Compliance in materia di

protezione dati personali

GDPR - 679/2016

Prof. Sergio Foà

1
 GDPR: oggetto e finalità

-Il presente regolamento stabilisce norme relative alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla
libera circolazione di tali dati.

Il presente regolamento protegge i diritti e le libertà fondamentali delle persone

fisiche, in particolare il diritto alla protezione dei dati personali.

La libera circolazione dei dati personali nell'Unione non può essere limitata né
vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali.

(art.1)

2
 Novità: Formazione

Articolo 29 Trattamento sotto l'autorità del titolare del

trattamento o del responsabile del trattamento

Il responsabile del trattamento, o chiunque agisca sotto la sua

autorità o sotto quella del titolare del trattamento, che abbia
accesso a dati personali non può trattare tali dati se non è
istruito in tal senso dal titolare del trattamento, salvo che
lo richieda il diritto dell'Unione o degli Stati membri

Nel caso di mancata formazione: sanzione amministrativa prevista da art.

83 del regolamento
 I principali impatti del Regolamento

1. Nuove informazioni
5. Segnalazione Data
Breach
2. Accountability, organigramma e
sistema di gestione privacy
6. Nuovi requisiti
per i fornitori
3. Registri dei trattamenti
Analisi e valutazione del rischio

7. Audit
3. Nomina di un
Responsabile per la protezione dei dati personali
8. Sanzioni

•Cronoprogramma- gap analisys - audit

 Accountability (a)
Il regolamento pone con forza l'accento sulla "responsabilizzazione"
(accountability nell'accezione inglese) di titolari e responsabili –
ossia, sull'adozione di comportamenti proattivi e tali da dimostrare
la concreta adozione di misure finalizzate ad assicurare
l'applicazione del regolamento. Si tratta di una grande novità per la
protezione dei dati in quanto viene affidato ai titolari il compito di
decidere autonomamente le modalità, le garanzie e i limiti del
trattamento dei dati personali – nel rispetto delle disposizioni
normative e alla luce di alcuni criteri specifici indicati nel
regolamento. adozione di comportamenti proattivi e tali da
dimostrare la concreta attuazione delle misure finalizzate
all’applicazione del regolamento
(si vedano artt. 23-25, in particolare, e l'intero Capo IV del
regolamento)
5
 Accountability (b)
Obbligo di rendicontare, responsabilizzazione delle organizzazione
(imprese e p.a.)

Cambiamento di approccio culturale e organizzativo

Finalità: creare un nuovo rapporto di fiducia e di trasparenza dei

cittadini/consumatori nell'ottica dello sviluppo dell'economia digitale in
tutto il mercato europeo (armonizzazione)

Riferimenti: Considerando 60, art. 5 e art. 20 del regolamento europeo

in materia di protezione dei dati personali

Percorso: Conferenza Garanti di Gerusalemme del 2010, Linee guida Ocse

del 2013; parere 3/2010 del Gruppo Garanti articolo 29
6
 Data protection Officer
(in italiano: Responsabile della protezione dei dati)

- Organo di garanzia

- Nomina obbligatoria in determinati casi

- è designato dal Titolare o dal responsabile

- Riferisce al vertice gerarchico

7
 Le “tre anime” del DPO
DPO è una Figura (funzione) nuova, il Garante ne sottolinea
l'unicità e la centralità, indipendenza, autorevolezza, assenza di
conflitti di interesse

-Soggetto che sorveglia sull’osservanza del regolamento; consulente

di alto livello
-Punto di contatto con gli interessati (cittadini, consumatori) a cui si
riferiscono i dati (funzione pubblicistica secondo la dottrina a tutela
dell’intera comunità)
-Punto di contatto con l’autorità Garante privacy nazionale
(preventivo e successivo)

8
 Perimetro dei compiti del DPO

Supervisiona, Informazione e
verifica e consulenza su Sorveglianza
monitora regolamento dell’osservanza del
regolamento

Punto di ATTIVITà PRINCIPALI DEL Fornisce, se

contatto con RESPONSABILE DELLA richiesto un
il Garante PROTEZIONE DEI DATI parere sulle
privacy PERSONALI – DPO/RPD valutazioni
impatto

Punto di Verifica Formazione Adeguatamente

contatto con i policy interne, coinvolto in tutte le
cittadini attribuzione di questioni sulla
interessati responsbailità protezione dati

9
 Trasparenza e DPO

I dati di contatto del DPO devono essere

comunicati, da parte del titolare o del responsabile,
all’autorità di controllo competente

L’informativa privacy deve riportare i riferimenti del

DPO (trasparenza e accountability)

il registro dei trattamenti deve contenere il nome e

i contatti del responsabile della protezione dei dati
personali
10
 Regolamento europeo e settore pubblico (a)

Il Codice Privacy attuale (D.Lgs. 196 del 2003) contiene una sezione dedicata ai trattamenti
di dati effettuati dagli enti pubblici con principi e regole diverse dal settore privato (es.
consenso al trattamento non richiesto nel settore pubblico, salvo l’ambito sanitario e ,
obbligario invece per i trattamenti di dati svolti dai privati)

Il Regolamento privacy europeo non prevede, invece, norme specifiche dedicate al settore
pubblico e privato

Il regolamento europeo (679/2016) si concentra:

- sulle tipologie del trattamento e non sulla natura pubblica o privata del titolare
- sulle condizioni di liceità del trattamento comuni a qualsiasi titolare (articolo 6 del
Regolamento)
tra queste abbiamo: l’esecuzione di compiti di interesse pubblico o l’esercizio di pubblici
poteri (art. 6, comma 1, lett. e)
N.B. ma non tutte le attività del settore pubblico rientra nei compiti es. videosorveglianza di
strutture pubbliche
 Regolamento europeo e settore pubblico (b)

Gli Stati membri possono mantenere o introdurre disposizioni specifiche per adeguare
l'applicazione delle norme del presente regolamento con riguardo al trattamento, in
conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione
requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e
corretto anche per le altre specifiche situazioni di trattamento di cui al capo IX.
Art. 6 , secondo comma

misure di sicurezza
«potranno restare in vigore (in base all'art. 6, paragrafo 2, del regolamento) le misure di sicurezza
attualmente previste attraverso le disposizioni di legge volta per volta applicabili: è il caso, in
particolare, dei trattamenti di dati sensibili svolti dai soggetti pubblici per finalità di rilevante interesse
pubblico nel rispetto degli specifici regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi ultimi
contengano disposizioni in materia di sicurezza dei trattamenti»
v. Guida applicativa del Garante
 P.a.: il consenso?

• I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati
personali (si vedano considerando 43, art. 9, altre disposizioni del Codice: artt. 18, 20).

• Il legislatore nazionale può precisare:

- condizioni generali
- stabilire se il titolare debba essere una PA o possa essere un’altra persona fisica o
giuridica di diritto pubblico o anche di diritto privato (considerando 45)

13
 Novità del decreto di armonizzazione (d.lgs.
101/2018) (a)
«Capo II (Principi) - Art. 2-ter (Base giuridica per il trattamento di dati personali effettuato
per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici
poteri). - 1. La base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del
regolamento e' costituita esclusivamente da una norma di legge o, nei casi previsti dalla
legge, di regolamento.
2. La comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli
ricompresi nelle particolari categorie di cui all'articolo 9 del Regolamento e di quelli relativi
a condanne penali e reati di cui all'articolo 10 del Regolamento, per l'esecuzione di un
compito di interesse pubblico o connesso all'esercizio di pubblici poteri e' ammessa se
prevista ai sensi del comma 1. In mancanza di tale norma, la comunicazione e' ammessa
quando e' comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo
svolgimento di funzioni istituzionali e puo' essere iniziata se e' decorso il termine di
quarantacinque giorni dalla relativa comunicazione al Garante, senza che lo stesso abbia
adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati.
3. La diffusione e la comunicazione di dati personali, trattati per l'esecuzione di un compito
di interesse pubblico o connesso all'esercizio di pubblici poteri, a soggetti che intendono
trattarli per altre finalita' sono ammesse unicamente se previste ai sensi del comma 1.
 Novità del decreto di armonizzazione (b)

a) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti

determinati diversi dall'interessato, dal rappresentante del titolare nel
territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel
territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo
2-quaterdecies, al trattamento dei dati personali sotto l'autorita' diretta del
titolare o del responsabile, in qualunque forma, anche mediante la loro messa
a disposizione, consultazione o mediante interconnessione;

b) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati,

in qualunque forma, anche mediante la loro messa a disposizione o
consultazione.
«
 Gli interessati

• I soggetti, le persone fisiche a cui si riferiscono i dati

(es. dipendenti, allievi, visitatori del sito web, collaboratori, candidati.. Etc.)

• Informativa e diritti degli interessati

16
 Centralità dei diritti dell’interessato

 Il regolamento specifica che «un’efficace protezione dei dati

personali in tutta l’Unione presuppone il rafforzamento e la
disciplina dettagliata dei diritti degli interessati
e degli obblighi di coloro che effettuano e determinano il
trattamento dei dati personali, nonché poteri equivalenti per
controllare e assicurare il rispetto delle norme di protezione dei
dati personali e sanzioni equivalenti per le violazioni degli Stati
membri» ( consid.11)

17
 Diritti degli Interessati (a)
 diritto di accesso (art. 15)
 diritto di rettifica (art.16)
 diritto di cancellazione “diritto di oblio” (art. 17)
 diritto di limitazione del trattamento (art. 18)
 diritto alla portabilità dei dati (art. 20)
 diritto di opposizione

Il termine per la risposta all'interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese,
estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro
all'interessato entro 1 mese dalla richiesta, anche in caso di diniego.

Il riscontro all'interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici
che ne favoriscano l'accessibilità; può essere dato oralmente solo se così richiede l'interessato stesso
(art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3).

La risposta fornita all'interessato non deve essere solo "intelligibile", ma anche concisa, trasparente e
facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

18
 Impatto per le organizzazioni (a)
 Il titolare del trattamento deve agevolare l’esercizio dei diritti da parte
dell’interessato, adottando idonee misure (tecniche e organizzative).
 - In caso di esercizio dei diritti il titolare deve fornire riscontro (artt. 15),
e il responsabile è tenuto a collaborare con il titolare (art. 28, paragrafo
3, lettera e)

 Consigli operativi: consultazione del registro dei trattamenti,

coinvolgimento del DPO

 - Il titolare ha il diritto di chiedere informazioni per identificare

l’interessato, secondo modalità idonee (art. 11, paragrafo 2 e art. 12,
paragrafo 6)

19
 Impatto per le organizzazioni (b)
• Ove possibile, il titolare del trattamento dovrebbe poter fornire
l'accesso remoto a un sistema sicuro che consenta all'interessato di
consultare direttamente i propri dati personali.
• Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il
segreto industriale e aziendale e la proprietà intellettuale,
segnatamente i diritti d'autore che tutelano il software. Tuttavia, tali
considerazioni non dovrebbero condurre a un diniego a fornire
all'interessato tutte le informazioni. Se il titolare del trattamento
tratta una notevole quantità d'informazioni riguardanti l'interessato,
il titolare in questione dovrebbe poter richiedere che l'interessato
precisi, prima che siano fornite le informazioni, l'infor­mazione o le
attività di trattamento cui la richiesta si riferisce (cons. 63)

20
 News e impatto
Codice Privacy Regolamento europeo
Riscontro
Il termine per la risposta entro 30
agli interessati è 15 giorni Il termine di risposta all’ interessato per tutti i diritti
(art. 146) sui dati è di un mese estensibile fino a tre mesi
giorni
(art.11 e 12)

L’ interessato ha diritto di ottenere la comunicazione in L’ interessato ha diritto a una risposta non solo
forma intelligibile (art. 10, quarto comma) intelligibile, ma anche concisa, trasparente e
facilmente accessibile, con un linguaggio e chiaro

Può essere richiesto un contributo nel caso in cui con
risulta confermata l’ esistenza di diritti dell’ interessato.
Il contributo è determinato dal Garante
Il contributo è determinato dal Titolare
Spetta al titolare valutare la complessità del riscontro
all'interessato e stabilire l'ammontare dell'eventuale
contributo da chiedere all'interessato, ma soltanto se
si tratta di richieste manifestamente infondate se
sono chieste più "copie" dei dati personali nel caso del
diritto di accesso (art. 15, paragrafo 3); in quest'ultimo
caso il titolare deve tenere conto dei costi
amministrativi sostenuti

Deroghe previste dall’ art.8, secondo comma Limitazioni previste dall’ art.23

I diritti sui dati possono esercitarsi anche se riferiti a Non sono più previsti diritti sui dati delle persone
dati di persone deceduti decedute
21
 Novità
L'esercizio dei diritti è, in linea di principio, gratuito per l'interessato, ma possono
esservi eccezioni (si veda il paragrafo "Cosa cambia"). Il titolare ha il diritto di chiedere
informazioni necessarie a identificare l'interessato, e quest'ultimo ha il dovere di
fornirle, secondo modalità idonee (si vedano, in particolare, art. 11, paragrafo 2 e art.
12, paragrafo 6).

Spetta al titolare valutare la complessità del riscontro all'interessato e stabilire

l'ammontare dell'eventuale contributo da chiedere all'interessato, ma soltanto se si
tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art. 12.5),
a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice,
ovvero se sono chieste più "copie" dei dati personali nel caso del diritto di accesso
(art. 15, paragrafo 3); in quest'ultimo caso il titolare deve tenere conto dei costi
amministrativi sostenuti

22
 Registro dei trattamenti: requisiti generali

Art. 35, quinto comma

non si applica alle imprese o organizzazioni con meno di 250 dipendenti

a meno che:

- il trattamento possa presentare un rischio per i diritti e le libertà

dell'interessato,
-il trattamento non sia occasionale, o
-includa il trattamento di categorie particolari di dati (art. 9.1), o
relativi a condanne penali e a reati (art. 10).

23
 La doppia anima del registro
doppia funzione che svolge il registro,
-funge da “strumento operativo di lavoro (ex ante e durante) e, dell’altra,
-da “documento probatorio (ex post) degli adempimenti” prescritti dal
Regolamento europeo in materia di protezione dei dati personali 679/16.
“su richiesta il titolare del trattamento o il responsabile del trattamento e,
ove applicabile, il rappresentante del titolare o del responsabile … mettono
il registro a disposizione dell’autorità di controllo”

il registro sarà dettagliato, aggiornato e corrispondente all’organizzazione

aziendale o delle pubbliche ai fini di una reale tutela della persona, delle
sua libertà e della sua dignità

24
 Registro delle attività di trattamento: Titolare
1.Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un
registro delle attività di trattamento svolte sotto la propria responsabilità.
Tale registro contiene tutte le seguenti informazioni:
a)il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del
contitolare del trattamento, del rappresentante del titolare del trattamento e del
responsabile della protezione dei dati;
b) le finalità del trattamento;
c) e delle categorie di dati personali; 4.5.2016 L 11una descrizione delle categorie di
interessati
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati,
compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o
un'organizzazione internazionale, compresa l'identificazione del paese terzo o
dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma
dell'articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di
dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative
di cui all'articolo 32, paragrafo 1. 2.
(art. 30) 25
Registro delle attività di trattamento: Responsabile
Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un
registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare
del trattamento, contenente:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni
titolare del trattamento per conto del quale agisce il responsabile del trattamento, del
rappresentante del titolare del trattamento o del responsabile del trattamento e, ove
applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione

internazionale, compresa l'identificazione del paese terzo o dell'organizzazione
internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la
documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative
di cui all'articolo 32, paragrafo 1. (art. 28 par. 2)

26
 Confronto registri
Titolare Responsabile
Informazioni richieste
art. 30(1) art. 30(2)
Nomi di
contatto del
a) Nome e dati di contatto del titolare, ✗
responsabile e
contitolare, rappresentanti tit., DPO del titolare per
conto del quale
si agisce
b) Finalità del trattamento ✗ No
c) Categorie di interessati e dati personali ✗ No
c) Categorie di trattamenti effettuati per il ✗
No
titlare
✗
e) Trasferimenti verso paesi terzi ✗
No (cfr. art.
f) Termini per cancellazione dati) ✗
28.3.g)
g) Misure di sicurezza tecniche e organizzative ✗
(cfr. art. 28.3.c)
27
 Attenzione ai registri
il responsabile deve redigere il registro
qualora operi come «prestatore in outsourcing di un servizio
professionale, che si occupa dei trattamenti per conto di un
titolare»

Secondo autorevole dottrina, l’ obbligo di tenuta del registro

del responsabile non dovrebbe logicamente riguardare
l’ipotesi in cui il responsabile sia ed operi quale articolazione
interna di un’organizzazione … altrimenti, si verificherebbe …
il rischio di una duplicazione dell’adempimento…e di un
aggravio delle procedure
”

28
 Possibili azioni? (a)
Costituzione di gruppi di lavoro che dovrebbero come prima azione effettuare
una attenta ricognizione della documentazione esistente (ad esempio: acquisire
le notifiche dei trattamenti effettuati ai sensi dell’art. 38 del Codice in materia di
protezione dei dati personali, le copie dei precedenti Documenti programmatici
per la sicurezza “DPS” (adempimento abrogato dal decreto Monti), i regolamenti
di attuazione del codice in materia di protezione di dati personali,
i regolamenti in materia di dati sensibili e giudiziari,
i disciplinari in materia di posta elettronica ed internet,
le social media policy interne ed esterne, i regolamenti in materia di
videosorveglianza); effettuare una gap analisys rispetto al contenuto dei registri
ed individuare un cronoprogramma lavori con previsione anche di una serie di
audit periodici (chiave di controllo)
Nell’ottica di ottimizzare i tempi e le risorse disponibili sarebbe consigliabile alle
imprese ed enti pubblici di avvalersi di specifici programmi, applicativi, tools in
materia: il Garante per la protezione dei dati personali italiano sta valutando, di
mettere a disposizione delle imprese un modello di registro sul proprio sito, ch i
singoli titolari potranno integrare nei modi opportuni
29
 Possibili azioni? (b)
Il registro dei trattamenti costituisce uno strumento di lavoro che
consente all’organizzazione di disporre di un censimento dei trattamenti
effettuati, delle relative finalità, degli interessati e delle categorie dei dati
personali, i trasferimenti di dati personali verso un paese terzo o
un’organizzazione internazionale, di una descrizione generale delle
misure di sicurezza tecniche e organizzative.

La redazione dei registri dei trattamenti consente al titolare di dimostrare

quali misure ha utilizzato per garantire un livello di sicurezza adeguato al
rischio e soprattutto che le misure sono state adottate.

La redazione e l’ aggiornamento dei registri dei trattamenti devono

essere coordinati con gli altri adempimenti previsti dal regolamento
privacy europeo (l’informativa privacy, la valutazione di impatto privacy, le
istanze di consultazione preliminare; le comunicazione delle violazioni di
dati “data breach”)
30
 Organigramma privacy (a)

L’organigramma privacy è un modello organizzativo che ha

la funzione di assicurare un adeguato ordinamento e
classificazione dei dati personali e un corretto utilizzo delle
informazioni e dei dati

Le scelte di organizzazione hanno un impatto su:

Ruoli /Responsabilità/Sanzioni / Rapporto con gli
interessati

Le scelte devono corrispondere ai rapporti realmente

instaurati (Garante Parere del 30 giugno 1997)

31
 L’organigramma privacy è un modello organizzativo (cabina di
comando) con specifici ruoli e figure
che ha la funzione di assicurare un adeguato ordinamento e
classificazione dei dati personali e un corretto utilizzo delle
informazioni e dei dati
La definizione dei ruoli, responsabilità e dei settori di competenza di
ciascun soggetto dell’organizzazione costituiscono elementi
imprescindibili di un sistema di gestione (presidi)

Il modello organizzativo privacy si unisce e si integra con altri

modelli (es. modelli sulla responsabilità delle persone giuridiche
D.Lgs.231/sicurezza del lavoro/qualità; visione, impostazione e
gestione comune)
32
33
Soggetti del trattamento (codice della privacy)
D.Lgs. 196 del 2013
-Titolare: Art. 28: è “l’entità nel suo complesso o l’unità o
organismo periferico che esercita un potere decisionale del
tutto autonomo sulle finalità e sulle modalità del
trattamento”.
-Responsabile: Art. 29: è designato dal titolare
facoltativamente, “ e viene individuato tra soggetti che per
esperienza, capacità ed affidabilità forniscano idonea
garanzia del pieno rispetto delle disposizioni in materia di
trattamento, ivi compreso il profilo della sicurezza”.
- Incaricati: Art. 30:“Le operazioni di trattamento possono
essere effettuate solo da incaricati che operano sotto la
diretta autorità del titolare o del responsabile, attenendosi
alle istruzioni impartite.
34
 Organigramma privacy Differenze Codice privacy
Regolamento europeo

Titolare Titolare
Contitolare (News)
Responsabile Il Data Protection Office (News)
Responsabile esterno (News)
ADS Amministratore di sistema (ADS)
Incaricati Autorizzati al trattamento
Interessato Interessato

35
36
 Titolare del trattamento
Secondo il regolamento europeo
«titolare del trattamento»:la persona fisica o giuridica,
l'autorità pubblica, il servizio o altro organismo che,
singolarmente o insieme ad altri, determina le finalità e i mezzi
del trattamento di dati personali; quando le finalità e i mezzi di
tale trattamento sono determinati dal diritto dell'Unione o degli
Stati membri, il titolare del trattamento o i criteri specifici
applicabili alla sua designazione possono essere stabiliti dal diritto
dell'Unione o degli Stati membri;
art. 4, punto 7

Nel caso della Università: il Titolare è l’Ente nel suo complesso

37
 Titolare del trattamento, approccio e principi
Il Titolare è responsabile del rispetto dei principi applicabili al
trattamento di dati personali stabiliti dall’art. 5 del RGPD: liceità,
correttezza e trasparenza; limitazione della finalità;
minimizzazione dei dati; esattezza; limitazione della
conservazione; integrità e riservatezza.
A tali fini mette in atto misure tecniche ed organizzative
adeguate per garantire, ed essere in grado di dimostrare, che il
trattamento di dati personali sia effettuato in modo conforme al
RGPD.
Le misure sono definite fin dalla fase di progettazione e messe in
atto per applicare in modo efficace i principi di protezione dei dati
e per agevolare l’esercizio dei diritti dell’interessato stabiliti dagli
articoli 15-22 RGPD, nonché le comunicazioni e le informazioni
occorrenti per il loro esercizio. 38
 Azioni del titolare
Il titolare deve dimostrare: intensa attività di adeguamento! anche prima dei
trattamenti
-rispetto dei principi del trattamento (art. 5) e dei privacy by design/default

- di avere effettuato, nei casi previsti, la valutazione di impatto e consultazione

preventiva

- di avere adottato delle procedure di sicurezza

-di avere effettuato la valutazione dei rischi

-la tenuta e registro dei trattamenti e

gestione dei data breach
-designazione del Data Protection Officer (DPO)

- sistema di audit 39
 Responsabilità del titolare del trattamento (a)
- È opportuno stabilire la responsabilità generale del titolare del
trattamento per qualsiasi trattamento di dati personali che
quest'ultimo abbia effettuato direttamente o che altri abbiano
effettuato per suo conto. In particolare, il titolare del trattamento
dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci
ed essere in grado di dimostrare la conformità delle attività di
trattamento con il presente regolamento, compresa l'efficacia delle
misure.
Tali misure dovrebbero tener conto della natura, dell'ambito di
applicazione, del contesto e delle finalità del trattamento, nonché
del rischio per i diritti e le libertà delle persone fisiche
Considerando n. 74

40
 Titolare del trattamento e sicurezza

Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità
del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il
titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate
per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b)la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei
servizi di trattamento;
c)la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o
tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di
garantire la sicurezza del trattamento.
Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che
derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in
modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui
all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del
presente articolo.
Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia
accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo
richieda il diritto dell'Unione o degli Stati membri. (art. 32)

41
 Responsabilità del titolare del trattamento (b)
- Responsabilità del titolare del trattamento
1.Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle
finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse
per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in
atto misure tecniche e organizzative adeguate per garantire, ed essere in
grado di dimostrare, che il trattamento è effettuato conformemente al
presente regolamento. Dette misure sono riesaminate e aggiornate qualora
necessario.
2.Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al
paragrafo 1 includono l'attuazione di politiche adeguate in materia di
protezione dei dati da parte del titolare del trattamento.
3.L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di
certificazione di cui all'articolo 42 può essere utilizzata come elemento per
dimostrare il rispetto degli obblighi del titolare del trattamento.(art. 24)
42
 Il Titolare al centro del sistema
Nel regolamento europeo al centro del sistema: Il Titolare del
trattamento ( secondo autorevole dottrina prima del
trattamento stesso dei dati!)
Il Titolare ha il dovere di assicurare che il trattamento sia
conforme al regolamento sotto ogni suo aspetto
Il Titolare risponde non solo nel caso in cui il trattamento violi
concretamente la normativa e leda i diritti degli interessati, ma
anche nel caso in cui non siano state preventivamente fatte le
verifiche necessarie in ordine all’adeguatezza delle misure di
sicurezza tecniche e organizzative utilizzate
Il titolare è il centro di imputazione giuridica ma costituisce
anche il soggetto che subisce le conseguenze

43
 Titolare e sanzioni (a)
In conformità del paragrafo 2, la violazione delle disposizioni
seguenti è soggetta a sanzioni amministrative pecuniarie fino a
10 000 000 EUR, o per le imprese, fino al 2 % del fatturato
mondiale totale annuo dell'esercizio precedente, se superiore:

-gli obblighi del titolare del trattamento e del responsabile del

trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43

art. 83, paragrafo 4

44
 Titolare e sanzioni(b)
Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni
singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a) a h) e j),
o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa
pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto
dei seguenti elementi:

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento
tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli
articoli 25 “ Protezione dei dati fin dalla progettazione e protezione per impostazione
predefinita”
e 35 “Valutazione d'impatto sulla protezione dei dati”

h) la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in

particolare se e in che misura il titolare del trattamento o il responsabile del trattamento
ha notificato la violazione

(art.83)
45
 Contitolari del trattamento
Novità del Regolamento
1.Allorché due o più titolari del trattamento determinano congiuntamente le finalità
e i mezzi del trattamento, essi sono contitolari del trattamento.

Essi determinano in modo trasparente, mediante un accordo interno, le rispettive

responsabilità in merito all'osservanza degli obblighi derivanti dal presente
regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le
rispettive funzioni di comunicazione delle informazioni di cui agli art. 13 e 14, a
meno che e nella misura in cui le rispettive responsabilità siano determinate dal
diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti.
Tale accordo può designare un punto di contatto per gli interessati.

2. L'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti

dei contitolari con gli interessati. Il contenuto essenziale dell'accordo è messo a
disposizione dell'interessato.

3. Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1,

l'interessato può esercitare i propri diritti ai sensi del presente regolamento nei
confronti di e contro ciascun titolare del trattamento. (art. 26)
46
 Contitolari del trattamento- conseguenze

La violazione degli obblighi del titolare e del responsabile del

trattamento previsti dall’art. 26 comporta sanzioni pecuniarie
fino a euro 10.000.000, 00, o per le imprese fino al 2% del
fatturato mondiale totale annuo dell’esercizio precedente, se
superiore

47
 Il responsabile del trattamento

«responsabile del trattamento»:la persona fisica o giuridica, l'autorità

pubblica, il servizio o altro organismo che tratta dati personali per
conto del titolare del trattamento

Art. 4, punto 8 del regolamento europeo

48
 Il responsabile del trattamento dal Codice privacy al regolamento
1. Il responsabile è designato dal titolare facoltativamente.
2. Se designato, il responsabile è individuato tra soggetti che per esperienza,
capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi compreso il profilo
relativo alla sicurezza.
3. Ove necessario per esigenze organizzative, possono essere designati
responsabili più soggetti, anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente specificati per
iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite
dal titolare il quale, anche tramite verifiche periodiche, vigila sulla
puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie
istruzioni. (art. 29 del Codice della privacy)
art. 4, primo comma, lett. g) Codice della Privacy « il responsabile è un
preposto dal titolare al trattamento dei dati personali»

49
 Il responsabile del trattamento dal Codice privacy al regolamento

codice della privacy

-figura facoltativa
interno / esterno (provv. Garante 9 giugno 1998)

atto di designazione
regolamento
figura obbligatoria

prevista solo figura del

responsabile esterno
previsione del contenuto del contratto
(obbligatorio)

50
 Il responsabile interno
La figura del responsabile non è prevista dalla direttiva europea, né dal
regolamento europeo né in altri Stati

La figura del responsabile interno è una peculiarità del nostro paese

La guida applicativa del Garante privacy sul regolamento suggerisce ed indica di

conservare l’ attuale organigramma privacy vigente con il Codice Privacy

Il Quaderno Anci in materia di regolamento privacy europeo nei Comuni prevede

le figure dei responsabili interni

ma allora cosa devono fare le imprese e pa e i consulenti?

Diversi orientamenti in dottrina (non esiste più, esiste ancora, non lasciatevi
distrarre)

51
 Il responsabile interno non esiste più

«Attenzione.Dopo 25 maggio 2018 si potrà (e dovrà) indicare esistenza di un

responsabile dei trattamenti distinto dal titolare ex GDPR solo se esso è esterno
alla impresa del titolare, e legato al titolare da contratto o altro atto giuridico
vincolante per entrambi che definisca le rispettive responsabilita'. La figura di
responsabile interno non è compatibile con art.28 GDPR e non solleva il titolare
da alcuna responsabilità né assume alcuna responsabilità se non quella proprie
di un dipendente verso il suo datore di lavoro. Dal 25 maggio chiunque induca un
titolare a credere di poter dividere le sue responsabilità di Controller con un suo
dipendente solo perché gli assegna una responsabilità interne di qualunque tipo
rispetto a trattamenti che restano tutti imputati al titolare assume una grave
responsabilità professionale.Il Processor/Responsabile ai sensi GDPR deve essere
sempre esterno e legato a titolare da contratto o atto giuridico vincolante per
entrambi. Continuare, volutamente o no, a fare confusione e' pericolosissimo e
può provocare gravi rischi e possibili sanzioni e danni ai titolari»
Francesco Pizzetti
52
Possibile soluzione: il responsabile interno rimane ma sotto
altro nome e ruolo!
Non viene previsto dal regolamento europeo in modo espresso

ma è implicito nell’architettura prevista dal regolamento alla luce del principio di

accountability: centri di imputazione giuridica

Non si chiameranno più semplici responsabili ma saranno indicati come

responsabili interni con compiti di supporto o coordinamento

Tali soggetti avranno il compito di coadiuvare il titolare

devono avere i requisiti di competenza

Attenzione tale designazione non comporta oggi una deresponsablizzazione in

capo al titolare (sia ante e sia post GDPR).

53
 Il Responsabile esterno del Trattamento: le novità del
regolamento

la nomina deve avvenire tramite contratto o altro "atto giuridico a

norma del diritto dell'Unione o degli Stati membri, che vincoli il
responsabile del trattamento al titolare del trattamento e che
stipuli la materia disciplinata e la durata del trattamento, la natura
e la finalità del trattamento, il tipo di dati personali e le categorie
di interessati, gli obblighi e i diritti del titolare del trattamento".
Il Responsabile ha obblighi di trasparenza, di garantire la
sicurezza dei dati e di avvisare, assistere e consigliare il titolare del
trattamento- responsabilità diretta anche verso gli interessati per i
danni subiti e responsabilità solidale con il Titolare del
trattamento

54
 Il Responsabile esterno del Trattamento

Ogni fornitore dell’ente es . Società che gestisca un servizio (cloud e

non) e tratti i dati per conto dell’ente è giuridicamente il
Responsabile del Trattamento dei Dati; ha precisi obblighi di
documentazione (procedure atte a dimostrare la GDPR Compliance)
-la tenuta del registro delle attività di trattamenti effettuati per
conto dell’ente (titolare del trattamento)
-innalzamento dei requisiti di sicurezza sui dati
-obbligo di notificare al titolare le eventuali violazioni di dati (data
breach) e di collaborazione con il titolare
-obblighi di collaborare agli audit del titolare

55
 Clausole contrattuali

Ogni fornitore dell’nte dovrà stipulare un contratto con clausole obbligatorie indicate dal
Regolamento privacy europeo tra cui:
Descrizione dettagliata dei trattamenti: oggetto, durata, natura e finalità dei trattamenti,
tipologia dei dati registrati, categorie di interessati, obblighi e diritti del titolare
Clausole su elenco misure tecniche e organizzative
Trattamenti di dati solo su istruzioni documentate per iscritto dal Titolare, obblighi di
confidenzialità per i collaboratori del responsabile
Collaborazione nella gestione dei riscontri sui diritti degli interessati e nei data breach
Restituzione o cancellazione dei dati alla cessazione del contratto Assicurare gli audit
Il responsabile può avvalersi di Sub-responsabili solo con il previo consenso del Titolare con
identiche clausole contrattuali e risponde nel caso di violazioni di dati del subresponsabile

56
 Contenuto della nomina del responsabile del trattamento (c)
f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli
da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione
del responsabile del trattamento;

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati
personali dopo che è terminata la prestazione dei servizi relativi al trattamento
e cancelli le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri
preveda la conservazione dei dati;

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per
dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca
alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o
da un altro soggetto da questi incaricato.

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa
immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il
presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla
protezione dei dati (v. art. 28)
57
 Obblighi specifici in materia di sicurezza

f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui
agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle
informazioni a disposizione del responsabile del trattamento;

art. 32 Sicurezza del trattamento

art. 33 Notifica di una violazione dei dati personali all’autorità di controllo

art. 34 Comunicazione di una violazione dei dati personali all’interessato

art. 35 Valutazione di impatto privacy sulla protezione dei dati personali

art. 36 Consultazione preventiva

58
 .
La nomina a subresponsabile (a)
Novità del regolamento

Il responsabile del trattamento non ricorre a un altro responsabile

senza previa autorizzazione scritta, specifica o generale, del titolare del
trattamento. Nel caso di autorizzazione scritta generale, il responsabile
del trattamento informa il titolare del trattamento di eventuali
modifiche previste riguardanti l'aggiunta o la sostituzione di altri
responsabili del trattamento, dando così al titolare del trattamento
l'opportunità di opporsi a tali modifiche. (art.28 del regolamento)
in che modo ? Descrizione del contesto, natura dati e indicazione sul
subresponsabile in modo da fare comprendere i rischi al titolare
art. 28 del regolamento, paragrafo 2

59
 La nomina a sub-responsabile b)

Novità del regolamento

4.Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento
per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento,
su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro
atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in
materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare
del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in
particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative
adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento.
Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in
materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare
del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro
responsabile. (art.28)
Responsabilità del primo responsabile primario di fronte al Titolare! anche ai fini del
risarcimento dei danni, salvo dimostri che l’evento dannoso non gli è in alcun modo
imputabile (v. Guida applicativa del Garante privacy 28 aprile 2017, art. 82, paragrafo 1 e
3)
60
 La nomina a sub-responsabile c)

Novità del regolamento , nel codice privacy non era prevista tale
possibilità che consente di semplificare la vita delle imprese

-la filiera di subresponsabili non allenta la catena di responsabilità

fra il Titolare ed il responsabile

-nel caso di inadempimenti da parte di uno dei subresponsabili

risponde delle conseguenze il responsabile principale (primario)

61
 Consigli operativi Sub delega
Autorizzazione generale

obbligo di indicare le attività delegate, l’identità e i dati di contatto

del responsabile e i dati del contratto di esternalizzazione
indicare il tempo massimo per il Titolare di .. giorni a partire dalla
data di ricevimento per comunicare osservazioni e opposizioni
l’obbligo dell’ulteriore responsabile di rispettare il contratto primario
(Trattamento e responsabile) e le istruzioni del Titolare
specificare che la collaborazione decorre se è passato il termine
indicato per l’opposizione del titolare
indicare l’obbligo del Responsabile iniziale di assicurare le stesse
garanzie e misure di sicurezza adeguate adottate
specificare le responsabilità iniziale delle esecuzioni delle obbligazioni
del sub responsabile
62
Norma di chiusura ruolo del responsabile del trattamento: il
travestimento da titolare!

10.Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola
il presente regolamento, determinando le finalità e i mezzi del trattamento,
è considerato un titolare del trattamento in questione. ( con relativo salto
di qualità anche sotto il profilo sanzionatorio)

Norma pericolosa e non chiara: devono sussistere tutte e due le condizioni

per fare scattare la responsabilità o solo una delle due?

Art. 82 diritto al risarcimento e responsabilità

Art. 83 Condizioni generali per infliggere sanzioni amministrative pecuniarie
Art. 84 sanzioni

63
 Autorizzati ex Incaricato al trattamento
non viene previsto in modo espresso la figura dell’incaricato
ma non se ne esclude la presenza (Guida applicativa del Garante
privacy)

«terzo»:la persona fisica o giuridica, l'autorità pubblica, il servizio o

altro organismo che non sia l'interessato, il titolare del trattamento, il
responsabile del trattamento e le persone autorizzate al trattamento
dei dati personali sotto l'autorità diretta del titolare o del responsabile

(art. 4, n. 10 del regolamento)

(docenti, assistenti amministrativi, STUDENTI ecc.).
 Incaricato al trattamento

non viene previsto in modo espresso la figura dell’incaricato

ma non se ne esclude la presenza (Guida applicativa del Garante privacy)

«terzo»:la persona fisica o giuridica, l'autorità pubblica, il servizio o altro

organismo che non sia l'interessato, il titolare del trattamento, il responsabile del
trattamento e le persone autorizzate al trattamento dei dati personali sotto
l'autorità diretta del titolare o del responsabile

(art. 4, n. 10 del regolamento)

 Impatto su designazioni Incaricato al trattamento?
Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente
compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del
principio di "responsabilizzazione" di titolari e responsabili del trattamento che prevede
l'adozione di misure atte a garantire proattivamente l'osservanza del regolamento nella
sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e
32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene
opportuno che titolari e responsabili del trattamento mantengano in essere la struttura
organizzativa e le modalità di designazione degli incaricati di trattamento così come
delineatesi negli anni anche attraverso gli interventi del Garante (si veda art. 30 del
Codice e, fra molti,
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/15079
21
, ovvero
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/15080
59
per quanto riguarda la pubblica amministrazione, ovvero
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/18139
53
in materia di tracciamento delle attività bancarie) in quanto misure atte a garantire e
dimostrare "che il trattamento è effettuato conformemente" al regolamento (si veda art.
24, paragrafo 1, del regolamento).
 L’incaricato al trattamento secondo il Garante

- persona
fisica autorizzata, dal titolare o dal responsabile, a
compiere operazioni di trattamento
dipendente o collaboratore
- deve attenersi alle istruzioni impartite
- designazione effettuata per iscritto, individuando
puntualmente l’ambito del trattamento consentito
facoltà per l’azienda di documentare la
- preposizione della persona fisica ad una unità per la quale
è individuato, per iscritto, l’ambito del trattamento
consentito agli addetti all’unità medesima (es: mansionari;
job description)