2. Premessa
• Nella proposta di General Data Protection Regulation (GDPR) tra i soggetti
autorizzati ad effettuare trattamenti di dati personali, è espressamente
disciplinata la figura del Data Processor.
• Si tratta della figura corrispondente al “Responsabile del Trattamento”
disciplinato dal D.Lgs. N. 196/2003 (Codice della Privacy).
• Rispetto alla normative nazionale, tuttavia, il GDPR regolamenta tale figura in
maniera più dettagliata e specifica.
3. Data Processor
La figura del Data Processor è disciplinata da una specifica
norma che:
• prevede la facoltatività della sua designazione da parte
del Data Controller
• regolamenta il rapporto tra Data Processor e Data
Controller
Il Data Processor opera sotto la diretta autorità del Data
Controller, attenendosi alle istruzioni impartite.
(ai fini della designazione il Data Processor deve fornire idonea garanzia
del pieno rispetto delle vigenti disposizioni in materia di trattamento)
Art. 29
«La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo preposti dal Titolare [Data Controller]
al trattamento di dati personali»
4. Data Processor
• La figura del Data Processor resta legata a quella del
Data Controller:
• Elabora dati personali secondo le istruzioni del
Data Controller
• Il rapporto tra Data Controller e Data Processor
deve essere disciplinato mediante contratto o
altro atto giuridico scritto
La figura del Data
Processor
è disciplinata da
molteplici norme del
Regolamento UE
(art. 26 e ss)
«La persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro
organismo che elabora dati personali» per conto del Data Controller
5. Data Processor
La figura del Data
Processor
è disciplinata da
molteplici norme del
Regolamento UE
(art. 26 e ss)
DATA CONTROLLER E DATA PROCESSOR
DEVONO STIPULARE:
l’argomento e la durata del trattamento
la natura e i motivi del trattamento
il tipo di dati personali e le categorie degli interessati
i doveri e i diritti del Data Controller
i compiti del Data Processor
CONTRATTO O ALTRO ATTO GIURIDICO SCRITTO
6. Data Processor
• Deve presentare garanzie sufficienti per mettere in atto
opportune misure tecniche ed organizzative adeguate in modo
che il trattamento sia conforme al Regolamento (assicurando la
tutela dei diritti dell’interessato).
• Può ricorrere ad un altro Data Processor (previo consenso
scritto, specifico o generale, del Data Controller).
• Supporta il Data Controller
• nell’adozione di appropriate misure tecniche e organizzative, al fine
di ottemperare alle richieste relative all’esercizio dei diritti
dell’interessato;
• nell’assicurare il rispetto degli obblighi relativi alla sicurezza dei
dati.
La figura del Data
Processor
è disciplinata da
molteplici norme del
Regolamento UE
(art. 26 e ss)
«La persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro
organismo che elabora dati personali» per conto del Data Controller
7. Data Processor
• Tiene un registro delle categorie di attività di trattamento dei dati
personali svolte per conto di un Data Controller.
• Allerta e informa senza ritardo il Data Controller immediatamente
dopo aver accertato la presenza di un data brech.
• Coopera con l’Autorità di Vigilanza.
• Designa un Responsabile della Protezione dei Dati (DPO), nei casi in
cui è richiesto
La figura del Data
Processor
è disciplinata da
molteplici norme del
Regolamento UE
(art. 26 e ss)
«La persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro
organismo che elabora dati personali» per conto del Data Controller
ULTERIORI COMPITI
8. Data Processor
La figura del Data
Processor
è disciplinata da
molteplici norme del
Regolamento UE
(art. 26 e ss)
RESPONSABILITÀ AUTONOMA
IN CAPO AL DATA PROCESSOR CHE
• DISATTENDE LE ISTRUZIONI RICEVUTE DAL CONTROLLER
• VIOLA LA LEGGE APPLICABILE
IL DATA PROCESSOR
SE IN VIOLAZIONE DEL REGOLAMENTO, DETERMINA LE FINALITÀ E I
MEZZI DI TRATTAMENTO, SARÀ CONSIDERATO COME DATA
CONTROLLER IN MERITO A QUEL TRATTAMENTO
RESPONSABILITA’
9. Data Processor
La figura del Data
Processor
è disciplinata da
molteplici norme del
Regolamento UE
(art. 26 e ss)
DANNO MATERIALE
O IMMATERIALE
cagionato da
trattamento non
conforme al
Regolamento UE
DIRITTO DI OTTENERE IL
RISARCIMENTO DEL
DANNO
DAL DATA PROCESSOR
RISARCIMENTO
10. Sanzione amministrativa pecuniaria
FINO A 10.000.000 €
FINO A 2% DEL FATTURATO MONDIALE TOTALE ANNUO
DELL'ESERCIZIO PRECEDENTE
VIOLAZIONI:
• obbligazioni del Data Controller o Data Processor;
11. Sanzione amministrativa pecuniaria
FINO A 20.000.000 €
FINO A 4% DEL FATTURATO MONDIALE TOTALE ANNUO
DELL'ESERCIZIO PRECEDENTE
VIOLAZIONI:
• regole generali relative al trattamento dei dati;
• diritti dell’interessato;
• trasferimento dei dati a un beneficiario di un Paese terzo o di organizzazioni
internazionali;
• inosservanza di un ordine o di una limitazione temporanea o definitiva del trattamento
o sospensione dei flussi di dati da parte dell’Autorità di controllo.
12. Sanzione amministrativa pecuniaria
Gli Stati membri:
• stabiliscono le norme relative alle sanzioni applicabili in caso di
violazione del Regolamento, in particolare per le infrazioni che
non sono soggette a sanzioni amministrative;
• adottano tutte le misure necessarie per garantire la loro
applicazione.
13. Conclusioni
• Le responsabilità attribuite dal General Data Protection Regulation alla figura del
Data Processor sono decisamente maggiori rispetto a quelle previste dal Codice
della Privacy; il Data Processor, infatti, non solo può essere considerato
Data Controller in caso di violazione della legge e/o delle istruzioni ricevute
dal Data Controller, ma è chiamato a rispondere anche dei danni cagionati.
• Con l’entrata in vigore del General Data Protection Regulation, al fine di non
incorrere in alcuna responsabilità, sarà quindi necessario che i Dati Processor
prestino molta attenzione in particolare:
• alla formalizzazione degli accordi tra Data Controller e Data Processor
• alla previsione analitica dei compiti affidati al Data Processor
• al rispetto delle istruzioni impartite dal Data Controller