Intervento presentato nel corso del DIGEat2018 - Consilum "Cloud e protezione dei dati personali: quali accorgimenti per essere compliant?", a cura del D&L NET
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...Sulake Italia Srl
SULAKE ITALIA - NCTM Social networking nuove frontiere del marketing e relativi profili giuridici.
Milano 17.11.10
Intervento Avv. Carlo Grignani - La condivisione dei dati personali e la responsabilità di impresa nei social network.
La condivisione infragruppo dei dati del cliente
- il trasferimento all’estero: safe harbour e clausole contrattuali standard
- contitolarità, titolarità autonoma e responsabilità
- localizzazione del data base e legge applicabile
social networking: norme e linee guida
- la tutela della privacy nei servizi di Social Network (conferenza di Strasburgo del 15-17 ottobre
2008)
- le linee guida del Garante del 2009
responsabilità del titolare di siti di social networking per la diffusione su internet di contenuti da
parte dei propri utenti
- l’evoluzione normativa e giurisprudenziale: i casi google e youtube
- il ruolo del moderatore
- la rimozione tempestiva dei contenuti sospetti
- il fine di lucro e l’assenza di corrispettivo
- il carattere editoriale dei motori di ricerca, dei portali e delle piattaforme
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.
SULAKE ITALIA - NCTM La condivisione dei dati personali e la responsabilità d...Sulake Italia Srl
SULAKE ITALIA - NCTM Social networking nuove frontiere del marketing e relativi profili giuridici.
Milano 17.11.10
Intervento Avv. Carlo Grignani - La condivisione dei dati personali e la responsabilità di impresa nei social network.
La condivisione infragruppo dei dati del cliente
- il trasferimento all’estero: safe harbour e clausole contrattuali standard
- contitolarità, titolarità autonoma e responsabilità
- localizzazione del data base e legge applicabile
social networking: norme e linee guida
- la tutela della privacy nei servizi di Social Network (conferenza di Strasburgo del 15-17 ottobre
2008)
- le linee guida del Garante del 2009
responsabilità del titolare di siti di social networking per la diffusione su internet di contenuti da
parte dei propri utenti
- l’evoluzione normativa e giurisprudenziale: i casi google e youtube
- il ruolo del moderatore
- la rimozione tempestiva dei contenuti sospetti
- il fine di lucro e l’assenza di corrispettivo
- il carattere editoriale dei motori di ricerca, dei portali e delle piattaforme
Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati
Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite.
Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali.
Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze).
I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative.
Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.
I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza.
Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione).
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela delle persone nel GDPR (regolamento UE 2016/679), ruolo e competenze del Garante per la privacy, i trattamenti della polizia locale e focus sulla videosorveglianza
Vuoi conoscere le ultime novità in materia di privacy e trattamento dati personali? Scarica questa guida, per approfondire in modo dettagliato i principali aspetti legati all'entrata in vigore del GDPR.
Intervento sulla normativa privacy, sul trattamento dei dati in ambito aziendale e sul controllo dei lavoratori prima e dopo il “Jobs-Act”, oltre che con riferimento agli amministratori di sistema.
Guida all applicazione del regolamento privacy ue 2016 679Vittorio Pasteris
La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
Il Vol. 1 del vademecum in tema di privacy e GDPR a cura dei colleghi del Movimento Forense Triveneto.
"Regole di base e applicazioni pratiche"
(Co-autori: Avv. Maela Coccato, Avv. Antonio Zago, Avv. Daniele A. M. Trento)
Intervento di Claudia Cevenini, Professore a Contratto di Diritto dell'Informatica, Alma Mater Studiorum Università di Bologna, al "17° Meeting Nazionale ACEF - Evoluzione dei Servizi Professionali della Consulenza", tenutosi a Bologna, presso la sede della Regione Emilia Romagna, nei giorni 30 e 31 ottobre e 9 e 10 novembre 2017.
Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati
Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite.
Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali.
Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze).
I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative.
Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.
I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza.
Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione).
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela delle persone nel GDPR (regolamento UE 2016/679), ruolo e competenze del Garante per la privacy, i trattamenti della polizia locale e focus sulla videosorveglianza
Vuoi conoscere le ultime novità in materia di privacy e trattamento dati personali? Scarica questa guida, per approfondire in modo dettagliato i principali aspetti legati all'entrata in vigore del GDPR.
Intervento sulla normativa privacy, sul trattamento dei dati in ambito aziendale e sul controllo dei lavoratori prima e dopo il “Jobs-Act”, oltre che con riferimento agli amministratori di sistema.
Guida all applicazione del regolamento privacy ue 2016 679Vittorio Pasteris
La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
Il Vol. 1 del vademecum in tema di privacy e GDPR a cura dei colleghi del Movimento Forense Triveneto.
"Regole di base e applicazioni pratiche"
(Co-autori: Avv. Maela Coccato, Avv. Antonio Zago, Avv. Daniele A. M. Trento)
Intervento di Claudia Cevenini, Professore a Contratto di Diritto dell'Informatica, Alma Mater Studiorum Università di Bologna, al "17° Meeting Nazionale ACEF - Evoluzione dei Servizi Professionali della Consulenza", tenutosi a Bologna, presso la sede della Regione Emilia Romagna, nei giorni 30 e 31 ottobre e 9 e 10 novembre 2017.
Intervento presentato nel corso del DIGEat2018 - Consilum "Il piano di assessment per la compliance secondo il Regolamento UE 679/2016", a cura del D&L NET
Il titolare del trattamento, il contitolare e il responsabile del trattamentoGGagliano
Brevi cenni agli obblighi di alcune delle figure indicate dal GDPR e alle domande da porsi per una corretta gestione dei dati personali prima di iniziare le attività di trattamento
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
Meet Forum 2019 | Mediterranean European Economic Tourism Forum
Smart tourism e Cybersecurity: un futuro di ICT e knowledge management per la competitività e la sicurezza impresa turistica
Forte Village, in Sardegna | Sabato 5 ottobre
Banco di Sardegna Hall | 16.45 : 17.25
https://www.meetforum.it/programma-2019/
Privacy e compliance GDPR settore turistico alberghiero
Massimo Simbula
Founder Studio Legale Simbola
https://www.meetforum.it/speaker/massimo-simbula/
Meet Forum 2019 | Mediterranean European Economic Tourism Forum, a Forte Village, uno dei resort più premiati al mondo: sabato 5 e domenica 6 ottobre un formidabile appuntamento con conference, Laboratori d'Innovazione Turistica e Tavoli al Lavoro, il tema è lo sviluppo economico delle Destinazioni Turistiche del Mediterraneo.
https://www.meetforum.it
Introduzione generale al Regolamento 2016/679 UE e al decreto legislativo 101/2018.
Le slides introducono i concetti principali di Privacy, gli ambiti oggettivi, soggettivi e territoriali di applicazione, la figure principali quali Titolare, Responsabile e Interessato, le Basi giuridiche, il consenso e l'informativa, i diritti degli interessati e il regime sanzionatorio in caso di mancato adeguamento e di data breach.
Il carattere in grassetto evidenzia aspetti particolarmente interessanti per le PA, quali il diritto di accesso e l'accesso civico; quelli in blu rappresentano le integrazioni operate dal d.lgs 101/2018
Presentazione a cura del dott. Stefano Tomasini, Direzione Centrale per l’Organizzazione Digitale presso INAIL, tenutasi in occasione dell'evento annuale del GDL Governance Digitale, di ANORC Mercato e ANORC Professioni.
28 novembre 2019, Roma - Centro Congressi della Banca d’Italia
Presentazione a cura dell''avv. Andrea Lisi, Presidente ANORC Professioni, tenutasi in occasione dell'evento annuale del GDL Governance Digitale, di ANORC Mercato e ANORC Professioni.
28 novembre 2019, Roma - Centro Congressi della Banca d’Italia
Presentazione a cura dell'ing. Paolo A. Catti, Associate Partner VPS, tenutasi in occasione dell'evento annuale del GDL Governance Digitale, di ANORC Mercato e ANORC Professioni.
28 novembre 2019, Roma - Centro Congressi della Banca d’Italia
Intervento tenuto in occasione del seminario informativo in materia di e-commerce e servizi ICT, organizzato da Camera di Commercio italiana per la Germania (ITKAM), su incarico del Ministero federale tedesco per l’Economia e l’Energia (BMWi).
L’evento è stato realizzato nell’ambito del programma di internazionalizzazione delle piccole e medie imprese (PMI) promosso dal BMWi.
Sede: Istituto italiano di Cultura di Berlino
Data: 12 settembre 2019
Intervento a cura di: avv. Andrea Lisi, Titolare Studio Legale Lisi e Presidente di ANORC Professioni.
di Enrico Pelino, avvocato - Partner Grieco Pelino Avvocati e consigliere Direttivo ANORC Professioni
Presentazione tenuta presso il 18:°Meeting ACEF, Bologna - 19 ottobre 2018
More from ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale (20)
3. AMBITO DI APPLICAZIONE
ART. 3 GDPR
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno
stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione,
indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato
da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le
attività di trattamento riguardano:
a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà
di un pagamento dell’interessato; oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno
dell’Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è
stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
4. RAPPRESENTANTE NELL’UNIONE
ART. 27 GDPR
Quando il trattamento dei dati personali di interessati che si trovano nell’Unione è effettuato da un titolare o da un
responsabile del trattamento che non stabiliti nell’Unione essi dovranno designare per iscritto un rappresentante
nell’Unione (sono esclusi i casi di trattamento occasionale e i trattamenti effettuati da autorità pubbliche e organismi
pubblici).
Il rappresentante è incaricato dal titolare o dal responsabile del trattamento a fungere da interlocutore, in aggiunta o
sostituzione degli stessi, per tutte le questioni riguardanti il trattamento.
Sono fatte salve le azioni legali che possono essere promosse contro lo stesso titolare o responsabile del
trattamento.
5. FORNITORE=RESPONSABILE DEL TRATTAMENTO
ART. 28 GDPR
1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento,
quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie
sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il
trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione
scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta
generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche
previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al
titolare del trattamento l’opportunità di opporsi a tali modifiche.
6. ART. 28 GDPR
Responsabile del trattamento
3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro
atto giuridico (scritto, par. 9) a norma del diritto dell’Unione o degli Stati membri, che vincoli il
responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del
trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli
obblighi e i diritti del titolare del trattamento.
Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di
trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto
dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa
il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione
per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o
abbiano un adeguato obbligo legale di riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
7. ART. 28 GDPR
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e
organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento
di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f ) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo
conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la
prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati
membri preveda la conservazione dei dati; e
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli
obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni,
realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo
comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere,
un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
8. ART. 28 GDPR
I commi 6, 7 e 8 dell'art. 28 GDPR prevedono la facoltà della Commissione Europea e delle Autorità di controllo di
stabilire o adottare clausole contrattuali tipo per il contratto tra il titolare e il responsabile del trattamento. Al momento
né la Commissione Europea né le molte delle Autorità di controllo si sono avvalse di questa facoltà, fatta eccezione per
l'Autorità di controllo bavarese e del CNIL ciascuna delle quali ha pubblicato un proprio modello di contratto.
E’ opportuno quindi monitorare gli ulteriori sviluppi e, al momento della pubblicazione di tali clausole tipo, eseguire un
confronto tra i contratti in essere con i fornitori per determinare se i contenuti sono adeguati o se è opportuno
integrarli sulla base degli esempi forniti dalla Commissione e/o dall'Autorità di controllo di riferimento (Autorità
capofila).
9. RESPONSABILITÀ SOLIDALE
Art. 82 GDPR
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento
ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del
trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il
presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha
adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo
difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
3. Il titolare del trattamento o il responsabile del trattamento sono esonerati dalla responsabilità, a norma del paragrafo 2
se dimostrano che l’evento dannoso non è ad essi in alcun modo imputabile.
4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il
responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili
dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è
responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo
dell’interessato.
5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero
risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri
titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento
corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
10. OPERAZIONI PRELIMINARI
1. Revisionare e aggiornare i contratti in essere e negoziare nuovi contratti in relazione a tutti i servizi in outsourcing
2. In fase di scelta del fornitore, verificare la sussistenza di garanzie sufficienti a consentire il rispetto del GDPR
(mediante checklist da sottoporre al fornitore cloud)
3. Individuare dove è collocato geograficamente il datacenter del fornitore
4. Controllare chi ha accesso ai dati nel cloud
5. Verificare la conformità del fornitore di servizi cloud rispetto agli standard di sicurezza noti
6. Redigere il DPA (data processing agreement)
7. Non tutti i DPA sono uguali: devono essere adeguati alla tipo di trattamento dei dati, la tipologia del dati trattati e
le categorie di interessati, il rischio per i diritti e le libertà degli interessati
12. DATA PROCESSING AGREEMENT
Il DPA dovrà contenere quindi:
① Una clausola contenente dichiarazioni dal titolare al responsabile in merito a tutte le informazioni pertinenti alla finalità del
trattamento dei dati personali realizzati dal fornitore di servizi cloud;
② Una clausola che descriva le istruzioni fornite dal titolare al fornitore di servizi cloud e in che modo il fornitore deve
applicarle;
③ Una clausola che presenti la security policy fisica e logica implementata dal provider cloud, oltre alle misure applicabili in caso
di intrusione non autorizzata (data breach);
④ Una clausola in base alla quale il responsabile del trattamento si impegna a cooperare nel caso in cui un interessato desideri
esercitare i propri diritti;
⑤ Una clausola che specifica se, quando e come il responsabile può nominare un sub-responsabile;
⑥ Una clausola che garantisca la riservatezza non solo da parte dei dipendenti del fornitore cloud, ma anche da eventuali
subappaltatori o liberi professionisti assunti dal fornitore di servizi cloud per contribuire all’adempimento dei propri obblighi;
⑦ Clausole sull’obbligo del fornitore di informare il titolare (non solo in caso di violazione dei dati) e le condizioni per la
conduzione degli audit;
⑧ Clausole contrattuali standard se i dati sono trasferiti al di fuori dell’Unione Europea in un paese considerato non idoneo
a garantire un livello adeguato di protezione;
⑨ Chiarimenti sulla risoluzione dei rapporti contrattuali e la distruzione dei dati nel cloud.
13. RESPONSABILITÀ SOLIDALE
Art. 82 GDPR
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento
ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del
trattamento.
2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il
presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha
adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o
ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
3. Il titolare del trattamento o il responsabile del trattamento sono esonerati dalla responsabilità, a norma del paragrafo 2
se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
4. Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il
responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili
dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è
responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo
dell’interessato.
5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero
risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri
titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento
corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
14. SANZIONI
Art. 83 GDPR
4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative
pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo
dell’esercizio precedente, se superiore:
a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e
43;
b) gli obblighi dell’organismo di certificazione a norma degli articoli 42 e 43;
c) gli obblighi dell’organismo di controllo a norma dell’articolo 41, paragrafo 4.
15. CONTITOLARITA’
ATTENZIONE!
Nonostante tali disposizioni contrattuali, può accadere che un fornitore di servizi cloud gestisca i dati a lui affidati in
modo quasi autonomo.
Difficilmente accadrà che un fornitore di servizi cloud possa essere considerato titolare del trattamento del GDPR, ma
potrebbe essere considerato “contitolare” ai sensi dell’art. 26.
In tali situazioni, nella misura in cui un’autorità di controllo possa decidere di modificare tale relazione (titolare-
responsabile), le parti dovrebbero essere consapevoli di questa eventualità e operare proattivamente firmando un
accordo di contitolarità che rifletta l’effettiva ripartizione della responsabilità tra i due soggetti.
Art. 28, par. 10: «Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento,
determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.»
16. DIG.Eat 11 – DIGITALIZZAZIONE E PRIVACY:Tutti Compliant? …Tutti Compliant fino a prova contraria!
Grazie per l’attenzione!
sabrina.salmeri@mindwell.it