Glossario della Privacy

A

Accesso Civico


L’accesso civico è definito dall’art. 5 del D.Lgs 33/2013 (detto Decreto Trasparenza): “l’obbligo previsto dalla normativa vigente in capo alle pubbliche amministrazioni di pubblicare documenti, informazioni o dati comporta il diritto di chiunque di richiedere i medesimi, nei casi in cui sia stata omessa la loro pubblicazione”.
L’istituto dell’accesso civico consente a chiunque il diritto di richiedere, gratuitamente e senza necessità di motivazione, documenti, informazioni o dati di cui le pubbliche amministrazioni hanno omesso la pubblicazione prevista dalla normativa vigente.
Per l’esercizio dell’accesso civico la richiesta deve essere presentata al Responsabile della trasparenza e, in caso di ritardo o di mancata risposta, al titolare del potere sostitutivo (per esempio nei Comuni il Segretario Generale, nelle Scuole il Dirigente Scolastico).




Accredia


Nel mese di luglio del 2009 è nato, dalla fusione di SINAL e SINCERT, ACCREDIA il nuovo sistema italiano di accreditamento. L'esigenza è scaturita dalle previsioni introdotte dal Regolamento Europeo 2008/765, che prevede, a partire dal 01/01/2010, la presenza in ciascun Stato membro di un solo ente di accreditamento.
Tali enti devono aderire a EA (European Cooperation for Accreditation) che ne sorveglia l'attività, al fine di garantire un sistema omogeneo di accreditamento degli organismi di valutazione della conformità dei prodotti, per l'apposizione della marcatura CE.
L'EA ha accettato ACCREDIA come socio, in sostituzione di SINAL e SINCERT, e come firmatario dell'accordo di mutuo riconoscimento.
Pertanto, le valutazioni di conformità rilasciate sono ritenute valide in tutti i maggiori mercati del mondo.
Per maggiori informazioni consultare il sito: www.accredia.it.




Archivio


Qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.




ADL


Activity Daily Living

L’acronimo inglese ADL viene utilizzato quando si vuole descrivere quelle normali e quotidiane attività di cura della persona, indispensabili per condurre una vita autonoma ed autosufficiente.(vedi Glossario Scala ADL o di Katz)




Accountability


"responsabilizzazione" dei Titolari e Responsabili del Trattamento, nell’adottare proattivamente comportamenti tali da dimostrare l’adozione di misure concrete per assicurare l’applicazione al GDPR.




Autorità di controllo


L’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51. ln Italia è Garante per la Protezione dei Dati Personali ( Garante Privacy)




Autorità di controllo interessata


Un'autorità di controllo interessata dal trattamento di dati personali in quanto: a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo;




Autorità di controllo capofila


In caso di trattamento transfrontaliero, è l’autorità di controllo dove ha sede il Titolare o il Responsabile del trattamento, a cui viene trasferita la competenza sul trattamento stesso rispetto ad altre autorità di controllo (definite “autorità interessate”). In base al “principio di sportello unico”, per ogni trattamento transfrontaliero il controllo viene effettato sotto la direzione di un'unica autorità capofila. In tali ipotesi, l’attribuzione della competenza deve essere quindi valutata, poiché ci possono essere diversi casi, come ad esempio quello in cui una multinazionale ha la sede dell’amministrazione centrale in un paese, e ha in un altro paese uno stabilimento che assume decisioni autonome su finalità e mezzi di uno specifico trattamento.





B

Basi giuridiche del trattamento


Ai sensi del GDPR, i dati possono essere trattati solo se sussiste almeno una base giuridica del trattamento. Segue un elenco delle possibili basi giuridiche del trattamento:

  • L’utente ha prestato il proprio consenso per una o più specifiche finalità;
  • Il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto;
  • Il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto;
  • Il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi;
  • Il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento;
  • Il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore.





C

Check Box


Solitamente, i checkbox sono mostrati sullo schermo come dei quadrati che possono contenere spazio bianco (quando non sono selezionati) oppure segno di spunta (quando sono selezionati).
Adiacente al checkbox è solitamente mostrata una breve descrizione.
Per invertire lo stato (selezionato/non selezionato) del checkbox è sufficiente cliccare sul riquadro o sulla descrizione. In caso di utilizzo di check box per raccolta del consenso, essi non devono essere mai preselezionati. In caso di utilizzo di check box per raccolta del consenso per finalità di marketing, essi non devono essere mai obbligatori.




Codice


Quando si parla o si scrive di Privacy, per Codice si intende per prassi il Dlgs 196/2003.




Compliance


E’ la cura e il consolidamento dell’immagine aziendale dal punto di vista della correttezza delle procedure e del rispetto delle norme. Tutto ciò, al fine di non incorrere in sanzioni che potrebbero danneggiare la reputazione dell’azienda nei confronti dei clienti, dei partner e di tutti gli stakeholders in generale. Questo significato ultimo di Compliance vale soprattutto in quegli ambiti di business nei quali la fiducia è un elemento imprescindibile per la transazione.




Consenso dell'interessato


Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.




Considerando


I considerando (recital in inglese) sono una serie di norme introduttive che forniscono dei criteri da tenere presente nell'interpretazione degli articoli. R egolamento (UE) 2016/679 arricchito con riferimenti ai Considerando aggiornati alle rettifiche pubblicate sulla Gazzetta Ufficiale dell'Unione europea 127 del 23 maggio 2018




Cookie


I cookie HTTP (più comunemente denominati cookie web, o per antonomasia cookie) una sorta di gettone identificativo, usato dai server web per poter riconoscere i browser durante comunicazioni con il protocollo HTTP usato per la navigazione web.
Tale riconoscimento permette di realizzare meccanismi di autenticazione, usati ad esempio per i login; di memorizzare dati utili alla sessione di navigazione, come le preferenze sull'aspetto grafico o linguistico del sito; di associare dati memorizzati dal server, ad esempio il contenuto del carrello di un negozio elettronico; di tracciare la navigazione dell'utente, ad esempio per fini statistici o pubblicitari.




CAD


Codice dell’Amministrazione Digitale

E’ il D.Lgs. n. 82/2005, aggiornato, da ultimo, con le modifiche apportate dal Decreto Legislativo n. 179/2016.

Da un’attenta lettura del Codice dell’Amministrazione Digitale, si desume chiaramente che la conoscenza della disciplina privacy è una premessa fondamentale e imprescindibile per la corretta comprensione ed applicazione delle disposizioni legislative in esso contenute:in tutto il testo di legge, infatti, ritroviamo continui ed espliciti richiami al D.lgs 196/2003.




CD o c.d.


Così Detto.




CERT


Computer Emergency Response Team (ovvero Squadra per la risposta ad emergenze informatiche).

Oggi l'acronimo viene inteso anche come "Computer Emergency Readiness Team", con l'intento di sottolineare l'attenzione volta alla prevenzione dei rischi.

Un'altra sigla usata per identificare questi gruppi è CSIRT (“Computer Security Incident Response Team”), ovvero Squadre preposte a rispondere in caso di incidenti informatici.




CSIRT


Computer Security Incident Response Team (ovvero Squadra preposta a rispondere in caso di incidenti informatici). Un'altra sigla usata per identificare questi gruppi è CERT (“Computer Emergency Response Team”), ovvero Squadre preposte a rispondere in caso di emergenze informatiche.




Contitolare del Trattamento


Quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato.




Comitato Europeo per la Protezione dei Dati


Il Comitato Europeo per la Protezione dei Dati (EDPB) è un organismo europeo indipendente il cui scopo è garantire un'applicazione coerente del Regolamento generale sulla Protezione dei Dati (GDPR) e promuovere la cooperazione tra le autorità di protezione dei dati dell' UE. Il 25 maggio 2018, l'EDPB ha sostituito il gruppo di lavoro “Articolo 29”.Il ruolo dell’EDPB include le seguenti competenze:

  • Pubblicare linee guida, raccomandazioni e identificare le migliori pratiche relative all'interpretazione e all'applicazione del RGPD,
  • Informare la Commissione europea in merito a questioni riguardanti la protezione dei dati personali nello Spazio economico europeo (SEE),
  • Adottare pareri volti a garantire la coerenza dell'applicazione del GDPR da parte delle autorità nazionali di vigilanza, in particolare in merito alle decisioni che hanno effetti transfrontalieri,
  • Fungere da organo di risoluzione nelle controversie tra autorità nazionali che cooperano all'applicazione legislativa nel contesto di casi transfrontalieri,
  • Incoraggiare lo sviluppo di codici di condotta e istituire meccanismi di certificazione nel campo della protezione dei dati,
  • Promuovere la cooperazione e lo scambio efficace di informazioni e buone pratiche tra le autorità nazionali di vigilanza.
Il Comitato europeo per la Protezione dei Dati è rappresentato dal suo presidente, eletto tra i membri del consiglio a maggioranza semplice, per un mandato di cinque anni, rinnovabile una volta. La stessa procedura elettorale e lo stesso mandato si applicano ai due vicepresidenti. Attualmente, la Presidenza del Comitato è rappresentata da:
  • Andrea Jelinek, presidente
  • Ventsislav Karadjov, vicepresidente
  • Aleid Wolfsen, vicepresidente
Il consiglio di amministrazione è composto dai rappresentanti delle autorità nazionali di protezione dei dati dei 27 paesi in seno all’EU, da 3 paesi appartenenti allo Spazio economico europeo e dal Garante europeo della protezione dei dati (GEPD).




Comunicazione


E' lo strumento per far conoscere dati personali a uno o più soggetti determinati (che non siano l'interessato, il responsabile o il soggetto autorizzato), in qualunque forma, anche attraverso la loro messa a disposizione o consultazione (vedi "diffusione").





D

Data Breach


Si intende per data breach la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità”.

In realtà il concetto più generale di “data breach” non riguarda strettamente i dati personali e i servizi accessibili al pubblico, si riporta a qualsiasi contesto in cui ci sia una violazione dei dati.

In sostanza è la trasmissione o comunicazione non autorizzata di informazioni “sensibili” ad una parte, solitamente esterna all’organizzazione vittima, che non è autorizzata a possedere o vedere l’informazione. Vedi Data Breach sul sito del Garante della Privacy.




Dati Biometrici


I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.




Dati Genetici


I dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.




Dati Personali relativi alla salute


I dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.




Dati Personali


Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.




Destinatario


La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.




Documento Programmatico sulla Sicurezza


L'adozione di un documento programmatico sulla sicurezza (DPS) era un obbligo previsto dal DLgs 196/2003; l'obbligo esisteva per tutte le imprese, lavoratori autonomi, enti o associazioni che trattano i dati personali - anche sensibili, giudiziari o con strumenti elettronici - ed è venuto meno a seguito del Decreto Legge n. 5 del 9 febbraio 2012, convertito dalla Legge n. 35 del 4 aprile 2012.
Il documento andava predisposto ed aggiornato annualmente entro il 31 marzo successivo, per attestare la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali.
Il DL 9 febbraio 2012 n. 5 ha modificato alcune disposizioni in materia di misure minime di sicurezza sopprimendo in particolare il Documento Programmatico di Sicurezza. L'abolizione dell'obbligo di redazione del DPS non solleva tuttavia dall'attuazione di tutti gli altri adempimenti privacy previsti dalla legislazione.




DNA


Deoxyribo Nucleic Acid (Acido DesossiriboNucleico). E’ un acido nucleico che contiene le informazioni genetiche necessarie alla biosintesi di RNA e proteine, molecole indispensabili per lo sviluppo ed il corretto funzionamento della maggior parte degli organismi viventi.




DPIA


Data Protection Impact Assessment.

Il DPIA (in italiano Valutazione dell'impatto sulla protezione dei dati) è un’attività cui è tenuto il titolare del trattamento prima di compiere operazioni su dati personali che pongano a rischio elevato i diritti degli interessati.

La finalità è quella di valutare la proporzionalità e necessità del trattamento e analizzare i rischi a cui esso espone gli interessati, indicando e ponendo in essere misure idonee per eliminarli o mitigarli.
il DPIA fotografa in definitiva l’“impatto privacy” di una determinata attività e le azioni predisposte in chiave di prevenzione del rischio.




DPO


Data Protection Officier.

Il DPO è una persona esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all'interno di un'azienda, di un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente.




DPS


Acronimo di Documento Programmatico della Sicurezza. L'adozione di un documento programmatico sulla sicurezza (DPS) era un obbligo previsto dal DLgs 196/2003; l'obbligo esisteva per tutte le imprese, lavoratori autonomi, enti o associazioni che trattano i dati personali - anche sensibili, giudiziari o con strumenti elettronici - ed è venuto meno a seguito del Decreto Legge n. 5 del 9 febbraio 2012, convertito dalla Legge n. 35 del 4 aprile 2012.
Il documento andava predisposto ed aggiornato annualmente entro il 31 marzo successivo, per attestare la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali.
Il DL 9 febbraio 2012 n. 5 ha modificato alcune disposizioni in materia di misure minime di sicurezza sopprimendo in particolare il Documento Programmatico di Sicurezza. L'abolizione dell'obbligo di redazione del DPS non solleva tuttavia dall'attuazione di tutti gli altri adempimenti privacy previsti dalla legislazione.




DSA


Acronimo di Disturbi Specifici di Apprendimento.

Con la locuzione disturbi specifici di apprendimento (DSA), definiti anche con la sigla F81 nella Classificazione Internazionale ICD-10 dell'Organizzazione mondiale della sanità, si intendono disturbi nell'apprendimento di alcune abilità specifiche che non permettono una completa autosufficienza nell'apprendimento, poiché le difficoltà si sviluppano sulle attività che servono per la trasmissione della cultura come, ad esempio, la lettura, la scrittura e/o fare calcoli.




DSGA


Acronimo di Direttore dei Servizi Generali ed Amministrativi.

Nella Scuola sovrintende ai servizi generali amministrativo-contabili e ne cura l’organizzazione svolgendo funzioni di coordinamento, promozione delle attività e verifica dei risultati.

Organizza autonomamente l’attività del personale A.T.A. nell’ambito delle direttive del Dirigente scolastico.
Attribuisce al personale A.T.A. incarichi di natura organizzativa e le prestazioni di lavoro eccedenti l’orario d’obbligo, quando necessario.
Svolge attività di istruzione, predisposizione e formalizzazione degli atti amministrativi e contabili; è consegnatario dei beni mobili.
Sovrintende, con autonomia operativa, ai servizi generali ed amministrativo – contabili e ne cura l’organizzazione svolgendo funzione di coordinamento, promozione delle attività e verifica dei risultati conseguiti, rispetto degli obiettivi assegnati ed agli indirizzi impartiti al personale A.T.A., posto alle sue direttedipendenze.
Può svolgere attività di studio e di elaborazione di piani e programmi richiedente specifica specializzazione professionale, con autonoma determinazione dei processi formativi ed attuativi.
Può svolgere incarichi di attività di tutor, di aggiornamento e formazione nei confronti del personale. Il D.S.G.A., in ambito finanziario e contabile è il responsabile della contabilità e degli adempimenti fiscali.
Inoltre:

  • attua la gestione del programma annuale (ex bilancio di previsione) e del conto consuntivo;
  • emette i mandati di pagamento e reversali d’incasso;
  • effettua la verifica dei c/c intestati all’Istituto;
  • predispone la scheda finanziaria analitica per ogni singolo progetto/attività previsti dal Programma Annuale;
  • definisce ed esegue tutti gli atti contabili, di ragioneria ed economato;
  • cura l’attuazione amministrativa, finanziaria e contabile delle delibere del Consiglio d’Istituto in materia di bilancio;
  • predispone la relazione sullo stato delle entrate, degli impegni di spesa, dei pagamenti eseguiti;
  • cura l’istruttoria delle attività contrattuali;
  • determina l’ammontare presunto dell’avanzo d’amministrazione;
  • valuta e seleziona i fornitori, gestendo le offerte e gli ordini di acquisto, consultandosi con il Dirigente scolastico;
  • gestisce la manutenzione ordinaria dell’Istituto, interfacciandosi con fornitori qualificati;
  • gestisce le scorte del magazzino.




Dati Personali Giudiziari


Dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.




Dati Personali Particolari (Ex Sensibili)


Dati personali che rivelino:

  • l’origine razziale o etnica,
  • le opinioni politiche,
  • le convinzioni religiose o filosofiche,
  • l’appartenenza sindacale,
  • dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica,
  • dati relativi alla salute,
  • dati relativi alla vita sessuale o all’orientamento sessuale della persona.




Diritto alla portabilità


L’interessato ha il diritto di richiedere i propri dati personali e poterli trasferire da un Titolare all’altro. Tale diritto mira a facilitare la circolazione, la copia o il trasferimento dei dati personali da un ambiente informatico all’altro senza impedimenti. Il GDPR promuove lo sviluppo di formati interoperabili (ad esempio strumenti per il download dei dati o automatismi di trasferimento online) da parte dei Titolari in modo da consentire la portabilità dei dati, ma non configura un obbligo in capo ai Titolari stessi di introdurre o mantenere sistemi di trattamento tecnicamente compatibili. Vieta ai Titolari di creare ostacoli alla trasmissione dei dati.




Diritto alla rettifica


L’interessato ha la possibilità di richiedere al Titolare, in qualsiasi momento, la modifica dei propri dati personali qualora questi risultassero inesatti.




Diritto alla cancellazione (cosidetto diritto all’oblio)


L’interessato ha la possibilità di richiedere lacancellazione di tutti i propri dati personali al Titolare del trattamento. Tale diritto può essere esercitato anche dopo la revoca del consenso al trattamento. In base all'articolo 12 (comma 5), se la richiesta risultasse essere infondata o eccessiva (in particolare per il carattere ripetitivo), il Titolare del trattamento può rifiutare la richiesta dell’interessato oppure addebitargli un contributo alle spese da sostenere per la cancellazione. In ogni caso è il Titolare che deve dimostrarne la infondatezza o l’eccessività della richiesta.




Diritto di accesso


L’interessato ha il diritto di richiedere e ottenere, al Titolare del trattamento, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, con una descrizione esatta delle modalità e finalità. Il Titolari del trattamento possono creare un sistema per consentire all’interessato l’accesso da remoto (protetto con utente e password) a un sistema sicuro che gli consenta di verificare direttamente i propri dati. In alternativa, il Titolare deve fornire queste informazioni prima possibile (al massimo entro un 30 giorni), a titolo gratuito e in forma scritta.




Doppio opt-in (Doppio consenso)


Il doppio consenso che deve dare l'interessato in due step separati:

  • prima nel form di richiesta sulla pagina del blog o del sito per accedere ad una determinata offerta
  • dopo nella successiva mail di conferma che gli viene inviata, in cui deve dare nuovamente il suo consenso all’utilizzo e al trattamento dei dati che ha condiviso con l’azienda. Buona pratica sarebbe che nell'email sia riportato il testo della politica della privacy adottata dall'azienda




Diffusione


Per diffusione si intende il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione. Si ha dic conseguenza diffusione anche quando si pubblica online, ad esempio una fotografia su un social network. In assenza di consenso tale attività deve ritenersi illecita.




Diritto di opposizione


L’interessato ha la possibilità di opporsi, in qualsiasi momento e per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano. Nel caso di attività di marketing diretto, questo diritto può essere esercitato senza fornire motivazioni. In caso di operazioni che si svolgono prevalentemente online o comunque elettroniche (per esempio invio di newsletter o sms promozionali) sarebbe opportuno che il Titolare predisponesse un meccanismo automatizzato che consenta all’interessato di esercitare il cosidetto opt-out.




Data Retention


Tra i più discussi adempimenti imposti dal Regolamento c’è la definizione del “periodo di conservazione dei dati personali” (data retention) e più precisamente dei “criteri utilizzati per determinare tale periodo” (art 13, comma 2, lettera a del Regolamento). Valutare correttamente l’estensione temporale del periodo di conservazione dei dati personali consente di ottenere la compliance in merito a data retention e GDPR. Tale requisito deve essere inserito tra le informazioni sul trattamento dei dati personali (Informativa) che il Titolare al trattamento deve fornire all’interessato “per garantire un trattamento corretto e trasparente”. Alcuni termini di conservazione sono determinati direttamente dalla normativa o da un contratto mentre altri sono autodeterminati dal Titolare del trattamento.




Dati Identificativi


Dati personali che permettono l’identificazione diretta dell’interessato.




Dati Anonimi


Dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.





E

e-Health


L’e-Health – o Sanità in rete – è un neologismo universalmente accettato, nonostante la mancanza di una definizione chiara e condivisa. Per la Commissione della Comunità Europea “l’e-Health descrive l’applicazione delle tecnologie dell’informazione e delle comunicazioni attraverso l’intera gamma di funzioni che riguardano il settore sanitario” mentre per l’ Organizzazione Mondiale della Sanità (OMS) definisce l’e-Health quale “utilizzo dell’ICT per la salute”. Più semplicemente, la Sanità in Rete è un innovativo approccio ai servizi sanitari fondato sull’utilizzo di strumenti basati sulle tecnologie dell’informazione e della comunicazione per sostenere e promuovere la prevenzione, la diagnosi, il trattamento e il monitoraggio delle malattie e la gestione della salute e dello stile di vita. Nel corso degli ultimi anni, le applicazioni dell’e-Health sono aumentate notevolmente. Si è progressivamente diffusa la refertazione digitale on-line, cioè la consegna all’assistito mediante procedure telematiche (web, posta elettronica certificata o altre modalità digitali). In notevole crescita è anche la telemedicina, ossia “quell’insieme di tecnologie di telecomunicazione e informatiche attraverso il quale è possibile fornire servizi diagnostici e, più in generale, assistenza medica a pazienti che si trovano in siti distanti da ospedali o presidi specialistici”.




EDPB


Acronimo di European Data Protection Board. Il Comitato europeo per la Protezione dei Dati (EDPB) è un organismo europeo indipendente il cui scopo è garantire un'applicazione coerente del Regolamento generale sulla Protezione dei Dati (GDPR) e promuovere la cooperazione tra le autorità di protezione dei dati dell' UE. Il 25 maggio 2018, l'EDPB ha sostituito il gruppo di lavoro “Articolo 29”.Il ruolo dell’EDPB include le seguenti competenze:

  • Pubblicare linee guida, raccomandazioni e identificare le migliori pratiche relative all'interpretazione e all'applicazione del RGPD,
  • Informare la Commissione europea in merito a questioni riguardanti la protezione dei dati personali nello Spazio economico europeo (SEE),
  • Adottare pareri volti a garantire la coerenza dell'applicazione del GDPR da parte delle autorità nazionali di vigilanza, in particolare in merito alle decisioni che hanno effetti transfrontalieri,
  • Fungere da organo di risoluzione nelle controversie tra autorità nazionali che cooperano all'applicazione legislativa nel contesto di casi transfrontalieri,
  • Incoraggiare lo sviluppo di codici di condotta e istituire meccanismi di certificazione nel campo della protezione dei dati,
  • Promuovere la cooperazione e lo scambio efficace di informazioni e buone pratiche tra le autorità nazionali di vigilanza.
Il Comitato europeo per la Protezione dei Dati è rappresentato dal suo presidente, eletto tra i membri del consiglio a maggioranza semplice, per un mandato di cinque anni, rinnovabile una volta. La stessa procedura elettorale e lo stesso mandato si applicano ai due vicepresidenti. Attualmente, la Presidenza del Comitato è rappresentata da:
  • Andrea Jelinek, presidente
  • Ventsislav Karadjov, vicepresidente
  • Aleid Wolfsen, vicepresidente
Il consiglio di amministrazione è composto dai rappresentanti delle autorità nazionali di protezione dei dati dei 27 paesi in seno all’EU, da 3 paesi appartenenti allo Spazio economico europeo e dal Garante europeo della protezione dei dati (GEPD).





F

Finalità del Trattamento


Il principio di finalità del trattamento prevede che i dati personali debbano essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” (articolo 5.1.b del GDPR). Si tratta di un principio generale che si fonda sulla stretta corrispondenza tra i motivi della raccolta dei dati personali e l’effettivo utilizzo degli stessi. Le finalità del trattamento devono sempre essere:

  • Determinate: il Titolare deve indicare in modo sufficientemente chiaro quali siano le finalità effettive per cui ha intenzione di raccogliere e trattare i dati personali. Non sono pertanto ammesse indicazioni generiche ovvero finalità, per così dire, in corso di definizione, indefinite e/o illimitate;
  • Esplicite: le finalità devono essere sufficientemente inequivocabili e chiaramente espresse. L’interessato deve, quindi, essere messo a conoscenza dei motivi per i cui i suoi dati sono trattati;
  • Legittime: le finalità del trattamento devono essere lecite rispetto alla normativa applicabile e, allo stesso tempo, legittime. Non sono dunque ammesse finalità contra legem e men che meno finalità lecite ma illegittime.
Il principio di finalità è inoltre correlato strettamente:
  • all’obbligo del titolare di dover informare gli interessati in merito alle finalità del trattamento;
  • al diritto degli interessati a prestare il consenso al trattamento (quando il consenso rappresenta la giusta condizione di liceità);
  • al corretto esercizio dei diritti degli interessati ai sensi di legge.





G

Gruppo di lavoro ex Articolo 29


ll Gruppo fu stato istituito dall'art. 29 della Direttiva Europea1995/46: era un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione. Il presidente veniiva eletto dal Gruppo al suo interno ed aveva un mandato di due anni, rinnovabile una volta.
Il Gruppo adottava le sue decisioni a maggioranza semplice dei rappresentanti delle autorità di controllo.
Fra i compiti più rilevanti tra quelli disciplinati dall'art.30 della direttiva:

  • esaminare le questioni attinenti all'applicazione delle norme nazionali di attuazione della direttiva;
  • formulare pareri sul livello di tutela nella Comunità e nei paesi terzi;
  • consigliare la Commissione in merito ad ogni progetto di modifica della direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle libertà, nonché in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti e libertà;
  • formulare pareri sui codici di condotta elaborati a livello comunitario;
  • formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardi la protezione dei dati personali nella Comunità;
  • definire i criteri di adeguatezza per i paesi terzi.
In particolare veniva indicato che, qualora ci fossero state delle divergenze tra le legislazioni degli stati membri che potevano pregiudicare l'equivalenza della tutela persone, il gruppo intervenisse informando la Commissione. Il gruppo aveva la possibilità, inoltre, di formulare di propria iniziativa delle raccomandazioni su qualsiasi questione riguardante la tutela dei dati personali nella Comunità. I pareri e le raccomandazioni del gruppo venivano trasmessi di regola alla Commissione.
La Commissione era tenuta ad informare il gruppo del seguito dato ai suoi pareri e raccomandazioni. Il 25 maggio 2018 è stato sostituito dal Comitato europeo per la protezione dei dati (EDPB) ai sensi del Regolamento Generale sulla protezione dei dati dell'UE 2016/679 (GDPR).




Gruppo imprenditoriale


Un gruppo costituito da un’impresa controllante e dalle imprese da questa controllate.




GEPD


Il Garante europeo della protezione dei dati (GEPD) è un'autorità di controllo indipendente il cui ruolo consiste nel garantire che le istituzioni e gli organi dell'UE adempiano ai loro obblighi in materia di protezione dei dati, sanciti dal regolamento (CE) n. 45/2001 sulla protezione dei dati personali. Le principali funzioni del GEPD sono il controllo, la consultazione e la cooperazione. Il gruppo di lavoro «Articolo 29» eraun organo consultivo indipendente sulla protezione dei dati e sulla privacy, istituito ai sensi dell'articolo 29 della direttiva sulla protezione dei dati. Era composto da rappresentanti delle autorità nazionali competenti in materia di protezione dei dati, del GEPD e della Commissione. Il gruppo formulava raccomandazioni e pareri ed elaborava documenti di lavoro. Il gruppo di lavoro «Articolo 29» è stato sostituito dal Comitato Europeo per la Protezione dei Dati nel quadro del nuovo Regolamento Generale sulla protezione dei dati.




Garante della Privacy


Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente italiana istituita dalla Legge 31 dicembre 1996, n. 675, per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali. Dal 2012 l'autorità è presieduta da Antonello Soro. Ai sensi del codice della privacy è costituita da quattro membri eletti dai due rami del Parlamento della Repubblica Italiana - che ne indivuduano due ciascuno - le candidature possono essere avanzate da persone che assicurino indipendenza e che risultino di comprovata esperienza nel settore della protezione dei dati personali, con particolare riferimento alle discipline giuridiche o dell'informatica e devono pervenire almeno trenta giorni prima della nomina e i curricula devono essere pubblicati negli stessi siti internet. I designati a loro volta quali eleggono uno di loro come presidente, il voto del quale prevale in caso di parità. All'atto dell'istituzione il mandato dei componenti durava quattro anni e poteva essere rinnovato; la durata per i mandati successivi è fissata in sette anni e il mandato non può essere rinnovato.





H


I

Impresa


La persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica.




Indirizzo IP


Un indirizzo IP (dall'inglese Internet Protocol address) - in informatica e nelle telecomunicazioni - è un'etichetta numerica che identifica univocamente un dispositivo collegato a una rete informatica che utilizza l'Internet Protocol come protocollo di rete. Gli indirizzi IP possono essere assegnati in maniera permanente (per esempio un server che si trova sempre allo stesso indirizzo) oppure in maniera temporanea, da un intervallo di indirizzi disponibili; di conseguenza gli indirizzi IP possono essere di due tipi: dinamici oppure statici.




ISO 9001


La norma ISO 9001 definisce i requisiti di un sistema di gestione per la qualità per un'organizzazione. I requisiti espressi sono di carattere generale e possono essere implementati da ogni tipologia di organizzazione; ultima revisione nel 2015 (ISO 9001:2015).
La ISO 9001 è la normativa di riferimento per chi vuole sottoporre a controllo qualità il proprio processo produttivo in modo ciclico, partendo dalla definizione dei requisiti (espressi e non) dei clienti, arrivando fino al monitoraggio di tutto il percorso/processo produttivo.
Il cliente e la sua soddisfazione sono al centro della ISO 9001; ogni attività, applicazione e monitoraggio delle attività/processi sono infatti volte a determinare il massimo soddisfacimento dell'utilizzatore finale. Le fasi di applicazione della norma partono dalla definizione delle procedure e registrazioni per ogni singolo processo o macro processo identificato all'interno dell'organizzazione aziendale.




ISO 9001 EA37


EA 37 identifica il settore Istruzione di Accredia e viene utilizzato per la Formazione Professionale.
I settori di Certificazione Accredia sono elencati su https://services.accredia.it/accredia_tablesett.jsp?ID_LINK=1750&area=310




Informativa (ora Informazioni sul trattamento dei dati personali)


Le informazioni che il titolare del trattamento deve fornire ad ogni interessato, verbalmente o per iscritto quando i dati sono raccolti presso l’interessato stesso, oppure presso terzi. Le informazioni sul trattamento dei dati personali devono precisare sinteticamente e in modo colloquiale:

  • quali sono gli scopi e le modalità del trattamento;
  • se l’interessato è obbligato o no a fornire i dati;
  • quali sono le conseguenze se i dati non vengono forniti;
  • a chi possono essere comunicati o diffusi i dati;
  • quali sono i diritti riconosciuti all’interessato;
  • chi sono il Titolare e l’eventuale responsabile della Protezione dei dati personai (DPO) e dove sono raggiungibili (indirizzo, telefono, fax, ecc.).




Interessato


La persona fisica identificata o identificabile cui si riferiscono i dati personali.




Incaricato (ora Soggetto Autorizzato)


Il Soggetto autorizzato (ex Incaricato) è la persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. L'autorizzato può operare alle dipendenze del titolare, ma anche del responsabile se nominato. Ovviamente gli autorizzati possono essere organizzati con diversi livelli di delega. Il regolamento europeo non prevede l'obbligo di nomina o designazione espressa, ma è fondamentale fornire agli autorizzati le istruzioni operative (art. 29 GDPR), compreso gli obblighi inerenti le misure di sicurezza, e che sia fornita loro la necessaria formazione. In caso contrario, infatti, anche in presenza di formali designazioni, queste sarebbero del tutto prive di valore. L'eventuale designazione non necessita di firma per accettazione, anche se è utile una firma per presa visione, quale prova della conoscenza dell'incarico e delle istruzioni fornite. L'autorizzato deve attenersi strettamente alle istruzioni ricevute, e non deve avere alcuna autonomia (altrimenti sarebbe "responsabile"). La normativa non prevede requisiti quantitativi per essere considerati autorizzati, per cui anche la semplice presa visione di un dato personale (es. il magazziniere che consulta la bolla di consegna, il portantino che trasporta il malato e la cartella sanitaria) si qualifica come trattamento.




ISO 16697:2017


Ha visto la luce a Novembre 2017 la norma UNI 11697 – “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che va a definire i profili legati al nuovo Regolamento Europeo 2016/679. E’ una certificazione delle competenze delle persone, ovvero un certificato che viene rilasciato ai singoli individui dopo un processo di controllo dei prerequisiti ed il superamento di un esame. Dopo anni in cui le certificazioni privacy (ad esempio il Data Protection Officer) erano rilasciate senza controllo centrale, e quindi con un grado di credibilità legato esclusivamente al credito che il mercato decideva di attribuire chi le rilasciava, oggi è stata emessa una norma tecnica, la UNI 11697, ed una circolare ACCREDIA. Il combinato disposto dei due documenti definisce i prerequisiti, le modalità di esame ed altre regole (ad esempio i requisiti di competenza degli esaminatori) che sono necessari per certificare e per essere certificati.




Institore


Nel diritto civile, l'institore è la persona fisica che ha la qualifica di dirigente preposto dal titolare all'esercizio di un'impresa commerciale.
La figura dell'institore è normata in Italia dal codice civile al libro V, articoli 2203 e seguenti: essa ha poteri di rappresentanza e dipende gerarchicamente direttamente dall'imprenditore, senza figure intermedie ( art. 2203).

La sua rappresentanza è esercitata sempre nei limiti dei poteri a lui conferiti dalla procura ( art. 2204).

La procura institoria non implica necessariamente l'insorgenza di un rapporto di lavoro subordinato, atteso che la procura può essere conferita in base ad un rapporto di varia natura.





L

Limitazione di trattamento


Il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro. Il diritto alla limitazione del trattamento consiste nel diritto da parte dell’interessato di esigere che il titolare del trattamento limiti le operazioni sui propri dati personali al verificarsi di determinate situazioni, ovvero:

  • quando ne contesta la veridicità: la limitazione può essere domandata al titolare del trattamento per il tempo a lui necessario per effettuare il controllo sull’esattezza dei tali dati personali;
  • quando il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali, chiedendone invece che ne sia limitato l’utilizzo (per precostituirsi la prova dell’illiceità del trattamento ad esempio);
  • quando i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  • quando l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1 del Regolamento ed attende che si concluda l’accertamento sull’eventuale prevalenza dell’interesse legittimo del titolare del trattamento rispetto a i diritti e alle libertà dell’interessato (si pensi a casi particolari in cui un datore di lavoro utilizza delle telecamere per il controllo dei dipendenti).




Legittimo interesse


Si tratta di un concetto nuovo per il nostro ordinamento che consente di considerare legittimo il trattamento dei dati personali qualora lo stesso sia effettuato per perseguire uno scopo legittimo del titolare a condizione che non siano prevalenti su tale scopo gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6, 1° comma, lett. f) del GDPR). Trattandosi di un nuovo istituto è utile, per comprenderne la portata e le modalità di attuazione, rifarsi al considerando n. 47 del GDPR chiarisce che per la valutazione della sussistenza di un legittimo interesse del titolare si deve innanzitutto tenere conto delle “ragionevoli aspettative dell’interessato in base alla sua relazione con il titolare del trattamento”. Tale valutazione, che nell’impostazione del Regolamento Europeo è svolta autonomamente dal Titolare, deve quindi basarsi su ciò che l’interessato potrebbe ragionevolmente attendersi rispetto al trattamento dei propri dati da parte del Titolare con cui abbia rapporti (o venga in contatto).





M

Meccanismo di coerenza


Viene adottato quando un’autorità di controllo intende prendere delle misure, con riguardo ad attività di trattamento di dati personali, che abbiano effetti giuridici su un numero significativo di interessati in vari Stati membri oppure può essere messo in atto quando un’autorità di controllo interessata o la Commissione EDPB chieda che tale questione sia trattata nell’ambito del meccanismo di coerenza, proprio per garantire un trattamento uniforme nei vari Stati.
Il meccanismo di coerenza rientra nella cooperazione tra le autorità di controllo degli stati membri che, allo scopo di contribuire all’applicazione coerente del Regolamento in tutta l’Unione Europea, cooperano tra loro e, nel caso, con la Commissione Europea mediante appunto il meccanismo di coerenza.
Può essere utilizzato anche per favorire una coerente applicazione delle sanzioni amministrative pecuniarie. Qualora ci siano divergenze, il Comitato emette una decisione vincolante a cui tutti gli stati membri dovranno uniformarsi.




Misure di sicurezza


Il GDPR stabilisce che i dati personali devono essere "trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)". Da notare che è l'intero trattamento a dover essere sicuro, non solo i dati come prodotto finale. Ciò comporta anche che le valutazioni di sicurezza vanno sviluppate per ogni tipo di trattamento. Le misure di sicurezza devono essere approntate "tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche".
Le misure di sicurezza, quindi, devono essere adeguate, imponendo non un'obbligazione di risultato, bensì un'obbligazione di mezzi, in modo che le misure siano ragionevolmente soddisfacenti alla luce delle conoscenze e delle prassi. Le misure di sicurezza si dividono in due categorie: misure organizzative e misure tecniche. Le misure tecniche comprendono, tra le altre:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
La sicurezza, infatti, non riguarda solo l'aspetto informatico del trattamento, ma anche l'aspetto organizzativo a coprire eventi quali la sottrazione o la perdita di documenti. Le misure di sicurezza, devono infatti garantire che:
  • i dati possono essere consultati, modificati, divulgati o cancellati solo dalle persone autorizzate a farlo (e che tali persone agiscono solo nell'ambito dell'autorità che gli viene concessa);
  • i dati trattati sono accurati e completi in relazione al motivo per cui lo stai elaborando;
  • i dati rimangono accessibili e utilizzabili, cioè, in caso di perdita, modifica o distruzione accidentale, si deve essere in grado di recuperarli e prevenire danni alle persone interessate, predisponendo un opportuno piano di continuità operativa.
Il principio di sicurezza prevede infine l'obbligo di riservatezza, integrità e disponibilità dei dati.





N

Norme vincolanti d’impresa


Le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune.





O

Organizzazione internazionale


Un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.




OMS


Acronimo di Organizzazione Mondiale della Sanità.

L’OMS (o World Health Organization, WHO in inglese) è un’agenzia dell’ONU fondata nel 1946 con sede a Ginevra, ha per obiettivo il raggiungimento da parte di tutte le popolazioni del livello più alto possibile di salute, definita nella medesima costituzione come condizione di completo benessere fisico, mentale e sociale, e non soltanto come assenza di malattia o di infermità.




Obiezione pertinente e motivata


Un'obiezione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove del caso, alla libera circolazione dei dati personali all'interno dell'Unione.





P

Phishing


Truffa informatica effettuata inviando un'e-mail con il logo contraffatto di un istituto di credito o di una società di commercio elettronico, in cui si invita il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.), motivando tale richiesta con ragioni di ordine tecnico.




Profilazione


Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.




Pseudonimizzazione


Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.




Privacy by Design e by Default


La Privacy by default comporta, da una parte, che i sistemi informatici utilizzati garantiscano conformità alla legge anche rispetto a come questi vengono impostati e che determinate informazioni vengano protette in modo rafforzato. Dall’altra parte comporta l’utilizzo di determinate impostazioni in automatico di maggiore tutela per l’utente: queste impostazioni vengono affidate a chi “costruisce” il sistema informatico. Per Privacy by design si intende, invece, la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo. L’attuale codice della privacy contiene in nuce la definizione delle PET – Privacy enabling technologies – che costituiscono il fondamento della privacy by design. Significa che i programmi informatici e i sistemi informativi devono essere configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi. Ciò consente di escludere il trattamento dei dati quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi o opportune modalità che permettano di identificare l’interessato solo in caso di necessità.





Q


R

Rappresentante del trattamento


La persona fisica o giuridica stabilita nell’Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell’articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del Regolamento Europeo 2016/679.




Registro del Trattamento Dati


Il R egolamento Europeo 2016/679 prevede, all’articolo 30, un importante strumento di compliance aziendale, in materia di dati personali: il registro delle attività di trattamento dei dati personali.

Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come previsto dal par. 4 dell’art. 30: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”

Il Registro del Trattamento Dati deve contenere:

  • Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  • Le finalità del trattamento;
  • La descrizione delle categorie di interessati e delle categorie di dati personali;
  • Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
  • Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
  • I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  • Una descrizione generale delle misure di sicurezza tecniche e organizzative.
Questo registro rappresenta dunque una delle novità (resiscitando in un certo modo il D.P.S. e uno degli adempimenti più importanti concernenti le attività di trattamento. L’obbligo di redazione e adozione del registro non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.” Bisogna ritenere che l’adozione del registro sia un mero obbligo, ma, come avveniva per il D.P.S., la sua redazione potrebbe avere ulteriori scopi:
  • Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.
  • Propagare all’interno informazione, consapevolezza e condivisione delle problematiche relative alla Privacy




Regolamento


Quando si parla o si scrive di Privacy, per Regolamento si intende per prassi il Regolamento Europeo 679/2016.




Responsabile del trattamento


La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.




RPD


Acronimo di Responsabile della Protezione dei Dati, detto anche DPO (Data Protection Officer). il Data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. La nomina del DPO all’interno di un’azienda è obbligatoria al verificarsi delle seguenti condizioni: – il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, escluse le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; – le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure – le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali (dati particolari | sensibili) o di dati relativi a condanne penali e a reati.




RGPD


Acronimo di Regolamento Generale sulla Protezione dei Dati. Più usato: GDPR (General Data Protection Regulation). Corrisponde al Regolamento Europeo 2016/679




RNA


Acronimo di RiboNucleic Acid (Acido RiboNucleico).

E’ una molecola polimerica implicata in vari ruoli biologici di codifica, decodifica, regolazione e l'espressione dei geni. L'RNA e il DNA sono acidi nucleici, e, insieme con proteine e carboidrati, costituiscono le tre principali macromolecole essenziali per tutte le forme di vita conosciute.




Registro dei consensi


Il consenso ai sensi del GDPR è una questione di primaria importanza: è obbligatorio registrare in modo puntuale i consensi ottenuti affinché l’organizzazione sia in grado di dimostrare che l’utente abbia effettivamente prestato il consenso; in caso di problemi, l’onere della prova è a carico del titolare del trattamento, quindi la tenuta di un registro accurato è vitale. Il registro deve includere:

  • chi ha fornito il consenso;
  • quando e come è stato acquisito il consenso del singolo utente;
  • il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso;
  • un riferimento ai documenti legali e alle condizioni in essere nel momento in cui il consenso è stato acquisito.




Revoca del consenso


L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di prestare il proprio consenso, l'interessato è informato di questa possibilità. Il consenso è revocato con la stessa facilità con cui è accordato





S

Scala ADL o di Katz


Attività di vita quotidiana (ADL) è un termine utilizzato nella sanità per definire le attività quotidiane per la cura personale.
Le ADL di base consistono in attività di cura personale che includono:

  • La mobilità funzionale, spesso riferita a un movimento (spostarsi da un luogo a un altro compiendo le attività).
    Per la maggior parte della gente, la mobilità funzionale è calcolata in base alla loro capacità di camminare, salire e scendere dal letto, sedersi o alzarsi dalla sedia; la suddetta definizione generica è utile per quanto riguarda le persone con diverse capacità fisiche che sono ancora in grado di deambulare in maniera indipendente
  • Fare un bagno o la doccia (lavare il corpo)
  • Vestirsi
  • Nutrirsi in maniera autosufficiente (esclusa la capacità di cucinare, masticare o ingoiare)
  • Badare alla propria igiene e cure personale (inclusi spazzolarsi, pettinarsi e sistemarsi i capelli)
  • Igiene legato alla toilette (andare al bagno, pulirsi da soli, rialzarsi dalla tazza)




Soft Spam


Per “soft-spam” si intende l’utilizzo della email che il tuo cliente ti ha fornito in occasione del proprio acquisto online per vendere prodotti e servizi analoghi a quelli della precedente vendita. Questo utilizzo è consentito senza dover richiedere al cliente il consenso al trattamento della email (che ricordiamo, è un dato personale del consumatore).
Da ricordare che l’uso del Soft-Spam è consentito se il cliente, adeguatamente informato, non si oppone, anche nell’ambito di successive comunicazioni. Sotto questo profilo, ogni comunicazione deve mettere il consumatore di esercitare il proprio diritto di opposizione!




Spam mirato


E’ la forma di spam basata sulla profilazione dell’utente, inviata cioè ad un target ristretto ad alcuni valori relativi all’utente (età, sesso, preferenze,etc) che fa leva su tecniche di profilazione e di tracciamento della navigazione sempre più adottate e spesso a cavallo della legalità.




Stabilimento principale


a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento.




Servizio della società dell'informazione


Il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio: qualsiasi servizio della società dell'informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi.




Stato terzo


Uno Stato non appartenente alla Camunità Europea.




Soggetto Autorizzato (ex Incaricato)


Il Soggetto autorizzato è la persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. L'autorizzato può operare alle dipendenze del titolare, ma anche del responsabile se nominato. Ovviamente gli autorizzati possono essere organizzati con diversi livelli di delega. Il regolamento europeo non prevede l'obbligo di nomina o designazione espressa, ma è fondamentale fornire agli autorizzati le istruzioni operative (art. 29 GDPR), compreso gli obblighi inerenti le misure di sicurezza, e che sia fornita loro la necessaria formazione. In caso contrario, infatti, anche in presenza di formali designazioni, queste sarebbero del tutto prive di valore. L'eventuale designazione non necessita di firma per accettazione, anche se è utile una firma per presa visione, quale prova della conoscenza dell'incarico e delle istruzioni fornite. L'autorizzato deve attenersi strettamente alle istruzioni ricevute, e non deve avere alcuna autonomia (altrimenti sarebbe "responsabile"). La normativa non prevede requisiti quantitativi per essere considerati autorizzati, per cui anche la semplice presa visione di un dato personale (es. il magazziniere che consulta la bolla di consegna, il portantino che trasporta il malato e la cartella sanitaria) si qualifica come trattamento.




Sub-Responsabile del Trattamento


È il soggetto che pone in essere attività di trattamento di dati personali, per conto e su delega del Responsabile di Trattamento. La nomina avviene da parte del Responsabile, in forma scritta e con delega e indicazione del perimetro di responsabilità sub-delegate assegnate: il tutto previa autorizzazione del Titolare.





T

Terzo


La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.




Titolare del trattamento


La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.




Trattamento


Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.




Trattamento transfrontaliero


a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure: b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.




TFU


Acronimo di Trattato sul Funzionamento dell’ Unione Europea. Il Trattato sul Funzionamento dell'Unione europea (TFU oppure TFUE) è, accanto al trattato sull'Unione europea (TUE), uno dei trattati fondamentali dell'Unione europea (UE). Assieme costituiscono le basi fondamentali del diritto primario nel sistema politico dell'UE; secondo l'articolo 1 del TFUE, i due trattati hanno pari valore giuridico e vengono definiti nel loro insieme come "i trattati". Saltuariamente vengono pertanto anche indicati come "diritto costituzionale europeo", tuttavia formalmente sono trattati internazionali tra gli Stati membri dell'UE.




TFUE


Acronimo di Trattato sul Funzionamento dell’ Unione Europea. Il Trattato sul Funzionamento dell'Unione europea (TFU oppure TFUE) è, accanto al trattato sull'Unione europea (TUE), uno dei trattati fondamentali dell'Unione europea (UE). Assieme costituiscono le basi fondamentali del diritto primario nel sistema politico dell'UE; secondo l'articolo 1 del TFUE, i due trattati hanno pari valore giuridico e vengono definiti nel loro insieme come "i trattati". Saltuariamente vengono pertanto anche indicati come "diritto costituzionale europeo", tuttavia formalmente sono trattati internazionali tra gli Stati membri dell'UE.




TUE


Acronimo di Trattato dell’Unione Europea. l Trattato di Maastricht, o Trattato dell'Unione europea (TUE), è un trattato che è stato firmato il 7 febbraio 1992 a Maastricht nei Paesi Bassi, sulle rive della Mosa, dai dodici paesi membri dell'allora Comunità Europea, oggi Unione europea, che fissa le regole politiche e i parametri economici e sociali necessari per l'ingresso dei vari Stati aderenti nella suddetta Unione. È entrato in vigore il 1º novembre 1993.









U


V

Violazione dei dati personali


La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.




Valutazione d’impatto


l GDPR impone un nuovo obbligo ai controllori dei dati e ai processori di dati di condurre una Valutazione d’Impatto sulla Protezione dei Dati (nota anche come PIA – Privacy Impact Assessment) prima di intraprendere un trattamento che presenti un rischio specifico per i dati degli interessati in virtù della sua natura, del campo di applicazione o dello scopo. Guarda le linee guida del Garante della Privacy





W


X


Y


Z


© 2020 Collegio Italiano Privacy - Dipartimento del Collegio Periti Italiani - Codice Fiscale: 96174850584 - Privacy Policy