Call Us +39 011 55.84.111

Il Garante per la protezione dei dati personali chiarisce il contenuto delle comunicazioni da inviare agli interessati in caso di data breach

Il Garante per la protezione dei dati personali (di seguito, “Garante Privacy”), con provvedimento n. 106 del 30 aprile 2019, adottato nell’ambito di un procedimento avviato a seguito della notifica di data breach trasmessa da una società operante nel settore delle telecomunicazioni, ha chiarito che le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.

Leggi tutto...

In vigore il regolamento n. 1/2019, concernente le procedure interne che disciplinano compiti e poteri demandati al Garante per la protezione dei dati personali

Obiettivo del regolamento n. 1/2019 è fissare termini e procedure in caso di ricezione di segnalazioni o reclami, per le attività ispettive e per l’approvazione di regole deontologiche e codici di condotta.

Con la delibera n. 98 del 4 aprile 2019, pubblicata sulla Gazzetta Ufficiale n. 106 dell'8 maggio 2019, il Garante per la protezione dei dati personali ha adottato il regolamento n. 1/2019, concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante stesso, nonché all'adozione di provvedimenti correttivi e sanzionatori (di seguito, “Regolamento”).

Tale Regolamento, che giunge a quasi un anno di distanza dall’entrata in vigore del regolamento europeo n. 2016/679 (GDPR), rappresenta un passaggio fondamentale per completare il quadro normativo nazionale relativo alla materia in oggetto.

Procedendo con la disamina del contenuto del testo, vediamo che all’interno dei primi articoli del Regolamento, dedicati alle disposizioni generali, si stabilisce che nell’effettuare il controllo sulla liceità e correttezza dei trattamenti, il Garante si dovrà ispirare ai princìpi di trasparenza, ragionevolezza, proporzionalità e non discriminazione ed inoltre, nel corso delle istruttorie avviate, dovrà necessariamente tenere conto della natura e della gravità degli illeciti, valutando gli effetti e l’entità del pregiudizio che essi possono comportare per uno o più interessati, le probabilità di comprovarne la sussistenza e le risorse disponibili. 

Con riferimento alle procedure da seguire in caso di ricezione di un reclamo o di una segnalazione, a cui è dedicato il Capo II del Regolamento, si chiarisce che la presentazione di un reclamo o di una segnalazione non comporterà necessariamente l'adozione di un provvedimento del Collegio. Infatti, in prima battuta, dovrà essere effettuata un’istruttoria preliminare condotta dal dipartimento, servizio o unità organizzativa a cui verrà assegnato il reclamo / segnalazione, volta a verificare la sussistenza di idonei elementi in ordine alle presunte violazioni e alle misure richieste dall’istante.

Per quanto concerne le procedure riguardanti le attività di controllo ed ispettive, disciplinate nel Capo III, si prevede che il Garante potrà avviare tali attività anche d’ufficio tramite un’istruttoria preliminare finalizzata a verificare la sussistenza di idonei elementi in ordine a possibili violazioni della disciplina rilevante in materia di protezione dei dati personali. Nel corso dell’attività ispettiva, della quale potrà essere dato preavviso al titolare del trattamento, il Garante avrà facoltà di:

  • controllare, estrarre ed acquisire copia dei documenti, anche in formato elettronico;
  • richiedere informazioni e spiegazioni;
  • accedere alle banche dati ed agli archivi;
  • acquisire copia delle banche dati e degli archivi su supporto informatico.

Il Regolamento disciplina, inoltre, il procedimento riguardante l’adozione di regole deontologiche ai sensi dell’art. 2-quater del Codice Privacy (D.Lgs. 196/2003, così come modificato dal D.Lgs. 101/2018), la cui idoneità dovrà essere valutata preliminarmente dal Garante considerando:

  • l'appartenenza alle categorie interessate degli organismi che intendono adottare regole deontologiche in qualità di soggetti rappresentativi, nonché la sussistenza del presupposto della rappresentatività anche in relazione ai settori determinati nei quali le stesse dovrebbe operare;
  • la sussistenza di un interesse qualificato in capo ai soggetti interessati.

Infine, il V Capo si sofferma brevemente sui codici di condotta la cui approvazione segue, per quanto applicabile, il procedimento previsto per l’approvazione delle regole deontologiche, il VI Capo analizza gli altri provvedimenti adottabili dal Garante quali pareri e autorizzazioni, mentre il VII Capo è dedicato alle disposizioni finali.

A seguito dell’approvazione di tali procedure interne, non ci resterà che aspettare di valutarne le applicazioni ai casi concreti i quali, man mano, formeranno una casistica che aiuterà tutti i soggetti coinvolti ad indirizzare la propria attività.

Link alla fonte

Leggi tutto...

Cybersecurity: i consigli del Garante Privacy per proteggere al meglio le password

Il Garante Privacy ha fornito alcuni consigli pratici in materia di protezione delle password nella sezione del proprio sito web dedicata alla sicurezza informatica.

Tali consigli possono essere recepiti sia dai privati - al fine di proteggere la propria privacy - sia utilizzati come spunto per la creazione di buone prassi in tema di cybersecurtiy da parte di imprese e/o pubbliche amministrazioni, anche al fine di dimostrare la predisposizione di misure di sicurezza tecniche adeguate ai sensi dell’articolo 32 del Regolamento UE 679/2016.

Leggi tutto...

Indagine del Garante Privacy sul rispetto del principio di responsabilizzazione da parte di Regioni, Province autonome e società controllate: riscontrate grosse lacune nell’adozione, implementazione e monitoraggio delle policy interne privacy

Il Garante Privacy ha analizzato, nell’ambito dall'indagine a carattere internazionale (“sweep 2018”) avviata dalle Autorità per la protezione dei dati personali appartenenti al Global Privacy Enforcement Network (GPEN) per verificare il rispetto del principio di responsabilizzazione (“accountability”), 19 soggetti pubblici italiani (Regioni e Provincie autonome) e 54 società in-house italiane che effettuano rilevanti trattamenti di dati personali per lo svolgimento di compiti di interesse pubblico.

Leggi tutto...

Sistemi GPS su veicoli aziendali: il “diritto alla privacy” va incorporato nei dispositivi

Con provvedimento n. 396 del 28 giugno 2018, il Garante Privacy ha imposto a un fornitore di sistemi GPS di configurare i propri prodotti mediante l’incorporazione di funzionalità atte a garantire che siano trattati, per impostazione predefinita, i soli dati personali necessari in relazione ad ogni specifica finalità del trattamento, nel rispetto del principio di minimizzazione e di quello di privacy by design e privacy by default.

Leggi tutto...

Garante Privacy: approvate le Linee Guida del Comstat per l’accesso a fini scientifici dei dati elementari, ma con più tutele

Con provvedimento n. 388 del 21 giugno 2018, il Garante Privacy ha espresso parere favorevole sullo schema di Linee Guida elaborate dal Comitato di indirizzo e coordinamento dell’informazione statistica (Comstat) per l’accesso, nell’ambito di progetti di ricerca scientifica, ai dati elementari del Sistema statistico nazionale (Sistan), a condizione che siano implementate ulteriori misure, atte ad innalzare il livello di tutela dei dati personali trattati.

Leggi tutto...

GDPR: approvato il testo definitivo del decreto di adeguamento alla normativa europea in materia di privacy

Durante la seduta dell’8 agosto 2018, il Consiglio dei Ministri ha approvato in via definitiva il testo del decreto legislativo recante le “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”.

Leggi tutto...

Il Garante Privacy dice stop al controllo massivo e alla conservazione illimitata delle e-mail aziendali

Con provvedimento n. 53/2018, il Garante Privacy ha stabilito che la conservazione sistematica e massiva delle e-mail aziendali, la loro memorizzazione per un periodo indeterminato, nonché la possibilità, per il datore di lavoro, di accederne al contenuto per finalità indicate in astratto – quali, ad esempio, la difesa in giudizio o il perseguimento di un legittimo interesse – costituiscono attività illecite ai sensi della normativa in materia di protezione dei dati personali e della disciplina lavoristica.

Leggi tutto...
Sottoscrivi questo feed RSS

Torino
R&P Legal
Via Amedeo Avogadro, 26
10121, Torino - Italy
Milano
R&P Legal
Piazzale Luigi Cadorna, 4
20123, Milano - Italy
Roma
R&P Legal
Via Emilia, 86/90
00187, Roma - Italy
Busto Arsizio
R&P Legal
Via Goito, 14
21052, Busto Arsizio (VA) - Italy
Aosta
R&P Legal
Via Croce di Città, 44
11100, Aosta - Italy
Bergamo
R&P Legal
Viale Vittorio Emanuele II, 12
24121, Bergamo - Italy