IL GDPR IN F.A.Q.

IL GDPR è un Regolamento che dice cosa fare ma non indica come farlo. Ciascuna Authority di Stato membro della UE aiuta nell'interpretazione e realizzazione di strumenti idonei ad ottenere una compliance adeguata allo scopo. L'argomento è molto vasto e non possiamo sostituirci alla UE nella sua divulgazione nè all'Autorità Grante della Privacy. Con questa sezione cerchiamo solo di rispondere alle più frequenti domande.

 

  • Domande generali
  • 1. Adeguarsi al GDPR è obbligatorio?

    SI. Lo è per tutte le entità che trattano dati personali.

    Pubbliche ammnistrazioni, Aziende, Associazioni, Professionisti.
    Il GDPR è in vigore dal 24/05/2016. Dal 25/05/2018 possono essere irrigate sanzione a chi non è adempiente.

  • 2. Posso farlo da solo?

    Si. Se hai competenze, capacità, tempo e ti assumi la responsabilità di un ruoo diverso dal lavoro che fai, è possibile.

    Tuttavia non è consigliabile perchè ci vuole molta formazione per riuscire a coprire tutti gli aspetti da quello organizzativi a quello tecnologico a quello legale.

  • 3. Cosa sono i dati personali?

    Un dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile (detta "interessato"; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

    In pratica qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale che pubblica come nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer ed altre informazioni.

  • 4. Cosa si intende per dato "Sensibile"?

    Per "Dato Sensibile" si intende un dato personale che, per la sua natura, richiede particolari cautele.  La definizione "dato sensibile" è legata alla legge sulla privacy (196/2003), oggi si parla di "CATEGORIE PARTICOLARI DI DATI". Sono CATEGORIE PARTICOLARI DI DATI ovvero dati sensibili quelli che possono rivelare l'origine razziale ed etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l'adesione a partiti, sindacati o associazioni, lo stato di salute e la vita sessuale delle persone, le loro abitudini in generale.

  • 5. Quali sono i principi di liceità (legittimità) del trattamento?

    Ogni trattamento deve trovare fondamento in un'idonea base giuridica. I fondamenti di Legittimità (liceità) del trattamento sono indicati all'art. 6 del regolamento: consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.

  • 6. Interesse legittimo di un terzo o del titolare (es. Videosorveglianza).

    L'interesse legittimo di un terzo si può invocare solo se nessuna delle altre condizioni di liceità può trovare applicazione
    Il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell'interessato NON SPETTA all'Autorità ma è compito dello stesso titolare; si tratta di una delle principali espressioni del principio di responsabilizzazione (awareness) introdotto dal nuovo pacchetto protezione dati.
    L'interesse legittimo del titolare o del terzo deve prevalere sui diritti e le libertà fondamentali dell'interessato per costituire un valido fondamento di liceità.
    Un esempio assai frequente dell'interesse legittimo prevalente è dato dalla videosorveglianza, normato dal Provvedimento in materia di videosorveglianza - 8 aprile 2010.

    Il regolamento chiarisce espressamente che l'interesse legittimo del titolare non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei rispettivi compiti.

  • 7. Che termine deve essere garantito per la risposta all'interessato in caso di domanda di esercizio dei suoi diritti?

    Il termine per la risposta all'interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità.

    Il titolare deve comunque dare un riscontro all'interessato entro 1 mese dalla richiesta, anche in caso di diniego.

  • Consenso - Trattamento - Informativa
  • 1. Come devo raccogliere il consenso?

    Non deve essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta”, anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”. Per i dati sensibili, il titolare (art. 7.1) il Titolare deve essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento. Nella pratica tutti utilizzano, ad eccezione di pochi e particolari casi, una INFORMATIVA che, una volta firmata dall'interessato, diventa CONSENSO. Si tratta di un documento in forma SCRITTA e stampata o in formato elettronico che deve essere archiviato e conservato. Importante è considerare l'elemento della CERTEZZA della firma o del esplicito, consapevole, informato su una indormativa ressa in forma chiara e concisa e comprensibile.

    Per il consenso all'utilizzo dei dati per scopi commerciali la forma deve essere separata da quella per l'utilizzo di dati per altri scopi. Anche on questo caso il consenso deve essere esplicito, consapevole, informato su una indormativa ressa in forma chiara e concisa e comprensibile.

  • 2. Devo raccogliere nuovi consensi per sostituire quelli che ho già?

    Il consenso raccolto precedentemente al 25 maggio 2018 resta valido solo se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
    In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato (art. 7.2), per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2).

    I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali.

  • 3. Come si definisce il Consenso dell'interessato?

    Si definisce "consenso dell’interessato" : qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

    Il consenso dei minori è valido a partire dai 16 anni. Prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

    • Deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).
    • Deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile” (Art. 39 e 42 del regolamento).
  • 4. Come deve essere il consenso per i dati sensibili?

    Per i dati "sensibili" il consenso DEVE essere "esplicito"; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione – art. 22).

  • 5. Il consenso per dati sensibili deve essere dato per iscritto?

    NON necessariamente. Anche se la forma scritta è la più idonea, a dimostrare l'inequivocabilità del consenso. In ogni caso il titolare (art. 7.1) DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento.

  • 6. Nel caso di minori?

    Il consenso dei minori è valido a partire dai 16 anni (il limite di età può essere abbassato fino a 13 anni dalla normativa nazionale). Prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

  • 7. Quali altre caratteristiche deve avere il consenso?

    Il regolamento dice che il consenso deve essere libero, specifico, informato e inequivocabile.
    NON è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo).
    Inoltre il consenso DEVE essere manifestato attraverso "dichiarazione o azione positiva inequivocabile" (Art. 39 e 42)

  • 8. Quali devono essere i contenuti dell'Informativa?

    I contenuti dell'informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest'ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).

    Il regolamento prevede anche ulteriori informazioni in quanto "necessarie per garantire un trattamento corretto e trasparente": in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'autorità di controllo.

    Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l'informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l'interessato.

  • 9. In caso di raccolta dati presso l'interessato, che informazioni devo fronire nell'informativa?

    In caso di raccolta di dati personali presso l’interessato, il titolare del trattamento deve fornire le seguenti informazioni:

    • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
    • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
    • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
    • qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
    • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
    • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili;
    • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
    • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
    • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
    • qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
      il diritto di proporre reclamo a un’autorità di controllo;
    • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
    • l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
  • 10. Nel caso in cui i dati personali raccolti non siano stati ottenuti presso l’interessato, quali informazioni devo fornire nell'informativa?

    Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:

    • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
    • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
    • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
    • le categorie di dati personali in questione;
    • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
    • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
    •  il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
    • qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
    • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
    • qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
    • il diritto di proporre reclamo a un’autorità di controllo;
    • la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
    • l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
  • 11. Quando devo consegnare l'informativa?

    Se i dati sono raccolti direttamente presso l'interessato, l'informativa deve essere fornita all'interessato prima di effettuare la raccolta.

    Se i dati non sono raccolti direttamente presso l'interessato (art. 14 del regolamento), l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all'interessato).

    NOTA: ogni volta che le finalità cambiano il regolamento impone di informarne l'interessato prima di procedere al trattamento ulteriore.

  • Diritti degli interessati
  • 1. In caso di richiesta di esercizio dei diritti dell'interessato, che obblighi ha un titolare del trattamento?

     Il titolare del trattamento ha l'obbligo di:

    • adotta misure appropriate per fornire all’interessato, con l0informativa, tutte le informazioni necessarie all'esercizio dei propri diritti,
    • Iil linguaggio deve essere semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori;
    • le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici;
    • Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato in particolare:
      Diritto di accesso;
      Diritto di rettifica;
      Diritto alla cancellazione («diritto all’oblio»);
      Diritto di limitazione di trattamento;
      Diritto alla portabilità dei dati;
      Diritto di opposizione e processo decisionale automatizzato relativo alle persone fisiche (profilazione inclusa);

     

    Il titolare del trattamento deve fornire all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta di esercizio dei diritti senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga,e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presentala richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile,con mezzi elettronici, salvo diversa indicazione dell’interessato.

    L'esercizio dei diritti dell'interessato è fronito in forma gratuita.

  • 2. Diritto di accesso ai dati dell’interessato e modalità previste.

    L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

    • le finalità del trattamento;
    • le categorie di dati personali in questione;
    • i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
    • quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
    • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica ola cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
    • il diritto di proporre reclamo a un’autorità di controllo;qualora i dati non siano raccol
    • ti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
    • l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

    Fra le informazioni che il titolare deve fornire non rientrano le "modalità" del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

    Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.
    In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi.

    Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

    Oltre al rispetto delle prescrizioni relative alla modalità di esercizio di questo e degli altri diritti, i titolari possono consentire agli interessati di consultare direttamente, da remoto e in modo sicuro, i propri dati personali.

    Il titolare del trattamento deve comunque agevolare l'esercizio dei diritti da parte dell'interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti, il responsabile è tenuto a collaborare con il titolare ai fini dell'esercizio dei diritti degli interessati.

  • 3. Diritto di rettifica

    L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

  • 4. Diritto alla cancellazione («diritto all’oblio»)

    L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

    • i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
    • l’interessato revoca il consenso su cui si basa il trattamento (Art. 6, paragrafo 1, lettera a, o Art. 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
    • l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
    • i dati personali sono stati trattati illecitamente;
    • i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
    • i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.

    Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli e adotta le misure ragionevoli, anche tecniche, per cancellare qualsiasi link, copia o riproduzione dei dati personali informandone l'interessato.

  • 5. Diritto di limitazione di trattamento

    ’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento in una delle seguenti ipotesi:

    • l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
    • il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
    • benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
    • l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

    L’interessato che ha ottenuto la limitazione del trattamento  è informato dal titolare del trattamento prima che detta limitazione sia revocata.

  • 6. Diritto alla portabilità dei dati

    Si tratta di uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico). Il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall'interessato, se tecnicamente possibile.

    Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio. Sono portabili solo i dati trattati con il consenso dell'interessato o sulla base di un contratto stipulato con l'interessato (quindi non si applica ai dati il cui trattamento si fonda sull'interesse pubblico o sull'interesse legittimo del titolare, per esempio), e solo i dati che siano stati "forniti" dall'interessato al titolare.

    L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:

    • il trattamento si basi sul consenso ad un trattamento LECITO o su un contratto (Art. 6, paragrafo 1, lettera a, lettera b o art. 9 lettera a par.2),
    • il trattamento sia effettuato con mezzi automatizzati.

    Nell’esercitare i propri diritti relativamente alla portabilità dei dati  l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.

  • 7. Diritto di opposizione

    L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano, compresa la profilazione sulla base di tali disposizioni.
    Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

    Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. In tale caso i dati personali non sono più oggetto di trattamento per tali finalità.

    Nel contesto dell’utilizzo di servizi della società dell’informazione e fatta salva la direttiva 2002/58/CE, l’interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.

    Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell’articolo 89, paragrafo 1, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico.

  • Titolare, Incaricato e Respondabile del trattamento.
  • 1. Definizione di Titolare del trattamento.

    Il "titolare" è la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le scelte di fondo sulle finalità e sulle modalità del trattamento dei dati, anche per ciò che riguarda la sicurezza.

    Il riferimento alla "persona fisica", riguarda specificatamente gli individui che effettuano un trattamento di dati a titolo personale (ad esempio, il libero professionista, il piccolo imprenditore), e che assumono individualmente la piena responsabilità in materia di protezione di dati personali.

    Al contrario, qualora il trattamento sia effettuato nell'ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il "titolare" è l'entità nel suo complesso (ad esempio, la società, il ministero, l'ente pubblico, l'associazione, ecc.), anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà o che sono legittimati a manifestarla all'esterno (ad esempio, l'amministratore delegato, il ministro, il direttore generale, il presidente, il legale rappresentante, ecc.).

    In molti casi, tali soggetti potrebbero assumere, semmai, la qualifica di "responsabile".

  • 2. Responsabile del trattamento

    Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

    Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

    I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

  • 3. Contitolari del trattamento.

    Il Regolamento disciplina la contitolarità del trattamento e impone ai titolari di definire specificamente (con un atto giuridicamente valido ai sensi del diritto nazionale) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;

    Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

    Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

    Il Regolamento fissa dettagliatamente le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente tutte le materia al fine di dimostrare che il responsabile fornisce "garanzie sufficienti" – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;

  • 4. Incarico al Responsabile del Trattamento

    I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

    Il Regolamento fissa dettagliatamente le caratteristiche dell'atto con cui il titolare designa un responsabile del trattamento attribuendogli obblighi specifici.

    Il contratto deve dimostrare che il responsabile fornisce "garanzie sufficienti", in particolare che:

    - tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

    - tenga il registro dei trattamenti svolti;

    - garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

    - adotti misure tecniche e organizzative atte a garantire la sicurezza dei trattamenti in particolare tutte le misure richieste ai sensi dell’articolo 32;

    - proceda alla nomina di sub-responsabili del trattamento per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest'ultimo risponde dinanzi al titolare dell'inadempimento dell'eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l'evento dannoso "non gli è in alcun modo imputabile".

    - tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;

    - assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

    - su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;

    - metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato;

    -  informi immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.


    Il Regolamento consente la nomina di sub-responsabili del trattamento da parte di un responsabile, per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest'ultimo risponde dinanzi al titolare dell'inadempimento dell'eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l'evento dannoso "non gli è in alcun modo imputabile".

  • RPD - DPO
  • 1. Chi è il RPD/DPO e quali sono i suoi compiti?

    Il responsabile della protezione dei dati personali (o data protection officer – DPO) è una figura prevista dall'art. 37 del Regolamento (UE) 2016/679. Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all'applicazione del Regolamento medesimo. Coopera con l'Autorità (e proprio per questo, il suo nominativo va comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali (artt. 38 e 39 del Regolamento).

  • 2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?

    Il responsabile della protezione dei dati personali, al quale non sono richieste specifiche attestazioni formali o l'iscrizione in appositi albi, deve possedere un'approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.

    Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del Regolamento UE 2016/679) e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici.

    Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l'espletamento dei propri compiti.

  • 3. Chi sono i soggetti privati obbligati alla sua designazione?

    Sono tenuti alla designazione del responsabile della protezione dei dati personali (RPD/DPO) il titolare e il responsabile del trattamento di dati soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di "monitoraggio regolare e sistematico" e di "larga scala".

    Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

  • 4. Chi sono i soggetti per i quali non è obbligatoria la designazione del RDP/DPO?

    Nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679, la designazione del responsabile della protezione dei dati non è obbligatoria. Ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari, piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

    In ogni caso, resta comunque raccomandata, anche alla luce del principio di "accountability" che permea il Regolamento, la designazione di tale figura.

  • 5. Come faccio a comunicare i dati del RPD/DPO al Garante?

    Devi usare il modulo e le istruzioni sul sito del Garante all'indirizzo: https://servizi.gpdp.it/comunicazione-rpd/

  • 6. Il responsabile della protezione dei dati personali deve essere un soggetto interno o può essere anche un soggetto esterno?

    l ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l'incarico può essere anche affidato a soggetti esterni, a condizione che garantiscano l'effettivo assolvimento dei compiti che il Regolamento (UE) 2016/679 assegna a tale figura. Il responsabile della protezione dei dati scelto all'interno andrà nominato mediante specifico atto di designazione, mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto di servizi. Tali atti, da redigere in forma scritta, dovranno indicare espressamente i compiti attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.

    Nell'esecuzione dei propri compiti, il responsabile della protezione dei dati personali (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento che abbia designato un responsabile per la protezione dei dati personali resta comunque pienamente responsabile dell'osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla (art. 5, par. 2, del Regolamento).

    I dati di contatto del responsabile designato dovranno essere infine pubblicati dal titolare o responsabile del trattamento. Non è necessario - anche se potrebbe rappresentare una buona prassi - pubblicare anche il nominativo del responsabile della protezione dei dati: spetta al titolare o al responsabile e allo stesso responsabile della protezione dei dati, valutare se, in base alle specifiche circostanze, possa trattarsi di un'informazione utile o necessaria. Il nominativo  del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all'Autorità di controllo.

  • 7. Il responsabile della protezione dei dati personali è una persona fisica o può essere anche un soggetto diverso?

    Il Regolamento (UE) 2016/679 prevede espressamente che il responsabile della protezione dei dati personali possa essere un "dipendente" del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento); ovviamente, nelle realtà organizzative di medie e grandi dimensioni, il responsabile della protezione dei dati personali, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.

    Qualora il responsabile della protezione dei dati personali sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica (v. il punto 2.4 delle suddette Linee guida).

    Si raccomanda, in ogni caso, di procedere a una chiara ripartizione di competenze, individuando una sola persona fisica atta a fungere da punto di contatto con gli interessati e l'Autorità di controllo.

  • Responsabilizzazione - Accounting - Responsabilità
  • 1. La Responsabilizzazione (accountability): cos'è?

    Il regolamento pone con forza l'accento sulla "responsabilizzazione" (accountability nell'accezione inglese) di titolari e responsabili – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento.

    Si faccia riferimento a "Data Protection by Default" e a "Data Protection by Design".

    Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

  • 2. Data protection by default and by design

    L'espressione inglese "data protection by default and by design" corrisponde alla necessità di configurare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i requisiti" del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

    Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio ("sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso", secondo quanto afferma l'art. 25(1) del regolamento) e richiede, pertanto, un'analisi preventiva e un impegno applicativo da parte dei titolari che devono sostanziarsi in una serie di attività specifiche e dimostrabili.

    Fondamentali fra tali attività sono quelle connesse al secondo criterio individuato nel regolamento rispetto alla gestione degli obblighi dei titolari, ossia il rischio inerente al trattamento.

    Quest'ultimo è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati; tali impatti dovranno essere analizzati attraverso un apposito processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi . All'esito di questa valutazione di impatto il titolare potrà decidere in autonomia se iniziare il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero consultare l'autorità di controllo competente per ottenere indicazioni su come gestire il rischio residuale; l'autorità non avrà il compito di "autorizzare" il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell'art. 58: dall'ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento.