Agenzia Giuffrè Francis Lefebvre di Chieti e Pescara

Home - Risultati della ricerca - SCHEDA PRODOTTO

DATA PUBBLICAZIONE:
OTTOBRE 2018

€ 48.00

IL PROCESSO DI ADEGUAMENTO AL GDPR

AGGIORNATO AL D.LGS. 10 AGOSTO 2018, N. 101

CURATORI: GIUSEPPE CASSANO VINCENZO COLAROCCO

CONTRIBUTI: MICHELA BARBAROSSA ULRICO BARDARI CHIARA BENVENUTO EMANUELE CASADIO VALERIA CEROCCHI ANDREA D' AGOSTINO FERNANDA FAINI GIOVANNI BATTISTA GALLUS TOMMASO GROTTO MICHELE IASELLI ANNA MARIA LOTTO GIANLUIGI MARINO FRANCESCO MICOZZI MICHELA PINTUS

CASA EDITRICE: GIUFFRÈ FRANCIS LEFEBVRE S.P.A.

ANNO EDIZIONE: 2018

PAGINE: XX - 492

ISBN 9788828803430

CODICE GIUFFRÈ: 024202403

CATEGORIE: AVVOCATO -

MATERIA: PRIVACY

AREA DI INTERESSE: CIVILE E PROCESSO

Aggiungi alla wishlist

Il volume offre una lettura integrata della normativa europea (Reg. 2016/679/UE) e nazionale (D.lgs. 196/2003) in materia di protezione dei dati personali, a seguito del decreto legislativo di armonizzazione del 10 agosto 2018, n. 101. La trattazione approfondisce gli istituti peculiari del GDPR, in particolare: trattamenti, diritti degli interessati, gestione e organizzazione della figura del Data Protection Officer, registri dei trattamenti, valutazione d'impatto, sicurezza dei dati, gestione dei data breach, trattamento transfrontaliero dei dati personali, nonchÃ© la responsabilitÃ  civile, penale e amministrativa prevista dal Regolamento e dal D.lgs. n. 101/2018. Gli Autori propongono, inoltre, riflessioni sull'impatto del GDPR con riguardo a questioni di massima attualitÃ  quali, ad esempio, big data, internet of things, intelligenza artificiale, ricerca scientifica, robotica, marketing, profilazione e trattamento dei dati online. L'opera, corredata da giurisprudenza rilevante, interventi del Gruppo ex art. 29, check-list, schemi, tabelle e il nuovo Codice Privacy in appendice, rappresenta un valido supporto, pratico e immediato, per gli operatori del diritto e per tutte le figure coinvolte nell'applicazione del GDPR, siano esse soggetti pubblici o privati.

Prefazione di Antonello Soro - Presidente del Garante per la protezione dei dati personali . . . . . . . . . . . XIII
Gli Autori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XVII
CAPITOLO 1
LA NORMATIVA DI RIFERIMENTO
di Michele Iaselli
1. Il concetto di privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2. La normativa nazionale ed europea . . . . . . . . . . . . . . . . . . . . . 3
3. Il Regolamento Europeo e l'adeguamento nazionale . . . . . . . . . . 9
CAPITOLO 2
IL SISTEMA DI GESTIONE DELLA PRIVACY
di Andrea dâ€™Agostino
1. Introduzione e contesto normativo . . . . . . . . . . . . . . . . . . . . . 29
2. La gestione dei dati personali: da una normativa prescrittiva alla
responsabilizzazione delle imprese . . . . . . . . . . . . . . . . . . . . . 31
3. L'evoluzione del sistema di gestione della privacy . . . . . . . . . . . . 35
4. Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
CAPITOLO 3
I SOGGETTI PRIVACY
di Gianluigi Marino
1. I soggetti previsti dal GDPR . . . . . . . . . . . . . . . . . . . . . . . . . 41
2. Il Titolare del trattamento . . . . . . . . . . . . . . . . . . . . . . . . . . 42
3. I Contitolari . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4. Il Responsabile del trattamento (e i sub-responsabili) . . . . . . . . . . 48
5. Rappresentanti di titolare e responsabile non stabiliti nell'Unione . . 54
6. Data Protection Officer (rinvio) . . . . . . . . . . . . . . . . . . . . . . . 56
7. Interessato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CAPITOLO 4
I DIRITTI DEGLI INTERESSATI
di Gianluigi Marino
1. Premessa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
2. Tempi, modalitÃ  e costi dell'esercizio dei diritti da parte dell'interessato . . . . . . . . . . . 60
3. Le limitazioni dei diritti previste dal GDPR e dal diritto italiano I diritti riguardanti le persone decedute . . . . . . 62
4. Il diritto ad essere informati . . . . . . . . . . . . . . . . . . . . . . . . . 64
5. Il diritto di accesso dell'interessato . . . . . . . . . . . . . . . . . . . . . 71
6. Il diritto di rettifica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
7. Il diritto alla cancellazione . . . . . . . . . . . . . . . . . . . . . . . . . . 75
8. Il diritto di limitazione del trattamento . . . . . . . . . . . . . . . . . . . 80
9. Il diritto alla portabilitÃ  dei dati . . . . . . . . . . . . . . . . . . . . . . . 81
10. Il diritto di opposizione . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
11. Il diritto di non essere sottoposto a una decisione basata unicamente
sul trattamento automatizzato, compresa la profilazione . . . . . . . . 88
12. Sanzioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
CAPITOLO 5
IL CONSENSO COME CONDIZIONE DI LICEITÃ€
di Lucio Scudiero
1. Il consenso dell'interessato nel piÃ¹ generale tema della liceitÃ  del
trattamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91
2. I requisiti del consenso nel GDPR . . . . . . . . . . . . . . . . . . . . . 92
3. Analisi comparata GDPR - Ordinamento Italiano: il consenso libero . 95
4. (Segue): il consenso specifico . . . . . . . . . . . . . . . . . . . . . . . . . 98
5. (Segue): il consenso informato . . . . . . . . . . . . . . . . . . . . . . . . 101
6. (Segue): il consenso inequivocabile . . . . . . . . . . . . . . . . . . . . . 104
7. (Segue): il consenso esplicito . . . . . . . . . . . . . . . . . . . . . . . . . 105
8. (Segue): il consenso dimostrabile . . . . . . . . . . . . . . . . . . . . . . 106
9. (Segue): il consenso revocabile . . . . . . . . . . . . . . . . . . . . . . . . 108
10. Il consenso dei minori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
11. Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
CAPITOLO 6
IL REGISTRO DEI TRATTAMENTI
di Roberta Quintavalle
1. La normativa di riferimento . . . . . . . . . . . . . . . . . . . . . . . . . 119
2. Cosa deve fare il titolare . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
3. Cosa deve fare il responsabile . . . . . . . . . . . . . . . . . . . . . . . . 121
4. Chi ha l'obbligo di tenuta del registro delle attivitÃ  di trattamento . . 122
5. L'impatto in azienda e le funzioni coinvolte . . . . . . . . . . . . . . . 124
6. Come predisporre il Registro . . . . . . . . . . . . . . . . . . . . . . . . . 124
7. La check list per il Registro . . . . . . . . . . . . . . . . . . . . . . . . . . 126
8. Come gestire il Registro . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
CAPITOLO 7
LA PROFILAZIONE
di Iacopo Destri e Anna Maria Lotto
1. Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
2. Definizione e quadro normativo . . . . . . . . . . . . . . . . . . . . . . . 132
3. Disciplina sulla profilazione . . . . . . . . . . . . . . . . . . . . . . . . . . 134
3.1. Previsioni generali applicabili in materia di profilazione e di
processi decisionali automatizzati . . . . . . . . . . . . . . . . . . 135
3.2. Processi decisionali esclusivamente automatizzati, compresa la
profilazione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
3.3. Valutazione di impatto e responsabile della protezione dei dati . 144
3.4. Profilazione e minori . . . . . . . . . . . . . . . . . . . . . . . . . . 145
3.5. Profilazione avente ad oggetto dati raccolti on-line e disciplina
di dettaglio applicabile . . . . . . . . . . . . . . . . . . . . . . . . . 146
4. Riflessioni conclusive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
CAPITOLO 8
SICUREZZA DEI DATI E VALUTAZIONE DEI RISCHI
di Ulrico Bardari
1. Introduzione: dalla Privacy alla Sicurezza . . . . . . . . . . . . . . . . . 155
2. Sicurezza dei dati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
2.1. Valore delle informazioni e dei dati . . . . . . . . . . . . . . . . 156
2.2. Sicurezza e minacce dei dati . . . . . . . . . . . . . . . . . . . . . 157
2.3. Misure di sicurezza . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
2.4. La protezione dalla progettazione . . . . . . . . . . . . . . . . . . 160
2.5. Messa in sicurezza e salvataggio dei dati . . . . . . . . . . . . . . 161
2.6. Cancellazione e distruzione sicura . . . . . . . . . . . . . . . . . . 162
3. Valutazione dei rischi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
3.1. Violazioni dei dati e valutazione d'impatto . . . . . . . . . . . . 164
3.2. Analisi dei rischi . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
3.3. I principi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
3.4. I rischi nel cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
3.5. Politiche aziendali per la gestione di rischi e minacce . . . . . . 168
3.6. Gestione dell'innovazione . . . . . . . . . . . . . . . . . . . . . . 171
4. Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
CAPITOLO 9
IL DATA PROTECTION OFFICER
di Giovanni Battista Gallus e Michela Pintus
1. Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
2. Il DPO nel GDPR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
2.1. L'obbligatorietÃ  della nomina: enti e organismi pubblici . . . . 177
2.2. L'obbligatorietÃ  della nomina: enti privati . . . . . . . . . . . . . 180
2.3. La nomina facoltativa . . . . . . . . . . . . . . . . . . . . . . . . . 183
2.4. La nomina del DPO . . . . . . . . . . . . . . . . . . . . . . . . . . 184
2.5. La nomina del DPO nel settore pubblico . . . . . . . . . . . . . 185
2.6. La nomina del DPO nel settore privato . . . . . . . . . . . . . . 188
2.7. La competenza specialistica e la capacitÃ  di assolvere i compiti
come cardine nell'individuazione del DPO . . . . . . . . . . . . 189
2.8. La posizione del DPO nelle organizzazioni pubbliche e private . 191
2.9. La pubblicitÃ  dei dati di contatto del DPO e le sue interazioni
con gli interessati . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
2.10. Compiti e responsabilitÃ  del DPO . . . . . . . . . . . . . . . . . 193
CAPITOLO 10
DATA PROTECTION IMPACT ASSESSMENT
di Giovanni Battista Gallus e Michela Pintus
1. Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
2. Definizione e presupposti . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
3. Le ipotesi specifiche individuate dal GDPR . . . . . . . . . . . . . . . . 203
4. Il procedimento di valutazione di impatto e la sua documentazione . 205
5. La consultazione preventiva . . . . . . . . . . . . . . . . . . . . . . . . . 209
6. La disciplina transitoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
CAPITOLO 11
LA NOTIFICAZIONE E LA COMUNICAZIONE DI
UNA VIOLAZIONE DEI DATI PERSONALI (â€œDATA BREACHâ€)
di Giovanni Battista Gallus
1. Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
2. La definizione di â€œviolazione dei dati personaliâ€ . . . . . . . . . . . . . 216
3. La notificazione al Garante . . . . . . . . . . . . . . . . . . . . . . . . . . 218
3.1. Il termine per la notificazione . . . . . . . . . . . . . . . . . . . . 219
3.2. Il ruolo del data processor . . . . . . . . . . . . . . . . . . . . . . . 220
3.3. ModalitÃ  della notificazione . . . . . . . . . . . . . . . . . . . . . 222
4. La comunicazione agli interessati . . . . . . . . . . . . . . . . . . . . . . 224
4.1. Il contenuto e le modalitÃ  della comunicazione agli interessati . 225
4.2. Le ipotesi di esclusione dell'obbligo di comunicazione agli interessati . . . 227
5. La formalizzazione e documentazione delle attivitÃ  inerenti i data breach . . . . . . 229
6. Il ruolo del DPO nella gestione dei data breach. . . . . . . . . . . . . . 231
7. I rapporti con altre tipologie di data breach . . . . . . . . . . . . . . . . 231
CAPITOLO 12
IL TRASFERIMENTO DI DATI VERSO PAESI TERZI O
ORGANIZZAZIONI INTERNAZIONALI
di Vincenzo Colarocco
1. La normativa di riferimento . . . . . . . . . . . . . . . . . . . . . . . . . 235
2. Il Garante per la protezione dei dati personali, il Gruppo di lavoro ex
Articolo 29 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
3. Trasferimento di dati all'estero: l'esperienza del Codice Privacy . . . 239
4. Regolamento e trasferimento dei dati all'estero . . . . . . . . . . . . . 241
5. La decisione di adeguatezza . . . . . . . . . . . . . . . . . . . . . . . . . 243
5.1. Elenco Paesi autorizzati . . . . . . . . . . . . . . . . . . . . . . . . 244
5.2. Trasferimento dati in USA: dal Safe Harbor al Privacy Shield . 245
6. Trasferimento soggetto a garanzie adeguate . . . . . . . . . . . . . . . . 247
6.1. Norme vincolanti d'impresa . . . . . . . . . . . . . . . . . . . . . 248
6.2. Clausole Contrattuali Standardizzate . . . . . . . . . . . . . . . . 253
7. Trasferimenti vietati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
8. Deroghe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
9. In conclusione, cosa cambia in sintesi . . . . . . . . . . . . . . . . . . . 257
CAPITOLO 13
BIG DATA E INTERNET OF THINGS:
DATA PROTECTION E DATA GOVERNANCE ALLA LUCE DEL REGOLAMENTO EUROPEO
di Fernanda Faini
1. Big data e Internet of Things . . . . . . . . . . . . . . . . . . . . . . . . . 259
2. Il diritto incontra i â€œgrandi datiâ€: profili giuridici e implicazioni sociali . . . . . . 263
3. La data protection nei big data e nell'Internet of Things . . . . . . . . . 267
3.1. Principi e strumenti del regolamento (UE) 2016/679 da impiegare
e valorizzare nell'era degli algoritmi . . . . . . . . . . . . . 269
3.2. Aspetti problematici . . . . . . . . . . . . . . . . . . . . . . . . . . 272
4. Possibili soluzioni e suggestioni future . . . . . . . . . . . . . . . . . . . 275
CAPITOLO 14
INTELLIGENZA ARTIFICIALE E ROBOTICA
di Michele Iaselli
1. Cos'Ã¨ la robotica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
2. Le applicazioni della robotica . . . . . . . . . . . . . . . . . . . . . . . . 283
3. Il problema della regolamentazione giuridica . . . . . . . . . . . . . . . 287
3.1. Etica e responsabilitÃ  . . . . . . . . . . . . . . . . . . . . . . . . . 289
3.2. Privacy e sicurezza . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
4. L'intelligenza artificiale . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
5. I droni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310
6. Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
CAPITOLO 15
TRATTAMENTO DI DATI PERSONALI PER SCOPI DI RICERCA SCIENTIFICA
di di Stefania Stefanelli
1. Dati identificativi diretti ed indiretti . . . . . . . . . . . . . . . . . . . . 319
2. Condizioni di liceitÃ  del trattamento a fini di ricerca scientifica . . . . 322
3. Principio di limitazione delle finalitÃ  . . . . . . . . . . . . . . . . . . . . 325
4. Espressione del consenso alla sperimentazione ed al trattamento dei
dati . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
5. Diritto all'autodeterminazione e partecipazione di minori e incapaci
alla ricerca . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329
6. Trattamento dei dati personali in assenza di consenso . . . . . . . . . 332
7. Durata del trattamento e trattamento ulteriore . . . . . . . . . . . . . . 337
8. Comunicazione e diritti degli interessati: efficacia generale delle regole
deontologiche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340
CAPITOLO 16
LA CERTIFICAZIONE DEI CONSENSI RACCOLTI ONLINE
di Tommaso Grotto e Emanuele Casadio
1. I dati come asset strategico alla luce dei big data e del GDPR . . . . 343
2. Il ciclo di vita dei consensi . . . . . . . . . . . . . . . . . . . . . . . . . . 344
3. La verificabilitÃ  dei consensi . . . . . . . . . . . . . . . . . . . . . . . . . 344
4. Il regime sanzionatorio . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
5. Il ciclo di vita dei dati personali analogici e digitali . . . . . . . . . . . 345
6. Il valore probatorio delle firme elettroniche semplici, avanzate e qualificate
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
7. L'acquisizione di un dato informatico secondo lo standard ISO/IEC
27037:2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
8. L'acquisizione forense e la gestione dei consensi . . . . . . . . . . . . . 353
9. Il valore probatorio dei consensi acquisiti secondo lo standard ISO/
IEC 27037:2012 e i precedenti giurisprudenziali a supporto . . . . . . 356
10. I vantaggi collegati alla certificazione dei consensi . . . . . . . . . . . . 357
CAPITOLO 17
LA RESPONSABILITÃ€ CIVILE E DANNO DA TRATTAMENTO ILLECITO
DEI DATI ALLA LUCE DEL REGOLAMENTO UE 2016/679
di Michela Barbarossa, Chiara Benvenuto e Valeria Cerocchi
1. Il diritto al risarcimento del danno da trattamento illecito di dati
personali: evoluzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
2. L'art. 82 del GDPR: le scelte del legislatore europeo . . . . . . . . . . 360
2.1. Il danno risarcibile . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
2.2. I soggetti responsabili: la responsabilitÃ  solidale . . . . . . . . . 365
2.3. La prova liberatoria alla luce del principio di accountability . . 370
2.4. Il decreto legislativo attuativo . . . . . . . . . . . . . . . . . . . . 372
3. La tutela giurisdizionale ed il ruolo dell'autoritÃ  di controllo: la questione
della competenza territoriale . . . . . . . . . . . . . . . . . . . . . 373
4. L'orientamento francese . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
5. L'ipotesi di trattamento illecito alla luce delle novitÃ  introdotte dal
Regolamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
6. Conclusioni . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381
CAPITOLO 18
SANZIONI E RESPONSABILITÃ€ AMMINISTRATIVE E PENALI
di Francesco Paolo Micozzi
1. Introduzione . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
2. Le misure di cui all'art. 58 rilevanti in ambito sanzionatorio . . . . 386
3. Le sanzioni amministrative . . . . . . . . . . . . . . . . . . . . . . . . . . 389
4. Le ipotesi di sanzioni amministrative pecuniarie previste dal GDPR . 390
4.1. Le sanzioni amministrative pecuniarie del quarto comma dell'art. 83 del GDPR . . . . . 392
4.2. Le sanzioni amministrative pecuniarie del quinto comma dell'art. 83 del GDPR . . . 397
5. Elementi per la individuazione e quantificazione della sanzione amministrativa
pecuniaria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
6. Criteri applicativi e procedimento sanzionatorio e correttivo secondo il
decreto legislativo di armonizzazione . . . . . . . . . . . . . . . . . . . . 402
7. Le altre sanzioni amministrative o penali . . . . . . . . . . . . . . . . . 411
8. Il trattamento illecito di dati (art. 167) . . . . . . . . . . . . . . . . . . . 413
9. Comunicazione e diffusione illecita di dati personali oggetto di trattamento
su larga scala ( art. 167-bis). . . . . . . . . . . . . . . . . . . . . . 416
10. Acquisizione fraudolenta di dati personali oggetto di trattamento su
larga scala (art. 167-ter) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
11. FalsitÃ  nelle dichiarazioni al Garante e interruzione dell'esecuzione dei
compiti o dell'esercizio dei poteri del Garante (art. 168) . . . . . . . . 419
12. Inosservanza di provvedimenti del Garante (art. 170) . . . . . . . . . . 420
13. Violazioni delle disposizioni in materia di controlli a distanza e indagini
sulle opinioni dei lavoratori (art. 171) . . . . . . . . . . . . . . . . . 420
14. Questioni ulteriori . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421
15. Le norme penali incriminatrici del d.lgs. 51/2018. . . . . . . . . . . . . 422
16. Ne bis in idem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
17. Disposizioni transitorie e finali . . . . . . . . . . . . . . . . . . . . . . . . 425
APPENDICE
IL PROCESSO DI ADEGUAMENTO AL GDPR
D.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati
personali) aggiornato al d.lgs. 10 agosto 2018, n. 101 . . . . . . . . . . . . . . 431