SlideShare a Scribd company logo

Il titolare del trattamento, il contitolare e il responsabile del trattamento

G
GGagliano

Brevi cenni agli obblighi di alcune delle figure indicate dal GDPR e alle domande da porsi per una corretta gestione dei dati personali prima di iniziare le attività di trattamento

1 of 11
Download to read offline
IL TITOLARE DEL TRATTAMENTO, IL CONTITOLARE E IL RESPONSABILE DEL TRATTAMENTO NELLA PROTEZIONE DEI DATI PERSONALI BREVI CENNI AI LORO OBBLIGHI E ALLE DOMANDE DA PORSI PER UNA CORRETTA GESTIONE DEI DATI PERSONALI PRIMA DI INIZIARE LE ATTIVITÀ DI TRATTAMENTO
Sommario PREMESSA......................................................................................................................................................... 2 Quali sono i doveri del Titolare del Trattamento? .......................................................................................... 3 Quali sono i doveri del Responsabile del trattamento.................................................................................... 4 SIETE UN RESPONSABILE, UN TITOLARE DEL TRATTAMENTO O UN CONTITOLARE?..................................... 5 Che cosa è richiesto in un contratto o da altro atto giuridico di nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR?.............................................................................................................................. 6 Alcune domande da porsi prima di intraprendere operazioni di trattamento di dati personali................... 8 A cura dell’Ufficio funzionale di supporto del Responsabile per la Protezione Dati dell’Università degli studi di Firenze
PREMESSA1 Il Regolamento europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GDPR) individua espressamente le diverse figure che operano nell’ambito del trattamento dei dati personali con ruoli e responsabilità diversificate. Esse sinteticamente sono: 1. Il Titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di i dati personali. Nel caso due o più titolari decidano congiuntamente i le finalità e i mezzi del trattamento si parla di contitolarità. Tale rapporto può assumere varie forme e la partecipazione dei diversi titolari del trattamento alle varie attività può differire. Il Gruppo di lavoro articolo 29 nel suo parere del 2010 afferma che i contitolari del trattamento possono condividere tutte le finalità e tutti gli strumenti di un trattamento, alcune finalità o mezzi o una parte di essi. Nel primo caso la relazione tra i diversi attori sarebbe molto stretta nel secondo più distante. In ogni caso i contitolari devono disciplinare i loro rapporti mediante un accordo interno stabilendo le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal GDPR, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del Regolamento 2016/679; 2. Il Responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Le attività di trattamento affidate ad un responsabile del trattamento possono essere limitate a un compito o a un contesto specifico o possono essere molto generali. Essenziale nel rapporto tra titolare e responsabile del trattamento è il contratto o altro atto giuridico che viene stipulato tra i due. Si tratta di un atto giuridicamente obbligatorio che deve disciplinare la materia e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. I Responsabili del trattamento agiranno in qualità di titolare autonomo quando tratteranno dati per proprio conto (ad esempio i dati dei propri dipendenti, la tenuta della contabilità ecc. ). Di seguito sono riportate: − alcune indicazioni di massima relativamente agli obblighi in capo alle due figure sopra citate per il rispetto della normativa europea in materia di protezione dati; − alcune informazioni circa il contenuto che deve avere un atto/contratto di nomina a responsabile del trattamento; − un diagramma di flusso utile per capire qual è il proprio ruolo quando si trattano dati con terze parti; − alcune domande che un soggetto dovrebbe porsi prima di iniziare qualsiasi operazione di trattamento per il corretto. Per maggiori informazioni e facsimili è possibile consultare la sezione intranet di Ateneo Protezione Dati – Privacy (https://www.unifi.it/p11551.html). 1 Nel predisporre il documento si si è fatto riferimento alla pubblicazione del Garante europeo per la protezione dati Flowcharts and Checklists on Data Protection – Brochure e al Manuale sul diritto europeo in materia di protezione dati – edizione 2018 FRA/Corte EDU/GEPD
Quali sono i doveri del Titolare del Trattamento? Il trattamento dei dati personali deve rispettare i seguenti principi: • deve essere lecito, giusto e trasparente (liceità, equità, trasparenza); • deve essere vincolato a finalità specifiche (limitazione delle finalità); • i dati personali trattati dovrebbero essere adeguati, pertinenti e limitati a quanto necessario (minimizzazione dei dati); • i dati personali devono essere esatti (esattezza); • i dati personali non devono essere conservati più a lungo del necessario (limitazione della conservazione); • i dati personali devono rimanere ben protetti e riservati (integrità e riservatezza). Il Titolare del Trattamento è responsabile della conformità a questi principi delle operazioni di trattamento dati da lui operate e dovrebbe essere in grado di dimostrare tale conformità (principio di accountability). A tal fine, i titolari del trattamento in pratica devono: − documentare le loro operazioni di trattamento con la tenuta del Registro attività di trattamento (art. 30 GDPR); − effettuare, se necessario, una valutazione d'impatto sulla protezione dei dati (DPIA) prima delle operazioni che comportano un rischio elevato per i diritti e le libertà delle persone interessate; − in determinate circostanze, consultare il Garante per la protezione dei dati personali prima di iniziare attività di trattamento ad alto rischio; − nella progettazione delle operazioni di trattamento, tenere presenti i principi di privacy by design e privacy by default; − adottare adeguate misure di sicurezza per proteggere i dati personali; − in caso di violazione di dati personali informare, se necessario, il Garante per la protezione dei dati personali e, in determinate circostanze, le persone interessate; − concludere accordi/contratti solo con i Responsabili del trattamento che forniscono garanzie adeguate di sicurezza e riservatezza; − concludere accordi con altri titolari in caso di contitolarità per disciplinare i rispettivi obblighi e doveri; − trasferire dati personali, verso altri paesi dell'UE, verso paesi non appartenenti all'UE o organizzazioni internazionali solo se sono rispettate le condizioni del GDPR; − cooperante con il Garante per la protezione dei dati personali. Infine, il titolare del trattamento deve fornire alle persone interessate informazioni chiare e accessibili sul trattamento, rispettare e garantire i diritti delle persone interessate.
Quali sono i doveri del Responsabile del trattamento Per conformarsi al Regolamento UE 2016/679 i Responsabili del trattamento devono: − trattare i dati personali solo su istruzioni documentate del titolare del trattamento, a meno che ciò non sia richiesto dal diritto dell'UE o degli Stati membri; − trattare i dati personali come stabilito in un contratto o un altro atto giuridico vincolante e che stabilisce i presupposti necessari per svolgere tale compito; − NON trattare ulteriormente i dati per altri scopi incompatibili; − assistere il titolare del trattamento per garantire i diritti degli interessati e di adempiere agli obblighi normativi previsti dal GDPR; − notificare qualsiasi richiesta giuridicamente vincolante di divulgazione dei dati personali trattati per conto del titolare del trattamento e dare accesso ai dati solo previa autorizzazione scritta del titolare del trattamento; − esternalizzare/subappaltare a sub-referenti le attività di trattamento SOLO con la preventiva autorizzazione scritta del titolare del trattamento; − informare successivamente il titolare del trattamento di eventuali variazioni sui contratti stipulati con i sub-referenti, dando al medesimo la possibilità di opporsi alle modifiche; trasmettere gli stessi obblighi contrattuali a eventuali subappaltatori; − tenere un registro delle attività di trattamento svolte per conto del titolare del trattamento; − adottare adeguate misure di sicurezza per proteggere i dati personali; − informare senza indebito ritardo il Titolare del trattamento della violazione dei dati; − cooperare, su richiesta, con il Garante per la protezione dei dati personali nell'esecuzione dei suoi compiti.
SIETE UN RESPONSABILE, UN TITOLARE DEL TRATTAMENTO O UN CONTITOLARE? Questo diagramma di flusso riguarda le situazioni in cui l'attribuzione dei ruoli di Responsabile e/o di Titolare del trattamento non è stata stabilita espressamente in una norma o regolamento ! Determinate finalità e mezzi essenziali del trattamento, in base ad una specifica competenza giuridica? Determinate finalità e mezzi essenziali del trattamento, in base ad una competenza implicita? Determinate alcune delle finalità e dei mezzi essenziali del trattamento in pratica? SIETE UN RESPONSABILE DEL TRATTAMENTO SIETE UN TITOLARE DEL TRATTAMENTO Quale potrebbe essere il rapporto tra voi (A) e un altro soggetto terzo (B)? NO NO NO SI SI SI Determinate congiuntamente le finalità e i mezzi essenziali per le operazioni di trattamento con B. Voi e B siete Contitolari Stabilite insieme con B alcune finalità e mezzi essenziali, mentre altri sono determinati separatamente Siete Contitolari con B per le sole parti determinate congiuntamente nelle operazioni di trattamento. Voi e B determinate separatamente le finalità e i mezzi essenziali dell trattamento di B èTitolare per i propri mezzi e finalità, ma Responsabile del trattamento se effettua operazioni per voi. Solo voi determinate le finalità e i mezzi essenziali del trattamento Siete un Titolare, B è il Responsabile del Trattamento 1 2 3 4 A+B A B A B A SIETE COINVOLTI IN UN'OPERAZIONE DI TRATTAMENTO CON UNA O PIÙ TERZE PARTI: SIETE UN RESPONSABILE, UN TITOLARE O UN CONTITOLARE? Siete coinvolti in un'operazione di trattamento con una o più terze parti: Siete un Responsabile, un Titolare o un Contitolare?
Che cosa è richiesto in un contratto o da altro atto giuridico di nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR? I Titolari del trattamento possono chiedere a un soggetto terzo di trattare dati personali per loro conto. Il trattamento esternalizzato riguarda quindi dati personali prodotti ed elaborati così come previsto nel contratto/altro atto giuridico, non i dati del contraente o del suo personale. Il trattamento dei dati da parte di un Responsabile richiede un contratto o un altro atto giuridico vincolante ai sensi del diritto dell'UE o degli Stati membri, che disciplini: − finalità, durata, natura e portata del trattamento; − tipo di dati personali e le categorie di interessati; − periodo di conservazione dei dati; − ubicazione dei dati e accesso ai dati (sulla base di una valutazione preliminare dei rischi può essere limitato o meno al SEE); − destinatari dei dati e trasferimenti di dati; − misure di sicurezza (che garantiscano almeno lo stesso livello di sicurezza dei dati personali assicurato dal titolare del trattamento); − che il responsabile del trattamento può agire solo su istruzioni documentate del titolare del trattamento, a meno che ciò non sia richiesto dalla legislazione dell'UE o degli Stati membri Deve contenere istruzioni anche sul trasferimento di dati personali e sull’assistenza al titolare del trattamento; − eventuali leggi aggiuntive sulla protezione dei dati (ad es. direttiva e-privacy, direttiva NSI) - se applicabili; − il ricorso a sub-responsabili solo con precedente autorizzazione scritta del controllore e le comunicazioni di eventuali modifiche in debito anticipo; − le misure di riservatezza e l'accesso ai dati solo alle persone autorizzate sulla base della necessità di conoscere; − i diritti di controllo del titolare del trattamento sui responsabili del trattamento e sui sub- responsabili; − la cooperazione, su richiesta, con il Garante per la protezione dei dati personali nell'esecuzione dei suoi compiti; − la divisione dei compiti tra contitolari - se del caso - in modo che il Responsabile sappia come assistere il singolo contitolare; − l’assistenza per le richieste di diritti dell'interessato; − l’assistenza nell’adempimento degli obblighi del titolare del trattamento (notifica della violazione della sicurezza e dei dati, valutazione dell'impatto sulla protezione dei dati e consultazione preventiva, riservatezza delle comunicazioni elettroniche, ecc.) e tenuta del registro delle attività di trattamento per conto del titolare del trattamento, − l’assistenza in caso di violazione dei dati; − la scelta da parte del titolare del trattamento di farsi restituire o far cancellare i dati dal Responsabile al termine del trattamento; − l'obbligo di informare il Titolare se le sue istruzioni violano il GDPR o altre disposizioni dell'UE o dello Stato membro in materia di protezione dei dati; − i motivi di risoluzione in caso di grave inadempienza del responsabile del trattamento, responsabilità, ecc.;
− altre disposizioni eventualmente applicabili che riguardano la protezione dei dati (ad esempio la legge e la giurisdizione applicabili in caso di Responsabili del trattamento esteri, ecc.).
Domande da porsi prima di intraprendere operazioni di trattamento di dati personali. ALCUNE DOMANDE DA PORSI NELLE OPERAZIONI DI TRATTAMENTO PER GARANTIRE I PRINCIPI DI CUI ALL’ARTICOLO 5 DEL GDPR Trasparenza delle informazioni − Come informerete le persone dei vostri trattamenti? − Come vi assicurate che le informazioni raggiungano le persone interessate? − Avete fornito tutte le informazioni necessarie? Sono facilmente comprensibili? − Il linguaggio utilizzato per fornire informazioni è adatto per la tipologia di interessati? (ad esempio i bambini, ecc.) − Nel caso in cui si rinvia il momento per fornire le informazioni, qual è la vostra giustificazione? Correttezza − Che cosa si aspettano le persone dalle attività di trattamento dati, anche se non leggono le informazioni fornite loro? − In caso di affidamento sul consenso, esso è davvero libero? Come si fa a documentare che le persone lo hanno dato? Come possono revocare il loro consenso? − Il trattamento dei dati potrebbe generare effetti negativi sugli interessati? − Il trattamento dei dati potrebbe condurre a discriminazioni degli interessati? − È facile per le persone esercitare i loro diritti di accesso, rettifica, ecc? Limitazione delle finalità − Avete identificato tutte le finalità del trattamento dei dati? − Tutte le finalità sono compatibili con quella iniziale? − C'è il rischio che i dati possano essere riutilizzati per altri scopi? − Come si può garantire che i dati vengono utilizzati solo per le loro finalità definite? − Se si desidera rendere disponibili/riutilizzare i dati per la ricerca scientifica, a fini statistici o storici, quali garanzie si applicano per proteggere gli individui interessati? Minimizzazione dei dati − I dati sono di qualità sufficiente per la finalità perseguite? − I dati raccolti misurano ciò che si intende determinare? − Ci sono alcune tipologie di dati che potrebbero essere rimossi senza compromettere lo scopo del processo? − Nei moduli utilizzati nei trattamenti sono distinti chiaramente gli elementi obbligatori da quelli opzionali? − Nel caso in cui si desideri conservare le informazioni a fini statistici, come si gestisce il rischio di re-identificazione?
Esattezza − Quali potrebbero essere le conseguenze per le persone interessate agendo su informazioni inesatte durante le operazioni di trattamento? − Come si fa a garantire che i dati che si raccolgono siano esatti? − Come garantire che i dati ottenuti da terze parti siano esatti? − Gli strumenti utilizzati nelle operazioni di trattamento consentono aggiornamenti/correzioni dei dati laddove necessario? − Gli strumenti utilizzati nelle operazioni di trattamento consentono controlli di coerenza? Limitazione della conservazione − Esiste una norma che definisce i periodi di conservazione per i dati oggetto del trattamento? − Per quanto tempo è necessario conservare i dati? Per quale finalità? − Potete distinguere periodi di archiviazione per le diverse tipologie dei dati? − Se non è ancora possibile eliminare i dati, è possibile limitare l'accesso ad essi? − Gli strumenti utilizzati per conservare i dati consentono la cancellazione automatica alla fine del periodo di archiviazione? Sicurezza − Disponete di una procedura per l'identificazione, l'analisi e la valutazione dei rischi per la sicurezza delle informazioni che potrebbero riguardare i dati personali e i sistemi informatici a supporto del loro trattamento? − Avete tenuto conto dell'impatto delle operazioni di trattamento sui diritti, le libertà e gli interessi fondamentali delle persone e non solo i rischi per l'organizzazione? − Prendete in considerazione la natura, la portata, il contesto e le finalità del trattamento al momento della valutazione dei rischi? − Gestite le vulnerabilità di sistema e le minacce per i vostri dati e sistemi? − Avete risorse o personale con ruoli assegnati per eseguire delle valutazioni del rischio? ALTRE DOMANDE UTILI DA PORSI Quali fattori devo tenere in considerazione in sede di pubblicazione dei dati personali − Sono obbligato a pubblicare? Posso pubblicare? (Base giuridica) − Cosa posso pubblicare? (Minimizzazione dei dati) − Come faccio a informare gli individui interessati? (Informazioni) − Come mi assicuro che i dati sono corretti? (Accuratezza) Perché informare le persone sul trattamento dei dati? In modo che possano:
− capire quali dei loro dati sono trattati e come; − verificare la qualità dei propri dati; − esercitare gli altri diritti di in materia di protezione dei dati (accesso, rettifica, cancellazione, limitazione del trattamento, notifica di rettifica, limitazione del trattamento, portabilità dei dati, opposizione, non essere oggetto di una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione). In sintesi alcuni consigli ➢ Pensate a cosa dovete fare per soddisfare le vostre finalità e limitatevi ai trattamenti necessari per raggiungerle. ➢ Definite quello che fate e documentatelo. ➢ Informate le persone e rispettate i loro diritti in materia di protezione dati

Recommended

Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
SMAU
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
SMAU
 
Corso privacy unità 1
Corso privacy unità 1Corso privacy unità 1
Corso privacy unità 1Confimpresa
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Simone Chiarelli
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
Simone Chiarelli
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
Simone Chiarelli
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 

Recommended

Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
SMAU
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
SMAU
 
Corso privacy unità 1
Corso privacy unità 1Corso privacy unità 1
Corso privacy unità 1Confimpresa
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Simone Chiarelli
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
Simone Chiarelli
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
Simone Chiarelli
 
Corso privacy unità 3
Corso privacy unità 3Corso privacy unità 3
Corso privacy unità 3Confimpresa
 
LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDA
Carlo Riganti
 
Introduzione alla privacy
Introduzione alla privacyIntroduzione alla privacy
Introduzione alla privacy
Council of Europe
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
CSI Piemonte
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guida
Lucia Ruocco
 
Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.
Boris Amico
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
CSI Piemonte
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
Fabio Tonini
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Barbieri & Associati Dottori Commercialisti - Bologna
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agenti
Roberto Tuninetti
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
Simone Chiarelli
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018
Simone Chiarelli
 
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018
Simone Chiarelli
 
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Francesco Reitano
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
Adalberto Casalboni
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Edoardo Ferraro
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdf
Edoardo Ferraro
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
Claudio De Luca
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
Roberta Rapicavoli
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
Porto4CulturaLegaled
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
Lodovico Mabini
 
Di Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfDi Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdf
UNI - Ente Italiano di Normazione
 

More Related Content

What's hot

LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDA
Carlo Riganti
 
Introduzione alla privacy
Introduzione alla privacyIntroduzione alla privacy
Introduzione alla privacy
Council of Europe
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
CSI Piemonte
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guida
Lucia Ruocco
 
Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.
Boris Amico
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
CSI Piemonte
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
Fabio Tonini
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Barbieri & Associati Dottori Commercialisti - Bologna
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agenti
Roberto Tuninetti
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
Simone Chiarelli
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018
Simone Chiarelli
 
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018
Simone Chiarelli
 

What's hot (12)

LA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDALA PRIVACY IN AZIENDA
LA PRIVACY IN AZIENDA
 
Introduzione alla privacy
Introduzione alla privacyIntroduzione alla privacy
Introduzione alla privacy
 
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio l...
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guida
 
Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.Privacy, Tutela dei Dati Personali e D.P.S.
Privacy, Tutela dei Dati Personali e D.P.S.
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agenti
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018
 
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018
 

Similar to Il titolare del trattamento, il contitolare e il responsabile del trattamento

Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Francesco Reitano
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
Adalberto Casalboni
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Edoardo Ferraro
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdf
Edoardo Ferraro
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
Claudio De Luca
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
Roberta Rapicavoli
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
Porto4CulturaLegaled
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
Lodovico Mabini
 
Di Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfDi Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdf
UNI - Ente Italiano di Normazione
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPR
Massimiliano Tavella
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacy
Federico Di Giorgi
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitale
Fabio Vezzoli
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
SMAU
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017
SMAU
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
Colin & Partners Srl
 
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
Simone Chiarelli
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
Talea Consulting Srl
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Quotidiano Piemontese
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 

Similar to Il titolare del trattamento, il contitolare e il responsabile del trattamento (20)

Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdf
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 
Di Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfDi Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdf
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPR
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacy
 
Gdpr settore digitale
Gdpr settore digitaleGdpr settore digitale
Gdpr settore digitale
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
GDPR: organizzazione (Titolare, DPO ecc...) - 29 aprile 2018
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
 

Il titolare del trattamento, il contitolare e il responsabile del trattamento

  • 1. IL TITOLARE DEL TRATTAMENTO, IL CONTITOLARE E IL RESPONSABILE DEL TRATTAMENTO NELLA PROTEZIONE DEI DATI PERSONALI BREVI CENNI AI LORO OBBLIGHI E ALLE DOMANDE DA PORSI PER UNA CORRETTA GESTIONE DEI DATI PERSONALI PRIMA DI INIZIARE LE ATTIVITÀ DI TRATTAMENTO
  • 2. Sommario PREMESSA......................................................................................................................................................... 2 Quali sono i doveri del Titolare del Trattamento? .......................................................................................... 3 Quali sono i doveri del Responsabile del trattamento.................................................................................... 4 SIETE UN RESPONSABILE, UN TITOLARE DEL TRATTAMENTO O UN CONTITOLARE?..................................... 5 Che cosa è richiesto in un contratto o da altro atto giuridico di nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR?.............................................................................................................................. 6 Alcune domande da porsi prima di intraprendere operazioni di trattamento di dati personali................... 8 A cura dell’Ufficio funzionale di supporto del Responsabile per la Protezione Dati dell’Università degli studi di Firenze
  • 3. PREMESSA1 Il Regolamento europeo 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GDPR) individua espressamente le diverse figure che operano nell’ambito del trattamento dei dati personali con ruoli e responsabilità diversificate. Esse sinteticamente sono: 1. Il Titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di i dati personali. Nel caso due o più titolari decidano congiuntamente i le finalità e i mezzi del trattamento si parla di contitolarità. Tale rapporto può assumere varie forme e la partecipazione dei diversi titolari del trattamento alle varie attività può differire. Il Gruppo di lavoro articolo 29 nel suo parere del 2010 afferma che i contitolari del trattamento possono condividere tutte le finalità e tutti gli strumenti di un trattamento, alcune finalità o mezzi o una parte di essi. Nel primo caso la relazione tra i diversi attori sarebbe molto stretta nel secondo più distante. In ogni caso i contitolari devono disciplinare i loro rapporti mediante un accordo interno stabilendo le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal GDPR, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del Regolamento 2016/679; 2. Il Responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Le attività di trattamento affidate ad un responsabile del trattamento possono essere limitate a un compito o a un contesto specifico o possono essere molto generali. Essenziale nel rapporto tra titolare e responsabile del trattamento è il contratto o altro atto giuridico che viene stipulato tra i due. Si tratta di un atto giuridicamente obbligatorio che deve disciplinare la materia e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. I Responsabili del trattamento agiranno in qualità di titolare autonomo quando tratteranno dati per proprio conto (ad esempio i dati dei propri dipendenti, la tenuta della contabilità ecc. ). Di seguito sono riportate: − alcune indicazioni di massima relativamente agli obblighi in capo alle due figure sopra citate per il rispetto della normativa europea in materia di protezione dati; − alcune informazioni circa il contenuto che deve avere un atto/contratto di nomina a responsabile del trattamento; − un diagramma di flusso utile per capire qual è il proprio ruolo quando si trattano dati con terze parti; − alcune domande che un soggetto dovrebbe porsi prima di iniziare qualsiasi operazione di trattamento per il corretto. Per maggiori informazioni e facsimili è possibile consultare la sezione intranet di Ateneo Protezione Dati – Privacy (https://www.unifi.it/p11551.html). 1 Nel predisporre il documento si si è fatto riferimento alla pubblicazione del Garante europeo per la protezione dati Flowcharts and Checklists on Data Protection – Brochure e al Manuale sul diritto europeo in materia di protezione dati – edizione 2018 FRA/Corte EDU/GEPD
  • 4. Quali sono i doveri del Titolare del Trattamento? Il trattamento dei dati personali deve rispettare i seguenti principi: • deve essere lecito, giusto e trasparente (liceità, equità, trasparenza); • deve essere vincolato a finalità specifiche (limitazione delle finalità); • i dati personali trattati dovrebbero essere adeguati, pertinenti e limitati a quanto necessario (minimizzazione dei dati); • i dati personali devono essere esatti (esattezza); • i dati personali non devono essere conservati più a lungo del necessario (limitazione della conservazione); • i dati personali devono rimanere ben protetti e riservati (integrità e riservatezza). Il Titolare del Trattamento è responsabile della conformità a questi principi delle operazioni di trattamento dati da lui operate e dovrebbe essere in grado di dimostrare tale conformità (principio di accountability). A tal fine, i titolari del trattamento in pratica devono: − documentare le loro operazioni di trattamento con la tenuta del Registro attività di trattamento (art. 30 GDPR); − effettuare, se necessario, una valutazione d'impatto sulla protezione dei dati (DPIA) prima delle operazioni che comportano un rischio elevato per i diritti e le libertà delle persone interessate; − in determinate circostanze, consultare il Garante per la protezione dei dati personali prima di iniziare attività di trattamento ad alto rischio; − nella progettazione delle operazioni di trattamento, tenere presenti i principi di privacy by design e privacy by default; − adottare adeguate misure di sicurezza per proteggere i dati personali; − in caso di violazione di dati personali informare, se necessario, il Garante per la protezione dei dati personali e, in determinate circostanze, le persone interessate; − concludere accordi/contratti solo con i Responsabili del trattamento che forniscono garanzie adeguate di sicurezza e riservatezza; − concludere accordi con altri titolari in caso di contitolarità per disciplinare i rispettivi obblighi e doveri; − trasferire dati personali, verso altri paesi dell'UE, verso paesi non appartenenti all'UE o organizzazioni internazionali solo se sono rispettate le condizioni del GDPR; − cooperante con il Garante per la protezione dei dati personali. Infine, il titolare del trattamento deve fornire alle persone interessate informazioni chiare e accessibili sul trattamento, rispettare e garantire i diritti delle persone interessate.
  • 5. Quali sono i doveri del Responsabile del trattamento Per conformarsi al Regolamento UE 2016/679 i Responsabili del trattamento devono: − trattare i dati personali solo su istruzioni documentate del titolare del trattamento, a meno che ciò non sia richiesto dal diritto dell'UE o degli Stati membri; − trattare i dati personali come stabilito in un contratto o un altro atto giuridico vincolante e che stabilisce i presupposti necessari per svolgere tale compito; − NON trattare ulteriormente i dati per altri scopi incompatibili; − assistere il titolare del trattamento per garantire i diritti degli interessati e di adempiere agli obblighi normativi previsti dal GDPR; − notificare qualsiasi richiesta giuridicamente vincolante di divulgazione dei dati personali trattati per conto del titolare del trattamento e dare accesso ai dati solo previa autorizzazione scritta del titolare del trattamento; − esternalizzare/subappaltare a sub-referenti le attività di trattamento SOLO con la preventiva autorizzazione scritta del titolare del trattamento; − informare successivamente il titolare del trattamento di eventuali variazioni sui contratti stipulati con i sub-referenti, dando al medesimo la possibilità di opporsi alle modifiche; trasmettere gli stessi obblighi contrattuali a eventuali subappaltatori; − tenere un registro delle attività di trattamento svolte per conto del titolare del trattamento; − adottare adeguate misure di sicurezza per proteggere i dati personali; − informare senza indebito ritardo il Titolare del trattamento della violazione dei dati; − cooperare, su richiesta, con il Garante per la protezione dei dati personali nell'esecuzione dei suoi compiti.
  • 6. SIETE UN RESPONSABILE, UN TITOLARE DEL TRATTAMENTO O UN CONTITOLARE? Questo diagramma di flusso riguarda le situazioni in cui l'attribuzione dei ruoli di Responsabile e/o di Titolare del trattamento non è stata stabilita espressamente in una norma o regolamento ! Determinate finalità e mezzi essenziali del trattamento, in base ad una specifica competenza giuridica? Determinate finalità e mezzi essenziali del trattamento, in base ad una competenza implicita? Determinate alcune delle finalità e dei mezzi essenziali del trattamento in pratica? SIETE UN RESPONSABILE DEL TRATTAMENTO SIETE UN TITOLARE DEL TRATTAMENTO Quale potrebbe essere il rapporto tra voi (A) e un altro soggetto terzo (B)? NO NO NO SI SI SI Determinate congiuntamente le finalità e i mezzi essenziali per le operazioni di trattamento con B. Voi e B siete Contitolari Stabilite insieme con B alcune finalità e mezzi essenziali, mentre altri sono determinati separatamente Siete Contitolari con B per le sole parti determinate congiuntamente nelle operazioni di trattamento. Voi e B determinate separatamente le finalità e i mezzi essenziali dell trattamento di B èTitolare per i propri mezzi e finalità, ma Responsabile del trattamento se effettua operazioni per voi. Solo voi determinate le finalità e i mezzi essenziali del trattamento Siete un Titolare, B è il Responsabile del Trattamento 1 2 3 4 A+B A B A B A SIETE COINVOLTI IN UN'OPERAZIONE DI TRATTAMENTO CON UNA O PIÙ TERZE PARTI: SIETE UN RESPONSABILE, UN TITOLARE O UN CONTITOLARE? Siete coinvolti in un'operazione di trattamento con una o più terze parti: Siete un Responsabile, un Titolare o un Contitolare?
  • 7. Che cosa è richiesto in un contratto o da altro atto giuridico di nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR? I Titolari del trattamento possono chiedere a un soggetto terzo di trattare dati personali per loro conto. Il trattamento esternalizzato riguarda quindi dati personali prodotti ed elaborati così come previsto nel contratto/altro atto giuridico, non i dati del contraente o del suo personale. Il trattamento dei dati da parte di un Responsabile richiede un contratto o un altro atto giuridico vincolante ai sensi del diritto dell'UE o degli Stati membri, che disciplini: − finalità, durata, natura e portata del trattamento; − tipo di dati personali e le categorie di interessati; − periodo di conservazione dei dati; − ubicazione dei dati e accesso ai dati (sulla base di una valutazione preliminare dei rischi può essere limitato o meno al SEE); − destinatari dei dati e trasferimenti di dati; − misure di sicurezza (che garantiscano almeno lo stesso livello di sicurezza dei dati personali assicurato dal titolare del trattamento); − che il responsabile del trattamento può agire solo su istruzioni documentate del titolare del trattamento, a meno che ciò non sia richiesto dalla legislazione dell'UE o degli Stati membri Deve contenere istruzioni anche sul trasferimento di dati personali e sull’assistenza al titolare del trattamento; − eventuali leggi aggiuntive sulla protezione dei dati (ad es. direttiva e-privacy, direttiva NSI) - se applicabili; − il ricorso a sub-responsabili solo con precedente autorizzazione scritta del controllore e le comunicazioni di eventuali modifiche in debito anticipo; − le misure di riservatezza e l'accesso ai dati solo alle persone autorizzate sulla base della necessità di conoscere; − i diritti di controllo del titolare del trattamento sui responsabili del trattamento e sui sub- responsabili; − la cooperazione, su richiesta, con il Garante per la protezione dei dati personali nell'esecuzione dei suoi compiti; − la divisione dei compiti tra contitolari - se del caso - in modo che il Responsabile sappia come assistere il singolo contitolare; − l’assistenza per le richieste di diritti dell'interessato; − l’assistenza nell’adempimento degli obblighi del titolare del trattamento (notifica della violazione della sicurezza e dei dati, valutazione dell'impatto sulla protezione dei dati e consultazione preventiva, riservatezza delle comunicazioni elettroniche, ecc.) e tenuta del registro delle attività di trattamento per conto del titolare del trattamento, − l’assistenza in caso di violazione dei dati; − la scelta da parte del titolare del trattamento di farsi restituire o far cancellare i dati dal Responsabile al termine del trattamento; − l'obbligo di informare il Titolare se le sue istruzioni violano il GDPR o altre disposizioni dell'UE o dello Stato membro in materia di protezione dei dati; − i motivi di risoluzione in caso di grave inadempienza del responsabile del trattamento, responsabilità, ecc.;
  • 8. − altre disposizioni eventualmente applicabili che riguardano la protezione dei dati (ad esempio la legge e la giurisdizione applicabili in caso di Responsabili del trattamento esteri, ecc.).
  • 9. Domande da porsi prima di intraprendere operazioni di trattamento di dati personali. ALCUNE DOMANDE DA PORSI NELLE OPERAZIONI DI TRATTAMENTO PER GARANTIRE I PRINCIPI DI CUI ALL’ARTICOLO 5 DEL GDPR Trasparenza delle informazioni − Come informerete le persone dei vostri trattamenti? − Come vi assicurate che le informazioni raggiungano le persone interessate? − Avete fornito tutte le informazioni necessarie? Sono facilmente comprensibili? − Il linguaggio utilizzato per fornire informazioni è adatto per la tipologia di interessati? (ad esempio i bambini, ecc.) − Nel caso in cui si rinvia il momento per fornire le informazioni, qual è la vostra giustificazione? Correttezza − Che cosa si aspettano le persone dalle attività di trattamento dati, anche se non leggono le informazioni fornite loro? − In caso di affidamento sul consenso, esso è davvero libero? Come si fa a documentare che le persone lo hanno dato? Come possono revocare il loro consenso? − Il trattamento dei dati potrebbe generare effetti negativi sugli interessati? − Il trattamento dei dati potrebbe condurre a discriminazioni degli interessati? − È facile per le persone esercitare i loro diritti di accesso, rettifica, ecc? Limitazione delle finalità − Avete identificato tutte le finalità del trattamento dei dati? − Tutte le finalità sono compatibili con quella iniziale? − C'è il rischio che i dati possano essere riutilizzati per altri scopi? − Come si può garantire che i dati vengono utilizzati solo per le loro finalità definite? − Se si desidera rendere disponibili/riutilizzare i dati per la ricerca scientifica, a fini statistici o storici, quali garanzie si applicano per proteggere gli individui interessati? Minimizzazione dei dati − I dati sono di qualità sufficiente per la finalità perseguite? − I dati raccolti misurano ciò che si intende determinare? − Ci sono alcune tipologie di dati che potrebbero essere rimossi senza compromettere lo scopo del processo? − Nei moduli utilizzati nei trattamenti sono distinti chiaramente gli elementi obbligatori da quelli opzionali? − Nel caso in cui si desideri conservare le informazioni a fini statistici, come si gestisce il rischio di re-identificazione?
  • 10. Esattezza − Quali potrebbero essere le conseguenze per le persone interessate agendo su informazioni inesatte durante le operazioni di trattamento? − Come si fa a garantire che i dati che si raccolgono siano esatti? − Come garantire che i dati ottenuti da terze parti siano esatti? − Gli strumenti utilizzati nelle operazioni di trattamento consentono aggiornamenti/correzioni dei dati laddove necessario? − Gli strumenti utilizzati nelle operazioni di trattamento consentono controlli di coerenza? Limitazione della conservazione − Esiste una norma che definisce i periodi di conservazione per i dati oggetto del trattamento? − Per quanto tempo è necessario conservare i dati? Per quale finalità? − Potete distinguere periodi di archiviazione per le diverse tipologie dei dati? − Se non è ancora possibile eliminare i dati, è possibile limitare l'accesso ad essi? − Gli strumenti utilizzati per conservare i dati consentono la cancellazione automatica alla fine del periodo di archiviazione? Sicurezza − Disponete di una procedura per l'identificazione, l'analisi e la valutazione dei rischi per la sicurezza delle informazioni che potrebbero riguardare i dati personali e i sistemi informatici a supporto del loro trattamento? − Avete tenuto conto dell'impatto delle operazioni di trattamento sui diritti, le libertà e gli interessi fondamentali delle persone e non solo i rischi per l'organizzazione? − Prendete in considerazione la natura, la portata, il contesto e le finalità del trattamento al momento della valutazione dei rischi? − Gestite le vulnerabilità di sistema e le minacce per i vostri dati e sistemi? − Avete risorse o personale con ruoli assegnati per eseguire delle valutazioni del rischio? ALTRE DOMANDE UTILI DA PORSI Quali fattori devo tenere in considerazione in sede di pubblicazione dei dati personali − Sono obbligato a pubblicare? Posso pubblicare? (Base giuridica) − Cosa posso pubblicare? (Minimizzazione dei dati) − Come faccio a informare gli individui interessati? (Informazioni) − Come mi assicuro che i dati sono corretti? (Accuratezza) Perché informare le persone sul trattamento dei dati? In modo che possano:
  • 11. − capire quali dei loro dati sono trattati e come; − verificare la qualità dei propri dati; − esercitare gli altri diritti di in materia di protezione dei dati (accesso, rettifica, cancellazione, limitazione del trattamento, notifica di rettifica, limitazione del trattamento, portabilità dei dati, opposizione, non essere oggetto di una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione). In sintesi alcuni consigli ➢ Pensate a cosa dovete fare per soddisfare le vostre finalità e limitatevi ai trattamenti necessari per raggiungerle. ➢ Definite quello che fate e documentatelo. ➢ Informate le persone e rispettate i loro diritti in materia di protezione dati