LA NUOVA NORMATIVA PRIVACY: L IMPATTO DEL REGOLAMENTO UE 2016/679 NEGLI STUDI PROFESSIONALI CATANZARO, 17 MAGGIO 2018 AVV. CARLO NOCERA
LE FINALITÀ DEL REGOLAMENTO
LE DEFINIZIONI
LE DEFINIZIONI
L AMBITO DI APPLICAZIONE MATERIALE TRATTAMENTO DATI PERSONALI INTERAMENTE AUTOMATIZZATO TRATTAMENTO DATI PERSONALI PARZIALMENTE AUTOMATIZZATO TRATTAMENTO NON AUTOMATIZZATO DI DATI PERSONALI CONTENUTI O DESTINATI IN UN ARCHIVIO
GLI AMBITI ESCLUSI DALL APPLICAZIONE DEL REGOLAMENTO EFFETTUATI PER ATTIVITÀ NON RIENTRANTI NELL AMBITO DI APPLICAZIONE DEL DIRITTO UE EFFETTUATI DAGLI STATI MEMBRI NELL ESERCIZIO DI ATTIVITÀ DA AZIONE ESTERNA DELL'UNIONE, POLITICA ESTERA E SICUREZZA COMUNE TRATTAMENTO DATI PERSONALI EFFETTUATI DA PERSONA FISICA PER L ESERCIZIO DI ATTIVITÀ A CARATTERE ESCLUSIVAMENTE PERSONALE O DOMESTICO EFFETTUATI DALLE AUTORITÀ PER FINI DI PREVENZIONE, INDAGINE, ACCERTAMENTO O PERSEGUIMENTO REATI O ESECUZIONE SANZIONI PENALI
L AMBITO DI APPLICAZIONE TERRITORIALE Trattamento effettuato in UE in uno stabilimento da parte di titolare o responsabile del trattamento nell UE Trattamento effettuato extra UE in uno stabilimento da parte di titolare o responsabile del trattamento nell UE Trattamento di dati di interessati che si trovano in UE effettuato da titolare o responsabile del trattamento non stabilito in UE per offerta beni o servizi o monitoraggio comportamenti
I PRINCIPI GENERALI DEL TRATTAMENTO LICEITÀ CORRETTEZZA TRASPARENZA LIMITAZIONE DELLA FINALITÀ MINIMIZZAZIONE ESATTEZZA LIMITAZIONE CONSERVAZIONE INTEGRITÀ E CORRETTEZZA RESPONSABILIZZAZIONE (ACCOUNTABILITY)
I PRINCIPI GENERALI DEL TRATTAMENTO LICEITÀ Rispetto delle norme generali e specifiche dell ordinamento CORRETTEZZA Rispetto di norme etiche, non codificate, volte ad equilibrare le posizioni TRASPARENZA Garanzia di conoscenza adeguata del trattamento per l interessato, anche a fini di esercizio dei diritti LIMITAZIONE DELLA FINALITÀ Obiettivi del trattamento devono essere determinati, espliciti e legittimi
I PRINCIPI GENERALI DEL TRATTAMENTO MINIMIZZAZIONE I dati devono essere adeguati, pertinenti e limitati al necessario tenuto conto delle finalità ESATTEZZA I dati devono essere esatti e aggiornati. Necessarie le misure per cancellazione o rettifica dati inesatti LIMITAZIONE DELLA CONSERVAZIONE Conservazione in forma che consenta identificazione interessati per un arco di tempo non superiore al conseguimento della finalità per la quale sono trattati INTEGRITÀ E RISERVATEZZA Trattamento in modo da garantire adeguata sicurezza dei dati personali, avverso trattamenti non autorizzati o illeciti, perdita o distruzione
I PRINCIPI GENERALI DEL TRATTAMENTO Responsabilizzazione (Accountability) Obbligo per il titolare di rispettare il Regolamento Obbligo per il titolare di comprovare correttezza ed esecuzione degli adempimenti
GLI INGRANAGGI DELLA «RESPONSABILIZZAZIONE» ESECUZIONE ADEMPIMENTO DIMOSTRAZIONE ESECUZIONE ADEMPIMENTO VIGILANZA SULLA PERMANENZA DELLA CORRETTEZZA ADEMPIMENTO
LA LICEITÀ DEL TRATTAMENTO CONSENSO PERSEGUIMENTO LEGITTIMO INTERESSE DEL TITOLARE ESISTENZA DI UN CONTRATTO O TRATTATIVE PRE- CONTRATTUALI SALVAGUARDIA INTERESSI VITALI PERSONA FISICA ESECUZIONE OBBLIGO LEGALE
IL CONSENSO ONERE DELLA PROVA DIMOSTRAZIONE DA PARTE DEL TITOLARE DELL AVVENUTA PRESTAZIONE DEL CONSENSO DA PARTE DELL INTERESSATO CHIAREZZA DIRITTO DI REVOCA CONSENSO PRESTATO NEL CONTESTO DI UNA DICHIARAZIONE SCRITTA CHE RIGUARDA ANCHE ALTRE QUESTIONI, RICHIESTA CHIARAMENTE DISTINGUIBILE DALLE ALTRE MATERIE E IN FORMA COMPRENSIBILE DIRITTO DI REVOCA DEL CONSENSO IN QUALSIASI MOMENTO SENZA PREGIUDIZIO DELLA LICEITÀ DEL TRATTAMENTO ANTE REVOCA LIBERTÀ MASSIMA CONSIDERAZIONE SU ESECUZIONE DI UN CONTRATTO CONDIZIONATA ALLA PRESTAZIONE DEL CONSENSO AL TRATTAMENTO DI DATI PERSONALI NON NECESSARIO ALL ESECUZIONE DI TALE CONTRATTO
LE «CATEGORIE PARTICOLARI» DI DATI PERSONALI ORIGINE RAZZIALE O ETNICA OPINIONI POLITICHE CONVINZIONI RELIGIOSE O FILOSOFICHE APPARTENENZA SINDACALE DATI GENETICI DATI BIOMETRICI DATI RELATIVI ALLA SALUTE DATI RELATIVI ALLA VITA SESSUALE DATI RELATIVI ALL ORIENTAMENTO SESSUALE DELLA PERSONA DIVIETO DI TRATTAMENTO
IL TRATTAMENTO DELLE «CATEGORIE PARTICOLARI» DI DATI PERSONALI CONSENSO DELL INTERESSATO DATI RESI PUBBLICI DALL INTERESSATO OBBLIGHI E ESERCIZIO DIRITTI IN MATERIA LAVORISTICA E SICUREZZA SOCIALE TRATTAMENTO EFFETTUATO DA ORGANISMI NEI CONFRONTI DEI PROPRI MEMBRI TUTELA INTERESSE VITALE INTERESSATO
IL TRATTAMENTO DELLE «CATEGORIE PARTICOLARI» DI DATI PERSONALI ACCERTAMENTO ESERCIZIO O DIFESA DIRITTO IN SEDE GIUDIZIARIA ARCHIVIAZIONE PUBBLICO INTERESSE E FINALITÀ DI RICERCA INTERESSE PUBBLICO PROPORZIONATO A FINALITÀ PERSEGUITA INTERESSE PUBBLICO PER FINI PROTETTIVI NELLA SANITÀ PUBBLICA MEDICINA PREVENTIVA O DEL LAVORO, DIAGNOSI E TERAPIA SANITARIA
LE INFORMAZIONI ALL INTERESSATO IDENTITÀ E DATI DI CONTATTO DEL TITOLARE DEL TRATTAMENTO E, OVE APPLICABILE, DEL SUO RAPPRESENTANTE DATI DI CONTATTO DEL RESPONSABILE DELLA PROTEZIONE DEI DATI FINALITÀ DEL TRATTAMENTO CUI SONO DESTINATI I DATI PERSONALI NONCHÉ BASE GIURIDICA DEL TRATTAMENTO TRATTAMENTO BASATO SU LEGITTIMO INTERESSE DEL TITOLARE O DI TERZI, I LEGITTIMI INTERESSI PERSEGUITI DAL TITOLARE DEL TRATTAMENTO O DA TERZI EVENTUALI DESTINATARI O CATEGORIE DI DESTINATARI DEI DATI PERSONALI L INTENZIONE DEL TITOLARE DEL TRATTAMENTO DI TRASFERIRE DATI PERSONALI A UN PAESE TERZO O A UN ORGANIZZAZIONE INTERNAZIONALE E L ESISTENZA O L ASSENZA DI UNA DECISIONE DI ADEGUATEZZA DELLA COMMISSIONE O IL RIFERIMENTO ALLE GARANZIE APPROPRIATE O OPPORTUNE E I MEZZI PER OTTENERE UNA COPIA DI TALI DATI O IL LUOGO DOVE SONO STATI RESI DISPONIBILI
LE INFORMAZIONI ALL INTERESSATO PERIODO CONSERVAZIONE DATI O CRITERI UTILIZZATI PER DETERMINAZIONE PERIODO ESISTENZA DIRITTI DELL INTERESSATO ESISTENZA DIRITTO DI REVOCA DEL CONSENSO IN QUALSIASI MOMENTO SENZA PREGIUDICARE LA LICEITÀ DEL TRATTAMENTO BASATA SUL CONSENSO PRESTATO ANTE REVOCA DIRITTO DI PROPORRE RECLAMO A UN'AUTORITÀ DI CONTROLLO SE LA COMUNICAZIONE DI DATI PERSONALI È UN OBBLIGO LEGALE O CONTRATTUALE OPPURE UN REQUISITO NECESSARIO PER LA CONCLUSIONE DI UN CONTRATTO, E SE L'INTERESSATO HA L'OBBLIGO DI FORNIRE I DATI PERSONALI NONCHÉ LE POSSIBILI CONSEGUENZE DELLA MANCATA COMUNICAZIONE DI TALI DATI ESISTENZA DI PROCESSO DECISIONALE AUTOMATIZZATO, COMPRESA LA PROFILAZIONE, ANCHE PER CATEGORIE PARTICOLARI DI DATI PERSONALI, E INFORMAZIONI SIGNIFICATIVE SULLA LOGICA UTILIZZATA, NONCHÉ L'IMPORTANZA E LE CONSEGUENZE PREVISTE DI TALE TRATTAMENTO PER L'INTERESSATO
L INFORMATIVA DA RACCOLTA «DIRETTA» DATI CONTATTO TITOLARE TRATTAMENTO E DPO FINALITÀ E BASE GIURIDICA TRATTAMENTO LEGITTIMI INTERESSI DEL TITOLARE O DI TERZI DESTINATARI O CATEGORIE DESTINATARI DATI PERSONALI INTENZIONE TRASFERIMENTO DATI PERIODO CONSERVAZIONE DATI ESISTENZA DIRITTI INTERESSATO ESISTENZA OBBLIGO LEGALE O CONTRATTUALE ESISTENZA PROCESSO DECISIONALE AUTOMATIZZATO (PROFILAZIONE)
I DIRITTI DELL INTERESSATO TRASPARENZA INFORMATIVA ACCESSO RETTIFICA OBLIO LIMITAZIONE TRATTAMENTO PORTABILITÀ DATI OPPOSIZIONE AL TRATTAMENTO DIVIETO DI PROFILAZIONE
LE «FIGURE» DELLA PRIVACY INTERESSATO TITOLARE RESPONSABILE
LE «FIGURE» DELLA PRIVACY: L INTERESSATO Presta il consenso al trattamento Esercita i diritti riconosciuti dal Regolamento Propone reclamo all Autorità di controllo Propone ricorso giurisdizionale Fornisce mandato di rappresentanza ad organismi o associazioni di tutela INTERESSATO
LE «FIGURE» DELLA PRIVACY: IL TITOLARE DEL TRATTAMENTO Individua il rischio connesso al trattamento (accountability) Pone in sicurezza l attività di trattamento dei dati (accountability) Mette in atto misure tecniche e organizzative adeguate a garantire che il trattamento è effettuato conformemente al Regolamento (accountability) Rilascia l informativa all interessato Attende all esercizio dei diritti dell interessato Fornisce dimostrazione che il trattamento è effettuato conformemente al Regolamento (accountability) Esamina e aggiorna il trattamento ove necessario (accountability) TITOLARE
LE «FIGURE» DELLA PRIVACY: IL TITOLARE DEL TRATTAMENTO Nomina il Responsabile del trattamento dei dati Vigila sull osservanza del contratto di nomina del Responsabile del trattamento dei dati (accountability) Compila il registro del trattamento dei dati (accountability) Nomina il Responsabile della Protezione dei dati (DPO/RPD) Coopera con l Autorità di controllo TITOLARE
LE «FIGURE» DELLA PRIVACY: IL TITOLARE DEL TRATTAMENTO Notifica l eventuale violazione dei dati personali Documenta la violazione dei dati personali Comunica la violazione dei dati personali Effettua la «valutazione d impatto» (DPIA) Effettua la «consultazione preventiva» TITOLARE
NOZIONE DI «RISCHIO» Per «rischio» si intende uno scenario descrittivo di un evento e delle relative conseguenze, che sono stimate in termini di gravità e probabilità per i diritti e le libertà
NOZIONE DI «RISCHIO» ORIGINE NATURA GRAVITÀ PROBABILITÀ IMPATTO SU DIRITTI E LIBERTÀ RISCHIO
LA GESTIONE DEL «RISCHIO» 1. Gestione rischio misure di sicurezza 2. Rischio riferito all Interessato (NO Titolare!) 3. Valutazione rischio riferita a «sicurezza» ed «effetti complessivi» del trattamento
LA GESTIONE DEL «RISCHIO»: LA SICUREZZA DEL TRATTAMENTO DISPONIBILITÀ Distruzione Indisponibilità Perdita INTEGRITÀ Alterazione RISERVATEZZA Divulgazione Accesso
LA GESTIONE DEL «RISCHIO»: GLI EFFETTI DEL TRATTAMENTO DANNO PER REPUTAZIONE DISCRIMINAZIONE E SVANTAGGI ECONOMICI O SOCIALI FURTO DI IDENTITÀ PERDITE FINANZIARIE PRECLUSIONE ESERCIZIO DIRITTI DANNI FISICI O PSICOLOGICI
INDIVIDUAZIONE E GESTIONE DEL «RISCHIO» Rischio = Probabilità * Danno P 3 3 6 9 2 1 2 4 6 1 2 3 1 2 3 D
INDIVIDUAZIONE E GESTIONE DEL «RISCHIO» Rischio = Probabilità * Danno R > 6 3 < R < 4 1 < R < 2 AZIONI IMMEDIATE AZIONI URGENTI AZIONI DA PROGRAMMARE
LA SICUREZZA DEL TRATTAMENTO: GLI ASPETTI RILEVANTI Stato dell'arte Costi di attuazione Natura del trattamento Oggetto del trattamento Contesto e finalità del trattamento Rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche
LA SICUREZZA DEL TRATTAMENTO: LE MISURE «ESEMPLIFICATIVE» Pseudonimizzazione e cifratura dei dati personali Capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento Capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico Realizzazione di una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento
LE MISURE PER LA GESTIONE DEL «RISCHIO» MISURE ORGANIZZATIVE MISURE TECNOLOGICHE CONSERVAZIONE ADEGUATA CIFRATURA DATI ANONIMI MINIMIZZAZIONE
LE «FIGURE» DELLA PRIVACY: IL RESPONSABILE DEL TRATTAMENTO Tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza Adotta tutte le misure richieste in materia di sicurezza del trattamento RESPONSABILE
LE «FIGURE» DELLA PRIVACY: IL RESPONSABILE DEL TRATTAMENTO Rispetta le condizioni previste dalla legge nei casi di ricorso a un altro responsabile del trattamento Tenendo conto della natura del trattamento, assiste il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato Assiste il titolare del trattamento nel garantire il rispetto degli obblighi in materia di sicurezza e di comunicazioni nei casi di violazione di dati personali, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento RESPONSABILE
LE «FIGURE» DELLA PRIVACY: IL RESPONSABILE DEL TRATTAMENTO Su scelta del titolare del trattamento, cancella o restituisce tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancella le copie esistenti, salvo che il diritto dell'unione o degli Stati membri preveda la conservazione dei dati Mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi contrattuali e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato RESPONSABILE
IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO: GLI OBBLIGHI ORGANIZZAZIONI O IMPRESE CON ALMENO 250 DIPENDENTI TRATTAMENTO «RISCHIOSO» PER DIRITTI E LIBERTÀ INTERESSATO TRATTAMENTO NON OCCASIONALE O INCLUSIVO DI CATEGORIE PARTICOLARI DI DATI O DATI RELATIVI A CONDANNE PENALI E REATI
IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO: LE OPPORTUNITÀ CORRETTA VALUTAZIONE DEI FLUSSI E DEI PROCESSI CORRETTA VALUTAZIONE DEL RISCHIO ASSOLVIMENTO OBBLIGHI IN MATERIA DI ACCOUNTABILITY
IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO DEL TITOLARE Nome e dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati Descrizione generale misure di sicurezza tecniche e organizzative Finalità del trattamento Termini ultimi previsti per la cancellazione delle diverse categorie di dati Descrizione categorie di interessati e di dati personali Trasferimenti di dati personali verso un Paese terzo o un'organizzazione internazionale e per i trasferimenti effettuati verso un registro a consultazione pubblica per legittimo interesse, la documentazione delle garanzie adeguate Categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
IL REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO DEL RESPONSABILE Nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati Descrizione generale delle misure di sicurezza tecniche e organizzative Categorie dei trattamenti effettuati per conto di ogni titolare del trattamento Trasferimenti di dati personali verso un Paese terzo o un'organizzazione internazionale e per i trasferimenti effettuati verso un registro a consultazione pubblica per legittimo interesse, la documentazione delle garanzie adeguate
LE «FIGURE» DELLA PRIVACY: IL D.P.O. Informa e fornisce consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dalla legge Sorveglia l'osservanza del Regolamento, di altre disposizioni dell'unione o degli Stati membri relative alla protezione dei dati Sorveglia l osservanza delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo
LE «FIGURE» DELLA PRIVACY: IL D.P.O. Fornisce, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento Coopera con l Autorità di controllo Funge da punto di contatto per l Autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva, ed effettua, se del caso, consultazioni relativamente a qualunque altra questione
LE «FIGURE» DELLA PRIVACY: L IDENTIKIT DEL D.P.O. Inesistenza albo, ordine o ruolo che possa attribuire legittimità, con la relativa appartenenza, alla figura del Responsabile della protezione dei dati personali Figura da designare in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati Capacità di assolvere i compiti previsti dal Regolamento
LE «FIGURE» DELLA PRIVACY: IL D.P.O. OBBLIGATORIO Quando il trattamento è effettuato da un autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali Quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala Quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati
LE «FIGURE» DELLA PRIVACY: L AUTONOMIA DEL D.P.O. Obbligo per Titolare e Responsabile del trattamento di coinvolgere il DPO in tutte le questioni riguardanti la protezione dei dati personali Obbligo per Titolare e Responsabile del trattamento di sostenere il DPO nell'esecuzione dei compiti attribuiti mediante fornitura delle risorse necessarie per assolverli e nel mantenimento della propria conoscenza specialistica
LE «FIGURE» DELLA PRIVACY: L AUTONOMIA DEL D.P.O. Divieto di rimozione o di penalizzazione del DPO da parte del Titolare del trattamento o del Responsabile del trattamento per l'adempimento dei propri compiti Divieto di impartire istruzioni al DPO per quanto riguarda l esecuzione dei compiti normativamente previsti Referti del DPO da rivolgere direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento Obbligo di segretezza e riservatezza in merito all adempimento dei propri compiti
LE RESPONSABILITÀ «CHIUNQUE SUBISCA UN DANNO MATERIALE O IMMATERIALE CAUSATO DA UNA VIOLAZIONE DEL PRESENTE REGOLAMENTO HA DIRITTO DI OTTENERE IL RISARCIMENTO DEL DANNO DAL TITOLARE DEL TRATTAMENTO O DAL RESPONSABILE DEL TRATTAMENTO» (Art. 82 GDPR)
LE RESPONSABILITÀ SOGGETTIVE «UN TITOLARE DEL TRATTAMENTO COINVOLTO NEL TRATTAMENTO RISPONDE PER IL DANNO CAGIONATO DAL SUO TRATTAMENTO CHE VIOLI IL PRESENTE REGOLAMENTO» (Art. 82, P. 2, GDPR)
LE RESPONSABILITÀ SOGGETTIVE «UN RESPONSABILE DEL TRATTAMENTO RISPONDE PER IL DANNO CAUSATO DAL TRATTAMENTO SOLO SE NON HA ADEMPIUTO GLI OBBLIGHI DEL PRESENTE REGOLAMENTO SPECIFICAMENTE DIRETTI AI RESPONSABILI DEL TRATTAMENTO O HA AGITO IN MODO DIFFORME O CONTRARIO RISPETTO ALLE LEGITTIME ISTRUZIONI DEL TITOLARE DEL TRATTAMENTO» (Art. 82, P. 2 GDPR)
L ESIMENTE DALLA RESPONSABILITÀ «IL TITOLARE DEL TRATTAMENTO O IL RESPONSABILE DEL TRATTAMENTO È ESONERATO DALLA RESPONSABILITÀ, A NORMA DEL PARAGRAFO 2, SE DIMOSTRA CHE L EVENTO DANNOSO NON GLI È IN ALCUN MODO IMPUTABILE» (ART. 82, P. 3, GDPR)
LA RESPONSABILITÀ «SOLIDALE» «QUALORA PIÙ TITOLARI DEL TRATTAMENTO O RESPONSABILI DEL TRATTAMENTO OPPURE ENTRAMBI IL TITOLARE DEL TRATTAMENTO E IL RESPONSABILE DEL TRATTAMENTO SIANO COINVOLTI NELLO STESSO TRATTAMENTO E SIANO, AI SENSI DEI PARAGRAFI 2 E 3, RESPONSABILI DELL EVENTUALE DANNO CAUSATO DAL TRATTAMENTO, OGNI TITOLARE DEL TRATTAMENTO O RESPONSABILE DEL TRATTAMENTO È RESPONSABILE IN SOLIDO PER L INTERO AMMONTARE DEL DANNO, AL FINE DI GARANTIRE IL RISARCIMENTO EFFETTIVO DELL INTERESSATO» (ART. 82 GDPR)