Questo sito utilizza i cookie. I cookie ci aiutano a garantirti un’esperienza di navigazione migliore. Questo sito utilizza, altresì, cookie di terze parti a fini di analisi

Per informazioni o per sapere come autorizzare, limitare o bloccare i cookie clicca sul link qui di seguito. Per saperne di piu'

Approvo

Informativa estesa

1. Informativa Cookies

In questa pagina si descrivono le modalità di gestione del sito con riferimento all’utilizzo dei cookie e al relativo trattamento dei dati personali degli utenti che lo consultano.

Vai alla sezione Privacy per conoscere le politiche di sicurezza del nostro sito, il Titolare, l’elenco dei Responsabili dei trattamenti, le modalità del trattamento e i diritti agli interessati (ai sensi dell’art. 7 del D.Lgs. n. 196/2003).

Al fine di offrire sempre la miglior navigazione possibile, il nostro sito utilizza i cookie proprietari e di “terze parti”.

Un cookie è un file di testo che viene memorizzato sul tuo terminale (desktop, tablet, smartphone, notebook), tramite il tuo browser, durante la navigazione.

Attraverso questi cookie il sito potrà ricordarsi di te e delle tue preferenze ogni volta che accederai allo stesso.

I cookie che utilizziamo sono suddivisi nelle seguenti categorie:

Categoria 1: Cookie Tecnici “Strettamente necessari”

I cookie tecnici permettono un agevole utilizzo del sito. In particolare, utilizziamo cookie di navigazione o di sessione, che garantiscono la normale fruizione del sito, ricordando, ad esempio, la preferenza linguistica durante la navigazione.

Puoi in ogni momento autorizzare, limitare o bloccare i cookie attraverso le impostazioni del tuo browser secondo le modalità spiegate al punto 3. Se tuttavia, imposterai il tuo browser in modo da rifiutare tali cookie, alcuni servizi del sito potrebbero non essere visualizzati correttamente.

 

Categoria 2: Cookie Analytics “di terze parti”

Nel nostro sito utilizziamo cookie analytics “persistenti” di terze parti (google analytics) al fine di raccogliere, in modo anonimo, informazioni sull’utilizzo del sito. Tali cookie, funzionalmente assimilabili ai cookie tecnici, sono trattati in forma aggregata a fine di monitorare le aree del sito maggiormente visitate, il numero degli accessi ed, in generale, per ottenere statistiche anonime circa l’utilizzo del sito.

Puoi in ogni momento autorizzare, limitare o bloccare i cookie attraverso le impostazioni del tuo browser secondo le modalità spiegate al punto 3.

Link all’informativa privacy e cookie per i cookie di google analytics:

-       Google (http://www.google.com/policies/privacy/)

2. Espressione del consenso

I cookie verranno utilizzati esclusivamente previo consenso dell’interessato. Per l’espressione del consenso è sufficiente continuare la navigazione del sito mediante, ad esempio, un click su un’altra sezione del medesimo portale.

3. I cookie e le impostazioni del tuo browser:

Qui di seguito, in ottemperanza al provvedimento del Garante della Privacy del 08.05.14, i link alle impostazioni dei singoli browser per poter autorizzare, limitare e disabilitare i cookie:

- Chrome

- Firefox

- Internet Explorer

- Opera

- Safari

Se c'é un modo di fare meglio, trovalo.

(Thomas Edison)

Valutazione d’impatto privacy (DPIA): quando effettuarla
Mercoledì, 17 Gennaio 2018 09:42

Valutazione d’impatto privacy (DPIA): quando effettuarla

di Giacomo Lusardi

L’art. 35 del Regolamento Generale sulla Protezione dei Dati Personali (“GDPR”, Reg. UE 679/2016), che avrà piena applicazione in Italia a partire dal 25 maggio 2018, ha introdotto l’ obbligo di procedere a una c.d. “valutazione d’impatto” (“DPIA”, Data Protection Impact Assessment) prima di effettuare trattamenti di dati personali che possano presentare “un rischio elevato per i diritti e le libertà delle persone fisiche”. Ricordo che il GDPR definisce “trattamento di dati personali” “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4 GDPR).

Quanto all’individuazione dei trattamenti di dati personali che possano presentare “un rischio elevato per i diritti e le libertà delle persone fisiche”, l’art. 35 del GDPR prevede un elenco non esaustivo di ipotesi con riferimento alle quali la DPIA è obbligatoria: (i) “valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione […]”; (ii) “trattamento, su larga scala, di categorie particolari di dati personali […]”; e (iii) “sorveglianza sistematica su larga scala di una zona accessibile al pubblico”. Oltre a tali ipotesi tipiche, la norma prevede che debba essere l’autorità di controllo (per l’Italia il Garante Privacy) a pubblicare un elenco dei tipi di trattamento che richiedono la DPIA, così come un ulteriore elenco dei tipi di trattamento che invece non la richiedono, documenti ad oggi non ancora disponibili.

Tuttavia, con le linee guida del 4.10.2017, il Gruppo di lavoro ex art. 29 dir. 95/46/CE ha già fornito alcuni chiarimenti in merito ai casi concreti in cui andrà effettuata la DPIA, stabilendo precisi criteri quali, ad esempio: trattamenti che, tra gli altri, mirino alla creazione di profili comportamentali o di marketing in base alla navigazione e alle azioni compiute dagli utenti sui siti web; trattamenti che riguardino dati sensibili in senso lato, quali quelli afferenti la vita privata e quelli riguardanti l’ubicazione del soggetto (tra cui la geo-localizzazione); ogni combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti da titolari del trattamento distinti; ogni trattamento effettuato nei confronti di categorie di persone vulnerabili quali minori, pazienti e anziani; gran parte dei trattamenti legati all’internet of things. Il Gruppo ex art. 29 ha precisato che la DPIA è necessaria se ricorrono almeno due dei suddetti criteri, indipendentemente dalle misure di sicurezza adottate, ma il titolare del trattamento può decidere di effettuarla anche in presenza di uno solo di essi.

Anche nei casi in cui non è obbligatoria, una DPIA svolta correttamente consente infatti di dimostrare la conformità del trattamento alla nuova normativa europea. Nel caso in cui la DPIA evidenzi che il trattamento presenterebbe rischi elevati in assenza di misure di attenuazione del rischio, il titolare del trattamento è tenuto a consultare in via preventiva il Garante Privacy (art. 36 GDPR).

A pochi mesi della piena applicabilità del GDPR e considerati i molteplici casi in cui la DPIA dovrà essere effettuata, le imprese dovranno coinvolgere i professionisti specializzati già nella fase iniziale della programmazione del trattamento, attenuando così il rischio successivo in termini di violazioni e conseguenti sanzioni pecuniarie amministrative, a maggior ragione se si considera il severo regime sanzionatorio previsto dal GDPR (fino a un massimo di 20 milioni di Euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario precedente).

giacomo.lusardi@milalegal.com