SlideShare una empresa de Scribd logo

Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio legale CSI Piemonte

CSI Piemonte
CSI Piemonte

Materiali presentati al workshop "Comuni piemontesi attrezzati per il GDPR - Istruzioni per l'uso" organizzato da Regione Piemonte con CSI Piemonte

Tecnología
1 de 19
Descargar para leer sin conexión
Nomine e clausole privacy per i fornitori  esterni Torino 19 marzo 2018 Giulia Verroia Ufficio Legale
È il soggetto  (persona fisica o giuridica, autorità pubblica, servizio o altro organismo) che determina FINALITA’ E MEZZI di un trattamento di dati personali Il Titolare del trattamento con il GDPR Come?  Mette in atto le «misure tecniche ed organizzative adeguate» a garantire che il trattamento sia conforme al GDPR (art. 24 c.1)  Definisce le «politiche adeguate» in materia di protezione dati (art. 24 c. 2)
Il Responsabile del trattamento con il GDPR Deve pertanto presentare GARANZIE SUFFICIENTI in termini di: esperienza, capacità, conoscenza specialistica ed affidabilità,  per mettere in atto «misure tecniche e organizzative adeguate» È il soggetto  (persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo) che  tratta i dati PER CONTO del Titolare
Altre figure previste dal GDPR CONTITOLARE DEL TRATTAMENTO Quando più Titolari determinano congiuntamente le finalità e i mezzi del trattamento.  ACCORDO con la definizione puntuale dei rispettivi ruoli e responsabilità in particolare: esercizio dei diritti degli interessati e comunicazione delle informazioni SUB‐RESPONSABILE DEL TRATTAMENTO Il Responsabile del trattamento può ricorrere per l’esercizio di specifiche attività di trattamento ad un altro Responsabile previa autorizzazione scritta, specifica o generale, del Titolare.
Responsabilità solidale Il Responsabile è responsabile in solido con il Titolare per l’intero ammontare dell’eventuale danno causato dal trattamento, al fine di garantire l’effettivo risarcimento dell’interessato. L’eventuale azione di regresso sarà possibile se il Responsabile:  non ha adempiuto agli obblighi del GDPR o  ha agito in modo difforme o contrario rispetto alle istruzioni formalizzate nel contratto culpa in eligendo e culpa in vigilando RESPONSABILITA’ SOLIDALE (art. 82)
Accountability PRINCIPIO DI RESPONSABILIZZAZIONE (ACCOUNTABILITY) Il Titolare e il Responsabile per conto del Titolare devono essere in grado di «dimostrare» e «comprovare» il rispetto dei principi del GDPR .
I rapporti tra Titolare e Responsabile  La materia oggetto del trattamento  Durata, natura, finalità del trattamento  Tipo di dati trattati e categorie di interessati  Obblighi e diritti del titolare e del Responsabile  Modalità del trattamento con le misure tecniche ed organizzative adeguate a consentire il rispetto delle istruzioni impartite dal Titolare e delle disposizioni del GDPR (art. 28 c. 3 del GDPR e art. 29 Codice Privacy novellato dalla Legge 167/2017) CONTRATTO O ALTRO ATTO GIURIDICO SCRITTO che disciplini:
Contratto: obbligo e garanzia contrattuale CODICI DI CONDOTTA? MECCANISMI DI CERTIFICAZIONE?
Contratto: obbligo e garanzia contrattuale
Data Processing Agreement (o atto di nomina): esempio Premesso che:  (L’ENTE)………………………………. ha affidato a………………………. con la convenzione/atto…………………… stipulata in data ………………………. le attività ivi descritte che comportano il trattamento di dati personali, sensibili (o particolari) e giudiziari ai sensi del D. Lgs. 196/03 e s.m.i “Codice in materia di protezione dei dati personali” (di seguito anche solo “Codice”) e del GDPR 679/2016 (Regolamento europeo in materia di privacy, di seguito anche solo GDPR);  l’art. 29 del Codice e l’art. 28 del GDPR attribuiscono al Titolare del trattamento la facoltà di ricorrere ad un Responsabile che presenti, per esperienza, capacità ed affidabilità garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti previsti dalle vigenti disposizioni in materia di trattamento dati, ivi compreso il profilo relativo alla sicurezza e garantisca la tutela dei diritti dell’interessato;
Data Processing Agreement (o atto di nomina): esempio  l'art. 4 comma 1 lett. g) del Codice e l’art. 4 comma 1 n. 8), del GDPR individua quale Responsabile del Trattamento la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;  considerata l'idoneità di……………………….. rispetto alle caratteristiche di esperienza, capacità ed affidabilità, richieste dalla legge per la tutela del trattamento dei dati, in relazione alle attività affidategli L’ENTE ……………………………………..Titolare del trattamento dei dati personali nomina il …………………………………., nella persona del suo Legale Rappresentante Responsabile del trattamento dei dati personali ai sensi e per gli effetti dell’art. 29 del Codice e dell’art. 28 del GDPR
1) svolgere le attività oggetto del contratto in conformità alle disposizioni previste dal Codice privacy e, a partire dal 25 maggio 2018, dal GDPR ed operare nel rispetto dei principi espressi dalle norme in materia di trattamento di dati personali, sensibili (o particolari) e giudiziari, e in particolare i principi di protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, nonché - in tutti i casi in cui vi ricorrono i presupposti - dei provvedimenti a carattere generale emanati dal Garante in materia di protezione dei dati personali; Data Processing Agreement (o atto di nomina): esempio Il Responsabile al trattamento dei dati personali individuato con il presente atto di nomina deve, nei limiti della materia disciplinata, della durata del trattamento, della natura e della finalità del trattamento, del tipo di dati personali e delle categorie di interessati disciplinati nella convenzione/atto di cui in premessa e nei suoi allegati:
Data Processing Agreement (o atto di nomina): esempio 2) attenersi alle istruzioni documentate fornite dal Titolare, mettendo in atto le misure tecniche ed organizzative finalizzate a garantire un livello di sicurezza adeguato al rischio di distruzione, modifica o perdita anche accidentale dei dati, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta. Tali misure devono essere definite in conformità all’art. 32 del GDPR tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento indicate nella convenzione/atto, e in accordo con il Committente (anche con PLA – Privacy Level Assessment – ovvero atti successivi ed integrativi del presente atto). Di tali misure, nonchè dell’analisi dei rischi specifici in materia a seguito della quale sono state identificate le misure tecniche ed organizzative da adottare e il regime operativo di sicurezza adottato, deve esserne data evidenza entro la data del 25 maggio 2018 e ogni qualvolta viene richiesto dal Committente
Data Processing Agreement (o atto di nomina): esempio 3) qualora ricorrano i presupposti, redigere il registro delle attività di trattamento in conformità ai requisiti previsti all’art. 30 comma 2 del GDPR 4) non trasferire tutti o alcuni dati personali oggetto del contratto verso un paese terzo o un’organizzazione internazionale, senza autorizzazione del Committente fornendo indicazioni sulla base legale che legittima il trasferimento 5) richiedere preventivamente autorizzazione specifica al Committente qualora intenda ricorrere ad altro Responsabile per l’esecuzione di specifiche attività che comportano il trattamento di dati personali, impegnandosi ad imporgli gli stessi obblighi in materia di protezione dei dati contenuti nella presente convenzione/atto o nei suoi atti successivi ed integrativi;
Data Processing Agreement (o atto di nomina): esempio  6) coadiuvare ed assistere il Committente, nell’ambito dei servizi oggetto del contratto, e con le modalità dettagliate con specifici atti nel corso della durata del contratto, in tutte le attività finalizzate a garantire il rispetto del Codice privacy e del GDPR ed in particolare a soddisfare gli obblighi: 7) in ottica di accountability, fornire tutta le informazioni e la documentazione necessaria per dare evidenza del rispetto degli obblighi previsti dal Codice Privacy e dal GDPR consentendo attività di ispezione, audit o revisione o provvedendo a notificare formalmente eventuali istruzioni che violino le norme in materia di protezione dei dati  in materia di esercizio dei diritti degli interessati di cui agli artt da 7 a 10 del Codice privacy e da 12 a 22 del GDPR,  in materia di notifica delle violazioni all’autorità di controllo (data breach), comunicazione delle violazioni all’interessato, valutazione d’impatto sulla protezione dei dati e consultazione preventiva;
Data Processing Agreement (o atto di nomina): esempio 9) prestare tutta la collaborazione necessaria a fronte di verifiche da parte del Committente o di richieste di informazioni, controlli, ispezioni ed accessi da parte del Garante o di altre pubbliche autorità competenti (informando contestualmente il Committente con la massima celerità); 10) restituire o cancellare i dati al termine del trattamento oggetto del contratto sulla base delle istruzioni del Committente (es. formato); 8) di informare e coinvolgere tempestivamente ed adeguatamente la struttura del Responsabile per la Protezione dei Dati (RpD o DPO) del Committente in tutte le questioni riguardanti la protezione dei dati
Data Processing Agreement (o atto di nomina): esempio È cura dell’Appaltatore segnalare preventivamente il nominativo del Responsabile della Protezione dei Dati (RPD o DPO) dell’Appaltatore, se nominato, o della persona che sarà il riferimento per mantenere i rapporti con il Committente per tutti gli aspetti relativi al trattamento dei dati e alla sicurezza informatica. L’Appaltatore si impegna altresì a garantire che le persone autorizzate al trattamento dei dati siano formalmente impegnate a rispettare gli obblighi di segretezza e confidenzialità e abbiano ricevuto la formazione necessaria e le istruzioni dettagliate finalizzate a trattare in modo sicuro e riservato i dati affidati, custodendoli e controllandoli nel modo più appropriato e sicuro
seguici su www.csipiemonte.it GRAZIE Giulia.Verroia@csi.it

Recomendados

Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guidaLucia Ruocco
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legaliRoberta Rapicavoli
 

Recomendados

Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
Il Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereIl Regolamento GDPR | Tutto quello che c'è da sapere
Il Regolamento GDPR | Tutto quello che c'è da sapereInterlogica
 
Gdpr linee guida
Gdpr linee guidaGdpr linee guida
Gdpr linee guidaLucia Ruocco
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legaliRoberta Rapicavoli
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiRoberto Tuninetti
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica LegaleLodovico Mabini
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoGGagliano
 

Más contenido relacionado

La actualidad más candente

ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaClaudio De Luca
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroM2 Informatica
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaFabio Tonini
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 

La actualidad más candente (15)

ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
 
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comportaGDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
GDRP Normativa GDPR: cos'è, quando entra in vigore e quali cambiamenti comporta
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribili
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati Personali
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
GDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoroGDPR - monitoraggio sul posto di lavoro
GDPR - monitoraggio sul posto di lavoro
 
Strumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europeaStrumenti digitali professionisti - GDPR normativa europea
Strumenti digitali professionisti - GDPR normativa europea
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 

Similar a Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio legale CSI Piemonte

MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019BTO Educational
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiRoberto Tuninetti
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica LegaleLodovico Mabini
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoGGagliano
 
Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)Andrea Maggipinto [+1k]
 
Le novità del GDPR e la figura del DPO
Le novità del GDPR e la figura del DPOLe novità del GDPR e la figura del DPO
Le novità del GDPR e la figura del DPOGiorgio Piccolotto
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018Simone Chiarelli
 
wp2privacy slides Gdpr
wp2privacy slides Gdprwp2privacy slides Gdpr
wp2privacy slides GdprAndrea Gandini
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Andrea Maggipinto [+1k]
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacyTudor Draghici
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
Smau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSmau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSMAU
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Quotidiano Piemontese
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR Marinuzzi & Associates
 

Similar a Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio legale CSI Piemonte (20)

MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
MASSIMO SIMBULA | Privacy e compliance GDPR | Meet Forum 2019
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
STEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agentiSTEGO Italia: Presentazione Privacy per agenti
STEGO Italia: Presentazione Privacy per agenti
 
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
Il piano di assessment per la compliance secondo il Regolamento UE 679/2016 -...
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica Legale
 
Il titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamentoIl titolare del trattamento, il contitolare e il responsabile del trattamento
Il titolare del trattamento, il contitolare e il responsabile del trattamento
 
Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)
 
Il Data Processing Agreement per i servizi in cloud - avv. Sabrina Salmeri
Il Data Processing Agreement per i servizi in cloud - avv. Sabrina Salmeri Il Data Processing Agreement per i servizi in cloud - avv. Sabrina Salmeri
Il Data Processing Agreement per i servizi in cloud - avv. Sabrina Salmeri
 
Proteggere i dati critici dello Studio per garantire privacy ed efficienza pr...
Proteggere i dati critici dello Studio per garantire privacy ed efficienza pr...Proteggere i dati critici dello Studio per garantire privacy ed efficienza pr...
Proteggere i dati critici dello Studio per garantire privacy ed efficienza pr...
 
Le novità del GDPR e la figura del DPO
Le novità del GDPR e la figura del DPOLe novità del GDPR e la figura del DPO
Le novità del GDPR e la figura del DPO
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
 
wp2privacy slides Gdpr
wp2privacy slides Gdprwp2privacy slides Gdpr
wp2privacy slides Gdpr
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
 
679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy679/2016 cosa cambia - nuovo regolamento europeo privacy
679/2016 cosa cambia - nuovo regolamento europeo privacy
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
Smau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSmau milano 2013 valentina frediani
Smau milano 2013 valentina frediani
 
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
Guida all’applicazione del Regolamento europeo in materia di protezione dei d...
 
La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR La Posta elettronica : usi e nuove soluzioni per il GDPR
La Posta elettronica : usi e nuove soluzioni per il GDPR
 

Más de CSI Piemonte

"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minoriCSI Piemonte
 
Audit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitoriAudit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitoriCSI Piemonte
 
Gli audit in ambito privacy
Gli audit in ambito privacyGli audit in ambito privacy
Gli audit in ambito privacyCSI Piemonte
 
Riconoscere e contrastare le minacce
Riconoscere e contrastare le minacceRiconoscere e contrastare le minacce
Riconoscere e contrastare le minacceCSI Piemonte
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPRCSI Piemonte
 
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...CSI Piemonte
 
Sicurezza Urbana Integrata
Sicurezza Urbana IntegrataSicurezza Urbana Integrata
Sicurezza Urbana IntegrataCSI Piemonte
 
Titolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneTitolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneCSI Piemonte
 
Far crescere la cultura della privacy
Far crescere la cultura della privacyFar crescere la cultura della privacy
Far crescere la cultura della privacyCSI Piemonte
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...CSI Piemonte
 
Privacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazionePrivacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazioneCSI Piemonte
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Guidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach NotificationGuidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach NotificationCSI Piemonte
 
Responsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOResponsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOCSI Piemonte
 
Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breachCSI Piemonte
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaCSI Piemonte
 

Más de CSI Piemonte (20)

"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
 
Audit GDPR
Audit GDPRAudit GDPR
Audit GDPR
 
Audit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitoriAudit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitori
 
Gli audit in ambito privacy
Gli audit in ambito privacyGli audit in ambito privacy
Gli audit in ambito privacy
 
Riconoscere e contrastare le minacce
Riconoscere e contrastare le minacceRiconoscere e contrastare le minacce
Riconoscere e contrastare le minacce
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPR
 
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
 
Sicurezza Urbana Integrata
Sicurezza Urbana IntegrataSicurezza Urbana Integrata
Sicurezza Urbana Integrata
 
Titolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneTitolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazione
 
Far crescere la cultura della privacy
Far crescere la cultura della privacyFar crescere la cultura della privacy
Far crescere la cultura della privacy
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
 
Privacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazionePrivacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazione
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
Guidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach NotificationGuidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach Notification
 
Responsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOResponsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPO
 
So di non sapere?
So di non sapere?So di non sapere?
So di non sapere?
 
Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breach
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologia
 

Nomine e clausole privacy per i fornitori esterni - Giulia Verroia, Ufficio legale CSI Piemonte

  • 2. È il soggetto  (persona fisica o giuridica, autorità pubblica, servizio o altro organismo) che determina FINALITA’ E MEZZI di un trattamento di dati personali Il Titolare del trattamento con il GDPR Come?  Mette in atto le «misure tecniche ed organizzative adeguate» a garantire che il trattamento sia conforme al GDPR (art. 24 c.1)  Definisce le «politiche adeguate» in materia di protezione dati (art. 24 c. 2)
  • 4. Altre figure previste dal GDPR CONTITOLARE DEL TRATTAMENTO Quando più Titolari determinano congiuntamente le finalità e i mezzi del trattamento.  ACCORDO con la definizione puntuale dei rispettivi ruoli e responsabilità in particolare: esercizio dei diritti degli interessati e comunicazione delle informazioni SUB‐RESPONSABILE DEL TRATTAMENTO Il Responsabile del trattamento può ricorrere per l’esercizio di specifiche attività di trattamento ad un altro Responsabile previa autorizzazione scritta, specifica o generale, del Titolare.
  • 5. Responsabilità solidale Il Responsabile è responsabile in solido con il Titolare per l’intero ammontare dell’eventuale danno causato dal trattamento, al fine di garantire l’effettivo risarcimento dell’interessato. L’eventuale azione di regresso sarà possibile se il Responsabile:  non ha adempiuto agli obblighi del GDPR o  ha agito in modo difforme o contrario rispetto alle istruzioni formalizzate nel contratto culpa in eligendo e culpa in vigilando RESPONSABILITA’ SOLIDALE (art. 82)
  • 6. Accountability PRINCIPIO DI RESPONSABILIZZAZIONE (ACCOUNTABILITY) Il Titolare e il Responsabile per conto del Titolare devono essere in grado di «dimostrare» e «comprovare» il rispetto dei principi del GDPR .
  • 7. I rapporti tra Titolare e Responsabile  La materia oggetto del trattamento  Durata, natura, finalità del trattamento  Tipo di dati trattati e categorie di interessati  Obblighi e diritti del titolare e del Responsabile  Modalità del trattamento con le misure tecniche ed organizzative adeguate a consentire il rispetto delle istruzioni impartite dal Titolare e delle disposizioni del GDPR (art. 28 c. 3 del GDPR e art. 29 Codice Privacy novellato dalla Legge 167/2017) CONTRATTO O ALTRO ATTO GIURIDICO SCRITTO che disciplini:
  • 10.
  • 11. Data Processing Agreement (o atto di nomina): esempio Premesso che:  (L’ENTE)………………………………. ha affidato a………………………. con la convenzione/atto…………………… stipulata in data ………………………. le attività ivi descritte che comportano il trattamento di dati personali, sensibili (o particolari) e giudiziari ai sensi del D. Lgs. 196/03 e s.m.i “Codice in materia di protezione dei dati personali” (di seguito anche solo “Codice”) e del GDPR 679/2016 (Regolamento europeo in materia di privacy, di seguito anche solo GDPR);  l’art. 29 del Codice e l’art. 28 del GDPR attribuiscono al Titolare del trattamento la facoltà di ricorrere ad un Responsabile che presenti, per esperienza, capacità ed affidabilità garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti previsti dalle vigenti disposizioni in materia di trattamento dati, ivi compreso il profilo relativo alla sicurezza e garantisca la tutela dei diritti dell’interessato;
  • 12. Data Processing Agreement (o atto di nomina): esempio  l'art. 4 comma 1 lett. g) del Codice e l’art. 4 comma 1 n. 8), del GDPR individua quale Responsabile del Trattamento la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;  considerata l'idoneità di……………………….. rispetto alle caratteristiche di esperienza, capacità ed affidabilità, richieste dalla legge per la tutela del trattamento dei dati, in relazione alle attività affidategli L’ENTE ……………………………………..Titolare del trattamento dei dati personali nomina il …………………………………., nella persona del suo Legale Rappresentante Responsabile del trattamento dei dati personali ai sensi e per gli effetti dell’art. 29 del Codice e dell’art. 28 del GDPR
  • 13. 1) svolgere le attività oggetto del contratto in conformità alle disposizioni previste dal Codice privacy e, a partire dal 25 maggio 2018, dal GDPR ed operare nel rispetto dei principi espressi dalle norme in materia di trattamento di dati personali, sensibili (o particolari) e giudiziari, e in particolare i principi di protezione dei dati sin dalla fase di progettazione e per impostazione predefinita, nonché - in tutti i casi in cui vi ricorrono i presupposti - dei provvedimenti a carattere generale emanati dal Garante in materia di protezione dei dati personali; Data Processing Agreement (o atto di nomina): esempio Il Responsabile al trattamento dei dati personali individuato con il presente atto di nomina deve, nei limiti della materia disciplinata, della durata del trattamento, della natura e della finalità del trattamento, del tipo di dati personali e delle categorie di interessati disciplinati nella convenzione/atto di cui in premessa e nei suoi allegati:
  • 14. Data Processing Agreement (o atto di nomina): esempio 2) attenersi alle istruzioni documentate fornite dal Titolare, mettendo in atto le misure tecniche ed organizzative finalizzate a garantire un livello di sicurezza adeguato al rischio di distruzione, modifica o perdita anche accidentale dei dati, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta. Tali misure devono essere definite in conformità all’art. 32 del GDPR tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento indicate nella convenzione/atto, e in accordo con il Committente (anche con PLA – Privacy Level Assessment – ovvero atti successivi ed integrativi del presente atto). Di tali misure, nonchè dell’analisi dei rischi specifici in materia a seguito della quale sono state identificate le misure tecniche ed organizzative da adottare e il regime operativo di sicurezza adottato, deve esserne data evidenza entro la data del 25 maggio 2018 e ogni qualvolta viene richiesto dal Committente
  • 15. Data Processing Agreement (o atto di nomina): esempio 3) qualora ricorrano i presupposti, redigere il registro delle attività di trattamento in conformità ai requisiti previsti all’art. 30 comma 2 del GDPR 4) non trasferire tutti o alcuni dati personali oggetto del contratto verso un paese terzo o un’organizzazione internazionale, senza autorizzazione del Committente fornendo indicazioni sulla base legale che legittima il trasferimento 5) richiedere preventivamente autorizzazione specifica al Committente qualora intenda ricorrere ad altro Responsabile per l’esecuzione di specifiche attività che comportano il trattamento di dati personali, impegnandosi ad imporgli gli stessi obblighi in materia di protezione dei dati contenuti nella presente convenzione/atto o nei suoi atti successivi ed integrativi;
  • 16. Data Processing Agreement (o atto di nomina): esempio  6) coadiuvare ed assistere il Committente, nell’ambito dei servizi oggetto del contratto, e con le modalità dettagliate con specifici atti nel corso della durata del contratto, in tutte le attività finalizzate a garantire il rispetto del Codice privacy e del GDPR ed in particolare a soddisfare gli obblighi: 7) in ottica di accountability, fornire tutta le informazioni e la documentazione necessaria per dare evidenza del rispetto degli obblighi previsti dal Codice Privacy e dal GDPR consentendo attività di ispezione, audit o revisione o provvedendo a notificare formalmente eventuali istruzioni che violino le norme in materia di protezione dei dati  in materia di esercizio dei diritti degli interessati di cui agli artt da 7 a 10 del Codice privacy e da 12 a 22 del GDPR,  in materia di notifica delle violazioni all’autorità di controllo (data breach), comunicazione delle violazioni all’interessato, valutazione d’impatto sulla protezione dei dati e consultazione preventiva;
  • 17. Data Processing Agreement (o atto di nomina): esempio 9) prestare tutta la collaborazione necessaria a fronte di verifiche da parte del Committente o di richieste di informazioni, controlli, ispezioni ed accessi da parte del Garante o di altre pubbliche autorità competenti (informando contestualmente il Committente con la massima celerità); 10) restituire o cancellare i dati al termine del trattamento oggetto del contratto sulla base delle istruzioni del Committente (es. formato); 8) di informare e coinvolgere tempestivamente ed adeguatamente la struttura del Responsabile per la Protezione dei Dati (RpD o DPO) del Committente in tutte le questioni riguardanti la protezione dei dati
  • 18. Data Processing Agreement (o atto di nomina): esempio È cura dell’Appaltatore segnalare preventivamente il nominativo del Responsabile della Protezione dei Dati (RPD o DPO) dell’Appaltatore, se nominato, o della persona che sarà il riferimento per mantenere i rapporti con il Committente per tutti gli aspetti relativi al trattamento dei dati e alla sicurezza informatica. L’Appaltatore si impegna altresì a garantire che le persone autorizzate al trattamento dei dati siano formalmente impegnate a rispettare gli obblighi di segretezza e confidenzialità e abbiano ricevuto la formazione necessaria e le istruzioni dettagliate finalizzate a trattare in modo sicuro e riservato i dati affidati, custodendoli e controllandoli nel modo più appropriato e sicuro