Civile.it
/internet
Osservatorio sul diritto e telecomunicazioni informatiche, a cura del dott. V. Spataro dal 1999, documenti.

Il dizionario e' stato letto volte.



Segui via: Email - Telegram
  Dal 1999   spieghiamo il diritto di internet  Store  Caffe20  Dizionario  App  Video Demo · Accesso · Iscrizioni    
             

  


Privacy 04.10.2019    Pdf    Appunta    Letti    Post successivo  

Il trattamento occasionale e funzionale di dati personali nella privacy secondo il gdpr

Trattamento occasionale e autonomo, trattamento principale e accessorio. Forse e' giunto il momento di affrontare tutti insieme questo punto nodale per la semplificazione formale del gdpr. Il caso: il panettiere non tratta dati personali dei dipendenti se non occasionalmente e in forma accessoria, non in forma principale e autonoma, diversamente dal medico che ha in cura lo stesso dipendente.
Spataro

 

I

Il registro dei trattamenti e' la base per poter parlare di privacy in una azienda.

Tanti hanno spiegato meglio di me perche' la deroga, di fatto, non esisterebbe. Secondo l'interpretazione ufficiale la deroga (che permette di non tenere un registro) ^ e' concessa solo se ricorrono tutte e tre le condizioni, pur avendo usato il termine "o". Cosi' la maggioranza degli interpreti dai quali dissento.

Un "o" che significherebe "e".

Tuttavia questa "e" di fatto impedirebbe a chiunque di cogliere la deroga: occasionalmente a qualunque datore di lavoro puo' capitare di trattare dati personali, anche solo per obblighi di legge.

^ Ripeto: il registro e' sempre opportuno. In mancanza un buon elenco delle risorse aziendali (per finalità operative oltre che organizzative) deve essere presente e per me devono essere presenti entrambi.

Ma la mancanza e' sanzionata gravemente.

Il panettiere ha per finalità fare il pane, pagare le tasse con il commercialista; se ha dipendenti i relativi obblighi di legge e contrattuali. Occasionalmente deve trattare i dati sanitari dei dipendenti per le connesse finalità, come attività accessoria e legata ad essa.

Insomma: ^ il medico tratta dati sanitari. A mio parere un panettiere che dichiari di trattare sistematicamente dati sanitari dei dipendenti non potrebbe poi trattarli sistematicamente. Diverso il caso del medico o dell'infermiere (che come dipendente non deve fare nulla)

Su questo ci sono state battaglie enormi.

Ho avuto modo di proporre una opportuna semplificazione valorizzando correttamente la occasionalità del trattamento (funzionale o accessorio al trattamento principale, quello del rapporto di lavoro) senza correre l'eccesso di renderlo cosi' importante da essere un trattamento al pari di quello lavorativo e ad esso autonomo. ^ Non e' autonomo.

Occasionalità e autonomia dei trattamenti e' qualcosa di non valorizzato ne' dalla dottrina, ne' dalla giurisprudenza, ne' dalle attuali interpretazioni. Ma e' citato nel testo stesso del gdpr come fatto presupposto. Rientra sicuramente nella nozione di trattamento, da rileggere.

^ Un fatto e' emerso: non e' facile ora procedere ad una interpretazione ovvia ed esemplificativa senza l'accordo di tutte le altre autorità. Questo rallenta quel percorso che tutte le aziende si aspettano rapidamente per non avere adempimenti formali contrari alla sostanza.

^ Per qualche motivo questo tema dell'occasionalità; funzionale e' sollevato dalle aziende, non dai consulenti.

Ripeto: l'interpretazione ufficiale e' opposta. Ico la conferma:

"An insurance company ... For instance, it occasionally does profiling on its customer database for the purposes of insurance-risk classification. Rare though this is, the company must still document it. This is because creating inferred data through profiling can be intrusive and result in risks to individuals’ rights and freedoms.​"

Tuttavia il trattamento esemplificato e' diretta conseguenza dell'attività svolta: "assicuratore talvolta profila gli assicurati". Non il panettiere che fa pane e talvolta deve sbrigare gli obblighi di legge e contrattuali legati ad una malattia. Non sono trattamenti funzionali al trattamento principale.

^ Quelli dell'assicuratore e del panettiere degli esempi sono entrambi trattamenti accessori, ma per il panettiere non e' funzionale all'attività - trattamento svolto, mentre per l'assicuratore lo e'.

Ecco i testi che ho trovato citare espressamente "occasionale". La ricerca continua,a partire dalle guide del wp29.

CITAZIONI DOCUMENTATE (da privacykit.it^ )

Art. 30:

5.   Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo10.

5. The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10.

Regolamento Ue: le istruzioni del Garante privacy sul registro dei trattamenti:

Come specificato nelle FAQ del Garante, sono tenuti a redigere il Registro le imprese o le organizzazioni con almeno 250 dipendenti e - al di sotto dei 250 dipendenti - qualunque titolare o responsabile che effettui trattamenti che possano presentare rischi, anche non elevati, per i diritti e le libertà delle persone o che effettui trattamenti non occasionali di dati oppure trattamenti di particolari categorie di dati (come i dati biometrici, dati genetici, quelli sulla salute, sulle convinzioni religiose, sull’origine etnica etc.), o anche di dati relativi a condanne penali e a reati.

Considerando 80

Quando un titolare del trattamento o un responsabile del trattamento non stabilito nell'Unione tratta dati personali di interessati che si trovano nell'Unione e le sue attività di trattamento sono connesse all'offerta di beni o alla prestazione di servizi a tali interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato, o al controllo del loro comportamento, nella misura in cui tale comportamento ha luogo all'interno dell'Unione, è opportuno che tale titolare del trattamento o responsabile del trattamento designi un rappresentante, tranne se il trattamento è occasionale, non include il trattamento, su larga scala, di categorie particolari di dati personali o il trattamento di dati personali relativi alle condanne penali e ai reati, ed è improbabile che presenti un rischio per i diritti e le libertà delle persone fisiche, tenuto conto della natura, del contesto, dell'ambito di applicazione e delle finalità del trattamento, o se il titolare del trattamento è un'autorità pubblica o un organismo pubblico.

Photo courtesy of pixabay

04.10.2019 Spataro
Spataro


UK: Google e Facebook non potranno piu' abusare del mercato da operatori dominanti
Research Shows iOS Covid Apps Are A Privacy Mess
Ransonware nei pc della Cassazione brasiliana
Linee guida su Schrems II: nel breve, mappare tutti i trasferimenti di dati con gli USA
L'Antitrust punta i piedi contro i tracciamenti - tutti - di Google
Privacy: servizi sanitari sotto pressione e multe importanti
Indagine su un Bot di Telegram usato per aggiungere corpi nudi
First HELP course launched in San Marino with focus on data protection and privacy rights
La Corte Europea di Giustizia sulla sorveglianza di massa - traduzione italiana del comunicato
GDPR in pillole per sviluppatori informatici: come spostare un server anche in urgenza



Segui le novità in materia di Privacy su Civile.it via Telegram
oppure via email: (gratis Info privacy)


Dossier:



dallo store:
visita lo store






Le basi operative del GDPR
Valutazione: 4.55 su 5
adv IusOnDemand




Dal 1999 il diritto di internet. I testi sono degli autori e di IusOnDemand srl p.iva 04446030969 - diritti riservati - Privacy - Cookie - Condizioni d'uso - in 0.008