Glossario della Privacy
A
Accesso Civico
L’accesso civico è definito dall’art. 5 del D.Lgs 33/2013 (detto Decreto Trasparenza): “l’obbligo previsto dalla normativa vigente in capo alle pubbliche amministrazioni di pubblicare documenti, informazioni o dati comporta il diritto di chiunque di richiedere i medesimi, nei casi in cui sia stata omessa la loro pubblicazione”.
L’istituto dell’accesso civico consente a chiunque il diritto di richiedere, gratuitamente e senza necessità di motivazione, documenti, informazioni o dati di cui le pubbliche amministrazioni hanno omesso la pubblicazione prevista dalla normativa vigente.
Per l’esercizio dell’accesso civico la richiesta deve essere presentata al
Responsabile della trasparenza e, in caso di ritardo o di mancata risposta, al titolare del potere sostitutivo (per esempio nei Comuni il Segretario Generale, nelle Scuole il Dirigente Scolastico).
Accredia
Tali enti devono aderire a
EA (European Cooperation for Accreditation) che ne sorveglia l'attività, al fine di garantire un sistema omogeneo di accreditamento degli organismi di valutazione della conformità dei prodotti, per l'apposizione della marcatura CE.
L'EA ha accettato ACCREDIA come socio, in sostituzione di SINAL e SINCERT, e come firmatario dell'accordo di mutuo riconoscimento.
Pertanto, le valutazioni di conformità rilasciate sono ritenute valide in tutti i maggiori mercati del mondo.
Per maggiori informazioni consultare il sito:
www.accredia.it.
Archivio
Qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.
ADL
Activity Daily Living
L’acronimo inglese ADL viene utilizzato quando si vuole descrivere quelle normali e quotidiane attività di cura della persona, indispensabili per condurre una vita autonoma ed autosufficiente.(vedi Glossario Scala ADL o di Katz)
Accountability
"responsabilizzazione" dei Titolari e Responsabili del Trattamento, nell’adottare proattivamente comportamenti tali da dimostrare l’adozione di misure concrete per assicurare l’applicazione al GDPR.
Autorità di controllo
L’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51.
Autorità di controllo interessata
Autorità di controllo capofila
In caso di trattamento transfrontaliero, è l’autorità di controllo dove ha sede il Titolare o il Responsabile del trattamento, a cui viene trasferita la competenza sul trattamento stesso rispetto ad altre autorità di controllo (definite “autorità interessate”). In base al “principio di sportello unico”, per ogni trattamento transfrontaliero il controllo viene effettato sotto la direzione di un'unica autorità capofila. In tali ipotesi, l’attribuzione della competenza deve essere quindi valutata, poiché ci possono essere diversi casi, come ad esempio quello in cui una multinazionale ha la sede dell’amministrazione centrale in un paese, e ha in un altro paese uno stabilimento che assume decisioni autonome su finalità e mezzi di uno specifico trattamento.
B
Basi giuridiche del trattamento
-
L’utente ha prestato il proprio consenso per una o più specifiche finalità;
-
Il trattamento dei dati è necessario per l’esecuzione di un contratto al quale l’utente ha aderito, o per intraprendere azioni (su richiesta dell’utente) preliminari alla stipula del contratto;
-
Il trattamento è necessario per l’adempimento ad un obbligo di legge al quale il titolare del trattamento è soggetto;
-
Il trattamento è necessario per la tutela di interessi vitali dell’utente o di terzi;
-
Il trattamento è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento;
-
Il trattamento è necessario per interesse legittimo del titolare del trattamento o di terzi, a meno che non prevalgano gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore.
C
Check Box
Solitamente, i checkbox sono mostrati sullo schermo come dei quadrati che possono contenere spazio bianco (quando non sono selezionati) oppure segno di spunta (quando sono selezionati).
Adiacente al checkbox è solitamente mostrata una breve descrizione.
Per invertire lo stato (selezionato/non selezionato) del checkbox è sufficiente cliccare sul riquadro o sulla descrizione.
Codice
Quando si parla o si scrive di Privacy, per Codice si intende per prassi il Dlgs 196/2003.
Compliance
E’ la cura e il consolidamento dell’immagine aziendale dal punto di vista della correttezza delle procedure e del rispetto delle norme.
Consenso dell'interessato
Qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
Considerando
I considerando (recital in inglese) sono una serie di norme introduttive che forniscono dei criteri da tenere presente nell'interpretazione degli articoli.
Cookie
I cookie HTTP (più comunemente denominati cookie web, o per antonomasia cookie) una sorta di gettone identificativo, usato dai server web per poter riconoscere i browser durante comunicazioni con il protocollo HTTP usato per la navigazione web.
Tale riconoscimento permette di realizzare meccanismi di autenticazione, usati ad esempio per i login; di memorizzare dati utili alla sessione di navigazione, come le preferenze sull'aspetto grafico o linguistico del sito; di associare dati memorizzati dal server, ad esempio il contenuto del carrello di un negozio elettronico; di tracciare la navigazione dell'utente, ad esempio per fini statistici o pubblicitari.
CAD
Codice dell’Amministrazione Digitale
E’ il D.Lgs. n. 82/2005, aggiornato, da ultimo, con le modifiche apportate dal Decreto Legislativo n. 179/2016.
Da un’attenta lettura del Codice dell’Amministrazione Digitale, si desume chiaramente che la conoscenza della disciplina privacy è una premessa fondamentale e imprescindibile per la corretta comprensione ed applicazione delle disposizioni legislative in esso contenute:in tutto il testo di legge, infatti, ritroviamo continui ed espliciti richiami al
D.lgs 196/2003.
CD o c.d.
CERT
Computer Emergency Response Team (ovvero Squadra per la risposta ad emergenze informatiche).
Oggi l'acronimo viene inteso anche come "Computer Emergency Readiness Team", con l'intento di sottolineare l'attenzione volta alla prevenzione dei rischi.
Un'altra sigla usata per identificare questi gruppi è
CSIRT (“Computer Security Incident Response Team”), ovvero Squadre preposte a rispondere in caso di incidenti informatici.
CSIRT
Contitolare del Trattamento
Quando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento.
Comitato Europeo per la Protezione dei Dati
Il Comitato Europeo per la Protezione dei Dati (EDPB) è un organismo europeo indipendente il cui scopo è garantire un'applicazione coerente del Regolamento generale sulla Protezione dei Dati (GDPR) e promuovere la cooperazione tra le autorità di protezione dei dati dell' UE.
-
Pubblicare linee guida, raccomandazioni e identificare le migliori pratiche relative all'interpretazione e all'applicazione del RGPD,
-
Informare la Commissione europea in merito a questioni riguardanti la protezione dei dati personali nello Spazio economico europeo (SEE),
-
Adottare pareri volti a garantire la coerenza dell'applicazione del GDPR da parte delle autorità nazionali di vigilanza, in particolare in merito alle decisioni che hanno effetti transfrontalieri,
-
Fungere da organo di risoluzione nelle controversie tra autorità nazionali che cooperano all'applicazione legislativa nel contesto di casi transfrontalieri,
-
Incoraggiare lo sviluppo di codici di condotta e istituire meccanismi di certificazione nel campo della protezione dei dati,
-
Promuovere la cooperazione e lo scambio efficace di informazioni e buone pratiche tra le autorità nazionali di vigilanza.
-
Andrea Jelinek, presidente
-
Ventsislav Karadjov, vicepresidente
-
Aleid Wolfsen, vicepresidente
Comunicazione
E' lo strumento per far conoscere dati personali a uno o più soggetti determinati (che non siano l'interessato, il responsabile o il soggetto autorizzato), in qualunque forma, anche attraverso la loro messa a disposizione o consultazione (vedi "diffusione").
D
Data Breach
Si intende per data breach la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico nella Comunità”.
In realtà il concetto più generale di “data breach” non riguarda strettamente i dati personali e i servizi accessibili al pubblico, si riporta a qualsiasi contesto in cui ci sia una violazione dei dati.
In sostanza è la trasmissione o comunicazione non autorizzata di informazioni “sensibili” ad una parte, solitamente esterna all’organizzazione vittima, che non è autorizzata a possedere o vedere l’informazione.
Dati Biometrici
I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.
Dati Genetici
I dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.
Dati Personali relativi alla salute
I dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Dati Personali
Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Destinatario
La persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi.
Documento Programmatico sulla Sicurezza
L'adozione di un documento programmatico sulla sicurezza (DPS) era un obbligo previsto dal DLgs 196/2003; l'obbligo esisteva per tutte le imprese, lavoratori autonomi, enti o associazioni che trattano i dati personali - anche sensibili, giudiziari o con strumenti elettronici - ed è venuto meno a seguito del Decreto Legge n. 5 del 9 febbraio 2012, convertito dalla Legge n. 35 del 4 aprile 2012.
Il documento andava predisposto ed aggiornato annualmente entro il 31 marzo successivo, per attestare la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali.
Il
DL 9 febbraio 2012 n. 5 ha modificato alcune disposizioni in materia di misure minime di sicurezza sopprimendo in particolare il Documento Programmatico di Sicurezza.
DNA
DPIA
Data Protection Impact Assessment.
Il DPIA (in italiano Valutazione dell'impatto sulla protezione dei dati) è un’attività cui è tenuto il titolare del trattamento prima di compiere operazioni su dati personali che pongano a rischio elevato i diritti degli interessati.
La finalità è quella di valutare la proporzionalità e necessità del trattamento e analizzare i rischi a cui esso espone gli interessati, indicando e ponendo in essere misure idonee per eliminarli o mitigarli.
il DPIA fotografa in definitiva l’“impatto privacy” di una determinata attività e le azioni predisposte in chiave di prevenzione del rischio.
DPO
Data Protection Officier.
Il DPO è una persona esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento di dati personali, e dunque la loro protezione, all'interno di un'azienda, di un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente.
DPS
Il documento andava predisposto ed aggiornato annualmente entro il 31 marzo successivo, per attestare la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali.
Il
DL 9 febbraio 2012 n. 5 ha modificato alcune disposizioni in materia di misure minime di sicurezza sopprimendo in particolare il Documento Programmatico di Sicurezza.
DSA
Acronimo di Disturbi Specifici di Apprendimento.
Con la locuzione disturbi specifici di apprendimento (DSA), definiti anche con la sigla F81 nella Classificazione Internazionale ICD-10 dell'Organizzazione mondiale della sanità, si intendono disturbi nell'apprendimento di alcune abilità specifiche che non permettono una completa autosufficienza nell'apprendimento, poiché le difficoltà si sviluppano sulle attività che servono per la trasmissione della cultura come, ad esempio, la lettura, la scrittura e/o fare calcoli.
DSGA
Nella Scuola sovrintende ai servizi generali amministrativo-contabili e ne cura l’organizzazione svolgendo funzioni di coordinamento, promozione delle attività e verifica dei risultati.
Organizza autonomamente l’attività del personale A.T.A. nell’ambito delle direttive del Dirigente scolastico.
Attribuisce al personale A.T.A. incarichi di natura organizzativa e le prestazioni di lavoro eccedenti l’orario d’obbligo, quando necessario.
Svolge attività di istruzione, predisposizione e formalizzazione degli atti amministrativi e contabili; è consegnatario dei beni mobili.
Sovrintende, con autonomia operativa, ai servizi generali ed amministrativo – contabili e ne cura l’organizzazione svolgendo funzione di coordinamento, promozione delle attività e verifica dei risultati conseguiti, rispetto degli obiettivi assegnati ed agli indirizzi impartiti al personale A.T.A., posto alle sue direttedipendenze.
Può svolgere attività di studio e di elaborazione di piani e programmi richiedente specifica specializzazione professionale, con autonoma determinazione dei processi formativi ed attuativi.
Può svolgere incarichi di attività di tutor, di aggiornamento e formazione nei confronti del personale. Il D.S.G.A., in ambito finanziario e contabile è il responsabile della contabilità e degli adempimenti fiscali.
Inoltre:
-
attua la gestione del programma annuale (ex bilancio di previsione) e del conto consuntivo;
-
emette i mandati di pagamento e reversali d’incasso;
-
effettua la verifica dei c/c intestati all’Istituto;
-
predispone la scheda finanziaria analitica per ogni singolo progetto/attività previsti dal Programma Annuale;
-
definisce ed esegue tutti gli atti contabili, di ragioneria ed economato;
-
cura l’attuazione amministrativa, finanziaria e contabile delle delibere del Consiglio d’Istituto in materia di bilancio;
-
predispone la relazione sullo stato delle entrate, degli impegni di spesa, dei pagamenti eseguiti;
-
cura l’istruttoria delle attività contrattuali;
-
determina l’ammontare presunto dell’avanzo d’amministrazione;
-
valuta e seleziona i fornitori, gestendo le offerte e gli ordini di acquisto, consultandosi con il Dirigente scolastico;
-
gestisce la manutenzione ordinaria dell’Istituto, interfacciandosi con fornitori qualificati;
-
gestisce le scorte del magazzino.
Dati Personali Giudiziari
Dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
Dati Personali Particolari (Ex Sensibili)
Dati personali che rivelino:
-
l’origine razziale o etnica,
-
le opinioni politiche,
-
le convinzioni religiose o filosofiche,
-
l’appartenenza sindacale,
-
dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica,
-
dati relativi alla salute,
-
dati relativi alla vita sessuale o all’orientamento sessuale della persona.
Diritto alla portabilità
L’interessato ha il diritto di richiedere i propri dati personali e poterli trasferire da un Titolare all’altro. Tale diritto mira a facilitare la circolazione, la copia o il trasferimento dei dati personali da un ambiente informatico all’altro senza impedimenti.
Diritto alla rettifica
L’interessato ha la possibilità di richiedere al Titolare, in qualsiasi momento, la modifica dei propri dati personali qualora questi risultassero inesatti.
Diritto alla cancellazione (cosidetto diritto all’oblio)
L’interessato ha la possibilità di richiedere lacancellazione di tutti i propri dati personali al Titolare del trattamento.
Diritto di accesso
L’interessato ha il diritto di richiedere e ottenere, al Titolare del trattamento, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, con una descrizione esatta delle modalità e finalità.
Doppio opt-in (Doppio consenso)
Il doppio consenso che deve dare l'interessato in due step separati:
-
prima nel form di richiesta sulla pagina del blog o del sito per accedere ad una determinata offerta
-
dopo nella successiva mail di conferma che gli viene inviata, in cui deve dare nuovamente il suo consenso all’utilizzo e al trattamento dei dati che ha condiviso con l’azienda. Buona pratica sarebbe che nell'email sia riportato il testo della politica della privacy adottata dall'azienda
Diffusione
Per diffusione si intende il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione.
Diritto di opposizione
L’interessato ha la possibilità di opporsi, in qualsiasi momento e per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano.
Data Retention
Tra i più discussi adempimenti imposti dal Regolamento c’è la definizione del “periodo di conservazione dei dati personali” (data retention) e più precisamente dei “criteri utilizzati per determinare tale periodo” (art 13, comma 2, lettera a del Regolamento).
Dati Identificativi
Dati personali che permettono l’identificazione diretta dell’interessato.
Dati Anonimi
Dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.
E
e-Health
EDPB
Acronimo di European Data Protection Board.
-
Pubblicare linee guida, raccomandazioni e identificare le migliori pratiche relative all'interpretazione e all'applicazione del RGPD,
-
Informare la Commissione europea in merito a questioni riguardanti la protezione dei dati personali nello Spazio economico europeo (SEE),
-
Adottare pareri volti a garantire la coerenza dell'applicazione del GDPR da parte delle autorità nazionali di vigilanza, in particolare in merito alle decisioni che hanno effetti transfrontalieri,
-
Fungere da organo di risoluzione nelle controversie tra autorità nazionali che cooperano all'applicazione legislativa nel contesto di casi transfrontalieri,
-
Incoraggiare lo sviluppo di codici di condotta e istituire meccanismi di certificazione nel campo della protezione dei dati,
-
Promuovere la cooperazione e lo scambio efficace di informazioni e buone pratiche tra le autorità nazionali di vigilanza.
-
Andrea Jelinek, presidente
-
Ventsislav Karadjov, vicepresidente
-
Aleid Wolfsen, vicepresidente
F
Finalità del Trattamento
Il principio di finalità del trattamento prevede che i dati personali debbano essere “raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità” (articolo 5.1.b del GDPR).
-
Determinate: il Titolare deve indicare in modo sufficientemente chiaro quali siano le finalità effettive per cui ha intenzione di raccogliere e trattare i dati personali. Non sono pertanto ammesse indicazioni generiche ovvero finalità, per così dire, in corso di definizione, indefinite e/o illimitate;
-
Esplicite: le finalità devono essere sufficientemente inequivocabili e chiaramente espresse. L’interessato deve, quindi, essere messo a conoscenza dei motivi per i cui i suoi dati sono trattati;
- Legittime: le finalità del trattamento devono essere lecite rispetto alla normativa applicabile e, allo stesso tempo, legittime. Non sono dunque ammesse finalità contra legem e men che meno finalità lecite ma illegittime.
-
all’obbligo del titolare di dover informare gli interessati in merito alle finalità del trattamento;
-
al diritto degli interessati a prestare il consenso al trattamento (quando il consenso rappresenta la giusta condizione di liceità);
-
al corretto esercizio dei diritti degli interessati ai sensi di legge.
G
Gruppo di lavoro ex Articolo 29
Il Gruppo adottava le sue decisioni a maggioranza semplice dei rappresentanti delle autorità di controllo.
Fra i compiti più rilevanti tra quelli disciplinati dall'art.30 della direttiva:
-
esaminare le questioni attinenti all'applicazione delle norme nazionali di attuazione della direttiva;
-
formulare pareri sul livello di tutela nella Comunità e nei paesi terzi;
-
consigliare la Commissione in merito ad ogni progetto di modifica della direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle libertà, nonché in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti e libertà;
-
formulare pareri sui codici di condotta elaborati a livello comunitario;
-
formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardi la protezione dei dati personali nella Comunità;
-
definire i criteri di adeguatezza per i paesi terzi.
La Commissione era tenuta ad informare il gruppo del seguito dato ai suoi pareri e raccomandazioni.
Gruppo imprenditoriale
GEPD
Garante della Privacy
H
I
Impresa
La persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un’attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un’attività economica.
Indirizzo IP
Un indirizzo IP (dall'inglese Internet Protocol address) - in informatica e nelle telecomunicazioni - è un'etichetta numerica che identifica univocamente un dispositivo collegato a una rete informatica che utilizza l'Internet Protocol come protocollo di rete.
ISO 9001
La norma ISO 9001 definisce i requisiti di un sistema di gestione per la qualità per un'organizzazione.
La ISO 9001 è la normativa di riferimento per chi vuole sottoporre a controllo qualità il proprio processo produttivo in modo ciclico, partendo dalla definizione dei requisiti (espressi e non) dei clienti, arrivando fino al monitoraggio di tutto il percorso/processo produttivo.
Il cliente e la sua soddisfazione sono al centro della ISO 9001; ogni attività, applicazione e monitoraggio delle attività/processi sono infatti volte a determinare il massimo soddisfacimento dell'utilizzatore finale.
ISO 9001 EA37
EA 37 identifica il settore Istruzione di Accredia e viene utilizzato per la Formazione Professionale.
I settori di Certificazione Accredia sono elencati su https://services.accredia.it/accredia_tablesett.jsp?ID_LINK=1750&area=310
Informativa (ora Informazioni sul trattamento dei dati personali)
-
quali sono gli scopi e le modalità del trattamento;
-
se l’interessato è obbligato o no a fornire i dati;
-
quali sono le conseguenze se i dati non vengono forniti;
-
a chi possono essere comunicati o diffusi i dati;
-
quali sono i diritti riconosciuti all’interessato;
-
chi sono il Titolare e l’eventuale responsabile della Protezione dei dati personai (DPO) e dove sono raggiungibili (indirizzo, telefono, fax, ecc.).
Interessato
La persona fisica identificata o identificabile cui si riferiscono i dati personali.
Incaricato (ora Soggetto Autorizzato)
ISO 16697:2017
Ha visto la luce a Novembre 2017 la norma UNI 11697 – “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che va a definire i profili legati al nuovo Regolamento Europeo 2016/679.
Institore
La sua rappresentanza è esercitata sempre nei limiti dei poteri a lui conferiti dalla procura (
art. 2204).
La procura institoria non implica necessariamente l'insorgenza di un rapporto di lavoro subordinato, atteso che la procura può essere conferita in base ad un rapporto di varia natura.
L
Limitazione di trattamento
Il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro.
-
quando ne contesta la veridicità: la limitazione può essere domandata al titolare del trattamento per il tempo a lui necessario per effettuare il controllo sull’esattezza dei tali dati personali;
-
quando il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali, chiedendone invece che ne sia limitato l’utilizzo (per precostituirsi la prova dell’illiceità del trattamento ad esempio);
-
quando i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
-
quando l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1 del Regolamento ed attende che si concluda l’accertamento sull’eventuale prevalenza dell’interesse legittimo del titolare del trattamento rispetto a i diritti e alle libertà dell’interessato (si pensi a casi particolari in cui un datore di lavoro utilizza delle telecamere per il controllo dei dipendenti).
Legittimo interesse
Si tratta di un concetto nuovo per il nostro ordinamento che consente di considerare legittimo il trattamento dei dati personali qualora lo stesso sia effettuato per perseguire uno scopo legittimo del titolare a condizione che non siano prevalenti su tale scopo gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6, 1° comma, lett. f) del GDPR).
M
Meccanismo di coerenza
Il meccanismo di coerenza rientra nella cooperazione tra le autorità di controllo degli stati membri che, allo scopo di contribuire all’applicazione coerente del Regolamento in tutta l’Unione Europea, cooperano tra loro e, nel caso, con la Commissione Europea mediante appunto il meccanismo di coerenza.
Può essere utilizzato anche per favorire una coerente applicazione delle sanzioni amministrative pecuniarie.
Misure di sicurezza
Le misure di sicurezza, quindi, devono essere adeguate, imponendo non un'obbligazione di risultato, bensì un'obbligazione di mezzi, in modo che le misure siano ragionevolmente soddisfacenti alla luce delle conoscenze e delle prassi.
-
la pseudonimizzazione e la cifratura dei dati personali;
-
la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
-
la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
-
una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
-
i dati possono essere consultati, modificati, divulgati o cancellati solo dalle persone autorizzate a farlo (e che tali persone agiscono solo nell'ambito dell'autorità che gli viene concessa);
-
i dati trattati sono accurati e completi in relazione al motivo per cui lo stai elaborando;
-
i dati rimangono accessibili e utilizzabili, cioè, in caso di perdita, modifica o distruzione accidentale, si deve essere in grado di recuperarli e prevenire danni alle persone interessate, predisponendo un opportuno piano di continuità operativa.
N
Norme vincolanti d’impresa
Le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune.
O
Organizzazione internazionale
OMS
L’OMS (o World Health Organization, WHO in inglese) è un’agenzia dell’ONU fondata nel 1946 con sede a Ginevra, ha per obiettivo il raggiungimento da parte di tutte le popolazioni del livello più alto possibile di salute, definita nella medesima costituzione come condizione di completo benessere fisico, mentale e sociale, e non soltanto come assenza di malattia o di infermità.
Obiezione pertinente e motivata
Un'obiezione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove del caso, alla libera circolazione dei dati personali all'interno dell'Unione.
P
Phishing
Profilazione
Qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
Pseudonimizzazione
Il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
Privacy by Design e by Default
La Privacy by default comporta, da una parte, che i sistemi informatici utilizzati garantiscano conformità alla legge anche rispetto a come questi vengono impostati e che determinate informazioni vengano protette in modo rafforzato.
Q
R
Rappresentante del trattamento
Registro del Trattamento Dati
Tenuto anche in formato elettronico dal Titolare del trattamento dei dati, tale registro dovrà essere messo a disposizione dell’Autorità Garante qualora lo richieda, così come previsto dal par. 4 dell’art. 30: “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”
Il Registro del Trattamento Dati deve contenere:
-
Il nome e i dati di contatto del titolare del trattamento e, se presente, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
-
Le finalità del trattamento;
-
La descrizione delle categorie di interessati e delle categorie di dati personali;
-
Le categorie di destinatari a cui i dati personali siano stati o saranno comunicati, compresi i destinatari di paesi terzi;
-
Se presenti, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
-
I termini ultimi previsti per la cancellazione delle diverse categorie di dati;
-
Una descrizione generale delle misure di sicurezza tecniche e organizzative.
-
Costituire lo strumento di pianificazione e controllo della politica della sicurezza di dati e banche di dati.
-
Propagare all’interno informazione, consapevolezza e condivisione delle problematiche relative alla Privacy
Regolamento
Quando si parla o si scrive di Privacy, per Regolamento si intende per prassi il Regolamento Europeo 679/2016.
Responsabile del trattamento
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
RPD
Acronimo di Responsabile della Protezione dei Dati, detto anche DPO (Data Protection Officer).
RGPD
Acronimo di Regolamento Generale sulla Protezione dei Dati.
RNA
Acronimo di RiboNucleic Acid (Acido RiboNucleico).
E’ una molecola polimerica implicata in vari ruoli biologici di codifica, decodifica, regolazione e l'espressione dei geni. L'RNA e il DNA sono acidi nucleici, e, insieme con proteine e carboidrati, costituiscono le tre principali macromolecole essenziali per tutte le forme di vita conosciute.
Registro dei consensi
-
chi ha fornito il consenso;
-
quando e come è stato acquisito il consenso del singolo utente;
-
il modulo di raccolta del consenso presentato all’utente in fase di raccolta dello stesso;
-
un riferimento ai documenti legali e alle condizioni in essere nel momento in cui il consenso è stato acquisito.
Revoca del consenso
L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento.
S
Scala ADL o di Katz
Le ADL di base consistono in attività di cura personale che includono:
-
La mobilità funzionale, spesso riferita a un movimento (spostarsi da un luogo a un altro compiendo le attività).
Per la maggior parte della gente, la mobilità funzionale è calcolata in base alla loro capacità di camminare, salire e scendere dal letto, sedersi o alzarsi dalla sedia; la suddetta definizione generica è utile per quanto riguarda le persone con diverse capacità fisiche che sono ancora in grado di deambulare in maniera indipendente
-
Fare un bagno o la doccia (lavare il corpo)
-
Vestirsi
-
Nutrirsi in maniera autosufficiente (esclusa la capacità di cucinare, masticare o ingoiare)
-
Badare alla propria igiene e cure personale (inclusi spazzolarsi, pettinarsi e sistemarsi i capelli)
-
Igiene legato alla toilette (andare al bagno, pulirsi da soli, rialzarsi dalla tazza)
Soft Spam
Da ricordare che l’uso del Soft-Spam è consentito se il cliente, adeguatamente informato, non si oppone, anche nell’ambito di successive comunicazioni.
Spam mirato
E’ la forma di spam basata sulla profilazione dell’utente, inviata cioè ad un target ristretto ad alcuni valori relativi all’utente (età, sesso, preferenze,etc) che fa leva su tecniche di profilazione e di tracciamento della navigazione sempre più adottate e spesso a cavallo della legalità.
Stabilimento principale
a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell’Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell’Unione e che quest’ultimo stabilimento abbia facoltà di ordinare l’esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;
b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell’Unione o, se il responsabile del trattamento non ha un’amministrazione centrale nell’Unione, lo stabilimento del responsabile del trattamento nell’Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento.
Servizio della società dell'informazione
Il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio: qualsiasi servizio della società dell'informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi.
Stato terzo
Uno Stato non appartenente alla Camunità Europea.
Soggetto Autorizzato (ex Incaricato)
Il Soggetto autorizzato è la persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.
Sub-Responsabile del Trattamento
È il soggetto che pone in essere attività di trattamento di dati personali, per conto e su delega del Responsabile di Trattamento.
T
Terzo
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile.
Titolare del trattamento
La persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
Trattamento
Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Trattamento transfrontaliero
TFU
TFUE
TUE
U
V
Violazione dei dati personali
La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
Valutazione d’impatto
l GDPR impone un nuovo obbligo ai controllori dei dati e ai processori di dati di condurre una Valutazione d’Impatto sulla Protezione dei Dati (nota anche come PIA – Privacy Impact Assessment) prima di intraprendere un trattamento che presenti un rischio specifico per i dati degli interessati in virtù della sua natura, del campo di applicazione o dello scopo.