di Trattamento.

La nomina avviene da parte del Responsabile, in forma scritta e con delega e indicazione del perimetro di responsabilità sub-delegate assegnate: il tutto previa autorizzazione del Titolare.

Toggle content goes here, clicka) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento. edit button to change this text.

Il Soggetto autorizzato è la persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.

L’autorizzato può operare alle dipendenze del titolare, ma anche del responsabile se nominato. Ovviamente gli autorizzati possono essere organizzati con diversi livelli di delega.

Il regolamento europeo non prevede l’obbligo di nomina o designazione espressa, ma è fondamentale fornire agli autorizzati le istruzioni operative (art. 29 GDPR), compreso gli obblighi inerenti le misure di sicurezza, e che sia fornita loro la necessaria formazione. In caso contrario, infatti, anche in presenza di formali designazioni, queste sarebbero del tutto prive di valore.

L’eventuale designazione non necessita di firma per accettazione, anche se è utile una firma per presa visione, quale prova della conoscenza dell’incarico e delle istruzioni fornite.

L’autorizzato deve attenersi strettamente alle istruzioni ricevute, e non deve avere alcuna autonomia (altrimenti sarebbe “responsabile”).

La normativa non prevede requisiti quantitativi per essere considerati autorizzati, per cui anche la semplice presa visione di un dato personale (es. il magazziniere che consulta la bolla di consegna, il portantino che trasporta il malato e la cartella sanitaria) si qualifica come trattamento.

Per “soft-spam” si intende l’utilizzo della email che il tuo cliente ti ha fornito in occasione del proprio acquisto online per vendere prodotti e servizi analoghi a quelli della precedente vendita.

Questo utilizzo è consentito senza dover richiedere al cliente il consenso al trattamento della email (che ricordiamo, è un dato personale del consumatore).

Da ricordare che l’uso del Soft-Spam è consentito se il cliente, adeguatamente informato, non si oppone, anche nell’ambito di successive comunicazioni.

Sotto questo profilo, ogni comunicazione deve mettere il consumatore di esercitare il proprio diritto di opposizione!

Acronimo di Trattato sul Funzionamento dell’Unione Europea.

Il Trattato sul Funzionamento dell’Unione europea (TFU oppure TFUE) è, accanto al trattato sull’Unione europea (TUE), uno dei trattati fondamentali dell’Unione europea (UE).

Assieme costituiscono le basi fondamentali del diritto primario nel sistema politico dell’UE; secondo l’articolo 1 del TFUE, i due trattati hanno pari valore giuridico e vengono definiti nel loro insieme come “i trattati”.

Saltuariamente vengono pertanto anche indicati come “diritto costituzionale europeo”, tuttavia formalmente sono trattati internazionali tra gli Stati membri dell’UE.

Acronimo di Trattato sul Funzionamento dell’Unione Europea.

Il Trattato sul Funzionamento dell’Unione europea (TFU oppure TFUE) è, accanto al trattato sull’Unione europea (TUE), uno dei trattati fondamentali dell’Unione europea (UE).

Assieme costituiscono le basi fondamentali del diritto primario nel sistema politico dell’UE; secondo l’articolo 1 del TFUE, i due trattati hanno pari valore giuridico e vengono definiti nel loro insieme come “i trattati”.

Saltuariamente vengono pertanto anche indicati come “diritto costituzionale europeo”, tuttavia formalmente sono trattati internazionali tra gli Stati membri dell’UE.

a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro;

oppure:

b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.

Acronimo di Trattato dell’Unione Europea.

l Trattato di Maastricht, o Trattato dell’Unione europea (TUE), è un trattato che è stato firmato il 7 febbraio 1992 a Maastricht nei Paesi Bassi, sulle rive della Mosa, dai dodici paesi membri dell’allora Comunità Europea, oggi Unione europea, che fissa le regole politiche e i parametri economici e sociali necessari per l’ingresso dei vari Stati aderenti nella suddetta Unione.

È entrato in vigore il 1º novembre 1993

l GDPR impone un nuovo obbligo ai controllori dei dati e ai processori di dati di condurre una Valutazione d’Impatto sulla Protezione dei Dati (nota anche come PIA – Privacy Impact Assessment) prima di intraprendere un trattamento che presenti un rischio specifico per i dati degli interessati in virtù della sua natura, del campo di applicazione o dello scopo.

Guarda le linee guida del Garante della Privacy