la persona fisica o giuridica, l'autorità pubblica, il ......•Rispeo delle norme in materia di...
Transcript of la persona fisica o giuridica, l'autorità pubblica, il ......•Rispeo delle norme in materia di...
I SOGGETTI: TITOLARE
la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri
Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento,
essi sono contitolari del trattamento
I SOGGETTI: CON-TITOLARE
la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per
conto del titolare del trattamento;
I SOGGETTI: RESPONSABILE (esterno)
ELEMENTI DEL RAPPORTO: • nomina del responsabi le : contrat to o at to g iur id ico • I sub- responsabi l i • Gl i adempiment i : reg is t ro de i t rat tament i , la s icurezza dei dat i , segnalaz ione d i una v io laz ione dei dat i (Data Breach) , nomina del DPO (Data Protect ion Of f icer ) • Gl i audi t e i contro l l i su l responsabi le
L ’ A C CORDO T RA T I T O L A R E E R E S PON SAB I L E d e v e c o n t e n e r e :
• Impe gno a d a g i r e s o l o i n man i e r a c o n f o rme a l l e i s t r u z i o n i d e l T i t o l a r e ; • Impe gno a d impo r r e o bb l i g h i d i r i s e r v a t e z z a s u t uFo i l p e r s on a l e c h e t r aFa i d aG d e l G t o l a r e ; • Impe gno a g a r a nG r e l a s i c u r e z z a d e i d aG p e r s ona l i ; • R i s p eFo d e l l e n o rme i n ma t e r i a d i n om i n a d e i s u b -r e s pon s ab i l i ; • Obb l i g o d i aFua r e m i s u r e p e r a i u t a r e i l G t o l a r e n e l r i s p eFa r e i d i r iI d e l l e p e r s one i n t e r e s s a t e ; • Con s e guen z e i n c a s o d i c e s s a z i o n e d e l r a ppo r t o • Obb l i g o fi f o r n i r e a l G t o l a r e t uFe l e i n f o rma z i o n i n e c e s s a r i e p e r d imo s t r a r e l a c o n f o rm i t à a l r e g o l amen t o .
ANALISI DEI FORNITORI
Questo fornitore tratta dati di cui sono titolare?
Non devo fare niente NO
SI Va regolamentato il rapporto
• Come viene trattato il dato? • Il dato viene dato il fornitore? • Se il dato viene dato al fornitore: dove viene conservato,
con quali misure di sicurezza, in che modo garantisco il controllo, etc…
• Quanto scritto nel contratto, corrisponde alla realtà? • Viene fornito un software o un’applicazione? Ho
verificato il rispetto del privacy by design?
Persone autorizzate al trattamento dei dati personali sotto
l’autorità diretta del titolare o del responsabile
I SOGGETTI: L’ADDETTO/ TERZI
… E GLI INCARICATI DEL TRATTAMENTO?
IlPrivacyOfficer,definitoancheChiefPrivacyOfficernellestru9uredigrandidimensioni,èun dirigente oppure
di altodi
unlivello,funzionario
all’interno un’azienda ou n ’ o r g a n i z z a z i o n e ,responsabile fondamentalmentedella ges@onedei rischi edell’impa9o della norma@vae delle poli@cheprivacy sulleaAvitàconcernen@
I SOGGETTI: DATA PROTECTION OFFICER
. . . Tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività p r i n c i p a l e , e f f e t t u i n o u n m o n i t o r a g g i o r e g o l a r e e sistematico e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali. (dati sensibili).
Chi deve avere un data protection officer?
Cosa si intende per “LargaScala” INDICATORI:
Y Il numero di soggeA interessa@ dal tra9amento, in terminiassolu@ ovvero espressi in percentuale della popolazione diriferimento;
Y Ilvolumedeida@e/olediverse@pologiedida@ogge9oditra9amento;
Y Ladurata,ovverolapersistenza,dell’aAvitàditra9amento;Y Laportatageograficadell’aAvitàditra9amento
Cosasiintendeper“MonitoraggioRegolareesistemaGco”
O IlConsiderando
Comportamento di de- interessa/ ricomprendendovi senzadubbio tu9e le forme di tracciamento e profilazione suInternetancheperfinalitàdipubblicitàcomportamentale.
O Il tracciamento online va considerato solo uno deipossibili esempi di monitoraggio del comportamento degliinteressa@.
Cosa si intende per “ Regolare” O cheavvieneinmodocon@nuoovveroaintervallidefinitiperunarcoditempodefinito;
O Ricorrenteoripetutoaintervallicostanti;O Cheavvieneinmodocostanteoaintervalliperiodici.
Cosa si intende per “ Sistema@co”
O cheavvienepersistema;O Predeterminato,organizzatoometodico;O Chehaluogonell’ambitodiunproge9ocomplessivodiraccoltadida@;O Svoltonell’ambitodiunastrategia.
Il responsabile della protezione dei da@ può essere undipendente del @tolare del tra9amento o del responsabile deltra9amentooppureassolvereisuoicompi@inbaseauncontra9odiservizi(Art.37,c5eWP243).UngruppoimprenditorialepuònominareununicoDPO Autonomiaeindipendenza(Art.38).
I SOGGETTI: DATA PROTECTION OFFICER
Oltreafavorirel’osservanzaa9raversostrumen@diaccountability(peresempio,supportandoosvolgendovalutazionidiimpa9oeauditinmateriadiprotezionedeida@),iDPOfungonodainterfacciafraisoggeAcoinvol@:autoritàdicontrollo,interessa@,divisioniopera@veall’internodiun’aziendaodiunente(art.39)
I SOGGETTI: DATA PROTECTION OFFICER
COMPITI
• Sorvegliare l’osservanza del Regolamento
• Ruolo nella Valutazione di Impatto sulla protezione dei dati
• Cooperazione con l’autorità di controllo e funzione di punto di contatto
• Approccio basato sul rischio • Ruolo nella tenuta dei registri •
I DPOnonrispondonopersonalmenteincasodiinosservanzadel GDPR. Quest’ul@mochiarisce che spe9a al @tolare o alresponsabile del tra9amento garan@re ed essere ingradodidimostrare che le operazioni di tra9amento sono conformi alledisposizionidelregolamentostesso(ar@colo24,primoparagrafo).L’onere di assicurare il rispe9o della norma@va in materia diprotezionedeida@ricadesul@tolareosulresponsabile.
I SOGGETTI: DATA PROTECTION OFFICER
Esempio di organigramma/ MAPPA dei soggetti coinvolti
Titolare del trattamento
Addetti: Viste specialistiche Addetti: Marketing Addetti:
amministrazione Addetti: personale
accettazione
Responsabile esterno Cloud
CED – Amministratori di
Sistema
Responsabile esterno consulente
del lavoro
DATA PROTECTION OFFICER