Glossario del GDPR: i termini usati ed i significati.

L’art. 4 del GDPR 2016/679 fornisce le definizioni delle varie figure e termini riguardanti il Regolamento. Di seguito riportiamo un glossario dei termini usati con relativa spiegazione e commento.

Accesso

È il diritto dell’interessato di ottenere dal controllore, su richiesta, alcune informazioni relative al trattamento dei propri dati personali.

Accountability

Letteralmente significa “responsabilizzazione”. La responsabilizzazione è la capacità di dimostrare la conformità al GDPR. Il Regolamento stabilisce esplicitamente che questa sia a carico dell’organizzazione. Si intende che il Titolare  del Trattamento vengono responsabilizzati nell’adottare comportamenti tali da dimostrare di aver adottato le misure idonee ad assicurare l'aderenza al GDPR. Per dimostrare ciò è necessario implementare adeguate misure tecniche e organizzative da riportare all'interno della Valutazione d'impatto (DPIA) e del Registo dei Trattamenti.

Autorizzazione

E' il provvedimento con cui il Garante autorizza il titolare del trattamento (ente pubblico, impresa, libero professionista, ecc) a trattare determinati dati "sensibili" o giudiziari, ovvero a trasferire dati personali all'estero.
In materia di dati sensibili e giudiziari, il Garante ha emanato alcune autorizzazioni generali che consentono a varie categorie di titolari di trattare dati per gli scopi specificati senza dover chiedere singolarmente un'apposita autorizzazione al Garante.

Comunicazione

E' lo strumento per far conoscere dati personali a uno o più soggetti determinati (che non siano l'interessato, il responsabile o l'incaricato), in qualunque forma, anche attraverso la loro messa a disposizione o consultazione (vedi anche "diffusione")

Consenso

Più precisamente Consenso dell’Interessato: (1) qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento per uno o più scopi specifici. E' la manifestazione di volontà dell'interessato con cui questi accetta espressamente un determinato trattamento dei suoi dati personali. Deve essere stato preventivamente informato da chi ha un potere decisionale sul trattamento (ad es. il titolare ). È sufficiente che il consenso sia "documentato" in forma scritta (ossia annotato, trascritto, riportato dal titolare o dal responsabile o da un incaricato del trattamento su un registro o un atto o un verbale). Se il trattamento riguarda dati "sensibili", occorre il consenso rilasciato per iscritto dall'interessato (ad es., con la sua sottoscrizione). Il consenso non può essere dedotto dal silenzio, da caselle pre-selezionate o dall’inattività. Deve inoltre essere separato dai termini e dalle condizioni ed esempio di un contratto e deve avere un modo semplice per essere ritirato: non deve essere complicato od oneroso per l'interessato. Le autorità pubbliche e i datori di lavoro dovranno prestare particolare attenzione per garantire che il consenso sia dato liberamente. I consensi esistenti non devono essere aggiornati automaticamente in preparazione al GDPR, ma devono rispettare lo standard del GDPR di essere specifici, chiari, correttamente documentati e facili da ritirare. In caso contrario, sarà necessario modificare i meccanismi di consenso e chiedere un nuovo consenso conforme al GDPR o trovare un’alternativa al consenso.

Contitolare del Trattamento

Si ha un contitolare quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato.

Compliance

La conformità alle regole e disposizioni del GDPR e alle normative cogenti.

Data breach

Con il termine data breach si intende un incidente di sicurezza, una violazione, in cui dati personali, sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Tale divulgazione può avvenire in seguito a:

  • perdita accidentale: ad esempio smarrimento di una chiavetta USB
  • furto: ad esempio da furto di un notebook
  • infedeltà aziendale: ad esempio una persona interna, dipendente o collaboratore che, avendo autorizzazione ad accedere ai dati, ne produce una copia distribuita in ambiente pubblico
  • accesso abusivo: ad esempio accesso non autorizzato ai sistemi informatici dall'esterno (malware, spyware, ecc) con successiva sottrazione, distruzione, divulgazione, delle informazioni

Dato personale

Qualsiasi informazione che riguardi persone fisiche, individui, identificate o identificabili che riguardi la sua vita privata, professionale o pubblica. Sono, ad esempio, dati personali: il nome e cognome o denominazione; l'indirizzo, il codice fiscale; ma anche un'immagine, la registrazione della voce di una persona, la sua impronta digitale, i dati sanitari, i dati  bancari, l’indirizzo IP o una combinazione dei dati che identifichi direttamente o indirettamente la persona.

Dato sensibile

Il GDPR si riferisce a dati personali sensibili come a “categorie speciali di dati personali”. Le categorie speciali di dati includono l’origine razziale o etnica, le opinioni politiche, le opinioni religiose o filosofiche, l’appartenenza sindacale, l’orientamento sessuale e i dati sanitari, genetici e biometrici elaborati per identificare un individuo in modo univoco. 

Dato giudiziario

Sono i dati che rivelano l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (quali, ad es., i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione). Rientrano in questa categoria anche la qualità di imputato o di indagato.

Diffusione

Divulgare dati personali al pubblico o, comunque, ad un numero indeterminato di soggetti (ad esempio, è diffusione la pubblicazione di dati personali su un quotidiano o su una pagina web).

Diritti dell'interessato

Il Codice in materia di protezione dei dati personali riconosce all'interessato (art. 7) una serie di diritti per quanto riguarda il trattamento dei dati personali:
1. il diritto di avere informazioni generali sui trattamenti di dati svolti nel nostro Paese (attraverso la consultazione gratuita per via telematica del Registro dei trattamenti, tenuto a cura del Garante);
2. il diritto di accesso ai propri dati personali direttamente presso chi li detiene (titolare del trattamento), ossia il diritto di ottenere la conferma della loro esistenza e la loro comunicazione e di sapere da dove sono stati acquisiti e quali sono i criteri e gli scopi del trattamento, in questo caso il titolare può chiedere il pagamento di una somma ("contributo spese") se non detiene dati dell'interessato;
3. il diritto di ottenere la cancellazione o il blocco di dati che sono trattati violando la legge (ad es., perché non è stato chiesto il consenso); tali diritti possono essere esercitati anche quando non ci sono più motivi validi per conservare ulteriormente i dati, in origine legittimamente acquisiti;
4. il diritto di aggiornare, correggere o integrare i dati inesatti e incompleti;
5.  il diritto, nei casi indicati nei punti 3) e 4), di ottenere anche un'attestazione da parte del titolare che tali operazioni sono state portate a conoscenza dei soggetti ai quali i dati erano stati precedentemente comunicati, a meno che ciò risulti impossibile o richieda un impegno sproporzionato rispetto al diritto tutelato;
6. il diritto di opporsi, per motivi legittimi, al trattamento dei propri dati;
7. il diritto di opporsi, sempre e comunque, al trattamento dei propri dati per scopi di informazione commerciale o per l'invio di materiale pubblicitario o di vendita diretta, oppure per ricerche di mercato.

DPIA

O anche Valutazione d’impatto. Il GDPR impone un nuovo obbligo ai controllori dei dati e ai processori di dati di condurre una Valutazione d’Impatto sulla Protezione dei Dati (nota anche come valutazione d’impatto sulla privacy, o PIA – Privacy Impact Assessment) prima di intraprendere un trattamento che presenti un rischio specifico sulla privacy in virtù della sua natura, del campo di applicazione o dello scopo. Vedi cos'è e cosa riguarda e cosa deve contenere e come si redige.

Garante

Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita dalla legge sulla privacy (legge n. 675 del 31 dicembre 1996, oggi confluita nel Codice). L'istituzione di analoghe autorità è prevista in tutti gli altri Paesi membri dell'Unione Europea (articolo 8 della Carta dei diritti fondamentali dell'Unione europea). Il Garante ha il compito di assicurare la tutela dei diritti e delle libertà fondamentali nel trattamento dei dati personali ed il rispetto della dignità della persona. Il Garante esamina i reclami e le segnalazioni dei cittadini e vigila sul rispetto delle norme che tutelano la vita privata. Decide sui ricorsi presentati dai cittadini e vieta, anche d'ufficio, i trattamenti illeciti o non corretti. Compie ispezioni, commina sanzioni amministrative ed emette pareri nei casi previsti dal Codice. Segnala al Parlamento e al Governo l'opportunità di interventi normativi in materia di protezione dei dati personali.

Interessato

(1) L'interessato è la persona fisica, l'individuo, identificata o identificabile a cui si riferiscono i dati. Ad esempio un cliente, un potenziale cliente, un dipendente, un referente, ecc. 

Incaricato (del trattamento)

Il dipendente o il collaboratore che per conto della struttura del titolare elabora o utilizza materialmente i dati personali sulla base delle istruzioni ricevute dal titolare medesimo (e/o dal responsabile, se designato).

Informativa

Le informazioni che il titolare del trattamento deve fornire ad ogni interessato, verbalmente o per iscritto, quando i dati sono raccolti presso l'interessato stesso, oppure presso terzi. L'informativa deve precisare sinteticamente e in modo colloquiale quali sono gli scopi e le modalità del trattamento; se l'interessato è obbligato o no a fornire i dati; quali sono le conseguenze se i dati non vengono forniti; a chi possono essere comunicati o diffusi i dati; quali sono i diritti riconosciuti all'interessato; chi sono il titolare e l'eventuale responsabile del trattamento e dove sono raggiungibili (indirizzo, telefono, fax, ecc.).

Misure di sicurezza

Sono tutti gli accorgimenti tecnici ed organizzativi, i dispositivi elettronici o i programmi informatici utilizzati per garantire che i dati non vadano distrutti o persi anche in modo accidentale, che solo le persone autorizzate possano avere accesso ai dati e che non siano effettuati trattamenti contrari alle norme di legge o diversi da quelli per cui i dati erano stati raccolti. Nel Codice non sono fissate le misure e le procedure, ma i criteri e le metodologie  che i titolari devono adottare al fine di garantire la sicurezza dei dati stessi.

Privacy by Design e by Default

Significa configurare il trattamento dei dati personali prevedendo, fin dalle fasi di progettazione, misure indispensabili per soddisfare i requisiti del regolamento e tutelare i diritti degli interessati. Ciò richiede “un’analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili”.

Profilazione

Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Rappresentante del Trattamento

Le organizzazioni che hanno sede fuori dall’UE devono designare, come disposto dall’articolo 27, una persona fisica o giuridica stabilita nell’Unione che li rappresenti per quanto riguarda gli obblighi relativi al regolamento UE 2016/679.

Registro dei Trattamenti

E' il documento contenente tutte le informazioni relative alle operazioni di trattamento effettuate all’interno di un’organizzazione (azienda, ente o associazione). In esso vengono indicate le finalità del trattamento, ma anche informazioni quali le modalità di conservazione, le categorie degli Interessati e dei dati personali, gli eventuali trasferimenti verso paesi terzi, eventuali misure di sicurezza applicate, etc.
Esiste in duplice versione, una per il Titolare e una per il Responsabile del Trattamento.

Responsabile del Trattamento

E' la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo cui il titolare affida, anche all'esterno, per la particolare esperienza o capacità, compiti di gestione e controllo del trattamento dei dati. La designazione del responsabile è facoltativa  

DPO - (Data Protection Officer) Responsabile per la Protezione dei Dati Personali

Il Data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
La nomina del DPO all’interno di un’azienda è obbligatoria al verificarsi delle seguenti condizioni:
– il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, escluse le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
– le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
– le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati particolari | sensibili) o di dati relativi a condanne penali e a reati.

Responsabilizzazione (Accountability)

La responsabilizzazione è la capacità di dimostrare la conformità al GDPR. Il Regolamento stabilisce esplicitamente che questa sia a carico dell’organizzazione. Per dimostrare la conformità è necessario implementare adeguate misure tecniche e organizzative. Gli strumenti di miglior pratica come le valutazioni dell’impatto, il registro dei trattamenti e la privacy by design sono ora legalmente richiesti in determinate circostanze.

Terzo

Un terzo è qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo diverso dall’oggetto interessato, dal controllore, dal processore e dalle persone che, sotto l’autorità diretta del controllore o del processore, è autorizzata a elaborare i dati.

Titolare del trattamento

La persona fisica, l'impresa, l'ente, l'associazione, ecc. cui fa capo effettivamente il trattamento di dati personali e cui spetta assumere le decisioni fondamentali sugli scopi e sulle modalità del trattamento medesimo (comprese le misure di sicurezza). Nei casi in cui il trattamento sia svolto da una società o da una pubblica amministrazione per titolare va intesa l'entità nel suo complesso e non l'individuo o l'organo che l'amministra o la rappresenta (presidente, amministratore delegato, sindaco, ministro, direttore generale, ecc.). I casi in cui il trattamento può essere imputabile ad un individuo riguardano semmai liberi professionisti o imprese individuali.

Trasferimento

Il trasferimento di dati personali a paesi al di fuori del SEE o a organizzazioni internazionali è soggetto a restrizioni. Come per la Direttiva sulla Protezione dei Dati, i dati non devono essere trasportati fisicamente per essere trasferiti. La semplice visualizzazione dei dati conservati in un’altra ubicazione costituirebbe un trasferimento per gli scopi del GDPR.

Trattamento

Un'operazione o un complesso di operazioni, compiute con o senza l’ausilio di processi automatizzati, che hanno per oggetto dati personali. La definizione del Codice è molto ampia, perché comprende la raccolta, la registrazione, l'organizzazione, la conservazione, la modificazione, la selezione, l'estrazione, l'utilizzo, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati. Ciascuna di tali operazioni è una forma di trattamento di dati.

Valutazione d’impatto

Il GDPR impone un nuovo obbligo ai controllori dei dati e ai processori di dati di condurre una Valutazione d’Impatto sulla Protezione dei Dati (nota anche come PIA – Privacy Impact Assessment) prima di intraprendere un trattamento che presenti un rischio specifico per i dati degli interessati in virtù della sua natura, del campo di applicazione o dello scopo.

Iscriviti alla newsletter 

  Dichiaro di aver letto l’informativa privacy e, consapevole del fatto che la manifestazione di consenso è obbligatoria per l’invio dei dati tramite il form e per l’accesso ai servizi, ai fini di dimostrazione e di prova, acconsento al trattamento dei dati personali da me inseriti nel form per le finalità ivi specificate.

Categorie News

Seguici su Facebook

Non perdere neanche una notizia: clicca su mi piace!

Galleria video

Tags

Informatore Informatico © Copyright 2016 - All Rights Reserved Privacy e Cookie Policy

Responsabile Redazione: Luigi Duraccio

Mi sostengono in questo progetto:
In.Ser.T. Srl. - In4mati Srl - Martinelli Srl - Pratical Group - Informatica95 SrlBieffe