SlideShare a Scribd company logo

Il Data Processing Agreement per i servizi in cloud - avv. Sabrina Salmeri

ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale

Intervento presentato nel corso del DIGEat2018 - Consilum "Cloud e protezione dei dati personali: quali accorgimenti per essere compliant?", a cura del D&L NET

Law
1 of 16
Download to read offline
Il Data Processing Agreement per i servizi in cloud Avv. Sabrina Salmeri Privacy Consultant
ESTERNALIZZAZIONE DEI PROCESSI DI BUSINESS CLOUD Marketing Call & Contact Center
AMBITO DI APPLICAZIONE ART. 3 GDPR 1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione. 3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
RAPPRESENTANTE NELL’UNIONE ART. 27 GDPR Quando il trattamento dei dati personali di interessati che si trovano nell’Unione è effettuato da un titolare o da un responsabile del trattamento che non stabiliti nell’Unione essi dovranno designare per iscritto un rappresentante nell’Unione (sono esclusi i casi di trattamento occasionale e i trattamenti effettuati da autorità pubbliche e organismi pubblici). Il rappresentante è incaricato dal titolare o dal responsabile del trattamento a fungere da interlocutore, in aggiunta o sostituzione degli stessi, per tutte le questioni riguardanti il trattamento. Sono fatte salve le azioni legali che possono essere promosse contro lo stesso titolare o responsabile del trattamento.
FORNITORE=RESPONSABILE DEL TRATTAMENTO ART. 28 GDPR 1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato. 2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.
ART. 28 GDPR Responsabile del trattamento 3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico (scritto, par. 9) a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico; b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; c) adotti tutte le misure richieste ai sensi dell’articolo 32;
ART. 28 GDPR d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento; e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III; f ) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento; g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
ART. 28 GDPR I commi 6, 7 e 8 dell'art. 28 GDPR prevedono la facoltà della Commissione Europea e delle Autorità di controllo di stabilire o adottare clausole contrattuali tipo per il contratto tra il titolare e il responsabile del trattamento. Al momento né la Commissione Europea né le molte delle Autorità di controllo si sono avvalse di questa facoltà, fatta eccezione per l'Autorità di controllo bavarese e del CNIL ciascuna delle quali ha pubblicato un proprio modello di contratto. E’ opportuno quindi monitorare gli ulteriori sviluppi e, al momento della pubblicazione di tali clausole tipo, eseguire un confronto tra i contratti in essere con i fornitori per determinare se i contenuti sono adeguati o se è opportuno integrarli sulla base degli esempi forniti dalla Commissione e/o dall'Autorità di controllo di riferimento (Autorità capofila).
RESPONSABILITÀ SOLIDALE Art. 82 GDPR 1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento sono esonerati dalla responsabilità, a norma del paragrafo 2 se dimostrano che l’evento dannoso non è ad essi in alcun modo imputabile. 4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. 5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
OPERAZIONI PRELIMINARI 1. Revisionare e aggiornare i contratti in essere e negoziare nuovi contratti in relazione a tutti i servizi in outsourcing 2. In fase di scelta del fornitore, verificare la sussistenza di garanzie sufficienti a consentire il rispetto del GDPR (mediante checklist da sottoporre al fornitore cloud) 3. Individuare dove è collocato geograficamente il datacenter del fornitore 4. Controllare chi ha accesso ai dati nel cloud 5. Verificare la conformità del fornitore di servizi cloud rispetto agli standard di sicurezza noti 6. Redigere il DPA (data processing agreement) 7. Non tutti i DPA sono uguali: devono essere adeguati alla tipo di trattamento dei dati, la tipologia del dati trattati e le categorie di interessati, il rischio per i diritti e le libertà degli interessati
CERTIFICAZIONI E CODICI DI CONDOTTA ✓ CCSP: Certified Cloud Security Professional ✓ CCNA Cloud (Cisco) ✓ CCNP Cloud (Cisco) ✓ MCSE: Cloud Platform & Infrastructure (Microsoft) ✓ AWS Certified Solutions Architect- Associate (AmazonWeb Service) ✓ VMwareVCP7 - CMA ✓ CISPE: Code of conduct (IaaS)
DATA PROCESSING AGREEMENT Il DPA dovrà contenere quindi: ① Una clausola contenente dichiarazioni dal titolare al responsabile in merito a tutte le informazioni pertinenti alla finalità del trattamento dei dati personali realizzati dal fornitore di servizi cloud; ② Una clausola che descriva le istruzioni fornite dal titolare al fornitore di servizi cloud e in che modo il fornitore deve applicarle; ③ Una clausola che presenti la security policy fisica e logica implementata dal provider cloud, oltre alle misure applicabili in caso di intrusione non autorizzata (data breach); ④ Una clausola in base alla quale il responsabile del trattamento si impegna a cooperare nel caso in cui un interessato desideri esercitare i propri diritti; ⑤ Una clausola che specifica se, quando e come il responsabile può nominare un sub-responsabile; ⑥ Una clausola che garantisca la riservatezza non solo da parte dei dipendenti del fornitore cloud, ma anche da eventuali subappaltatori o liberi professionisti assunti dal fornitore di servizi cloud per contribuire all’adempimento dei propri obblighi; ⑦ Clausole sull’obbligo del fornitore di informare il titolare (non solo in caso di violazione dei dati) e le condizioni per la conduzione degli audit; ⑧ Clausole contrattuali standard se i dati sono trasferiti al di fuori dell’Unione Europea in un paese considerato non idoneo a garantire un livello adeguato di protezione; ⑨ Chiarimenti sulla risoluzione dei rapporti contrattuali e la distruzione dei dati nel cloud.
RESPONSABILITÀ SOLIDALE Art. 82 GDPR 1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento sono esonerati dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile. 4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. 5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
SANZIONI Art. 83 GDPR 4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.
CONTITOLARITA’ ATTENZIONE! Nonostante tali disposizioni contrattuali, può accadere che un fornitore di servizi cloud gestisca i dati a lui affidati in modo quasi autonomo. Difficilmente accadrà che un fornitore di servizi cloud possa essere considerato titolare del trattamento del GDPR, ma potrebbe essere considerato “contitolare” ai sensi dell’art. 26. In tali situazioni, nella misura in cui un’autorità di controllo possa decidere di modificare tale relazione (titolare- responsabile), le parti dovrebbero essere consapevoli di questa eventualità e operare proattivamente firmando un accordo di contitolarità che rifletta l’effettiva ripartizione della responsabilità tra i due soggetti. Art. 28, par. 10: «Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.»
DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria! Grazie per l’attenzione! sabrina.salmeri@mindwell.it

Recommended

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...Sulake Italia Srl
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018Simone Chiarelli
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018Simone Chiarelli
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018Simone Chiarelli
 

Recommended

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...Sulake Italia Srl
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018Simone Chiarelli
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018Simone Chiarelli
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018Simone Chiarelli
 
Privacy e lavoro
Privacy e lavoroPrivacy e lavoro
Privacy e lavoroAmmLibera AL
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica LegaleLodovico Mabini
 
GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018Simone Chiarelli
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyFederico Di Giorgi
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Simone Chiarelli
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDACarlo Riganti
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018Simone Chiarelli
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018Simone Chiarelli
 
Corso privacy unità 1
Corso privacy unità 1Corso privacy unità 1
Corso privacy unità 1Confimpresa
 
GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018Simone Chiarelli
 
Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Vittorio Pasteris
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliVittorio Pasteris
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Smau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSmau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSMAU
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Quotidiano Piemontese
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
Guida GDPR
Guida GDPRGuida GDPR
Guida GDPREdoardo Giancarlini
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Barbieri & Associati Dottori Commercialisti - Bologna
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRMassimiliano Tavella
 

More Related Content

What's hot

Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica LegaleLodovico Mabini
 
GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018Simone Chiarelli
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyFederico Di Giorgi
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Simone Chiarelli
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDACarlo Riganti
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018Simone Chiarelli
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018Simone Chiarelli
 
Corso privacy unità 1
Corso privacy unità 1Corso privacy unità 1
Corso privacy unità 1Confimpresa
 
GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018Simone Chiarelli
 
Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Vittorio Pasteris
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliVittorio Pasteris
 

What's hot (15)

Privacy e lavoro
Privacy e lavoroPrivacy e lavoro
Privacy e lavoro
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica Legale
 
GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacy
 
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
Lezione n. 11 (2 ore) - Il trattamento dei dati personali nel settore Sanità ...
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDA
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
 
Corso privacy unità 1
Corso privacy unità 1Corso privacy unità 1
Corso privacy unità 1
 
GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018GDPR e trattamento dei dati personali - 19 giugno 2018
GDPR e trattamento dei dati personali - 19 giugno 2018
 
Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679Guida all applicazione del regolamento privacy ue 2016 679
Guida all applicazione del regolamento privacy ue 2016 679
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personali
 

Similar to Il Data Processing Agreement per i servizi in cloud - avv. Sabrina Salmeri

Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...CSI Piemonte
 
Smau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSmau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSMAU
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Quotidiano Piemontese
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiRoberto Tuninetti
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Smau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina FredianiSmau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina FredianiSMAU
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017SMAU
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoGGagliano
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
 
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]teresadepiano
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiQuotidiano Piemontese
 

Similar to Il Data Processing Agreement per i servizi in cloud - avv. Sabrina Salmeri (20)

Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
 
Smau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSmau milano 2013 valentina frediani
Smau milano 2013 valentina frediani
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
Guida GDPR
Guida GDPRGuida GDPR
Guida GDPR
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPR
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agenti
 
Privacy 3.0
Privacy 3.0 Privacy 3.0
Privacy 3.0
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
Smau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina FredianiSmau Roma 2013 Valentina Frediani
Smau Roma 2013 Valentina Frediani
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamento
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
 
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
Privacy: cosa cambia con il nuovo Regolamento Europeo [Newsletter]
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
Guida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione datiGuida al nuovo regolamento europeo in materia di protezione dati
Guida al nuovo regolamento europeo in materia di protezione dati
 
Proteggere i dati critici dello Studio per garantire privacy ed efficienza pr...
Proteggere i dati critici dello Studio per garantire privacy ed efficienza pr...Proteggere i dati critici dello Studio per garantire privacy ed efficienza pr...
Proteggere i dati critici dello Studio per garantire privacy ed efficienza pr...
 

More from ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale

More from ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale (20)

L’esperienza sul campo di INAIL - Stefano Tomasini
L’esperienza sul campo di INAIL - Stefano Tomasini L’esperienza sul campo di INAIL - Stefano Tomasini
L’esperienza sul campo di INAIL - Stefano Tomasini
 
Apertura dei Lavori e breve presentazione del GdL per la Governance Digitale ...
Apertura dei Lavori e breve presentazione del GdL per la Governance Digitale ...Apertura dei Lavori e breve presentazione del GdL per la Governance Digitale ...
Apertura dei Lavori e breve presentazione del GdL per la Governance Digitale ...
 
I processi di Fatturazione Elettronica - Paolo A. Catti
I processi di Fatturazione Elettronica - Paolo A. CattiI processi di Fatturazione Elettronica - Paolo A. Catti
I processi di Fatturazione Elettronica - Paolo A. Catti
 
Paperless Italy - avv. Andrea Lisi
Paperless Italy - avv. Andrea LisiPaperless Italy - avv. Andrea Lisi
Paperless Italy - avv. Andrea Lisi
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni VenetoConvegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
“Le firme nei processi di fatturazione elettronica”
“Le firme nei processi di fatturazione elettronica” “Le firme nei processi di fatturazione elettronica”
“Le firme nei processi di fatturazione elettronica”
 
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...
“Le evoluzioni della Blockchain e la definizione di nuovi standard per la cer...
 
“Identificazione elettronica e SPID”
“Identificazione elettronica e SPID”“Identificazione elettronica e SPID”
“Identificazione elettronica e SPID”
 
“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...
“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...
“Utilizzo di firme e sigilli, alla ricerca del giusto equilibrio tra certezze...
 
“Firme e sigilli nel quadro normativo italiano – stato dell’arte”
“Firme e sigilli nel quadro normativo italiano – stato dell’arte”“Firme e sigilli nel quadro normativo italiano – stato dell’arte”
“Firme e sigilli nel quadro normativo italiano – stato dell’arte”
 
“Firme, Marche e Sigilli nella visione europea e la conservazione digitale de...
“Firme, Marche e Sigilli nella visione europea e la conservazione digitale de...“Firme, Marche e Sigilli nella visione europea e la conservazione digitale de...
“Firme, Marche e Sigilli nella visione europea e la conservazione digitale de...
 
Intervento apertura dei lavori
Intervento apertura dei lavoriIntervento apertura dei lavori
Intervento apertura dei lavori
 
La rivoluzione del GDPR e del "nuovo" Codice privacy: come procedere operativ...
La rivoluzione del GDPR e del "nuovo" Codice privacy: come procedere operativ...La rivoluzione del GDPR e del "nuovo" Codice privacy: come procedere operativ...
La rivoluzione del GDPR e del "nuovo" Codice privacy: come procedere operativ...
 

Il Data Processing Agreement per i servizi in cloud - avv. Sabrina Salmeri

  • 1. Il Data Processing Agreement per i servizi in cloud Avv. Sabrina Salmeri Privacy Consultant
  • 2. ESTERNALIZZAZIONE DEI PROCESSI DI BUSINESS CLOUD Marketing Call & Contact Center
  • 3. AMBITO DI APPLICAZIONE ART. 3 GDPR 1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione. 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione. 3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
  • 4. RAPPRESENTANTE NELL’UNIONE ART. 27 GDPR Quando il trattamento dei dati personali di interessati che si trovano nell’Unione è effettuato da un titolare o da un responsabile del trattamento che non stabiliti nell’Unione essi dovranno designare per iscritto un rappresentante nell’Unione (sono esclusi i casi di trattamento occasionale e i trattamenti effettuati da autorità pubbliche e organismi pubblici). Il rappresentante è incaricato dal titolare o dal responsabile del trattamento a fungere da interlocutore, in aggiunta o sostituzione degli stessi, per tutte le questioni riguardanti il trattamento. Sono fatte salve le azioni legali che possono essere promosse contro lo stesso titolare o responsabile del trattamento.
  • 5. FORNITORE=RESPONSABILE DEL TRATTAMENTO ART. 28 GDPR 1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato. 2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.
  • 6. ART. 28 GDPR Responsabile del trattamento 3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico (scritto, par. 9) a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento: a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico; b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; c) adotti tutte le misure richieste ai sensi dell’articolo 32;
  • 7. ART. 28 GDPR d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento; e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III; f ) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento; g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
  • 8. ART. 28 GDPR I commi 6, 7 e 8 dell'art. 28 GDPR prevedono la facoltà della Commissione Europea e delle Autorità di controllo di stabilire o adottare clausole contrattuali tipo per il contratto tra il titolare e il responsabile del trattamento. Al momento né la Commissione Europea né le molte delle Autorità di controllo si sono avvalse di questa facoltà, fatta eccezione per l'Autorità di controllo bavarese e del CNIL ciascuna delle quali ha pubblicato un proprio modello di contratto. E’ opportuno quindi monitorare gli ulteriori sviluppi e, al momento della pubblicazione di tali clausole tipo, eseguire un confronto tra i contratti in essere con i fornitori per determinare se i contenuti sono adeguati o se è opportuno integrarli sulla base degli esempi forniti dalla Commissione e/o dall'Autorità di controllo di riferimento (Autorità capofila).
  • 9. RESPONSABILITÀ SOLIDALE Art. 82 GDPR 1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento sono esonerati dalla responsabilità, a norma del paragrafo 2 se dimostrano che l’evento dannoso non è ad essi in alcun modo imputabile. 4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. 5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
  • 10. OPERAZIONI PRELIMINARI 1. Revisionare e aggiornare i contratti in essere e negoziare nuovi contratti in relazione a tutti i servizi in outsourcing 2. In fase di scelta del fornitore, verificare la sussistenza di garanzie sufficienti a consentire il rispetto del GDPR (mediante checklist da sottoporre al fornitore cloud) 3. Individuare dove è collocato geograficamente il datacenter del fornitore 4. Controllare chi ha accesso ai dati nel cloud 5. Verificare la conformità del fornitore di servizi cloud rispetto agli standard di sicurezza noti 6. Redigere il DPA (data processing agreement) 7. Non tutti i DPA sono uguali: devono essere adeguati alla tipo di trattamento dei dati, la tipologia del dati trattati e le categorie di interessati, il rischio per i diritti e le libertà degli interessati
  • 11. CERTIFICAZIONI E CODICI DI CONDOTTA ✓ CCSP: Certified Cloud Security Professional ✓ CCNA Cloud (Cisco) ✓ CCNP Cloud (Cisco) ✓ MCSE: Cloud Platform & Infrastructure (Microsoft) ✓ AWS Certified Solutions Architect- Associate (AmazonWeb Service) ✓ VMwareVCP7 - CMA ✓ CISPE: Code of conduct (IaaS)
  • 12. DATA PROCESSING AGREEMENT Il DPA dovrà contenere quindi: ① Una clausola contenente dichiarazioni dal titolare al responsabile in merito a tutte le informazioni pertinenti alla finalità del trattamento dei dati personali realizzati dal fornitore di servizi cloud; ② Una clausola che descriva le istruzioni fornite dal titolare al fornitore di servizi cloud e in che modo il fornitore deve applicarle; ③ Una clausola che presenti la security policy fisica e logica implementata dal provider cloud, oltre alle misure applicabili in caso di intrusione non autorizzata (data breach); ④ Una clausola in base alla quale il responsabile del trattamento si impegna a cooperare nel caso in cui un interessato desideri esercitare i propri diritti; ⑤ Una clausola che specifica se, quando e come il responsabile può nominare un sub-responsabile; ⑥ Una clausola che garantisca la riservatezza non solo da parte dei dipendenti del fornitore cloud, ma anche da eventuali subappaltatori o liberi professionisti assunti dal fornitore di servizi cloud per contribuire all’adempimento dei propri obblighi; ⑦ Clausole sull’obbligo del fornitore di informare il titolare (non solo in caso di violazione dei dati) e le condizioni per la conduzione degli audit; ⑧ Clausole contrattuali standard se i dati sono trasferiti al di fuori dell’Unione Europea in un paese considerato non idoneo a garantire un livello adeguato di protezione; ⑨ Chiarimenti sulla risoluzione dei rapporti contrattuali e la distruzione dei dati nel cloud.
  • 13. RESPONSABILITÀ SOLIDALE Art. 82 GDPR 1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento sono esonerati dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile. 4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. 5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
  • 14. SANZIONI Art. 83 GDPR 4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43; c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.
  • 15. CONTITOLARITA’ ATTENZIONE! Nonostante tali disposizioni contrattuali, può accadere che un fornitore di servizi cloud gestisca i dati a lui affidati in modo quasi autonomo. Difficilmente accadrà che un fornitore di servizi cloud possa essere considerato titolare del trattamento del GDPR, ma potrebbe essere considerato “contitolare” ai sensi dell’art. 26. In tali situazioni, nella misura in cui un’autorità di controllo possa decidere di modificare tale relazione (titolare- responsabile), le parti dovrebbero essere consapevoli di questa eventualità e operare proattivamente firmando un accordo di contitolarità che rifletta l’effettiva ripartizione della responsabilità tra i due soggetti. Art. 28, par. 10: «Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.»
  • 16. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria! Grazie per l’attenzione! sabrina.salmeri@mindwell.it