Il termine inglese privacy si riferisce alla riservatezza della vita personale; spesso si è parzialmente sovrapposto a quello di sicurezza delle informazioni; in realtà la sicurezza delle informazioni comprende i dati di business, know how, diritti industriali e d’autore, brevetti.
Un tema ampiamente dibattuto è quello del rapporto fra le norme in materia privacy e lo standard ISO 27001:2014 cioè fra Sistema Privacy rispetto al Sistema di Gestione della Sicurezza delle informazioni.
Il Sistema Privacy si occupa del trattamento e della protezione dei dati conferiti dalle persone (c.d. interessati).
Il Sistema Gestione Sicurezza delle informazioni si occupa della sicurezza delle informazioni in possesso dell’azienda, informazioni intese in quanto Asset.
Il Sistema Privacy e quello della Sicurezza Informazioni presentano delle sovrapposizioni, i dati personali sono un sottoinsieme sottoposto alle regole previste dal Sistema di Sicurezza delle Informazioni. La conformità, quindi il rispetto allo standard ISO 27001:2014, implica, per l’organizzazione, anche la conformità alle norme Privacy (rispetto delle misure minime di sicurezza Allegato B al Codice Privacy).
Il Garante ha chiarito che la presenza di un Sistema di Gestione per la sicurezza delle informazioni (SGSI) secondo la norme ISO/IEC 27001:2014, anche se non certificato, viene considerato prova dell’esistenza di controlli per la protezione e la sicurezza dei dati personali; questo al fine di evitare all’organizzazione doppi e ridondanti adempimenti.
E’ opinione diffusa quella di integrare, di conseguenza auditare, i due sistemi di gestione tenendo però presenti le diverse finalità che li orientano e caratterizzano.
- Articoli e News
- Trasferimenti di dati personali verso paesi terzi extra UE ed organismi internazionali
- Whistleblowing: Il Garante ingiunge un'azienda ospedaliera di Perugia.
- Nota informativa EDPB sui trasferimenti di dati ai sensi del GDPR verso gli Stati Uniti dopo l'adozione della decisione di adeguatezza il 10 luglio 2023
- Decisione di adeguatezza per il trasferimento dei dati personali dei cittadini UE agli USA.
- Analisi approfondita degli attacchi di tipo XSS (Cross-Site Scripting) con esempi pratici
- Violazioni dei dati personali (data breach) che possono interessare le caselle di posta elettronica
- Cos'è un attacco SQL injection?
- Truffe attraverso messaggi di testo (Smishing) - come difendersi
- Le figure del GDPR: Titolare, Responsabile, Soggetto Autorizzato
- DPIA: quando non è obbligatoria.
- D. Lgs 30 giugno 2003, n.196 (Codice Privacy)
- Linee guida sul consenso
- Evoluzione del concetto di consenso
- Nozione di consenso dell’interessato
- Elementi del consenso valido
- Consenso libero/manifestazione di volontà libera
- Squilibrio di potere
- Condizionalità
- Granularità
- Pregiudizio
- Consenso specifico
- Consenso informato
- Requisiti minimi di contenuto del consenso informato
- Come fornire le informazioni
- Manifestazione di volontà inequivocabile
- Ottenimento del consenso esplicito
- Condizioni aggiuntive per l’ottenimento di un consenso valido
- Interazione tra il consenso e altre basi legittime di cui all’articolo 6 del regolamento generale sulla protezione dei dati
- Settori specifici di interesse nel regolamento generale sulla protezione dei dati: Minori (articolo 8)
- Settori specifici di interesse nel regolamento generale sulla protezione dei dati: Servizio della società dell’informazione
- Settori specifici di interesse nel regolamento generale sulla protezione dei dati: Forniti direttamente a un minore
- Settori specifici di interesse nel regolamento generale sulla protezione dei dati: età
- Settori specifici di interesse nel regolamento generale sulla protezione dei dati: Consenso del minore e responsabilità genitoriale
- Ricerca scientifica
- Diritti dell’interessato
- Consenso ottenuto a norma della direttiva 95/46/CE
- Linee guida sulla notifica delle violazioni dei dati personali
- Principi e modalità di notifica di una violazione dei dati personali
- Notifica delle violazioni dei dati personali ai sensi del regolamento generale sulla protezione dei dati
- Che cos’è una violazione dei dati personali?
- Tipi di violazioni dei dati personali
- Possibili conseguenze di una violazione dei dati personali
- Quando effettuare la notifica all’autorità di controllo
- Quando effettuare la notifica all’autorità di controllo
- Cosa fa il titolare del trattamento quando viene a conoscenza di una violazione
- Contitolari del trattamento
- Obblighi del responsabile del trattamento
- Fornire informazioni all’autorità di controllo. Informazioni da fornire
- Fornire informazioni all’autorità di controllo. Notifica per fasi
- Fornire informazioni all’autorità di controllo. Notifiche effettuate in ritardo
- Violazioni transfrontaliere
- Violazioni presso stabilimenti non UE
- Circostanze nelle quali non è richiesta la notifica
- Comunicazione all’interessato - Informare l’interessato
- Comunicazione all’interessato - Informazioni da fornire
- Comunicazione all’interessato - Contattare l’interessato
- Circostanze nelle quali non è richiesta la comunicazione
- Rischio come fattore che fa scattare l’obbligo di notifica
- Fattori da considerare nella valutazione del rischio
- Documentare le violazioni
- Ruolo del responsabile della protezione dei dati
- Obblighi di notifica a norma di altri strumenti giuridici
- Linee guida sulla trasparenza Versione emendata 11 aprile 2018
- Orientamenti pratici e assistenza interpretativa sul nuovo obbligo di trasparenza
- Obblighi del titolare di trattamento
- Il significato della trasparenza
- Elementi della trasparenza ai sensi del regolamento
- Le informazioni devono essere concise, trasparenti, intelligibili e facilmente accessibili
- Le informazioni devono essere formulate con un linguaggio semplice e chiaro
- Informazioni fornite a minori e ad altre persone vulnerabili
- Informazioni fornite per iscritto o con altri mezzi
- Le informazioni possono essere fornite oralmente
- Le informazioni fornite agli interessati devono essere in genere gratuite
- Contenuto delle informazioni da fornire all’interessato, articoli 13 e 14
- Misure appropriate delle informazioni da fornire all’interessato
- Tempistiche per la fornitura delle informazioni all’interessato
- Modifiche delle informazioni di cui agli articoli 13 e 14 da fornire all’interessato
- Tempistica della comunicazione delle modifiche delle informazioni di cui agli articoli 13 e 14
- Modalità e formato della fornitura delle informazioni
- Stratificazione in ambiente digitale e dichiarazioni/informative sulla privacy stratificate
- Approccio stratificato in ambiente non digitale
- Notifiche push e pull
- Altri tipi di misure appropriate
- Informazioni sulla profilazione e sul processo decisionale automatizzato
- Altre questioni – rischi, norme e garanzie
- Informazioni relative all’ulteriore trattamento
- Strumenti di visualizzazione
- Esercizio dei diritti degli interessati
- Eccezioni all’obbligo di fornire informazioni - Eccezioni all’articolo 13
- Eccezioni all’obbligo di fornire informazioni - Eccezioni all’articolo 14
- Eccezioni all’obbligo di fornire informazioni - Impossibilità, sforzo sproporzionato e grave pregiudizio delle finalità
- Eccezioni all’obbligo di fornire informazioni - “Risulta impossibile”
- Linee Guida sulla Trasparenza WP 260
- Aggiornamento delle linee guida sul consenso ai sensi del regolamento (UE) 2016/679 (WP259.01)
- 1. Punti dell'aggiornamento delle linee guida sul consenso ai sensi del regolamento (UE) 2016/679 (WP259.01)
- 2. Consenso di cui all'articolo 4, punto 11, del regolamento generale sulla protezione dei dati
- 3. Elementi del consenso valido
- 3.1 Consenso libero/manifestazione di volontà libera
- 3.1.1 Squilibrio di potere
- 3.1.2 Condizionalità
- 3.1.3 Granularità
- 3.1.4 Pregiudizio
- 3.2 Specifico
- 3.3 Informato
- 3.3.1 Requisiti minimi di contenuto del consenso informato
- 3.3.2 Come fornire le informazioni
- 3.4 Manifestazione di volontà inequivocabile
- 4. OTTENIMENTO DEL CONSENSO ESPLICITO
- 5 Condizioni aggiuntive per l'ottenimento di un consenso valido
- 5.1 Dimostrazione del consenso
- 5.2 Revoca del consenso
- 6 Interazione tra il consenso e altre basi legittime di cui all’articolo 6 del regolamento generale sulla protezione dei dati
- 7 SETTORI SPECIFICI DI INTERESSE NEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI - 7.1 Minori (articolo 8)
- 7 SETTORI SPECIFICI DI INTERESSE NEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI - 7.1.1 Servizio della società dell’informazione
- 7 SETTORI SPECIFICI DI INTERESSE NEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI - 7.1.2 Forniti direttamente a un minore
- 7 SETTORI SPECIFICI DI INTERESSE NEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI - 7.1.3 Età
- 7.1.4 Consenso del minore e responsabilità genitoriale
- 7.2 Ricerca scientifica
- 7.3 Diritti dell'interessato
- 8 CONSENSO OTTENUTO A NORMA DELLA DIRETTIVA 95/46/CE
- Linee guida WP 248 sulla PIA
- Definizione DPIA
- Oggetto delle linee guida
- DPIA: cosa prevede il regolamento
- Qual è l’oggetto della DPIA: un singolo trattamento ovvero un insieme di trattamenti simili
- Quali trattamenti sono soggetti a DPIA? Quelli che possono presentare un rischio elevato
- Trattamenti che richiedono una DPIA a causa del rischio inerentemente elevato
- Casi in cui un trattamento che soddisfa solo un criterio necessiti di una DPIA
- Casi di trattamento che non presentano un rischio elevato
- Quando non è necessario condurre una DPIA
- Trattamenti già in corso: quando una DPIA è necessaria
- Quando è opportuno condurre la DPIA?
- Chi è tenuto a condurre la DPIA?
- Quale metodologia deve essere applicata per condurre una DPIA?
- È obbligatorio pubblicare la DPIA?
- Quando occorre consultare l’autorità di controllo
- L’importanza della DPIA
- Esempi di schemi di DPIA attualmente esistenti nell’Ue
- Criteri riferiti a una DPIA accettabile
- Regolamento Europeo 679 / 2016 (GDPR)
- Articolo 1: Oggetto e finalità
- Articolo 2: Ambito di applicazione materiale
- Articolo 3: Ambito di applicazione territoriale
- Articolo 4: Definizioni
- Articolo 5: Principi applicabili al trattamento di dati personali
- Articolo 6: Liceità del trattamento
- Articolo 7: Condizioni per il consenso (C42, C43)
- Articolo 8: Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione (C38)
- Articolo 9: Trattamento di categorie particolari di dati personali
- Articolo 10: Trattamento dei dati personali relativi a condanne penali e reati
- Articolo 11: Trattamento che non richiede l’identificazione (C57, C64)
- Articolo 12: Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato
- Articolo 13: Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato (C60-C62)
- Articolo 14: Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato (C60-C62)
- Articolo 15: Diritto di accesso dell'interessato (C63, C64)
- Articolo 16: Diritto di rettifica (C65)
- Articolo 17: Diritto alla cancellazione (diritto all'oblio) (C65, C66)
- Articolo 18: Diritto di limitazione di trattamento (C67)
- Articolo 19: Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento (C31)
- Articolo 20: Diritto alla portabilità dei dati (C68)
- Articolo 21: Diritto di opposizione (C69, C70)
- Articolo 22: Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione (C71, C72)
- Articolo 23: Limitazioni (C73)
- Articolo 24: Responsabilità del titolare del trattamento (C74-C78)
- Articolo 25: Protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita (C75-C78)
- Articolo 26: Contitolari del trattamento (C79)
- Articolo 27: Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell'Unione (C80)
- Articolo 28: Responsabile del trattamento (C81)
- Articolo 29: Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento (C81)
- Articolo 30: Registri delle attività di trattamento (C82)
- Articolo 31: Cooperazione con l'autorità di controllo (C82)
- Articolo 32: Sicurezza del trattamento (C83)
- Articolo 33: Notifica di una violazione dei dati personali all'autorità di controllo (C85, C87, C88)
- Articolo 34: Comunicazione di una violazione dei dati personali all'interessato (C86-C88)
- Articolo 35: Valutazione d'impatto sulla protezione dei dati (C84, C89-C93, C95)
- Articolo 36: Consultazione preventiva (C94-C96)
- Articolo 37: Designazione del responsabile della protezione dei dati (C97)
- Articolo 38: Posizione del responsabile della protezione dei dati (C97)
- Articolo 39: Compiti del responsabile della protezione dei dati (C97)
- Articolo 40: Codici di condotta (C98, C99, C167-C168)
- Articolo 41: Controllo dei codici di condotta approvati
- Articolo 42: Certificazione (C100)
- Articolo 43: Organismi di certificazione (C166-C168)
- Articolo 44: Principio generale per il trasferimento (C101, C102)
- Articolo 45: Trasferimento sulla base di una decisione di adeguatezza (C103, C107, C167-C169)
- Articolo 46: Trasferimento soggetto a garanzie adeguate (C108, C109, C114)
- Articolo 47: Norme vincolanti d'impresa (C110, C167-C168)
- Articolo 48: Trasferimento o comunicazione non autorizzati dal diritto dell'Unione (C115)
- Articolo 49: Deroghe in specifiche situazioni (C111-C114)
- Articolo 50: Cooperazione internazionale per la protezione dei dati personali (C116)
- Articolo 51: Autorità di controllo (C117)
- Articolo 52: Indipendenza (C118-C120)
- Articolo 53: Condizioni generali per i membri dell'autorità di controllo (C121)
- Articolo 54: Norme sull'istituzione dell'autorità di controllo
- Articolo 55: Competenza (C122, C123, C128)
- Articolo 56: Competenza dell'autorità di controllo capofila (C124, C125, C127, C128, C131)
- Articolo 57: Compiti (C122, C129, C132)
- Articolo 58: Poteri (C122, C129)
- Articolo 59: Relazioni sull'attività
- Articolo 60: Cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessate (C123-C126, C130)
- Articolo 61: Assistenza reciproca (C123, C133, C167-C168)
- Articolo 62: Operazioni congiunte delle autorità di controllo (C134)
- Articolo 63: Meccanismo di coerenza (C135, C138)
- Articolo 64: Parere del comitato europeo per la protezione dei dati (C135, C136, C138)
- Articolo 65: Composizione delle controversie da parte del comitato (C136, C138, C143)
- Articolo 66: Procedura d'urgenza (C137)
- Articolo 67: Scambio di informazioni (C167-C168)
- Articolo 68: Comitato europeo per la protezione dei dati (C139)
- Articolo 69: Indipendenza (C139)
- Articolo 70: Compiti del comitato (C139)
- Articolo 71: Relazioni
- Articolo 72: Procedura
- Articolo 73: Presidente
- Articolo 74: Compiti del presidente (C139)
- Articolo 75: Segreteria (C140)
- Articolo 76: Riservatezza
- Articolo 77: Diritto di proporre reclamo all'autorità di controllo (C141)
- Articolo 78: Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controllo (C141, C143)
- Articolo 79: Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento (C141, C145, C147)
- Articolo 80: Rappresentanza degli interessati (C142)
- Articolo 81: Sospensione delle azioni (C144, C147)
- Articolo 82: Diritto al risarcimento e responsabilità (C142, C146, C147)
- Articolo 83: Condizioni generali per infliggere sanzioni amministrative pecuniarie (C148, C150-C152)
- Articolo 84: Sanzioni (C149, C152)
- Articolo 85: Trattamento e libertà d'espressione e di informazione (C153)
- Articolo 86: Trattamento e accesso del pubblico ai documenti ufficiali (C154)
- Articolo 87: Trattamento del numero di identificazione nazionale
- Articolo 88: Trattamento dei dati nell'ambito dei rapporti di lavoro (C155)
- Articolo 89: Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (C33, C156-C163)
- Articolo 90: Obblighi di segretezza (C164)
- Articolo 91: Norme di protezione dei dati vigenti presso chiese e associazioni religiose (C165)
- Articolo 92: Esercizio della delega (C166)
- Articolo 93: Procedura di comitato
- Articolo 94: Abrogazione della direttiva 95/46/CE (C171)
- Articolo 95: Rapporto con la direttiva 2002/58/CE (C173)
- Articolo 96: Rapporto con accordi precedentemente conclusi (C102)
- Articolo 97: Relazioni della Commissione
- Articolo 98: Riesame di altri atti legislativi dell'Unione in materia di protezione dei dati
- Articolo 99: Entrata in vigore e applicazione
- Vedi tutte le news
Hai un dubbio o un problema su questo argomento?
Scrivi alla nostra redazione giuridica e ricevi la tua risposta entro 5 giorni
Non condivideremo mai la tua email con nessuno.
Politica di invio delle comunicazioni a fini di marketing di prodotti propri
Non desidero ricevere comunicazioni a fini di marketing di prodotti propri di iusprivacy.eu .