Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

diapositiva successiva DIRITTO ALLA PORTABILITÀ Le componenti del diritto alla portabilità sono: • 1. Il diritto di ricevere dati personali • 2. Il diritto di trasmettere dati personali da un titolare del trattamento ad un altro 1. Il diritto di ricevere dati personali: In primo luogo, la portabilità dei dati comprende il diritto dell’interessato di ricevere un sottoinsieme dei dati personali che lo riguardano trattati da un titolare, e di conservarli in vista di un utilizzo ulteriore per scopi personali. Tale conservazione può avvenire su un supporto personale o su un cloud privato, senza comportare necessariamente la trasmissione dei dati a un altro titolare. In questo senso, il diritto alla portabilità costituisce un’integrazione del diritto di accesso. 2. Il diritto di trasmettere dati personali da un titolare del trattamento a un altro titolare del trattamento: In secondo luogo, l’articolo 20, primo paragrafo, dà agli interessati il diritto di trasmettere dati personali da un titolare del trattamento a un altro titolare del trattamento “senza impedimenti”. In questo senso, il considerando 68 promuove lo sviluppo di formati interoperabili da parte dei titolari così da consentire la portabilità dei dati, ma non configura un obbligo in capo ai titolari stessi di introdurre o mantenere sistemi di trattamento tecnicamente compatibili. diapositiva successiva Strumenti del diritto alla portabilità L’articolo 20, paragrafo 2, del Regolamento prevede che gli interessati hanno il diritto di trasmettere i dati a un diverso titolare senza impedimenti da parte del titolare cui li hanno forniti. Gli impedimenti in questione possono consistere in ostacoli di natura giuridica, tecnica o finanziaria con cui il titolare evita o rallenta l’accesso, la trasmissione o il riutilizzo da parte dell’interessato o di un diverso titolare. Sul piano tecnico, i titolari dovrebbero esplorare e valutare due approcci diversi e complementari per mettere a disposizione degli interessati o di altri titolari dati che siano portabili: • trasmissione diretta dell’intero insieme di dati portabili (o di più estratti di parti del set complessivo di dati); • utilizzo di uno strumento automatizzato che consenta l’estrazione dei dati pertinenti. diapositiva successiva Schema generale del corso GLI ADEMPIMENTI diapositiva successiva SICUREZZA DEL TRATTAMENTO Nozione (articolo 24 G. D. P. R. ) Non poteva, ovviamente, mancare nel Regolamento un chiaro riferimento alle misure di sicurezza che già vengono menzionate nell’articolo 24. Quando si chiarisce che il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability). diapositiva successiva Nozione (articolo 32 G. D. P. R. ) Più nello specifico, l’articolo 32 del Regolamento ne parla a proposito della sicurezza del trattamento. Tenuto conto, quindi, dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Tali misure comprendono: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; d) una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. diapositiva successiva PSEUDONIMIZZAZIONE (articolo 4 G. D. P. R. ) Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. diapositiva successiva Sicurezza del trattamento Cifratura L’insieme delle teorie e delle tecniche (manuali, meccaniche o elettroniche) che permettono di cifrare un testo in chiaro, cioè di ottenerne un crittogramma, impiegando una chiave di cifratura, e di decifrare un crittogramma impiegando una chiave di decifratura, integrata, nei sistemi complessi, da una sequenza di numeri. diapositiva successiva Resilienza La capacità intrinseca di un sistema di modificare il proprio funzionamento prima, durante e in seguito ad un cambiamento o ad una perturbazione, in modo da poter continuare le operazioni necessarie sia in condizioni previste che in condizioni impreviste. diapositiva successiva DATA BREACH Nozione (articolo 33 G. D. P. R. ) L’articolo 33 del Regolamento dispone che in caso di violazione dei dati personali, il responsabile del trattamento notifica la violazione all’autorità di controllo competente ai sensi dell’articolo 51 senza ingiustificato ritardo, ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora non sia effettuata entro 72 ore, la notifica all’autorità di controllo è corredata di una giustificazione motivata. diapositiva successiva Elementi della notifica Tale notifica deve come minimo: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità. Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati. Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilità di sanzioni amministrative. diapositiva successiva COMUNICAZIONE AGLI INTERESSATI Nozione (articolo 34 G. D. P. R. ) L’articolo 34, invece, prevede un’altra importante incombenza collegata alla precedente e cioè la comunicazione di una violazione dei dati personali all’interessato. Difatti, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. La predetta comunicazione descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e non è richiesta se: a) Il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b) Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c) Detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. diapositiva successiva D. P. I. A. Data Protecion - Impact – Assessment; (Valutazione d'impatto della protezione dei dati) Nozione (articolo 35 G. D. P. R. ) L’articolo 35 del Regolamento parla di valutazione d’impatto sulla protezione dei dati che deve essere effettuata dal titolare del trattamento quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.