Sul GDPR (Regolamento europeo sulla privacy) non è prevista la “notificazione al Garante” di alcuni trattamenti, prevista dalla precedente Direttiva 95/46/CE. In effetti, la notificazione risulta un concetto superato ed è sostituito con la Valutazione d’impatto sulla protezione dei dati o Data protection impact assessment (spesso anche indicata con i termini privacy impact assessment o… Leggi tutto »
Oggi la normativa italiana vigente prevede che le chiamate telefoniche per finalità di marketing diretto possano essere fatte ai numeri disponibili su elenchi pubblici (l’elenco del telefono, per intenderci), a meno che l’utente non eserciti il “diritto di opt-out”, iscrivendosi al Registro delle opposizioni (io l’ho fatto, ma ancora troppe volte ricevo telefonate indesiderate). Il… Leggi tutto »
Il Regolamento Europeo sulla privacy (Reg. UE 679/2016) richiede, all’articolo 35, che i titolari dei trattamenti redigano, preliminarmente, in alcuni casi particolari, una “Valutazione d’impatto sulla protezione dei dati” (Privacy impact assessment o, più brevemente, PIA), ossia un documento di valutazione del rischio relativo ad alcuni trattamenti. Rientrano nei casi soggetti all’obbligo di PIA, le… Leggi tutto »
Il principio della Privacy by Design introdotto dal Regolamento Europeo in materia di protezione dei dati personali, richiede alle aziende ed alla pubblica amministrazione un approccio alla protezione dei dati personali proattivo e non più reattivo, rendendo necessario prevedere modalità operative, configurazioni e misure di sicurezza in grado di salvaguardare la riservatezza, l’integrità e la disponibilità dei… Leggi tutto »
Fornire al cittadino un dato sanitario affidabile, sicuro e facilmente fruibile non può prescindere da una visione generale dei processi. Questi possono essere standardizzati e semplificati se le criticità sono individuate, valutate e rimosse. Nello svolgimento delle attività di governance della sicurezza informatica, le organizzazioni sanitarie possono avvalersi dell’approccio metodologico dell’Health Technology Assessment (HTA). L’HTA… Leggi tutto »
La protezione dei dati del cliente deve rientrare nelle logiche che ispirano i principi e le misure di Data Governance. In questo senso le misure di protezione dei dati personali dei clienti possono essere efficaci solo se assumono gli stessi connotati che orientano le misure di Data Governance aziendali. Una sana impostazione di regole di… Leggi tutto »
Lo scorso 10 gennaio la Commissione Europea ha presentato una proposta di Regolamento (il “Regolamento”) concernente il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche, destinato ad abrogare la Direttiva 2002/58/EC (“Direttiva ePrivacy”). Questa proposta di Regolamento aggiorna la normativa attualmente in vigore, favorendo una maggiore tutela della… Leggi tutto »
Il GDPR consente di commisurare le misure di sicurezza da adottare anche ai costi che comportano: l’art. 32, infatti, recita “Tenendo conto dello stato dell’arte e dei costi di attuazione ….”. Per la normativa italiana questo è un fatto fortemente innovativo. Il tener conto dei costi si colloca all’interno del principio generale dell’accountability del Titolare… Leggi tutto »
Il WP29 ha adottato il 23 Dicembre una Linea Guida allo scopo di meglio definire il ruolo del DPO nel GDPR. La Linea Guida sul DPO del WP29 al punto 3.5 stabilisce che: L’articolo 38(6) consente ai DPO di “svolgere altri compiti e funzioni.” ma che tali compiti e funzioni non diano adito a un… Leggi tutto »
Con il Regolamento n. 679/2016, viene introdotto un quadro normativo tutto incentrato sui doveri e la responsabilizzazione dei Titolari del trattamento (“accountability”), rovesciando la prospettiva della disciplina di riferimento in materia di protezione dei dati personali. La Direttiva 95/46/CE, infatti, era tutta incentrata sui diritti dell’interessato, mentre il testo del nuovo Regolamento si sviluppa essenzialmente… Leggi tutto »