sistema privacy relazione con norme iso 9000

L'approccio con cui viene realizzato un Sistema Privacy e' mutuato dal sistema di gestione della qualita' basato sulle norme della famiglia ISO 9000 con un indirizzo orientato verso il miglioramento ed alla integrazione con altri sistemi di gestione come per esempio la UNI EN ISO 27001:2014 relativo ai sistemi di gestione della sicurezza delle informazioni.Non esistono oggi norme certificabili che descrivono i requisiti di un sistema per la gestione e protezione dei dati (della privacy); le soluzioni per la sua implementazione possono essere mutuate principalmente dalle seguenti norme certificabili di riferimento:ISO 27001:2014 - Sistemi di gestione della sicurezza delle informazioni - Requisiti;ISO 9001:2015 - Sistemi di Gestione della Qualita' - Requisiti.Solo per citare un esempio, in un sistema statico, dopo la prima designazione di uno o pio' dipendenti come incaricato al trattamento dei dati non c'e' garanzia sulla designazione di un nuovo dipendente/collaboratore.Mediante invece una gestione dinamica di un sistema di gestione possono essere definite delle procedure integrate con il sistema di gestione del personale che definiscono le azioni da effettuare in caso di assunzione di un nuovo dipendente, cambio mansione, assenze, introduzione di nuove banche dati.Tali procedure impone, a chi perfeziona le assunzioni, la configurazione e la designazione come incaricato al trattamento nonche' i privilegi per la gestione dei dati.In sintesi le finalita' di un Sistema Privacy sono quelle di:garantire la conformita' alle norme vigenti in materia (Codice Privacy, Provvedimento del Garante, Regolamento Europe);stabilire le procedure da seguire per proteggere i dati;come risultato derivato dalla compliance, proteggere i dati aziendali, l'immagine e la reputazione aziendale. https://www.ipertop.it/sistema-privacy-relazione-con-norme-iso-9000-4294003619.htm?utm_medium=tumblr

il garante dà pieno avvio alle attività di controllo. sanzioni aumentate del 162% rispetto alla prima metà del 2017

In data 26 luglio 2018 l'Autorita' Garante per la protezione dei dati personali ha approvato il piano ispettivo per il secondo semestre del 2018, relativo al periodo luglio/dicembre. Si tratta del primo piano avviato a seguito dell'entrata in vigore del Regolamento Europeo 679/2016. Le ispezioni verranno svolte dall'Autorita' Garante di concerto con il Nucleo speciale tutela privacy e frodi telematiche della Guardia di Finanza. Gli accertamenti riguarderanno i trattamenti di dati effettuati da aziende e enti pubblici che gestiscono banche dati di notevoli dimensioni, con particolare riguardo alle misure di protezione adottate dagli istituti di credito, i trattamenti di dati per attivita' di telemarketing e attivita' affini.Particolare attenzione verra' prestata nei confronti di soggetti, pubblici o privati, sul rispetto dell'obbligo di informativa e sul periodo di conservazione dei dati. Saranno oggetto di controllo i profili sostanziali e i presupposti di liceita' del trattamento, tra cui la prestazione di un valido consenso qualora il trattamento sia basato su tale presupposto. Le verifiche delle autorita' verteranno anche sull'adozione di adeguate misure di sicurezza nonche' sul rispetto degli obblighi in tema di tenuta del registro dei trattamenti, di valutazione d'impatto e di designazione del Responsabile della protezione dei dati.L'attivita' ispettiva prendera' avvio anche a partire dalle segnalazioni, notizie di data breach o reclami presentati dai cittadini.Il Garante ha anche reso noto il bilancio dell'attivita' di accertamento svolta nel primo semestre 2018, da cui emerge un incremento delle sanzioni riscosse per somme pari a oltre 4 milioni e 500 mila euro, con un aumento del 162% rispetto al corrispondente semestre del 2017.Sono incrementate anche le sanzioni contestate salite del 118% rispetto al primo semestre 2017.Per ulteriori informazioni:https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9025338 https://www.ipertop.it/il-garante-da-pieno-avvio-alle-attivita-di-controllo-sanzioni-aumentate-del-162-rispetto-alla-prima-meta-del-2017-4293990633.htm?utm_medium=tumblr

diritto alla portabilità

Il GDPR garantisce ad ogni persona, i c.d. interessati, il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati personali che lo riguardano, forniti a un titolare del trattamento, al fine di trasmettere questi ad un altro titolare del trattamento. Ai sensi dell'articolo 20, paragrafo 1, lettera a) del GDPR, il diritto alla portabilita' dei dati presuppone che il trattamento si basi:sul consenso dell'interessato (nei termini di cui all'articolo 6, paragrafo 1, lettera a), ovvero all'articolo 9, paragrafo 2, lettera a) in caso di dati sensibili); oppuresu un contratto di cui e' parte l'interessato, nei termini di cui all'articolo 6, paragrafo 1, lettera b).Il regolamento non prevede un diritto generale alla portabilita' dei dati il cui trattamento non si fondi sul consenso o su un contratto.Per esempio, non sussiste alcun obbligo per gli istituti finanziari di ottemperare a una richiesta di portabilita' relativa a dati personali che sono oggetto di trattamento nell'ambito degli obblighi di prevenzione e accertamento del reato di riciclaggio o di altri reati finanziari; allo stesso modo, il diritto alla portabilita' non si applica alle informazioni di contatto di natura professionale che siano trattate nel contesto di relazioni d'impresa, se tale trattamento non si fonda sul consenso dell'interessato o su un contratto di cui quest'ultimo sia parte.Infine, il diritto alla portabilita' dei dati sussiste esclusivamente se il trattamento e' 'effettuato con mezzi automatizzati' e non si applica, conseguentemente, alla maggioranza degli archivi o dei registri cartacei.Qualsiasi richiesta di portabilita' puo' applicarsi solo a dati personali. Cio' significa che un dato anonimo ovvero non concernente l'interessato non ricade nell'ambito di applicazione del diritto in questione. Tuttavia, un dato pseudonimo chiaramente riconducibile all'interessato (per esempio, se l'interessato stesso fornisce il rispettivo elemento di identificazione v. articolo 11, paragrafo 2) e' senza dubbio soggetto all'esercizio del diritto alla portabilita'.In molti casi i titolari trattano informazioni contenenti dati personali relativi a una pluralita' di interessati; non e' possibile, pertanto, dare un'interpretazione eccessivamente restrittiva dell'espressione 'dati personali che riguardano l'interessato'. Per esempio, i tabulati telefonici riferiti a un abbonato, la messaggistica interpersonale o i dati VoIP comprendono talora informazioni su terzi in rapporto alle chiamate in entrata e in uscita. Anche se si tratta di tabulati contenenti dati personali relativi a una pluralita' di individui, l'abbonato deve avere la possibilita' di ottenere tali informazioni a seguito di una richiesta di portabilita' visto che i tabulati contengono (anche) dati relativi all'interessato. Se pero' questi stessi tabulati sono poi trasmessi a un diverso titolare del trattamento, quest'ultimo non dovra' elaborarli per finalita' lesive dei diritti e delle liberta' dei terzi in questione - si veda la terza condizione.L'ambito della portabilita' e' relativo esclusivamente ai dati 'forniti da' un interessato.Si possono citare numerosi esempi di dati personali che sono 'forniti' consapevolmente e attivamente da un interessato, come le informazioni inserite in un modulo di registrazione online (indirizzo postale, nome utente, eta', ecc.). Nell'insieme dei dati 'forniti da' un interessato rientrano anche quelli derivanti dalla rilevazione delle informazioni prodotte a seguito dell'utilizzo di un prodotto/servizio e/o in esecuzione di un contratto. Pertanto, il WP 29, (WP 242 - Linee guida sul diritto alla portabilita' dei dati), ritiene che, per dare pieno riconoscimento alla portata di questo nuovo diritto, la nozione di dati 'forniti da' un interessato debba riferirsi anche ai dati personali osservati sulla base delle attivita' svolte dagli utenti, come per esempio i movimenti generati durante l'impiego di un CC bancario oppure tutti gli acquisti registrati.Non appartengono a quest'ultima categoria i dati generati dal Titolare o Responsabile del Trattamento (utilizzando come input i dati osservati o forniti direttamente), per esempio il profilo-utente creato a partire dall'analisi dei dati grezzi generati da un contatore intelligente. https://www.ipertop.it/diritto-alla-portabilita-4293999811.htm?utm_medium=tumblr

sistema privacy vs. norme privacy

Per capire meglio i concetti successivamente descritti indichiamo:'Norme Privacy' l'insieme costituito dal D. Lgs 196/2003 detto codice privacy, dai provvedimenti generali e linee guida emanati dal Garante, dal Regolamento Europeo 2016/679;'Sistema di Gestione della Privacy' (sistema di gestione per la protezione dei dati) il sistema di documenti, regole, attivita' di formazione e strumenti di controllo integrato tale da consentire l'aggiornamento assecondando l'evoluzione delle norme e dell'organizzazione garantendo il miglioramento e l'efficacia dei processi.Le Norme Privacy funzionano con regole incardinate all'interno del sistema di gestione della privacy; quest'ultimo ha lo scopo di garantire una migliore e continuativa applicazione delle norme all'interno dell'organizzazione.Le Norme Privacy condividono con il Sistema di Gestione il fine di trattare i dati, conferiti all'azienda da persone fisiche o giuridiche, in modo sicuro e lecito.Le Norme Privacy hanno portata generale ad eccezione di alcuni provvedimenti del Garante che possono essere specifici per un determinato ambito.Il Sistema Privacy e', al contrario, specifico e progettato per una singola organizzazione; se non viene configurato un sistema dinamico il modello rischia di divenire in poco tempo avulso ed obsoleto.Un sistema di gestione efficiente ed efficace fornisce tutti gli strumenti affinche' l'aggiornamento avvenga in modo costante e fluido quando necessario.Il Sistema Privacy non deve essere un elemento avulso dall'organizzazione aziendale ma armonizzato con il sistema di gestione interno. https://www.ipertop.it/sistema-privacy-vs-norme-privacy-4294003677.htm?utm_medium=tumblr

sistema privacy relazione con norme iso 9000

L'approccio con cui viene realizzato un Sistema Privacy e' mutuato dal sistema di gestione della qualita' basato sulle norme della famiglia ISO 9000 con un indirizzo orientato verso il miglioramento ed alla integrazione con altri sistemi di gestione come per esempio la UNI EN ISO 27001:2014 relativo ai sistemi di gestione della sicurezza delle informazioni.Non esistono oggi norme certificabili che descrivono i requisiti di un sistema per la gestione e protezione dei dati (della privacy); le soluzioni per la sua implementazione possono essere mutuate principalmente dalle seguenti norme certificabili di riferimento:ISO 27001:2014 - Sistemi di gestione della sicurezza delle informazioni - Requisiti;ISO 9001:2015 - Sistemi di Gestione della Qualita' - Requisiti.Solo per citare un esempio, in un sistema statico, dopo la prima designazione di uno o pio' dipendenti come incaricato al trattamento dei dati non c'e' garanzia sulla designazione di un nuovo dipendente/collaboratore.Mediante invece una gestione dinamica di un sistema di gestione possono essere definite delle procedure integrate con il sistema di gestione del personale che definiscono le azioni da effettuare in caso di assunzione di un nuovo dipendente, cambio mansione, assenze, introduzione di nuove banche dati.Tali procedure impone, a chi perfeziona le assunzioni, la configurazione e la designazione come incaricato al trattamento nonche' i privilegi per la gestione dei dati.In sintesi le finalita' di un Sistema Privacy sono quelle di:garantire la conformita' alle norme vigenti in materia (Codice Privacy, Provvedimento del Garante, Regolamento Europe);stabilire le procedure da seguire per proteggere i dati;come risultato derivato dalla compliance, proteggere i dati aziendali, l'immagine e la reputazione aziendale. https://www.ipertop.it/sistema-privacy-relazione-con-norme-iso-9000-4294003619.htm?utm_medium=tumblr

cenni audit per il sistema privacy

Al fine di verificare l'applicazione ed efficacia di un Sistema di gestione uno degli strumenti ritenuti pio' efficienti e' quello dell'audit di cui l'ISO ha aggiornato le linee guida 19011:2012.Trattandosi di linee guida l'applicazione non e' vincolante ma consigliata e la sua flessibilita' consente l'applicazione all'Auditing del Sistema di Gestione della Privacy.Un Audit di conformita' al Codice o al Sistema Privacy non e' solo fattibile ma auspicabile per tutte le organizzazioni pubbliche o private che hanno una significativa esposizione riguardo alla protezione dei dati personali.I risultati permettono di avviare correzioni ed azioni di miglioramento che riducono l'esposizione ai rischi connessi.L'obiettivo dell'Audit non e' mera esecuzione dell'adempimento formale ma piuttosto quello di trovare le migliori soluzioni che possono automatizzare i processi nell'ottica di un costante e continuo miglioramento. Eseguire o subire un Audit richiede impegno e concentrazione; il lavoro in questa direzione puo' dare grandi soddisfazioni. https://www.ipertop.it/cenni-audit-per-il-sistema-privacy-4294003597.htm?utm_medium=tumblr

come fare pubblicità su facebook: scarica pdf funzionamento social funnel ipertop

Come fare pubblicita' su Facebook?Ottenere nuovi contatti da Facebook non e' semplicissimo.Il Social Funnel di IperTop aiuta le aziende nella promozione dei propri prodotti e servizi su Facebook, nell'acquisizione di nuovi contatti, e gestione, con un CRM, dei clienti acquisiti. https://www.ipertop.it/come-fare-pubblicita-su-facebook-scarica-pdf-funzionamento-social-funnel-ipertop-4294003595.htm?utm_medium=tumblr

trattamento dei dati

Per Trattamento dei Dati ai sensi del decreto legislativo n. 196/2003 'Codice Privacy", si intende: 'qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati' (articolo 4, comma 1, lettera a) del Codice).E' soggetto alle norme disciplinate dal 'Codice Privacy', chiunque abbia effettuato il trattamento di dati personali, anche detenuti all'estero, ed e' stabilito nel territorio dello Stato, o in un luogo comunque soggetto alla sovranita' dello Stato, (articolo 5, comma 1 del Codice).Il 'Codice Privacy', si applica a tutti i trattamenti di dati ad eccezione di quelli effettuati da persone fisiche per fini personali e dei trattamenti disciplinati dalla Parte II del D.L.vo 30 giugno 2003 (magistratura, forze dell'ordine).Il trattamento dei dati deve avvenire secondo criteri ben precisi:I dati personali oggetto di trattamento sono (articolo 11, comma 1):trattati in modo lecito e secondo correttezza; raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; esatti e, se necessario, aggiornati, pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati; conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.Un trattamento non conforme alla legge puo' comportare:responsabilita' penali (a titolo esemplificativo e non esaustivo):Salvo che il fatto costituisca pio' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, e' punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi (art. 167, comma 1);Salvo che il fatto costituisca pio' grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, e' punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni (articolo 167, comma 2);Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 e' punito con l'arresto sino a due anni (articolo 169, comma 1).sanzioni amministrative;responsabilita' civile (art. 15 D.L.Lgs. 196/2003);Chiunque cagiona danno ad altri per effetto del trattamento di dati personali e' tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile;Il danno non patrimoniale e' risarcibile anche in caso di violazione dell'articolo 11. https://www.ipertop.it/trattamento-dei-dati-4294003565.htm?utm_medium=tumblr

dati e figure chiave del codice privacy

I tipi di dati a cui si riferisce il 'codice privacy' sono:'dato personale': qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale (articolo 4, comma 1, lettera b) del Codice);Dati personali sono, a titolo esemplificativo e non esaustivo, un indirizzo email, l'immagine fotografica di una persona, il codice fiscale, l'indirizzo di residenza, un numero telefonico, un indirizzo informatico IP, una targa automobilistica. Non sono pio' considerati come dati personali, e quindi, almeno in linea generale, non sono pio' tutelati dalla normativa sulla privacy, i dati riferibili alle persone giuridiche, ovvero a imprese, enti e associazioni.'dati identificativi': i dati personali che permettono l'identificazione diretta dell'interessato (articolo 4, comma 1, lettera c) del Codice);'dati sensibili': i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale' (articolo 4, comma 1, lettera d) del Codice);'dati giudiziari': i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale (articolo 4, comma 1, lettera e) del Codice);'dati comuni': tutti quei dati non compresi nelle categorie dei dati sensibili e giudiziari;'dati anonimi': il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile (articolo 4, comma 1, lettera n) del Codice).Sono tutte informazioni delicate che possono incidere sulla riservatezza e la dignita' dell'individuo.Le figure chiave del trattamento dei dati ai fini privacy sono:il 'titolare del trattamento' e' quel soggetto cui, in maniera del tutto autonoma, e' attribuito il potere di decidere in merito alle modalita' del trattamento. Per 'titolare' va intesa l'entita' nel suo complesso e non gia' le persone fisiche che operano nella relativa struttura e che concorrono in concreto ad esprimerne la volonta' o che sono legittimate a manifestarla all'esterno;il 'responsabile del trattamento', sia esso persona fisica o giuridica e' il delegato del titolare per lo svolgimento delle attivita' a quest'ultimo riconosciute e concesse;gli 'incaricati del trattamento' sono le persone fisiche autorizzate a compiere le operazioni di trattamento dal titolare o dal responsabile;l' 'interessato' e' la persona fisica cui si riferiscono i dati personali;gli 'amministratori di sistema', gli 'amministratori delle basi dati'. https://www.ipertop.it/dati-e-figure-chiave-del-codice-privacy-4294003536.htm?utm_medium=tumblr

regolamento europeo 2016/679, cenni e definizioni

Dopo un iter legislativo durato quattro anni il 25 maggio 2018 diventera' definitivamente applicabile il nuovo Regolamento dell'Unione Europea n. 2016/679 sulla protezione dei dati che in Italia occupera' il posto del Codice della Privacy (D.Lgs. n. 196/2003).Con l'evoluzione del mercato digitale e il mutamento degli scenari internazionali che ha comportato il consolidamento di innovazioni come per esempio i Big Data, Internet of Thinsgs, era necessario realizzare un unico quadro normativo come il regolamento di immediata applicazione agli stati membri della UE.Di questo citiamo alcuni articoli:Art. 24: Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalita' del trattamento, nonche' dei rischi aventi probabilita' e gravita' diverse per i diritti e le liberta' delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento e' effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario;Art. 25: Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita;Art. 28: I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalita' del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui e' soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;adotti tutte le misure richieste ai sensi dell'articolo 32;rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento.Art. 32: Tenendo conto dello stato dell'arte e dei costi di attuazione, nonche' della natura, dell'oggetto, del contesto e delle finalita' del trattamento, come anche del rischio di varia probabilita' e gravita' per i diritti e le liberta' delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:la pseudonimizzazione e la cifratura dei dati personali;la capacita' di assicurare su base permanente la riservatezza, l'integrita', la disponibilita' e la resilienza dei sistemi e dei servizi di trattamento;la capacita' di ripristinare tempestivamente la disponibilita' e l'accesso dei dati personali in caso di incidente fisico o tecnico;una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui cio' sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III; assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che e' terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati; e metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attivita' di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.L'Art. 4 fornisce le seguenti definizioni:«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che puo' essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o pio' elementi caratteristici della sua identita' fisica, fisiologica, genetica, psichica, economica, culturale o sociale;«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;«limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;«profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilita', il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;«pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano pio' essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;«archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;«titolare del trattamento»: la persona fisica o giuridica, l'autorita' pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalita' e i mezzi del trattamento di dati personali; quando le finalita' e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;«responsabile del trattamento»: la persona fisica o giuridica, l'autorita' pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;«destinatario»: la persona fisica o giuridica, l'autorita' pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorita' pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati 4.5.2016 IT Gazzetta ufficiale dell'Unione europea L 119/33 membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorita' pubbliche e' conforme alle norme applicabili in materia di protezione dei dati secondo le finalita' del trattamento;«terzo»: la persona fisica o giuridica, l'autorita' pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorita' diretta del titolare o del responsabile;«consenso dell'interessato»: qualsiasi manifestazione di volonta' libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;«violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;«dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;«dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;«dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute; «stabilimento principale»: per quanto riguarda un titolare del trattamento con stabilimenti in pio' di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalita' e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facolta' di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni e' considerato essere lo stabilimento principale;con riferimento a un responsabile del trattamento con stabilimenti in pio' di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attivita' di trattamento nel contesto delle attivita' di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile e' soggetto a obblighi specifici ai sensi del presente regolamento;«rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;«impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attivita' economica, comprendente le societa' di persone o le associazioni che esercitano regolarmente un'attivita' economica;«gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;«norme vincolanti d'impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o pio' paesi terzi, nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attivita' economica comune;«autorita' di controllo»: l'autorita' pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51, L 119/34 IT Gazzetta ufficiale dell'Unione europea 4.5.2016;«autorita' di controllo interessata»: un'autorita' di controllo interessata dal trattamento di dati personali in quanto: il titolare del trattamento o il responsabile del trattamento e' stabilito sul territorio dello Stato membro di tale autorita' di controllo;gli interessati che risiedono nello Stato membro dell'autorita' di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppureun reclamo e' stato proposto a tale autorita' di controllo;«trattamento transfrontaliero»:trattamento di dati personali che ha luogo nell'ambito delle attivita' di stabilimenti in pio' di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in pio' di uno Stato membro; oppuretrattamento di dati personali che ha luogo nell'ambito delle attivita' di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in pio' di uno Stato membro;«obiezione pertinente e motivata»: un'obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle liberta' fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione;«servizio della societa' dell'informazione»: il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio;«organizzazione internazionale»: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o pio' Stati. https://www.ipertop.it/regolamento-europeo-2016-679-cenni-e-definizioni-4294003514.htm?utm_medium=tumblr

aumenta il numero dei tuoi clienti con facebook 1!

Affidaci la sponsorizzazione dei tuoi Post su Facebook: costi contenuti, risultati garantiti. Ideazione, creazione e gestione di campagne pubblicitarie su FB ADS con la sponsorizzazione di post a costi contenuti;Numero di Visualizzazioni Garantite delle sponsorizzazioni su Facebook;Ricezione e gestione dell'elenco di tutti i clienti interessati all'interno del CRM dell'area riservata IperTop. https://www.ipertop.it/aumenta-il-numero-dei-tuoi-clienti-con-facebook-1--4294003510.htm?utm_medium=tumblr

sanzioni amministrative pecuniarie, articolo 83 del regolamento europeo 679/2016

1. Ogni autorita' di controllo provvede affinche' le sanzioni amministrative pecuniarie inflitte ai sensi dell'Articolo 83 del Regolamento Europeo 679/2016 siano in ogni singolo caso effettive, proporzionate e dissuasive. 2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi: la natura, la gravita' e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalita' del trattamento in questione nonche' il numero di interessati lesi dal danno e il livello del danno da essi subito; il carattere doloso o colposo della violazione; le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati; il grado di responsabilita' del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32; eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; il grado di cooperazione con l'autorita' di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; le categorie di dati personali interessate dalla violazione; la maniera in cui l'autorita' di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; e eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione. 3. Se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento o un responsabile del trattamento viola, con dolo o colpa, varie disposizioni del presente regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione pio' grave. 4. In conformita' del paragrafo 2 dell'articolo 83, la violazione delle disposizioni seguenti e' soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8 (condizioni applicabili al consenso dei minori), 11, da 25 a 39, 42 e 43; gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43; gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4. 5. In conformita' del paragrafo 2 dell'articolo 83, la violazione delle disposizioni seguenti e' soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5 (Principi applicabili al trattamento di dati personali), 6 (Liceita' del trattamento), 7 (Condizioni per il consenso ) e 9 (Trattamento di categorie particolari di dati personali) ; i diritti degli interessati a norma degli articoli da 12 a 22; i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49; qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorita' di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1. 6. In conformita' del paragrafo 2 dell'art.83, l'inosservanza di un ordine da parte dell'autorita' di controllo di cui all'articolo 58, paragrafo 2, e' soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore. 7. Fatti salvi i poteri correttivi delle autorita' di controllo a norma dell'articolo 58, paragrafo 2, ogni Stato membro puo' prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorita' pubbliche e organismi pubblici istituiti in tale Stato membro. 8. L'esercizio da parte dell'autorita' di controllo dei poteri attribuiti dal presente articolo e' soggetto a garanzie procedurali adeguate in conformita' del diritto dell'Unione e degli Stati membri, inclusi il ricorso giurisdizionale effettivo e il giusto processo. 9. Se l'ordinamento giuridico dello Stato membro non prevede sanzioni amministrative pecuniarie, il presente articolo puo' essere applicato in maniera tale che l'azione sanzionatoria sia avviata dall'autorita' di controllo competente e la sanzione pecuniaria sia irrogata dalle competenti autorita' giurisdizionali nazionali, garantendo nel contempo che i mezzi di ricorso siano effettivi e abbiano effetto equivalente alle sanzioni amministrative pecuniarie irrogate dalle autorita' di controllo. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. Tali Stati membri notificano alla Commissione le disposizioni di legge adottate a norma del presente paragrafo al pio' tardi entro 25 maggio 2018 e comunicano senza ritardo ogni successiva modifica. https://www.ipertop.it/sanzioni-amministrative-pecuniarie-articolo-83-del-regolamento-europeo-679-2016-4294002369.htm?utm_medium=tumblr

l'informativa, consenso, profilazione

L'informativa privacy e' il documento, anche in forma digitale, attraverso il quale il Titolare informa l'interessato sulle finalita' del trattamento.In caso di raccolta presso l'interessato (si possono raccogliere i dati presso terzi) di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:l'identita' e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;i dati di contatto del responsabile della protezione dei dati, ove applicabile;le finalita' del trattamento cui sono destinati i dati personali nonche' la base giuridica del trattamento ;qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:il periodo di conservazione dei dati personali oppure, se non e' possibile, i criteri utilizzati per determinare tale periodo;l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilita' dei dati;qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure dell'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceita' del trattamento basata sul consenso prestato prima della revoca;il diritto di proporre reclamo a un'autorita' di controllo;se la comunicazione di dati personali e' un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonche' le possibili conseguenze della mancata comunicazione di tali dati;l'esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonche' l'importanza e le conseguenze previste di tale trattamento per l'interessato.Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalita' diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalita' e ogni ulteriore informazione pertinente.Il consenso e' l'espressione della manifestazione di volonta' dell'interessato al trattamento dei dati da lui conferiti.Ricade sul titolare del trattamento l'onere di dimostrare che l'interessato ha concesso il proprio consenso al trattamento dei propri dati personali.Nel caso in cui vengono sottoscritti accordi o contratti, nonche' prestati servizi, la concessione del consenso e' intrinseca al contratto/accordo stesso, consenso, senza il quale, l'accordo non potrebbe essere perfezionato.Se il consenso dell'interessato espresso nel contesto di una dichiarazione scritta che comprende diverse materie, la richiesta del consenso deve essere presentata in modo chiaro in modo che si possa distinguere la materia oggetto della concessione del consenso.L'interessato ha diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceita' del trattamento basato sul consenso prima della revoca. Il consenso e' revocato con la stessa facilita' con cui e' accordato.La profilazione e' una o pio' attivita' compiute dall'organizzazione al fine di classificare gli utenti in gruppi omogenei sulla base dei comportamenti manifestati, possesso di caratteristiche fisiche, oggettive, di gusto e/o preferenze.Ai sensi del Regolamento Europeo l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona ad esclusione: della conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;dal diritto dell'Unione o dello Stato membro cui e' soggetto il titolare del trattamento, che precisa altresi' misure adeguate a tutela dei diritti, delle liberta' e dei legittimi interessi dell'interessato;della concessione esplicita del consenso dell'interessato.Il titolare del trattamento attua misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.www.iusprivacy.eu https://www.ipertop.it/l-informativa-consenso-profilazione-4294003437.htm?utm_medium=tumblr

signori, biglietti! si ride al minerva di boscoreale con: i ragazzi di boscoteatro

BOSCOREALE. Attenti al...controllore! Avventure imbarazzanti, equivoci e tante risate sabato 22 e domenica 23 aprile, alle ore 20, sul palco del teatro Minerva di Boscoreale (Na) dove la giovane compagnia teatrale "I Ragazzi di Boscoteatro" mettera' in scena "Signori, Biglietti!", divertente commedia in tre atti di Giovanni Rescigno. Un appuntamento da non perdere quello in programma nel prossimo week end, che vedra' impegnati, per la prima volta sulle scene, i giovanissimi attori (tutti di eta' compresa tra i 16 e i 28 anni pio' qualche presenza "matura") della debuttante compagnia teatrale nata dall'estro e dalla fantasia di Pasquale Piacente che, per l'occasione, si cimentera' alla regia mentre costumi e scenografie sono curati da Fanny Celentano. Il progetto e' nato con il coinvolgimento di don Alessandro Valentino, parroco della chiesa Immacolata Concezione, insieme con i ragazzi e gli educatori dell'Azione Cattolica e dell'oratorio vesuviano. Tocchera' a loro, infatti, quasi tutti alla prima esperienza (le prove per lo show sono iniziate a febbraio nei locali della chiesa), accompagnare per mano gli spettatori alla scoperta di una "piece" teatrale frizzante, piena di vicende paradossali, equivoci e tanto sano divertimento. Il ricavato della vendita dei biglietti sara' devoluto in beneficenza. https://www.ipertop.it/signori-biglietti-si-ride-al-minerva-di-boscoreale-con-i-ragazzi-di-boscoteatro-4294003435.htm?utm_medium=tumblr

registri attivita' trattamento dati

Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attivita' di trattamento svolte sotto la propria responsabilita'. La tenuta del registro del trattamento costituisce un adempimento formale, sostitutivo, nell'ordinamento italiano, l'obbligo di notificare il trattamento all'Autorita' Garante. La tenuta del registro del trattamento e' collegato alla valutazione di impatto privacy ed e' funzionale alla definizione delle misure di sicurezza dei trattamenti.Il coordinamento sistematico dei vari adempimenti consente di privarli di corsia sia presentimento burocratico, inserendo il logiche di programmazione e di audit interno.Tale registro contiene tutte le seguenti informazioni:il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;le finalita' del trattamento;una descrizione delle categorie di interessati e delle categorie di dati personali;le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell'autorita' di controllo.L'obbligo della tenuta del registro non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le liberta' dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10. https://www.ipertop.it/registri-attivita-trattamento-dati-4294003415.htm?utm_medium=tumblr

portabilita' dei dati, diritto all’oblio

La portabilita' dei dati un aspetto interessante introdotto dal GDPR. Nell'epoca in cui registriamo e alimentiamo di continuo il flusso di informazioni sui socialmedia e/o vari servizi online il diritto alla portabilita' consente all'interessato di ricevere in un formato strutturato le informazioni fornite.I dati strutturati sono formati da dati che contengono tutte le informazioni di un determinato utente in un unico flusso, diverso dai database relazionali dove i dati sono scollegati fra loro.L'interessato al trattamento ha il diritto di richiedere i dati strutturati, per la cessione ad un altro fornitore/titolare del trattamento per i seguenti casi:il trattamento si basi sul consenso;il trattamento sia effettuato con mezzi automatizzati.Nell'esercitare i propri diritti relativamente alla portabilita' dei dati l'interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all'altro, se tecnicamente fattibile.Nel codice attuale semplicemente che il soggetto non sia pio' oggetto di contatto, invio materiale, trattamento per quelle attivita' per cui in precedenza aveva espresso un assenso ecc., ma che lo stesso non venga eliminato dagli archivi, anche perche' l'eliminazione potrebbe causare l'impossibilita' di eseguire eventuali obbligazioni contrattuali e/o di legge.Il nuovo Regolamento Europeo con l'art. 17 'Diritto all'oblio e alla cancellazione' prevede il diritto del soggetto interessato di ottenere dal responsabile (ora Titolare) la cancellazione di dati personali che lo riguardano e la rinuncia a un'ulteriore diffusione di tali dati, quando:I dati non sono pio' necessari rispetto alle finalita';L'interessato revoca il consenso;L'interessato si oppone ai sensi dell'art. 19 (per finalita' di marketing);Il trattamento non e' conforme al regolamento.Infine se il responsabile del trattamento ha reso pubblici i dati, dovra' adottare tutte le misure ragionevoli, anche tecniche, per informare i terzi che stanno trattando i dati, della richiesta dell'interessato al fine di cancellare qualunque Link, copia o riproduzione dei suoi dati; pertanto con il Regolamento viene introdotta la possibilita' di effettuare direttamente l'operazione di cancellazione dei dati e non solo un mero diritto di opposizione. www.iusprivacy.eu https://www.ipertop.it/portabilita-dei-dati-diritto-all-oblio-4294003387.htm?utm_medium=tumblr

sicurezza dei dati, risk management, data breach

Tenendo conto dello stato dell'arte e dei costi di attuazione, nonche' della natura, dell'oggetto, del contesto e delle finalita' del trattamento, come anche del rischio di varia probabilita' e gravita' per i diritti e le liberta' delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:la pseudonimizzazione e la cifratura dei dati personali;la capacita' di assicurare su base permanente la riservatezza, l'integrita', la disponibilita' e la resilienza dei sistemi e dei servizi di trattamento;la capacita' di ripristinare tempestivamente la disponibilita' e l'accesso dei dati personali in caso di incidente fisico o tecnico;una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.Nel valutare l'adeguato livello di sicurezza, si tiene conto in modo particolare dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.Il regolamento europeo 2016/679 recepisce la necessita' di uniformare le norme privacy alla moderna societa' dell'informazione, sotto il profilo socio tecnologico.L'atto legislativo comunitario mostra struttura normativa e profili sostanziali orientate all'informatica giuridica; l'approccio del legislatore europeo e' diametralmente opposto a quello mostrato dai precedenti atti regolativi comunitari in materia in quanto concede principale rilevanza al trattamento dei dati informatici digitali ma soprattutto telematici.Particolare attenzione e' concesso al trattamento dei dati effettuato da enti, pubblici e privati, affinche' questo sia lecito, trasparente ed esplicito quanto il consenso prestato dall'interessato, soprattutto quando e' legato alla fruizione delle della rete internet e dei servizi a questa correlati.Notevole attenzione e' stata dedicata alla sicurezza dei dati informatici in un'epoca dove gli attacchi hacking e cracking, ad infrastrutture digitali e telematiche, sono quotidiane, nonche' spesso rilevati solo a distanza di tempo.Sulla protezione dei dati e sicurezza delle informazioni, il regolamento impone livelli di sicurezza medio alti, affidando agli stati membri l'elaborazione e pio' performanti attivita' di ICT e cybersecurity, indicando comunque specifiche procedure per la comunicazione di data breach legate alla violazione dei dati al fine di consentire una pio' puntuale consapevolezza delle modalita' di trattamento dei dati e una pio' tempestiva conoscenza delle sue questioni problematiche.Rilevanza e infine concessa al Risk Management in modo esplicito attraverso il richiamo alla necessita' di una valutazione del rischio legato al trattamento dei dati in quanto attivita' per una corretta attivita' di security in campo privacy.Il Risk Management e, di cui gap analysis e risk analysis sono attivita' essenziali, puo' essere rappresentato come la procedura aziendale che ha ad oggetto l'identificazione, l'assessment (valutazione) e la priorizzazione dei rischi, cui devono seguire attivita' organizzative volte a mitigare, monitorare e controllare la probabilita', e gli effetti, di eventi dannosi.I dati personali conservati, trasmessi o trattati da aziende e pubbliche amministrazioni possono essere soggetti al rischio di perdita, distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamita' ('data breach is the intentional or unintentional release of secure or private/confidential information to an untrusted environment').Si tratta di situazioni che possono comportare pericoli significativi per la privacy degli interessati cui si riferiscono i dati.Per questa ragione, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato negli ultimi anni una serie di provvedimenti che introducono in determinati settori l'obbligo di comunicare eventuali violazioni di dati personali(data breach) all'Autorita' stessa e, in alcuni casi, anche ai soggetti interessati. Il mancato o ritardato adempimento della comunicazione espone alla possibilita' di sanzioni amministrative.Notificare al Garante e comunicazione all'interessato dell'avvenuta violazione dei dati personaliLa violazione dei dati personali va affrontata e' gestita subito, al fine di evitare l'insorgenza o l'aggravamento di danni fisici, materiali o immateriali alle persone: perdita del controllo dei dati o limitazione dei loro diritti, discriminazione, furto o usurpazione di identita', perdite finanziarie, decifratura non autorizzata della pseudo minimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico sociale significativo alla persona fisica interessata.L'episodio pregiudizievole non deve essere celato, poiche' l'oscuramento della notizia amplifica gli effetti negativi dell'evento e inibisce forme di reazione pubblica e dell'interessato.L'ordinamento italiano conosce alcune ipotesi specifiche di obbligo di notificazione delle violazioni personali, ad esempio nel settore delle comunicazioni elettroniche, della biometria, del dei trattamenti sanitari, dei trattamenti effettuati da enti pubblici.Il regolamento generalizza l'obbligo di notificazione estendendolo a tutti i titolari di trattamento. Notificazione all'Autorita' Garante della violazione dei dati personali.Non appena viene a conoscenza di una avvenuta violazione dei dati personali trattati, il titolare del trattamento deve notificare la violazione dei dati personali all'autorita' di controllo competente, senza ingiustificato ritardo e, se possibile, entro 72 ore dal momento in cui ne e' venuto a conoscenza.L'obbligo non scatta nel caso in cui il titolare del trattamento ritiene di dimostrare che e' improbabile che la violazione dei dati personali presenti un rischio per i diritti e le liberta' delle persone fisiche.Decorso il termine di 72 ore, la notifica della violazione deve essere corredata delle ragioni del ritardo e le informazioni potrebbero essere fornite in fasi successive senza ulteriore ingiustificato ritardo.Contenuto della notifica delle violazioni al Garante.La notifica delle violazioni devono almeno:descrivere la natura della violazione dei dati personali compresi, se possibile, le categorie il numero approssimativo di interessati;comunicare il nome e i dati di contatto del DPO o di altro punto di contatto presso cui ottenere pio' informazioni;descrivere le probabili conseguenze della violazione dei dati personali;descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio la violazione dei dati personali e anche se del caso, per attenuarne i possibili effetti negativi.Se non e' possibile fornire le informazioni contestualmente, le informazioni possono essere fornito in fasi successive senza ulteriore ingiustificato ritardo.Il Titolare del Trattamento, oltre alla notifica, deve tenere una documentazione su qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, e le sue conseguenze provvedimenti adottati per porvi rimedio. La documentazione deve essere tenuta a disposizione per eventuali verifiche dell'Autorita' garante.Comunicazione della violazione all'interessato.Il titolare del trattamento deve comunicare all'interessato la violazione dei dati personali immediatamente, in caso di rischio elevato per i diritti e le liberta' della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie.La comunicazione deve indicare natura della violazione dei dati personali e formulare raccomandazioni per la persona fisica interessata Intesa ad attenuare i potenziali effetti negativi.Il regolamento prevede che le comunicazioni agli interessati siano effettuate non appena ragionevolmente possibile in conformita' agli orientamenti impartiti dell'Autorita' garante.Puo' essere che in concreto le comunicazioni agli interessati sia differita per avere modo di scoprire il trasgressore.La comunicazione all'interessato non e' richiesta quando ricorre almeno una delle seguenti condizioni:Il Titolare del Trattamento ha messo in atto le misure tecniche organizzative adeguate di protezione tali da rendere i dati personali incomprensibile a chiunque non sia autorizzato ad accedervi quali la cifratura;Il Titolare del Trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le liberta' degli interessati;La comunicazione richiederebbe costi enormi; in tal caso, si procede invece ho una comunicazione pubblica a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.La violazione degli obblighi del titolare del trattamento del responsabile trattamento previsto dagli articoli 33 e 34 comporta sanzioni pecuniarie fino a euro 10 milioni o per le imprese fino a 2% del fatturato mondiale totale hanno dell'esercizio precedente sia superiore. https://www.ipertop.it/sicurezza-dei-dati-risk-management-data-breach-4294003400.htm?utm_medium=tumblr