Leggenda
Obbligo, Adempimento, Cautela
Check-Point
Ispezione GdF
Check-Point
Audit di Conformità
"GDPR"
Obblighi, Adempimenti, Cautele
del Titolare del Trattamento
Consapevolezza e Responsabilizzazione
Acquisizione delle conoscenze in ambito Disciplina Privacy indispensabili a determinare il proprio livello di responsabilità nel trattamento di Dati Personali.
Il Titolare del trattamento deve predisporre una adeguata Struttura Organizzativa ed un Sistema di Gestione capace di mantenere la conformità a leggi e normative costituenti la Disciplina Privacy.
Decisioni volontarie
Adesione a codici di condotta/sistemi di certificazione (Artt. 40 e 42)
Si tratta di adempimenti volontari del titolare mediante i quali può implementare importanti misure di sicurezza dei trattamenti e dimostrare la conformità delle attività di trattamento ai requisiti stabiliti dal Regolamento.
Obbligatori in caso di
Incidenti/Violazioni
Obbligo di risarcimento del danno (Art. 82)
Il titolare è tenuto a risarcire il danno materiale o immateriale cagionato da una violazione del Regolamento. Egli è esonerato da tale responsabilità soltanto se dimostra che l'evento dannoso non gli è in alcun modo imputabile.
Comunicazione di una violazione dei dati all'Interessato - Data Breach (Art. 34)
Quando la violazione della sicurezza dei dati presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare deve darne notizia all'interessato senza ingiustificato ritardo. La norma fissa i requisiti di contenuto della comunicazione, che deve essere redatta con un linguaggio semplice e chiaro. Altresì la norma individua i casi in cui la detta comunicazione non è richiesta (per semplicità, quando il titolare ha adottato misure tali da scongiurare il rischio o quando la comunicazione richiederebbe sforzi sproporzionati.
Notifica di una violazione dei dati - Data Breach (Art. 33)
Rientra tra gli obblighi del titolare anche la notifica all'autorità di controllo (Garante) senza ingiustificato ritardo - e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza -, di ogni violazione della sicurezza dei dati personali che presenti un rischio per i diritti e le libertà delle persone fisiche.
Obbligo di cooperazione con l'Autorità di controllo (Art. 31)
Il titolare è tenuto a cooperare con l'autorità di controllo, quando quella gliene faccia richiesta.
Riferiti a Trattamenti di
particolari categorie di
Dati Personali
Cautele per il trasferimento dei dati in Paesi Terzi (Artt. 44, 45, 46, 47, 48 e 49)
Il trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale deve essere effettuato nel rispetto di specifiche condizioni affinché non sia pregiudicato il livello di protezione delle persone fisiche garantito dal Regolamento.
Nomina del Responsabile della Protezione dei dati - DPO (Artt. 37, 38 e 39)
La nomina del DPO è adempimento obbligatorio quando il titolare del trattamento: a) è autorità/organismo pubblico (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali); b) effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; c) effettua come attività principali trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari. Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza dell'adempimento della disciplina 'privacy'. E' anche l'interlocutore dell'autorità di controllo.
Redazione della Valutazione d'impatto sulla protezione dati
e consultazione dell'autorità di controllo
(Artt. 35 e 36)
Si tratta di un ulteriore adempimento che grava sul titolare che debba iniziare un trattamento molto rischioso per i diritti e le libertà delle persone fisiche. Ciò si può verificare, in particolare, quando sia implicato l'uso di nuove tecnologie, ovvero in considerazione di altre caratteristiche (natura, oggetto, contesto, finalità) del trattamento. Quando la valutazione di impatto indichi che il trattamento presenta un rischio elevato, prima di procedere al trattamento il titolare è tenuto a consultare l'autorità di controllo.
Adozione del Registro delle attività di Trattamento - DPO (Art. 30)
E' adempimento obbligatorio per il titolare del trattamento con almeno 250 dipendenti o che, anche al di sotto di tale soglia dimensionale, effettui un trattamento che possa presentare un rischio per i diritti e le libertà degli interessati che non sia occasionale o che includa dati sensibili, genetici, biometrici, giudiziari. Cuore del documento è una mappa dettagliata di tutti i trattamenti effettuati dall'organizzazione del titolare.
Nomina del Responsabile del Trattamento (Art. 28)
Il titolare può nominare un responsabile che effettui il trattamento per suo conto. Il titolare ha la responsabilità di scegliere per tale incarico un soggetto/organismo che presenti garanzie sufficienti per mettere in atto le prescritte misure tecniche e organizzative adeguate. Il Regolamento stabilisce un numero cospicuo di requisiti minimi di contenuto del contratto tra titolare e responsabile del trattamento.
Nomina del Rappresentante del Titolare (Art. 27)
Laddove si applichi l'art. 3.2 (trattamento di dati personali relativi ad interessati che si trovano nell'Unione da parte di titolare/responsabile non stabilito nell'UE), il titolare/responsabile designa per iscritto un proprio rappresentante nell'Unione. Il rappresentante è l'indefettibile interlocutore della competente autorità di controllo e degli interessati, per tutte le questioni riguardanti il trattamento.
Contitolarità del trattamento (Art. 26)
Nel caso in cui due o più titolari operano come Contitolari del trattamento (determinando congiuntamente finalità e mezzi del medesimo), concordano in modo trasparente, mediante un contratto, la ripartizione delle responsabilità del trattamento, con particolare riguardo all'esercizio dei diritti degli interessati e ai connessi obblighi informativi. Il contenuto essenziale dell'accordo deve essere messo a disposizione degli interessati.
Il particolare caso dei processi decisionali automatizzati (Art. 22)
E' riconosciuto il diritto dell'interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona (tra le operazioni contemplate dalla norma campeggia la profilazione come definita dall'art. 4.1, n. 4). Il correlativo divieto non si applica ove la decisione si basi sul consenso esplicito dell'interessato, sia necessaria per l'esecuzione di un contratto con l'interessato, ovvero sia autorizzata dal diritto dell'Unione o del singolo Stato membro.
Trattamento di dati relativi a condanne penali (Art. 10)
Il trattamento dei dati personali sostanzialmente corrispondenti a quelli oggi definiti 'giudiziari' deve avvenire, alternativamente, sotto il controllo della autorità pubblica ovvero previa autorizzazione proveniente da norme dell'Unione e del singolo Stato membro che prevedano garanzie appropriate per i diritti e le libertà degli interessati.
Trattamento di particolari categorie di dati (Art. 9)
E' formalizzato il divieto generale del trattamento dei dati corrispondenti a quelli attualmente definiti 'sensibili', oltre che dei dati genetici e biometrici. Dopodiché sono disposte specifiche eccezioni al divieto, come quelle relative alle ipotesi in cui: l'interessato ha prestato il consenso; i dati sono trattati per eseguire un contratto di lavoro e per le connesse esigenze di sicurezza/protezione sociale; i dati sono trattati a fini di tutela di un interesse vitale dell'interessato; i dati personali sono stati resi pubblici dall'interessato, ecc.
Il Consenso dei Minori a fronte di Servizi ICT (Art. 8)
Nei casi in cui è richiesto il consenso, il trattamento di dati relativo all'offerta diretta di servizi della società dell'informazione ai minori è lecito se il minore che ha prestato il consenso ha compiuto 16 anni. In caso di minori di 16 anni, deve essere acquisito il consenso di colui/coloro che ha/hanno la responsabilità genitoriale del minore e il titolare deve adoperarsi in ogni modo ragionevole, in considerazione delle tecnologie disponibili, per verificare la detta circostanza.
Nucleo incomprimibile
in assenza di Incidenti/Violazioni
Obbligo di istruzione da parte del Titolare (Art. 29)
Il titolare del trattamento deve previamente istruire tutti coloro che siano autorizzati ad accedere ai dati personali, compreso il responsabile del trattamento.
Richiesta specifica
Messa a disposizione di eventuali Nomine ad Incaricati
Istruzioni fornite e loro formazione
Lista dei Soggetti Autorizzati
Controllo 2.3.3
Controllo 1.1.4
Privacy by default - per impostazione predefinita (Art. 25.2)
Il titolare del trattamento attua misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalità del trattamento. Obbligo che vale per la quantità dei dati raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità ai dati stessi.
Privacy by design - fin dalla progettazione (Art. 25.1)
Tenendo conto delle specifiche caratteristiche del trattamento e dei connessi profili di rischio per i diritti e le libertà delle persone fisiche, all'atto del trattamento ovvero di determinare i mezzi del medesimo il titolare adotta misure tecniche e organizzative adeguate, in modo da attuare efficacemente i principi di protezione dei dati e da garantire nel trattamento i requisiti del Regolamento e la tutela dei diritti degli interessati.
Controlli 4.1
Misure di sicurezza adeguate (Artt. 24 e 32)
Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate al fine di garantire, ed essere in grado di dimostrare, la conformità del trattamento al Regolamento, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche. Le dette misure debbono essere periodicamente riesaminate e aggiornate.
Richiesto accesso ai Data Base per verifica corrispondenza con Registro Tratamenti.
Richiesto relazione sul Sistema Informatico
Verifica delle Misure Tecniche ed Organizzative
Controlli 5.4
Controlli 5.3
Controlli 5.2
Il rispetto dei Diritti dell'Interessato (Artt. 15, 16, 17, 18, 20, 21)
Il Regolamento formalizza un ampio catalogo di diritti che spettano all'interessato. Si tratta del diritto di accesso, del diritto di rettifica, del diritto alla cancellazione (più noto come diritto all'oblio), diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione al trattamento, con gli eventuali connessi obblighi di notifica/comunicazione gravanti sul titolare.
Procedure per i Diritti degli Interessati.
Approfondimento sulle modalità di richiesta offerte agli Interessati.
Controlli 3.5
Informativa all'Interessato (Artt. 13 e 14)
Adempimento basilare per qualsiasi titolare, si giova necessariamente di una buona capacità di analisi (in particolare) dei flussi dei trattamenti. L'informativa richiesta dal Regolamento UE è più ricca di informazioni di quella attuale e la sua redazione è operazione niente affatto banale: per esempio, il titolare deve esplicitarvi il periodo di conservazione dei dati personali, ovvero i criteri utilizzati per determinare tale periodo. Non in ultimo, il linguaggio dell'informativa deve essere semplice e chiaro. Si distinguono le due fattispecie in cui la comunicazione delle informazioni è da correlare alla raccolta dei dati presso l'interessato ovvero presso un soggetto diverso.
Modalità con cui è fornita la Informativa
Periodo o Criteri di conservazione dei Dati Personali
Trasparenza nella gestione dei trattamenti (Art. 12)
Il titolare è tenuto ad adottare misure appropriate per fornire all'interessato tutte le informazioni/comunicazioni relative ai trattamenti gestiti dalla propria organizzazione, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il titolare è tenuto ad agevolare l'esercizio dei diritti da parte dell'interessato e, in particolare, a fornire un riscontro alla richiesta del medesimo senza ingiustificato ritardo e comunque entro un mese dal ricevimento della medesima (prorogabile di due mesi ove necessario, tenuto conto della complessità e del numero delle richieste).
Controlli 3.4
Acquisizione del consenso da parte dell'interessato
e casistica di esonero dal relativo obbligo. (Artt. 6 e 7)
Ciascun titolare deve distinguere i casi in cui per eseguire un trattamento è richiesto il (previo) consenso dell'interessato, da quelli in cui non è necessario acquisirlo. La richiesta del consenso deve essere presentata in modo distinto da altre richieste, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Quando per un trattamento è necessario il consenso, il titolare deve essere in grado di dimostrare che il consenso è stato effettivamente prestato.
Metodologia acquisizione Consenso
Controllo 3.3.6
Controllo 3.2.4
Controllo 3.2.3
Controllo 3.2.2
I principi applicabili al trattamento dei dati personali. (Art. 5)
I dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell'interessato. Le finalità devono essere determinate, esplicite e legittime; i dati: adeguati, pertinenti, esatti ed aggiornati, oltre che limitati a quanto necessario rispetto alle finalità, e comunque da trattare in modo da garantirne un'adeguata sicurezza.
Controlli 3.3
Controllo 3.2.1
Controlli 3.1
