0
FORMULARIO COMMENTATO DELLA PRIVACY
di: CASSANO – TRIPODI – ERCOLANO
COLLANA: PRIVACY E GDPR
DESCRIZIONE:
Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse.
La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy.
L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore.
Giuseppe Cassano
Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi.
Enzo Maria Tripodi
attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici.
Cristian Ercolano
Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.
INDICE:
Parte I QUESTIONI GENERALI
1. Il registro delle attività di trattamento
1. Premessa
2. Formule – Modelli di registro delle attività di trattamento
Formulario
1. Facsimile del registro “semplificato” delle attività del titolare
2. Facsimile del registro “semplificato” delle attività del responsabile
3. Altri modelli di registro
4. Inquadramento normativo
5. Questioni dottrinali
5.1. Funzione
5.2. Forma
5.3. Soggetti obbligati: l’eccezione dell’articolo 30, par. 5, GDPR
5.4. Modalità di compilazione e aggiornamento
6. Indicazioni della giurisprudenza e delle autorità di controllo
Parte II VALUTAZIONE DEI RISCHI E INCIDENTI
1. DPIA
1. Le disposizioni normative: testo
2. Sintesi delle disposizioni
3. Sanzioni
4. In quali casi effettuare la DPIA
5. Quando è possibile non effettuare la DPIA
6. Il coinvolgimento del DPO e il ruolo di terze parti
7. In che momento effettuare la DPIA
8. Come effettuare la DPIA
9. Esito della DPIA e consultazione preventiva
10. La giurisprudenza
10.1. Provvedimento del Garante privacy del 12 marzo 2020 [doc. web 9310804]
10.2. Ordinanza di ingiunzione nei confronti di un Istituto per ciechi, 16 settembre 2021 [doc. web 9705650]
10.3. Ordinanza ingiunzione nei confronti di una Università
11. Formule
11.1. Diagramma di flusso DPIA
11.2. Schema di DPIA
Formulario
1. Schema di DPIA
11.3. Richiesta di consultazione preventiva
2. Data breach
1. Le nuove Linee guida EDPB
2. Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016
3. Direttiva (UE) 2016/681 del Parlamento europeo e del Consiglio, del 27 aprile 2016
4. Data breach nel GDPR
5. La notifica al Garante
6. La notifica agli interessati
7. Come gestire la violazione dei dati personali
8. Come prevenire un data breach
9. La giurisprudenza
9.1. Procedura telematica per la notifica di violazioni di dati personali
9.2. Provvedimento del 24 marzo 2022 [doc. web n. 9767077]
9.3. Provvedimento del 29 settembre 2021 [doc. web n. 9720314]
10. Formule
Formulario
1. Notifica di una violazione dei dati personali (art. 33 del Regolamento (UE) 2016/679 – GDPR e art. 26 del d.lgs. 51/2018)
Parte III LA GESTIONE DEL PERSONALE
1. La gestione del personale
Formulario
1. Informativa trattamento dati personali di dipendenti e collaboratori
1. Art. 88 del GDPR
2. Il d.lgs. n. 101/2018
3. Le indicazioni del Garante privacy
2. Incaricati, designati
Formulario
1. Autorizzazione al trattamento
1. Art. 29 del GDPR
2. Art. 2-quaterdecies d.lgs. n. 196/2003: i designati
3. Lavoro a distanza (telelavoro)
Formulario
1. Informativa privacy sui controlli in telelavoro
1. Il telelavoro, cenni
2. Art. 4 l. 20 maggio 1970, n. 300, i controlli sul telelavoratore
3. Gli obblighi privacy del telelavoratore
4. Indicazioni del Garante privacy sull’e-mail aziendale
4. Lavoro agile (smart working)
Formulario
1. Informativa privacy sui controlli in smart working
1. Lo smart working, cenni
2. Indicazioni del Garante privacy sulla geolocalizzazione
5. Videoconferenze
Formulario
1. Informativa privacy videoconferenze
1. Impianto normativo
2. Indicazioni del Garante privacy
6. Whistleblowing e privacy
Formulario
1. Informativa al segnalante sul trattamento di dati personali nell’ambito della procedura segnalazioni – whistleblowing
1. Impianto normativo
2. Indicazioni del Garante privacy
Parte IV LA GESTIONE DEGLI STRUMENTI DI MONITORAGGIO E CONTROLLO
1. L’amministrazione di sistema
Formulario
1. Registro degli accessi logici
2. Disciplinare interno
3. Registro degli amministratori di sistema
1. Disciplina dell’amministratore di sistema
2. La complessità delle funzioni dell’amministratore di sistema, lo Statuto dei lavoratori e la responsabilità da reato informatico
3. Giurisprudenza rilevante
2. La gestione degli strumenti informatici e telematici
Formulario
1. Regolamento sull’utilizzo degli strumenti informatici
1. La complessità e la poliedricità della normativa
2. Controlli del datore di lavoro: scudo della privacy e tutela del lavoratore
3. Giurisprudenza rilevante
3. Il cloud computing
1. Schede illustrative
2. La normativa di riferimento di un “fenomeno” inafferrabile
3. Cloud computing: vantaggi e temi irrisolti nell’utilizzo delle “nuvole”
4. Controllo a distanza dei lavoratori
Formulario
1. Modulo istanza di autorizzazione all’installazione di impianti audiovisivi
1. I sistemi di videosorveglianza nella normativa italiana
1.1. La tutela imposta dallo Statuto dei lavoratori
1.2. Il raccordo con il GDPR
2. Nuove tecnologie e Statuto dei lavoratori, nel rispetto della normativa europea sulla privacy
3. La giurisprudenza italiana ed europea sul tema dei controlli a distanza tramite i nuovi strumenti informatici
3.1. La posta elettronica
3.2. I sistemi di geolocalizzazione
Parte V SOGGETTI E RUOLI
1. I contitolari del trattamento
1. Le ipotesi di contitolarità
1.1. L’accordo di contitolarità
Formulario
1. Accordo di contitolarità
2. Gli autorizzati al trattamento e i soggetti designati per specifici compiti e funzioni
1. La nomina dell’autorizzato al trattamento e del soggetto designato per specifici compiti e funzioni
2. Atto di nomina dell’autorizzato al trattamento
Formulario
1. Atto di nomina dell’autorizzato al trattamento
3. Le istruzioni agli autorizzati al trattamento ed ai soggetti designati
3. Il responsabile del trattamento
1. La figura del responsabile del trattamento
1.1. L’atto di nomina del responsabile del trattamento
Formulario
1. Atto di nomina a responsabile del trattamento dei dati personali
4. Il Data Protection Officer (DPO)
1. Il ruolo del Responsabile della Protezione dei Dati (RPD) o Data Protection Officer (DPO)
1.1. L’atto di designazione del DPO interno e il contratto di servizi con il DPO esterno
Formulario
1. Schema di atto di designazione del Responsabile della Protezione dei Dati (RPD)
1.2. La pubblicazione dei dati di contatto e la comunicazione all’autorità
1.3. La designazione del DPO
5. Il rappresentante del titolare
1. Il responsabile del trattamento
Parte VI LA TRASPARENZA SUL TRATTAMENTO DEI DATI
1. Informativa (ex art. 13)
Formulario
1. Modello di informativa per il trattamento dei dati personali
2. Modello semplificato cartello videosorveglianza
1. Inquadramento normativo
1.1. Le modalità per rendere l’informativa
1.2. I contenuti dell’informativa
1.3. Eccezioni all’obbligo di informativa ex art. 13
1.4. Modifica all’informativa
2. Questioni dottrinarie
3. Indicazioni della giurisprudenza e delle autorità di controllo
2. Informativa (ex art. 14)
1. Inquadramento normativo
1.1. I contenuti dell’informativa ex art. 14
1.2. Eccezioni all’obbligo informativa ex art. 14
2. Questioni dottrinarie
3. Indicazioni della giurisprudenza e delle autorità di controllo
3. Informativa e diritti della personalità (immagini/foto/video)
Formulario
1. Liberatoria uso immagini
2. Informativa sul trattamento dei dati personali
1. Inquadramento normativo
1.1. Le modalità per rendere l’informativa
1.2. Eccezioni all’obbligo di informativa
2. Questioni dottrinarie
3. Indicazioni della giurisprudenza e delle autorità di controllo
Parte VII IL CONSENSO AL TRATTAMENTO
1. Il consenso
Formulario
1. Consenso al trattamento dei dati personali (Regolamento UE 2016/679)
1. Inquadramento normativo
2. Questioni dottrinarie (revoca del consenso)
3. Indicazioni della giurisprudenza e delle autorità di controllo
2. Consenso dei minori
Formulario
1. Consenso al trattamento dei dati personali ai sensi del Regolamento UE 2016/679
1. Inquadramento normativo
2. Questioni dottrinarie (minori e reati informatici)
2.1. Cyberbullismo
2.2. Pedopornografia online
2.3. Cyberstalking
2.4. Tutela dei minori
3. Indicazioni della giurisprudenza e delle autorità di controllo
Parte VIII LA TUTELA DEGLI INTERESSATI
1. Profilazione
Formulario
1. Esercizio del diritto di accesso ai dati personali con richiesta di conoscere l’esistenza di un processo di profilazione
2. Esercizio del diritto di accesso ai dati personali in ipotesi di profilazione tramite cessione da parte di un intermediario
3. Esercizio del diritto di rettifica dei dati personali in ipotesi di profilazione
4. Esercizio del diritto alla cancellazione (“diritto all’oblio”) dei dati personali in ipotesi di profilazione
5. Esercizio del diritto di limitazione di trattamento dei dati personali in ipotesi di profilazione
6. Esercizio del diritto di limitazione di trattamento dei dati personali in ipotesi di profilazione
7. Esercizio del diritto di limitazione di trattamento dei dati personali in ipotesi di marketing diretto
8. Revoca del consenso in ipotesi di profilazione
1. Inquadramento normativo
2. Questioni dottrinarie
2.1. Profilazione e processo decisionale automatizzato
2.2. Definizioni di profilazione
2.3. Disposizioni generali sulla profilazione: principi applicabili e basi giuridiche
2.4. Gli obblighi informativi – aggiuntivi – nei confronti degli interessati ex artt. 13 e 14 Reg. (UE) 2016/679
2.5. Diritto di accesso dell’interessato in ipotesi di profilazione
2.6. Diritto di opposizione (finalità di marketing diretto)
2.7. Cookie e profilazione
3. Indicazioni della giurisprudenza e delle autorità di controllo
3.1. Discriminazione diretta ed indiretta
3.2. Pratiche commerciali sleali
3.3. L’attività di profilazione sussiste anche in mancanza di identificazione dell’interessato
3.4. Profilazione e didattica online
3.5. Propaganda elettorale e comunicazione politica
3.6. Università e software per esami a distanza
3.7. Trasparenza e consenso
3.8. Profilazione tramite dati biometrici e informazioni estratte da fonti web pubbliche con tecniche di web scraping
3.9. Soft spam
2. Processo decisionale automatizzato
Formulario
1. Esercizio del diritto di accesso ai dati personali con richiesta di conoscere l’esistenza di un processo decisionale automatizzato
2. Esercizio del diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato
3. Richiesta informazioni ex articolo 13, paragrafo 2, lettera f)
4. Richiesta informazioni ex articolo 14, paragrafo 2, lettera g)
5. Revoca del consenso nell’ambito del processo decisionale basato unicamente sul trattamento automatizzato
6. Esercizio del diritto di accesso ai dati personali con richiesta di conoscere l’esistenza di un processo decisionale automatizzato
7. Esercizio del diritto di accesso ai dati personali in ipotesi di processo decisionale automatizzato tramite cessione da parte di un intermediario
8. Esercizio del diritto di rettifica dei dati personali in ipotesi di processo decisionale automatizzato
9. Esercizio del diritto alla cancellazione (“diritto all’oblio”) dei dati personali in ipotesi di processo decisionale automatizzato
10. Esercizio del diritto di limitazione di trattamento dei dati personali in ipotesi di processo decisionale automatizzato
1. Inquadramento normativo
2. Questioni dottrinarie
2.1. Definizione di processo decisionale automatizzato
2.2. Profilazione, processo decisionale automatizzato e processo decisionale unicamente automatizzato: differenze e ambiti operativi
2.3. Processi decisionali automatizzati: principi e base giuridica
2.4. Decisioni basate unicamente sul trattamento automatizzato
2.4.1. Il diritto dell’interessato
2.4.2. Assenza del fattore umano nella decisione
2.4.3. Gli effetti “giuridici”
2.4.4. Eccezioni al divieto
2.4.5. Categorie particolari di dati personali e processo decisionale automatizzato
2.4.6. Diritti dell’interessato
2.5. Diritto di essere informato (art. 13, par. 2, lett. f), e art. 14, par. 2, lett. g))
2.6. Diritto di accesso (art. 15, par. 1, lett. h))
3. Indicazioni della giurisprudenza e delle autorità di controllo
3.1. Dall’amministrazione digitale all’amministrazione algoritmica
3.2. Processo decisionale e algoritmi nella p.a.
3.3. Il diritto al contributo umano
3.4. Raiting reputazionale e processi decisionali automatizzati: requisiti del consenso
3.5. Principio di non discriminazione algoritmica
3.6. I tre principi
3.6.1. Il principio di conoscibilità
3.6.2. Il principio di non esclusività della decisione algoritmica
3.6.3. Il principio di non discriminazione algoritmica
3. Richieste al titolare/responsabile
Formulario
1. Esercizio del diritto di accesso ai dati personali con richiesta di conferma del trattamento in corso
2. Esercizio del diritto di accesso ai dati personali per conoscere i destinatari o le categorie di destinatari
3. Esercizio del diritto di accesso ai dati personali per conoscere luogo e periodo di conservazione
4. Esercizio del diritto di accesso ai dati personali per conoscere l’origine e/o la fonte dei dati
5. Esercizio del diritto di accesso ai dati personali con richiesta di copia dei dati personali oggetto di trattamento
6. Esercizio del diritto di rettifica dei dati personali
7. Esercizio del diritto alla cancellazione (“diritto all’oblio”) dei dati personali
8. Motori di ricerca: esercizio del diritto alla deindicizzazione quando i dati personali non sono più necessari rispetto al trattamento
9. Motori di ricerca: esercizio del diritto alla deindicizzazione dei dati personali quando l’interessato revoca il consenso
10. Motori di ricerca: esercizio del diritto alla deindicizzazione quando l’interessato ha esercitato il diritto di opporsi al trattamento dei suoi dati personali
11. Motori di ricerca: esercizio del diritto alla deindicizzazione dei dati personali quando i dati personali sono stati trattati illecitamente
12. Motori di ricerca: esercizio del diritto alla deindicizzazione dei dati personali quando i dati personali sono stati cancellati per adempiere un obbligo legale
13. Esercizio del diritto di limitazione di trattamento
14. Comunicazione preventiva all’interessato dell’eventuale revoca della limitazione
15. Comunicazione all’interessato dei destinatari in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
16. Esercizio del diritto alla portabilità dei dati
1. Inquadramento normativo
2. Questioni dottrinarie
2.1. Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato
2.2. Diritto di informazione dell’interessato
2.3. Diritto di accesso dell’interessato
2.4. Il diritto di rettifica
2.5. Diritto alla cancellazione (“diritto all’oblio”)
2.6. Diritto di limitazione di trattamento
2.7. Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
2.8. Diritto alla portabilità dei dati
2.9. Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche
2.10. Esercizio dei diritti riguardanti le persone decedute
3. Indicazioni della giurisprudenza e delle autorità di controllo
3.1. Quando comunicare dati necessari non è un obbligo
3.2. Il diritto all’oblio può prevalere su vicende di cronaca passata
3.2.1. Il diritto all’oblio nella giurisprudenza degli anni 1958-1998
3.3. Diritto all’oblio, Garante: sì per chi è risultato estraneo a vicende giudiziarie
3.4. Elenchi telefonici: illegittimi quelli non estratti dal Data Base Unico
3.5. Lavoro: lettera di contestazione disciplinare e accesso alle informazioni del datore di lavoro
3.6. Banche e privacy: quando gli sguardi indiscreti nei conti correnti costituiscono un illecito
3.7. Limitazione dell’accesso dei terzi: dati soggetti a pubblicità nel registro delle imprese e accesso ai dati della società dopo lo scioglimento
3.8. Questura non rettifica i dati, il Garante privacy sanziona il Ministero dell’interno
3.9. Accesso ai dati personali altrui
3.10. Diritto alla deindicizzazione
3.10.1. Requisiti della domanda di deindicizzazione
3.10.2. Responsabilità del prestatore del servizio di hosting
3.10.3. Il bilanciamento tra il diritto della collettività ad essere informata e quello del titolare dei dati personali
3.11. Differenza tra diritto all’oblio e diritto alla riservatezza
4. La tutela dei minori
Formulario
1. Esercizio del diritto di accesso ai dati personali del minore
2. Servizi della società dell’informazione: richiesta della produzione del consenso prestato dall’esercente la responsabilità genitoriale
3. Esercizio del diritto di rettifica dei dati personali del minore
4. Esercizio, da parte dall’esercente la responsabilità genitoriale, del diritto alla cancellazione (“diritto all’oblio”) dei dati personali del minore
5. Esercizio del diritto di revoca del consenso con contestuale istanza di cancellazione (“diritto all’oblio”) dei dati personali del minore divenuto maggiorenne
6. Esercizio del diritto di opposizione al trattamento dei dati personali del minore
7. Minori e motori di ricerca: esercizio del diritto alla deindicizzazione dei dati personali quando l’interessato revoca il consenso
8. Segnalazione da parte del minore che ha compiuto 14 anni di episodi di bullismo sul web o sui social network con richiesta di intervento del Garante per la protezione dei dati personali
9. Segnalazione da parte dell’adulto che ha responsabilità genitoriale su un minore di 14 anni di episodi di bullismo sul web o sui social network con richiesta di intervento del Garante per la protezione dei dati personali
1. Inquadramento normativo
2. Questioni dottrinarie
2.1. La colpa di un diritto “tagliato e cucito” su misura degli adulti
2.2. Trasparenza e linguaggio utilizzato nel trattamento dei dati del minore
2.3. Minore ed esercizio dei diritti in campo “privacy”
2.4. Minori tra decisioni automatiche e profilazione
2.5. L’età del consenso dei minori in relazione ai servizi della società dell’informazione tra Regolamento europeo e Codice privacy
2.6. Notizie o immagini relative a minori
2.7. Disposizioni a tutela dei minori per la prevenzione ed il contrasto del fenomeno del cyberbullismo
3. Indicazioni della giurisprudenza e delle autorità di controllo
3.1. L’inserimento di foto di minori sui social network è un comportamento potenzialmente pregiudizievole
3.2. Inserimento di foto di minori sui social network senza il consenso dell’altro genitore
3.3. Inserimento video di minori sui social network: elementi di valutazione delle esigenze cautelari
3.4. Pubblicazione di notizie idonee a consentire l’identificazione di un minore: le violazioni perpetrate e le fonti giuridiche
3.5. In caso di minore la tutela della dignità della persona malata è “ulteriormente rafforzata”
3.6. Alle origini del preminente e superiore interesse del minore nel Reg. (UE) 2016/679
3.7. Minori, social e le misure provvisorie del Garante privacy
3.8. Profilo social e video e foto di minori disagiati: il no del Garante a un rappresentante delle istituzioni locali
3.9. Cyberbullismo e responsabilità dei genitori
3.10. Danno all’immagine e diritto di cronaca: criteri di valutazione
5. La tutela delle persone decedute
Formulario
1. Esercizio del diritto di accesso ai dati personali della persona deceduta
2. Esercizio del diritto di accesso ai dati personali della persona deceduta (Banca e altri istituti di credito)
3. Esercizio del diritto di accesso ai dati personali della persona deceduta (Azienda ospedaliera, cliniche e altre aziende operanti in ambito sanitario)
4. Esercizio del diritto di rettifica dei dati personali della persona deceduta
5. Esercizio del diritto alla cancellazione (“diritto all’oblio”) dei dati personali della persona deceduta
6. Esercizio del diritto di limitazione di trattamento dei dati personali della persona deceduta
7. Esercizio del diritto alla portabilità dei dati personali della persona deceduta
8. Esercizio del diritto di opposizione al trattamento dei dati personali della persona deceduta
1. Inquadramento normativo
2. Questioni dottrinarie
2.1. La scelta del legislatore italiano di tutelare i dati personali delle persone decedute
2.2. La natura del diritto: tra acquisto mortis causa e legittimazione iure proprio prevale la persistenza
2.3. I diritti riguardanti le persone decedute
2.4. I soggetti legittimati all’esercizio dei diritti
2.5. Esclusione dell’esercizio dei diritti
3. Indicazioni della giurisprudenza e delle autorità di controllo
3.1. La tutela delle persone decedute in materia di protezione dei dati personali
3.2. La sopravvivenza dei diritti dell’interessato in seguito alla morte (accesso all’account del de cuius)
3.3. Condizioni generali di contratto e divieto di esercizio dei diritti digitali
3.4. Fumus boni iuris: la distruzione automatica dei dati nel cloud post mortem
3.5. Esercizio del diritto di accesso ai dati del de cuius e dati personali di terzi
3.6. Diritto all’oblio dello scritto di un defunto: i requisiti
3.7. Il diritto di rimozione e aggiornamento dei dati personali del defunto nel trattamento per finalità giornalistiche
3.8. Trattamento dei dati del defunto per finalità di cronaca giornalistica e conservazione documentaristica
3.9. Pubblicazione in rete dell’archivio storico di notizie di cronaca
3.10. Diritti di accesso ai dati personali (sanitari) del defunto e FOIA
3.11. Accesso alle cartelle cliniche ex art. 2-terdecies, comma 1, del d.lgs. n. 196/2003
3.12. Dati personali del defunto in ambito sanitario: i principi posti alla base della tutela
3.13. Diffusione dei dati relativi al decesso per Covid-19
3.14. Esercizio dei diritti e procedimento ex art. 700 c.p.c.
6. Accesso ai documenti amministrativi
Formulario
1. Richiesta di accesso a documenti amministrativi (contenenti dati personali)
2. Richiesta di accesso a documenti amministrativi (contenenti dati genetici, relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona)
3. Notifica ai controinteressati di accesso documentale (documenti contenenti dati personali)
4. Opposizione all’istanza di accesso documentale da parte del controinteressato (dati personali)
5. Diniego di accesso ai documenti amministrativi (atti contenenti dati personali)
6. Accoglimento parziale dell’accesso ai documenti amministrativi mediante oscuramento dei dati personali
7. Richiesta di accesso civico (semplice)
8. Istanza di accesso civico semplice diretta al titolare del potere sostitutivo
9. Richiesta di accesso civico generalizzato (c.d. FOIA)
10. Notifica ai controinteressati di accesso civico (documenti contenenti dati personali)
11. Richiesta di accesso civico generalizzato (c.d. FOIA) – Istanza di riesame
12. Opposizione del controinteressato alla richiesta di accesso civico generalizzato (c.d. FOIA)
13. Istanza di riesame presentata dal controinteressato in materia di accesso civico generalizzato (c.d. FOIA)
14. Diniego di accesso civico generalizzato (atti contenenti dati personali)
15. Accoglimento parziale dell’accesso ai documenti amministrativi mediante oscuramento dei dati personali
1. Inquadramento normativo
2. Questioni dottrinarie
2.1. Il diritto di accesso ai documenti amministrativi
2.2. Accesso procedimentale (o documentale)
2.2.1. Esercizio dei diritti di accesso e ricorsi
2.3. L’accesso civico: declinazione del principio dell’accessibilità totale
2.3.1. Ambito soggettivo di applicazione: i destinatari della richiesta di accesso
2.3.2. La notifica dell’accesso ai controinteressati e il diritto di opposizione
2.3.3. Termini del procedimento e accoglimento della richiesta
2.3.4. Il diniego dell’accesso tra RPCT e Garante privacy
2.3.5. Pubblicità e diritto alla conoscibilità
2.4. Accesso civico semplice
2.5. Accesso civico generalizzato
2.5.1. Eccezioni e limiti all’accesso civico generalizzato
2.5.2. Focus sui limiti (esclusioni relative o qualificate) al diritto di accesso generalizzato derivanti dalla tutela di interessi privati
2.5.3. L’istanza di accesso: il criterio del minor aggravio e il principio di equivalenza tra analogico/digitale
2.6. L’accesso a documenti amministrativi nel Codice privacy
3. Indicazioni della giurisprudenza e delle autorità di controllo
3.1. Accesso documentale e tutela dei dati personali
3.1.1. Accesso del terzo al fascicolo processuale: non è configurabile come accesso agli atti amministrativi
3.1.2. Accesso ai dati sanitari: la necessaria dimostrazione di una rigida “necessità” e non della mera “utilità” del documento
3.1.3. Rapporto tra diritto di accesso e diritto alla riservatezza dei dati c.d. sensibilissimi
3.1.4. Privacy e diritto di accesso
3.1.5. L’utenza telefonica e il “dato sensibile”
3.1.6. All’operatore telefonico si applica la l. 241/1990
3.1.7. Alla casa di cura privata si applica la l. 241/1990
3.1.8. La veste privatistica non osta all’esercizio dell’accesso c.d. documentale
3.1.9. Il fine dello scioglimento del vincolo matrimoniale (religioso) è una situazione giuridica di rango almeno pari alla tutela del diritto alla riservatezza
3.1.10. La legittimità del diniego basato sulla dichiarazione della p.a. di non possedere i documenti
3.1.11. Opposizione del controinteressato: occorre valutare i contrapposti interessi in gioco
3.2. Accesso civico generalizzato e tutela dei dati personali
3.2.1. Accesso ai dati relativi al recupero del credito da parte dell’amministrazione
3.2.2. I dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono pubblici
3.2.3. Se una richiesta riguarda un documento che contiene dati di soggetti terzi, questi devono essere considerati sempre come controinteressati?
3.2.4. Indirizzo e-mail individuale fornito al personale: la legittima aspettativa di confidenzialità del mittente, del destinatario o di terzi
3.2.5. Istanza di accesso civico: elenco di visita per il riconoscimento della cecità civile
3.2.6. Pubblicità delle sentenze e riservatezza delle generalità degli interessati e dei dettagli delle vicende personali
3.2.7. Accesso civico a documenti relativi a procedimenti disciplinari o a dati giudiziari
3.2.8. Richieste di accesso a SCIA, CILA e permessi di costruire
3.2.9. Accesso ai pagamenti dei tributi ICI, IMU e TARSU di tutti gli amministratori di maggioranza e minoranza facenti parte del Consiglio comunale, compreso il Sindaco
3.2.10. Liquidazioni di sinistri da parte del Comune: no all’accesso per presenza di perizie medico-legali
3.2.11. Accesso civico generalizzato ai titoli di studio di laurea e master conseguiti dal soggetto controinteressato
3.2.12. Accesso ai curricula e allegati comprendenti altri titoli dei soggetti controinteressati
3.2.13. Sulla pubblicità degli atti e delle sedute del Consiglio comunale
3.2.14. Accesso ai dati personali riferiti ai singoli partecipanti al concorso pubblico
3.2.15. L’accesso civico si applica agli accordi internazionali di cooperazione
3.3. Trasparenza e dati personali (le risposte di ANAC)
3.3.1. Gli obblighi di pubblicazione previsti dal d.lgs. 33/2013 sono compatibili con la disciplina della tutela dei dati personali dettata dal Regolamento (UE) 2016/679?
3.3.2. Cosa è richiesto alle amministrazioni prima di pubblicare dati e documenti per finalità di trasparenza che contengono dati personali?
3.3.3. Quali principi le amministrazioni devono osservare quando pubblicano dati e documenti per finalità di trasparenza che contengono dati personali?
3.3.4. A quali prescrizioni contenute nel d.lgs. 33/2013 le amministrazioni si attengono quando pubblicano per finalità di trasparenza dati e documenti che contengono dati personali?
3.3.5. Documenti pubblicati per finalità di trasparenza che contengono dati personali diversi dai dati sensibili e giudiziari possono essere indicizzati nei motori generalisti?
3.3.6. Le amministrazioni possono disporre filtri o altre soluzioni tecniche per impedire ai motori di ricerca web di indicizzare ed effettuare ricerche all’interno della sezione “Amministrazione trasparente”?
3.3.7. I “dati ulteriori” possono anche consistere in elaborazioni di “secondo livello” di dati e informazioni anche oggetto di pubblicazione obbligatoria?
3.3.8. Per quanto tempo documenti, informazioni e dati devono rimanere disponibili nella sezione “Amministrazione trasparente”?
3.3.9. Che cosa si può richiedere con l’accesso generalizzato?
3.3.10. L’amministrazione o l’ente destinatario dell’istanza è obbligato a darne comunicazione a eventuali soggetti controinteressati?
3.3.11. L’ente destinatario della richiesta di accesso generalizzato può chiedere un parere al Garante per la protezione dei dati personali?
3.3.12. Entro quali termini si pronuncia il RPCT sulla richiesta di riesame?
Parte IX GLI STRUMENTI DI TUTELA ESPERIBILI IN MATERIA DI PRIVACY: RECLAMI, RICORSI E SEGNALAZIONI AL GARANTE
1. Il reclamo al Garante
1. Introduzione
2. Analisi normativa del reclamo
Formulario
1. Modello di reclamo
2. La segnalazione ed i ricorsi
1. Segnalazioni
2. Ricorsi
3. Casi pratici di reclami al Garante
1. Casistica rilevante
2. Revenge porn: art. 144-bis del Codice privacy
Formulario
1. Modello di segnalazione al Garante per impedire pratiche di revenge porn su Facebook e/o Instagram
3. Conclusioni sui poteri delle autorità di controllo
4. Bibliografia essenziale relativa alla Parte IX
Parte X ATTIVITÀ SU INTERNET
1. L’informativa privacy del sito web
1. Introduzione
2. Il contenuto dell’informativa web
2.1. L’acquisizione del consenso online
3. I dati di navigazione ed altri sistemi di tracciamento
3.1. I cookie
3.2. La cookie policy
3.3. Modalità di acquisizione del consenso all’utilizzo dei cookie
4. Informative e il c.d. legal design
Formulario
1. Informativa privacy ai sensi dell’art. 13 del Reg. (UE) n. 2016/679
2. Marketing e attività statistica
1. Premessa: il quadro normativo nell’ambito delle comunicazioni elettroniche
2. Il marketing
2.1. La profilazione
2.2. La newsletter
Formulario
1. Modello di newsletter
3. Il trattamento dei dati personali in ambito statistico
3. Le social media policy
Formulario
1. Social media policy (interna di un soggetto privato)
2. Social media policy (interna ed esterna di un soggetto pubblico)
1. Inquadramento normativo
2. Questioni dottrinarie
2.1. Oggetto della trattazione
2.2. Concetto di social network
2.3. Natura dell’iscrizione ai social network
2.4. I social network come attività di stampa
2.5. Segue: configurazione quali internet service provider
2.6. I social network nella pubblica amministrazione
2.7. L’utilizzo di social network da parte di dipendenti pubblici
2.8. Contenuti tipici di una social media policy
2.9. Codici di comportamento e social media policy
2.10. Segue: le (scarne) indicazioni di ANAC
2.11. Codici di comportamento, social media e sanzioni disciplinari
2.12. Le social media policy dei datori di lavoro privati
2.13. Segue: conseguenze delle violazioni. Meri cenni
2.14. Alcune implicazioni. La tutela del diritto d’autore
2.15. Segue: il trattamento dei dati personali
2.16. Le questioni di sicurezza sul trattamento dei dati. Rinvio
2.17. Il trasferimento di dati personali fuori dei Paesi dell’UE
2.18. Moderazione e netiquette
3. Indicazioni della giurisprudenza e delle autorità di controllo
3.1. L’utilizzo dei social network da parte della pubblica amministrazione
3.2. L’utilizzo dei social network da parte del lavoratore sul luogo di lavoro
3.3. L’utilizzo dei social network da parte del lavoratore fuori dall’ambito lavorativo
3.4. Il diritto di critica del lavoratore sui social
3.5. Alcune fattispecie penali relative ai social network: il reato di diffamazione (art. 595 c.p.)
3.6. Segue: la sostituzione di persona (art. 494 c.p.)
3.7. Segue: pubblicare (“postare”) immagini altrui
Parte XI IL TRASFERIMENTO DI DATI ALL’ESTERO
1. Binding corporate rules
1. Inquadramento normativo
2. Questioni dottrinarie
2.1. Requisiti sostanziali delle BCR
2.2. Adozione delle BCR e gruppo di imprese
2.3. Approvazione delle BCR
2.4. Le BCR e la Brexit
2.5. Rimedi
3. Indicazioni della giurisprudenza e delle autorità di controllo
2. Garanzie adeguate per il trasferimento
1. Inquadramento normativo
2. Questioni dottrinarie
2.1. Le garanzie adeguate
2.2. BCR
2.3. Le clausole contrattuali standard
2.4. Altre forme di garanzie adeguate per il trasferimento
2.4.1. Strumenti giuridicamente vincolanti
2.4.2. Codici di condotta
2.4.3. Meccanismi di certificazione
2.4.4. Disposizioni da inserire negli accordi amministrativi tra autorità o organismi pubblici
3. Indicazioni della giurisprudenza e delle autorità di controllo
3.1. Indicazioni
Formulario
1. Clausole contrattuali standard adottate dalla Commissione nel 2021
Riferimenti dottrinali
3. (D)TIA – (Data) Transfer Impact Assessment
1. Inquadramento normativo
1.1. Il ruolo dello European Data Protection Board
1.2. Processo di realizzazione di una DTIA a seguito delle raccomandazioni dell’EDPB
1.3. Riferimenti del Regolamento
2. Questioni dottrinarie
2.1. Alcuni riferimenti dal Regolamento
2.2. Attuazione e possibili applicazioni
3. Indicazioni della giurisprudenza e delle autorità di controllo
4. Modello di DTIA
Formulario
1. DTIA – Data Transfer Impact Assessment
Parte XII AMBITI PARTICOLARI
1. Trattamenti sanitari
Formulario
1. Informativa trattamento dati personali
1. Commento
2. Attività bancaria, creditizia e assicurativa
Formulario
1. Informativa trattamento dati personali – clienti
1. Commento
3. Comunicazioni indesiderate: servizi di telefonia e comunicazione elettronica
4. Attività giornalistica
Formulario
1. Informazioni del giornalista
1. Art. 85 del GDPR
2. Il d.lgs. n. 101/2018
3. Le Regole deontologiche
5. Attività investigativa
Formulario
1. Informativa trattamento dati personali – attività investigativa
1. Le Regole deontologiche
6. Ricerca scientifica storica e statistica
Formulario
1. Informativa trattamento dati personali – ricerca scientifica, storica o statistica
1. Art. 89 del Regolamento UE 26 aprile 2016, n. 679
2. Il d.lgs. 10 agosto 2018, n. 101
Parte XIII LA PRIVACY COMPLIANCE
1. Privacy governance, accountability e auditing
1. La privacy compliance secondo il GDPR
2. La nuova privacy governance secondo il GDPR: privacy by design e by default; l’obbligo di accountability
3. Ruolo e valenza delle privacy policy, dei codici di condotta e delle certificazioni
4. La contestualizzazione della privacy compliance
5. Obblighi di verifica, monitoraggio e revisione: il ruolo delle attività di audit
6. Audit di prima, seconda e terza parte
7. La nozione di audit nella normativa privacy
8. Il richiamo al termine audit nella prassi e nelle norme tecniche
9. Le attività di auditing
2. L’audit interno
3. L’audit esterno
Formulario
1. Esempio di check-list per audit
2. Esempio di clausole contrattuali per la regolamentazione delle attività di audit del titolare nei confronti di uno o più responsabili e/o sub-responsabili del trattamento
