Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

diapositiva successiva Cosa si intende per larga scala Il WP29 raccomanda di tenere conto, in particolare, di alcuni fattori al fine di stabilire se un trattamento sia effettuato su larga scala: • il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; • il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; • la durata, ovvero la persistenza, dell’attività di trattamento; • la portata geografica dell’attività di trattamento. Esempi di trattamento su larga scala: • trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività; • trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio); • trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food; • trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività; • trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale; • trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici. Esempi di trattamento non su larga scala: • trattamento di dati relativi a pazienti svolto da un singolo professionista sanitario; • trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato. diapositiva successiva Monitoraggio regolare e sistematico Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all’interno del Regolamento; tuttavia, il considerando 24 menziona il “monitoraggio del comportamento di detti interessati” ricomprendendovi senza dubbio tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. Occorre rilevare, però, che la nozione di monitoraggio non trova applicazione solo con riguardo all’ambiente online, e che il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessati. L’aggettivo “regolare” ha almeno uno dei seguenti significati a giudizio del WP29: • che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; • ricorrente o ripetuto a intervalli costanti; • che avviene in modo costante o a intervalli periodici. L’aggettivo “sistematico” ha almeno uno dei seguenti significati a giudizio del WP29: • che avviene per sistema; • predeterminato, organizzato o metodico; • che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; • svolto nell’ambito di una strategia. diapositiva successiva Esempi di monitoraggio regolare e sistematico • Curare il funzionamento di una rete di telecomunicazioni; • la prestazione di servizi di telecomunicazioni; • il reindirizzamento di messaggi di posta elettronica; • profilazione e scoring per finalità di valutazione del rischio (per esempio, a fini di valutazione del rischio creditizio, definizione dei premi assicurativi, prevenzione delle frodi, accertamento di forme di riciclaggio); • tracciamento dell’ubicazione, per esempio da parte di applicazioni su dispositivi mobili; • programmi di fidelizzazione; • pubblicità comportamentale; • monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili; • utilizzo di telecamere a circuito chiuso; • dispositivi connessi quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica, ecc. diapositiva successiva Data Protection Officer (DPO). Chi nomina il DPO Per quanto riguarda la nomina di un DPO, l’articolo 37 del Regolamento non distingue fra titolari e responsabili del trattamento in termini di sua applicabilità. A seconda di chi soddisfi i criteri relativi all’obbligatorietà della nomina, potrà essere il solo titolare ovvero il solo responsabile, oppure sia l’uno sia l’altro a dover nominare un DPO; questi ultimi saranno poi tenuti alla reciproca collaborazione. Vale la pena di evidenziare che anche qualora il titolare sia tenuto, in base ai criteri suddetti, a nominare un DPO, il suo eventuale responsabile del trattamento non è detto sia egualmente tenuto a procedere a tale nomina – che però può costituire una buona prassi. diapositiva successiva Conoscenze e competenze del DPO In base all’articolo 37 del Regolamento, paragrafo 5, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Nel considerando 97 si prevede che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali oggetto di trattamento. diapositiva successiva Conoscenze specialistiche Il livello di conoscenza specialistica richiesto non trova una definizione tassativa; piuttosto, deve essere proporzionato alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. Per esempio, se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, il DPO avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto. Occorre anche distinguere in base all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea. diapositiva successiva Qualità professionali L’articolo 37, paragrafo 5, non specifica le qualità professionali da prendere in considerazione nella nomina di un DPO; tuttavia, sono pertinenti al riguardo la conoscenza da parte del DPO della normativa e delle prassi nazionali ed europee in materia di protezione dei dati e un’approfondita conoscenza del Regolamento. Proficua anche la promozione di una formazione adeguata e continua rivolta ai DPO da parte delle Autorità di controllo. È utile la conoscenza dello specifico settore di attività e della struttura organizzativa del titolare; inoltre, il DPO dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare. Nel caso di un’autorità pubblica o di un organismo pubblico, il DPO dovrebbe possedere anche una conoscenza approfondita delle norme e procedure amministrative applicabili. diapositiva successiva Capacità di assolvere i propri compiti Per capacità di assolvere i propri compiti si deve intendere sia quanto è legato alle qualità personali e alle conoscenze del DPO, sia quanto dipende dalla posizione del DPO all’interno dell’azienda o dell’organismo. Le qualità personali dovrebbero comprendere, per esempio, l’integrità ed elevati standard deontologici; il DPO dovrebbe perseguire in via primaria l’osservanza delle disposizioni del Regolamento. Il DPO svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’organismo, e contribuisce a dare attuazione a elementi essenziali del Regolamento quali i principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali. diapositiva successiva Il contratto di servizi La funzione di DPO può essere esercitata anche in base a un contratto di servizi stipulato con una persona fisica o giuridica esterna all’organismo o all’azienda titolare/responsabile del trattamento. In tal caso, è indispensabile che ciascun soggetto appartenente alla persona giuridica e operante quale DPO soddisfi tutti i requisiti applicabili come fissati nella Sezione 4 del Regolamento; per esempio, è indispensabile che nessuno di tali soggetti versi in situazioni di conflitto di interessi. Pari importanza riveste il fatto che ciascuno dei soggetti in questione goda delle tutele previste dal Regolamento: per esempio, non è ammissibile la risoluzione ingiustificata del contratto di servizi in rapporto alle attività svolte in quanto DPO, né è ammissibile l’ingiustificata rimozione di un singolo appartenente alla persona giuridica che svolga funzioni di DPO. Le linee guida suggeriscono, al fine di favorire una corretta e trasparente organizzazione interna, di procedere a una chiara ripartizione dei compiti all’interno del gruppo di lavoro DPO e di prevedere che sia un solo soggetto a fungere da contatto principale e “incaricato” per ciascun cliente. Sarà utile, in via generale, inserire specifiche disposizioni in merito nel contratto di servizi.