Maggioli Editore: Privacy

L’opera giunge alla sua seconda edizione e mantenendo l’impostazione originaria del libro vengono approfonditi diversi aspetti legati ai compiti ed alle attività del DPO. In particolare si è tenuto conto delle ultime linee guida EDPB sulle figure soggettive del GDPR, sulla videosorveglianza, sui principi della privacy by design e by default e sui trasferimenti dei dati personali presso Paesi terzi, nonché di alcune importanti sentenze del giudice amministrativo sui ruoli e le funzioni del DPO e di rilevanti provvedimenti dell’Autorità in tema di DPIA, Data Breach e Registro delle attività di trattamento. Il formulario è stato ulteriormente arricchito e rinnovato alla luce degli interventi dell’Autorità Garante, di Organismi Comunitari e naturalmente dell’esperienza acquisita in materia. Nel libro, quindi, viene dato ulteriore risalto alla figura professionale di indubbio rilievo del DPO designata in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, nonché della capacità di adempiere ai propri compiti.

L’attività promozionale e commerciale può essere svolta attraverso molteplici strumenti e canali (e-mail, SMS, messaggi diretti sui social o push notification) e mediante diverse iniziative e operazioni (come organizzazione di contest e eventi gratuiti o pubblicazione di immagini e contenuti su blog o su social network) da cui deriva un trattamento di dati personali che obbliga, fin dalla fase di pianificazione e progettazione, a tenere in considerazione le prescrizioni del Regolamento UE 2016/679 (GDPR) e del D.Lgs.n. 196/2003 (Codice privacy), così come modificato dal D.Lgs. n. 101/2018 (decreto di adeguamento dell’ordinamento nazionale al Regolamento UE 2016/679). Il volume si rivolge, pertanto, sia agli operatori commerciali che ai loro consulenti, con l’obiettivo di chiarire le regole da seguire per svolgere attività di marketing nel rispetto della normativa in materia di protezione dei dati personali, indicando i profili di maggior rilievo da dover considerare per non commettere errori e, di conseguenza, per evitare sia il rischio di sanzioni e responsabilità, sia quello - non meno rilevante - di compromettere l’immagine aziendale o professionale.

L’innovazione conseguita attraverso la digitalizzazione dei documenti e la dematerializzazione dei processi, fortemente voluta dal legislatore italiano e da quello europeo, pone a tutte le organizzazioni, pubbliche e private, due ordini di problemi: assicurare la sicurezza informatica dei sistemi e garantire la protezione dei dati personali presenti nei contenuti digitali. Numerose sono le disposizioni di legge, le specifiche tecniche e le raccomandazioni emanate dall’Agenzia per l’Italia Digitale (AgID) e dal Garante della Privacy per conseguire questi due obiettivi che, a ben vedere, sono strettamente correlati: non si possono proteggere i dati personali gestiti in un ambiente tecnologicamente insicuro.  Il volume approfondisce sia le tematiche della sicurezza cibernetica, analizzando le misure minime, le linee guida e la strategia descritta nel Piano triennale per l’informatica nella pubblica amministrazione 2019-2021, sia la normativa vigente in materia di protezione dei dati personali, fornendo indicazioni concrete sui metodi e gli strumenti per il risk management e l’applicazione del GDPR agli archivi di interesse culturale-storico.

L’art. 30 del Regolamento Europeo 2016/679 (GDPR ) dispone l’obbligo, per il titolare ed il responsabile del trattamento, di tenere un Registro – in forma scritta, anche in formato elettronico – delle attività di trattamento svolte. Il Registro delle attività di trattamento è un documento che serve anche a dimostrare la conformità al GDPR, nel rispetto del generale principio di responsabilizzazione (“accountability”) e che deve essere messo a disposizione dell’autorità di controllo, se richiesto. L’importanza della tenuta del Registro nell’ambito del sistema di governance della protezione dei dati è stata sottolineata sia dal Gruppo di Lavoro Articolo 29 prima e successivamente dal Comitato Europeo per la protezione dei dati, sia dall’Autorità Garante, che hanno fornito opportuni chiarimenti, in particolare sull’ambito soggettivo e oggettivo dell’art. 30 del GDPR. Gli autori si rivolgono, con questa guida sintetica, sia al titolare che al responsabile del trattamento dati, con la finalità di renderli ancor più consapevoli della disciplina, delle attività, delle modalità di tenuta, degli obblighi e delle sanzioni che ruotano attorno al Registro delle attività di trattamento.

Le novità introdotte dal Regolamento Europeo 2016/679, con la modifica del nostro “Codice privacy” ad opera del D.Lgs. n. 101/2018, rendono necessario riprogrammare il modo attraverso il quale i titolari (siano essi aziende, enti pubblici o associazioni) trattano i dati personali. Si impone un cambiamento culturale e di approccio, che richiede anche una nuova consapevolezza del valore dei dati da parte dei titolari del trattamento: non si tratta più di un tema esclusivamente legale, ma di organizzazione, di gestione di processi produttivi e distributivi, di adeguatezza degli strumenti informatici utilizzati. Il volume, partendo dalle prassi e dalle soluzioni operative, si propone di illustrare, con taglio pratico, l’impatto sul mercato del nuovo assetto normativo. Per tali motivi, in questa nuova edizione si sono aggiunti capitoli che: esaminano il GDPR in rapporto con Blockchain, Bitcoin, Data Protection e Intelligenza Artificiale; illustrano il nuovo approccio delle misure di Cybersecurity, con profili pratico-operativi; propongono un’analisi compiuta di una casistica di Data Breach; affrontano i rapporti tra GDPR e D.Lgs. n. 231/2001, antiriciclaggio e misure di audit in campo privacy; offrono una più capillare analisi dell’applicazione dei principi di protezione dei dati personali veicolati nel Web.

Finalità dell’autore è illustrare, in maniera semplice ma efficace, gli istituti, le novità introdotte ed i nuovi adempimenti che il GDPR “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE” introduce per imprese, professionisti, enti, pubbliche amministrazioni ed ogni altro soggetto che tratti dati personali. Capita spesso che questi soggetti siano confusi in relazione a quali adempimenti siano tenuti a realizzare ed a come implementarli. Di conseguenza, titolari e responsabili corrono il rischio, da un lato, di non realizzare quanto richiesto dal Regolamento e, dall’altro, di burocratizzare inutilmente i propri processi oppure di adottare misure non richieste né necessarie come, ad esempio, la nomina del DPO. Il Regolamento Europeo è, infatti, una norma estremamente complessa che richiede uno sforzo non formale ma sostanziale a titolari e responsabili di trattamento sulla base del principio di substance over form. In questo senso, il rispetto del GDPR è un processo continuo e complesso che richiede il necessario coordinamento di diverse figure professionali che devono intervenire sugli aspetti legali, gestionali e informatici delle attività di trattamento. Il GDPR non richiede, pertanto, di produrre carte, ma di acquisire consapevolezza e di implementare procedure efficienti; non serve scaricare responsabilità, ma occorre responsabilizzare e formare i soggetti che trattano dati personali in azienda e per conto del titolare. Da ultimo, non è opportuno ottemperare al GDPR solamente per paura delle sanzioni, ma anche nell’ottica di perseguire i propri obiettivi di business ed implementare efficienti processi di trattamento dei dati personali. L’opera affronta analiticamente l’impianto normativo del GDPR per illustrare a titolari e responsabili di trattamento, nonché a consulenti ed operatori del diritto, i principi generali, gli adempimenti per titolari e responsabili e i profili di tutela dei diritti delle persone fisiche coinvolte nei trattamenti.

Il 19 settembre 2018 è entrato in vigore il decreto legislativo n.101 che ha modificato profondamente il Codice privacy in modo da renderlo conforme alla disciplina prevista dal GDPR. Conseguentemente, da tale data, il Garante privacy, l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società, impresa o professionista sono tenuti a dare piena e integrale applicazione alla disciplina prevista in quello che può essere definito il nuovo Codice della privacy. L’opera mira, quindi, a fornire a tutti gli operatori, pubblici e privati, gli strumenti per comprendere in modo chiaro e semplice le novità introdotte dal decreto attuativo, attraverso una lettura integrata con i relativi riferimenti alle disposizioni del GDPR, in modo da fornire ad ogni operatore uno strumento il più possibile completo che lo assista negli adempimenti ai vari obblighi su di loro gravanti, relativi alla protezione dei dati personali. In particolare, l’autore, attraverso un linguaggio semplice e chiaro, analizza i singoli articoli del decreto attuativo e ne fornisce un primo commento esplicativo in combinato con l’esame delle disposizioni del codice privacy ancora in vigore e, soprattutto, attraverso i necessari richiami alle disposizioni del GDPR che la nuova disciplina va ad attuare. Le novità introdotte dal decreto legislativo n. 101/2018 di adeguamento al GDPR

L'opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l'autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all'esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L'opera si rende utile oggi, in un mondo in cui anche nell'ambito sanitario i dati personali assumono un'importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.

L’avvento del nuovo GDPR rappresenta una svolta epocale per il mondo della privacy, soprattutto in virtù del ripensato approccio alla materia, che prevede il passaggio da un regime autorizzatorio a quello di responsabilizzazione dei diversi attori operanti sulla scena del trattamento e della protezione dei dati personali. La data del 25 maggio 2018 segna l’entrata in vigore del nuovo Regolamento UE 2016/679 ma non fuga dubbi interpretativi e di ordine pratico della nuova disciplina: perciò il testo, in oltre 200 domande e risposte, rende accessibili anche ai non addetti ai lavori termini, modalità e obblighi derivanti dalla nuova disciplina, con qualche anticipazione su aspetti di rilievo contenuti nello schema di decreto legislativo recante le disposizioni per l’adeguamento della normativa nazionale al Regolamento. Completa il volume l’appendice normativa contenente i “considerando” e l’intero Regolamento. CARLO NOCERA Avvocato in Roma, dopo avere maturato un’esperienza accademica di oltre un lustro in “Diritto dell’informazione e della comunicazione” si occupa da diversi anni di questioni legali in materia di trattamento e protezione dei dati personali e di reati informatici. Collabora stabilmente con i più prestigiosi quotidiani giuridico-economici e svolge assidua attività di formazione per primarie Società di formazione nonché per Ordini professionali ed Enti istituzionali.

Il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce del regolamento n.1/2019, emanato dal Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa.