Indice. Prefazione. Nozione del dato personale e del trattamento dei dati. pag. di Franco Pizzetti. Capitolo Primo

Transcript

1 Prefazione di Franco Pizzetti XI Capitolo Primo Nozione del dato personale e del trattamento dei dati 1. Nozione di dato personale 1 2. Introduzione al concetto di dato personale nel Codice della Privacy e la sua evoluzione nel contesto sociale 4 3. Modelli possibili di classificazione di dato personale 6 4. Il modello di classificazione proposto dal Gruppo dei Garanti Europei per la protezione dei dati personali 7 5. Il problema di classificare l Internet Protocol (IP) come dato personale e le contraddizioni nella recente giurisprudenza sulla tutela del diritto d autore e della privacy Quando il frammento di informazione diviene dato personale Nozione di dato sensibile: nuovo approccio sulla sensibilità del dato nel Codice della Privacy e nel regolamento europeo Le sottocategorie del dato personale: dati sensibili, giudiziari e semisensibili Dati sensibili e soglia di sensibilità dei dati: analisi dei singoli casi Nozione di dato giudiziario nel Codice della Privacy e nel regolamento europeo Nozione di dato semisensibile: il prior checking (verifica preliminare) Nozione di trattamento dei dati Oggetto e ambito di applicazione del Codice della Privacy e del regolamento europeo Le reti telematiche e il trasferimento di dati all estero: quale è il diritto per la protezione dei dati personali applicabile? 24

2 VI La nuova privacy europea Capitolo Secondo Diritti dell interessato e regole sul trattamento dei dati 1. Breve introduzione Diritto di accesso ai dati personali, altri diritti e l interpello preventivo: requisiti per l istanza di accesso ai dati personali Esercizio dei diritti dell interessato: analisi normativa alla luce delle pronunce del Garante Forma e limiti nella proposizione dell istanza di accesso Il riscontro dell interessato e il contributo spese relativo al reperimento delle informazioni nel Codice della Privacy e nel regolamento Esercizio dei diritti dell interessato: l istanza di accesso Regole generali del trattamento dati Breve descrizione dell art. 11 del Codice della Privacy La liceità del trattamento La legittimità del trattamento La trasparenza nel trattamento La correttezza del trattamento dei dati personali Il principio di finalità del trattamento Esattezza e aggiornamento dei dati Pertinenza, completezza e non eccedenza Codici di deontologia Codici di deontologia e buona condotta Codici di condotta per il trattamento dei dati personali Definizione dei profili e della personalità dell interessato Trattamento che presenta rischi specifici: sicurezza e utilizzazione delle informazioni biometriche 54 Capitolo Terzo Informativa e consenso dal Codice della Privacy al regolamento europeo 1. Informativa sulla privacy secondo il Codice della Privacy L informativa privacy nel regolamento europeo (c.d. GDPR) La natura giuridica del consenso informato e disciplina applicabile nel Codice della Privacy e nel regolamento europeo I requisiti del consenso informato nel Codice della Privacy e nel regolamento Casi di esclusione del consenso privacy Trattamento per finalità relative agli obblighi normativi Trattamento per finalità relative agli obblighi contrattuali Trattamento per finalità relative alla tutela della vita e dell incolumità fisica Trattamento per finalità relative alle investigazioni difensive 81

3 VII 9. Trattamento dei dati per finalità relative alla tutela in sede giudiziaria dei diritti Trattamento dei dati per finalità relative alla tutela in sede giudiziaria degli interessi legittimi Trattamento dei dati per finalità relative ad esclusivi scopi scientifici o statistici e storici Trattamento effettuato dagli enti non profit Trattamento dei dati basati sulla natura dei dati (relativi allo svolgimento di attività economiche) Trattamento dei dati provenienti da fonti pienamente conoscibili (registri pubblici) 87 Capitolo Quarto Titolare del trattamento nel Codice della Privacy, titolarità e contitolarità nel regolamento 1. I soggetti passivi degli obblighi: titolare, contitolari, responsabili del trattamento e persone autorizzate La figura di responsabile e di incaricato del trattamento dei dati personali nel Codice della Privacy Distribuzione dei compiti e delle responsabilità in base al regolamento europeo (c.d. GDPR) I sub-responsabili del trattamento: l aggiunta, la sostituzione e le relative responsabilità La figura del responsabile della protezione dei dati personali (RPD oppure Data Protection Officer DPO): presupposti di obbligatorietà, analisi dei requisiti e responsabilità 105 Capitolo Quinto La gestione del rischio nel trattamento dei dati personali di Luca Tarullo 1. Nozione di rischio Il processo di analisi e gestione dei rischi I rischi nel trattamento dei dati personali L evoluzione del risk management dal d.lgs. n. 196/2003 al regolamento UE 2016/ Il Data Protection Impact Assessment (DPIA) Le fasi operative della valutazione d impatto Quando effettuare la valutazione d impatto Le responsabilità della DPIA 133

4 VIII La nuova privacy europea 9. Il contenuto della DPIA Modelli di Governance nella gestione del rischio: normative e schemi di certificazione volontaria 135 Capitolo Sesto Misure di sicurezza, soggetti obbligati e adempimenti 1. Quadro normativo sulle misure di sicurezza in base alla direttiva 95/46/CE Le misure idonee e le misure minime di sicurezza in base al Codice della Privacy Misure idonee di sicurezza e responsabilità connesse all omessa adozione Misure idonee di sicurezza: breve analisi delle misure Caso di studio: responsabilità per omissione delle misure idonee di sicurezza Misure minime di sicurezza: come applicarle e responsabilità previste dalla legge I soggetti obbligati e descrizione dell obbligo L autenticazione informatica (art. 34, lett. a) Procedura di gestione delle credenziali di autenticazione (art. 34, lett. b) Il sistema di autorizzazione (art. 34, lett. c) Ambito del trattamento dei dati (art. 34, lett. d) Protezione degli strumenti elettronici (art. 34, lett. e) Le procedure di custodia delle copie di sicurezza (art. 34, lett. f) Aggiornare il Documento Programmatico per la Sicurezza (art. 34, lett. g) Tecniche di cifratura o codici identificativi (art. 34, lett. h) Trattamenti senza l ausilio di strumenti elettronici Responsabilità connesse all omessa adozione delle misure minime di sicurezza (art. 169 C.d.P.) nel Codice della Privacy e l abrogazione prevista dal regolamento europeo La semplificazione delle misure minime di sicurezza Adempimenti: notificazione al Garante secondo il Codice della Privacy e l abrogazione prevista dal regolamento europeo Introduzione Trattamenti da notificare al Garante Riforma del regolamento europeo e abrogazione della notificazione generalizzata Il nuovo regolamento europeo: una sola tipologia complessiva della misura di sicurezza adeguata al rischio inerente al trattamento Registri delle attività del trattamento: il nuovo adempimento e il principio di responsabilizzazione delle organizzazioni La sicurezza del trattamento nel nuovo regolamento europeo 169

5 IX 14. Analisi della violazione dei dati: definizione, presupposti per la notifica al Garante e per la comunicazione all interessato 173 Capitolo 7 Tutela dell interessato e sanzioni 1. La tutela risarcitoria del danno privacy: dal phishing al caso giudiziario sul sim swap fraud La tutela dell identità personale nei siti sorgenti e nei motori di ricerca: analisi della giurisprudenza e della prassi decisoria del Garante privacy Quando rivolgersi all editore e cosa chiedere Quando e come rivolgersi al motore di ricerca Gli illeciti penali del Codice della Privacy Il trattamento illecito dei dati personali (art. 167 C.d.P.) Falsità delle dichiarazioni e notificazione al Garante (art. 168 C.d.P.) Gli illeciti amministrativi e la legge n. 689/1981: omessa o inidonea informativa all interessato e l art. 162 del Codice della Privacy Gli illeciti amministrativi nel regolamento europeo 204 Indice analitico essenziale 207