I dati personali sono qualsiasi informazione correlata a una persona identificata o identificabile (ad es. soggetto interessato). Il termine "identificabile" si riferisce ai soggetti che possono essere identificati direttamente o indirettamente, in particolare riferendosi a un identificatore specifico.
Un soggetto interessato sei tu (cioè la persona fisica a cui si riferiscono i dati personali). Un soggetto interessato è una qualsiasi persona che può essere identificata, direttamente o indirettamente, attraverso un identificatore come nominativo, numero ID, dati sulla posizione, o tramite fattori specifici relativi all'identità fisica, psicologica, genetica, mentale, economica, culturale o sociale di una persona.
L'Health Insurance Portability and Accountability Act (HIPAA) è una legge federale in vigore negli Stati Uniti che ha lo scopo di fornire standard relativi alla privacy per la protezione delle cartelle cliniche e di altre informazioni sanitarie relative ai pazienti fornite a chirurghi, piani di assistenza sanitaria, ospedali, collaboratori commerciali e altri operatori sanitari.
In base all'HIPAA, le informazioni sanitarie protette (PHI) sono informazioni sanitarie in qualsiasi formato, incluse documentazioni cartacee, documentazioni elettroniche o informazioni orali, relative allo stato di salute di un individuo, la fornitura o il pagamento di servizi di assistenza sanitaria, che sono create o raccolte da un'entità specifica e che possono essere collegate a un individuo specifico. Esistono 18 identificatori HIPAA che rendono le informazioni sanitarie informazioni sanitarie protette.
Il Regolamento generale sulla protezione dei dati (GDPR) è un regolamento della legislazione dell'UE relativo alla protezione dei dati e alla privacy in vigore nell'Unione Europea e nello Spazio Economico Europeo. Il GDPR disciplina le modalità con cui le aziende proteggono i dati personali dei cittadini dell'UE.
Le categorie speciali di dati personali ai sensi del GDPR includono dati che rivelano origini razziali ed etniche, opinioni politiche, convinzioni religiose o filosofiche o appartenenza sindacale, nonché dati genetici e dati biometrici, con lo scopo di identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alle abitudini o all'orientamento sessuale di una persona fisica.
I dati relativi alla salute indicano dati personali correlati allo stato di salute fisica o mentale di una persona fisica, inclusa la fornitura di servizi di assistenza sanitaria, che rivelano informazioni sullo stato di salute di una persona.
Per trattamento si intende qualsiasi azione eseguita sui dati personali o su un set di dati personali, utilizzando o meno una procedura automatizzata. Esempi di trattamento includono la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione, l'adattamento o la modifica, il recupero, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o altro mezzo per mettere a disposizione, allineare o combinare, limitare, cancellare o distruggere dati. Fondamentalmente, qualsiasi cosa che puoi immaginare di poter fare con i dati personali viene considerata trattamento.
Il trattamento dei dati personali è un'attività lecita se effettuato con un modulo di consenso informato fornito da un individuo o quando è necessario includere tale attività per l'esecuzione di un contratto, per essere conformi alle leggi europee, per proteggere la vita di un individuo, per l'esecuzione di un'attività nell'interesse pubblico o per funzioni ufficiali oppure per altri interessi legittimi.
Anonimizzazione significa rendere anonimi i dati personali in modo tale che il soggetto interessato non sia più identificabile. Ciò richiede che tutti gli identificatori, utilizzati da un responsabile del trattamento o da un'altra persona, siano ragionevolmente identificati e che l'individuo venga rimosso. Le informazioni che sono realmente anonime non sono coperte dal GDPR.
Con pseudonimizzazione si indica il trattamento dei dati personali in modo tale che non possano più essere collegati a un soggetto interessato specifico senza l'utilizzo di informazioni aggiuntive. Le informazioni aggiuntive sono conservate separatamente e sono soggette a misure tecniche e organizzative al fine di garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile. Le informazioni a cui sono stati rimossi o sostituiti gli identificatori al fine di pseudonimizzare i dati sono ancora considerate dati personali ai sensi del GDPR.
La profilazione è qualsiasi forma di trattamento automatizzato dei dati personali che valuta aspetti personali, in particolare al fine di analizzare o prevedere aspetti che riguardano le tue preferenze o interessi personali, l'affidabilità o il comportamento, la posizione o i tuoi movimenti.
Il consenso è l'atto chiaro e inequivocabile che stabilisce l'indicazione fornita liberamente, specifica, informata ed esplicita che indica che il soggetto interessato fornisce il proprio consenso al trattamento dei propri dati personali.
Se il trattamento di dati personali richiede la fornitura di un consenso, tale consenso deve essere ottenuto separatamente. La fornitura di un'informativa sulla privacy non sostituisce l'ottenimento del consenso.
Per titolare del trattamento dei dati si intende l'entità che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali. I titolari del trattamento dei dati esercitano il proprio controllo sulle finalità e sulle modalità del trattamento dei dati personali. I titolari del trattamento dei dati devono essere conformi e dimostrare la propria conformità a tutti i principi di protezione dei dati e degli altri requisiti del GDPR. Hanno anche la responsabilità della conformità dei propri responsabili del trattamento dei dati. Se due o più titolari determinano congiuntamente le finalità e le modalità di trattamento degli stessi dati personali, essi sono contitolari del trattamento dei dati. Tuttavia, non sono contitolari del trattamento dei dati qualora trattino gli stessi dati per finalità differenti.
I responsabili del trattamento dei dati sono soggetti che trattano dati personali per conto del titolare del trattamento dei dati. Se non esiste uno scopo designato per il trattamento dei dati e agisci solo in base alle istruzioni fornite dal cliente, è probabile che tu sia un responsabile del trattamento dei dati, anche se prendi decisioni tecniche su come trattare i dati. Quando si effettua un trattamento dei dati per conto di un titolare del trattamento dei dati, tale titolare del trattamento dei dati deve avvalersi solo di responsabili che forniscono garanzie sufficienti per mettere in pratica misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR, compresa la sicurezza del trattamento dei dati e la tutela dei diritti del soggetto interessato.
I responsabili del trattamento dei dati possono avvalersi di un altro responsabile, denominato "sub-responsabile", per svolgere specifiche attività di trattamento dei dati per conto del titolare del trattamento dei dati. In questi casi, al sub-responsabile saranno imposti gli stessi obblighi in materia di protezione dei dati previsti dal contratto tra titolare e responsabile del trattamento dei dati (cioè misure tecniche e organizzative adeguate).
Quando il sub-responsabile non adempie ai propri obblighi in materia di protezione dei dati, il responsabile iniziale rimane pienamente responsabile nei confronti del titolare del trattamento dei dati in relazione all'adempimento dei propri obblighi. L'affidamento dell'incarico al sub-responsabile deve avvenire previa autorizzazione scritta specifica o generale da parte del titolare del trattamento dei dati. In caso di autorizzazione scritta generale, il responsabile del trattamento dei dati informa il titolare del trattamento in merito a eventuali modifiche previste relative all'aggiunta o alla sostituzione di sub-responsabili, dando così al titolare la possibilità di opporsi a tali modifiche.
Chiunque non sia un soggetto interessato, un titolare del trattamento o un responsabile del trattamento è chiamato terza parte. Esempi di terze parti possono essere un'impresa di servizi di pulizia assunta per pulire i propri uffici o un'azienda che si occupa di manutenzione alle apparecchiature. Anche se occasionalmente possono avere a che fare con dati personali mentre si spostano all'interno di uffici o tra le apparecchiature, possono svolgere il loro compito senza accedere ai dati. Inoltre, alle terze parti è contrattualmente vietato accedere o trattare in altro modo i dati personali che un'azienda conserva come titolare del trattamento dei dati.
Il destinatario dei dati è qualsiasi altra entità a cui è possibile divulgare dati personali, indipendentemente dal fatto che si tratti o meno di una terza parte.
L'Accordo sul trattamento dei dati (DPA) è un contratto giuridicamente vincolante che stabilisce i diritti e gli obblighi di ciascuna parte in relazione alla protezione dei dati personali
Al fine di mettere in pratica misure efficaci e applicabili che garantiscono trasferimenti di dati internazionali sicuri, il 18 giugno 2021 il Comitato europeo per la protezione dei dati (EDPB) ha adottato raccomandazioni relative alla protezione dei trasferimenti internazionali di dati. Tali raccomandazioni si basano sulla sentenza "Schrems II" della Corte di Giustizia dell'Unione Europea, che ha stabilito l'obbligo per i titolari del trattamento dei dati che trasferiscono dati personali verso paesi terzi di mettere in pratica misure aggiuntive per proteggere il trasferimento dei dati.
Le clausole contrattuali standard (SCC) contengono obblighi contrattuali tra l'esportatore e l'importatore dei dati e diritti per le persone i cui dati personali vengono trasferiti.
L'approccio europeo al trattamento dei dati include il concetto chiave di "Know Your Transfer" (Informati sul tuo trasferimento), che fa riferimento al paese in cui verranno trasferiti i dati personali per il relativo trattamento. In base alla sentenza "Schrems II" della Corte di Giustizia dell'Unione Europea, un titolare del trattamento che trasferisce dei dati personali verso un paese non UE è obbligato a mettere in pratica misure aggiuntive per proteggere il trasferimento dei dati.
Il termine "paesi terzi" non è definito nel GDPR ma deriva dai principali trattati dell'UE come riferimento a paesi che non fanno parte di tali trattati. È un termine comune nella legislazione UE e normalmente viene utilizzato come riferimento a qualsiasi paese che non fa parte di un'organizzazione soggetta a tale legislazione. Poiché il GDPR si applica come normativa all'UE e al SEE, "paesi terzi" si riferisce a quei paesi che non sono Stati membri dell'UE o del SEE.
La "decisione di adeguatezza" della Commissione Europea conferma che un altro paese, territorio o settore che si trova al di fuori dell'UE fornisce un livello di protezione dei dati personali equivalente a quello dell'UE. È possibile consultare un elenco aggiornato dei paesi con decisioni di adeguatezza alla pagina (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en).
Un Accordo di associazione commerciale (BAA) è un accordo scritto che specifica la responsabilità di ciascuna delle parti in materia di gestione delle PHI. Le garanzie soddisfacenti devono essere fornite in forma scritta tra l'entità specifica e il collaboratore commerciale. Tutti i BAA devono essere riesaminati e firmati per la privacy.
Il concetto di Privacy by Design richiede che la privacy e la protezione dei dati siano integrate durante l'intero ciclo di vita di un progetto, dallo stato iniziale della progettazione fino alla distribuzione, all'uso e allo smaltimento. Le principali funzioni del concetto di Privacy by Design includono l'essere proattivi, l'implementazione dei controlli sulla privacy e la dimostrazione del rispetto per la tutela del soggetto interessato. L'idea è che il team che si occupa della privacy venga informato nelle fasi iniziali di un'idea di progetto, in modo che possano essere presi in considerazione i controlli sulla privacy.
Ai sensi dell'HIPAA, una violazione delle PHI è l'acquisizione, l'accesso, l'uso o la divulgazione di PHI non protette, con modalità non consentite dall'HIPAA, che comporta un rischio significativo di danno finanziario, di reputazione o di altro tipo per un individuo. La regola di notifica delle violazioni HIPAA richiede alle entità interessate e ai collaboratori commerciali di notificare alle persone interessate, all'HHS e in alcuni casi ai media una violazione delle PHI non protette.
Ai sensi del GDPR, una violazione dei dati personali significa una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso accidentale o illegale ai dati personali trasmessi, archiviati o trattati con altre modalità.