GDPR e agenti di commercio

Il GDPR riguarda tutte le imprese, i professionisti e i lavoratori autonomi, ma prevede obblighi e adempimenti diversi a seconda delle dimensioni aziendali, della tipologia dei dati trattati e del mondo in cui vengono diffusi.

Tendenzialmente l’agente di commercio non è fra le categorie maggiormente interessate dal cambiamento. In generale, i professionisti che lavorano autonomamente, o in uno studio professionale che comunque non tratta dati su larga scala, hanno obblighi ridotti. Ma comunque devono adeguarsi alle norme di fondo, che prevedono sempre un trattamento dei dato che tuteli la privacy. (continua)

Tratto da www.pmi.it, articolo scritto da Barbara Weisz

Superamento della Cookie-Law

Per tutti i siti internet che non usano esclusivamente cookie “tecnici” la cookie policy va aggiornata alla luce delle nuove disposizioni del Regolamento UE 679/2016.

La registrazione della scelta di un utente rispetto alla cookie policy presente su un sito web è un trattamento di dati eseguito dal Titolare del trattamento dei dati del sito stesso, in quanto tale scelta consente di rendere identificabile il soggetto che visita il sito.

La modalità di acquisizione della scelta dell’utente con metodi impliciti, come lo “scroll” della pagina del sito web, o anche tramite comportamenti “concludenti”, come la selezione con il mouse di una parte qualsiasi della pagina di un sito, non appare più consentita: serve un consenso esplicito.

Ciò è quanto emerge dal combinato disposto:

  1. dell’art. 7 del Regolamento, che al primo paragrafo recita: Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali; per poter dimostrare il consenso fornito per ciascuna finalità, dovrò tener traccia delle scelte attive dell’interessato;
  2. del Considerando 32: Il consenso dovrebbe essere prestato mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle.

Il provvedimento del Garante Privacy dal titolo Individuazione delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie – 8 maggio 2014 resta il testo di riferimento per tutte le parti non in contrasto, come il caso suesposto, con il Regolamento UE 679/2016.

Servirà implementare un pannello di scelta dei cookie, una piccola dashboard, sempre facilmente accessibile dall’utente per eventuali modifiche, con tutte le scelte di default “non autorizzate”: sarà l’interessato che, leggendo di quale cookie si tratta, selezionerà o meno le varie scelte, con uno schema chiaro che distingua i cookie necessari da quelli facoltativi.

Quindi, cosa deve avere un sito internet per essere adeguato?

  1. l’informativa sui Cookie, con pannello di scelta dei consensi
  2. l’informativa privacy, con tutti gli elementi previsti dal Regolamento, sempre con facoltà di dare/revocare i consensi

Alessandro Marano – Consulenza privacy

© Riproduzione Riservata

Gdpr, sanzioni e responsabilità: tutto ciò che c’è da sapere

Come noto, il decreto di armonizzazione del Codice Privacy (d.lgs. 196/2003) e delle altre leggi nazionali al Regolamento europeo 679/2016 sulla protezione dei dati personali (GDPR), adottato l’8 agosto scorso, è stato pubblicato in G.U., con il numero 101/2018 ed entrerà in vigore il prossimo 19 settembre.

Uno degli aspetti più rilevanti del Decreto Legislativo 101/2018 è senz’altro quello del sistema sanzionatorio, non solo per l’evidente centralità che lo stesso riveste nel quadro della nuova normativa europea sulla protezione dei dati, ma anche perché il sistema di rinvii alle diverse disposizioni normative in esso contenute (ivi incluse quelle del d.lgs. 196/2003 che il legislatore ha scelto di non abrogare) comporta non poche difficoltà interpretative.

Appare quindi opportuno approfondire il tema, analizzando il regime sanzionatorio derivante dal combinato disposto del GDPR, del d.lgs.101/2018 e delle norme del Codice Privacy sopravvissute al decreto di armonizzazione. (continua)

Tratto da www.agendadigitale.eu, articolo scritto da Rocco Panetta

Responsabile del trattamento

Il responsabile del trattamento (nel nuovo regolamento europeo data processor) è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR).

Si tratta di un soggetto, distinto dal titolare, che deve essere in grado di fornire garanzie al fine di assicurare il pieno rispetto delle disposizioni in materia di trattamento dei dati personali, nonché di garantire la tutela dei diritti dell’interessato. 
Il responsabile del trattamento dovrà avere innanzitutto una competenza qualificata (ad esempio, frequentazione di corsi di aggiornamento -in tal senso si può fare riferimento alla normativa UNI 11697:2017 che prevede un corso di almeno 60 ore-), dovendo garantire una conoscenza specialistica della materia, e l’attuazione delle misure tecniche e organizzative in grado di soddisfare i requisiti stabiliti dal regolamento europeo. Inoltre dovrà garantire una particolare affidabilità, un requisito fondato su aspetti etici e deontologici (ad esempio, l’assenza di condanne penali). (continua)

Tratto da protezionedatipersonali.it, articolo scritto da Bruno Saetta

Sanità e privacy

La riservatezza deve essere garantita in particolar modo per i cittadini che entrano in contatto con strutture sanitarie. I dati sanitari, infatti, sono considerati dati soggetti a trattamento speciale in quanto in grado di rivelare dettagli molto intimi della persona, e per questo vi è un generale divieto di trattamento e diffusione, nonché una tutela rafforzata, di tali dati.

Dati sanitari

I dati sanitari sono tutte quelle informazioni personali idonee a rivelare lo stato di salute, la vita sessuale e le condizioni corporee e mentali di una persona. Sono considerati dati sanitari anche i dati genetici, e le fotografie scattate a fini di interventi chirurgici. 

Tali dati sono soggetti ad una tutela rafforzata e particolari cautele, come il divieto di diffusione. Inoltre, come stabilito dalla Cassazione (Cassazione Civile, SS.UU., sentenza 27/12/2017 n° 30981) i dati sensibili idonei a rivelare lo stato di salute devono essere trattati con modalità organizzative tali da tutelarli, come ad esempio tecniche di cifraturache rendono non identificabile l’interessato. 
La tutela del singolo viene, però, ridotta nel momento in cui occorre bilanciarla con la tutela della collettività. Il regolamento europeo prevede che i dati sanitari possono essere utilizzati solo per finalità connesse alla salute (finalità di cura), per la supervisione del Sistema Sanitario Nazionale (finalità di governo) e per la ricerca nel pubblico interesse. Di contro lascia agli Stati la possibilità di introdurre condizioni particolari o ulteriori limiti per il trattamento. (continua)

Tratto da protezionedatipersonali.it articolo scritto da Bruno Saetta

Privacy e GDPR: il nuovo sistema del consenso al trattamento

In un mondo iper virtuale e in cui è in costante incremento l’utilizzazione dei dati e in particolare quelli personali, questi ultimi hanno trovato una forte tutela da parte dell’Unione europea. Il Regolamento UE 679/2016 GDPR è entrato in vigore in tutti gli Stati europei al fine di uniformare i criteri per tutelare il loro trattamento, riconosciuto come diritto fondamentale della persona.

Quando i nostri dati vengono trattati a mezzo di algoritmi e ci troviamo presi di mira da messaggi e telefonate non graditi possiamo far valere i nostri diritti per ottenere l’inibizione. Al contempo ci chiediamo come e quando siamo stati inseriti nelle banche dati. Il caso più frequente è il rilascio del consenso al trattamento sui siti nei quali navighiamo.

Per contrastare la diffusa facilità di acquisire detto consenso, la normativa ha conclamato il diritto ad un consenso libero e specifico, artt. 6 e 7 del Regolamento GDPR, legge pienamente efficace in Italia anche per l’espressa abrogazione di buona parte del superato d.lgs. 196/2013, stante la precisa scelta assunta dal Governo con il nuovo D.Lgs. 101/2018. (continua)

Tratto da  Altalex, 13 settembre 2018. Articolo di Giuseppe Sparano e Lorenzo Sparano

Dati sanitari, come trattarli alla luce del Gdpr

Il binomio Privacy – Sanità da sempre presenta non poche difficoltà, sia per la rilevanza dei principi da tutelare, tutti di rango costituzionale, sia per l’approccio non sempre agevole degli operatori sanitari alle tematiche proprie della protezione dei dati personali. L’avvento poi della sanità digitale, voluta innanzitutto dall’Europa, ha ulteriormente complicato la situazione.

La stessa applicazione della normativa in materia di trattamento dei dati personali e sensibili nel settore sanitario è sempre stata controversa: la giusta imposizione di norme e regole atte a tutelare la riservatezza della persona umana spesso appare in contrasto con le esigenze di celerità, di urgenza, di garanzia di salute del paziente e quasi una inutile aggiunta alle già numerose incombenze di carattere burocratico che toccano agli operatori sanitari. (continua)

Tratto da Altalex, 13 aprile 2018. Articolo di Michele Iaselli

GDPR, questo ancora sconosciuto

Da una ricerca di Talend condotta sulle richieste di dati personali rivolte a 103 aziende operanti in Europa in vari settori è emerso che, circa il 70% non è riuscito a rispondere alle richieste da parte degli utenti di ottenere una copia dei propri dati personali entro un mese così come stabilito dai regolamenti del GDPR.

Nella sua nuova indagine, lo specialista globale nelle soluzioni cloud di integrazione dati ha considerato le risposte all’articolo 15 del GDPR (“Diritto di accesso da parte dell’interessato”) e le richieste dell’articolo 20 (“Diritto alla portabilità dei dati”), esaminando anche il rispetto del GDPR per quanto riguarda le politiche sulla privacy, la velocità e la completezza delle risposte.

Il tutto a evidenza di come molte aziende non assolvono gli obblighi dettati dal GDPR in quanto non stanno ancora mettendo in atto le soluzioni necessarie per gestire correttamente i propri dati in termini di tecnologie e processi. (continua)

Tratto da www.lineaedp.it

La Guardia di Finanza spiega i controlli sul GDPR

L’intervento di Marco Menegazzo, Comandante Nucleo Speciale Privacy della Guardia di Finanza, in occasione del Privacy Day Forum organizzato da Federprivacy, e svoltosi a Roma il 25 Maggio 2018.

Con un’esposizione chiara il Comandante spiega l’opportunità da cogliere per le imprese con la nuova privacy (GDPR); inoltre, presenta alcuni chiarimenti che aiutano a comprendere che un controllo della Guardia di Finanza può avvenire anche con una semplice segnalazione al Garante da parte di un cliente.

Un esempio che espone a un reclamo? Semplice: quando l’azienda non dà risposta, entro trenta giorni, a una persona che chiede di esercitare un proprio diritto come l’accesso ai propri dati, la portabilità, l’opposizione, la rettifica o cancellazione dei dati.

Il reclamo può essere presentato anche nel caso di un’azienda che non abbia un’informativa privacy adeguata.


La nuova privacy riporta al centro la gestione delle risorse umane

L’entrata in vigore, il 25 maggio scorso, del regolamento europeo sulla protezione dei dati personali (Gdpr) ha segnato una tappa importante nella vita delle aziende italiane.

Il regolamento ha impattato su tutta la vita dell’impresa: è una norma che sovrappone e incrocia ambiti diversi e, per funzionare, deve tenere conto di tutti. Information technology, vendite, compliance, commerciale, marketing: tutte le funzioni aziendali trattano dati e devono, dal 25 maggio scorso, farlo secondo le indicazioni del regolamento. È quindi legittima, a questo punto, una domanda: quale è la funzione aziendale che si candida a gestire l’incrocio detto sopra? Quale la funzione più adatta a fungere da raccordo tra le altre funzioni in materia di privacy?

La risposta dipende da una serie molto ampia di variabili. Tuttavia, non sarebbe sbagliato rispondere: la funzione Hr. Infatti, i responsabili del personale sono tradizionalmente al centro della vita aziendale e, in aggiunta, riforme di impianto e impatto paragonabile al Gdpr hanno trovato in passato negli Hr i gestori ideali, basti pensare alla sicurezza sul lavoro e alle sue procedure, o ai requisiti introdotti dal Jobs act per il controllo a distanza dei dipendenti. Tutte norme che presuppongono una solida struttura di procedure e documenti e un’attenzione costante per organizzazione e dinamiche tra soggetti e uffici. (continua)

Tratto da www.ilsole24ore.com

Consulenza fiscale e patrimoniale