Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.

2. Convegno su
«Privacy e protezione del dato Gli
adempimenti del nuovo Regolamento
UE 679/2016»
Lecce, 3 marzo 2017
L’impatto delle novità contenute nel
Regolamento 679/2016
Avv. Andrea Lisi

3. www.anorc.it

4. www.anorc.it
Un po’ di storia personale… 

5. www.anorc.it
Una premessa come necessaria chiave
interpretativa:
Come eravamo e chi siamo oggi
nel «Far Web»?

6. www.anorc.it

7. www.anorc.it
Dove sono i video che vediamo?

8. www.anorc.it

9. www.anorc.it

10. www.anorc.it

11. www.anorc.it
C’è davvero una differenza generazionale nell’utilizzo diffuso del web?

12. www.anorc.it
era impossibile immaginarlo solo qualche anno fa…

13. www.anorc.it
eppure…

14. www.anorc.it
Per vivere il nostro tempo è necessario adattarsi al digitale

15. www.anorc.it
Il digitale permea ogni ambito della nostra vita. La progressiva
dematerializzazione di tutti gli atti, quindi documenti e contratti che ci
riguardano è una strada già intrapresa da cui sarà impossibile tornare
indietro.
La digitalizzazione è dunque un processo inevitabile, porta con
sé qualsiasi ambito documentale e la normativa ormai abbraccia in
modo sempre più convinto il principio del «digital first», (che comporta il
superamento delle scomode ed equivoche commistioni con il mondo
analogico). E ovviamente i nostri dati personali sono trattati in modo
diffuso… e spesso a nostra insaputa!

16. www.anorc.it

17. www.anorc.it

18. www.anorc.it

19. www.anorc.it
Voi da che parte volete stare?
Volete ignorare questa realtà ed esserne vittime …o invece volete
cavalcarla, come fa Yoox?
La normativa sulla «privacy» non impedisce di trattare i dati e profilare, ma
semplicemente definisce le regole per farlo.

20. www.anorc.it
LEGGI NAZIONALI
STANDARD TECNICI
E LINEE GUIDA
PROVVEDIMENTI
GARANTE
Provvedimenti
Ag. Italia Digitale
USI E PRASSI
(ANCHE
GIURISPRUDENZIALI)
LEGISLAZIONE
EUROPEA
E
INTERNAZIONALE
Le fonti giuridiche della
digitalizzazione documentale
e privacy:

21. www.anorc.it
Gli ultimissimi aggiornamenti che ci riguardano
Codice dell'amministrazione digitale (D.Lgs. 82/2005)
e Codice per la protezione dei dati personali (D. Lgs. 196/2003)
Nuove Regole Tecniche e
provvedimenti Agid e
Garante privacy
Regolamento eIDAS (electronic IDentification Authentication and
Signature): Regolamento (UE) N. 910/2014 del PARLAMENTO EUROPEO
e del CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica
e servizi fiduciari per le transazioni elettroniche nel mercato interno e che
abroga la direttiva 1999/93/CE
Regolamento GDPR (General Data Protection Regulation): Regolamento
(UE) N. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile
2016, relativo alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali, nonché alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE

22. I principi ispiratori dei due Regolamenti
Regolamento eIDAS:
(1) Instaurare la fiducia negli ambienti online è fondamentale per lo sviluppo economico e sociale. La
mancanza di fiducia, dovuta in particolare a una percepita assenza di certezza giuridica, scoraggia i
consumatori, le imprese e le autorità pubbliche dall’effettuare transazioni per via elettronica e
dall’adottare nuovi servizi.
(2) Il presente regolamento mira a rafforzare la fiducia nelle transazioni elettroniche nel mercato
interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità
pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché
dell’eBusiness e del commercio elettronico, nell’Unione europea.
Regolamento GDPR:
(1) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un
diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'Unione europea
(«Carta») e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'Unione europea («TFUE»)
stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la
riguardano.
(6) La rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la
protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è
aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle
autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro
attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale
informazioni personali che li riguardano. La tecnologia ha trasformato l'economia e le relazioni sociali
e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all'interno dell'Unione e il loro
trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato
livello di protezione dei dati personali.
(7) Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati
nell'Unione, affiancato da efficaci misure di attuazione, data l'importanza di creare il clima di fiducia
che consentirà lo sviluppo dell'economia digitale in tutto il mercato interno.

23. www.anorc.it
…ma nel mondo digitale c’è ancora reale
differenza tra dato, informazione e
documento?
E gli archivi sono destinati a scomparire?

24. www.anorc.it
Conservazione sostitutiva
E-mail e PEC Flusso di dati
Sistema Documentale Portale info-documentale
Document Management: le tappe dello sviluppo
1990-2000 2001-2010 2011-…..
Documento fisico Documento digitale Informazione documentata?
Archiviazione ottica Conservazione digitale
Firma autografa e digitale Firma elettronica Identità digitali
Supporto cartaceo
ERP+Repository
Documento
Archiviazione
Firma
Distribuzione
Sistemi
con il «nuovo» CAD è
cambiato qualcosa?
 Cloud
 Smart working
 condivisione
Processi digitali

25. www.anorc.it
Dato (dal latino datum che significa letteralmente fatto) ciò che è conosciuto o accertato, specialmente
in quanto può servire di base per successivi calcoli o ragionamenti (i dati di un
problema; dati statistici). In informatica ogni informazione che possa essere trattata
da un computer: elaborazione elettronica dei dati (Dizionario Garzanti).
Dati di identificazione personale: un insieme di dati che consente di stabilire l’identità di una
persona fisica o giuridica o un’unica persona fisica che rappresenta una persona
giuridica (Reg. eIDAS)
Dato personale: qualunque informazione relativa a persona fisica, identificata o identificabile, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un
numero di identificazione personale (Codice privacy)
Dato identificativo: i dati personali che permettono l'identificazione diretta dell'interessato (Codice
privacy)
Dato delle pubbliche amministrazioni: il dato formato, o comunque trattato da una pubblica
amministrazione (Codice Amministrazione Digitale).
Base di dati: collezione di dati registrati e correlati tra loro (Regole Tecniche – All. 1)
Cosa è un dato?
In realtà, facciamo riferimento a un «dato informativo», perché a voler essere precisi il dato è la
più piccola unità significativa dell’informazione non ancora elaborata, mentre l’informazione è
un insieme di dati aggregati a scopo di comunicazione attraverso lo spazio o il tempo .

26. www.anorc.it
DATI PERSONALI
qualsiasi informazione riguardante una persona fisica
identificata o identificabile ("interessato"); si considera
identificabile la persona fisica che può essere identificata,
direttamente o indirettamente, con particolare riferimento a
un identificativo come il nome, un numero di
identificazione, dati relativi all'ubicazione, un
identificativo online o a uno o più elementi caratteristici
della sua identità fisica, fisiologica, genetica, psichica,
economica, culturale o sociale (Regolamento 679/2016)

27. www.anorc.it
OGGETTO E FINALITÀ
1.Il presente regolamento stabilisce norme relative alla
protezione delle persone fisiche con riguardo al trattamento
dei dati personali, nonché norme relative alla libera
circolazione di tali dati.
2.Il presente regolamento protegge i diritti e le libertà
fondamentali delle persone fisiche, in particolare il diritto alla
protezione dei dati personali.
3.La libera circolazione dei dati personali nell'Unione non può
essere limitata né vietata per motivi attinenti alla protezione
delle persone fisiche con riguardo al trattamento dei dati
personali. (art. 4 Regolamento 679/2016)

28. www.anorc.it
Documento (deriva dal latino Docere, cioè insegnare - documentum : rappresentare, dare prova): in
senso generico si considera l’informazione affissa in un supporto. In senso più proprio
esso è lo scritto che convalida o certifica la realtà di un fatto, di una condizione, di una
situazione, specialmente in ambito burocratico, amministrativo o giuridico (Dizionario
Garzanti)
Documento (in ambito diplomatistico): Testimonianza scritta di un fatto di natura giuridica, compilata con
l'osservanza di determinate forme, le quali sono destinate a procurarle fede e a darle
forza di prova (Cesare Paoli, Diplomatica, Firenze, Le Lettere, 1987, p.18).
Documento (in ambito archivistico) «Tutti i libri, le carte, le mappe, le fotografie o gli altri materiali
documentari, indipendentemente dalla forma o dalle loro caratteristiche, prodotti o
ricevuti da ogni pubblica o privata istituzione, nello svolgimento delle sue funzioni
istituzionali o in connessione con la conduzione dei suoi affari particolari, e conservati,
o degni di essere conservati, dalla stessa istituzione o dal suo successore, come
testimonianza delle sue funzioni, della sua politica, delle decisioni, procedure,
operazioni, o altre attività, o a causa del valore informativo dei dati ivi contenuti»
(Th.R.Schellenberg, Modern Archives:Principles and Techniques, Chicago, Illinois,
Midway, 1975).
Documento (in ambito giuridico): res signata (Natalino Irti, 1969) o anche res rappresentativa di fatti
giuridicamente rilevanti (Francesco Carnelutti, Teoria Moderna, In Novissimo Digesto
Italiano, 1975)
Cosa è un documento?

29. www.anorc.it
Documento informatico non è solo un .pdf o
comunque un’immagine digitalizzata di un
foglio di carta, ma è qualsiasi dato digitale
giuridicamente rilevante e strategico per
l’impresa o la PA: un tracciato EDI, un log file
generato da una transazione commerciale su
un sito web, una comunicazione e-mail,
un’analisi di dati di navigazione, un filmato
digitale etc.
«documento digitale»: testi, immagini, dati strutturati, disegni,
programmi, filmati formati tramite una grandezza fisica che assume
valori binari, ottenuti attraverso un processo di elaborazione
elettronica, di cui sia identificabile l'origine
(art. 1 lett. d) DMEF 23 gennaio 2004 - Modalita' di assolvimento degli obblighi
fiscali relativi ai documenti informatici ed alla loro riproduzione in diversi tipi di
supporto e art. 1 lett. d) deliberazione AIPA 13 dicembre 2011)
“documento informatico: documento elettronico che contiene la
rappresentazione informatica di atti, fatti o dati giuridicamente rilevanti” (C.A.D.,
art. 1, comma 1°, lett. p)
«documento elettronico»: qualsiasi contenuto conservato in forma elettronica,
in particolare testo o registrazione sonora, visiva o audiovisiva (Regolamento
eIDAS - REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E
DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e
servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la
direttiva 1999/93/CE

30. www.anorc.it
Considerando (15) La tutela delle persone fisiche dovrebbe applicarsi sia al trattamento
automatizzato che al trattamento manuale dei dati personali, se i dati sono
contenuti o destinati ad essere contenuti in un archivio.
Articolo 2 (Ambito di applicazione materiale)
1. Il presente regolamento si applica al trattamento interamente o parzialmente
automatizzato di dati personali e al trattamento non automatizzato di dati
personali contenuti in un archivio o destinati a figurarvi.
6) art. 4 (definizioni) comma 1 punto 6) «archivio»: qualsiasi insieme strutturato di dati personali
accessibili secondo criteri determinati, indipendentemente dal fatto che tale
insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o
geografico;
Articolo 20 Diritto alla portabilità dei dati 1.L'interessato ha il diritto di ricevere in un formato
strutturato, di uso comune e leggibile da dispositivo automatico i dati personali
che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere
tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare
del trattamento cui li ha forniti […] …e ha anche il diritto di conoscere sempre il
periodo di conservazione dei dati che lo riguardano (Articolo 13 comma 2)
Per «archivio» si intende il complesso dei documenti prodotti durante lo svolgimento della propria
attività (pratica, giuridica, amministrativa) o l’esercizio delle proprie funzioni.
Dati, documenti, archivi nel Reg. 679/2016

31. www.anorc.it
C’è davvero oggi differenza giuridica e sostanziale tra un Registro IVA
o un Libro Giornale che contengono i dati contabili aggiornati
dell’impresa oppure un Registro di Log di un portale di e-commerce dal
quale si evincono i dati aggiornati e profilati sui gusti e le abitudini dei
clienti on line?

32. www.anorc.it
Oggi qualsiasi impresa non può NON interessarsi di
proteggere i propri dati giuridicamente rilevanti in
un’organizzazione complessa e coerente con quanto la
normativa prevede in materia di digitalizzazione e privacy

33. www.anorc.it
Strumenti di «smart working» e protezione dei dati 4.0
i principi della «privacy» vanno declinati e rispettati anche (e
soprattutto) nel mondo digitale attraverso relazioni trasparenti e
documentate all’interno dell’impresa o della PA:
• utilizzo pc, tablet, smartphone in
azienda e nella PA
• sito web aziendale e aree riservate
• corrispondenza elettronica
• uso social network
• utilizzo web cam e telecamere
• utilizzo strumenti informatici (es. id e
pw, firma digitale e pec, SPID)
• etc
Non c’è digitalizzazione senza protezione del dato personale!

34. www.anorc.it
Il Regolamento GDPR:
- abroga la vecchia direttiva 95/46/CE, recepita nei
vari Stati membri e anche nel nostro
ordinamento con il d.lgs. 196 del 2003 (Codice
Privacy)
- non semplifica l’attuale disciplina né riduce gli
oneri a carico dei titolari del trattamento, al
contrario introduce nuovi adempimenti e
differenti modelli organizzativi in un’ottica più
sostanziale e meno formale
- Esecutività (Regolamento): 2 anni da entrata in
vigore (= 25 maggio 2018)
34

35. www.anorc.it
Previsione di un margine di flessibilità lasciato agli Stati Membri
per alcune tipologie di trattamento:
- gli Stati Membri sono autorizzati a introdurre o mantenere disposizioni di
diritto nazionale che consentano di “adattare” quelle contenute nel
Regolamento. Tale rinvio espresso al legislatore nazionale è accompagnato
da un elenco dei requisiti sostanziali che le misure legislative nazionali
adottate o mantenute in questi settori devono presentare (dati sensibili,
giornalismo, lavoro, ricerca scientifica, statistica, storica, archivi);
- Il Regolamento fa rinvio al legislatore nazionale anche con riguardo a
ulteriori tipologie di trattamento (in particolare in ambito sanitario, ma
anche rispetto ai trattamenti di dati genetici o biometrici - “condizioni o
limitazioni ulteriori” - ai criteri di nomina di un DPO, alla possibilità di
richiedere autorizzazioni da parte dell’Autorità di controllo per taluni
trattamenti, alle norme che devono disciplinare istituzione e componenti
delle Autorità di controllo, alla possibile previsione di sanzioni, anche
penali, ulteriori rispetto a quelle contenute nel Regolamento, ecc.).

36. www.anorc.it
Considerando n. 8): Ove il presente regolamento preveda
specificazioni o limitazioni delle sue norme ad opera del diritto degli
Stati membri, gli Stati membri possono, nella misura necessaria per
la coerenza e per rendere le disposizioni nazionali comprensibili alle
persone cui si applicano, integrare elementi del presente regolamento
nel proprio diritto nazionale.
Considerando n. 10): Il presente regolamento prevede anche un
margine di manovra degli Stati membri per precisarne le norme,
anche con riguardo al trattamento di categorie particolari di dati
personali («dati sensibili»).
Considerando n. 19): …gli Stati membri dovrebbero poter mantenere
o introdurre disposizioni più specifiche per adattare l'applicazione
delle disposizioni del presente regolamento.

37. www.anorc.it
 adempimenti generali: trasparenza
(informativa e consenso)
 adempimenti speciali: comunicazione
(notificazione al Garante e interpello ex art. 17)
 adempimenti organizzativi: organizzazione
(formalizzazione incarichi e misure di sicurezza…DPS?)
tutto questo si traduce con …..
NEL D.LGS. 196/2003 (CODICE PRIVACY):

38. www.anorc.it
 adempimenti generali: trasparenza
(informativa, consenso, diritto di accesso)
 adempimenti speciali: consultazione preventiva e PIA
 adempimenti organizzativi: organizzazione
(formalizzazione rapporti tra titolari e contitolari, titolari e
responsabili, responsabili e incaricati, incarico DPO,
formazione/istruzioni e misure di sicurezza…Registro dei
trattamenti, Analisi dei Rischi… e PIA)
NEL REGOLAMENTO PRIVACY UE:

39. www.anorc.it
Regolamento UE n. 2016/679:
 Diritti interessati: Trattamenti ulteriori,
limitazione, portabilità, «oblio»
 Obblighi titolari: Approccio basato sulla
valutazione del rischio («privacy by design»,
nomina DPO, valutazione di impatto, notifica
«data breach», trasferimento dati in Paesi extra
UE, certificazione…) + «Accountability»
 Ruolo Autorità: Sportello unico e meccanismo di
coerenza (il Board), Sistema sanzionatorio
39

40. www.anorc.it
Il titolare del trattamento deve essere in grado di
dimostrare che ha adottato un processo complessivo di
misure giuridiche, organizzative, tecniche, per la
protezione dei dati personali, anche attraverso
l’elaborazione di specifici modelli organizzativi, analoghi
a quelli utilizzati nell’applicazione del d. lgs. 231/2001.
Aziende e PA devono sviluppare e dotarsi di strumenti
che possano essere utilizzati per valutare lo stato della
propria accountability e per dimostrarlo all’Autorità
Garante.

41. www.anorc.it
Altre NOVITA’:
- eliminazione obbligo di notificazione dei trattamenti
(sostituita dall’obbligo di tenuta di idonea documentazione
anche in forma digitale);
- sostituzione della «Verifica preliminare» (ex art. 17 D.Lgs.
196/2003) con l’obbligo di «Consultazione preventiva» (ex
art. 34 del Regolamento)
- potenziamento ricorso a codici deontologici e
certificazione (utilizzabili anche ai fini di trasferimenti di dati in
Paesi terzi)

42. www.anorc.it
Punti principali del nuovo Regolamento UE
 Adeguamento delle misure di sicurezza al nuovo contesto: nuove
tecnologie ed evoluzione del cyber crime
 Enfatizzati i principi della vecchia direttiva 95/46/CE
 Richiesto un approccio sistemico alla sicurezza e alla protezione del
dato
 Richiamo all‘approccio basato sul rischio (Risk Analisys) e
Accountability (misure di sicurezza, PIA)
 Richiesta l’efficacia e l’adozione preventiva delle misure (sostanza vs
forma) e l‘adozione di un Modello di Data Protection Management
System
 Richiesta la rilevazione e la denuncia delle violazioni alla sicurezza
 Ricorso alla Certificazione come strumento per la compliance e
promossa l’adozione di Codici di Condotta

43. www.anorc.it
Si passa da un approccio “formalmente regolare” ad un
approccio “effettivamente conforme”
1) non più “privacy”, ma tutela del dato;
2) si passa a un sistema incentrato sulla preventiva adozione e
implementazione di specifiche garanzie e meccanismi di protezione più
efficaci;
3) si passa dalla forma alla sostanza (viene meno l’approccio
formalistico/autorizzatorio);
4) sarà necessario un equo bilanciamento tra “protezione degli individui” e
“libera circolazione delle informazioni”;
5) nei contratti bisogna inserire clausole “reali” e non più di stile (disciplina
contitolarità e rapporti contrattuali fra titolare e responsabile);
6) necessità introdurre audit nel rispetto del principio di proporzionalità
(anche mediante enti esterni);
7) Modello di Data Protection Compliance.

44. www.anorc.it
i principi fondamentali
TRATTAMENTO DEI DATI
PERSONALI NEL REGOLAMENTO:
Qualità (liceità, equità, trasparenza, esattezza,
integrità e riservatezza - art. 5)
Liceità (art. 6)
Consenso (art. 7)
Dati sensibili…(artt. 9 e 10)
Principio di minimizzazione (art.11)
Il Titolare del trattamento è competente per il rispetto dei
principi ed ha l’onere di comprovarlo ("responsabilità")

45. www.anorc.it
I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l’utilizzazione di dati
personali e di dati identificativi, in modo da escluderne il
trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati
anonimi od opportune modalità che permettano di
identificare l’interessato solo in caso di necessità.
(statistiche web, archivi con numeri anziché nomi,
eliminazioni dei dati non necessari dai vari software...)
Art. 3 Principio di necessità nel
trattamento dei dati (D.Lgs. 196/2003)

46. www.anorc.it
Articolo 25 - Protezione dei dati fin dalla progettazione e protezione di default
1. Tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e delle finalità del trattamento, come
anche dei rischi avente probabilità e gravità diverse per i diritti e le libertà delle
persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del
trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in
atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte
ad attuare in modo efficace i principi di protezione dei dati, quali la
minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di
soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
2. Il titolare del trattamento mette in atto misure tecniche e organizzative
adeguate per garantire che siano trattati, per impostazione predefinita (di
default), solo i dati personali necessari per ogni specifica finalità del trattamento.
Tale obbligo vale per la quantità dei dati raccolti, la portata del trattamento, il
periodo di conservazione e l'accessibilità. In particolare dette misure
garantiscono che, per impostazione predefinita, non siano resi accessibili dati
personali a un numero indefinito di persone fisiche senza l'intervento della
persona fisica.

47. www.anorc.it
Viene ridisegnato l’organigramma privacy, con l’introduzione di
nuove figure soggettive e l’attribuzione di nuovi compiti e
responsabilità:
• Titolare del trattamento (data controller);
• Contitolare (joint controller);
• Responsabile del trattamento (data processor);
• Sub-responsabile (subprocessor);
• Responsabile della protezione dei dati o Data Protection
Officer (DPO).
I RUOLI e LE RESPONSABILITA’:

48. www.anorc.it
Il Regolamento Europeo: il Titolare
Tenuto conto della natura, del campo di applicazione, del contesto e delle
finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i
diritti e le libertà delle persone fisiche
Art. 24
Il titolare del trattamento mette in atto misure
tecniche e organizzative
(riesaminate/aggiornate se necessario) adeguate
per garantire ed essere in grado di dimostrare
che il trattamento dei dati personali è effettuato
conformemente al Regolamento.
Conserva la
documentazione e un
registro delle attività
di trattamento
mette in atto
meccanismi per
assicurare la verifica
dell’efficacia delle
misure
Attua i requisiti di
sicurezza dei dati
nomina il DPO
esegue la valutazione d’impatto
sulla protezione dei dati
(e chiede un parere al DPO)
nomina i Responsabili e fornisce
istruzioni ai dipendenti
Politiche adeguate in
materia di protezione dei
dati da parte del titolare
del trattamento
48

49. www.anorc.it
E i vecchi Incaricati del d.lgs. 196/2003?
Trattamento sotto l'autorità del titolare del trattamento e del
responsabile del trattamento (art. 29 del nuovo Regolamento)
Il responsabile del trattamento, o chiunque agisca sotto la sua
autorità o sotto quella del titolare del trattamento, che abbia
accesso a dati personali non può trattare tali dati se non è istruito in
tal senso dal titolare del trattamento, salvo che lo richieda il diritto
dell’Unione o degli Stati membri.
ATTENZIONE: i titolari e i responsabili del trattamento hanno l’obbligo di
formazione e istruzione nei confronti dei soggetti (persone fisiche) che trattano
dati personali (denominati anche quali “le persone autorizzate al trattamento
dei dati personali” ovvero “personale che partecipa ai trattamenti”)

50. www.anorc.it
TITOLARE
RESPONSABILE DELLA
SICUREZZA E
RESPONSABILE DEI
SISTEMI INFORMATIVI
RESPONSABILE
TRATTAMENTO
RESPONSABILE
DELLA
CONSERVAZIONE
PIANO DI SICUREZZA
INFORMATICA
REGISTRO, CONTRATTI,
DELEGHE E
REGOLAMENTI INTERNI
MANUALE DELLA
CONSERVAZIONE
SOGGETTI
AUTORIZZATI
SOGGETTI
AUTORIZZATI
SOGGETTI
AUTORIZZATI
RESPONSABILE DEI
FLUSSI DOCUMENTALI
MANUALE DELLA
GESTIONE DEI FLUSSI
DOCUMENTALI
SOGGETTI
AUTORIZZATI
In strutture complesse gerarchia
di responsabili a più livelli
Solo
PA
L'organizzazione aziendale 2.0
La Governance del patrimonio informativo di una società o una PA:
Compliance normativa nella Società dell’Informazione
Responsabilità penale d’impresa
CDO DPO

51. www.anorc.it
E il marketing? E la profilazione?
Articolo 21 Diritto di opposizione
1. L'interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla
sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi
dell'articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali
disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati
personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al
trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato
oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
2. Qualora i dati personali siano trattati per finalità di marketing diretto, l'interessato
ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo
riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia
connessa a tale marketing diretto.
3. Qualora l'interessato si opponga al trattamento per finalità di marketing diretto, i dati
personali non sono più oggetto di trattamento per tali finalità.
4. Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all'attenzione
dell'interessato ed è presentato chiaramente e separatamente da qualsiasi altra
informazione al più tardi al momento della prima comunicazione con l'interessato.
51

52. www.anorc.it
Per concludere, in questo Regolamento
679/2016 (tutto da studiare con attenzione), ci
sono pochi divieti, ma tantissima
responsabilizzazione…e un bel po’ di sanzioni
con le quali fare conti!
52

53. www.anorc.it
https://www.linkedin.com/company/anorc
https://www.facebook.com/Anorc/
https://twitter.com/_Anorc
andrealisi@studiolegalelisi.it

54. www.anorc.it
Per maggiori informazioni e richiedere le modalità
di adesione ad ANORC ecco i nostri contatti:
c/o D&L Department srl
via Mario Stampacchia, 21
73100 Lecce
Tel e Fax: 0832 25.60.65
Cell: 3277027035
Ufficio di Presidenza: ufficio.presidenza@anorc.it
Segreteria: segreteria@anorc.it
Direzione: direzione@anorc.it
Comunicazione: comunicazione@anorc.it
Pec: anorc@pec.it