Guida all'uso
Forum
La redazione
Contatti
Links
Indicazioni utili
In giro per Lucera
Le attività
Strade e contrade
Luceriae Historia
Accade in Provincia


Arte
Letteratura
Musica
Religione
Filosofia
Psicologia
Sociologia
Gestalt
Teatro
Cinema
Televisione
Scienze
Diritto
Economia
Storia
Agricoltura
Ambiente
Mestieri
Fuori orario

Barzellette, detti,
aforismi, metafore e parodie…
Raccontate la vostra

Diritto

Attività ispettiva del Garante Privacy per il periodo gennaio-giugno 2020 (La rubrica dell'avvocato Marco Pagliara)
Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi e le conseguenze

Lucera, 22.02.2020 - Il Garante della privacy, al fine di stabilire le priorità in relazione alle risorse disponibili, limitatamente al periodo gennaio-giugno 2020, ha indicato il piano dell’attività ispettiva che sarà eseguita anche per mezzo della Guardia di Finanza e indirizzata ad accertamenti in riferimento a profili di interesse generale, per categorie di interessati, nei seguenti ambiti:

1) trattamenti di dati personali effettuati da Enti pubblici relativamente alla c.d. medicina di iniziativa;
2) trattamenti di dati relativi alla salute effettuati da società multinazionali operanti nel settore farmaceutico e sanitario;
3) trattamento di dati personali effettuati nel quadro dei servizi bancari on line;
4) trattamenti dei dati personali effettuati mediante applicativi per la gestione delle segnalazioni di condotte illecite (c.d. whistleblowing);
5) trattamenti dei dati personali effettuati da intermediari per la fatturazione elettronica;
6) trattamenti di dati personali effettuati da Enti pubblici in tema di rilascio di certificati anagrafici e di stato civile, attraverso l’accesso ad ANPR;
7) trattamenti di dati personali effettuati da società private ed Enti pubblici per la gestione e la registrazione delle telefonate nell’ambito del servizio di call center;
8) trattamenti di dati personali effettuati da società per attività di marketing;
9) trattamenti di dati personali effettuati da società con particolare riferimento all’attività di profilazione degli interessati che aderiscono a carte di fidelizzazione; 10) trattamenti di dati personali effettuati da società rientranti nel settore denominato “Food Delivery”;
11) trattamento di dati personali effettuati da società private in tema di banche reputazionali;
12) data breach.

I controlli nei confronti di soggetti, pubblici e privati, appartenenti a categorie omogenee, verteranno sui presupposti di liceità del trattamento e sulle condizioni per il consenso, qualora il trattamento sia basato su tale presupposto, sul rispetto dell’obbligo dell’informativa nonché sulla durata della conservazione dei dati.
L’attività ispettiva programmata riguarderà n. 80 accertamenti ispettivi di iniziativa, effettuati anche a mezzo della Guardia di Finanza.
Pertanto, al fine di svolgere trattamenti conformi alla normativa vigente, si segnala quanto in appresso.
Il Regolamento UE prevede che ogni trattamento deve trovare fondamento su un’idonea base giuridica. I fondamenti di liceità del trattamento di dati personali, indicati all’articolo 6 del Regolamento, sono i seguenti:

a) consenso; b) adempimento obblighi contrattuali; c) interessi vitali della persona interessata o di terzi; d) obblighi di legge cui è soggetto il titolare; e) interesse pubblico o esercizio di pubblici poteri; f) interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

Quando il trattamento si fonda sul consenso dell’interessato, il titolare deve sempre essere in grado di dimostrare (articolo 7.1 del Regolamento) che l’interessato ha prestato il proprio consenso), che è valido se:

• all’interessato è stata resa l’informazione sul trattamento dei dati personali (articoli 13 o 14 del Regolamento);
• è stato espresso dall’interessato liberamente, in modo inequivocabile e, se il trattamento persegue più finalità, specificamente con riguardo a ciascuna di esse. Il consenso, inoltre, deve essere sempre revocabile.

Occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (articolo 7.2), per esempio all’interno della modulistica.
Non è ammesso il consenso tacito o presunto (per esempio, presentando caselle già spuntate su un modulo).
Quando il trattamento riguarda le “categorie particolari di dati personali” (articolo 9 del Regolamento) il consenso deve essere “esplicito”; lo stesso vale per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – articolo 22).
L’informativa (disciplinata nello specifico dagli artt. 13 e 14 del Regolamento) deve essere fornita all’interessato prima di effettuare il trattamento, quindi prima della raccolta dei dati (se raccolti direttamente presso l’interessato: articolo 13 del Regolamento).
Nel caso di dati personali non raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato).
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e, in parte, sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della Protezione dei Dati – Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione Europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.). Se i dati non sono raccolti direttamente presso l’interessato (articolo 14 del Regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.
In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”: in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all’autorità di controllo.
Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: articolo 12, paragrafo 1, e considerando il 58). Sono comunque ammessi “altri mezzi”, quindi può essere fornita anche in forma orale, ma nel rispetto delle caratteristiche di cui sopra (articolo 12, paragrafo 1).

Avv. Marco Pagliara



Scrivete
al Frizzo

Le lettere
al Frizzo

Fedro e dintorni
Fiabe e racconti seguiti da un breve commento

…u kunde
nannurke
i ditte de
tatarusse
parle kume t'ha
fatte mammete
Altri servizi

Luoghi da visitare
Il Pensatoio
Vendo & Compro
Alla ricerca di…
Newsletter
F.A.Q.