News
18 maggio 2018
In prossimità del giorno in cui il Regolamento UE/2016/679 diverrà il testo normativo di riferimento in materia di privacy per tutti gli Stati dell’Ue, con la necessità che PP.AA. e aziende italiane adottino le prescrizioni ivi previste, il Garante sta implementando una procedura online per raccogliere la comunicazione del nominativo del Responsabile della protezione dei dati personali (RPD) prevista dal GDPR.
16 maggio 2018
Il Tribunale Amministrativo Regionale del Lazio (sentenza n. 3391/2018) ha accolto ricorso proposto da un’emittente televisiva italiana, avente ad oggetto l’annullamento di una delibera con cui l’Autorità Garante delle Comunicazioni (Agcom) l’aveva condannata al pagamento di una rilevante sanzione pecuniaria per la violazione del Codice di Autoregolamentazione TV e Minori nonché del d.lgs n. 177/2005, art. 34, comma 3 (“Testo unico dei servizi di media audiovisivi e radiofonici”).
14 maggio 2018
La registrazione di conversazioni svolte tra colleghi durante l’orario lavorativo, senza il consenso degli stessi, non costituisce una violazione della normativa sulla privacy se strettamente finalizzata all’esercizio di un diritto difensivo in sede giudiziaria (art. 24, comma 1, lettera f) del Codice Privacy).
Formazione

Per conoscere veramente la privacy iscrivetevi ai nostri corsi!

Newsletter

Per essere sempre aggiornati in materia di privacy iscrivetevi alla nostra newsletter!

Dettaglio news
venerdì 11 maggio 2018

Nuovo Regolamento e individuazione e gestione del rischio

Alle porte della data in cui diverrà applicabile il Regolamento UE/2016/679, il Garante ha pubblicato sulla propria pagina youtube un video tutorial, accessibile anche dal sito istituzionale, dove con una serie di slide affronta il tema dell’individuazione e gestione del rischio in materia di Valutazione d’impatto sulla protezione dei dati.
Con un breve inciso vale rilevare come tale Valutazione di impatto rappresenti una delle principali innovazioni portate dall’introducenda normativa europea in materia di privacy, che si risolve in una procedura finalizzata alla descrizione del trattamento di dati a cui è riferita, in vista di valutarne necessità, proporzionalità e rischi.
Questo adempimento, che - tra l’altro - rappresenta una chiara espressione del principio di responsabilizzazione su cui fonda tutta la disciplina del nuovo Regolamento europeo, risulta obbligatorio per tutti quei trattamenti che comportino “un rischio elevato per i diritti e le libertà delle persone fisiche”.
Partendo da tale presupposto, il Garante, nel solco delle posizioni assunte dal Gruppo di lavoro Articolo 29, ha voluto rilevare come per “rischio” si debba intendere “uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità” per i diritti e le libertà.
Seguendo un siffatto inquadramento sistematico, la valutazione del rischio dovrà riguardare, da un lato, la sicurezza del trattamento, in riferimento agli aspetti della disponibilità, integrità e riservatezza, dall’altro, gli effetti complessivi del trattamento stesso, involgendo profili quali il danno per la reputazione, la discriminazione, il furto d’identità, le perdite finanziare, i danni fisici o psicologici, la perdita di controllo dei dati ovvero l’impossibilità di esercitare diritti, servizi o opportunità.
In questo contesto il Garante ha voluto indicare le principali misure che dovranno essere utilizzate per la gestione del rischio, espressamente individuandole nella qualità dei dati, nella cifratura, in una conservazione adeguata, nella minimizzazione e nella anonimizzazione dei dati stessi.
Sul punto rileva anche l’utilizzo di misure organizzative che muovano sul piano della governance, delle istruzioni impartite, della formazione, delle procedure, degli audit, degli strumenti di controllo per gli interessati e dei contatti messi a disposizione.
Sarà, altresì, necessaria l’implementazione di misure tecnologiche capaci di garantire la riservatezza dei dati, come policy di sicurezza logiche e fisiche, aggiornamenti di servizi e software, test, controllo accessi e tracciamento operazioni.