I SOGGETTI: TITOLARE

la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento,

essi sono contitolari del trattamento

I SOGGETTI: CON-TITOLARE

la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per

conto del titolare del trattamento;

I SOGGETTI: RESPONSABILE (esterno)

ELEMENTI DEL RAPPORTO: • nomina del responsabi le : contrat to o at to g iur id ico   • I sub- responsabi l i   • Gl i adempiment i : reg is t ro de i t rat tament i , la s icurezza dei dat i , segnalaz ione d i una v io laz ione dei dat i (Data Breach) , nomina del DPO (Data Protect ion Of f icer ) • Gl i audi t e i contro l l i su l responsabi le

L ’ A C CORDO T RA T I T O L A R E E R E S PON SAB I L E d e v e c o n t e n e r e :

• Impe gno a d a g i r e s o l o i n man i e r a c o n f o rme a l l e i s t r u z i o n i d e l T i t o l a r e ; • Impe gno a d impo r r e o bb l i g h i d i r i s e r v a t e z z a s u t uFo i l p e r s on a l e c h e t r aFa i d aG d e l G t o l a r e ; • Impe gno a g a r a nG r e l a s i c u r e z z a d e i d aG p e r s ona l i ; • R i s p eFo d e l l e n o rme i n ma t e r i a d i n om i n a d e i s u b -r e s pon s ab i l i ; • Obb l i g o d i aFua r e m i s u r e p e r a i u t a r e i l G t o l a r e n e l r i s p eFa r e i d i r iI d e l l e p e r s one i n t e r e s s a t e ; • Con s e guen z e i n c a s o d i c e s s a z i o n e d e l r a ppo r t o • Obb l i g o fi f o r n i r e a l G t o l a r e t uFe l e i n f o rma z i o n i n e c e s s a r i e p e r d imo s t r a r e l a c o n f o rm i t à a l r e g o l amen t o .

ANALISI DEI FORNITORI

Questo fornitore tratta dati di cui sono titolare?

Non devo fare niente NO

SI Va regolamentato il rapporto

•  Come viene trattato il dato? •  Il dato viene dato il fornitore? •  Se il dato viene dato al fornitore: dove viene conservato,

con quali misure di sicurezza, in che modo garantisco il controllo, etc…

•  Quanto scritto nel contratto, corrisponde alla realtà? •  Viene fornito un software o un’applicazione? Ho

verificato il rispetto del privacy by design?

Persone autorizzate al trattamento dei dati personali sotto

l’autorità diretta del titolare o del responsabile

I SOGGETTI: L’ADDETTO/ TERZI

… E GLI INCARICATI DEL TRATTAMENTO?

IlPrivacyOfficer,definitoancheChiefPrivacyOfficernellestru9uredigrandidimensioni,èun dirigente oppure

di altodi

unlivello,funzionario

all’interno un’azienda ou n ’ o r g a n i z z a z i o n e ,responsabile fondamentalmentedella ges@onedei rischi edell’impa9o della norma@vae delle poli@cheprivacy sulleaAvitàconcernen@

I SOGGETTI: DATA PROTECTION OFFICER

. . . Tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività p r i n c i p a l e , e f f e t t u i n o u n m o n i t o r a g g i o r e g o l a r e e sistematico e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali. (dati sensibili).

Chi deve avere un data protection officer?

Cosa si intende per “LargaScala” INDICATORI:

Y Il numero di soggeA interessa@ dal tra9amento, in terminiassolu@ ovvero espressi in percentuale della popolazione diriferimento;

Y Ilvolumedeida@e/olediverse@pologiedida@ogge9oditra9amento;

Y Ladurata,ovverolapersistenza,dell’aAvitàditra9amento;Y Laportatageograficadell’aAvitàditra9amento

Cosasiintendeper“MonitoraggioRegolareesistemaGco”

O IlConsiderando

Comportamento di de- interessa/ ricomprendendovi senzadubbio tu9e le forme di tracciamento e profilazione suInternetancheperfinalitàdipubblicitàcomportamentale.

O Il tracciamento online va considerato solo uno deipossibili esempi di monitoraggio del comportamento degliinteressa@.

Cosa si intende per “ Regolare” O cheavvieneinmodocon@nuoovveroaintervallidefinitiperunarcoditempodefinito;

O Ricorrenteoripetutoaintervallicostanti;O Cheavvieneinmodocostanteoaintervalliperiodici.

Cosa si intende per “ Sistema@co”

O cheavvienepersistema;O Predeterminato,organizzatoometodico;O Chehaluogonell’ambitodiunproge9ocomplessivodiraccoltadida@;O Svoltonell’ambitodiunastrategia.

Il responsabile della protezione dei da@ può essere undipendente del @tolare del tra9amento o del responsabile deltra9amentooppureassolvereisuoicompi@inbaseauncontra9odiservizi(Art.37,c5eWP243).UngruppoimprenditorialepuònominareununicoDPO Autonomiaeindipendenza(Art.38).

I SOGGETTI: DATA PROTECTION OFFICER

Oltreafavorirel’osservanzaa9raversostrumen@diaccountability(peresempio,supportandoosvolgendovalutazionidiimpa9oeauditinmateriadiprotezionedeida@),iDPOfungonodainterfacciafraisoggeAcoinvol@:autoritàdicontrollo,interessa@,divisioniopera@veall’internodiun’aziendaodiunente(art.39)

I SOGGETTI: DATA PROTECTION OFFICER

COMPITI

•  Sorvegliare l’osservanza del Regolamento

•  Ruolo nella Valutazione di Impatto sulla protezione dei dati

•  Cooperazione con l’autorità di controllo e funzione di punto di contatto

•  Approccio basato sul rischio •  Ruolo nella tenuta dei registri • 

I DPOnonrispondonopersonalmenteincasodiinosservanzadel GDPR. Quest’ul@mochiarisce che spe9a al @tolare o alresponsabile del tra9amento garan@re ed essere ingradodidimostrare che le operazioni di tra9amento sono conformi alledisposizionidelregolamentostesso(ar@colo24,primoparagrafo).L’onere di assicurare il rispe9o della norma@va in materia diprotezionedeida@ricadesul@tolareosulresponsabile.

I SOGGETTI: DATA PROTECTION OFFICER

Esempio di organigramma/ MAPPA dei soggetti coinvolti

Titolare del trattamento

Addetti: Viste specialistiche Addetti: Marketing Addetti:

amministrazione Addetti: personale

accettazione

Responsabile esterno Cloud

CED – Amministratori di

Sistema

Responsabile esterno consulente

del lavoro

DATA PROTECTION OFFICER