I provvedimenti adottati dal Garante della Privacy
La “Data breach notification” non è, comunque, per il nostro paese, una novità assoluta. Infatti, negli ultimi anni, attraverso una serie di provvedimenti adottati dal Garante della Privacy, è stato introdotto, in determinati settori, l’obbligo di comunicare al Garante stesso le eventuali violazioni di dati personali e, in taluni casi, di comunicarlo anche ai soggetti interessati. Questo riguardo le “società telefoniche” e gli “internet provider” (Provvedimento del Garante n. 161 del 4 aprile 2013), riguardo il tema della “Biometria” (Provvedimento del Garante n. 513 del 12 novembre 2014), il tema del “Dossier Sanitario Elettronico” (Provvedimento del Garante n. 331 del 4 giugno 2015) ed infine riguardo le “pubbliche amministrazioni” (Provvedimento del Garante n. 392 del 2 luglio 2015). Circa il dossier sanitario elettronico, entro 48 ore dalla conoscenza del fatto, le strutture sanitarie pubbliche e private sono tenute a comunicare al Garante tutte le violazioni dei dati o gli incidenti informatici che possono avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario. Le comunicazioni vanno redatte secondo lo schema riportato nell’allegato B del provvedimento n. 331 del 4.06.2015 (1) ed inviate tramite posta elettronica o posta elettronica certificata (PEC) all’indirizzo: databreach.dossier@ pec.gpdp.it. Sulle pubbliche amministrazioni – intendendo quelle di cui all’art. 1, comma 2, del d.lgs. 20 marzo 2001, n. 165 (2) – incombe, a loro volta, l’obbligo di comunicare al Garante, entro 48 ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possono avere un impatto significativo sui dati personali contenuti nelle proprie banche dati. Le comunicazioni vanno redatte secondo lo schema riportato nell’allegato 1 del provvedimento n. 392 del 2 luglio 2015 (3) ed inviate tramite posta elettronica o posta elettronica certificata (PEC) all’indirizzo: databreach.pa@pec.gpdp.it.
Il presente contributo è tratto da
Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)
Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere? Qual è la posizione del DPO nell’ente/azienda? Quali sono i suoi compiti?Aggiornata al D.lgs. del 10 agosto 2018, n. 101 in materia di privacy, questa pratica Guida risponde alle domande sopra enunciate e fornisce un’analisi dei compiti e dei margini di attività della nuova figura del “Responsabile dei dati personali” (anche noto come DPO, acronimo di Data Protection Officer), in considerazione degli adempimenti che imprese e soggetti pubblici devono affrontare per effetto del Regolamento UE 2016/679.Il testo è strutturato in numerosi quesiti di taglio pratico, ai quali l’autore fornisce una soluzione sulla scorta del testo normativo, delle linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) e delle più recenti indicazioni fornite dal Garante della Privacy.Stefano ComelliniAvvocato in Bologna, patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, Diritto dell’In- formatica e delle Telecomunicazioni nonché della disciplina della Privacy. E’ iscritto nell’elenco dei rappresentanti presso la EUIPO (Ufficio dell’Unione Europea per la proprietà intellettuale). Relatore in convegni, è particolarmente attivo sui social network, dove svolge attività di divulgazione giuridica. Nel 2002, il sito www.comellini.it, da lui cu- rato, ha ottenuto, dalla giuria di “Italex Award 2002 – il premio per i migliori siti giuridici italiani”, il riconoscimento di migliore studio legale online.Soluzioni di Diritto è una collana che offre soluzioni operative per la pratica professionale o letture chiare di problematiche di attualità. Uno strumento di lavoro e di approfondimento spendibile quotidianamente.L’esposizione è lontana dalla banale ricostruzione manualistica degli istituti ov- vero dalla sterile enunciazione di massime giurisprudenziali.Si giunge a dare esaustive soluzioni ai quesiti che gli operatori del diritto incon- trano nella pratica attraverso l’analisi delle norme, itinerari dottrinali e giuri- sprudenziali e consigli operativi sul piano processuale.
Stefano Comellini | 2018 Maggioli Editore
19.00 € 18.05 €
Note
(1) Allegato B al Provvedimento del Garante per la Protezione dei dati personali del 4 giugno 2015 ”Linee Guida in materia di dossier sanitario”, scaricabile sul sito del Garante alla pagina http://194.242.234.211/documents/10160/0/Linee+guida
(2) “… tutte le amministrazioni dello Stato, ivi compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane. e loro consorzi e associazioni, le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale”.
(3) Allegato 1 al Provvedimento del Garante per la protezione dei dati personali del 2 luglio 2015 “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche”, scaricabile sul sito del Garante alla pagina: http://194.242.234.211/documents/10160/0/Allegato+1+Modello+segnalazione+data+breach+PA.p+in+materia+di+dossier+sanitario+-+Allegato+B.pdf.
Scrivi un commento
Accedi per poter inserire un commento