Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, 9266 documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Podcast  Dizionario News alert    
             

  


WPkit.it: privacy, formulari, check up per WordPress

Temi attuali:
Algoritmi ChatGPT Intelligenza artificiale Privacy WordPress



Privacy 04.10.2019    Pdf    Appunta    Letti    Post successivo  

Il trattamento occasionale e funzionale di dati personali nella privacy secondo il gdpr

Trattamento occasionale e autonomo, trattamento principale e accessorio. Forse e' giunto il momento di affrontare tutti insieme questo punto nodale per la semplificazione formale del gdpr. Il caso: il panettiere non tratta dati personali dei dipendenti se non occasionalmente e in forma accessoria, non in forma principale e autonoma, diversamente dal medico che ha in cura lo stesso dipendente.
Spataro

 

I

Il registro dei trattamenti è la base per poter parlare di privacy in una azienda.

Tanti hanno spiegato meglio di me perchè la deroga, di fatto, non esisterebbe. Secondo l'interpretazione ufficiale la deroga (che permette di non tenere un registro) è concessa solo se ricorrono tutte e tre le condizioni, pur avendo usato il termine "o". Così la maggioranza degli interpreti dai quali dissento.

Un "o" che significherebe "e".

Tuttavia questa "e" di fatto impedirebbe a chiunque di cogliere la deroga: occasionalmente a qualunque datore di lavoro può capitare di trattare dati personali, anche solo per obblighi di legge.

Ripeto: il registro è sempre opportuno. In mancanza un buon elenco delle risorse aziendali (per finalità operative oltre che organizzative) deve essere presente e per me devono essere presenti entrambi.

Ma la mancanza è sanzionata gravemente.

Il panettiere ha per finalità fare il pane, pagare le tasse con il commercialista; se ha dipendenti i relativi obblighi di legge e contrattuali. Occasionalmente deve trattare i dati sanitari dei dipendenti per le connesse finalità, come attività accessoria e legata ad essa.

Insomma: il medico tratta dati sanitari. A mio parere un panettiere che dichiari di trattare sistematicamente dati sanitari dei dipendenti non potrebbe poi trattarli sistematicamente. Diverso il caso del medico o dell'infermiere (che come dipendente non deve fare nulla)

Su questo ci sono state battaglie enormi.

Ho avuto modo di proporre una opportuna semplificazione valorizzando correttamente la occasionalità del trattamento (funzionale o accessorio al trattamento principale, quello del rapporto di lavoro) senza correre l'eccesso di renderlo così importante da essere un trattamento al pari di quello lavorativo e ad esso autonomo. Non è autonomo.

Occasionalità e autonomia dei trattamenti è qualcosa di non valorizzato nè dalla dottrina, nè dalla giurisprudenza, nè dalle attuali interpretazioni. Ma è citato nel testo stesso del gdpr come fatto presupposto. Rientra sicuramente nella nozione di trattamento, da rileggere.

Un fatto è emerso: non è facile ora procedere ad una interpretazione ovvia ed esemplificativa senza l'accordo di tutte le altre autorità. Questo rallenta quel percorso che tutte le aziende si aspettano rapidamente per non avere adempimenti formali contrari alla sostanza.

Per qualche motivo questo tema dell'occasionalità; funzionale è sollevato dalle aziende, non dai consulenti.

Ripeto: l'interpretazione ufficiale è opposta. Ico la conferma:

"An insurance company ... For instance, it occasionally does profiling on its customer database for the purposes of insurance-risk classification. Rare though this is, the company must still document it. This is because creating inferred data through profiling can be intrusive and result in risks to individuals’ rights and freedoms.​"

Tuttavia il trattamento esemplificato è diretta conseguenza dell'attività svolta: "assicuratore talvolta profila gli assicurati". Non il panettiere che fa pane e talvolta deve sbrigare gli obblighi di legge e contrattuali legati ad una malattia. Non sono trattamenti funzionali al trattamento principale.

Quelli dell'assicuratore e del panettiere degli esempi sono entrambi trattamenti accessori, ma per il panettiere non è funzionale all'attività - trattamento svolto, mentre per l'assicuratore lo e'.

Ecco i testi che ho trovato citare espressamente "occasionale". La ricerca continua,a partire dalle guide del wp29.

CITAZIONI DOCUMENTATE (da privacykit.it )

Art. 30:

5.   Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo10.

5. The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10.

Regolamento Ue: le istruzioni del Garante privacy sul registro dei trattamenti:

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e - al di sotto dei 250 dipendenti - qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Considerando 80

Quando un titolare del trattamento o un responsabile del trattamento non stabilito nell'Unione tratta dati personali di interessati che si trovano nell'Unione e le sue attività di trattamento sono connesse all'offerta di beni o alla prestazione di servizi a tali interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato, o al controllo del loro comportamento, nella misura in cui tale comportamento ha luogo all'interno dell'Unione, è opportuno che tale titolare del trattamento o responsabile del trattamento designi un rappresentante, tranne se il trattamento è occasionale, non include il trattamento, su larga scala, di categorie particolari di dati personali o il trattamento di dati personali relativi alle condanne penali e ai reati, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell'ambito di applicazione e delle finalità del trattamento, o se il titolare del trattamento è un'autorità pubblica o un organismo pubblico.

Photo courtesy of pixabay

04.10.2019 Spataro
Spataro


Osservatorio privacy - come trattare i dati di un dipendente infedele…
Caso Unicredit - alcune riflessioni
Banche - sanzione per misure organizzative e tecniche per accesso a dati comuni non finanziari - doc 9991020
Battesimo e privacy
Privacy in Svizzera: prevale il segreto bancario sull'interesse a conoscere
Garante provvedimento per cartelle inviate a pazienti sbagliati e integrazione software - n. 9988652
Come funziona la Privacy, l'intelligenza artificiale e il riconoscimento della posizione tramite fotografia.
FCC (USA): Robocall con voci generate dalla AI e' illegale. Elezioni e Marketing avvertiti.
Provvedimento del 7 dicembre 2023 [9978568] dating online, password e durata
Company offering electronic communication services – no complete information of the data subjects & no sufficient technical and organisational measures | European Data Protection Board



Segui le novità in materia di Privacy su Civile.it via Telegram
oppure via email: (gratis Info privacy)





dallo store:
visita lo store








Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.064