Il Blog di Ius Privacy

Qualsiasi trattamento informatico comporta il c. d. rischio informatico. Il rischio informatico un evento che pu provocare la perdita o il danneggiamento dei dati. Questo rischio deve essere affrontato allinterno della gestione complessiva dei rischi aziendali (risk management) che ha come obiettivo quello della identificazione in relazione agli obiettivi aziendali di tutti i rischi probabile e dellindividuazione delle azioni di mitigazione per portare i rischio ad un livello ritenuto accettabile. Lanalisi dei rischi va condotta attraverso i seguenti passaggi:identificazione dei rischi analisi dei rischi con la misurazione del livello di probabilit dellevento e dellimpatto identificazione ed adozione dei rimedi per la mitigazione dei rischi...

Linnovazione tecnologica e scientifica influenza costantemente i metodi di gestione dei dati personali di organizzazioni pubbliche e private. La gestione di sistemi tecnologicamente evoluti come per esempio i Cloud biometrici di localizzazione satellitare di videosorveglianza comportano rischi per la sicurezza dei dati. La concezione di privacy associato a quello della sicurezza delle informazioni la vulnerabilit della sicurezza delle infrastrutture informatiche mette a rischio sia il patrimonio aziendale in quanto i dati ne costituiscono un asset sia i diritti fondamentali degli individui interessati che conferiscono le loro informazioni per gli stessi fini del trattamento. Se pensiamo ai danni che possono arrecare i virus informatici...

Il Data Protection Officer (di seguito DPO) una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDPR pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio 2016. Il DPO un professionista che deve avere un ruolo aziendale con competenze giuridiche informatiche di risk management e di analisi dei processi. Il Responsabile della protezione dei dati personali nominato dal titolare del trattamento o dal responsabile del trattamento dovr:possedere un'adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel Paese in cui opera adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse nello...

La General Data Protection Regulation (GDPR) introduce il concetto di Privacy by Design di privacy by Default. I termini "by design" e "by default" sono descritti come concetti diversi anche se utilizzati congiuntamente come unica espressione. Vengono individuati 7 principi su cui si fonda la privacy "by design" e "by default":Prevenire non correggere cio i problemi vanno valutati nella fase di progettazione Privacy come impostazione di default Privacy incorporata nel progetto Massima funzionalit in maniera da rispettare tutte le esigenze (rifiutando le false dicotomie quali pi privacy = meno sicurezza) Sicurezza durante tutto il ciclo del prodotto o servizio Trasparenza Centralit dell'utente. Secondo...

La portabilit dei dati un aspetto interessante introdotto dal GDPR. Nellepoca in cui registriamo e alimentiamo di continuo il flusso di informazioni sui socialmedia e/o vari servizi online il diritto alla portabilit consente all'interessato di ricevere in un formato strutturato le informazioni fornite. I dati strutturati sono formati da dati che contengono tutte le informazioni di un determinato utente in un unico flusso diverso dai database relazionali dove i dati sono scollegati fra loro. Linteressato al trattamento ha il diritto di richiedere i dati strutturati per la cessione ad un altro fornitore/titolare del trattamento per i seguenti casi:il trattamento si basi sul...

Tenendo conto dello stato dell'arte e dei costi di attuazione nonch della natura dell'oggetto del contesto e delle finalit del trattamento come anche del rischio di varia probabilit e gravit per i diritti e le libert delle persone fisiche il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio che comprendono tra le altre se del caso:la pseudonimizzazione e la cifratura dei dati personali la capacit di assicurare su base permanente la riservatezza l'integrit la disponibilit e la resilienza dei sistemi e dei servizi...

Ogni titolare del trattamento e ove applicabile il suo rappresentante tengono un registro delle attivit di trattamento svolte sotto la propria responsabilit. La tenuta del registro del trattamento costituisce un adempimento formale sostitutivo nell'ordinamento italiano l'obbligo di notificare il trattamento all'Autorit Garante. La tenuta del registro del trattamento collegato alla valutazione di impatto privacy ed funzionale alla definizione delle misure di sicurezza dei trattamenti. Il coordinamento sistematico dei vari adempimenti consente di privarli di corsia sia presentimento burocratico inserendo il logiche di programmazione e di audit interno. Tale registro contiene tutte le seguenti informazioni:il nome e i dati di contatto del titolare...

Linformativa il documento anche in forma digitale attraverso il quale il Titolare informa linteressato sulle finalit del trattamento. In caso di raccolta presso l'interessato (si possono raccogliere i dati presso terzi) di dati che lo riguardano il titolare del trattamento fornisce all'interessato nel momento in cui i dati personali sono ottenuti le seguenti informazioni: l'identit e i dati di contatto del titolare del trattamento e ove applicabile del suo rappresentante i dati di contatto del responsabile della protezione dei dati ove applicabile le finalit del trattamento cui sono destinati i dati personali nonch la base giuridica del trattamento qualora il trattamento...

Dopo un iter legislativo durato quattro anni il 25 maggio 2018 diventer definitivamente applicabile il nuovo Regolamento dellUnione Europea n. 2016/679 sulla protezione dei dati che in Italia occuper il posto del Codice della Privacy (D. Lgs. n. 196/2003). Con levoluzione del mercato digitale e il mutamento degli scenari internazionali che ha comportato il consolidamento di innovazioni come per esempio i Big Data Internet of Thinsgs era necessario realizzare un unico quadro normativo come il regolamento di immediata applicazione agli stati membri della UE. Di questo citiamo alcuni articoli:Art. 24: Tenuto conto della natura dell'ambito di applicazione del contesto e delle finalit del...

I tipi di dati a cui si riferisce il codice privacy sono:dato personale: qualunque informazione relativa a persona fisica identificata o identificabile anche indirettamente mediante riferimento a qualsiasi altra informazione ivi compreso un numero di identificazione personale (articolo 4 comma 1 lettera b) del Codice) Dati personali sono a titolo esemplificativo e non esaustivo un indirizzo email limmagine fotografica di una persona il codice fiscale lindirizzo di residenza un numero telefonico un indirizzo informatico IP una targa automobilistica. Non sono pi considerati come dati personali e quindi almeno in linea generale non sono pi tutelati dalla normativa sulla privacy i...