| dizionario | 2018-06-19 · NEW:  Appunta · Stampa · Cita: 'Doc 94147' · pdf |
DPA |
abstract:
Nella privacy - UPDATE: aggiungo DPA come authority
- Fonte: spataro
analisi:
index:
Indice
- 1. Data Protection Agreement ("DPA")
- I primi due
- Le aziende definiscano meglio i confini
- Le aziende hanno dei contratti, e' ad es
- Il dipendente che accede illecitamente
- Quindi piu' si e' precisi, definendo meg
- Il sito del Garante, la cui societa' di
- Definite le prestazioni che date, e non
- aggiuntiva
- 2. Autorità
testo:
Tre usi frequenti:
- Data processing Agreement
- Data Protection Addendum
- Data Protection Authority
1. Data Protection Agreement ("DPA")
I primi due sono sinonimi usati occasionalmente con lo stesso acronimo.
Di cosa si tratta ?
Il GDPR chiede che le aziende definiscano meglio i confini delle proprie attivita', per individuare ex ante il Responsabile di danni o di violazioni del GDPR stesso.
La figura del Titolare e del Responsabile del Trattamento non sono sufficienti. Entra in gioco il Titolare autonomo, una volta chiamato incaricato del trattamento.
In questa babele di termini i cui criteri distintivi affondano le radici nel parere 1 2010 del WP29, i cui termini utilizzati confondono il nuovo lettore, perche' riguardano la precedente normativa, con parole che cambiano totalmente significato, dicevamo in tutta questa babele ogni azienda e' stata contattata per farsi nominare responsabile.
Errore gravissimo.
Le aziende hanno dei contratti, e' ad essi che bisogna fare riferimento.
A volta contrattualmente si diventa responsabili del trattamento, altre volti Terzo Titolare autonomo (o incaricato esterno) come si diceva una volta.
Conseguenze ?
Facciamo l'esempio 26: il dipendente che accede illecitamente a Dati personali diventa Titolare non Autorizzato e quindi Responsabile di danni e sanzioni amministrative in proprio, secondo il WP29.
E qui inizia il problema di capire quanto l'attenzione terminologica incida sulla sostanza.
Le prestazioni sono decise dal contratto tra cliente e fornitore. La privacy segue, non sostituisce gli accordi.
Quindi piu' si e' precisi, definendo meglio autonomia direttiva e operativa, tanto meno equivoci ci saranno.
Si presti attenzione a chi determina le finalita' del Trattamento e quali mezzi sono stati realizzati appositamente o erano preesistenti per trattare in un certo modo i dati. I fornitori di pacchetti chiavi in mano non si prestano a deleghe di trattamenti altrui, salvo non li assumano per definizione.
Il rischio maggiore e' la confusione delle responsabilita' che porterebbe a rispondere in solido per gli inadempimenti dell'altro.
Un esempio concreto ? Il sito del Garante, la cui societa' di gestione offre l'hosting ma anche la gestione del sito. In questo caso e' individuata come Responsabile del trattamento.
Per le altre ipotesi si legga l'esempio 16, l'esempio 1 (con la nota 12) , del parere 1 2010 del wp29.
Nella pratica, definite le prestazioni che date, e non cambiatele nell'esecuzione del contratto se non volete che cambino per fatti concludenti.
Il DPA e' quindi una condizione generale privacy aggiuntiva per specificare le prestazioni fornite nel rispetto della privacy.
2. Autorità
E' in uso sui social postare DPA come noi usiamo Garante. La DPA irlandese e' l'autorità irlandese.
Gli acronimi non aiutano mai.
Testo del 2018-06-19 - Fonte: spataro
Dizionario Altre chiavi solo per gli iscritti