Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
1. porto4.it
CA' FOSCARI CHALLENGE SCHOOL
Tecnologie Innovative per l'Empowerment Digitale
delle Pubbliche Amministrazioni
Cod. 3706-1-1540-2017
REGOLAMENTO GENERALE PROTEZIONE DEI
DATI 2016/679/UE- GDPR
LE PRIORITA’ PER LE PP.AA.
Avv. Giovanni Brancalion Spadon
2. porto4.it
CA' FOSCARI CHALLENGE SCHOOL
- come mi chiamo?
- qual’è il mio ruolo professionale?
- in cosa consiste il mio lavoro?
- come credo impatti il GDPR nella mia attività?
- come credo possa migliorare/peggiorare la mia attività?
- ci sono procedure nuove che devo applicare per l’adeguamento?
- quali? sono utili/complesse?
3. porto4.it
SOMMARIO
1. STRUTTURA E PRINCIPI GENERALI DEL GDPR
2. DIRITTI DEGLI INTERESSATI
3. STRUMENTI DI TUTELA E SISTEMA SANZIONATORIO
4. GDPR E SOGGETTI PUBBLICI
5. IL DPO
6. IL REGISTRO DELLE ATTIVITA' DI TRATTAMENTO
7. DATA BREACH
4. porto4.it
Il percorso di applicazione del
(nuovo) Reg. 2016/679/UE
A - Proposta della Commissione Europea del 25.01.2012
B - Pubblicazione Reg (UE) 2016/679 sulla GUCE del 04.05.2016
C - Entrata in vigore dal 25.05.2016 ( +20 gg dalla pubblicazione in GUCE)
D – Legge n. 163 del 25 ottobre 2017, art. 13 delega del Parlamento italiano
al Governo per l’emanazione dei decreti legislativi integrativi, modificativi e
di coordinamento del Codice Privacy (d.lgs 196/2003)
E – Applicazione diretta a decorrere dal 25.05.2018 (art.99)
F – D.lgs 101 del 10.8.2018 (Adeguamento della normativa nazionale –Codice
Privacy– al Reg. UE 2016/976)
G – Pubblicazione d.lgs 101/18 in G.U. il 4.9.2018
5. porto4.it
Duplice finalità
Protezione delle
persone
fisiche con riguardo al
trattamento dei dati
personali
Tutela della libera circolazione
dei dati personali per garantire
il corretto funzionamento del
mercato
Bilanciamento tra il diritto delle persone
fisiche e il diritto a fare impresa
6. porto4.it
Incidenza del GDPR sulla
normativa vigente
Il GDPR ha abrogato la c.d. Direttiva “madre” 95/46/CE in materia di
protezione dei dati personali
Il GDPR non ha abrogato il Codice Privacy (D.Lgs. 196/2003)
Il d.lgs 101/2018 ha parzialmente abrogato e integrato il Codice Privacy
7. porto4.it
Aspetti invariati o variati
marginalmente
• Protezione delle sole persone fisiche
• Definizione di “dato personale”
• Definizione di “trattamento”
• Principi generali per il trattamento dei dati personali
• Condizioni di liceità del trattamento (novità: legittimo interesse del titolare o del
terzo)
• Obbligo di fornire l’informativa (novità: forma e contenuti innovati)
• Obbligo di acquisire, soltanto quando necessario, il consenso
• Soggetti che effettuano il trattamento (novità: rappresentante del titolare e del
responsabile e sub-responsabile)
8. porto4.it
Principali novità
• Ambito di applicazione territoriale
• Introduzione del principio di responsabilizzazione (c.d. principio di accountability)
• Privacy by design / privacy by default
• Principio di adeguatezza delle misure tecniche ed organizzative
• Valutazione di impatto sulla protezione dei dati personali (DPIA)
• Obbligo di tenere il registro delle attività di trattamento
• Data Protection Officer (DPO) o Responsabile della Protezione dei dati
• Notifica e comunicazione degli eventi di “Data Breach”
• Responsabilità civile solidale tra titolare, contitolare e responsabile del trattamento
• Nuovo sistema sanzionatorio
9. porto4.it
Ambito di applicazione materiale del
GDPR
Art. 2, co. 1 “Il presente regolamento si applica al trattamento interamente o parzialmente
automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti
in un archivio o destinati a figurarvi”
Il Gdpr NON SI APPLICA ai trattamenti di dati:
• Effettuati per attività riguardanti la sicurezza nazionale
• Effettuati dagli Stati Membri nell’esercizio di attività riguardanti la politica estera e di difesa
comune (titolo V capo 2 TUE)
• Effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente
personale o domestico
• Effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o
perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro
minacce alla sicurezza pubblica e la prevenzione delle stesse
10. porto4.it
Ambito di applicazione
territoriale del GDPR
Art. 3, co. 1 “Il presente regolamento si applica al trattamento dei dati
personali effettuato nell’ambito delle attività di uno stabilimento (non
necessariamente sede legale ma anche organizzazione stabile) di un
titolare del trattamento o di un responsabile del trattamento
nell’Unione, indipendentemente dal fatto che il trattamento sia
effettuato o meno nell’Unione.
Art. 3, co. 2 “trattamento effettuato da un titolare del trattamento o da
un responsabile del trattamento che non è stabilito nell’Unione, quando
le attività di trattamento riguardano:
a) L’offerta di beni o la prestazione di servizi agli interessati nell’Unione,
indipendentemente dall’obbligatorietà di un pagamento
dell’interessato
b) Il monitoraggio del comportamento degli interessati nella misura in
cui tale comportamento ha luogo all’interno dell’Unione
11. porto4.it
I soggetti del
trattamento
RUOLI ATTIVI
❖Titolare e contitolari
❖Responsabile/i e sub-
responsabile/i
❖ Rappresentante del
titolare e del
responsabile
❖Personale dipendente
del titolare o del
responsabile e
collaboratori
RUOLI PASSIVI
❖Gli interessati
RUOLI DI
CONSULENZA,
CONTROLLO O
COOPERAZIONE
❖ Il responsabile
della protezione
dei dati personali
(DPO) ha un ruolo
misto di
consulente e
sorvegliante
12. porto4.it
I soggetti del
trattamento
Responsabile di trattamento, contenuto obbligatorio incarico:
➢ Contratto o atto giuridico di nomina con effetto vincolante
➢ Obbligo di rispetto delle istruzioni del Titolare
➢ Impegno alla riservatezza
➢ Rispetto delle misure di sicurezza (art. 32)
➢ Adeguate misure tecniche e organizzative
➢ Cancellazione/restituzione dati alla fine della prestazione di
servizio
Responsabile interno esterno
13. porto4.it
Principi applicabili al trattamento
dei dati personali (art. 5 GDPR
artt. 3 e 11 Cod. Privacy)
I dati personali sono:
a) Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato
(PRINCIPI DI LICEITA’, CORRETTEZZA e TRASPARENZA)
b) Raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in
modo che non sia incompatibile con tali finalità (PRINCIPIO DI LIMITAZIONE DELLE
FINALITA’)
c) Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali
sono trattati (PRINCIPIO DI MINIMIZZAZIONE DEI DATI)
d) Esatti e, se necessario, aggiornati, oppure rettificati o cancellati (PRINCIPIO DI
ESATTEZZA)
e) Conservati in una forma che consente l’identificazione degli interessati per un arco
di tempo non superiore al conseguimento delle finalità per le quali sono trattati
(PRINCIPIO DI LIMITAZIONE DELLA CONSERVAZIONE)
14. porto4.it
Principi applicabili al trattamento
dei dati personali
f) Trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa
la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti
non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali
(PRINCIPIO DI INTEGRITA’ e RISERVATEZZA)
IL TITOLARE DEL TRATTAMENTO E’ TENUTO AL RISPETTO DI TUTTI I PRINCIPI ELENCATI
E DEVE ESSERE IN GRADO DI COMPROVARE LA CONFORMITA’ DEL TRATTAMENTO
AGLI STESSI
PRINCIPIO DI ACCOUNTABILITY
Art. 24 GDPR
15. porto4.it
Principio di
responsabilizzazione o
accountability
Il nuovo quadro normativo è prevalentemente incentrato sui doveri e la
responsabilizzazione del titolare del trattamento
È il soggetto che determina finalità, mezzi
e misure di sicurezza e ha maggiore
discrezionalità nel decidere come
conformarsi alla normativa, ma ha l’onere
di dimostrare le ragioni a supporto delle
decisioni e le motivazioni per le quali
ritiene che le stesse siano conformi alle
previsioni del GDPR
17. Liceità del trattamento
basi giuridiche
Il trattamento dei dati personali è lecito solo se e nella misura in cui ricorre almeno una delle
seguenti condizioni (basi giuridiche):
a) L’interessato ha espresso il consenso al trattamento dei propri dati personali
b) Il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte
c) Il trattamento è necessario per l’adempimento di un obbligo legale da parte del titolare del
trattamento
d) Il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato
e) Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso
all’esercizio di pubblici poteri di cui è investito il titolare del trattamento
f) Il trattamento è necessario per il perseguimento del legittimo interesse del titolare del
trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà
fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare
se l’interessato è un minore. Quest’ultima previsione non si applica al trattamento di dati
effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti
18. porto4.it
Novità: il legittimo interesse
Il trattamento dei dati personali fondato su questa base giuridica
(legittimo interesse del titolare del trattamento o di un soggetto terzo)
è legittimo a condizione che sia, non solo necessario, ma anche:
• Reale e attuale: sia atteso un beneficio in un futuro prossimo
• Definito e articolato in modo tale da permettere l’effettuazione del
test di bilanciamento con l’interesse o con i diritti fondamentali
dell’interessato (soprattutto se minore)
20. porto4.it
….Il legittimo interesse
Alcuni esempi di legittimo interesse si rinvengono nei considerando
47, 48, 49 GDPR
NOVITA’: IL BILANCIAMENTO DEGLI
INTERESSI NON SPETTA ALL’AUTORITA’
GARANTE MA E’ COMPITO DEL TITOLARE
STESSO
PRINCIPIO DI ACCOUNTABILITY
21. porto4.it
….Liceità del trattamento
Gli Stati Membri possono inoltre mantenere o introdurre disposizioni più specifiche
per adeguare l’applicazione del regolamento con riguardo ai trattamenti necessari:
• per adempiere un obbligo legale al quale è soggetto il titolare del trattamento
• per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di
pubblici poteri di cui è investito il titolare del trattamento
Art.2 ter d.lgs 196/2003 inserito da d.lgs 101/18
Possibile solo con una Legge o un Regolamento; in mancanza e in caso di comunicazione di dati
per interesse pubblico è possibile attivare una procedura autorizzativa nei confronti del Garante,
il quale avrà 45 gg di tempo per indicare differenti misure di tutela
22. porto4.it
Condizioni per il consenso
art. 7 GDPR
Se il consenso è l’unica base giuridica, il titolare deve essere in grado di
dimostrare che l’interessato ha prestato il proprio consenso al
trattamento dei dati personali
La forma della richiesta di consenso deve essere comprensibile,
facilmente accessibile ed elaborata con l’impiego di un linguaggio
semplice e chiaro
23. porto4.it
…condizioni per il
consenso
Il consenso è REVOCABILE in qualsiasi momento da parte
dell’interessato
Nel valutare se il consenso è stato liberamente prestato, si tiene
nella massima considerazione l’eventualità, tra le altre, che
l’esecuzione di un contratto, compresa la prestazione di un servizio,
sia condizionata alla prestazione del consenso al trattamento di dati
personali non necessario all’esecuzione di tale contratto stesso
24. porto4.it
Il consenso dei minori
art. 8 GDPR
• > o = 14 anni: il trattamento dei dati personali del minore
nell’ambito della rete è lecito se il minore ha almeno 14 anni
(d.lgs 101/2018).
• < 14 anni: se di età inferiore il consenso deve essere prestato o
autorizzato dal titolare della responsabilità genitoriale.
• < 18 anni: informativa particolarmente chiara, semplice, esaustiva
e facilmente comprensibile (d.lgs 101/2018).
25. porto4.it
I requisiti del consenso
Il consenso deve essere:
➢LIBERO
➢SPECIFICO
➢INEQUIVOCABILE
➢ESPRESSO
➢ESPLICITO
26. porto4.it
….il consenso.....
NOVITA’: il consenso non deve essere
necessariamente documentato per iscritto né è
richiesta la forma scritta (anche se è consigliabile
sotto un profilo probatorio)
Il titolare deve essere in ogni caso in grado di
dimostrare che l’interessato ha prestato il
consenso a uno specifico trattamento
27. porto4.it
…..il consenso....
Il consenso raccolto prima del 25.05.2018 resta
valido se ha tutte le caratteristiche elencate; in
caso contrario è opportuno raccogliere
nuovamente il consenso
I soggetti pubblici non devono, di regola, chiedere
il consenso per il trattamento dei dati personali
➢Considerando 43
➢Artt.6 lett e), 9 lett. g) GDPR
➢Artt. 2 ter e sexies Cod. Privacy integrato da d.lgs
101/2018
28. porto4.it
Categorie particolari di dati
personali (art. 9 GDPR)
E’ vietato trattare dati personali che rivelino l’origine
razziale o etnica, le opinioni politiche, le convinzioni
religiose o filosofiche, o l’appartenenza sindacale,
nonché trattare dati genetici, dati biometrici intesi a
identificare in modo univoco una persona fisica, dati
relativi alla salute o alla vita sessuale o all’orientamento
sessuale della persona.
29. porto4.it
Eccezioni
art 9 co 2 lett a-j) gdpr
Possono essere considerate ulteriori basi giuridiche da aggiungere a
quelle espressamente previste dall’art. 6 GDPR
Gli Stati membri possono mantenere o introdurre ulteriori condizioni,
comprese limitazioni, con riguardo al trattamento di dati genetici, dati
biometrici o dati relativi alla salute.
Trattamento dati biometrici art. 2 septies Cod Privacy post d lgs 101/2018:
aggiornamento biennale delle misure di sicurezza
30. porto4.it
Dati personali relativi a
condanne penali e reati
(art. 10 GDPR)
Il trattamento dei dati personali relativi alle condanne penali e ai reati o
a connesse misure di sicurezza sulla base dell’art. 6, co. 1, deve avvenire
soltanto sotto il controllo dell’Autorità pubblica o se il trattamento è
autorizzato dal diritto dell’Unione o degli Stati membri che preveda
garanzie appropriate per i diritti e le libertà degli interessati. Un
eventuale registro completo delle condanne penali deve essere tenuto
soltanto sotto il controllo dell’Autorità pubblica.
Trattamento di dati giudiziari consentito se autorizzato da norma di legge
art 2 octies Codice Privacy post d.lgs 101/2018; lett. i) per la partecipazione a bandi
31. porto4.it
I diritti dell’interessato
CONOSCITIVI
▪ Diritto all’informativa (artt. 13 e
14)
▪ Diritto di accesso (art. 15)
▪ Diritto alla comunicazione di una
violazione dei dati personali, c.d.
data breach (art. 34)
DI CONTROLLO
▪ Diritto di rettifica e di
integrazione (art. 16)
▪ Diritto alla cancellazione (art. 17)
▪ Diritto alla limitazione (art. 18)
▪ Diritto alla portabilità dei dati
personali (art. 20)
▪ Diritto di opposizione (art. 21)
▪ Diritto a non subire decisioni
basate unicamente sul
trattamento automatizzato (art.
22)
32. porto4.it
Modalità per l’esercizio dei
diritti dell’interessato
Il Titolare deve adottare misure appropriate per:
➢Fornire all’interessato l’informativa in forma concisa, trasparente,
intelligibile e facilmente accessibile, con un linguaggio semplice e
chiaro
➢Agevolare l’esercizio dei diritti dell’interessato
➢Fornire all’interessato le informazioni relative all’azione intrapresa
entro 1 mese dal ricevimento della richiesta
➢Fornire all’interessato le informazioni richieste gratuitamente, salvo il
caso in cui si tratti di richieste manifestamente infondate o eccessive
33. porto4.it
….i diritti
dell’interessato...
La violazione delle disposizioni relative ai
diritti degli interessati ai sensi degli artt.
da 12 a 22 GDPR è soggetta alle sanzioni
amministrative pecuniarie di cui all’art.
83, co. 5 lett b) GDPR!
34. porto4.it
L’informativa
In caso di raccolta presso l’interessato di dati personali
che lo riguardano, il Titolare del trattamento fornisce
all’interessato, nel momento in cui i dati personali sono
ottenuti, le informazioni indicate all’art. 13, co. 1 e 2
GDPR
Qualora i dati personali non siano stati ottenuti presso
l’interessato, il titolare del trattamento fornisce
all’interessato ulteriori informazioni rispetto a quelle
indicate all’art. 13, co. 1 e 2 GDPR, di cui all’art. 14 GDPR
(che aggiunge alle informazioni dell’art 13, l’indicazione
della fonte dei dati e se sia pubblica)
35. porto4.it
Eccezioni
E’ possibile NON fornire l’informativa quando:
1. L’interessato dispone già delle informazioni
2. Comunicare tali informazioni risulta impossibile o implicherebbe
uno sforzo sproporzionato
3. L’ottenimento o la comunicazione sono espressamente previsti
dal diritto dell’Unione o dallo Stato membro cui è soggetto il
Titolare
4. I dati personali debbano rimanere riservati conformemente a un
obbligo di segreto professionale o a un obbligo di segretezza
previsto per legge
36. porto4.it
Modalità e termini per
rendere l’informativa
✓ PER ISCRITTO
✓ FACILE ACCESSIBILE, TRASPARENTE, CONCISA,
SEMPLICE, CHIARA
✓ SONO AMMESSE ICONE STANDARDIZZATE
❑Se l’informativa è resa ex art. 13 GDPR deve essere
fornita al momento della raccolta dei dati personali
❑Se l’informativa è resa ex art. 14 GDPR deve essere
fornita al massimo entro 1 mese dall’ottenimento dei
dati personali
37. porto4.it
Novità nei contenuti
dell’informativa
➢Dati di contatto del DPO
➢Base giuridica e interesse legittimo
➢Trasferimento dei dati personali verso Paesi extra UE e
relativi strumenti di garanzia
➢Periodo di conservazione dei dati o indicazione dei criteri
seguiti
➢Diritto di presentare reclamo all’Autorità di controllo
➢Processi decisionali automatizzati, compresa la profilazione
38. Diritto di accesso (art. 15
GDPR)
L’interessato richiede al titolare se sia in corso un trattamento dei dati personali che lo riguardano
➢ È riconosciuto rispetto a qualsiasi trattamento di dati personali
➢ Deve essere indicata l’esistenza di processi decisionali automatizzati
➢ L’esercizio del diritto deve essere a titolo gratuito
➢ Il titolare può rifiutare l’accesso se dimostra che la richiesta dell’interessato è manifestamente
infondata o eccessiva
➢ Non sono previste formalità particolari per l’inoltro della richiesta e per la risposta del titolare
➢ Il titolare deve verificare l’identità del richiedente
➢ il titolare deve dare riscontro all’interessato entro il termine di 1 mese
➢ Il rifiuto del titolare deve essere motivato e reso entro 1 mese, con l’indicazione della possibilità
di proporre reclamo
39. porto4.it
Diritto di rettifica e di
integrazione (art. 16 GDPR)
L’interessato ha il diritto di ottenere dal Titolare del
trattamento la RETTIFICA dei dati personali INESATTI
che lo riguardano senza ingiustificato ritardo.
Tenuto conto delle finalità del trattamento
l’interessato ha il diritto di ottenere l’INTEGRAZIONE
dei dati personali INCOMPLETI anche fornendo una
dichiarazione integrativa.
40. porto4.it
Diritto alla cancellazione
(diritto all’oblio)
L’interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei
dati personali che lo riguardano, senza ingiustificato ritardo, se sussiste uno dei
seguenti motivi:
• Dati non più necessari per le finalità dichiarate dal Titolare
• Revoca del consenso da parte dell’interessato
• Opposizione dell’interessato al trattamento
• Illecito trattamento dei dati personali
• Cancellazione dei dati personali per adempiere ad un obbligo legale
• Illiceità del trattamento per offerta di servizi ad un minore
41. porto4.it
…diritto alla
cancellazione...
In ipotesi di COMUNICAZIONE/DIFFUSIONE
lecita dei dati personali, il Titolare, oltre
all’obbligo di cancellazione dei dati, deve anche
adottare le misure ragionevoli per informare gli
altri titolari del trattamento, che stanno
trattando quei medesimi dati, della richiesta di
cancellazione pervenuta dall’interessato
(analogo per le richieste di rettifica e di
limitazione del trattamento)
42. Eccezioni
In alcuni casi NON può essere esercitato il diritto alla cancellazione, in particolare
per dati personali il cui trattamento è necessario:
▪ per l’esercizio del diritto alla libertà d’espressione e di informazione
▪ per l’adempimento di un obbligo legale che richieda il trattamento previsto dal
diritto dell’Unione o dello Stato membro cui è soggetto il titolare del
trattamento o per l’esecuzione di un compito svolto nel pubblico interesse
oppure nell’esercizio di pubblici poteri di cui è investito il titolare del
trattamento
▪ per finalità sanitarie (art. 9, co. 2, lett. h) e i) GDPR)
▪ a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a
fini statistici (art. 89 GDPR)
▪ per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria
43. porto4.it
Diritto alla limitazione del
trattamento (art. 18 GDPR)
Il diritto alla limitazione del trattamento comporta, salva la
sola operazione di conservazione, l’INUTILIZZABILITA’ e
l’INACCESSIBILITA’ ai dati personali.
Può essere esercitato nei seguenti casi:
▪ Contestazione dell’esattezza dei dati
▪ Trattamento illecito e l’interessato si oppone alla
cancellazione
▪ Dati non più necessari al titolare del trattamento ma
necessari all’interessato per l’accertamento, esercizio o
difesa di un diritto in sede giudiziaria
▪ Opposizione dell’interessato al trattamento in attesa della
verifica della prevalenza dei motivi legittimi del titolare
44. porto4.it
…diritto alla limitazione del
trattamento…
I dati conservati a seguito dell’esercizio del diritto di
limitazione possono essere trattati nei seguenti casi:
✓Consenso dell’interessato
✓Accertamento, esercizio o difesa di un diritto in
sede giudiziaria da parte del titolare o di un terzo
✓Per motivi di rilevante interesse pubblico
dell’Unione o di uno Stato membro
45. porto4.it
Diritto alla portabilità dei
dati personali (art. 20 GDPR)
L’interessato ha il diritto di ricevere dal titolare i dati personali che lo riguardano in un
formato strutturato, di uso comune e leggibile da un dispositivo automatico, nonché,
se tecnicamente possibile, di ottenere la trasmissione diretta ad altro titolare da lui
indicato, qualora il trattamento:
❖ sia basato sul consenso dell’interessato o sia necessario per l’esecuzione di un
contratto
❖ sia effettuato con mezzi automatizzati
Il diritto alla portabilità dei dati non pregiudica il diritto alla loro cancellazione
NON è esercitabile se il trattamento è necessario per adempiere ad un obbligo
legale o per l’esecuzione di un compito di interesse pubblico o connesso
all’esercizio di pubblici poteri di cui è investito il titolare
46. porto4.it
Scopo del diritto alla
portabilità dei dati
Lo scopo del diritto alla portabilità dei dati è promuovere il controllo degli
interessati sui propri dati personali, facilitando la circolazione degli stessi da un
ambiente informatico ad un altro
Il titolare ricevente è tenuto all’osservanza di tutti i principi elencati all’art. 5 GDPR
sono PORTABILI tutti i dati forniti consapevolmente e attivamente
dall’interessato, nonché quelli osservati sulla base della sua attività
NON sono PORTABILI tutti i dati personali dedotti o derivati dalla successiva
analisi effettuata dal titolare del comportamento dell’interessato
47. porto4.it
Diritto di opposizione al
trattamento (art. 21 GDPR)
Il diritto di opposizione ha l’effetto di far cessare in via permanente il trattamento di dati
personali e può essere esercitato dall’interessato nei seguenti casi:
▪ Trattamento necessario per il perseguimento di un interesse legittimo del titolare,
inclusa la conseguente profilazione (soggetti privati)
▪ Trattamento per finalità di marketing diretto e conseguente profilazione
▪ Trattamento per finalità di ricerca scientifica o storica o per finalità statistica
Il diritto di opposizione al trattamento deve essere oggetto di una indicazione chiara e
specifica nell’informativa all’interessato.
48. porto4.it
Processo decisionale
automatizzato (art. 22 GDPR)
L’interessato ha il diritto a non essere sottoposto ad una decisione basata
unicamente sul trattamento automatizzato, compresa la profilazione, che
produca effetti giuridici che lo riguardano o che incida in modo analogo
significativamente sulla sua persona.
Il diritto non è esercitabile se la decisione:
- È necessaria per la conclusione/esecuzione di un contratto
- È autorizzata da un legge dell’Unione o di uno Stato membro
- Si basa sul consenso dell’interessato
Salve le ipotesi del consenso e del trattamento necessario per motivi di interesse
pubblico, le decisioni automatizzate NON possono basarsi sul trattamento di dati
sensibili
49. porto4.it
Limitazione ai diritti
dell’interessato
Tutti i diritti sino ad ora elencati non possono essere esercitati in caso di conflitto con norme
Pubblicistiche in materia di:
• Antiriciclaggio
• Sostegno alle vittime delle estorsioni
• Attività delle Commissioni parlamentari
• Finalità di politica monetaria e strumenti di credito e finanziari
• Investigazioni difensive o esercizio di diritti in sedi giudiziarie
• Whistleblowing
• Ragioni di giustizia
50. porto4.it
Sistema sanzionatorio
CODICE PRIVACY
art.166 post d.lgs 101/18 richiama le sanzioni previste dal GDPR
+ sanzione accessoria pubblicazione sul sito del Garante
+ sanzionabilità di autorità pubbliche
GDPR ART 83
• Apparato sanzionatorio esplicitamente previsto
• Sanzioni effettive, proporzionate e dissuasive
51. porto4.it
Sistema sanzionatorio
Sanzioni
proporzionate
(art 83 comma 2)
a) natura, gravità e durata violazione
b) carattere doloso/colposo
c) misure di attenuazione adottate
d) grado di responsabilità e misure tecniche
e) violazioni precedenti
f) cooperazione con autorità di controllo
g) categorie di dati personali coinvolte
h) avvenuta/ non avvenuta notifica della violazione
i) rispetto di provvedimenti precedentemente disposti
j) adesione codici di condotta
k) aggravanti / attenuanti
52. porto4.it
Sistema sanzionatorio
sanzioni fino a
10.000.000
o 2% fatturato
per imprese
+autorità pubbliche
In caso di violazione di disposizioni in materia di:
a) Obblighi del titolare e del responsabile
b) Obblighi dell’organismo di certificazione
c) Obblighi dell’organismo di monitoraggio dei codici
di condotta
53. porto4.it
Sistema sanzionatorio
sanzioni fino a
20.000.000
o 4% fatturato
per imprese
+autorità pubbliche
In caso di violazione di disposizioni in materia di:
a) Principi base del trattamento (5,6,7,9)
b) Diritti degli interessati (12 a 22)
c) Trasferimenti transfrontalieri
d) Inosservanza dell’ordine di un’Autorità di controllo
54. porto4.it
GDPR e PP.AA.
Il GDPR non si sofferma
sulla natura pubblica o
privata del titolare del
trattamento ma sulla
tipologia di trattamento
che deriva dall’attività
svolta dal titolare
Il GDPR non prevede una
specifica disciplina per il
trattamento dei dati
personali effettuato dai
soggetti pubblici al di là di
riferimenti specifici relativi
all’applicazione di alcune
norme o istituti, talvolta
anche in regime di
eccezione rispetto alle
regole generali
Il GDPR non contiene
una formale
bipartizione tra titolari
pubblici e privati e non
contiene nemmeno
norme specifiche
dedicate al settore
privato e pubblico ma
si occupa in generale
delle condizioni di
liceità del trattamento
Non c’è differenza tra pubblico e privato
55. porto4.it
…vecchio Cod. Privacy…
Cosa prevedeva il Cod. Privacy (D.Lgs. 196/2003)
per il trattamento dei dati personali effettuato
da parte dei soggetti pubblici?
56. porto4.it
…vecchio Cod. Privacy…
Il D.Lgs. 196/2003 prevedeva regole specifiche
applicabili ai trattamenti di dati personali effettuati
da parte di soggetti pubblici (in particolare Parte I,
Titolo III, Capo II, artt. 18-22)
Necessità di coordinamento tra i diritti e le libertà
dei soggetti dei cui dati si tratta con gli obblighi di
trasparenza e di pubblicità delle PP.AA.
57. porto4.it
Art. 18 Vecchio Cod. Privacy
Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici:
Trattamenti
ammessi soltanto
per lo svolgimento
delle funzioni
istituzionali
Ad eccezione del settore
sanitario, l’istituto del
consenso viene
menzionato quale
elemento distintivo tra
titolari privati e titolari
pubblici
Divieto di
comunicazione e
di diffusione dei
dati personali
raccolti
58. porto4.it
Art. 19 Vecchio Cod.
Privacy
Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari:
Regola generale: il
trattamento è
consentito
Comunicazione dei dati
ad altri soggetti pubblici:
-Se prevista da norma di
legge o di regolamento
-Se necessaria per lo
svolgimento delle
funzioni istituzionali
Comunicazione dei dati a
privati o ad enti pubblici
economici: soltanto se
prevista da norma di legge o
di regolamento
Diffusione:
soltanto se
prevista da
norma di legge o
di regolamento
59. porto4.it
Art. 21 Vecchio Cod.
Privacy
Principi applicabili al trattamento dei dati giudiziari
Il trattamento è consentito soltanto se autorizzato da
espressa disposizione di legge o provvedimento del Garante
con la specifica delle finalità, dei dati trattati e delle
operazioni eseguibili (è ammesso anche in questo caso un
atto di natura regolamentare per determinare i dati e le
operazioni)
L’identificazione dei tipi di dati e di operazioni eseguibili
deve essere aggiornata e integrata periodicamente!
60. porto4.it
Art. 22 Vecchio Cod.
Privacy
Principi applicabili al trattamento di dati sensibili e giudiziari:
▪ Impiego di modalità del trattamento volte a prevenire violazioni dei diritti,
delle libertà fondamentali e della dignità dell’interessato
▪ L’informativa deve indicare la normativa che prevede il trattamento
▪ Principio di indispensabilità dei dati sensibili e giudiziari raccolti per lo
svolgimento delle attività istituzionali
▪ I dati di, regola, sono raccolti presso l’interessato
▪ Verifica periodica dell’esattezza dei dati e loro aggiornamento
▪ I dati tenuti con strumenti elettronici devono essere trattati con tecniche di
cifratura o codici identificativi
▪ I dati relativi allo stato di salute e alla vita sessuale devono essere conservati
separatamente dagli altri dati personali
▪ I dati idonei a rivelare lo stato di salute non possono divenire oggetto di
diffusione
▪ I dati sensibili e giudiziari non possono essere utilizzati per svolgere test
psico-attitudinali
62. porto4.it
Il GDPR e i soggetti
pubblici
…..CONSIDERANDO 10…..
…..CONSIDERANDO 45…..
Il GDPR riserva agli Stati membri un
margine di flessibilità per alcune tipologie
di trattamento
63. porto4.it
Materie lasciate alla libera
determinazione da parte
degli Stati membri
✓ dati genetici, dati biometrici o dati relativi alla salute (art. 9.4)
art 2 septies nuovo codice privacy
✓ scopi giornalistici o di espressione accademica, artistica o letteraria
(art. 85) Titolo XII
✓ accesso del pubblico ai documenti ufficiali (art. 86) Titolo IV
✓ numero di identificazione nazionale (art. 87)
✓ dati nell’ambito del rapporto di lavoro (art.88) Titolo VIII
✓ fini di archiviazione nel pubblico interesse, di ricerca scientifica o
storica o a fini statistici (art. 89) Titolo VII
64. porto4.it
Bilanciamento di
interessi
…..CONSIDERANDO 4 e 154…..
Interessi contrapposti da bilanciare
Diritto alla protezione dei
dati personali
Diritto di accesso ai dati e
obblighi di pubblicazione per
adempiere agli obblighi di
pubblicità legale e trasparenza
amministrativa
65. porto4.it
…bilanciamento
di interessi…
La necessità di bilanciamento degli interessi coinvolti era già
prevista dagli artt. 59 e 60 Cod. Privacy
• Accesso agli atti (art.59.1) conferma la disciplina ex l.241/90 anche
per dati di cui all’art. 9 e 10 GDPR
• Accesso civico (art. 59.1 bis) conferma la disciplina ex d.lgs 33/2013
• Correttivo (art.60) x dati sanitari, genetici, sessuali: trattamento
consentito se il diritto da tutelare è di rango pari o superiore al
diritto dell’interessato
66. porto4.it
Comunicazione e
diffusione dei dati
Diritto alla
protezione dei
dati personali
Diritto di accesso
ai documenti
amministrativi
Obbligo di pubblicità
legale online
Obbligo di trasparenza
COMUNICAZIONE
DEI DATI A TERZI
DIFFUSIONE
DEI DATI
• COMUNICAZIONE a uno o più
destinatari
• DIFFUSIONE a un numero
indeterminato di destinatari
67. porto4.it
Comunicazione e
diffusione
COMUNICAZIONE: definizione art. 2 ter, co. 4, lett. a) Cod. Priv.
Ammessa se prevista da una specifica norma di legge o se necessaria
per lo svolgimento di funzioni pubbliche su richiesta al Garante ( 45 gg
silenzio assenso)
DIFFUSIONE: definizione art. 2 ter, co. 4, lett. b) Cod. Priv.
Ammessa esclusivamente se prevista da una specifica norma di legge
68. porto4.it
Diritto di accesso ai
documenti amministrativi
Fonti normative:
• D.Lgs. 33/2013
• Lg. 241/1990
• Artt. 59 e 60 Cod.
Privacy
Quale base giuridica legittima il trattamento dei dati
personali e la comunicazione a terzi soggetti dei dati
personali dell’interessato?
69. porto4.it
…diritto di accesso…
CONSIDERANDO 154: «L’accesso del pubblico ai documenti ufficiali può
essere considerato di interesse pubblico»
Tra gli stessi presupposti di liceità del trattamento di cui all’art. 6 GDPR si
ritrovano:
- Lett. c) adempimento di un obbligo legale
- Lett. e) esecuzione di un compito di interesse pubblico
in queste ipotesi è esclusa la necessità del consenso degli
interessati
Inoltre, art. 6, co. 2 prevede la possibilità dell’introduzione di disposizioni
normative statali specifiche proprio nelle ipotesi di cui alle lettere c) ed e).
70. porto4.it
Diritto di accesso a
particolari categorie di dati
Tra le eccezioni al divieto generale di trattare categorie
particolari di dati personali di cui all’art. 9, co. 1 GDPR, si
ritrovano molteplici riferimenti a finalità di interesse
pubblico alle lettere f), g), h), i) e j).
Quanto al trattamento dei dati di cui all’art. 10 GDPR è
ammesso soltanto sotto il controllo dell’autorità
pubblica o se il trattamento è autorizzato dal diritto
dell’Unione o degli Stati membri che preveda garanzie
appropriate per i diritti e le libertà degli interessati.
71. porto4.it
Diffusione dei dati
personali
DIFFUSIONE: definizione art. 2 ter, co. 4, lett. b) Cod. Priv.
Si differenzia dalla comunicazione per essere un’attività diretta a
dare conoscenza dei dati a una cerchia di soggetti indeterminati, in
qualunque forma, anche mediante la loro messa a disposizione o
consultazione
È l’attività in cui si sostanzia l’obbligo di pubblicità legale posto in
capo alle pubbliche amministrazioni e l’obbligo di trasparenza delle
medesime (cfr. D.Lgs. 33/2013 e Lg 69/2009 sulla trasparenza e sul
processo di innovazione delle PP.AA)
72. porto4.it
Limitazioni
Di rilevanza in materia pubblicistica è altresì l’art. 23
GDPR laddove è prevista la possibilità per il diritto
dell’unione o degli Stati membri di limitare la portata
degli obblighi e dei diritti previsti dal GDPR qualora si
tratti di misure necessarie e proporzionate per
salvaguardare finalità di pubblico interesse
73. porto4.it
Novità
La principale novità introdotta dal GDPR è il principio di
responsabilizzazione (c.d. accountability) che attribuisce
direttamente ai titolari del trattamento il compito di assicurare, ed
essere in grado di comprovare, il rispetto dei principi applicabili al
trattamento dei dati personali (art. 5 GDPR)
La nuova disciplina impone alle PP.AA. un diverso approccio nel
trattamento dei dati personali, prevede nuovi adempimenti e
richiede un’intensa attività di adeguamento.
74. porto4.it
Adempimenti
prioritari
Il Garante per la protezione dei dati personali suggerisce alle PP.AA. di avviare con
assoluta priorità tre adempimenti:
1. Definizione interna dell’ufficio che si occupa stabilmente dell’adeguamento al GDPR
e Designazione del DPO, artt. 37-39 GDPR: il DPO deve essere individuato in funzione
delle qualità professionali e della conoscenza specialistica della normativa e delle
prassi in materia di protezione dei dati personali e la sua nomina costituisce il fulcro
del processo di attuazione del principio di accountability. Il diretto coinvolgimento del
DPO in tutte le questioni che riguardano la protezione dei dati personali, sin dalla fase
transitoria, è sicuramente garanzia di qualità del risultato del processo di
adeguamento in atto. Le principali caratteristiche del DPO sono:
- la posizione: riferisce direttamente al vertice
- l’indipendenza: non riceve istruzioni per quanto riguarda l’esecuzione di
suoi compiti
- l’autonomia: attribuzione di risorse umane e finanziarie adeguate
75. porto4.it
…adempimenti
prioritari…
2. Istituzione del Registro delle attività di trattamento (art. 30 e Cons. 171
GDPR): è essenziale avviare quanto prima la ricognizione e la mappatura
dei trattamenti svolti e delle loro principali caratteristiche (finalità del
trattamento, descrizione delle categorie di dati e interessati, categorie di
destinatari cui è prevista la comunicazione, misure di sicurezza, tempi di
conservazione. E ogni altra informazione che il titolare ritenga
opportuna al fine di documentare le attività di trattamento svolte)
funzionale all’istituzione del registro. La ricognizione sarà l’occasione per
verificare anche il rispetto dei principi fondamentali (art. 5), la liceità del
trattamento (verifica dell’idoneità della base giuridica, artt. 6, 9 e 10)
nonché l’opportunità dell’introduzione di misure di protezione dei dati
fin dalla progettazione e per impostazione predefinita (privacy by design
e privacy by default, art. 25), in modo da assicurare la piena conformità
dei trattamenti in corso (cons. 171).
76. …adempimenti
prioritari…
3. La notifica delle violazioni dei dati personali (c.d. data
breach, artt. 33 e 34): è necessaria la pronta attuazione delle
nuove misure relative alle violazioni dei dati personali,
tenendo in particolare considerazione i criteri di
attenuazione del rischio indicati nella disciplina e
individuando quanto prima idonee procedure organizzative
per dare attuazione alle nuove disposizioni (30 giorni per
riscontrare le richieste di accesso e notifica all’autorità entro
72 ore dal momento in cui il titolare viene a conoscenza della
violazione). Nell’ottica del GDPR se la violazione dei dati
rappresenta una minaccia per i diritti e le libertà delle
persone, il titolare dovrà informare in modo chiaro, semplice
e immediato anche tutti gli interessati, senza ingiustificato
ritardo, e offrire indicazioni su come intende limitare le
possibili conseguenze negative.
77. porto4.it
Data Protection
Officer
Il GDPR ha previsto l’introduzione obbligatoria del DPO per
tutte le pubbliche amministrazioni, ad eccezione delle
autorità giudiziarie nell’esercizio delle funzioni
giurisdizionali (artt. 37, 38, 39 e Cons. 97),
indipendentemente dai dati oggetto di trattamento
(necessità di maggiore tutela per i singoli che hanno un
margine esiguo o nullo rispetto alla possibilità di decidere
se e come possano essere trattati i propri dati personali
L’art. 37, co. 3 GDPR prevede espressamente un’importante facoltà:
«Qualora il titolare del trattamento o il responsabile del trattamento sia
un’autorità pubblica o un organismo pubblico, un unico responsabile
della protezione dei dati può essere designato per più autorità pubbliche
o organismi pubblici, tenuto conto della loro struttura organizzativa e
dimensione.»
78. Funzioni del DPO
1. INFORMZIONE (anche a terzi) E CONSULENZA
• PREPARAZIONE PROFESSONALE
Il DPO deve avere una conoscenza specialistica della normativa e
delle prassi in tema di protezione dei dati personali e deve poter disporre
di risorse per la formazione continua
• INFORMAZIONE E CONSULENZA INTERNA
Il DPO deve garantire la compliance rispetto alla normativa sulla
protezione dei dati personali e fornire un parere nel caso fosse necessario
procedere con la valutazione d’impatto del trattamento
• INFORMZIONE ESTERNA
Il DPO deve informare il Garante e gli interessati in ipotesi di data
breach; inoltre i dati di contatto del DPO devono essere indicati
nell’informativa e devono essere comunicati al Garante
79. porto4.it
…funzioni del DPO…
2. MONITORAGGIO INTERNO
Il DPO deve monitorare:
- la compliance rispetto alla normativa in tema di protezione dei
dati personali
- la policy del titolare del trattamento e l’adozione di adeguate
misure tecniche e di sicurezza
- le attribuzioni di responsabilità ai soggetti attivi nell’attività di
trattamento dei dati personali
- la sensibilizzazione e la formazione del personale
- la valutazione del rischio ed eventualmente il monitoraggio
della valutazione d’impatto del trattamento
80. porto4.it
…funzioni del DPO…
3. COOPERAZIONE CON L’AUTORITA’
Il DPO funge da punto di contatto per facilitare l’accesso,
da parte dell’autorità di controllo, ai documenti e alle
informazioni necessarie per l’adempimento dei compiti propri
dell’autorità di controllo. Il DPO assume pertanto il ruolo di
«facilitatore» (art. 39, lett. d) GDPR).
81. porto4.it
Il DPO e il registro delle
attività di trattamento
Il GDPR prevede all’art. 30 che sia il titolare o il responsabile del
trattamento e non il DPO a tenere il registro delle attività e delle
categorie di trattamento.
Tuttavia, spesso è il DPO a realizzare l’inventario dei trattamenti e a
tenere il registro dei trattamenti sulla base delle informazioni raccolte.
L’art. 39 GDPR contiene un elenco non esaustivo dei compiti affidati al
DPO, pertanto, è ammissibile che il titolare o il responsabile possano
affidare al DPO il compito di tenere il registro delle attività di
trattamento pur rimanendone la responsabilità della corretta
compilazione in capo al titolare.
Il registro può essere considerato come uno degli strumenti che
consentono al DPO di adempiere agli obblighi di sorveglianza del
rispetto del GDPR, informazione e consulenza.
82. porto4.it
Chi è il DPO
➢La funzione del DPO può essere svolta da una singola
persona fisica o da un team, purché in quest’ultimo
caso una singola persona fisica sia referente
➢Il DPO può essere interno o esterno
➢Non è ammessa la nomina di una pluralità di DPO, deve
esserci un unico referente e contatto principale sia per
l’autorità di controllo sia per gli interessati
83. porto4.it
Indipendenza nell’
esercizio delle funzioni
Il DPO ai sensi dell’art. 38 GDPR:
▪ NON riceve istruzioni
▪ NON può essere penalizzato per l’esercizio delle sue funzioni
▪ NON può trovarsi in posizione di conflitto d’interessi
(situazione del tutto incompatibile con la figura del DPO)
▪ NON è valida la nomina a DPO di figure apicali con poteri
decisionali in conflitto d’interesse
(ad es. direttore IT, direttore marketing, direttore HR)
84. Risorse necessarie
al DPO
Il titolare o il responsabile del trattamento devono sostenere il DPO
garantendogli:
- Supporto attivo per l’esercizio delle funzioni proprie del DPO
- Tempo sufficiente per l’espletamento dei compiti affidati
- Risorse finanziarie, infrastrutture e, ove necessario, personale
- Comunicazione ufficiale della nomina a tutto il personale interno
- Accesso garantito ad altri servizi ed uffici interni
- Formazione permanente
- Eventuale costituzione di un ufficio o di un gruppo di lavoro dedicato
85. porto4.it
Competenza del DPO
Il DPO deve possedere una competenza EFFETTIVA e non formale per soli titoli e
certificati.
CONSIDERANDO 97: «Il livello necessario di conoscenza specialistica dovrebbe
essere determinato in particolare in base ai trattamenti di dati effettuati e alla
protezione richiesta per i dati personali trattati dal titolare o dal responsabile.»
Il DPO dovrebbe avere buona familiarità con le operazioni di trattamento svolte
nonché con i sistemi informativi e le esigenze di sicurezza e protezione dei dati
manifestate dal titolare (è fondamentale la collaborazione con tecnici
informatici)
Nel caso di un’autorità pubblica o organismo pubblico, il DPO dovrebbe
possedere anche una conoscenza approfondita delle norme e delle procedure
amministrative applicabili.
86. porto4.it
Posizione del DPO nella
struttura di trattamento
➢Il DPO riferisce direttamente al vertice gerarchico
➢Il DPO deve essere tempestivamente e adeguatamente coinvolto in tutte
le questioni riguardanti la protezione dei dati personali
➢Il DPO deve conoscere la struttura interna del titolare o del responsabile
➢Il DPO deve conoscere le decisioni che il vertice gerarchico intende
adottare
➢Il DPO svolge un ruolo di coordinamento tra uffici diversi
➢Il DPO informa e fornisce consulenza anche ai dipendenti
➢In considerazione della sua posizione conoscitiva all’interno della struttura
organizzativa, il DPO deve assicurare riservatezza e segreto
87. porto4.it
Responsabilità del DPO
La responsabilità per mancata compliance al GDPR resta in capo al
titolare del trattamento
La responsabilità per mancata predisposizione di misure di sicurezza
tecniche e organizzative adeguate al rischio resta in capo al titolare del
trattamento e al responsabile
Il DPO risponde invece al titolare e al responsabile per inosservanza
della funzione di informazione, consulenza, sorveglianza e degli
obblighi di informazione a terzi e di collaborazione con il Garante
88. porto4.it
Presupposti per la
designazione del DPO
1) SOGGETTI PUBBLICI
E’ sempre obbligatoria la nomina del DPO, ad eccezione delle
autorità giurisdizionali nell’esercizio delle loro funzioni giurisdizionali
2) SOGGETTI PRIVATI
Il DPO deve essere nominato dal titolare e/o dal responsabile ed è
obbligatoria la designazione quando ricorrono 3 parametri:
a) tipologia di attività: monitoraggio regolare e sistematico degli interessati
e/o trattamento di dati sensibili e giudiziari
b) incidenza dell’attività: attività principali (core business)
c) volume: su larga scala
3) Il diritto dell’Unione o degli Stati membri può prevedere ulteriori ipotesi
di designazione obbligatoria del DPO
4) E’ sempre possibile la designazione del DPO su base volontaria
89. porto4.it
I soggetti pubblici
Art. 37, co. 1, lett. a) GDPR: designazione sistematica del DPO in ipotesi di
trattamento effettuato da un’autorità pubblica o da un organismo pubblico
il GDPR non fornisce la definizione di autorità pubblica o organismo pubblico
e ne rimette l’individuazione al diritto nazionale applicabile
SONO SOGGETTI PUBBLICI: le amministrazioni dello Stato, anche con ordinamento
autonomo, gli enti pubblici non economici nazionali, regionali e locali, le Regioni e gli
enti locali, le università, le Camere di commercio, industria, artigianato e agricoltura,
le aziende del servizio sanitario nazionale, le autorità indipendenti, ecc.
NON SONO SOGGETTI PUBBLICI: i privati che esercitano funzioni pubbliche (in
qualità, ad es., di concessionari di servizi pubblici come trasporti, forniture idriche ed
elettriche, infrastrutture stradali, organismi di disciplina professionale ecc.); in questi
casi pur non essendo prevista come obbligatoria la designazione del DPO, è
fortemente raccomandata
90. porto4.it
L’atto di designazione
del DPO
L’atto di designazione del DPO è parte costitutiva dell’adempimento imposto al
titolare e al responsabile.
Nel caso in cui la scelta del DPO ricada
su una professionalità INTERNA
all’ente, occorre formalizzare un
apposito atto di designazione a
«Responsabile della protezione dei
dati»
In caso di ricorso a soggetti ESTERNI
all’ente, la designazione costituirà
parte integrante dell’apposito
contratto di servizi
Nell’atto di designazione o nel contratto di servizi devono risultare succintamente indicate anche le
motivazioni che hanno indotto l’ente a individuare, nella persona fisica selezionata, il proprio DPO, al fine di
consentire la verifica del rispetto dei requisiti previsti dall’art. 37, co. 5 GDPR, anche mediante rinvio agli
esiti delle procedure di selezione interna o esterna effettuata. La specificazione dei criteri utilizzati nella
valutazione compiuta dall’ente nella scelta del DPO, oltre ad essere indice di trasparenza e buona
amministrazione, costituisce anche elemento di valutazione del rispetto del principio di accountability.