Lezione 7: Ruoli privacy e compliance aziendale al GDPR

Slide dalla Lumsa Università su Lezione 7: Ruoli privacy e compliance aziendale al GDPR. Il Pdf, di Diritto universitario, illustra i concetti di accountability e il ciclo di conformità, fornendo una panoramica chiara su come le imprese devono organizzarsi per rispettare la normativa sulla protezione dei dati personali.

See more

40 Pages

Lezione 7
Prof. VINCENZO TOMASELLO
Palermo, 10 marzo 2025
DEFINIZIONE DEI RUOLI PRIVACY

Unlock the full PDF for free

Sign up to get full access to the document and start transforming it with AI.

Log inSign up for free

Preview

Definizione dei ruoli privacy

Datyca®
LEGAL
DESIGN
LAB

Come il GDPR favorisce il rispetto dei principi

RUOLI
NELLE ORGANIZZAZIONI,
PRECISE RESPONSABILITÀ
DEL VERTICE, CON
FACOLTÀ DI ASSEGNA-
ZIONE DI DELEGHE
GESTIONALI IN MATERIA DI
TRATTAMENTO DI DATI

SCELTE
ADEMPIMENTI E CAUTELE
PRIMA DI AVVIARE
QUALSIASI ATTIVITA' CHE
COMPORTA USO DI DATI,
VALUTAZIONE DEGLI
IMPATTI PRIVACY

REALIZZAZIONE DI UNA
SERIE DI ADEMPIMENTI
PREVISTI DALLA LEGGE,
E DI CAUTELE ORGA-
NIZZATIVE (DIRETTIVE,
MISURE DI SICUREZZA,
CONTROLLI, ECC.)

Datyca®
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
MARIA
ES ET HUMAN

Chi è il titolare del trattamento

FINALITÀ DEL
TRATTAMENTO

È L'AZIENDA, NEL
SUO COMPLESSO,
CHE DECIDE

MEZZI DEL
TRATTAMENTO

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
FUT ET HUMANO

La documentazione delle scelte («Accountability»)

TENUTO CONTO DI PRECISI
PARAMETRI

  • NATURA
  • AMBITO DI APPLICAZIONE
    CONTESTO E FINALITÀ DEL
    TRATTAMENTO
  • RISCHI (PROBABILITA E
    GRAVITA) PER I DIRITTI E
    LIBERTA DELLE PERSONE

IL TITOLARE METTE IN ATTO E
RIVEDE PERIODICAMENTE LE
MISURE TECNICHE E
ORGANIZZATIVE ADEGUATE

  • RIESAMINA E AGGIORNA
    DETTE MISURE QUALORA
    NECESSARIO

E PUO RICORRERE A
STRUMENTI CHE AGEVOLANO
LA PROVA DEL RISPETTO DEI
SUOI OBBLIGHI

  • PER GARANTIRE, E POTER
    DIMOSTRARE, CHE IL
    TRATTAMENTO È EFFETTUATO
    CONFORMEMENTE AL
    REGOLAMENTO

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
MARIA
ET HUMAN

Chi è il responsabile del trattamento

Significato di "Responsabile"

«RESPONSABILE» NON
SIGNIFICA «COLUI CHE
RISPONDE», BENSÌ
«DELEGATO» ALLA GESTIONE
DI UNO O PIÙ TRATTAMENTI

Chi può essere responsabile

UNA SOCIETÀ ESTERNA O
UN CONSULENTE CUI IL
TITOLARE AFFIDA DEI
TRATTAMENTI

Come si diventa responsabile

MEDIANTE CONTRATTO O
ATTO SCRITTO DI NOMINA,
CHE PRODUCE EFFETTI SOLO
SE SOTTOSCRITTO DA
ENTRAMBE LE PARTI
(TITOLARE E RESPONSABILE)

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ

Un esempio di titolare e di responsabile

TITOLARE
AZIENDA CHE UTILIZZA UN SISTEMA
DI TELECAMERE PER TUTELARE IL
PROPRIO PATRIMONIO

RESPONSABILE
SOCIETÀ CHE EROGA SERVIZI DI
INSTALLAZIONE, SETTAGGIO E
MANUTENZIONE DELLE TELECAMERE

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
EN ET HUMAN

Titolare vs. Responsabile

È TITOLARE CHI
FINANZIA L'OPERAZIONE E NE
HA IL CONTROLLO REALE

TRAE BENEFICIO
COMMERCIALE
DALL'OPERAZIONE

APPARE AGLI INTERESSATI
COME L'IMPRESA CHE METTE
SUL MERCATO I PRODOTTI

DEVE ESSERE NOMINATO
RESPONSABILE CHI
EROGA SERVIZI AL TITOLARE
(ES. CALL CENTER, FORNITORE
PIATTAFORMA CRM, ECC.)

È SUBORDINATO ALLE SCELTE
DEL TITOLARE

È VINCOLATO AL RISPETTO
DEGLI OBBLIGHI
CONTRATTUALI

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
ET ET HUMANO

Conseguenze della ripartizione dei ruoli

01
INFORMATIVA UNICA
UN'UNICA INFORMATIVA CON RELATIVE
RICHIESTE DI CONSENSO, A NOME
DELL'IMPRESA COMMITTENTE DEI
SERVIZI (TITOLARE)

02
OBBLIGHI DEL FORNITORE DI SERVIZI
IL FORNITORE DI SERVIZI (INDICATO
COME RESPONSABILE NELLA
INFORMATIVA DELL'IMPRESA
TITOLARE) NON DEVE RIPETERE GLI
ADEMPIMENTI (CIOÈ NON DEVE DARE
UN'INFORMATIVA SUA, CHIEDERE I
CONSENSI, ECC.)

03
OBBLIGHI
IL RESPONSABILE DEVE ATTENERSI
AGLI OBBLIGHI ASSUNTI CON LA
NOMINA E IL TITOLARE NE
CONTROLLA IL
RISPETTO, SE NECESSARIO,
MEDIANTE ISPEZIONI

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
EN ET HUMAN

Contenuti del Data Processing Agreement

  1. IL TIPO DI DATI
    PERSONALI E LE
    CATEGORIE DI
    INTERESSATI
  2. NATURA E
    FINALITA DEL
    TRATTAMENTO
  3. DURATA DEL
    TRATTAMENTO
  4. CONTROLLI DEL
    TITOLARE SUL
    RESPONSABILE
  5. QUANDO E
    COME IL
    RESPONSABILE
    DEVE
    COLLABORARE

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
MARIA
EN ET HUMAN

Il sub-responsabile

QUANDO UN
RESPONSABILE DEL
TRATTAMENTO RICORRE A
UN ALTRO RESPONSABILE
PER L'ESECUZIONE DI
SPECIFICHE ATTIVITÀ DI
TRATTAMENTO PER CONTO
DEL TITOLARE

SU TALE ALTRO
RESPONSABILE SONO
IMPOSTI, MEDIANTE UN
CONTRATTO O UN ALTRO
ATTO GIURIDICO
GLI STESSI OBBLIGHI IN
MATERIA DI PROTEZIONE
DEI DATI CONTENUTI NEL
CONTRATTO O IN ALTRO
ATTO GIURIDICO TRA IL
TITOLARE E IL
RESPONSABILE DEL
TRATTAMENTO

PREVEDENDO IN
PARTICOLARE
GARANZIE SUFFICIENTI
PER METTERE IN ATTO
MISURE TECNICHE E
ORGANIZZATIVE
ADEGUATE

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ

La disciplina del sub-responsabile

AUTORIZZAZIONE SCRITTA DEL TITOLARE
(CIOÈ CLAUSOLA DELLA NOMINA O
ADDENDUM SUCCESSIVO)

SPECIFICA
CIOÈ RELATIVA A SINGOLI SUB
RESPONSABILI SPECIFICAMENTE
INDIVIDUATI

GENERALE
CIOÈ PER CATEGORIE

INFORMAZIONI AL
TITOLARE SU
EVENTUALI MODIFICHE

POSSIBILITÀ PER IL
TITOLARE DI OPPORSI
ALLE MODIFICHE

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
VITATS
FOT ET HUMAN

Sub-responsabile e responsabile

IN CASO DI INADEMPIENZA DA
PARTE DEL SUB-RESPONSABILE
DEL TRATTAMENTO, IL
RESPONSABILE CONSERVA LE
RESPONSABILITÀ INIZIALI NEI
CONFRONTI DEL TITOLARE

IL RESPONSABILE DEVE PORRE A
CARICO DEL SUB-
RESPONSABILE GLI STESSI
OBBLIGHI GIURIDICI CHE EGLI
STESSO HA NEI CONFRONTI DEL
TITOLARE

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
MARIA
EN ET HUMAN

Cosa succede ai dati concluso il servizio?

SU SCELTA DEL TITOLARE INDICATA NEL
CONTRATTO, IL RESPONSABILE DEVE
CANCELLARE O RESTITUIRE
TUTTI I DATI PERSONALI

CANCELLARE LE COPIE DI
BACK UP ESISTENTI

SE IL TITOLARE PREFERISCE LA CANCELLAZIONE ALLA
RESTITUZIONE, È SEMPRE OPPORTUNO CHE IL TITOLARE CHIEDA AL
RESPONSABILE L'ATTESTAZIONE DI AVVENUTA CANCELLAZIONE

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
FOT ET HUMAN

Contitolarità (Contratto) /1

QUANDO DUE O PIÙ TITOLARI DETERMINANO CONGIUNTAMENTE LE FINALITÀ
E I MEZZI DEL TRATTAMENTO
SONO CONTITOLARI DEL TRATTAMENTO

I CONTITOLARI DEVONO DEFINIRE IN MODO TRASPARENTE, MEDIANTE UN
ACCORDO INTERNO, LE RISPETTIVE RESPONSABILITÀ

GESTIONE DEI DIRITTI
DELL'INTERESSATO

RISPETTIVE FUNZIONI DI RILASCIO
DELL'INFORMATIVA

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
MARIA
UT ET HUMAN

Contitolarità (Contratto) /2

L'ACCORDO DEVE RIFLETTERE ADEGUATAMENTE
I RISPETTIVI RUOLI

I RAPPORTI CON GLI
INTERESSATI

IL CONTENUTO ESSENZIALE DELL'ACCORDO È MESSO A DISPOSIZIONE
DELL'INTERESSATO E L'INTERESSATO PUÒ ESERCITARE I PROPRI DIRITTI NEI
CONFRONTI DI E CONTRO CIASCUN TITOLARE

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
MARIA

Focus sui ruoli privacy nelle ricerche di mercato

SE UN'AZIENDA VUOLE FARE UNA RICERCA DI MERCATO NEI CONFRONTI DI PERSONE CON CUI HA UNA
RELAZIONE E DI CUI HA RACCOLTO I DATI PERSONALI (ANCHE) A QUESTO SCOPO
AZIENDA COMMITTENTE: TITOLARE
SOCIETÀ DI RICERCHE DI MERCATO: RESPONSABILE

SE UN'AZIENDA COMMISSIONA UNA RICERCA DI MERCATO A UNA SOCIETÀ SPECIALIZZATA, CHIEDE A QUESTA DI REPERIRE IN
AUTONOMIA GLI INTERVISTATI, NON HA I DATI PERSONALI DEGLI INTERVISTATI E RICEVE SOLO IL REPORT FINALE CON STATISTICHE
AZIENDA COMMITTENTE: NESSUN RUOLO PRIVACY
SOCIETÀ DI RICERCHE DI MERCATO: UNICA TITOLARE

SE UN'AZIENDA COMMISSIONA UNA RICERCA DI MERCATO A UNA SOCIETÀ SPECIALIZZATA, CHIEDE A QUESTA DI
REPERIRE IN AUTONOMIA GLI INTERVISTATI, MA VUOLE ASSISTERE ALLE INTERVISTE
AZIENDA COMMITTENTE: CONTITOLARE
SOCIETÀ DI RICERCHE DI MERCATO: CONTITOLARE

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
MARIA
ET HUMAN
VANGE

Come le imprese si devono organizzare per essere conformi al GDPR

Datyca®
LEGAL
DESIGN
LAB

Come realizzare la conformità («Compliance»)

STABILISCI
LE REGOLE

IMPLEMENTALE
PLAN
DO

ACT
REAGISCI SE
NON SONO
APPLICATE

CHECK
CONTROLLA
CHE SIANO
APPLICATE

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
MARIA
ET ET HUMAN

Riepilogo sul concetto di Accountability

ACCOUNTABILITY
DOCUMENTAZIONE
SCRITTA DELLE SCELTE
FINALIZZATA A DIMOSTRARE
L'APPLICAZIONE DEI PRINCIPI
SUL TRATTAMENTO DEI DATI
PERSONALI

SERVE ANCHE COME PROVA DEL
RISPETTO DELLE NORME PRIVACY IN
CASO DI ISPEZIONI DA PARTE DELLE
AUTORITÀ DI CONTROLLO

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
MARIA
TET HUMAN

I ruoli «interni» alle organizzazioni

Delegati alla protezione dei dati personali

I MANAGER DELLE FUNZIONI AZIENDALI CHE
LA SOCIETÀ SCEGLIERÀ DI DESIGNARE PER
INDIRIZZARE LE PERSONE AUTORIZZATE A
TRATTARE CORRETTAMENTE I DATI
PERSONALI, E PER VERIFICARE CHE LI
TRATTINO BENE

Persone autorizzate o "incaricati"

TUTTI COLORO CHE PER SVOLGERE LE
LORO MANSIONI HANNO BISOGNO DI DATI
PERSONALI, E CHE SONO AUTORIZZATI
ALL'ACCESSO E TRATTAMENTO DI DATI
PERSONALI NELL'AMBITO DEL PROPRIO
COMPARTO/FUNZIONE AZIENDALLE

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
EN ET HUMAN

Cosa significa «Incaricato»

LA PERSONA AUTORIZZATA, O INCARICATO È CHI IN UN'ORGANIZZAZIONE
MATERIALMENTE TRATTA I DATI, PERCHÈ NE HA BISOGNO PER POTERE FARE IL SUO
LAVORO

DIPENDENTE, COLLABORATORE,
STAGISTA

SVOLGE IL TRATTAMENTO
PERCHÉ FA PARTE DELLE SUE
MANSIONI

NON HA POTERI DI INDIRIZZO E
CONTROLLO SUGLI ALTRI

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
EN ET HUMAN

Le istruzioni agli incaricati

IL TITOLARE,
TRAMITE I
DELEGATI SE
ESISTENTI

CHE AGISCONO
SOTTO LA LORO
AUTORITÀ

VIGILA

SALVO DIVERSA
INDICAZIONE
(DIRITTO UE O DEGLI
STATI MEMBRI)

NON TRATTINO
DATI PERSONALI
SE NON ISTRUITI
DAL TITOLARE

AFFINCHÈ I SOGGETTI

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
EN ET HUMAN
I

Registro che ogni titolare deve tenere

REGISTRO DEI TRATTAMENTI - TITOLARE - RAGIONE SOCIALE
EX ARTICOLO 30.1 DEL REGOLAMENTO 679/2016 (Ultimo aggiornamento
SEDE LEGALE
E-MAIL REFERENTE PRIVACY/DPO:

TITOLARE
RESPONSABILI
INDIVIDUATI,
NOMINATI E/O
DA NOMINARE

FINALITÀ
CATEGORIA DI
DATI
INTERESSATI

DESTINATARI
DEI DATI

TRASFERIMENTI
EXTRA UE

TERMINE
ULTIMO
DI CANCEL-
LAZIONE

DESCRIZIONE
MISURE
TECNICHE/
ORGANIZZATIVE

Datyca®
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
MARIA

Figura introdotta dal GDPR: il DPO

IL DPO
(DATA PROTECTION OFFICER, O «RESPONSABILE PER LA PROTEZIONE DEI DATI
PERSONALI»)

FORNISCE
CONSULENZA
PRIVACY AL
TITOLARE

VIGILA SULLA
APPLICAZIONE
DELLA
NORMATIVA
PRIVACY NELLA
STRUTTURA DEL
TITOLARE

COOPERA CON
IL GARANTE IN
CASO DI
ISPEZIONI

RISPONDE AGLI
INTERESSATI IN
CASO DI
RICHIESTE

Datyca®
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
EST ET HUMAN

DPO: quando è obbligatorio designarlo

  1. QUANDO IL TRATTAMENTO È EFFETTUATO DA UN'AUTORITA PUBBLICA O DA UN
    ORGANISMO PUBBLICO IN VESTE DI TITOLARE O DI RESPONSABILE, TRANNE LE AUTORITA
    GIURISDIZIONALI QUANDO ESERCITANO LE LORO FUNZIONI GIURISDIZIONALI
  2. QUANDO LE ATTIVITA PRINCIPALI DEL TITOLARE O DEL RESPONSABILE CONSISTONO IN
    TRATTAMENTI CHE, PER NATURA, AMBITO DI APPLICAZIONE E/O FINALITA, RICHIEDONO IL
    MONITORAGGIO REGOLARE E SISTEMATICO DEGLI INTERESSATI SU LARGA SCALA
  3. QUANDO LE ATTIVITA PRINCIPALI DEL TITOLARE O DEL RESPONSABILE
    CONSISTONO IN TRATTAMENTI, SU LARGA SCALA, DI DATI SENSIBILI O DI DATI
    RELATIVI A CONDANNE PENALI E A REATI

Datyca
LEGAL
DESIGN
LAB
LUMSA
UNIVERSITÀ
ET ET HUMANO

Can’t find what you’re looking for?

Explore more topics in the Algor library or create your own materials with AI.