La Privacy Policy è un documento nel quale sono indicate le modalità di trattamento dei dati raccolti da un sito internet durante la navigazione da parte dell’utente.

La Privacy Policy ha lo scopo preciso di informare l’utente circa:

  • il trattamento dei suoi dati personali secondo il D.Lgs 181/18 ed il Regolamento UE (GDPR) 679/2016.
  • le finalitàdel trattamento dei dati. Infatti, secondo la nuova normativa, i dati dovranno essere conservati per un periodo idoneo al raggiungimento delle finalità preposte dal sito, per poi essere cancellati. Quindi è obbligatorio che le finalità vengano indicate in maniera chiara e concisa all’interno dell’informativa.
  • il luogodove verranno trattati i dati, che coincide con la sede del titolare del trattamento dei dati.
  • i tipi di cookies che vengono utilizzati nella pagina web. I cookies sono brevi informazioni che possono essere salvate sul computer dell’utente quando il browser richiama un determinato sito web. Con essi il server invia informazioni che saranno rilette ed aggiornate ogni qual volta l’utente ritornerà sul sito.

L’Informativa privacy

Ai sensi dell’art. 13 Gdpr l’Informativa sul trattamento dei dati personali (di seguito l’“Informativa”) non necessita di particolari formalità, il titolare del trattamento sarà quindi libero di adottare la forma grafica che meglio riterrà adattarsi allo stile del Sito, a condizione però che l’Informativa sia chiara, facilmente consultabile dagli Interessati e contenga i requisiti minimi individuati dal Gdpr.

L’Informativa, dunque, dovrà essere redatta con linguaggio semplice e chiaro, tale da poter essere compresa dagli Interessati.

L’Informativa, inoltre, deve essere facilmente raggiungibile dagli Interessati durante l’utilizzo o la semplice navigazione nel Sito e dovrà, inoltre, contenere obbligatoriamente le seguenti informazioni:

  • il titolare del trattamento, con indicate le sue generalità;
  • le finalità del trattamento;
  • la base giuridica del trattamento, da selezionare con attenzione fra quelle previste dagli articoli 6 e 9 Gdpr quali ad esempio l’obbligo di legge, l’esecuzione di un contratto, il consenso che rende legittimo il trattamento dei dati;
  • l’elenco dei soggetti terzi a cui i dati possono essere comunicati per l’espletamento delle attività legate al trattamento dei dati dell’Interessato;
  • la durata del trattamento, che deve essere circoscritta per il tempo necessario all’espletamento delle attività effettuate dal titolare del trattamento, compresi gli obblighi legali di conservazione dei dati dettati secondo le leggi e/o regolamenti del caso;
  • la sicurezza e la riservatezza dei dati, attraverso misure tecniche e organizzative necessarie per garantire l’integrità e la disponibilità dei dati personali;
  • il rispetto e la tutela dei diritti del singolo Interessato e, in caso di violazione dei medesimi, la possibilità di contattare le autorità competenti in materia di privacy;
  • gli eventuali recapiti del Responsabile della Protezione dei Dati, ove nominato dal titolare del trattamento ai sensi dell’art. 37 Gdpr.

 

I soggetti del trattamento

Il GDPR prescrive che un sito web abbia:

  • un Titolare del trattamento dei dati (Data Controller). Il titolare del trattamento è colui che ha potere decisionale e organizzativo sul trattamento, oltre che decidere le modalità di trattamento dei dati ed è il responsabile nei confronti del garante della privacy dell’ottemperanza delle norme in materia di privacy. Si possono nominare anche due o più contitolari. In questo caso, è obbligatorio che l’utente sappia quali siano le competenze di ogni contitolare, attraverso un link che indica l’accordo tra gli stessi.
  • un Responsabile del Trattamento (Data Processor). Il responsabile del trattamento è colui che tratta i dati per conto del titolare del trattamento. Ciò significa, che sarà un soggetto vicino al titolare, dal quale riceve direttive su come gestire i dati. Il Responsabile del trattamento deve essere una figura competente in grado di soddisfare a pieno la sicurezza posta in essere dal Titolare del trattamento /Cfr. Art 28 GDPR).
  • un Responsabile della protezione dati (Data Protection Officer DPO, RPD in italiano). Il DPOè un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del Regolamento medesimo. Coopera con l’Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

Il Data Protection Officer (DPO) ha il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti: potrà essere un soggetto interno (dipendente o collaboratore) o esterno (società di consulenza) e dovrà possedere competenze sia in aree giuridiche che informatiche e una ampia conoscenza della normativa. Egli esegue le proprie funzioni in completa indipendenza (senza ricevere alcuna istruzione o imposizione gerarchica) e riferisce sul suo operato direttamente ai vertici aziendali, i quali, per la piena esecuzione dei suoi compiti dovranno fornire risorse adeguate.

 

Il Data Processor Agreement (DPA)

Ai sensi dell’art. 28 Gdpr, i trattamenti, la cui gestione viene affidata dal Titolare al Responsabile, devono essere disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che indichi la materia disciplinata, la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di soggetti Interessati, gli obblighi e i diritti del Titolare del trattamento.

Il Data Processor Agreement dovrà prevedere che il Responsabile:

  1. tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
  2. garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. adotti tutte le misure richieste ai sensi dell’art. 32 Gdpr (ovvero quelle misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio);
  4. rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento (ovvero nel caso in cui decida di ricorrere ai cosiddetti subresponsabili del trattamento);
  5. tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato (ex art. 15 e seguenti Gdpr);
  6. assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
  7. su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
  8. metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.

Il Responsabile dovrà, quindi essere un soggetto qualificato, che garantisca un certo grado di affidabilità, sulla base delle misure tecniche e organizzative utilizzate per svolgere la sua attività, oltre al fatto che dovrà rispettare le disposizioni in materia di privacy.

L’Amministratore di Sistema

La figura dell’Amministratore di Sistema non è prevista dal Gdpr ma è stata istituita dal Garante Privacy con provvedimento del 27 novembre 2008, successivamente modificato con provvedimento del 25 giugno 2009 che definisce l’Amministratore di Sistema come ““una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi Erp (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”.

L’Amministratore di Sistema, quindi, è quella persona fisica o giuridica con competenze tecniche informatiche, che si occupa della gestione della rete informatica del Titolare.

Dato il suo ruolo operativo, l’Amministratore di Sistema deve avere un’adeguata professionalità, nonché una concreta capacità: sarà necessario, quindi, nominare come tale solo personale tecnico qualificato, in grado di gestire la sicurezza informatica del Titolare.

Può rivestire la figura di Amministratore di Sistema sia un dipendente o collaboratore interno alla società, ma anche una società esterna, quale ad esempio una software house: in tal caso l’azienda verrà nominata responsabile esterno con l’obbligo di identificare e comunicare al Titolare (o tenerne a disposizione l’elenco) gli Amministratori di sistema identificati nel proprio organico che svolgeranno tale ruolo nell’ambito di contratti di servizio con il Titolare.

Compito principale dell’Amministratore di Sistema è la messa in atto di tutte quelle misure tecniche e organizzative necessarie a tutelare il sistema operativo informativo del Titolare sotto i diversi aspetti della operatività, sicurezza dei dati, profilazione utenti, aggiornamento e protezione dell’infrastruttura, connettività e accesso alle applicazioni ed alle risorse condivise.

Tali misure sono specificate nell’art. 32 GDPR che qui si trascrive:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Lo scopo delle misure indicate è quello di valutare l’adeguato livello di sicurezza, tenendo in considerazione tutti quei rischi collegati al trattamento e, in particolare, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o dall”accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Attraverso tali misure, inoltre, l’Amministratore di Sistema è in grado di valutare la presenza di un’eventuale violazione o perdita dei dati (“Data Breach”) e avvisare il Titolare di tale problema, nel rispetto delle procedure aziendali di gestione del Data Breach.

L’accesso agli archivi elettronici da parte dell’Amministratore di Sistema deve essere registrato e conservato per almeno 6 mesi, con caratteristiche di completezza, integrità ed inalterabilità scelte e identificate dal Titolare, e deve comprendere anche i riferimenti temporali, la descrizione dell’evento e del sistema coinvolto(Cfr. Provvedimento del Garante Privacy del 27 novembre 2008).

Inoltre, sempre secondo il Provvedimento, l’operato degli Amministratori di Sistema deve essere oggetto di verifica, con cadenza almeno annuale, per valutare se le attività svolte siano effettivamente conformi alle mansioni attribuite. Tale verifica non è da intendersi come una mera analisi dei log, ma deve venire operata da personale qualificato tenendo conto degli aspetti di “rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previste dalle norme vigenti”.

I soggetti autorizzati al trattamento (cfr. Art 29 Gdpr)

Per Soggetto autorizzato al trattamento si intende qualunque persona designata al trattamento dei dati sotto l’autorità diretta del Titolare o del Responsabile (e Sub-Responsabile). La norma, infatti, precisa che “Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

L’Autorizzato è pertanto una persona fisica che effettua materialmente le operazioni di trattamento sui dati personali dell’Interessato.

Le istruzioni all’Autorizzato, per quanto ciò non sia espressamente indicato nell’atto di nomina, dovranno essere rese per iscritto, indicare le tipologie di dati per cui viene autorizzato il trattamento e indicare chiaramente le relative istruzioni per effettuare il trattamento. Al fine di rendere concrete le istruzioni, agli Autorizzati dovrà essere altresì impartita la necessaria formazione sul trattamento dei dati, affinché gli stessi possano avere una completa acquisizione dei limiti e delle modalità del trattamento dei dati, connesse allo svolgimento delle loro mansioni lavorative, ed effettuare pertanto un trattamento lecito.

Le basi giuridiche per il trattamento dei dati personali

Il principio di protezione dei dati dell’UE afferma inequivocabilmente che il trattamento dei dati personali è lecito solo se, e nella misura in cui, è consentito dalla legge applicabile. Qualsiasi giustificazione per il trattamento che il Titolare del trattamento dei dati può fornire al di fuori di tale ambito preciso è senza fondamento legale ed è considerata illegale.

Il GDPR all’art. 6 riconosce 6 basi giuridiche per il trattamento dei dati:

  1. Obblighi legali e conformità legale

Il trattamento è lecito se è necessario per adempiere a un obbligo legale ai sensi delle leggi dell’UE o di uno Stato membro

  1. Adempimento contrattuale

Il trattamento è consentito se è necessario per stipulare un nuovo contratto o lavorare in base al contratto esistente con l’interessato inoltre è consentito quando l’interessato avvia delle attività nei confronti del Titolare del trattamento dei dati, nel qual caso il trattamento è consentito anche prima della stipula del contratto.

  1. Interessi vitali

il trattamento è consentito se è necessario per la salvaguardia degli interessi vitali dell’interessato.

4.              Compito di interesse pubblico o connesso all’esercizio di pubblici poteri

Il trattamento è lecito quando l’esecuzione di un compito svolto nell’interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito Titolare del trattamento richiede il trattamento di dati personali,

  1. Interessi legittimi

Il GDPR fornisce vaghe descrizioni di possibili scenari, che si inseriscono nella base di interessi legittimi. Gli esempi includono: determinati rapporti con i clienti o relativi al servizio tra l’interessato e il controllore (con limitazioni relative ai contratti di lavoro e alle autorità pubbliche). Sono inoltre comprese le procedure per prevenire le frodi, nonché la trasmissione di dati personali all’interno delle imprese dei controllori dei dati o delle istituzioni affiliate a un organismo centrale a fini amministrativi interni. Questo può includere l’elaborazione dei dati personali dei clienti o dei dipendenti.

  1. Il consenso dell’interessato

Il consenso deve essere esclusivo, riflettente l’azione discrezionale dell’interessato, una risposta positiva prestata liberamente alla descrizione ben strutturata e non ambigua dell’attività di trattamento. Nessuna elaborazione può aver luogo fino a quando il consenso non sia assicurato. Il Titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali, il che richiede l’esistenza di una catena di controllo.

Il consenso deve essere:

  • libero: la scelta dell’Interessato deve essere vera, genuina e priva di condizionamenti;
  • specifico per una determinata finalità;
  • informato, perché il consenso non può prescindere da una opportuna informazione circa le finalità e le modalità con cui il Titolare tratta i dati;
  • inequivocabile, e cioè apposto mediante un atto positivo con il quale l’Interessato manifesta la sua intenzione;
  • esplicito e per tale non si intende necessariamente un consenso scritto, ma un consenso manifestato personalmente dall’Interessato, senza dubbi sulla sua autenticità;
  • dimostrabile da parte del Titolare che avrà l’onere di provare l’avvenuta espressione del consenso da parte dell’Interessato;
  • revocabile, ovvero prevedere la possibilità per l’Interessato di modificare in qualsiasi momento il consenso prestato, nonostante l’iniziale approvazione dello stesso.

 

La durata e la conservazione dei dati personali dell’Interessato

Il periodo di conservazione dei dati personali – cosiddetta data retention – è uno degli elementi basilari della protezione dei dati. È pertanto di fondamentale importanza stabilire bene quali siano i “criteri” per la determinazione del periodo massimo di conservazione dei dati personali, e le conseguenti criticità.

Quando il Titolare del trattamento raccoglie i dati personali dell’Interessato tramite il sito web, potrà trattarli e conservarli per un periodo determinato, in base alla finalità prescelta, agli interessi del Titolare stesso e alla normativa specifica di settore.

Il Gdpr, in particolare, prevede all’art. 5 l’esplicito divieto di conservare i dati personali dell’Interessato per un tempo superiore a quello necessario al perseguimento dello scopo del trattamento, nel rispetto dei principi di necessità e di finalità.

Sarà quindi onere del Titolare adottare una precisa politica di cosiddetta data retention, ovvero di conservazione dai dati, facendo particolare attenzione alle tempistiche individuate e previste dalle norme di legge, dai provvedimenti dell’Autorità Garante Privacy, nonché dalla giurisprudenza sviluppatasi in materia di conservazione e cancellazione di dati personali.

Cosa accade quando il periodo di data retention arriva al termine?

Il Titolare del trattamento sarà obbligato a prevedere apposite procedure tecniche e organizzative che garantiscano la cancellazione dei dati alla fine del periodo di data retention, oppure l’impossibilità di ricondurre il dato al suo diretto Interessato.

Infatti, il GDPR ha introdotto la tecnica della pseudonimizzazione, ovvero “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

Lo scopo della pseudonimizzazione è quello di ridurre i rischi per l’Interessato e aiutare il Titolari del trattamento a rispettare i loro obblighi di protezione dei dati.

Tale tecnica non è intesa a precludere altre misure di protezione dei dati personali, dal momento che il Titolare dovrà in ogni caso assicurare l’adozione delle misure tecniche e organizzative necessarie, nonché la conservazione separata delle informazioni aggiuntive per l’attribuzione dei dati personali a un Interessato specifico.

I diritti dell’Interessato

Uno degli obiettivi principali del nuovo Regolamento Generale Europeo sulla Protezione dei Dati (GDPR) consiste nel garantire la privacy e la protezione dei dati personali degli interessati.

Per aiutare gli interessati a garantire la protezione e la riservatezza dei propri dati personali, il GDPR conferisce ai soggetti interessati 8 diritti fondamentali. Attraverso tali diritti, gli interessati possono presentare una richiesta specifica e assicurarsi che i propri dati personali non vengano utilizzati in modo improprio per finalità diverse dallo scopo legittimo per il quale sono stati originariamente forniti.

  • Diritto all’informazione

Questo diritto conferisce all’interessato la possibilità di chiedere a un’azienda informazioni su quali dei propri dati personali vengano trattati e il criterio alla base di tale trattamento. Ad esempio, un cliente può chiedere l’elenco dei processori1) con cui vengono condivisi i suoi dati personali.

  • Diritto di accesso

 

Questo diritto conferisce all’interessato la possibilità di accedere ai propri dati personali che vengono trattati. Questa richiesta dà agli interessati il diritto di vedere o visualizzare i propri dati personali, nonché di richiedere copie dei dati personali.

  • Diritto alla rettifica

 

Questo diritto conferisce all’interessato la possibilità di chiedere modifiche ai propri dati personali nel caso in cui l’interessato ritenga che tali dati personali non siano aggiornati o accurati.

  • Diritto di revoca del consenso

 

Questo diritto conferisce all’interessato la possibilità di ritirare un consenso precedentemente concesso per il trattamento dei propri dati personali per uno scopo. La richiesta impone quindi all’azienda di interrompere il trattamento dei dati personali basato sul consenso fornito in precedenza.

  • Diritto di opporsi

 

Questo diritto conferisce all’interessato la possibilità di opporsi al trattamento dei propri dati personali. Normalmente, ciò equivarrebbe al diritto di revocare il consenso, se il consenso è stato richiesto in modo appropriato e non viene condotto alcun trattamento diverso dalle finalità legittime. Tuttavia, uno scenario specifico può essere quando un cliente chiede che i propri dati personali non vengano trattati per determinati scopi mentre è in corso una controversia legale in tribunale.

  • Diritto di opporsi al trattamento automatizzato

 

Questo diritto conferisce all’interessato la possibilità di opporsi a una decisione basata sul trattamento automatizzato. Utilizzando questo diritto, un cliente può chiedere che la propria richiesta (ad esempio, una richiesta di prestito) venga esaminata manualmente, perché ritiene che il trattamento automatizzato della richiesta di un prestito non possa tenere in considerazione la situazione unica del cliente.

  • Diritto all’oblio

 

Conosciuto anche come diritto alla cancellazione, questo diritto conferisce all’interessato la possibilità di chiedere la cancellazione dei propri dati. Questo generalmente si applica alle situazioni in cui è terminata una relazione con il cliente. È importante notare che questo non è un diritto assoluto e dipende dal programma di conservazione e dal periodo di conservazione in linea con le altre leggi applicabili.

  • Diritto alla portabilità dei dati

 

Questo diritto conferisce all’interessato la possibilità di chiedere il trasferimento dei propri dati personali. Come parte di tale richiesta, l’interessato può chiedere che i propri dati personali (gli/le) siano restituiti o siano trasferiti a un altro Titolare del trattamento. Nel fare ciò, i dati personali devono essere forniti o trasferiti in un formato elettronico leggibile da una macchina.

 

Il Titolare del trattamento ha l’obbligo di rispondere alle richieste di esercizio dei diritti entro un mese (art. 12 Gdpr) dalla ricezione della domanda dell’Interessato. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste e della necessità di tale prolungamento deve venire informato l’Interessato.

Il riscontro deve avvenire in forma scritta, anche attraverso strumenti elettronici, e il suo contenuto deve essere chiaro, accessibile e trasparente.

Nel caso in cui il Titolare non adempia al suo obbligo di riscontro nei tempi richiesti o non fornisca un’idonea risposta all’Interessato, quest’ultimo potrà contattare direttamente l’Autorità Garante Privacy e proporre ricorso avverso il Titolare stesso per la tutela dei propri diritti.

Il Responsabile della Protezione dei Dati (DPO Data Protection Officer)

l responsabile della protezione dei dati è una figura professionale esperta nella protezione dei dati, il cui compito è valutare e organizzare la gestione del trattamento dei dati personali, e dunque la loro protezione, all’interno di enti come un’impresa, un ente o di una associazione, affinché questi siano trattati in modo lecito e pertinente.

Di seguito, più in dettaglio, I compiti del DPO:

  1. informare e fornire consulenza al Titolare del trattamento, nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dalla normativa privacy;
  2. sorvegliare l’osservanza delle disposizioni relative alla protezione dei dati nonché delle politiche del Titolare del trattamento, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  4. cooperare con l’Autorità Garante Privacy;
  5. fungere da punto di contatto per l’Autorità Garante Privacy per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettuare consultazioni relativamente a qualunque altra questione.

Secondo l’art. 37 Gdpr il DPO deve essere designato nei seguenti casi:

1) amministrazioni, enti pubblici e autorità giudiziarie nell’esercizio delle loro funzioni;

2) tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;

3) tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Qualora venga nominato, i dati di contatto del Dpo dovranno essere resi noti agli Interessati del Sito nell’Informativa.

Alcuni esempi di trattamento su larga scala sono i seguenti:

  1. trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
  2. trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
  3. trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
  4. trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
  5. trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
  6. trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.