Tratarea datelor cu caracter personal

Prin prelucrarea datelor cu caracter personal conform legislației italiene, ne referim la orice operațiune sau set de operațiuni, efectuate cu sau fără ajutorul proceselor automatizate și aplicate datelor cu caracter personal sau seturilor de date cu caracter personal, referitoare la colectarea, înregistrarea, organizarea, stocarea, consultare, procesare, modificare, selectare, extragere, comparare, utilizare, interconectare, blocare, comunicare, diseminare, anulare și distrugere a datelor, inclusiv dacă nu sunt înregistrate într-o bază de date . În ceea ce privește definiția acceptată de Legea 675/96 anterioară, s-a specificat în mod expres că noțiunea de tratament trebuie să includă și operațiuni referitoare la date neînregistrate într-o bază de date .

GDPR reglementează doar prelucrarea datelor cu caracter personal referitoare la o persoană fizică , cu excluderea persoanelor juridice (cu câteva excepții). Prin urmare, numai persoanele fizice pot fi interesate de tratament, nu și persoanele juridice. Cu toate acestea, GDPR nu se aplică persoanelor decedate, dar aici intervine decretul de adaptare a Codului de confidențialitate, care extinde protecția GDPR la prelucrarea datelor persoanei decedate (articolul 2-terdecies).

Descriere

Același subiect în detaliu: Regulamentul general privind protecția datelor .

Metode de procesare și cerințe de date

Regulamentul general privind protecția datelor este un regulament al Uniunii Europene privind prelucrarea datelor cu caracter personal și confidențialitate , adoptat la 27 aprilie 2016, publicat în Jurnalul Oficial European la 4 mai 2016 și intrat în vigoare la 25 mai al aceluiași an. Și operațional din 25 mai 2018

Textul abordează, de asemenea, problema exportului de date cu caracter personal în afara UE și obligă toți operatorii de date (inclusiv cei cu sediul social în afara Uniunii Europene) care prelucrează datele rezidenților Uniunii Europene să respecte și să îndeplinească obligațiile avute în vedere.

Legea privind viața privată până în 1996 nu s-a limitat la reglementarea bazelor de date, destinate - în temeiul art. 1 alin. 2 lit. a - ca „orice set de date cu caracter personal, împărțit în una sau mai multe unități situate pe unul sau mai multe site-uri, organizate în conformitate cu o multitudine de criterii determinate pentru a facilita tratarea lor” , dar și operațiuni unice reglementate efectuate pe date cu caracter personal, înțeleasă ca „ orice informație referitoare la o persoană fizică, persoană juridică, organizație sau asociație, identificată sau identificabilă, chiar indirect, prin referire la orice alte informații, inclusiv un număr personal de identificare " . Pe baza legislației menționate la articolele 20, paragraful 2, și 21, paragraful 2, din decretul legislativ 30 iunie 2003, n. 196 ^[1] , sistemele informaționale și programele de computer trebuiau să fie configurate în așa fel încât să se asigure că datele sensibile (sau personale) sunt utilizate exclusiv în măsura necesară pentru atingerea scopurilor specifice pe care proprietarul și le stabilește (listate în mod expres) în d. lg. n. 196/2003 articolele 59, 60, 62-73, 86, 95, 98 și 112). În caz contrar, a fost necesar să se utilizeze date în formă anonimă sau să se adopte metode care să permită identificarea persoanei vizate numai în caz de necesitate.

Până la 25 mai 2018, prelucrarea datelor cu caracter personal a fost reglementată de Codul privind protecția datelor cu caracter personal din Titlul III al acestui cod, normele fiind, prin urmare, abrogate pentru intrarea în vigoare a GDPR .

În ceea ce privește normele valabile pentru toate tratamentele cuprinse în Regulamentul general privind protecția datelor , art. 5 paragraful 1. al dispoziției menționate anterior stabilește în primul rând că datele cu caracter personal prelucrate sunt:

prelucrate legal și corect;
colectate și înregistrate în scopuri specifice, explicite și legitime și utilizate în alte operațiuni de prelucrare în termeni compatibili cu aceste scopuri;
exacte și, dacă este necesar, actualizate;
relevante, complete și nu excesive în raport cu scopurile pentru care sunt colectate sau prelucrate ulterior;
păstrat într-o formă care permite identificarea părții interesate pentru o perioadă de timp care nu depășește cea necesară scopurilor pentru care au fost colectate sau prelucrate ulterior;
prelucrate în așa fel încât să garanteze securitatea adecvată a datelor cu caracter personal.

Operatorul de date, împreună cu managerul sistemelor de informații, trebuie, prin urmare, să adopte mai întâi proceduri organizatorice, IT și materiale care permit persoanei responsabile să acceseze baza de date numai la datele necesare pentru atribuțiile sale specifice. Acest acces este permis, în plus față de proprietar și manager, numai persoanelor responsabile cu acreditări de autentificare care permit trecerea unei proceduri de validare referitoare la un tratament specific sau la un set de tratamente.

Regulamentul general privind protecția datelor stabilește că fiecare operator de date trebuie să îndeplinească diverse obligații care să permită garantului și terților să știe exact dacă, de ce și cum o anumită companie sau organism gestionează datele sensibile . Garantul, pentru a nu suprasolicita sectoarele în care gestionarea datelor sensibile este obligatorie prin lege (de exemplu, datele angajaților) cu obligații, emite autorizații generale care sunt reînnoite în fiecare an. Aceste prevederi eliberează operatorul de date de obligația de a notifica autoritatea de garantare, fără a aduce atingere autorizării de către persoana vizată la furnizarea de informații cu privire la prelucrare.

Datele cu caracter personal astfel identificate sunt prelucrate după verificarea relevanței, exhaustivității și indispensabilității lor cu privire la scopurile urmărite în cazuri individuale, în special în cazul în care colectarea nu are loc de la partea interesată. Operațiunile de interconectare, comparare, comunicare și diseminare sunt permise numai dacă sunt indispensabile pentru îndeplinirea obligațiilor sau sarcinilor indicate din când în când, pentru îndeplinirea scopurilor de interes public relevante specificate și în conformitate cu dispozițiile relevante privind protecția date cu caracter personal., precum și celelalte limite stabilite de lege și reglementări.

Principalele cerințe care permit Garantului și terților să știe exact dacă, de ce și cum o anumită companie sau entitate gestionează datele sensibile sunt:

notificarea către autoritatea de garanție;
informațiile către partea interesată;
colectarea consimțământului;
împărțirea sarcinilor cu atribuirea responsabilităților relative în cadrul organizației controlorului de date;
adoptarea măsurilor de securitate.

Notificare către autoritatea de garanție

Notificarea (articolele 37-38 din cod) constă într-o comunicare oficială pe care operatorul de date o adresează garantului pentru protecția datelor cu caracter personal cu privire la prelucrarea (procesele) efectuată (e) cu care garantul este informat cu privire la existența unei activități de colectare și utilizare a datelor cu caracter personal. În conformitate cu prevederile noilor reglementări, operatorul de date care efectuează prelucrarea:

date genetice, biometrice sau date care indică localizarea geografică a persoanelor sau obiectelor printr-o rețea de comunicații electronice ;
date adecvate pentru dezvăluirea stării de sănătate și a vieții sexuale, prelucrate în scopul procrearii asistate, furnizarea de servicii de sănătate prin mijloace electronice referitoare la baze de date sau furnizarea de bunuri, investigații epidemiologice, depistarea bolilor mentale, infecțioase și difuzive, seropozitivitate, transplantul de organe și țesuturi și monitorizarea cheltuielilor de sănătate;
date prelucrate cu ajutorul instrumentelor electronice care vizează definirea profilului sau personalității părții interesate sau analiza obiceiurilor sau alegerilor de consum sau monitorizarea utilizării serviciilor de comunicații electronice cu excluderea tratamentelor care sunt esențiale din punct de vedere tehnic pentru a furniza aceleași servicii utilizatorilor;
date sensibile înregistrate în baze de date în scopul selectării personalului în numele unor terțe părți, precum și date sensibile utilizate pentru sondaje de opinie, cercetări de piață și alte eșantioane de cercetare;
date înregistrate în baze de date specifice gestionate cu instrumente electronice și referitoare la riscul privind solvabilitatea economică, situația financiară, îndeplinirea corectă a obligațiilor, comportamentul ilegal sau fraudulos. (Articolul 37, paragraful I)

Conform Codului, este obligatorie trimiterea notificării exclusiv pe cale electronică, utilizând modelul specific pus la dispoziție de Garant. În plus, Garantul poate identifica, cu propria sa dispoziție, alte tratamente care pot aduce atingere drepturilor și libertăților părții interesate, datorită naturii datelor cu caracter personal sau a metodelor de colectare și tratament.

Informații privind tratamentul către partea interesată

Este comunicarea cu care operatorul de date (în conformitate cu articolul 13 din cod) informează persoana vizată cu privire la prelucrarea efectuată și poate fi furnizată oral sau în scris. Operatorul de date ilustrează, prin urmare, subiecților la care se referă datele colectate (interesați):

scopurile și metodele prelucrării efectuate,
natura obligatorie sau opțională a furnizării de date,
consecințele oricărui refuz de a furniza,
sfera comunicării și diseminării datelor,
orice transfer de date în străinătate,
drepturile părții interesate,
indicația proprietarului,
indicația responsabilului identificat sau a celui desemnat pentru exercitarea drepturilor părții interesate,
indicarea persoanelor responsabile care efectuează operațiunile de prelucrare (evident că nu este necesar să se indice numele și prenumele persoanelor fizice, dar va fi suficient să se indice zona din care aparțin).

Toate aceste informații trebuie să fie conținute în informațiile care trebuie furnizate părții interesate în momentul colectării datelor sale și, în cazul colectării datelor de la terți, nu mai târziu de înregistrarea datelor sau prima comunicare a la fel și terților. Prin urmare, operatorul de date nu poate utiliza un singur model de informații, dar este obligat să furnizeze informații diferențiate pentru diferitele categorii de persoane vizate: informațiile insuficiente (lipsite chiar de unul dintre elementele indicate) ar putea da naștere la aplicarea de sancțiuni. Un studiu realizat de Federprivacy în 2014 a arătat că 67% dintre site-urile italiene nu furnizează informații adecvate cu încălcarea Codului de confidențialitate , fiind supuse unor sancțiuni cuprinse între 6.000 și 36.000 de euro. ^[2]

Vă rugăm să rețineți că unele informații, în special ale administrației publice , conțin în continuare referințe la legea veche și abolită 675/1996 deoarece nu au fost actualizate: aceste informații sunt în mod formal incorecte și nu trebuie parafate, indicând acest lucru către managerul de confidențialitate. Odată cu adoptarea GDPR, se poate face aceeași observație pentru referința la codul 196/2003.

Colecția de consimțământuri

În temeiul art. 6 ^[3] din GDPR (Regulamentul general privind protecția datelor), conform căruia prelucrarea datelor este considerată legală și în măsura în care este îndeplinită cel puțin una dintre următoarele condiții:

partea interesată și-a dat consimțământul pentru prelucrarea datelor sale personale cu unul sau mai multe scopuri specifice;
prelucrarea este necesară pentru executarea unui contract al cărui parte interesată este parte sau pentru executarea măsurilor precontractuale adoptate la cererea acestuia;
prelucrarea este necesară pentru îndeplinirea unei obligații legale la care este supus operatorul de date;
prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale altei persoane fizice;
prelucrarea este necesară pentru executarea unei sarcini de interes public sau legată de exercițiul autorității publice în care este investit operatorul de date;
prelucrarea este necesară pentru urmărirea interesului legitim al operatorului de date sau al terților, cu condiția să nu prevaleze interesele sau drepturile și libertățile fundamentale ale persoanei vizate care necesită protecția datelor cu caracter personal, în special dacă persoana vizată este un minor.

Prelucrarea datelor de către angajator

Consimțământul pentru prelucrarea datelor sensibile ale angajaților (sau parasubordonaților sau colaboratorilor sub diferite forme) în contextul relației de muncă, atunci când scopurile acestor tratamente sunt gestionarea relației și celelalte obligații impuse de lege, nu este necesare într-o măsură limitată.date referitoare la apartenența la asociații sindicale; în alte cazuri (starea de sănătate, religie etc.) este în schimb necesar acordul. Articole 20, 22, 26 din Cod introduc o noutate fundamentală pentru prelucrarea acestor date este aceea privind scutirea de consimțământ pentru prelucrarea datelor sensibile de către angajator, atunci când prelucrarea este necesară pentru îndeplinirea obligațiilor sau sarcinilor specifice prevăzute de legea pentru gestionarea relației de muncă (și în domeniul igienei și siguranței, securității sociale și asistenței, fără a aduce atingere dispozițiilor codului de etică și bunei conduite care vor fi emise în curând pe această temă). Chiar și în cazul scutirii consimțământului pentru prelucrarea datelor sensibile, este necesară autorizarea prealabilă a Garantului.

Prelucrarea datelor studenților

Arta. 96 este dedicat gestionării datelor referitoare la rezultatele carierei academice a fiecărui student, la înclinațiile personale și culturale ale fiecăruia, cu scopul de a-i orienta către următorul curs de studiu pentru care sunt cele mai potrivite. Datele despre studenți pot fi transmise de la entități publice la entități private, conform procedurilor prevăzute deja la articolul 27 alineatul 3, l 675/96 și „după 30 de zile de la notificarea că școlile și instituțiile de învățământ sau Ministerul educației publice, face cunoscut prin anunțuri către public " (Decretul legislativ nr. 281 din 30 iulie 1999, art. 17) dacă inițiativa vizează încurajarea actualizării și recalificării studenților și lucrătorilor.

Prelucrarea datelor de către persoane private

Codul de confidențialitate stabilește că, cu excepția cazului în care faptul constituie o infracțiune mai gravă, oricine, pentru a obține profit din aceasta pentru ei înșiși sau pentru alții sau pentru a provoca daune altora, procedează la prelucrarea datelor cu caracter personal fără a solicita acordul interesatului parte, se pedepsește, dacă faptul cauzează un prejudiciu, cu închisoare de la șase la optsprezece luni sau, dacă fapta constă în comunicare sau difuzare, cu închisoare de la șase la douăzeci și patru de luni. ^[4]

Prelucrarea datelor de către poliție

Codul de confidențialitate prevede reguli specifice privind prelucrarea datelor de către poliție. Titlul II din partea II a codului de confidențialitate îi este dedicat (articolele 53-57 cod de confidențialitate ). Scopurile speciale în vederea cărora se efectuează tratamentul de către forțele de poliție înseamnă că un astfel de tratament este supus, pe de o parte, principiilor generale și, pe de altă parte, normelor derogatorii ^[5] .

Scrisoarea de informare și consimțământ

Legea prevede că obținerea consimțământului nu este valabilă dacă nu este precedată sau însoțită de informații corecte. În consecință, pe cât posibil, informațiile și cererea de consimțământ trebuie să fie împreună, nu numai din motive de raționalizare a costurilor, ci și pentru a evita confuzia părților interesate cu privire la cele două obligații diferite. Consimțământul trebuie să urmeze informațiile și trebuie solicitat numai atunci când nu vă aflați în cazurile de derogare prevăzute de lege.

Conform Codului privind protecția datelor cu caracter personal, informațiile trebuie furnizate părții interesate la care se referă datele, conform procedurilor prevăzute la art. 13 din Cod. Proprietarul trebuie să se asigure că structura oferă un model de informații standard care trebuie adăugat la formularele prin care datele personale sunt colectate material.

Informațiile trebuie să fie complete și să conțină, deși pe scurt, toate informațiile cerute de cod:

scopurile prelucrării;
metodele de prelucrare (instrumente electronice sau manuale, metode de organizare sau de comparație și prelucrare specială, crearea de profiluri în funcție de vârstă, profesie sau altele);
dacă furnizarea datelor solicitate este obligatorie sau opțională în raport cu scopurile declarate;
consecințele oricărui refuz de a furniza date;
dacă datele pot fi transferate către terți, în acest caz identificându-le sau cel puțin identificând categoriile de destinatari;
subiecții sau categoriile de subiecți cărora li se pot comunica datele cu caracter personal sau care pot afla despre aceștia în calitate de manageri sau agenți și sfera de diseminare a datelor;
drepturile menționate la articolul 7 din cod;
datele de identificare ale operatorului de date;
datele de identificare ale operatorului de date.

În cazul prelucrării datelor sensibile, informațiile trebuie, de asemenea, să facă trimitere expresă la legislația care prevede obligațiile sau sarcinile pe baza cărora se efectuează prelucrarea.

În temeiul art. 48 din d. PR 28 decembrie 2000, n. 445 ^[6] (Text consolidat al dispozițiilor legislative și de reglementare privind documentația administrativă), este obligatorie includerea informațiilor în formularele de prezentare a declarațiilor de certificare substitutive și a actului notarial .

Uneori ^[7] , în informații și mai ales în cererea de consimțământ, apare încă referința legii abrogate 675/96 sau a articolelor învechite ale legii 196/03: în mod clar aceasta este o eroare documentară gravă, dar, practic, consimțământul este valabil, deoarece principiul prevalenței substanțiale asupra celui formal s-ar aplica. În orice caz, este legitim să se solicite modificarea și actualizarea referinței legislative actuale (GDPR).

Masuri de securitate

Pe baza articolului 32 , datele cu caracter personal prelucrate sunt păstrate și controlate, de asemenea, în raport cu cunoștințele dobândite pe baza progresului tehnic, natura datelor și caracteristicile specifice ale prelucrării, pentru a minimiza, prin mijloace de „adoptare a măsurilor de securitate adecvate și preventive, riscurile de distrugere sau pierdere, chiar accidentală, a datelor, de acces neautorizat sau prelucrare care nu este permisă sau care nu respectă scopurile colectării.

Măsuri minime

Arta. 33 introduce măsurile minime de securitate obligatorii: „în cadrul obligațiilor de securitate mai generale menționate la articolul 31 sau prevăzute de dispoziții speciale, operatorii de date sunt în orice caz obligați să adopte măsurile minime identificate în acest capitol sau în conformitate cu la articolul 58 alineatul (3) , care vizează asigurarea unui nivel minim de protecție a datelor cu caracter personal ".

Singura parte responsabilă este operatorul de date, se aplică o distincție clară între tratamentele efectuate cu instrumente electronice și pe hârtie în scopul măsurilor minime necesare.

Art. 34 - Tratamente cu instrumente electronice

Prelucrarea datelor cu caracter personal efectuată cu instrumente electronice este permisă numai dacă se adoptă următoarele măsuri minime:

autentificare computerizată;
adoptarea procedurilor de gestionare a acreditării de autentificare ;
utilizarea unui sistem de autorizare;
actualizarea periodică a identificării domeniului de prelucrare permis persoanelor individuale însărcinate cu gestionarea sau întreținerea instrumentelor electronice;
protecția instrumentelor și datelor electronice împotriva prelucrării ilegale a datelor, accesului neautorizat și anumitor programe de calculator;
adoptarea procedurilor pentru păstrarea copiilor de securitate, restabilirea disponibilității datelor și sistemelor;
adoptarea tehnicilor de criptare sau a codurilor de identificare pentru anumite prelucrări de date adecvate pentru dezvăluirea stării de sănătate sau a vieții sexuale desfășurate de organizațiile de sănătate.

Inițial a existat și obligația de a păstra un document programatic actualizat privind siguranța, dar a fost abrogat odată cu convertirea în lege a Decretului legislativ 9-2-2012 n. 5 ^[8] „Dispoziții urgente privind simplificarea și dezvoltarea”, publicată în Monitorul Oficial nr. 331.

Prin urmare, proprietarul este obligat să adopte măsuri speciale care privesc în principal metodele de acces, pentru a putea verifica, în caz de infracțiuni legate de utilizarea instrumentului IT, identitatea autorului infracțiunii sau a persoanei responsabil pentru acces. abuziv din exterior: acreditările de autentificare ( autentificare ) constau într-un cod pentru identificarea persoanei responsabile ( user-id ) asociat cu un cuvânt rezervat ( parola ) cunoscut exclusiv de către proprietar, sau într-o autentificare dispozitiv pentru utilizarea exclusivă a responsabilului ( dispozitiv de semnătură electronică ), la un cod de identificare sau într-o caracteristică biometrică.

În cazul prelucrării datelor sensibile sau judiciare, parola se schimbă cel puțin o dată la trei luni.

Persoanele responsabile trebuie, de asemenea, să fie furnizate de către proprietar cu prescripțiile privind adoptarea măsurilor de precauție necesare pentru a asigura secretul parolei și păstrarea diligentă a dispozitivelor cu carduri inteligente, care trebuie să fie unice și să nu fie vândute altor persoane responsabile. și actualizat cel puțin o dată la șase luni.

Legiuitorul intenționează să facă copii de rezervă ale arhivelor săptămânal.

Art. 35 - Tratamente fără ajutorul instrumentelor electronice

Prelucrarea datelor cu caracter personal efectuată fără ajutorul instrumentelor electronice este permisă numai dacă se adoptă următoarele măsuri minime:

actualizarea periodică a identificării sferei prelucrării permise persoanelor desemnate individual sau unităților organizaționale;
asigurarea procedurilor pentru custodia corespunzătoare a faptelor și documentelor încredințate persoanelor responsabile pentru îndeplinirea atribuțiilor lor;
furnizarea de proceduri pentru conservarea anumitor documente din arhivele de acces selectate și reglementarea procedurilor de acces menite să identifice persoanele responsabile.

Cei care utilizează instrumente neautomatizate pentru colectarea și gestionarea datelor cu caracter personal trebuie să identifice persoanele responsabile de prelucrare, cu un document anual, și să emită instrucțiuni scrise referitoare la gestionarea datelor și la păstrarea acestora.

Atunci când documentele care conțin date sensibile sunt încredințate persoanelor însărcinate cu conducerea pentru îndeplinirea atribuțiilor lor, aceleași documente sunt verificate și păstrate de către persoanele responsabile până la returnarea acestora, astfel încât să împiedice accesul la persoane neautorizate și sunt returnate la sfârșitul.operărilor încredințate.

Accesul la arhivele care conțin date sensibile trebuie controlat și persoanele admise, indiferent de motiv, trebuie identificate și înregistrate, atât prin verificarea identității lor, cât și a timpului petrecut în incintă.

Atunci când arhivele nu sunt echipate cu instrumente electronice care gestionează controlul accesului sau supraveghetorii, cei care le accesează sunt autorizați în prealabil.

Sancțiuni

Există trei tipuri de sancțiuni privind prelucrarea datelor cu caracter personal prevăzute de Decretul legislativ nr. 196 din 2003 : civil, penal și administrativ.

Civil (Art. 15): Oricine cauzează daune altora ca urmare a prelucrării datelor cu caracter personal este obligat să plătească despăgubiri în conformitate cu articolul 2050 din codul civil.

Pedepse:

- Măsuri minime (Art. 169): Oricine, fiind obligat să facă acest lucru, nu adoptă măsurile minime prevăzute la articolul 33 este pedepsit cu închisoare de până la doi ani.

- Tratament ilegal (art. 167):

1. Cu excepția cazului în care faptul constituie o infracțiune mai gravă, oricine, pentru a obține un profit din aceasta pentru ei înșiși sau pentru alții sau pentru a provoca daune altora, procedează la prelucrarea datelor cu caracter personal cu încălcarea prevederilor articolelor 18, 19 , 23, 123, 126 și 130, sau în aplicarea articolului 129, se pedepsește, dacă faptul cauzează un prejudiciu, cu închisoare de la șase la optsprezece luni sau, dacă fapta constă în comunicare sau difuzare, cu închisoare de la șase la douăzeci- patru luni.

2. Cu excepția cazului în care faptul constituie o infracțiune mai gravă, oricine, pentru a obține profit din aceasta pentru ei înșiși sau pentru alții sau pentru a provoca daune altora, procedează la prelucrarea datelor cu caracter personal cu încălcarea prevederilor articolelor 17, 20, 21, 22, paragrafele 8 și 11, 25, 26, 27 și 45, se pedepsește, dacă faptul cauzează prejudicii, cu închisoare de la unu la trei ani.

Administrativ (articolul 161 - Informații omise sau inadecvate părții interesate ): Încălcarea dispozițiilor menționate la articolul 13 se sancționează cu sancțiunea administrativă a plății unei sume de la trei mii euro la optsprezece mii euro sau, în cazul de date sensibile sau proceduri judiciare sau tratamente care prezintă riscuri specifice în conformitate cu articolul 17 sau, în orice caz, cu o semnificație mai mare decât prejudiciul pentru una sau mai multe părți interesate, de la cinci mii de euro la treizeci de mii de euro. Suma poate fi mărită de până la trei ori atunci când este ineficientă din cauza condițiilor economice ale infractorului.

Autorizații

Autorizațiile de la garant pot fi:

Generalități (articolul 40 din legea consolidată): garantul este de acord cu prelucrarea datelor sensibile în anumite condiții și în anumite scopuri; stabilește prescripții uniforme pentru sectoare de activitate omogene (relații de muncă, sănătate, profesioniști, asigurări, investigații etc.), eficientizează activitatea birocratică care împovărează biroul Garanției și ușurează obligațiile proprietarului prin identificarea sferei și a metodelor de tratament. Prin urmare, este posibil să gestionați datele sensibile în limitele prescrise, fără a solicita autorizație specifică și individuală de la garant.

Specific sau individual (art.41 TU) în cazul în care un tratament nu este prevăzut și consimțit în contextul autorizațiilor generale. Solicitările individuale de autorizare trebuie să fie transmise de către operatorul de date garanției cu o cerere specifică, utilizând modelul pus la dispoziție de garant, care trebuie să fie înainte de începerea tratamentului care urmează să fie efectuat.

Garantul este acordat între 30 și 45 de zile de la data solicitării de comunicare a deciziei adoptate, odată cu expirarea acestui termen, nepronunțarea este echivalentă cu respingerea (articolul 26 alineatul 2).

Stirile

La 25 mai 2016, a intrat în vigoare Regulamentul european (UE) 2016/679, aplicabil efectiv în mai 2018.

Principalele inovații introduse se referă la domeniul de aplicare, drepturile protejate, obligațiile și sancțiunile.

Regulamentul se va aplica și acelor entități non-europene care, cu toate acestea, oferă servicii cetățenilor UE sau care le prezintă într-un fel sau altul.

În cazul prelucrării automate, dreptul cetățenilor va fi consolidat, clarificându-se dreptul de a obține intervenția umană a operatorului de date, dreptul de a contesta și libertatea de a-și exprima opinia.

Dreptul de a fi uitat va fi introdus definitiv (articolul 17 ^[9] ) și dreptul la portabilitatea datelor (articolul 20 ^[10] ).

Mai mult, cei care prelucrează datele trebuie să se asigure că sistemul are confidențialitatea utilizatorului ca primă opțiune și că proiectarea sistemului în sine o protejează (articolul 25 ^[11] ).

Odată cu reglementarea, obligația de notificare și comunicare este eliminată, dar sunt introduse noi sarcini birocratice.

Companiile cu peste 250 de angajați și cele care, prin prelucrarea datelor, ar putea pune în pericol drepturile și libertățile persoanei vizate, vor fi, de fapt, obligate să țină un registru al activității de prelucrare.

O evaluare a impactului va fi necesară în cazurile cu risc ridicat, în cazul profilării și prelucrării la scară largă.

O listă a situațiilor cu risc ridicat va fi lansată de către garant pentru protecția datelor cu caracter personal până în 2018.

Administrația publică , cei care desfășoară activități de profilare sau prelucrează date pe scară largă vor fi obligați să desemneze un responsabil cu protecția datelor (articolul 37 ^[12] ), care va avea puterea de a depune o plângere către garant.

De asemenea, va fi obligatoriu comunicarea încălcării datelor cu caracter personal direct părții interesate (articolul 34 ^[13] ).

Articolul 40 ^[14] prevede încă elaborarea codurilor de conduită, în timp ce articolele 42 ^[15] și 43 ^[16] instituie organisme de certificare.

Acest lucru este deosebit de remarcabil, deoarece regulamentul introduce sancțiuni uriașe (până la 4% din cifra de afaceri globală).

Notă

^ Decretul legislativ 196 din 30 iunie 2003 , pe normattiva.it .
^ Italia Oggi, 23 septembrie 2014 "Internet și confidențialitate, două din trei site-uri sunt scoase în afara legii"
^ Art. 6 din GDPR: „Legalitatea prelucrării” , pe altalex.com .
^ Vezi art. 167 alin.1 din Decretul legislativ nr. 196/2003, „Codul de confidențialitate”.
^ Sul trattamento dei dati da parte delle forze di polizia, cfr. S. Signorato, Il trattamento dei dati personali per finalità di polizia: la nuova disciplina prevista dall'art. 53 Codice privacy e gli scenari europei, in REKostoris-F.Viganò (a cura di), Il nuovo "pacchetto" antiterrorismo, Giappichelli, 2015, pp. 91-104, nonché S.Signorato, Il trattamento dei dati personali per fini di prevenzione e repressione penale, in Riv. dir. proc., fasc. 6, 2015, pp. 1484-1494
^ Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 , su normattiva.it .
^ Tipicamente nella modulistica emessa da enti della PA .
^ Decreto-Legge del 9 febbraio 2012, n. 5 , su normattiva.it .
^ Articolo 17 GDPR: "Diritto alla cancellazione («diritto all'oblio»)" , su privacy-regulation.eu .
^ Articolo 20 GDPR: "Diritto alla portabilità dei dati" , su privacy-regulation.eu .
^ Articolo 25 GDPR: "Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita" , su privacy-regulation.eu .
^ Articolo 37 GDPR: "Designazione del responsabile della protezione dei dati" , su privacy-regulation.eu .
^ Articolo 34 GDPR: "Comunicazione di una violazione dei dati personali all'interessato" , su privacy-regulation.eu .
^ Articolo 40 GDPR: "Codici di condotta" , su privacy-regulation.eu .
^ Articolo 42 GDPR: "Certificazione" , su privacy-regulation.eu .
^ Articolo 43 GDPR: "Organismi di certificazione" , su privacy-regulation.eu .

Bibliografia

M. Gambini, Principio di responabilità e tutela aquiliana dei dati personali, Napoli, 2018.

Voci correlate

Altri progetti

Wikinotizie contiene notizie di attualità su Trattamento dei dati personali
Wikimedia Commons contiene immagini o altri file su Trattamento dei dati personali

Controllo di autorità	GND ( DE ) 4011134-9

Portale Diritto

Portale Italia

[1] Decretul legislativ 196 din 30 iunie 2003 , pe normattiva.it .

[2] Italia Oggi, 23 septembrie 2014 "Internet și confidențialitate, două din trei site-uri sunt scoase în afara legii"

[3] Art. 6 din GDPR: „Legalitatea prelucrării” , pe altalex.com .

[4] Vezi art. 167 alin.1 din Decretul legislativ nr. 196/2003, „Codul de confidențialitate”.

[5] Sul trattamento dei dati da parte delle forze di polizia, cfr. S. Signorato, Il trattamento dei dati personali per finalità di polizia: la nuova disciplina prevista dall'art. 53 Codice privacy e gli scenari europei, in REKostoris-F.Viganò (a cura di), Il nuovo "pacchetto" antiterrorismo, Giappichelli, 2015, pp. 91-104, nonché S.Signorato, Il trattamento dei dati personali per fini di prevenzione e repressione penale, in Riv. dir. proc., fasc. 6, 2015, pp. 1484-1494

[6] Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 , su normattiva.it .

[7] Tipicamente nella modulistica emessa da enti della PA .

[8] Decreto-Legge del 9 febbraio 2012, n. 5 , su normattiva.it .

[9] Articolo 17 GDPR: "Diritto alla cancellazione («diritto all'oblio»)" , su privacy-regulation.eu .

[10] Articolo 20 GDPR: "Diritto alla portabilità dei dati" , su privacy-regulation.eu .

[11] Articolo 25 GDPR: "Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita" , su privacy-regulation.eu .

[12] Articolo 37 GDPR: "Designazione del responsabile della protezione dei dati" , su privacy-regulation.eu .

[13] Articolo 34 GDPR: "Comunicazione di una violazione dei dati personali all'interessato" , su privacy-regulation.eu .

[14] Articolo 40 GDPR: "Codici di condotta" , su privacy-regulation.eu .

[15] Articolo 42 GDPR: "Certificazione" , su privacy-regulation.eu .

[16] Articolo 43 GDPR: "Organismi di certificazione" , su privacy-regulation.eu .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]