Formazione per incaricati della privacy

Formazione per incaricati 

al trattamento dati 

D.Lgs 196/03 | Reg. CE 2016/679 

© Copyright 2018 Gruppo Torinoprogetti ® srl. C.F. / P.IVA 09285080017

CONTENUTI DEL CORSO 

•Regolamento Europeo e Codice Privacy, le normative 

in vigore 

•Novità e modifiche introdotte dal Reg. CE 2016/679; 

•Definizioni 

•Le Figure Aziendali Coinvolte nella Gestione Privacy 

e loro doveri, nomine e Lettere di Incarico 

•L'Informativa e il Consenso 

•Diritti dell’interessato 

•Le Sanzioni Amministrative e Penali 

FORMAZIONE PER INCARICATI AL TRATTAMENTO DATI

Regolamento Europeo e Codice Privacy 

Le normative in vigore 

Il concetto di “Privacy” ha radici che 

affondano nel secolo scorso. 

In un saggio del 1890 pubblicato sulla 

Harward Law Review dal titolo “The right to 

privacy” (il diritto alla privacy) ad opera di due 

giovani avvocati, Samuel Warren e Louis 

Brandeis viene introdotto per la prima volta il 

concetto di “right to be let alone”, ovvero il 

diritto ad esser lasciati in pace, che il nostro 

impianto legale ha interiorizzato con lo “jus 

solitudinis”. 






Dal 1890 in poi l’evoluzione tecnologica ha reso sempre più difficile la 

protezione della propria sfera privata, rendendo la tutela della privacy un 

argomento ogni giorno più presente nelle nostre vite. 




L’utilizzo di sistemi di ripresa e cattura delle immagini, anche 

automatizzati, la gestioni di dati in rete, la creazione di enormi 

database e il loro trattamento (Big Data), geolocalizzazione, IoT 

(internet of Things), profilazione, trattamento di dati biometrici 

sono ad oggi la nuova frontiera nella protezione dei dati. 




A raccogliere dati non sono solo i privati (singoli o 

aziende), ma anche le pubbliche amministrazioni (si 

pensi al settore sanitario). 

Alle volte è possibile che i dati che vengono trattati, 

sia da soggetti pubblici che privati, possano essere 

raccolti dagli stessi o comunicati da terzi, sulla base 

delle necessità del trattamento. 




Per mettere dei paletti in questa giungla di 

informazioni, ma soprattutto per tutelare gli interessati i 

vari Stati hanno cercato di porre delle regole. 

Stati come la Svezia e la Germania (per citarne alcuni) 

hanno emesso le loro prime norme nei primi anni ’70. 







In Italia la Costituzione prevede intrinsicamente il concetto di Privacy, lo si può 

vedere ad esempio negli artt. 14 e 15. 

Art. 14: Inviolabilità del domicilio 

Art. 15: Segretezza della corrispondenza 




Articolo 14 – Costituzione Italiana – Inviolabilità del domicilio 

Il domicilio è inviolabile. 

Non vi si possono eseguire ispezioni o perquisizioni o sequestri, se non nei casi 

e modi stabiliti dalla legge secondo le garanzie prescritte per la tutela della 

libertà personale. 

Gli accertamenti e le ispezioni per motivi di sanità e di incolumità pubblica o a 

fini economici e fiscali sono regolati da leggi speciali. 




Articolo 15 – Costituzione Italiana – Segretezza della corrispondenza 

La libertà e la segretezza della corrispondenza e di ogni altra forma di 

comunicazione sono inviolabili. 

La loro limitazione può avvenire soltanto per atto motivato dell'autorità giudiziaria 

con le garanzie stabilite dalla legge. 




L’Europa si è espressa per la 

prima volta in materia di privacy 

nel 1985, dove con l’entrata in 

vigore del trattato di Schengen 

si rendeva possibile la libera 

circolazione tra i paesi firmatari 

di persone e informazioni, se e 

solo se gli Stati firmatari 

potevano garantire un adeguato 

livello di protezione per gli stessi. 




Nel 1995 è stata emanata la Direttiva Europea 95/46/CE del parlamento 

europeo e del consiglio datata 24 ottobre 1995, relativa alla tutela delle 

persone fisiche con riguardo al trattamento dei dati personali, nonché alla 

libera circolazione di tali dati. 

La direttiva in quanto tale non era automaticamente attuabile, ma necessitava 

di recepimento e trasformazione in legge da parte degli Stati membri entro un 

periodo massimo di 3 anni. 




In Italia la Direttiva 95/46/CE è stata recepita l’anno successivo mediante il 

testo di legge 679/96 "Tutela delle persone e di altri soggetti rispetto al 

trattamento dei dati personali”. 

Si tratta della prima vera legge Nazionale a trattare la materia Privacy e 

sicurezza dei dati. 

Il comma 1 dell’art 1 citava: 

“La presente legge garantisce che il trattamento dei dati personali si svolga nel 

rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone 

fisiche, con particolare riferimento alla riservatezza e all'identità personale; 

garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o 

associazione.” 




Nel 2003 la legge 675/96 viene abrogata dal Decreto Legislativo 196/03 

Codice in materia di protezione dei dati personali, più conosciuto come “Codice 

della Privacy”. 

Il codice prevedeva una serie di adempimenti che dovevano essere assolti da 

qualunque realtà operassi con dati personali, sensibili o giudiziari 



Regolamento CE 2016/679 

Il 4 maggio 2016 è stato approvato un nuovo pacchetto per la protezione dei 

dati, mediante il Regolamento Europeo 2016/679. 

Lo scopo del Regolamento è quello di definire un quadro comune sulla tutela 

dei dati all’interno della Comunità Europea. 




Un regolamento differisce da una direttiva per una serie di motivi, ma 

soprattutto per la sua applicabilità. 

Una direttiva vincola lo Stato membro cui è rivolta per quanto riguarda il 

risultato da raggiungere, salva restando la competenza degli organi nazionali in 

merito alla forma e ai mezzi. 

Un regolamento ha portata generale. Esso è obbligatorio in tutti i suoi elementi 

e direttamente applicabile in ciascuno degli Stati membri. 

Regolamento 

Direttiva 

VS 




Il Regolamento Europeo per la protezione dei dati è quindi automaticamente 

applicabile, viene dato un termine di un anno (25 maggio 2018) dalla sua 

emanazione prima dell’entrata in vigore. 

Il Regolamento CE 2016/679 abolisce la direttiva 95/46/CE, ma si integra 

(per quanto concerne la normativa Nazionale) con il D.lgs. 196/03. 




Il Reg CE 2016/679 si applica esclusivamente al trattamento di dati: 

• Personali di persone fisiche 

• Automatizzati 

• Non Automatizzati 

• Destinati a diventar parte di un archivio 

• Contenuti all’interno di un archivio 




• Al trattamento di dati personali effettuato da un Titolare o 

Responsabile stabilito nella UE, indipendentemente dal fatto 

che il trattamento sia effettuato o meno all’interno dei confini 

dell’Unione Europea. 




• Al trattamento di dati personali effettuato da Titolari o 

Responsabili non stabiliti nell’UE, indipendentemente dal 

fatto che il trattamento sia effettuato o meno nell'Unione. 

Qualora il trattamento avesse ad oggetto dati personali di 

interessati che si trovano nella UE e riguardasse l’offerta di 

beni o servizi (anche non a pagamento) ai suddetti interessati 

oppure il monitoraggio del loro comportamento nel territorio 

della UE. Come ad esempio Call Center e attività 

promozionali. 




• Al trattamento effettuato da un Titolare stabilito in uno Stato 

extra UE, ma soggetto al diritto di uno Stato UE in virtù del 

diritto internazionale pubblico. 




Il Reg CE 2016/679 non trova applicazione in caso di di trattamenti 

personali effettuati da: 

• Persone fisiche per l’esercizio di attività di carattere esclusivamente 

personale o domestico 

• Da autorità di pubblica sicurezza 

• Per tutte le attività che non rientrano nell’ambito di applicazione del 

diritto dell’Unione Europea 



Novità e modifiche introdotte dal Reg. CE 2016/679 

Il nuovo Regolamento Europeo per la protezione dei dati personali 

ha provveduto a modificare alcuni aspetti introdotti con il D.lgs 

196/03, in particolare: 

• Alcune definizioni 

• Nuove specificazione dei ruoli per Titolari e Responsabili del 

trattamento 

• Informativa all’interessato 

• Consenso dell’interessato 

• Specificazione dei diritti 

• Inasprimento delle sanzioni 




Sono state introdotte anche diverse novità, quali: 

• Estensione dell’ambito territoriale 

• Introduzione di nuove definizioni 

• Figura del Data Protection Officer 

• Registro dei Trattamenti 

• Valutazione preventiva d’impatto 




… ed anche: 

• La notifica delle falle di sicurezza (data breach) 

• Privacy by design 

• Privacy by default 

• Diritto all’oblio 

• Portabilità dei dati 




… e ancora: 

• Valutazione d’impatto e adozione di misure tecnico-organizzative 

adeguate 

• Certificazione dei trattamenti 

• Responsabilità solidale di Titolare e Responsabile 

• Accountability 

• Sanzioni 


Definizioni 

Con l’entrata in vigore del Reg.CE 2016/679 le definizioni che verranno 

utilizzate nel prosieguo del corso saranno le seguenti: 

• 

• 

• 

• 

• 

• 

Dati personali 

Dati inerenti la salute 

Dati genetici 

Dati biometrici 

Consenso 

Pseudonomizzazione 


Definizioni 

Dato personale 

È un dato personale qualsiasi informazione riguardante una persona fisica 

identificata o identificabile. 

Si considera identificabile la persona fisica che può essere identificata, 

direttamente o indirettamente, con particolare riferimento a un identificativo 

come il nome, un numero di identificazione, dati relativi all'ubicazione, un 

identificativo online o a uno o più elementi caratteristici della sua identità fisica, 

fisiologica, genetica, psichica, economica, culturale o sociale. 


Definizioni 

Dato sensibile [vecchia definizione] 

La vecchia definizione indicava come dato sensibile qualunque dato che può 

rivelare: 

• origine razziale 

• appartenenza etnica 

• convinzioni religiose o di altra natura 

• opinioni politiche 

• appartenenza a partiti o sindacati 

• stato di salute e la vita sessuale. 


Definizioni 

Dato sensibile [nuova definizione] 

Ad oggi si preferisce parlare categorie particolari di dati personali, ovvero dati 

personali che rivelino: 

• origine razziale o etnica 

• opinioni politiche 

• convinzioni religiose o filosofiche 

• appartenenza sindacale 

• dati genetici 

• dati biometrici intesi a identificare in modo univoco una persona fisica 

• dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della 

persona 

I dati Biometrici e Genetici rappresentano una novità rispetto al “Codice Privacy” 


Definizioni 

Dati inerenti alla salute 

Sono i dati personali relativi alla salute (sia essa fisica o mentale) di un 

interessato, tra questi dati rientrano anche la prestazione di servizi di assistenza 

o sanitari, che possono rivelare, anche indirettamente, informazioni circa lo stato 

di salute dell’interessato. 


Definizioni 

Dati genetici 

Sono i dati personali inerenti le caratteristiche genetiche (siano esse ereditarie o 

acquisite) di un interessato. 

Questi dati possono fornire informazioni univoche sulla fisiologia o sulla salute 

del soggetto. La loro raccolta può avvenire dall’analisi di un campione biologico 

dell’interessato. I dati genetici si riferiscono esclusivamente alle persone fisiche. 


Definizioni 

Dati biometrici 

Sono i dati personali ottenuti 

tramite trattamento tecnico relativi 

alle caratteristiche fisiche, 

fisiologiche o comportamentali di 

un interessato che ne consentono o 

confermano l’identificazione 

univoca, quali l’immagine facciale o 

i dati dattiloscopici (impronte 

digitali). 


Definizioni 

Trattamento dei dati personali 

È considerato “trattamento” qualsiasi operazione o insieme di operazioni, 

compiute con o senza l'ausilio di processi automatizzati e applicate a dati 

personali o insiemi di dati personali, come la raccolta, la registrazione, 

l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, 

l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, 

diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o 

l'interconnessione, la limitazione, la cancellazione o la distruzione. 


Definizioni 


Definizioni 

Trattamento dei dati particolari 

Il trattamento dei dati particolari è solitamente vietato, salvo alcune eccezioni 

quali: 

• Consenso manifesto da parte dell’interessato; 

• Trattamento necessario per assolvere obblighi o per esercitare diritti in 

materia di lavoro; 

• Per scopi di pubblica sicurezza o esercizio di un diritto in sede giudiziaria; 

• Nel caso in cui i dati siano stati manifestamente resi pubblici dall’interessato 

stesso. 


Definizioni 

Titolare del trattamento 

Viene definita titolare del trattamento la persona fisica o 

giuridica, l'autorità pubblica, il servizio o altro organismo 

che, singolarmente o insieme ad altri, determina le finalità 

e i mezzi del trattamento di dati personali. 


Definizioni 

Responsabile del trattamento 

Responsabile del trattamento dei dati 

personali è la persona fisica o giuridica, 

l'autorità pubblica, il servizio o altro 

organismo che tratta dati personali per 

conto del titolare del trattamento. 


Definizioni 

Incaricato del trattamento 

È la persona fisica autorizzata a 

compiere le operazioni di trattamento dal 

titolare o dal responsabile 

Le operazioni di trattamento possono 

essere compiute solo da soggetti 

nominati incaricati. 


Definizioni 

Interessato 

La persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i 

dati. È il soggetto passivo del trattamento, ma che può, in determinati casi, 

modificarne completamente l’esito sulla base dei propri diritti. 


Definizioni 

Terzo 

Si tratta di una definizione modificata dal nuovo 

regolamento. Viene considerato “terzo” la persona fisica 

o giuridica, l'autorità pubblica, il servizio o altro 

organismo che non sia: 

• 

• 

• 

• 

l’interessato 

il titolare del trattamento 

il responsabile del trattamento 

una delle persone autorizzate al trattamento 

dei dati personali sotto l’autorità diretta del 

titolare o del responsabile. 


Definizioni 

Informativa 

Un documento o una comunicazione verbale contenente le informazioni che il 

titolare del trattamento deve fornire all’interessato per chiarire, in particolare, se 

quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e le 

modalità del trattamento, come circolano i dati e in che modo esercitare i 

diritti riconosciuti dalla legge. 

Il nuovo Regolamento Europeo stabilisce 

delle linee guida su come debba essere 

redatta l’informativa in caso di dati raccolti 

presso l’interessato o presso un soggetto 

terzo. 


Definizioni 

Consenso 

È la manifestazione di volontà libera, specifica, 

informata e inequivocabile dell'interessato, con 

la quale manifesta il proprio assenso, mediante 

dichiarazione o azione positiva inequivocabile, 

che i dati personali che lo riguardano siano 

oggetto di trattamento. 

Può essere scritta o “digitale”, 

mediante il proseguimento della 

navigazione su di un sito web. 


Definizioni 

Pseudonimizzazione 

È il trattamento di dati personali in modo tale che gli stessi non possano più 

essere attribuiti a un interessato specifico senza l’utilizzo di informazioni 

aggiuntive, a condizione che tali informazioni aggiuntive siano conservate 

separatamente e soggette a misure tecniche e organizzative intese a garantire 

che tali dati personali non siano attribuiti a una persona fisica identificata o 

identificabile. 


Definizioni 

Garante della privacy 

Il Garante della privacy è l’autorità indipendente composta 

da quattro membri eletti dal Parlamento. 

È stata istituita per la tutela dei diritti, delle libertà 

fondamentali e della dignità delle persone rispetto al 

trattamento dei dati personali. 

Controlla se il trattamento di dati personali da parte di privati 

e pubbliche amministrazioni è lecito e corretto. 


Definizioni 

Garante della privacy 

• Esamina reclami, segnalazioni e ricorsi, svolge accertamenti anche su 

richiesta del cittadino, esegue ispezioni e verifiche. 

• Prescrive modifiche necessarie od opportune per far adeguare i trattamenti 

alla disciplina vigente. 

• Segnala al Parlamento e al Governo l’opportunità di interventi normativi per 

tutelare gli interessati. 

• Esprime pareri su regolamenti e atti amministrativi di alcune amministrazioni 

pubbliche. 

• Presenta al Parlamento e al Governo una relazione annuale sullo stato di 

attuazione della normativa che regola la materia. 


Definizioni 

DPO - Data Protection Officer 

Figura nuova introdotta dal Regolamento 

2016/679. 

Si tratta di un professionista con esperienza 

nel campo della protezione dei dati 

personali che presta la propria opera 

affiancando il titolare del trattamento. 


Definizioni 

Privacy by Default 

Si intende con “privacy by default” l’adozione di una 

politica aziendale o amministrativa interna che tuteli la 

diffusione dei dati raccolti in occasione di registrazioni a 

servizi telematici o della stipula di contratti etc. 

X 


Definizioni 

Privacy by Design 

Con questo principio si intende l’incorporazione 

della privacy a partire dalla progettazione di un 

processo aziendale (comprese le applicazioni 

informatiche di supporto). 

La Privacy by design implica la messa in atto di 

determinati meccanismi atti a garantire il 

trattamento esclusivo di dati personali necessari per 

quella specifica progettazione. 


Definizioni 

Accountability 

Responsabilità incondizionata, formale o non, in capo a uno 

o più soggetti (accountors), del risultato conseguito da 

un’organizzazione , sulla base delle proprie capacità, abilità ed 

etica. 

Il titolare del trattamento deve essere in grado di 

dimostrare di avere adottato un processo 

complessivo di misure giuridiche, organizzative, 

tecniche, per la protezione dei dati personali, anche 

attraverso l’elaborazione di specifici modelli 

organizzativi: deve dimostrare in modo positivo e 

proattivo che i trattamenti di dati effettuati sono 

adeguati e conformi al regolamento europeo in 

materia di privacy. 


Definizioni 


Figure aziendali coinvolte nella gestione privacy 

La gestione dei dati all’interno di un’azienda è un processo che vede diversi 

attori: 

• Titolare del trattamento dati 

• Contitolare del trattamento 

• Responsabile interno del trattamento 

• Responsabile esterno del trattamento 

• Incaricato al trattamento 

• Data Protection Officer 

• Interessato 



Titolare del trattamento dati 

Definito come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro 

organismo che, singolarmente o insieme ad altri, determina le finalità e i 

mezzi del trattamento di dati personali. 

Nel caso i cui si tratti di un’impresa individuale il titolare del trattamento 

coinciderà con la persona fisica titolare dell’azienda. 

Se l’azienda è una persona giuridica il titolare è l’azienda nel suo complesso e 

non una persona fisica al suo interno. 

In caso di s.r.l. o altra forma di azienda come persona giuridica, opererà 

attraverso un sistema di deleghe e, in caso di necessità, sarà rappresentato dal 

rappresentante legale. 



Titolare del trattamento dati 

Riassumendo, il titolare 

• Può essere una persona fisica o giuridica 

• Non necessità di nomine in quanto automaticamente identificato 

• Ha su di se tutti gli obblighi di adeguamento imposti dalla legge 

• Cadono su di lui eventuali colpe derivate da un trattamento non corretto 

• Deve dare prova di supervisione degli aspetti privacy della propria azienda, 

anche mediante la conduzione di verifiche periodiche (audit), in assenza di 

essi ricadrebbe nel caso di “culpa in vigilando” 



Contitolare del trattamento dati 

Nel caso in cui due o più titolari 

determinano congiuntamente le finalità e 

i mezzi del trattamento vengono 

considerati contitolari del trattamento. 

Devono determinare in modo trasparente, 

anche mediante un accordo interno, le 

rispettive responsabilità soprattutto in 

merito all'esercizio dei diritti 

dell'interessato e le rispettive funzioni di 

comunicazione delle informazioni. 



Contitolare del trattamento dati 

L’accordo può designare un punto di contatto per gli interessati e riflette 

adeguatamente i rispettivi ruoli e rapporti dei contitolari con gli interessati. 

Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato. 

Indipendentemente dalle disposizioni dell’accordo, l’interessato può esercitare i 

propri diritti nei confronti di e contro ciascun titolare del trattamento. 



Responsabile del trattamento 

Il Regolamento CE 2016/679 prevede una doppia figura per quanto riguarda il 

responsabile del trattamento: 

• Responsabile interno del trattamento 

• Responsabile esterno del trattamento 



Responsabile interno del trattamento 

è il soggetto designato dal Titolare che, per esperienza, 

capacità ed affidabilità, fornisce idonea garanzia del pieno 

rispetto delle vigenti disposizioni in materia di trattamento 

di dati personali, compreso il profilo relativo alla sicurezza. 

La designazione del Responsabile avviene tramite 

nomina scritta ed accettazione da parte dell’interessato. 



Responsabile esterno del trattamento (outsourcer) 

È definito “Responsabile esterno del trattamento” la 

persona fisica, giuridica, la pubblica amministrazione e 

qualsiasi altro ente, associazione od organismo, esterno 

all’azienda del Titolare, che, previa designazione formale del 

Responsabile “interno” del trattamento, assume (su delega 

di quest’ultimo) poteri decisionali su un determinato 

trattamento e deve attenersi, nelle operazioni svolte, alle 

istruzioni ricevute. 




L’outsourcer deve poter dimostrare di avere le 

caratteristiche (morali e tecniche) necessarie al corretto 

adempimento del proprio compito. 

Qualora ne fosse sprovvisto il titolare potrebbe venire 

accusato di “culpa in eligendo”, ovvero di aver scelto una 

persona non adeguata allo svolgimento del compito. 

L’outsourcer deve essere nominato mediante un contratto 

scritto (lettera di nomina) sottoscritto per accettazione. 

Il contratto dovrà prevedere una serie di vincoli prestabiliti, 

elencati nell’art.28 del nuovo Regolamento Europeo. 




Punti trattati nell’incarico del RTD esterno: 

• Materia disciplinata 

• Durata del trattamento 

• Natura e finalità del trattamento 

• Tipo di dati personali 

• Categorie di interessati 

• Obblighi e diritti del responsabile del trattamento 




Il contratto tra titolare e responsabile deve prevedere 

che il responsabile: 

• tratti i dati personali soltanto su istruzione documentata 

del titolare del trattamento 

• garantisca che le persone autorizzate al trattamento dei 

dati personali si siano impegnate alla riservatezza o 

abbiano un adeguato obbligo statutario di riservatezza 

• adotti tutte le misure (di sicurezza) richieste ai sensi 

dell'articolo 32 






• rispetti le condizioni per ricorrere a un altro responsabile 

del trattamento 

• assista il titolare del trattamento con misure tecniche ed 

organizzative adeguate al fine di soddisfare l'obbligo del 

titolare del trattamento di dare seguito alle richieste per 

l'esercizio dei diritti dell’interessato 

• assista il titolare del trattamento nel garantire il rispetto 

degli obblighi di cui agli articoli da 32 a 36 (sicurezza; 

data breaches; DPIA; prior checking), tenendo conto 

della natura del trattamento e delle informazioni a 

disposizione del responsabile del trattamento 






• su scelta del titolare del trattamento, cancelli o gli 

restituisca tutti i dati personali dopo che è terminata la 

prestazione dei servizi di trattamento di dati e cancelli le 

copie esistenti 

• metta a disposizione del titolare del trattamento tutte le 

informazioni necessarie per dimostrare il rispetto degli 

obblighi di cui al presente articolo e consenta e 

contribuisca agli audit, comprese le ispezioni, realizzati 

dal titolare del trattamento o da un altro soggetto da 

questi incaricato. 




Sono considerati “responsabili esterni al trattamento” (in via di esempio non 

esaustivo) 

• Consulente del lavoro 

• Società di marketing 

• Gestione esterna del sistema informativo 

• Etc. 




L’art.4 del Reg 2016/679 (definizioni) non prevede 

formalmente la figura dell’incaricato al trattamento, 

ma è possibile desumere la sua esistenza dall’art. 

29 del regolamento stesso e viene definito come 

“la persona fisica che ha accesso ai dati personali 

e agisce sotto l’autorità del Titolare o del 

Responsabile del trattamento”. 




Riepilogando l’incaricato al trattamento 

• Può essere solo una persona fisica 

• Deve essere individuato mediante lettera 

d’incarico o assegnazione ad una mansione 

che prevede il trattamento di dati personali 

• Ha accesso ai soli dati necessari allo 

svolgimento della propria mansione 

• Non ha compiti aggiuntivi a quelli di lavoratore 

ordinario 

• Deve essere formato (obbligatoriamente) 



DPO (Data Protection Officer) 

Si tratta di una figura non obbligatoria 

indistintamente in tutte le realtà aziendali, ma 

solo in specifiche tipologie di aziende. 

Il Data Protection Officer sarà una figura 

professionale con particolari competenze in 

campo informatico, giuridico, di valutazione 

del rischio e di analisi dei processi. 




Il compito principale del DPO è 

l’osservazione, la valutazione e la gestione 

del trattamento dei dati personali allo scopo 

di far rispettare le normative europee e 

nazionali in materia di privacy. 

L’articolo 37 del Regolamento non specifica 

quali debbano essere le qualità professionali 

necessarie a rivestire la figura del DPO. Si 

evince però che il soggetto prescelto debba 

possedere comprovata esperienza sulla 

legislazione relativa alla protezione dei dati 

personali sia nazionale che europea, sulle 

prassi oltre che una approfondita 

conoscenza del Regolamento. 




Nel caso, poi, di un ente pubblico o di un 

organismo pubblico, il DPO dovrebbe anche 

avere una buona conoscenza delle regole e 

delle procedure dell’organizzazione 

amministrativa. 




La figura del DPO è obbligatoria nei seguenti 

casi: 

• Pubbliche amministrazioni 

• Enti pubblici 

• Soggetti la cui attività principale consiste 

nel controllo regolare e sistematico degli 

interessati 

• Soggetti la cui attività principale consiste 

nel trattamento su larga scala di dati 

sanitari, di salute, biometrici o genetici 




Il DPO può essere nominato anche in realtà 

nelle quali non è obbligatorio per legge, in tal 

caso può assumere il ruolo di Responsabile 

del trattamento. 




Riassumendo il DPO 

• Può essere una figura interna o esterna; 

• È possibile nominarne uno “di gruppo” tra 

più aziende operanti nello stesso settore 

• Deve possedere competenza e 

professionalità 

• Deve essere dotato di risorse umane e 

finanziarie adeguate 

• Esegue i compiti previsti dalla legge in 

merito a verifiche, consulenza e 

formazione 

• Funge da interfaccia per interessati e 

autorità di controllo 


Diritti degli interessati e obblighi delle varie figure 

Il Titolare deve garantire all’interessato i seguenti diritti minimi: 

• Diritto all’informativa 

• Diritto di consenso 

• Diritto di controllo dei dati 



Informativa 

L’informativa, basata sul principio di trasparenza, è una dichiarazione che il 

Titolare rilascia all’Interessato con lo scopo di: 

• Far conoscere le intenzioni dei Titolare prima di fornire i propri dati 

• Permettere di valutare le eventuali conseguenze della raccolta dati 

• Decidere se accettare o rifiutare il trattamento 

• Conoscere i propri diritti ed essere informato su come potrà controllare in 

seguito i propri dati 



Informativa 

Il Titolare è tenuto (obbligato) a fornire un’informativa in ogni caso, anche 

quando, per varie ragioni, non è richiesto il consenso dell’interessato per poter 

effettuare il trattamento dei dati. 

L’informativa può non essere consegnata in 3 casi: 

• Caso in cui l’interessato è già a conoscenza delle informazioni riportatevi 

• Se informare l’interessato sia impossibile 

• Se informare l’interessato richiederebbe uno sforzo abnorme 

Nell’ultimo caso il Titolare potrà ricorrere ad altri metodi, come ad esempio la 

pubblicazione su di un quotidiano. 



Informativa 

L’informativa va consegnata all’interessato in un momento antecedente la 

raccolta stessa, o tutt’al più in concomitanza della stessa qualora la raccolta dei 

dati avvenga presso l’interessato stesso. 

Se i dati verranno raccolti presso terzi il Titolare dovrà fornire l’informativa 

all’interessato entro un tempo massimo di 1 mese. 

Non è necessario procedere alla consegna di una nuova informativa ad ogni 

raccolta, se non sono variate le tecniche di raccolta e gestione dei dati, le 

finalità e le figure della privacy allora l’informativa potrà esser consegna una 

tantum. 



Informativa 

Una novità introdotta dal Regolamento 2016/679 è data dall’obbligo di fornire 

un’informatica che sia: 

• Chiara 

• Concisa 

• Volendo anche con rappresentazioni grafiche ad icone onde superare le 

barriere linguistiche, anche attraverso l’uso di icone 

L’informativa può essere fornita in forma: 

• scritta su supporto cartaceo; 

• scritta in formato digitale (come durante le navigazioni su di un sito web); 

• orale, ma solo se si dimostra di poter comprovare con altri mezzi l’identità 

dell’interessato. Al titolare spetta l’onere della prova di aver fornito le 

informazioni nei tempi e modi previsti. 



Informativa 

Non potrà essere considerata valida un’informativa troppo generica. 

Il contenuto dovrà essere conforme a quanto previsto dal regolamento 

2016/679, che all’art.13 specifica le informazione da fornire quando i dati sono 

raccolti presso l’interessato e all’art.14 quando i dati sono raccolti presso terzi. 

In caso di raccolta di dati presso l’interessato il Titolare dovrà fornire: 

• l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del 

suo rappresentante; 

• i dati di contatto del responsabile della protezione dei dati, ove applicabile; 

• le finalità del trattamento cui sono destinati i dati personali nonché la base 

giuridica del trattamento; 



Informativa 

• qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f i legittimi 

interessi perseguiti dal titolare del trattamento o da terzi 

• gli eventuali destinatari o le eventuali categorie di destinatari dei dati 

personali 

• ove applicabile, l'intenzione del titolare del trattamento di trasferire dati 

personali a un paese terzo o a un'organizzazione internazionale e l'esistenza 

o l'assenza di una decisione di adeguatezza della Commissione o, nel caso 

dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il 

riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una 

copia di tali dati o il luogo dove sono stati resi disponibili. 



Informativa 

In aggiunta alle informazioni appena analizzate, nel momento in cui i dati 

personali sono ottenuti, il titolare del trattamento deve fornire all'interessato 

le seguenti ulteriori informazioni necessarie per garantire un trattamento 

corretto e trasparente: 

• il periodo di conservazione dei dati personali oppure, se non è possibile, i 

criteri utilizzati per determinare tale periodo 

• l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento 

l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la 

limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, 

oltre al diritto alla portabilità dei dati 

• qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure 

sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il 

consenso in qualsiasi momento senza pregiudicare la liceità del trattamento 

basata sul consenso prestato prima della revoca 



Informativa 

• il diritto di proporre reclamo a un'autorità di controllo; 

• se la comunicazione di dati personali è un obbligo legale o contrattuale 

oppure un requisito necessario per la conclusione di un contratto, e se 

l'interessato ha l'obbligo di fornire i dati personali nonché le possibili 

conseguenze della mancata comunicazione di tali dati; 

• l'esistenza di un processo decisionale automatizzato, compresa la 

profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, 

informazioni significative sulla logica utilizzata, nonché l'importanza e le 

conseguenze previste di tale trattamento per l'interessato. 



Informativa 

Dati da fornire in caso di raccolta dati effettuata presso un terzo (art. 14 

2016/679): 

• l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del 

suo rappresentante 

• i dati di contatto del responsabile della protezione dei dati, ove applicabile 

• le finalità del trattamento cui sono destinati i dati personali nonché la base 

giuridica del trattamento 

• le categorie di dati personali in questione 



Informativa 

Dati da fornire in caso di raccolta dati effettuata presso un terzo (art. 14 

2016/679): 

• gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali 

• ove applicabile, l'intenzione del titolare del trattamento di trasferire dati 

personali a un destinatario in un paese terzo o a un'organizzazione 

internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della 

Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o 

all'articolo 49, secondo comma, il riferimento alle garanzie adeguate o 

opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono 

stati resi disponibili 



Informativa 

Oltre alle informazioni viste in precedenza, il titolare del trattamento fornisce 

all'interessato le seguenti informazioni necessarie per garantire un trattamento 

corretto e trasparente nei confronti dell'interessato: 

• periodo di conservazione dei dati personali oppure, se non è possibile, i criteri 

utilizzati per determinare tale periodo 

• qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi 

interessi perseguiti dal titolare del trattamento o da terzi 



Informativa 




• l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento 

l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la 

limitazione del trattamento dei dati personali che lo riguardano e di opporsi al 

loro trattamento, oltre al diritto alla portabilità dei dati 

• qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure 

sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il 

consenso in qualsiasi momento senza pregiudicare la liceità del trattamento 

basata sul consenso prima della revoca 

• il diritto di proporre reclamo a un'autorità di controllo 



Informativa 




• la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i 

dati provengano da fonti accessibili al pubblico 

• l'esistenza di un processo decisionale automatizzato, compresa la 

profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, 

informazioni significative sulla logica utilizzata, nonché l'importanza e le 

conseguenze previste di tale trattamento per l'interessato 



Condizioni di liceità 

Il titolare, per poter trattare senza ulteriori problemi i dati raccolti deve, dopo 

aver consegnato l’informativa all’interessato, valutare che sussista almeno una 

delle condizioni di liceità del trattamento. 

Si intende per “condizione di liceità” quella condizione che rende legittimo il 

trattamento dei dati. È possibile avere un elenco analizzando l’articolo 6 del 

regolamento europeo. 



Sono considerate condizioni valide: 

• l'interessato ha espresso il consenso al trattamento dei propri dati personali 

per una o più specifiche finalità 

• il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è 

parte o all'esecuzione di misure precontrattuali adottate su richiesta dello 

stesso 

• il trattamento è necessario per adempiere un obbligo legale al quale è 

soggetto il titolare del trattamento 

• il trattamento è necessario per la salvaguardia degli interessi vitali 

dell'interessato o di un'altra persona fisica 




Sono considerate condizioni valide: 

• il trattamento è necessario per l'esecuzione di un compito di interesse 

pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare 

del trattamento 

• il trattamento è necessario per il perseguimento del legittimo interesse del 

titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi 

o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione 

dei dati personali, in particolare se l'interessato è un minore 



Consenso 

Se non è possibile applicare una 

delle condizioni di liceità viste in 

precedenza il titolare deve 

necessariamente ottenere il 

consenso al trattamento dei dati 

da parte dell’interessato. 



Consenso 

Per essere valido il consenso deve essere: 

• Informato 

• Specifico 

• Libero 

• Consapevole 

• Non equivocabile 

In caso di differenti trattamenti evidenziati nell’informativa è necessario dare 

all’interessato la possibilità di manifestare un consenso separato per ciascun 

trattamento. Qualora il consenso sia rilasciato verbalmente è necessario che sia 

certificato su di un documento redatto dall’incaricato che lo ha raccolto. 



Consenso per fini commerciali 

Qualora il titolare volesse utilizzare i dati raccolti 

dall’interessato per fini commerciali, ovvero per l’invio 

di materiale pubblicitario, per contattarlo 

telefonicamente, via sms, e mail o altri canali 

ritenuti idonei, dovrà ottenere un consenso 

specifico. 





I diritti dell’interessato 

L’interessato ha il diritto di poter agire, anche in seguito a rilascio del consenso, 

sui dati forniti ad un Titolare. 

Le operazioni di modifica, cancellazione, oppure la richiesta di esistenza dei dati 

stessi non devono comportare un costo per l’interessato, ma il titolare deve 

identificare l’interessato prima di procedere. 

Il Regolamento CE 2016/679 riporta quali sono i diritti dell’interessato negli 

articoli da 15 a 22. 




Il titolare ha l’obbligo di procedere secondo le richieste dell’interessato entro un 

periodo massimo di 30 giorni, prorogabili di altri 60 nel caso in cui si trattasse 

di operazioni complesse. 

Entro 30 giorni sarà comunque necessario informare l’interessato che la 

richiesta è stata presa in carico e spiegare i motivi che stanno causando il 

ritardo. 

Oltre i 90 giorni l’interessato può procedere con un ricorso al Garante della 

Privacy o ad altra autorità giudiziaria. 




I diritti ad oggi validi sono i seguenti 

• Diritto di accesso 

• Diritto di rettifica 

• Diritto alla limitazione del trattamento 

• Diritto alla portabilità dei dati 

• Diritto all’oblio 

Gli ultimi due sono novità introdotte con il Regolamento Europeo 



Diritto di accesso 

Permette all’interessato di controllare se i dati siano in possesso del Titolare e 

vengano utilizzati in maniera corretta ed in conformità con quanto dichiarato 

dal titolare stesso nell’informativa fornita. 

È anche possibile chiedere ad un Titolare se questi detiene dati che riguardino 

l’interessato. 



Diritto di accesso 

un interessato può chiedere ad un titolare se: 

• È in possesso di dati che lo riguardano 

• L’origine dei dati 

• La finalità per la quale sono stati raccolti 

• Le categorie di dati che sono stati raccolti 

• I destinatari ai quali i dati sono inviati (sia intra che extra UE) 

• L’esistenza o meno di un processo automatizzato di gestione dei dati 

• L’esistenza o meno di un processo di profilazione 

• Il periodo di conservazione dei dati 

L’interessato può chiedere al Titolare la modifica dei dati in suo possesso, 

qualora questi risultassero incompleti od inesatti. 



Diritto all’oblio 

Già all’interno del codice privacy si parlava di “diritto all’oblio”, 

anche se in maniera indiretta, il nuovo Regolamento Europeo 

rafforza il concetto, stabilendo che un interessato può 

chiedere che vengano cancellati/distrutti o resi anonimi i 

suoi dati se ci si trova in una serie di casi. 




È possibile ricorrere al diritto all’oblio nelle seguenti 

situazioni: 

• Termine della finalità del trattamento 

• Revoca del consenso 

• Opposizione al trattamento dei dati 

• Dati trattati in violazione alle norme di legge 




Un aspetto particolarmente importante riguarda il 

mondo online. 

In caso di esercizio del diritto all’oblio il Titolare 

dovrà informare gli altri titolari con i quali ha avuto 

rapporti di eliminare i metacollegamenti (link) che 

portano ai dati dell’interessato. 



Diritto di limitazione del trattamento 

In alternativa alla cancellazione dei dati l’interessato può chiedere al titolare che 

i dati in suo possesso vengano limitati, ovvero resi non più utilizzabili per i vari 

trattamenti. 

Si tratta di una misura temporanea e reversibile. 

È possibile ricorrere alla limitazione del trattamento nei seguenti casi: 

• Riscontro di inesattezze nei dati, in attesa della rettifica 

• In caso di contestazione, fino ad un chiarimento 

• Come alternativa alla cancellazione 



Diritto di limitazione del trattamento 

Un Titolare che trovi di fronte una richiesta di limitazione potrà agire in diversi 

modi: 

• Trasferendo i dati su di un altro sistema di memorizzazione 

• Rendendo i dati non accessibili (ad esempio mediante password o 

criptazione) 

• Rimuovendo temporaneamente i dati dal sistema 

• Congelando i dati se presenti su di un database 

• Anonimizzando i dati presenti sui suoi sistemi 



Diritto alla portabilità dei dati 

Si tratta di una novità introdotta con il 

Regolamento Europeo, nata con lo scopo 

di semplificare lo spostamento tra diversi 

fornitori, specialmente di servizi (es. acqua, 

gas, telefonia). 

L’interessato può esercitare il diritto alla 

portabilità nel caso in cui il trattamento sia 

necessario per l’esecuzione di un contratto 

e abbia fornito il consenso al trattamento 

dei dati. 



Diritto alla portabilità dei dati 

Qualora il trattamento fosse di tipo 

automatizzato l’interessato può richiedere 

che i dati gli vengano inviati in un formato 

chiaro e leggibile da un computer non 

dotato di software aziendali proprietari. 

Se tecnicamente fattibile l’interessato può 

chiedere che i dati che lo riguardano 

vengano automaticamente trasmessi al 

nuovo interessato (procedura comune nel 

caso di variazione di operatore telefonico) 


Le sanzioni amministrative e penali 

Sanzioni amministrative 

Una condotta non corretta può portare a: 

• Sanzioni amministrative 

• Risarcimento danni 

• Sanzioni penali 

• Danni d’immagine (in caso di data breach) 

Vengono inflitte dal garante della 

Privacy in seguito ad indagini condotte 

a campione o in seguito ad un reclamo 

da parte di un interessato o di una 

categoria di interessati (class action). 



Sanzioni amministrative 

Il Garante potrà agire a diversi livelli 

• Avvertimento 

• Ammonimento 

• Ingiunzione 

• Inibizione del trattamento dei dati (con conseguente blocco dell’attività di 

un’azienda) 

• Sanzione pecuniaria 

Nel caso in cui il Titolare non concordi 

con quanto deciso dal Garante può 

presentare una formale opposizione 

all’Autorità Giudiziaria. 



Sanzioni pecuniarie 

In caso di attività sanzionatoria il Regolamento Europeo stabilisce che esse 

debbano essere sufficientemente incidenti da scoraggiare un’eventuale 

ripetizione dell’illecito. Possono quindi arrivare in alternativa fino a 

• 20 milioni di euro 

• 4% del fatturato mondiale dell’anno precedente 

X 



Sanzioni pecuniarie 

Al fine di poter stabilire con correttezza il peso di una sanzione il Garante 

procederà a valutare diversi aspetti quali: 

• La gravità dell’azione 

• La durata del trattamento 

• La colposità o dolosità 

• La recidività 

• Etc. 



Risarcimento 

È possibile ottenere risarcimento ad opera del titolare o responsabile da 

chiunque (interessato o terzo fisico o giuridico) abbia subito un danno. 

Il danno può essere sia patrimoniale (economico) o non patrimoniale. 

Per ottenere un risarcimento non bisogna rivolgersi al Garante, bensì 

direttamente all’autorità Giudiziaria. 

Il titolare o interessato ha come una via d’uscita la possibilità di dimostrare che 

il danno non è a lui imputabile, come nel caso di un crash di un sistema 

informatico in outsourcing. 



Sanzioni penali 

Non sono previste direttamente dal Regolamento Europeo, ma si rimanda ai 

vari Stati Membri i quali possono proporre l’incarceramento o la sottrazione dei 

profitti illecitamente ottenuti. 


Hai completato lo studio del modulo! 

Grazie per l’attenzione 

D.Lgs 196/03 | Reg. CE 2016/679 

© Copyright 2018 Gruppo Torinoprogetti ® srl. C.F. / P.IVA 09285080017

Formazione per incaricati della privacy

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?