I SOGGETTI: TITOLARE la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'unione o degli Stati membri
I SOGGETTI: CON-TITOLARE Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento
I SOGGETTI: RESPONSABILE (esterno) la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
ELEMENTI DEL RAPPORTO: nomina del responsabile: contratto o atto giuridico I sub-responsabili Gli adempimenti: registro dei trattamenti, la sicurezza dei dati, segnalazione di una violazione dei dati (Data Breach), nomina del DPO (Data Protection Officer) Gli audit e i controlli sul responsabile
L ACCORDO TRA TITOLARE E RESPONSABILE deve contenere: Impegno ad agire solo in maniera conforme alle istruzioni del Titolare; Impegno ad imporre obblighi di riservatezza su tufo il personale che trafa i dag del Gtolare; Impegno a garangre la sicurezza dei dag personali; RispeFo delle norme in materia di nomina dei subresponsabili; Obbligo di afuare misure per aiutare il Gtolare nel rispefare i dirii delle persone interessate; Conseguenze in caso di cessazione del rapporto Obbligo fi fornire al Gtolare tufe le informazioni necessarie per dimostrare la conformità al regolamento.
ANALISI DEI FORNITORI Questo fornitore tratta dati di cui sono titolare? NO SI Non devo fare niente Va regolamentato il rapporto Come viene trattato il dato? Il dato viene dato il fornitore? Se il dato viene dato al fornitore: dove viene conservato, con quali misure di sicurezza, in che modo garantisco il controllo, etc Quanto scritto nel contratto, corrisponde alla realtà? Viene fornito un software o un applicazione? Ho verificato il rispetto del privacy by design?
I SOGGETTI: L ADDETTO/ TERZI Persone autorizzate al trattamento dei dati personali sotto l autorità diretta del titolare o del responsabile E GLI INCARICATI DEL TRATTAMENTO?
I SOGGETTI: DATA PROTECTION OFFICER Il Privacy Officer, definito anche Chief Privacy Officer nelle stru9ure di grandi dimensioni, è un dirigente oppure un funzionario di alto livello, all interno un azienda di o un organizzazione, responsabile fondamentalmente della ges@one dei rischi e dell impa9o della norma@va e delle poli@che privacy sulle aavità concernen@
Chi deve avere un data protection officer?... Tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, e f f e t t u i n o u n monitoraggio regolare e sistematico e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali. (dati sensibili).
INDICATORI: Cosa si intende per Larga Scala Y Il numero di soggea interessa@ dal tra9amento, in termini assolu@ ovvero espressi in percentuale della popolazione di riferimento; Y Il volume dei da@ e/o le diverse @pologie di da@ ogge9o di tra9amento; Y La durata, ovvero la persistenza, dell aavità di tra9amento; Y La portata geografica dell aavità di tra9amento
Cosa si intende per Monitoraggio Regolare e sistemagco O Il Considerando Comportamento di de- interessa/ ricomprendendovi senza dubbio tu9e le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. O Il tracciamento online va considerato solo uno dei possibili esempi di monitoraggio del comportamento degli interessa@.
Cosa si intende per Regolare O che avviene in modo con@nuo ovvero a intervalli definiti per un arco di tempo definito; O Ricorrente o ripetuto a intervalli costanti; O Che avviene in modo costante o a intervalli periodici.
Cosa si intende per Sistema@co O che avviene per sistema; O Predeterminato, organizzato o metodico; O Che ha luogo nell ambito di un proge9o complessivo di raccolta di da@; O Svolto nell ambito di una strategia.
I SOGGETTI: DATA PROTECTION OFFICER Il responsabile della protezione dei da@ può essere un dipendente del @tolare del tra9amento o del responsabile del tra9amento oppure assolvere i suoi compi@ in base a un contra9o di servizi (Art. 37, c5 e WP 243). Un gruppo imprenditoriale può nominare un unico DPO Autonomia e indipendenza (Art. 38).
I SOGGETTI: DATA PROTECTION OFFICER Oltre a favorire l osservanza a9raverso strumen@ di accountability (per esempio, supportando o svolgendo valutazioni di impa9o e audit in materia di protezione dei da@), i DPO fungono da interfaccia fra i soggea coinvol@: autorità di controllo, interessa@, divisioni opera@ve all interno di un azienda o di un ente (art. 39)
COMPITI Sorvegliare l osservanza del Regolamento Ruolo nella Valutazione di Impatto sulla protezione dei dati Cooperazione con l autorità di controllo e funzione di punto di contatto Approccio basato sul rischio Ruolo nella tenuta dei registri
I SOGGETTI: DATA PROTECTION OFFICER I DPO non rispondono personalmente in caso di inosservanza del GDPR. Quest ul@mo chiarisce che spe9a al @tolare o al responsabile del tra9amento garan@re ed essere in grado di dimostrare che le operazioni di tra9amento sono conformi alle disposizioni del regolamento stesso (ar@colo 24, primo paragrafo). L onere di assicurare il rispe9o della norma@va in materia di protezione dei da@ ricade sul @tolare o sul responsabile.
Esempio di organigramma/ MAPPA dei soggetti coinvolti Titolare del trattamento DATA PROTECTION OFFICER Responsabile esterno Cloud CED Amministratori di Sistema Responsabile esterno consulente del lavoro Addetti: Viste specialistiche Addetti: Marketing Addetti: amministrazione Addetti: personale accettazione