Civile.it
/internet 		Dizio - News alert
 
Civile.it
/internet 		Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 7847 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             


Controllo sito: aspetti privacy e ecommerce

Consulenza privacy e e-commerce


La newsletter interna

L'Osservatorio contiene 7847 documenti sul diritto di internet.

  


Privacy 05.09.2019    Pdf    Appunta    Letti    Post successivo  

Spagna: trattamenti per i quali non e' necessaria la valutazione di impatto

Una semplificazione utilissima per tutti
Spataro

 

T

Tante lunghe discussioni, e ora arrivano le prime semplificazioni.

Sono ancora criteri molto generici, a volte molto concreti. Ma è un inizio. Più in basso anche quelli indicato da EDPS.

Eccoli tradotti con google translator:

  • 1. Trattamenti effettuati rigorosamente in base alle linee guida stabilite o autorizzate in precedenza mediante circolari o decisioni emesse dalle autorità di controllo, in particolare l'AEPD, a condizione che il trattamento non sia stato modificato da quando è stato autorizzato.
  • 2. I trattamenti effettuati rigorosamente in base alle linee guida dei codici di condotta approvati dalla Commissione europea o dalle autorità di controllo, in particolare l'AEPD, a condizione che sia stato effettuato un EIPD completo per la convalida del codice di condotta e il trattamento è attua, comprese le misure e le garanzie definite nell'EIPD.
  • 3. Trattamenti necessari per l'adempimento di un obbligo legale, l'adempimento di una missione svolta nell'interesse pubblico o nell'esercizio di poteri pubblici conferiti alla persona responsabile, purché nello stesso mandato legale non vi sia alcun obbligo di attuare un PEI, e sempre e quando un EIPD completo è già stato completato.
  • 4. I trattamenti effettuati nell'esercizio della loro attività professionale da parte di lavoratori autonomi che esercitano individualmente, in particolare medici, professionisti della salute o avvocati, nonostante ciò possa essere richiesto quando il trattamento che svolgono è conforme, in modo significativo, con due o più criteri stabiliti nell'elenco dei tipi di trattamento dei dati che richiedono una valutazione d'impatto relativa alla protezione dei dati pubblicata dall'AEPD.
  • 5. Trattamenti obbligatori per legge ed eseguiti in relazione alla gestione interna del personale delle PMI per la contabilità, la gestione delle risorse umane e dei salari, la sicurezza sociale e la salute del lavoro, ma mai in relazione ai dati dei clienti.
  • 6. Trattamenti effettuati da comunità e sotto-comunità di proprietari ai sensi dell'articolo 2 (a, bec) della legge 49/1960 sulla proprietà orizzontale.
  • 7. Trattamenti effettuati da associazioni professionali e associazioni senza scopo di lucro per la gestione dei dati personali dei propri associati e donatori e nell'esercizio del loro lavoro, a condizione che non siano inclusi nel trattamento di dati sensibili come quelli istituito dall'articolo 9.1 del GDPR e non si applica l'articolo 9.2, lettera d), di detto regolamento.

La valutazione di rischio (resta necessaria) potrà quindi affermare che è non è obbligatoria la dpia nei casi sopra indicati. E' autoritò spagnola, ma la valutazione di rischio può spiegare perchè si può applicare in Italia.

EIPD = EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS , la nostra DPIA o valutaziona d'impatto.

Spagnolo:

  • 1. Tratamientos que se realizan estrictamente bajo las directrices establecidas o autorizadas con anterioridad mediante circulares o decisiones emitidas por las Autoridades de Control, en particular la AEPD, siempre y cuando el tratamiento no se haya modificado desde que fue autorizado.
  • 2. Tratamientos que se realizan estrictamente bajo las directrices de códigos de conducta aprobados por la Comisión Europea o las Autoridades de Control, en particular la AEPD, siempre y cuando una EIPD completa haya sido realizada para la validación del código de conducta y el tratamiento se implementa incluyendo las medidas y salvaguardas definidas en la EIPD.
  • 3. Tratamientos que sean necesarios para el cumplimiento de una obligación legal, cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, siempre que en el mismo mandato legal no se obligue a realizar una EIPD, y siempre y cuando ya se haya realizado una EIPD completa.
  • 4. Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tipos de tratamientos de datos que requieren evaluación de impacto relativa a protección de datos publicada por la AEPD.
  • 5. Tratamientos obligatorios por ley y realizados con relación a la gestión interna del personal de las PYMES con finalidad de contabilidad, gestión de recursos humanos y nóminas, seguridad social y salud laboral, pero nunca relativos a los datos de los clientes.
  • 6. Tratamientos realizados por comunidades y subcomunidades de propietarios tal como se definen en el artículo 2 (a, b y d) de la Ley 49/1960 de Propiedad Horizontal.
  • 7. Tratamientos realizados por colegios profesionales y asociaciones sin ánimo de lucro para la gestión de los datos personales de sus propios asociados y donantes, y en el ejercicio de su labor, siempre que no incluyan en el tratamiento de datos sensibles tales como los que se establecen en el artículo 9.1 del RGPD y no sea de aplicación el artículo 9.2(d) de dicho Reglamento.

EDPS: DECISION OF THE EUROPEAN DATA PROTECTION SUPERVISOR OF 16 JULY 2019 ON DPIA LISTS ISSUED UNDER ARTICLES 39(4) AND (5) OF REGULATION (EU) 2018/1725

Annex 3 Non-exhaustive list of some common processing operations not requiring a DPIA

Indicative list of processing operations prima facie not requiring a DPIA when carried out by Union institutions, bodies, offices and agencies acting as sole or joint controllers:

  • • Management of personal files under Article 26 of the Staff Regulations as such 6 ;
  • • Standard staff evaluation procedures under the Staff Regulations (annual appraisal);
  • • Standard 360° evaluations for helping staff members develop training plans;
  • • Standard staff selection procedures;
  • • Establishment of rights upon entry into service;
  • • Management of leave, flexitime and telework;
  • • Standard access control systems (non-biometric) 7 ;
  • • Standard CCTV on a limited scale (no facial recognition, coverage limited to entry/exit points, only on-premises, not in public space).

05.09.2019 Spataro
aepd.es


Shortner
Responsible disclosure
The Ico's product design lifecycle for privacy compliance
Business Impact Analisys
URL Advisor
Voto elettronico: svelato voto e chiave in Estonia
Il Phishing quotidiano - carte di credito.
Soft Spam: nuovità per le informative dall'ultimo provvedimento del Garante
Verifica dell’età senza verifica dell'identità
Scommesse e minorenni: puo' costare molto al minorenne, denunciato. E online ?



Segui le novità in materia di Privacy su Civile.it via Telegram
oppure via email: (gratis Info privacy)


Dossier:



dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.034