GDPR Privacy 2018

Accordo di contitolarità

You are here:

Home
Il GDPR dell’UE: Come funziona
Accordo di contitolarità

Obbligo di formazione

Il titolare del trattamento deve svolgere attività di formazione (e verificarne l’efficacia attraverso dei test) per i suoi dipendenti e collaboratori, per gli incaricati al trattamento dei dati e per il responsabile del trattamento. L’oggetto della formazione deve riguardare il GDPR, i rischi e le misure tecniche ed organizzative da adottare, i diritti degli interessati.

Privacy by default

Il titolare del trattamento deve adottare misure tecniche e organizzative per trattare i dati personali che siano “già predefinite” allo scopo di trattare solo i dati necessari e detenerli solamente per il periodo di conservazione necessario.

Privacy by design

All’atto di organizzare attività operative, prodotti, servizi eventi funzionali agli scopi dell’Organizzazione determinare quali sono i trattamenti di dati personali ed organizzarli in maniera tale che, prima di essere effettuati, risultino conformi al GDPR e già controllati da misure tecniche ed organizzative.

Adozione delle misure tecniche ed organizzative

Adottare misure tecniche e organizzative adeguate al fine di garantire la sicurezza dei dati degli interessati tenendo conto dei rischi presenti nel trattamento. Essere in grado di dimostrare all’interessato e a eventuali terzi la conformità del trattamento al GDPR e l’efficacia delle misure intraprese.

Rispettare i diritti dell’interessato

Garantire agli interessati i diritti di accesso, di rettifica, di cancellazione di limitazione del trattamento, di portabilità dei dati, di opposizione al trattamento, con gli eventuali connessi obblighi di comunicazione.

Visualizza esempi del Kit Documentale GDPR Privacy

Informativa per gli interessati

Provvedere a informare l’interessato relativamente al trattamento che riguarda i suoi dati personali attraverso l’Informativa che deve essere redatta in maniera chiara con un linguaggio semplice in maniera tale da permetterne l’immediata comprensione e favorire l’esercizio dei diritti.

Trasparenza nella gestione di trattamenti

Adottare procedure e documentazione adeguate affinché l’interessato riceva informazioni e comunicazioni chiare dei trattamenti che si applicano ai suoi dati personali. Favorire l’esercizio dei diritti da parte dell’interessato. Provvedere a fornire il riscontro a eventuali sue istanze senza ingiustificato ritardo.

Acquisizione del consenso necessario e accountability

Verificare se il consenso è necessario ed essere in grado di dimostrare che il consenso è stato effettivamente prestato. Evidenziare invece i casi di esonero.

Finalità e principi del trattamento dei dati personali

Determinare finalità esplicite e legittime
Assicurare che i dati: siano limitati rispetto alle necessità del trattamento, adeguati, pertinenti, esatti ed aggiornati e trattati in condizioni di sicurezza.
Trattare i dati personali in modo lecito, corretto e trasparente nei confronti dell’interessato.

Responsabilità dei contitolari del trattamento

I contitolari del trattamento, nell’accordo, devono determinare in modo trasparente le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dalla normativa vigente. Gli obblighi e le cautele sono indicati di seguito:

I contitolari determinano congiuntamente le finalità e i mezzi ai sensi dell’art.26 del Regolamento Europeo 2016/679 e all’interno dell’accordo specificano in maniera chiara:

La descrizione del trattamento
Le finalità del trattamento
Gli interessati
Categorie dei dati trattati
Categorie dei destinatari
Termini ultimi per la cancellazione dei dati
Esistenza di trasferimenti di dati a paesi terzi ed a organizzazioni internazionali
Garanzie di trasferimento all’estero

Quando, in riferimento ai dati trattati, ci sono più titolari del trattamento, il GDPR prevede l’adempimento dell’accordo di contitolarità.

Nei casi in cui gli interessati lasciano i propri dati personali per accedere ad un servizio erogato congiuntamente da due entità differenti, i titolari dei trattamenti si configurano come “contitolari”.

Visualizza esempi del Kit Documentale GDPR Privacy

Il consenso dei minori a fronte di servizi ICT

Il titolare che offre eventuali servizi di tecnologia (ICT) per i quali si trattano dati personali di minori devono acquisire (ove necessario) il consenso del minore che abbia compiuto 16 anni. Se il trattamento riguarda minori di età inferiore ai 16 anni, il consenso deve essere acquisito presso coloro che ne hanno la responsabilità genitoriale.

Gestire divieti ed eccezione di trattamento dei dati “particolari”

Il titolare non può trattare dati particolari dell’interessato quali l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, la salute, la vita sessuale, l’orientamento sessuale i dati genetici e biometrici. Il titolare deve gestire le eccezioni al divieto, nei casi in cui l’interessato presti il consenso, i dati sono trattati sono necessari al contratto di lavoro oppure devono essere trattati per esigenze di sicurezza, o trattati per tutelare un interesse vitale dell’interessato. Tali dati personali possono essere trattati se sono stati resi pubblici dall’interessato.

Trattamento di dati relativi a condanne penali e reati

Il titolare del trattamento deve garantire che il trattamento di eventuali dati ‘giudiziari’ avvenga sotto il controllo della autorità pubblica oppure a seguito di un’autorizzazione proveniente da norme dell’Unione e del singolo Stato membro che prevedano garanzie appropriate per i diritti e le libertà degli interessati.

Processi decisionali automatizzati

Il titolare del trattamento deve garantire il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che “produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona” attraverso le operazioni di profilazione a meno che l’interessato non rilasci il consenso oppure il trattamento risulti necessario per l’esecuzione di un contratto con l’interessato, o sia autorizzato dal diritto dell’Unione o del singolo Stato membro.

Il rappresentante del Titolare

Quando si trattano dati di persone che si trovano nell’Unione Europea, il titolare che non si trova nell’Unione deve designare un proprio rappresentante nell’Unione. Tale rappresentante assume il ruolo di interlocutore della autorità di controllo e degli interessati che si trovano nell’Unione.

Il responsabile del trattamento

Se un’Organizzazione decide di affidare un trattamento ad un responsabile esterno, Il titolare del trattamento deve conferire tale incarico ad un soggetto o ad un’Organizzazione che presenti garanzie sufficienti ad attuare le misure tecniche e organizzative del trattamento.

Il registro dei trattamenti

Se un’organizzazione ha almeno 250 dipendenti oppure tratta i dati personali attraverso delle attività non occasionali che risultino pericolose per i diritti e le libertà degli interessati o tratta dati sensibili, genetici, biometrici, giudiziari, il titolare è tenuto a documentare la mappa dettagliata di tutti i trattamenti.

Obbligo di cooperazione con le autorità di controllo

Il titolare del trattamento è tenuto a cooperare con l’autorità di controllo, in occasioni di richieste da parte di quest’ultima.

Data breach e notificazioni al Garante

In presenza di episodi, che vedono una violazione riguardante la sicurezza di dati personali, in cui vengono messi a rischio i diritti e le libertà delle persone fisiche, il titolare del trattamento è tenuto a farne notifica al Garante entro 72 ore e comunque senza ingiustificato ritardo senza ingiustificato ritardo dal momento in cui ne è venuto a conoscenza.

Violazioni di dati e comunicazioni agli interessati

In occasione di violazione della sicurezza dei dati personali nella quale vengono messi a rischio i diritti e le libertà delle persone fisiche, il titolare deve darne notizia all’interessato senza ingiustificato ritardo.

Il risarcimento dei danni

I danni materiali o immateriali causati da comportamenti che violano il GDPR devono essere risarciti dal titolare del trattamento dannoso. Questi può esonerarsi da tale responsabilità allorché riesca a dimostrare che l’evento dannoso non gli è in alcun modo imputabile.

Valutazione di impatto e consultazione preventiva con il Garante

Il titolare deve valutare gli impatti di quei trattamenti che risultano rischiosi per i diritti e le libertà delle persone fisiche. Se a seguito della valutazione di impatto tali rischi dovessero risultare elevati, il titolare, prima di procedere al trattamento, deve consultarsi con l’autorità di controllo e applicare le misure che questa prescrive.

Nomina del DPO (Responsabile per la protezione dei dati)

Se l’organizzazione effettua trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala oppure effettua “come attività principale” trattamenti su larga scala di dati sensibili, genetici, biometrici, giudiziari, il Titolare del trattamento deve nominare il DPO (Responsabile della protezione dei dati). Il DPO ha compiti di informazione, formazione, consulenza e sorveglianza in merito alla privacy e costituisce l’interlocutore dell’autorità di controllo.

Codici di condotta e certificazioni

Il titolare del trattamento può fare adesione a codici di condotta o far certificare il proprio sistema di gestione per la privacy (che prevede un’implementazione sistemica dei trattamenti e delle misure tecniche ed organizzative) allo scopo di dimostrare la conformità dei trattamenti dei dati personali ai requisiti stabiliti dal GDPR.

Cautele per il trasferimento dei dati in Paesi terzi

Il trasferimento di dati personali verso un Paese terzo o verso un’Organizzazione internazionale può essere effettuato nel rispetto di specifiche condizioni affinché non sia compromessa la protezione delle persone fisiche garantita dal Regolamento.

Visualizza esempi del Kit Documentale GDPR Privacy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.

Necessary

Sempre abilitato

Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Others

This popup will close in:

CHIUDI