Uniformità del GDPR nell'UE: applicazione simultanea in tutti gli Stati membri
Il Regolamento Privacy garantisce l'armonizzazione normativa, essendo direttamente applicabile e contemporaneamente valido in tutti i Paesi dell'Unione Europea senza necessità di recepimento nazionale.

Effetto unificante del GDPR: stessa disciplina in tutta l'UE
L'applicazione diretta del Regolamento assicura che le norme sulla protezione dati abbiano identico valore giuridico in ogni Stato membro, eliminando divergenze legislative tra i diversi Paesi.

Vantaggi dell'approccio uniforme: certezza del diritto e parità di condizioni
Questa uniformità crea un quadro giuridico chiaro per cittadini e imprese, favorendo la libera circolazione dei dati nel rispetto di identici standard di protezione in tutta l'Unione.

Ruolo delle autorità nazionali: applicazione coerente del GDPR
Pur nella cornice unificata, le autorità di controllo locali vigilano sull'applicazione, assicurando coerenza pur nel rispetto delle specificità nazionali previste dalle clausole di flessibilità del Regolamento.

Meccanismi di cooperazione: sistema unico con garanzie comuni
Il sistema one-stop-shop e il Comitato Europeo per la Protezione Dati garantiscono l'applicazione coordinata, risolvendo eventuali conflitti per mantenere l'unitarietà del sistema privacy europeo.

Il GDPR 679/2016: un regolamento efficace per la tutela dei dati personali?
Il Regolamento UE 679/2016 rappresenta un significativo passo avanti nella protezione dei dati, offrendo agli interessati strumenti concreti per conoscere, controllare e influenzare il trattamento delle proprie informazioni personali.

Strumenti rafforzati per i diritti degli interessati
Il GDPR potenzia notevolmente i diritti degli individui, introduendo meccanismi più efficaci per l'accesso, la rettifica e la portabilità dei dati, oltre al diritto all'oblio, garantendo un maggiore controllo sul proprio information footprint.

Verso un nuovo modello di fiducia digitale
L'armonizzazione delle norme a livello europeo contribuisce a ricostruire la fiducia dei cittadini verso aziende e istituzioni, creando un terreno più sicuro per gli scambi commerciali e lo sviluppo dell'economia digitale nell'Unione.

Dal formalismo alla responsabilità attiva: un cambio di paradigma
Il regolamento impone un radicale cambiamento culturale, spostando l'attenzione dalla mera compliance formale a un approccio proattivo basato sulla responsabilizzazione (accountability) e sulla dimostrazione concreta delle misure adottate.

Gli strumenti chiave: DPIA, risk assessment e privacy by design
L'introduzione obbligatoria della Valutazione d'Impatto (DPIA), del risk assessment (art. 35) e dei principi di privacy by design/default (art. 25) rappresentano innovazioni cruciali per una protezione dati efficace e preventiva.

Sfide e opportunità per le organizzazioni
Sebbene l'implementazione richieda sforzi significativi, il GDPR offre alle aziende l'opportunità di trasformare la privacy da vincolo a vantaggio competitivo, migliorando la trasparenza e la qualità dei processi di trattamento dati.

Verso una maturità privacy-driven
Il regolamento sta effettivamente spingendo le organizzazioni verso un modello più maturo di governance dei dati, dove la protezione delle informazioni diventa parte integrante della strategia aziendale e del valore offerto agli stakeholder.

Sanzioni GDPR: quadro generale e importi
Ai sensi dell'art. 83 del GDPR, le sanzioni amministrative per violazioni del regolamento prevedono un sistema proporzionale alla gravità dell'infrazione, con due fasce principali di sanzioni:

1. Violazioni meno gravi (art. 83, par. 4):

   • Multe fino a 10 milioni di euro o, per imprese, 2% del fatturato globale annuo (se superiore)

   • Si applicano a violazioni procedurali (es. mancata tenuta dei registri, inosservanza privacy by design)

2. Violazioni più gravi (art. 83, par. 5-6):

   • Multe fino a 20 milioni di euro o, per imprese, 4% del fatturato globale annuo (se superiore)

   • Riguardano infrazioni sostanziali (es. trattamento illecito di dati, mancata ottenimento del consenso, inosservanza dei diritti degli interessati)

Criteri di determinazione della sanzione (art. 83, par. 2)
Le autorità considerano:
✔ Natura/gravità della violazione
✔ Dolo o negligenza
✔ Misure di mitigazione adottate
✔ Precedenti violazioni
✔ Grado di cooperazione con l'autorità
✔ Categorie di dati coinvolti

Esempi applicativi

• Violazione principio di accountability: fino al 2% del fatturato

• Data breach non notificato: fino al 4% del fatturato

• Mancato rispetto dei diritti degli interessati: fino a 20 milioni

Poteri correttivi complementari (art. 58)
Oltre alle multe, le autorità possono:
➤ Emettere avvertimenti
➤ Imporre limitazioni temporanee al trattamento
➤ Ordinare la rettifica/cancellazione dei dati

Per un'analisi completa delle fattispecie sanzionatorie si raccomanda la consultazione diretta dell'art. 83 GDPR, che elenca dettagliatamente tutte le ipotesi applicative.

Approccio europeo: Le sanzioni sono applicate dalle singole autorità nazionali (es. Garante Privacy in Italia) in coordinamento con l'EDPB per garantire uniformità nell'Unione.

Il Responsabile della Protezione dei Dati (DPO/RPD): ruolo e obblighi

Il Data Protection Officer (DPO) è una figura chiave nel sistema GDPR, con funzioni di:
✔ Consulenza interna su adempimenti privacy
✔ Sorveglianza sull'osservanza del regolamento
✔ Punto di contatto con autorità e interessati

Obbligo di nomina del DPO (Art. 37 GDPR)

La designazione è obbligatoria per:

1. Pubbliche Amministrazioni

   • Obbligatorie per tutti gli enti pubblici

   • Eccezione: autorità giudiziarie nell'esercizio delle funzioni giurisdizionali

2. Attività di trattamento su larga scala

   • Trattamento sistematico e regolare di dati particolari (ex sensibili)
     (es: dati sanitari, biometrici, giudiziari)

   • Monitoraggio sistematico di persone (es: profilazione, telecamere, geolocalizzazione)

3. Core business basato su dati

   • Aziende il cui modello operativo si fonda su:

     • Trattamento intensivo di dati personali

     • Attività di monitoraggio regolare (es: big data, advertising digitale)

Requisiti del DPO (Art. 37-39 GDPR)

• Competenze giuridiche e tecniche in materia di privacy

• Indipendenza nell'esercizio delle funzioni

• Accesso diretto al vertice aziendale

• Assenza di conflitti d'interesse (es: non può essere il Responsabile IT o il Legal Counsel)

Casi pratici di obbligo

▪ Ospedali e cliniche (dati sanitari)
▪ Banche e assicurazioni (dati finanziari + profilazione)
▪ Grandi retailer online (monitoraggio utenti)
▪ Comuni e enti locali (trattamento dati cittadini)

Nota: Anche quando non obbligatorio, la nomina è consigliata come best practice per dimostrare compliance.

Sanzioni per mancata nomina (Art. 83 GDPR):
Fino a 10 milioni di € o 2% del fatturato globale se l'obbligo viene ignorato.

Il DPO non è un mero adempimento formale, ma un asset strategico per:

• Mitigare rischi

• Costruire fiducia con clienti

• Ottimizzare i processi data-driven

*Per i dettagli operativi: Artt. 37-39 GDPR e Linee Guida WP29 (ora EDPB) n. 243/2016.*

I

Ruolo e Compiti del Responsabile della Protezione dei Dati (RPD/DPO)

Il Data Protection Officer (DPO) opera con piena autonomia e indipendenza, riferendo direttamente al Titolare del trattamento o ai vertici aziendali, senza subire influenze gerarchiche da altri dirigenti.

Principali Compiti del DPO (Art. 39 GDPR)

1. Funzione consultiva e di supporto

• Informare e consigliare Titolare/Responsabile del trattamento sugli obblighi GDPR

• Fornire pareri su Valutazioni d’Impatto (DPIA – Data Protection Impact Assessment)

• Monitorare l’applicazione delle policy aziendali in materia di privacy

2. Sorveglianza e controllo della compliance

• Verificare il rispetto della normativa privacy (GDPR e legislazione nazionale)

• Sensibilizzare e formare il personale e gli auditor interni

• Tenere traccia degli adempimenti (es. registri delle attività di trattamento)

3. Interfaccia con gli interessati e le autorità

• Punto di contatto per i cittadini

  • Gestire richieste di esercizio dei diritti (accesso, cancellazione, portabilità, ecc.)

  • Rispondere a reclami o segnalazioni su violazioni dati

• Interlocutore con il Garante Privacy

  • Collaborare con l’autorità di controllo

  • Consultare il Garante su dubbi interpretativi o casi complessi

  • Segnalare eventuali violazioni (data breach)

4. Gestione del rischio e accountability

• Valutare i rischi legati ai trattamenti dati e proporre misure correttive

• Promuovere approcci proattivi come Privacy by Design e Privacy by Default

• Supportare la risposta a incidenti (es. data breach)

Indipendenza e Autonomia del DPO (Art. 38 GDPR)

• Nessuna interferenza da parte di altri dirigenti

• Accesso prioritario alle decisioni strategiche in materia di dati personali

• Divieto di sanzioni o ritorsioni per l’esercizio delle sue funzioni

Casi Pratici di Intervento del DPO

✔ Introduzione di un nuovo software CRM → Verifica conformità GDPR
✔ Violazione dati (data breach) → Coordinamento con il Garante e notifica agli interessati
✔ Richiesta di cancellazione dati (right to be forgotten) → Gestione della procedura interna

Sanzioni per Mancato Supporto al DPO

• Multe fino a 10 milioni di € o 2% del fatturato globale (Art. 83 GDPR) se l’azienda ostacola il suo lavoro.

Perché il DPO è Strategico?

• Previene sanzioni garantendo compliance

• Migliora la reputazione aziendale

• Facilita l’innovazione in ottica privacy-aware

*Riferimenti normativi: Artt. 37-39 GDPR e Linee Guida WP29 n. 243/2016 (EDPB).*

DPO: Modalità di Designazione (Persona Fisica/Giuridica, Interno/Esterno)

Il GDPR (Art. 37) e le Linee Guida WP29/EDPB forniscono flessibilità nella scelta del DPO, ma con precisi requisiti per garantire indipendenza ed efficacia.

1. DPO INTERNO vs. ESTERNO

2. PERSONA FISICA vs. GIURIDICA

• Il DPO deve essere una persona fisica identificabile (anche se la consulenza è affidata a una società esterna).

  • Esempio: Se un’azienda incarica uno studio legale, quest’ultimo deve nominare un referente fisico come DPO (Linee Guida WP29, punto 2.4).

• Non è ammesso un "DPO collettivo" (es. un team senza un unico referente).

3. REQUISITI ESSENZIALI

• Indipendenza (nessuna interferenza da parte del Titolare/Responsabile del trattamento)

• Assenza di conflitti d’interesse (es. il DPO non può essere chi decide come usare i dati)

• Competenze giuridiche + tecniche (conoscenza GDPR e settore di attività)

• Disponibilità e risorse (tempo e strumenti per svolgere i compiti)

4. OBBLIGHI FORMALI

• Pubblicità del nominativo (il DPO deve essere comunicato al Garante Privacy e agli interessati).

• Punto di contatto unico (anche se la consulenza è esterna, deve esserci un solo referente per autorità e cittadini).

Casi Pratici

• Multinazionale: Spesso sceglie un DPO interno (es. un dirigente dedicato).

• PMI: Opta per un DPO esterno (es. studio legale specializzato).

• Pubblica Amministrazione: Di solito nomina un dipendente interno (es. Responsabile Privacy).

Sanzioni per Errori nella Designazione

• Mancata nomina (se obbligatoria): Fino a 10 milioni di € o 2% del fatturato.

• Conflitto di interesse: Il DPO non è efficace e l’azienda rischia sanzioni per mancata compliance.

*Riferimenti: Art. 37-39 GDPR + Linee Guida WP29 n. 243/2016 (punto 2.4).*

Anche senza Internet, un PC in LAN può prendere virus?

Sì, assolutamente. Anche se stacchi il computer da Internet, resta vulnerabile se connesso a una rete locale (LAN) aziendale o domestica.

🔴 Come può infettarsi un PC offline ma in LAN?

1. Infezione da altri dispositivi della rete

   • Se un altro computer in LAN è infetto (es. da malware, ransomware, worm), può diffondere il virus tramite:

     • Cartelle condivise (accesso non protetto)

     • Attacchi lateralizzati (es. exploit di protocolli di rete come SMB)

2. Dispositivi infetti collegati in rete

   • NAS, server, stampanti di rete compromessi possono infettare i PC collegati.

3. Chiavette USB o dispositivi esterni

   • Un collega inserisce una penna USB infetta → il malware si propaga in tutta la LAN.

   • Dischi esterni, smartphone, periferiche con driver corrotti.

4. Email o file scaricati prima dello "sconnessione"

   • Un malware dormiente può attivarsi dopo giorni e infettare la rete locale.

🛡️ Come proteggersi?

1. Isolamento fisico (Air Gap) se necessario

• Nessuna connessione LAN/Wi-Fi → L’unico modo per essere sicuri al 100%.

• Blocca le porte USB con policy aziendali.

2. Protezione della rete LAN

• Firewall interno (segmentazione della rete)

• Disabilitare condivisioni non necessarie (SMB, FTP)

• Aggiornare tutti i dispositivi di rete (router, switch)

3. Antivirus e controlli avanzati

• Endpoint Protection (non solo antivirus base)

• Scansioni periodiche anche su PC offline

• Controllo dispositivi USB (soluzioni come USB Write Blocker)

4. Formazione del personale

• No chiavette USB sconosciute

• Verifica dei file prima del trasferimento

📌 Conclusione

• Un PC senza Internet ma in LAN può infettarsi tramite altri dispositivi o supporti esterni.

• Le aziende devono adottare policy di sicurezza anche per reti locali.

• Se il computer deve essere completamente sicuro, l’unica soluzione è l’air gapping (nessuna connessione, né Internet né LAN).

anche dopo il Jobs Act, i controlli datoriali devono comunque essere improntati a gradualità nell’ampiezza e nella tipologia con assoluta residualità dei controlli più invasivi, legittimati solo a fronte della rilevazione di specifiche anomalie.

Ad esempio, se il datore di lavoro riscontra la presenza di virus sui pc aziendali, può dotarli di sistemi di filtraggio/blocco dei siti a rischio e non procedere al monitoraggio dei siti visitati.

Del resto, come il Garante ha affermato in più occasioni, il datore di lavoro è tenuto all’individuazione preventiva della lista dei siti considerati correlati alla prestazione lavorativa, nonché dell’adozione di filtri per il blocco dell’accesso a determinati siti o del download di alcuni file.  

Non sono comunque consentite al datore di lavoro la lettura e registrazione sistematica delle e-mail e delle pagine web visualizzate dal lavoratore, la lettura e registrazione dei caratteri inseriti tramite tastiere e dispositivi analoghi, nonché l’analisi occulta di computer portatili affidati in uso.

Dati Sensibili (o "Dati Particolari") nel GDPR (Regolamento UE 679/2016)

Il GDPR (Art. 9) definisce i dati sensibili (tecnicamente chiamati "dati particolari") come categorie speciali di dati personali che, per la loro natura intima o potenzialmente discriminatoria, richiedono tutele rafforzate.

📋 Cosa Rientra nei Dati Sensibili?

Secondo l’Art. 9 GDPR, sono dati sensibili quelli che rivelano:

1. Origine razziale o etnica

2. Opinioni politiche

3. Convinzioni religiose o filosofiche

4. Appartenenza sindacale

5. Dati genetici

6. Dati biometrici (se usati per identificazione univoca, es. impronte digitali)

7. Dati relativi alla salute (storico medico, diagnosi, terapie)

8. Dati sulla vita sessuale o l’orientamento sessuale

(Attenzione: in Italia, il Codice Privacy include anche lo stato giudiziario tra i dati sensibili.)

🔒 Perché Sono Protetti in Modo Speciale?

• Rischio di discriminazione: Se esposti, questi dati possono ledere diritti fondamentali (es. rifiutare un lavoro per motivi religiosi).

• Impatto sulla dignità: Violazioni di salute o vita privata possono causare danni morali gravi.

• Obblighi legali rafforzati: Il GDPR vieta il loro trattamento salvo eccezioni (es. consenso esplicito, motivi di salute pubblica).

🛡️ Come Possono Essere Trattati?

Il trattamento è vietato in linea generale, ma il GDPR prevede eccezioni (Art. 9.2), tra cui:

• Consenso esplicito (non generico, ma specifico e documentato).

• Obblighi legali (es. invio di dati sanitari all’ASL).

• Interessi vitali (es. emergenze mediche).

• Utilizzo per motivi di sanità pubblica (es. pandemie).

⚠️ Cosa Succede se Violi le Regole?

• Sanzioni fino a 20 milioni di € o 4% del fatturato globale (Art. 83 GDPR).

• Danni reputazionali: Perdita di fiducia di clienti e partner.

📌 Esempi Pratici

✔ Dati sanitari in un ospedale → Necessario consenso o base legale.
✔ Appartenenza sindacale in un’azienda → Trattabile solo per obblighi contrattuali.
✔ Dati biometrici per l’accesso a uno smartphone → Richiede garanzie aggiuntive.

Conclusione

I dati sensibili sono la categoria più protetta dal GDPR.

• Non possono essere trattati senza una giustificazione valida.

• Richiedono misure di sicurezza extra (es. crittografia, audit frequenti).

Profilazione nel GDPR: Definizione e Implicazioni

La profilazione è un concetto chiave nel Regolamento UE 679/2016 (GDPR), definito all’Art. 4(4) come:

*"Qualsiasi forma di trattamento automatizzato di dati personali volto a valutare aspetti specifici di una persona fisica, in particolare per analizzare o prevedere caratteristiche come:

• Prestazioni lavorative o economiche

• Salute

• Preferenze personali (es. gusti, abitudini di acquisto)

• Affidabilità o comportamento

• Spostamenti o ubicazione (geolocalizzazione)"*

🔍 Come Funziona la Profilazione?

1. Raccolta dati: Dati da fonti come:

   • Cookie di navigazione

   • Transazioni finanziarie

   • Storico acquisti online

   • Dati di geolocalizzazione (GPS, Wi-Fi)

2. Analisi algoritmica: Uso di IA, machine learning o sistemi automatizzati per creare profili.

3. Decisioni automatizzate: Applicazioni pratiche come:

   • Pubblicità mirata (es. Facebook Ads)

   • Scoring creditizio (es. richiesta di un prestito)

   • Filtraggio CV automatizzato

⚖️ Cosa Dice il GDPR?

• Diritto di opposizione (Art. 21): L’interessato può rifiutare la profilazione, salvo motivi legittimi (es. contratto).

• Decisioni solo automatizzate (Art. 22): Se hanno "effetti giuridici" (es. negare un mutuo), l’utente ha diritto a:

  • Spiegazione della logica usata

  • Intervento umano (riesame della decisione)

• Trasparenza: Obbligo di informativa chiara (Art. 13-14).

📌 Esempi Comuni

✔ Pubblicità comportamentale (es. Amazon che suggerisce prodotti in base agli acquisti passati)
✔ Credit scoring (banche che valutano l’affidabilità creditizia)
✔ Facial recognition (sistemi di sorveglianza che analizzano volti)
✔ Big data HR (software che filtrano CV con algoritmi)

🛡️ Diritti degli Utenti

1. Accesso (sapere quali dati sono usati per profilare).

2. Correzione (modificare dati inesatti).

3. Cancellazione (diritto all’oblio).

4. Portabilità (ottenere i propri dati in formato digitale).

⚠️ Rischi e Sanzioni

• Discriminazione algoritmica: Se il sistema replica bias (es. escludere donne da offerte di lavoro).

• Violazione della privacy: Sanzioni fino al 4% del fatturato globale (Art. 83 GDPR).

Conclusione

La profilazione è uno strumento potente ma ad alto rischio privacy.

• Aziende: Devono garantire trasparenza, sicurezza e rispetto dei diritti.

• Utenti: Hanno controllo sui propri dati e possono opporsi.

Se subisci decisioni ingiuste da algoritmi, esercita i tuoi diritti GDPR!

Cosa significa pseud

Privacy: Evoluzione di un Concetto Fondamentale nell'Era Digitale

📜 Dal "Diritto di Essere Lasciati Soli" al Controllo dei Dati

• Definizione storica: Tradizionalmente, privacy = protezione della sfera intima da intrusioni ("right to be let alone", Warren e Brandeis, 1890).

• Rivoluzione digitale: Oggi, privacy = controllo attivo su raccolta, uso e condivisione dei propri dati personali (Art. 4 GDPR).

💻 Privacy nella Società dell'Informazione

• Dati come "nuova valuta": Ogni interazione online genera dati che definiscono identità digitali, preferenze e comportamenti.

• Surveillance capitalism: Modelli di business basati su profilazione massiva (es. social media, pubblicità mirata).

🔐 Diritti del GDPR: Strumenti di Controllo

1. Accesso e portabilità (Art. 15, 20): Sapere quali dati sono trattati e ottenerli in formato riutilizzabile.

2. Rettifica e cancellazione (Art. 16, 17): Correggere errori o chiedere l’oblio.

3. Opposizione alla profilazione (Art. 21): Rifiutare decisioni automatizzate.

⚠️ Sfide Moderne

• AI e algoritmi: Rischi di discriminazione (es. prestiti negati da sistemi di scoring).

• IoT e dispositivi connessi: Dati biometrici (es. smartwatch) o abitudini domestiche (es. assistenti vocali).

• Social media: Sovraesposizione volontaria vs. sfruttamento commerciale.

🛡️ Strumenti di Tutela Pratica

• Crittografia end-to-end (es. WhatsApp, Signal).

• VPN e navigazione anonima.

• Consapevolezza digitale: Leggere le policy, limitare i cookie.

🌍 Impatto Sociale

• Democrazia: Sorveglianza di massa minaccia libertà di espressione (es. Cina con Social Credit System).

• Discriminazione: Dati usati per escludere gruppi sociali (es. assicurazioni basate su dati genetici).

• Fiducia istituzionale: Scandali come Cambridge Analytica erodono la fiducia nelle istituzioni.

🚀 Prospettive Future

• Regolamenti globali: Verso standard internazionali ispirati al GDPR (es. California CCPA, Brasile LGPD).

• Privacy by Design: Integrare protezione dati nella progettazione di tecnologie (Art. 25 GDPR).

Conclusione

La privacy oggi è autodeterminazione digitale: non più solo "segretezza", ma governo consapevole della propria identità informativa.

• Per i cittadini: Esercitare i diritti GDPR.

• Per le aziende: Trasformare la compliance in vantaggio competitivo.

• Per la società: Equilibrare innovazione e tutela dei diritti umani.

Senza controllo sui dati, non c’è libertà. La privacy è la nuova frontiera dei diritti umani. 🔒🌐

📌 Principi Generali del Trattamento (Art. 5 GDPR)

1. Liceità, correttezza e trasparenza

   • Il trattamento deve rispettare la legge, essere equo e comprensibile per l’interessato.

2. Limitazione delle finalità

   • I dati devono essere raccolti per scopi determinati, espliciti e legittimi (es. non è lecito riutilizzarli per fini incompatibili con quelli iniziali).

3. Minimizzazione dei dati

   • Dati adeguati, pertinenti e limitati al necessario per le finalità dichiarate (no raccolta indiscriminata).

4. Esattezza

   • Dati accurati e aggiornati; errori vanno corretti o cancellati tempestivamente.

5. Limitazione della conservazione

   • Conservazione limitata al tempo strettamente necessario (es. dati cartacei distrutti dopo X anni).

6. Integrità e riservatezza

   • Protezione da accessi illeciti, perdite o danni (es. crittografia, controlli di accesso).

7. Accountability (responsabilizzazione)

   • Il Titolare deve dimostrare attivamente la conformità al GDPR (es. documentazione, DPIA).

✅ Condizioni di Liceità del Trattamento (Art. 6 GDPR)

Il trattamento è lecito solo se sussiste almeno una di queste condizioni:

1. Consenso esplicito dell’interessato (Art. 7)

   • Libero, specifico, informato e revocabile.

2. Esecuzione di un contratto

   • Es. trattamento dati per stipulare un’assicurazione richiesta dall’interessato.

3. Adempimento di un obbligo legale

   • Es. invio dati all’Agenzia delle Entrate per dichiarazioni fiscali.

4. Salvaguardia di interessi vitali

   • Es. condividere dati sanitari in emergenze mediche.

5. Interesse pubblico o esercizio di pubblici poteri

   • Es. trattamenti da parte di Comuni per servizi sociali.

6. Legittimo interesse del Titolare o di terzi

   • Es. prevenzione frodi, marketing diretto (solo se non prevalgono i diritti dell’interessato).

🛡️ Casi Speciali (Art. 9 GDPR)

Per i dati sensibili (salute, religione, ecc.) le condizioni sono più stringenti:

• Necessario un consenso esplicito o una base giuridica specifica (es. motivi di sanità pubblica).

⚖️ Obblighi Specifici nel Lavoro e Sicurezza Sociale (Art. 88 GDPR)

• I trattamenti in ambito lavorativo o previdenziale richiedono:

  • Garanzie aggiuntive (es. policy interne chiare).

  • Rispetto delle leggi nazionali (es. Statuto dei Lavoratori in Italia).

📋 Esempi Pratici

• E-commerce:

  • Tratta dati per spedire prodotti (base: contratto).

  • Non può usarli per marketing senza consenso.

• Ospedale:

  • Tratta dati sanitari per cure (base: interesse vitale).

• HR Aziendale:

  • Conserva CV solo per il tempo necessario alle selezioni.

⚠️ Sanzioni per Violazioni

• Fino a 20 milioni di € o 4% del fatturato globale per violazioni dei principi base (Art. 83 GDPR).

Conclusione

Il GDPR richiede un approccio etico, proporzionato e documentato al trattamento dati.

• Per le aziende: Integrare la privacy nella governance.

• Per i cittadini: Esercitare i diritti di controllo (accesso, cancellazione, opposizione).

Ogni trattamento deve partire da una domanda: "È necessario, giusto e sicuro?" 🔒

📌 Cosa si intende per "Trattamento" (Art. 4 GDPR)

Qualsiasi operazione o insieme di operazioni su dati personali, automatizzate o manuali, tra cui:

• Raccolta (es. modulo di registrazione online)

• Registrazione (creazione di archivi/database)

• Consultazione (accesso ai dati)

• Modifica (aggiornamento di informazioni)

• Comunicazione (condivisione con terzi)

• Cancellazione (eliminazione da un sistema)

• Trasmissione (invio via email, cloud, ecc.)

🗃️ Banche Dati e Attività Comuni Soggette a GDPR

1. Anagrafiche Clienti/Fornitori

• Esempi:

  • Nome, indirizzo, P.IVA, email, storico acquisti

  • Dati di pagamento (es. IBAN, carta di credito)

• Finalità: Fatturazione, assistenza, marketing (se autorizzato)

• GDPR:

  • Base giuridica: Contratto (Art. 6.1.b) o consenso per marketing (Art. 6.1.a)

  • Sicurezza: Crittografia, accessi limitati (Art. 32)

2. Gestione Dipendenti/Collaboratori

• Esempi:

  • Curriculum, stipendio, dati sindacali, assenze

  • Dati sanitari (es. certificati medici)

• GDPR:

  • Base giuridica: Obblighi di legge (Art. 6.1.c) o interesse legittimo (Art. 6.1.f)

  • Note: Rispetto dello Statuto dei Lavoratori e codici deontologici nazionali (Art. 88)

3. Videosorveglianza

• Esempi:

  • Telecamere interne/esterne

  • Registrazioni conservate su server

• GDPR:

  • Informativa obbligatoria (cartelli visibili, Art. 13)

  • Conservazione massima: 24-72 ore (salvo indagini)

4. Marketing e Campagne Commerciali

• Esempi:

  • Newsletter via email

  • Profilazione per pubblicità mirata (es. cookie)

• GDPR:

  • Consenso esplicito (Art. 6.1.a e 7)

  • Diritto di opposizione (Art. 21)

5. Siti Web/App

• Esempi:

  • Cookie analytics (es. Google Analytics)

  • Form di contatto

  • Login utenti

• GDPR:

  • Cookie Banner con scelta attiva (Direttiva ePrivacy)

  • SSL per dati trasmessi

6. Cloud e Servizi Esterni

• Esempi:

  • Archiviazione su Google Drive, Dropbox

  • CRM in cloud (es. HubSpot)

• GDPR:

  • Nomina Responsabile Esterno (Art. 28)

  • Clausole contrattuali (SCC) per trasferimenti extra-UE

7. Gestione Contabilità

• Esempi:

  • Software contabili (es. Zucchetti, SAP)

  • Scansione di fatture cartacee

• GDPR:

  • Conservazione 10 anni (obblighi fiscali, Art. 6.1.c)

📋 Documentazione Obbligatoria (Art. 30 GDPR)

Il Registro dei Trattamenti deve includere per ogni attività:

1. Finalità del trattamento

2. Categorie di dati e interessati

3. Destinatari (es. fornitori IT)

4. Termini di conservazione

5. Misure di sicurezza (es. pseudonimizzazione)

Esempio di Registro:

⚠️ Rischi e Sanzioni

• Violazioni comuni:

  • Database non aggiornati

  • Mancata informativa privacy

  • Conservazione eccessiva dei dati

• Sanzioni: Fino a 20 milioni di € o 4% del fatturato (Art. 83 GDPR).

Conclusione

Anche attività apparentemente banali (es. inviare una mail a un cliente) sono "trattamenti" soggetti a GDPR.

• Per essere compliant:

  1. Mappare tutti i trattamenti nel Registro (ROPA)

  2. Applicare misure tecniche (es. backup cifrati)

  3. Formare il personale

Ogni clic, ogni file, ogni modulo: la privacy va protetta in ogni fase! 🔒

📌 Chi è il Contitolare del Trattamento?

• Definizione (Art. 26.1 GDPR):
  Soggetto (persona fisica/giuridica) che, insieme al Titolare, determina congiuntamente le finalità e i mezzi del trattamento dei dati.

  • Esempio classico:
    ▪ Un’azienda e un partner tecnologico che gestiscono insieme un servizio condiviso.
    ▪ Due società collegate che condividono un database clienti per campagne di marketing.

✅ Requisiti dell’Accordo tra Contitolari (Art. 26.2 GDPR)

L’accordo interno deve specificare:

1. Ripartizione degli obblighi GDPR

   • Chi gestisce:
     ▪ Informativa agli interessati (Art. 13-14)
     ▪ Esercizio dei diritti (accesso, cancellazione, Art. 15-22)
     ▪ Sicurezza dei dati (Art. 32)

2. Punto di contatto unico per gli interessati

   • Gli interessati possono rivolgersi a uno dei Contitolari per esercitare i propri diritti.

3. Responsabilità verso le autorità

   • Entrambi sono responsabili verso il Garante Privacy, ma l’accordo può definire ripartizioni interne.

⚠️ Obblighi verso gli Interessati

• Trasparenza:

  • L’informativa privacy deve indicare:
    ▪ L’esistenza di Contitolari
    ▪ L’essenza dell’accordo (es. "i dati sono gestiti congiuntamente da X e Y per...")

  • Il testo completo dell’accordo non è pubblico, ma gli interessati hanno diritto a conoscerne i contenuti chiave.

🔍 Esempi Pratici di Contitolarità

1. E-commerce e logistica:

   • Un negozio online e un corriere condividono dati per gestire consegne e resi.

2. App con servizi integrati:

   • Un’app di fitness e un ospedale collaborano su dati sanitari per ricerca.

3. Reti di professionisti:

   • Studi legali associati che condividono un CRM centralizzato.

⚖️ Responsabilità Legale

• Responsabilità solidale (Art. 26.3 GDPR):
  Gli interessati possono agire legalmente contro entrambi i Contitolari per danni, a meno che uno dimostri di non essere responsabile.

• Accordo interno:
  Pur non sostituendo la responsabilità verso terzi, serve a definire:
  ▪ Chi paga eventuali sanzioni
  ▪ Chi gestisce le richieste degli interessati

📋 Cosa Deve Contenere l’Accordo?

Un accordo tipo include:

• Finalità congiunte del trattamento

• Ruoli operativi (es. chi conserva i dati, chi li modifica)

• Meccanismi di coordinamento per:
  ▪ Risposta a data breach
  ▪ Verifiche di compliance

• Clausole di riservatezza

• Durata e modalità di recesso

🚨 Errori Comuni da Evitare

• Confondere Contitolari e Responsabili del trattamento:
  I Contitolari decidono insieme finalità e mezzi, i Responsabili agiscono per conto del Titolare.

• Accordi vaghi:
  L’assenza di un accordo scritto espone a sanzioni (fino a 10 milioni di € o 2% del fatturato, Art. 83).

• Omessa informativa:
  Non menzionare i Contitolari nell’informativa privacy è una violazione del GDPR.

Conclusione

La contitolarità è utile per partnership strategiche, ma richiede:

1. Accordo dettagliato che rispetti l’Art. 26

2. Comunicazione trasparente agli interessati

3. Monitoraggio continuo delle responsabilità

Esempio di clausola nell’informativa:

Ecco una panoramica strutturata dei diritti degli interessati previsti dal GDPR (Regolamento UE 679/2016), con riferimenti agli articoli, esempi pratici e implicazioni operative:

🔍 Diritti di Natura Conoscitiva (Informazione e Trasparenza)

1. Diritto all’informativa (Artt. 13-14 GDPR)

• Cosa include:

  • Finalità del trattamento

  • Categorie di dati trattati

  • Destinatari dei dati

  • Conservazione

  • Diritti esercitabili

• Esempio:

  • Un modulo di iscrizione a un sito deve spiegare chiaramente come verranno usati i dati.

2. Diritto di accesso (Art. 15 GDPR)

• Cosa ottiene l’interessato:

  • Copia dei dati personali in formato leggibile

  • Informazioni su finalità, destinatari, conservazione

• Esempio:

  • Richiedere alla banca una copia di tutti i dati conservati (es. transazioni, indirizzi).

3. Diritto alla comunicazione di violazioni (Art. 34 GDPR)

• Quando: La violazione comporta un rischio elevato per i diritti delle persone.

• Esempio:

  • Un data breach che espone password o dati sanitari → l’azienda deve notificare gli utenti.

🛡️ Diritti di Controllo (Gestione Attiva dei Dati)

4. Diritto al consenso (Art. 7 GDPR)

• Requisiti:

  • Libero, specifico, informato e revocabile

  • Obbligo di prova del consenso per il Titolare

• Esempio:

  • Un’app di fitness non può attivare la geolocalizzazione senza un’opzione esplicita.

5. Diritto di limitazione del trattamento (Art. 18 GDPR)

• Quando:

  • Dati contestati (es. l’interessato nega la correttezza)

  • Trattamento illecito ma l’interessato chiede la conservazione

• Esempio:

  • Bloccare temporaneamente un pagamento online finché non si verifica un reclamo.

6. Diritto di revoca del consenso (Art. 7.3 GDPR)

• Effetti:

  • La revoca non rende illeciti i trattamenti precedenti

  • Obbligo di cessare il trattamento futuro

• Esempio:

  • Disiscriversi da una newsletter cliccando su "Annulla l’iscrizione".

7. Diritto di opposizione al trattamento (Art. 21 GDPR)

• Quando:

  • Trattamento basato su interesse legittimo (es. marketing diretto)

  • Diritto di opposizione assoluto per il marketing diretto

• Esempio:

  • Opporsi alla profilazione pubblicitaria su un social network.

8. Diritto alla portabilità dei dati (Art. 20 GDPR)

• Cosa ottiene l’interessato:

  • Dati in formato strutturato, leggibile e interoperabile

  • Trasferimento diretto tra fornitori (es. da un operatore telefonico a un altro)

• Esempio:

  • Esportare la cronologia Spotify per migrare a un altro servizio musicale.

9. Diritto di rettifica e integrazione (Art. 16 GDPR)

• Cosa: Correggere dati inesatti o completare informazioni incomplete.

• Esempio:

  • Modificare l’indirizzo residenziale su un conto bancario.

10. Diritto alla cancellazione (oblio) (Art. 17 GDPR)

• Quando:

  • Dati non più necessari

  • Consenso revocato

  • Trattamento illecito

  • Eccezioni: Obblighi legali (es. conservazione fiscale per 10 anni).

• Esempio:

  • Cancellare un account social e tutti i dati associati.

11. Diritto a non essere sottoposto a decisioni automatizzate (Art. 22 GDPR)

• Cosa: Opporsi a decisioni basate solo su algoritmi (es. scoring creditizio).

• Esempio:

  • Richiedere un riesame umano se un sistema AI rifiuta un mutuo.

⚖️ Come Esercitare i Diritti

• Modalità:

  • Richiesta scritta (email, modulo online) al Titolare o DPO

  • Risposta entro 1 mese (prorogabile a 2 per complessità)

• Gratuità:

  • Le richieste sono gratuite, salvo richieste manifestamente infondate o eccessive.

⚠️ Sanzioni per Violazione dei Diritti

• Fino a 20 milioni di € o 4% del fatturato globale (Art. 83 GDPR) per:

  • Mancata risposta alle richieste

  • Ostacoli all’esercizio dei diritti

  • Trattamento illecito dopo revoca del consenso

Conclusione

Il GDPR trasforma gli interessati da soggetti passivi a protagonisti del proprio dato:

• Per i cittadini: Strumenti per controllare la propria identità digitale.

• Per le aziende: Obbligo di creare processi snelli per gestire le richieste.

Esempio di richiesta:

"Ai sensi dell’Art. 15 GDPR, richiedo accesso a tutti i dati personali che mi riguardano, inclusi finalità e destinatari."

Chi può esprimere il consenso al trattamento dei dati sanitari? Linee guida GDPR e Normativa Italiana
Il consenso al trattamento dei dati sanitari è regolato dal GDPR (Art. 4, 7, 8) e dal Codice Privacy (Art. 23, 24), con specifiche disposizioni per minori e soggetti incapaci. Ecco una sintesi chiara:

1. Paziente maggiorenne e capace

• Unico titolare del consenso:

  • Solo il paziente adulto, con piena capacità di intendere e volere, può autorizzare il trattamento dei propri dati sanitari.

  • Esempio: Un paziente di 30 anni che firma il consenso per una terapia oncologica.

2. Minori (under 14) o incapaci

• Consenso esercitato da terzi:

  • Minori sotto i 14 anni: Il consenso è espresso dai genitori (anche separati o non coniugati) o da chi esercita la potestà genitoriale. Non è necessaria l’unanimità: un genitore può agire disgiuntamente (Art. 316 Codice Civile).

    • Esempio: Un bambino di 10 anni riceve un vaccino: la madre (separata dal padre) firma il consenso.

  • Minori tra 14 e 18 anni: In Italia, per il trattamento dati in servizi digitali, il consenso può essere espresso direttamente dal minore dai 14 anni (Art. 2-quinquies Codice Privacy). Tuttavia, per atti medici complessi (es. interventi chirurgici), rimane necessaria l’autorizzazione genitoriale.

  • Adulti incapaci (interdetti/inabilitati): Il consenso è dato dal tutore o amministratore di sostegno, nominato dal tribunale (Art. 427 Codice Civile).

3. Casi particolari

• Pazienti parzialmente capaci (es. disagio mentale temporaneo):

  • Valutare la capacità residua di comprendere il trattamento. Se insufficiente, coinvolgere il tutore/legale rappresentante.

• Emergenze vitali (paziente incosciente o in pericolo di vita):

  • Il trattamento è lecito senza consenso se finalizzato a salvare la vita (Art. 9.2.c GDPR).

  • Esempio: Intervento d’urgenza su un paziente privo di sensi dopo un incidente.

4. Documentazione del consenso

• Obbligo di prova:

  • Il medico deve conservare la prova del consenso (modulo scritto, registrazione audio/video in casi eccezionali).

  • Se il consenso è dato da un tutore, allegare documentazione giudiziale (es. decreto di nomina del tutore).

• Consenso per atti specifici:

  • Ogni intervento sanitario rilevante (es. chirurgia, terapie invasive) richiede un consenso distinto e informato.

Rischi in caso di consenso non valido

• Nullità del trattamento: I dati sanitari raccolti senza consenso legittimo non possono essere utilizzati, salvo casi di emergenza.

• Sanzioni GDPR: Fino a €20 milioni o 4% del fatturato globale.

• Responsabilità civile e penale: Risarcimento danni al paziente o ai familiari; sanzioni per violazione del segreto professionale (Art. 622 Codice Penale).

Esempi pratici

✅ Consenso valido:

Un tutore legale firma il modulo per la chemioterapia di un paziente affetto da Alzheimer, presentando il decreto di tutela.

❌ Consenso invalido:

Un medico opera un minore di 13 anni basandosi sul consenso orale della sorella maggiorenne, senza coinvolgere i genitori.

Linee guida per i medici

1. Verifica dell’identità:

   • Accertati che chi firma il consenso sia effettivamente il genitore/tutore (es. documento d’identità).

2. Formazione continua:

   • Aggiornati sulle sentenze del Garante Privacy (es. Provvedimento n. 123/2023 su minori e dati sanitari).

3. Template preapprovati:

   • Utilizza moduli di consenso differenziati per:

     • Maggiorenni capaci.

     • Minori (con sezione dedicata ai genitori).

     • Incapaci (con riferimento al tutore).

👉 Fonti normative:

Anche nel contesto dell’attività odontoiatrica, è necessario che il professionista rediga un’apposita lettera di incarico con la quale affida formalmente la responsabilità del trattamento dei dati personali a soggetti terzi, qualora coinvolti (es. collaboratori, segretarie, assistenti alla poltrona, consulenti esterni).

Tale documento deve specificare in modo chiaro i compiti, le responsabilità e i limiti del trattamento assegnati, conformemente a quanto previsto dal Regolamento (UE) 2016/679 (GDPR). È altresì fondamentale che gli incaricati ricevano istruzioni adeguate e siano debitamente formati in materia di protezione dei dati personali.

Il comportamento da adottare, sotto il profilo della tutela della privacy e della sicurezza dei dati, è sostanzialmente analogo a quello previsto per gli studi medici. Ciò implica l’adozione di tutte le misure organizzative e tecniche idonee a garantire la riservatezza, l’integrità e la disponibilità dei dati trattati, sia in formato elettronico che cartaceo.

Nel caso in cui il trattamento dei dati personali dei pazienti avvenga in formato cartaceo, è opportuno che il medico predisponga, per ciascun assistito, una scheda sanitaria individuale. Tale scheda dovrà contenere il modulo di consenso informato debitamente sottoscritto, nonché ogni altro documento clinico e amministrativo rilevante ai fini della diagnosi, cura e gestione del rapporto terapeutico.

La conservazione di tali documenti deve avvenire nel rispetto dei principi di riservatezza, integrità e sicurezza. È pertanto necessario custodire le schede in un luogo fisicamente sicuro, non accessibile a soggetti non autorizzati. Ad esempio, qualora siano riposte in un armadio, quest’ultimo dovrà essere dotato di serratura e collocato in un locale dello studio non aperto al pubblico o al personale non autorizzato. Le chiavi dell’armadio dovranno essere detenute esclusivamente dal medico, dal suo sostituto o da collaboratori medici specificamente incaricati, e non da personale amministrativo o da terzi non autorizzati.

Inoltre, al fine di tutelare i dati anche contro eventi accidentali, è raccomandabile che l’armadio o il contenitore utilizzato sia realizzato in materiale ignifugo, così da ridurre il rischio di perdita o distruzione delle informazioni in caso di incendio.

È fondamentale ricordare che la normativa in materia di protezione dei dati personali – in particolare il Regolamento (UE) 2016/679 (GDPR) – non si limita a garantire la riservatezza delle informazioni, ma impone anche l’adozione di misure tecniche e organizzative adeguate per prevenire eventi quali incendi, furti, accessi non autorizzati, smarrimenti o deterioramenti accidentali.

In caso di violazione, sottrazione o distruzione dei dati, il medico deve essere in grado di dimostrare di aver adottato tutte le misure ragionevolmente necessarie per evitare tali eventi. Una conservazione negligente o superficiale può infatti comportare responsabilità civili e obblighi risarcitori, oltre che sanzioni amministrative da parte dell’Autorità Garante.

È fondamentale che l’informativa privacy riporti in modo chiaro e trasparente che i dati personali dei pazienti possono essere trattati non solo dal medico titolare del trattamento, ma anche dagli altri medici appartenenti alla stessa associazione professionale, medicina di gruppo o rete, esclusivamente per finalità connesse alla prevenzione, diagnosi, cura e riabilitazione del paziente, nel rispetto del principio di minimizzazione e pertinenza del trattamento.

Si ricorda, inoltre, che nel contesto della medicina di gruppo o in rete, è obbligatoria la designazione di un Responsabile della Protezione dei Dati (RPD), noto anche come Data Protection Officer (DPO), figura incaricata di vigilare sull’osservanza della normativa in materia di protezione dei dati personali, fornire consulenza e fungere da punto di contatto con il Garante per la protezione dei dati personali.

Evidentemente è così. Infatti nell’informativa il medico fa presente che se il paziente si rifiuta di fornire al medico i dati sanitari necessari per instaurare il rapporto di cura questo non può aver luogo. Allo stesso modo, se il paziente chiede la cancellazione dei suoi dati è come se revocasse il consenso che originariamente aveva dato. Per cui il medico non può che prenderne atto, accogliere la richiesta del paziente e considerare terminato il rapporto di cura.

Dipende dal tipo di richiesta formulata dal paziente. In generale, il paziente ha specifici diritti riconosciuti dal Regolamento (UE) 2016/679 (GDPR), ma il medico può opporsi solo in determinati casi, giustificati da motivi legittimi. Ecco un quadro sintetico:

✅ Richieste a cui il medico non può opporsi (obbligo di accoglimento):

1. Accesso ai dati personali
   Il paziente ha sempre diritto a sapere quali dati personali vengono trattati, per quali finalità, e da chi.

2. Rettifica dei dati inesatti
   Se i dati clinici contengono errori, il medico deve correggerli.

3. Limitazione del trattamento
   In determinati casi (es. contestazioni sull’esattezza dei dati), il paziente può chiedere che i dati siano "congelati" (cioè conservati ma non usati).

4. Portabilità dei dati
   Il paziente ha diritto a ricevere i propri dati in formato strutturato e a trasmetterli a un altro professionista, ad esempio in caso di cambio di medico o struttura sanitaria.

❌ Richieste a cui il medico può opporsi (in tutto o in parte):

1. Cancellazione dei dati (diritto all’oblio)
   Il medico può legittimamente rifiutare la cancellazione dei dati quando:

   • la conservazione è necessaria per obblighi di legge (es. obblighi fiscali, sanitari, deontologici);

   • i dati sono necessari per finalità di diagnosi, cura o tutela legale;

   • sussiste un interesse pubblico (es. archiviazione sanitaria).

2. Opposizione al trattamento
   Il paziente può opporsi, ma non può impedire il trattamento dei dati necessari per motivi medici, legali o di interesse pubblico. Il medico ha il diritto (e in alcuni casi l’obbligo) di continuare il trattamento se motivato da:

   • necessità di cura,

   • obblighi normativi,

   • tutela della salute pubblica.

In sintesi

Il medico non può opporsi arbitrariamente ai diritti previsti dal GDPR, ma può respingere alcune richieste (come la cancellazione dei dati) quando esistono obblighi giuridici o motivi clinici che giustificano la conservazione o il trattamento.

Infatti, la facoltà di comunicare a terzi informazioni inerenti la propria salute spetta esclusivamente al paziente, in quanto titolare del diritto alla riservatezza. Il medico, in questo caso, non deve e non può esercitare alcuna forma di controllo o giudizio sulla scelta del paziente di rivelare o meno tali dati, purché la richiesta sia chiara, consapevole e volontaria.

Di conseguenza, qualora il paziente domandi una certificazione sanitaria dettagliata, il medico ha il dovere di redigerla in modo veritiero, completo e professionale, limitandosi a riportare fedelmente le informazioni sanitarie in suo possesso, utili a giustificare la richiesta del paziente, senza omissioni o giudizi personali.

Rimane inteso che il medico deve comunque:

• acquisire una richiesta scritta o comunque formalizzata da parte del paziente;

• garantire che il documento sia consegnato esclusivamente al diretto interessato o a persona da lui formalmente incaricata;

• evitare la trasmissione diretta al datore di lavoro, salvo esplicito consenso documentato.

medica dettagliata, il medico deve soddisfare la richiesta del suo assistito, dichiarando i dati sanitari in suo possesso (ovviamente secondo verità). Non è compito del medico sindacare questa decisione del paziente.

Il medico ha l’obbligo di conservare la documentazione sanitaria e gli atti relativi ai pazienti per tutta la durata del rapporto di cura e, successivamente, per un periodo minimo di 10 anni dalla conclusione dello stesso. Questo termine risponde a esigenze sia medico-legali (in caso di contenziosi) sia normative, tenuto conto delle disposizioni del Codice Civile e della normativa sanitaria in materia di responsabilità professionale.

Al termine del periodo di conservazione decennale, è possibile procedere alla distruzione sicura dei documenti, secondo modalità che ne garantiscano l'irrecuperabilità e la tutela della riservatezza (es. triturazione, incenerimento certificato o distruzione tramite ditte autorizzate).

Tuttavia, ove possibile, è preferibile offrire ai pazienti la possibilità di ritirare la propria documentazione sanitaria prima della distruzione, informandoli preventivamente in modo adeguato. Questo approccio, oltre a essere rispettoso dei diritti dell’interessato, può evitare future contestazioni.

È importante ricordare che la distruzione anticipata dei dati o la loro conservazione oltre i limiti stabiliti senza giustificazione possono costituire violazioni del Regolamento (UE) 2016/679 (GDPR) o essere oggetto di sanzioni da parte dell’Autorità Garante.

Uno degli elementi cardine introdotti dal Regolamento (UE) 2016/679 (GDPR) è il principio di responsabilizzazione, noto anche come “accountability”. Questo principio impone al titolare del trattamento (es. medico, odontoiatra, azienda sanitaria, struttura privata) l’obbligo non solo di rispettare la normativa sulla protezione dei dati personali, ma anche di poter dimostrare, in modo concreto e documentato, di aver adottato tutte le misure necessarie a garantirne la conformità.

📌 Cosa comporta l’accountability?

Il principio è esplicitato all’articolo 5, paragrafo 2 e concretizzato all’articolo 24 del Regolamento, il quale stabilisce che:

"Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire – e essere in grado di dimostrare – che il trattamento dei dati è effettuato conformemente al presente Regolamento."

🛡️ Quali misure deve adottare il titolare?

Tra le misure tecniche e organizzative richieste, rientrano:

• La predisposizione di informative trasparenti;

• La redazione del registro delle attività di trattamento;

• La designazione di responsabili e incaricati con compiti ben definiti;

• L’adozione di misure di sicurezza fisiche e informatiche (es. protezione password, backup, armadi chiusi a chiave);

• La formazione del personale;

• La gestione delle violazioni dei dati (data breach);

• La valutazione d’impatto sulla protezione dei dati (DPIA), ove necessaria.

✅ Strumenti per dimostrare la conformità

Il GDPR prevede inoltre, all’articolo 42, la possibilità per i titolari e responsabili del trattamento di aderire a meccanismi di certificazione, marchi o sigilli di protezione dei dati, rilasciati da organismi accreditati. Tali certificazioni non sono obbligatorie, ma costituiscono una forma riconosciuta di dimostrazione della conformità, utile in caso di controlli o contestazioni.

🎯 In sintesi

Il principio di accountability impone un cambiamento di approccio: non basta più rispettare la legge, ma occorre poterlo dimostrare con atti, documenti, procedure e comportamenti concreti. L’onere della prova ricade sul titolare del trattamento, che deve essere sempre in grado di giustificare le scelte fatte e le misure adottate in materia di protezione dei dati.

La liceità del trattamento è uno dei principi fondamentali sia del Codice Privacy italiano (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018) sia del Regolamento (UE) 2016/679 (GDPR). Affinché un trattamento di dati personali sia considerato lecito, deve basarsi su almeno una delle condizioni di legittimità previste dall’articolo 6 del GDPR.

📌 Le basi giuridiche del trattamento

Un trattamento è lecito solo se ricorre almeno una delle seguenti condizioni:

1. Consenso esplicito dell’interessato
   Il soggetto cui si riferiscono i dati ha fornito un consenso libero, specifico, informato e inequivocabile per una o più finalità determinate.

2. Esecuzione di un contratto
   Il trattamento è necessario per l’esecuzione di un contratto di cui l’interessato è parte (es. contratto di fornitura di servizi) o per l’esecuzione di misure precontrattuali su richiesta dell’interessato.

3. Obbligo legale
   Il trattamento è necessario per adempiere a un obbligo legale al quale è soggetto il titolare del trattamento (es. obblighi fiscali, obblighi in ambito sanitario).

4. Tutela degli interessi vitali dell’interessato o di un’altra persona fisica
   È ammesso quando il trattamento è indispensabile per proteggere la vita o l’incolumità fisica di una persona (es. emergenze mediche).

5. Esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri
   Il trattamento è legittimo se necessario per l’esecuzione di attività istituzionali affidate a enti pubblici o soggetti privati autorizzati.

6. Legittimo interesse del titolare o di terzi
   Il trattamento è giustificato se è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di un terzo, a condizione che non prevalgano i diritti e le libertà fondamentali dell’interessato.

⚠️ Attenzione: Il legittimo interesse non può essere utilizzato come base giuridica per il trattamento di categorie particolari di dati (es. dati relativi alla salute), salvo casi specifici e molto limitati.

📎 Nota sulle categorie particolari di dati

Quando il trattamento riguarda dati sensibili (tra cui quelli sanitari), è necessaria anche una base giuridica specifica aggiuntiva, prevista dall’articolo 9 del GDPR. In ambito sanitario, ad esempio, il trattamento può essere lecito anche senza consenso se necessario per finalità di diagnosi, cura, assistenza sanitaria o gestione dei servizi sanitari, nel rispetto della normativa vigente e sotto la responsabilità di un professionista soggetto al segreto professionale.

✅ In sintesi

Perché un trattamento sia considerato lecito, il titolare deve:

• individuare una base giuridica valida;

• informare l’interessato in modo chiaro;

• dimostrare il rispetto di tutti gli altri principi del GDPR, inclusi trasparenza, minimizzazione, limitazione della conservazione e sicurezza.

La condivisione sui social network, come Facebook, di fotografie o video che ritraggono persone identificabili costituisce a tutti gli effetti un trattamento di dati personali. In assenza del consenso dell’interessato, tale trattamento può configurarsi come illecito, esponendo il soggetto che pubblica il contenuto a responsabilità civili e amministrative, secondo quanto previsto dal Regolamento (UE) 2016/679 (GDPR) e dalla normativa italiana sulla privacy.

❌ Quando la pubblicazione è vietata (salvo consenso esplicito)

È illecito pubblicare fotografie o video sui social se:

1. ✅ La persona ritratta non ha espresso un consenso specifico alla pubblicazione (il semplice consenso allo scatto non autorizza automaticamente la pubblicazione dell'immagine online).

2. ✅ La persona ritratta è riconoscibile, anche se non in primo piano o presente solo parzialmente nella foto (es. viso parzialmente visibile, anche da lontano).

3. ✅ Si tratta di un minore, e manca il consenso espresso di entrambi i genitori o del tutore legale.

4. ✅ L'immagine è usata a fini promozionali, pubblicitari o commerciali, anche se non esplicitamente legati a un’attività economica.

5. ✅ L’immagine mostra informazioni sensibili, come dati sulla salute, appartenenza religiosa, orientamento politico, ecc.

6. ✅ Il soggetto ritratto è isolato dal contesto, anche se l’intento dell’autore non è denigratorio o commerciale.

✅ Quando la pubblicazione è ammessa senza consenso

È ammessa la pubblicazione, purché non si leda la dignità o la riservatezza delle persone coinvolte, nei seguenti casi:

1. 📸 Foto scattate in luoghi pubblici o durante eventi pubblici, in cui le persone ritratte compaiono in modo accidentale e non sono il soggetto principale dell’immagine.

2. 👥 Persone riconoscibili ma inserite in un contesto visibile solo a una cerchia ristretta di amici o contatti fidati (uso privato, non pubblico).

3. 😶 Persone il cui volto non è riconoscibile, anche se ritratte da vicino (es. di spalle, in penombra, con il volto oscurato).

4. 🧍‍♂️ Dettagli del corpo (mani, schiena, abbigliamento, ecc.) non idonei a identificare la persona in modo univoco.

5. 👶 Minori non riconoscibili (volto oscurato o non inquadrato).

6. 📚 Finalità giustificate da interesse pubblico o rilevanza sociale, come pubblicazioni a scopo scientifico, didattico, culturale, giudiziario o di pubblica sicurezza, a condizione che non ledano la dignità dell’interessato.

⚠️ Attenzione: consenso ≠ uso illimitato

È importante ricordare che:

• Il consenso allo scatto non coincide con il consenso alla pubblicazione.

• Il consenso può essere revocato in qualsiasi momento dall’interessato.

• La pubblicazione su Facebook, Instagram o altri social comporta una diffusione potenzialmente globale, e pertanto l’illecito può avere conseguenze gravi (compresi risarcimenti e sanzioni amministrative).

📌 In sintesi

Chi pubblica contenuti sui social deve:

• Valutare se le persone ritratte sono riconoscibili;

• Accertarsi di avere un consenso valido e specifico alla pubblicazione;

• Limitare la visibilità dei contenuti, se non si ha una base giuridica sufficiente alla diffusione pubblica.

Amministratori di Sistema: obblighi, precisazioni e buone prassi

📜 Riferimenti normativi

Il tema degli Amministratori di sistema (AdS) è stato disciplinato dal Provvedimento del Garante per la Protezione dei Dati Personali del 27 novembre 2008, aggiornato il 25 giugno 2009. Sebbene il Regolamento (UE) 2016/679 (GDPR) non tratti in modo specifico questa figura, gli obblighi previsti da tale Provvedimento restano pienamente vigenti nell’ordinamento italiano.

🧾 Chi è l’Amministratore di Sistema?

L’Amministratore di Sistema è una figura tecnica incaricata della gestione e manutenzione dei sistemi informatici e delle reti, e che, per sua natura, può accedere a dati personali anche di natura sensibile. Proprio per questa possibilità, il suo ruolo è soggetto a particolari obblighi di trasparenza, tracciabilità e controllo.

✅ Obblighi del Titolare del trattamento

1. Designazione formale individuale
   Il Titolare deve designare per iscritto ciascun amministratore di sistema, specificando gli ambiti di operatività consentiti, in relazione al profilo di autorizzazione assegnato.

2. Documentazione interna
   Deve essere redatto un registro interno contenente:

   • i dati identificativi degli Amministratori designati;

   • la descrizione delle funzioni assegnate;

   • l’indicazione delle aree e dei sistemi su cui operano.

3. Informazione ai dipendenti
   Se gli Amministratori di sistema possono accedere ai dati dei lavoratori, è obbligo del Titolare informare esplicitamente i dipendenti, che hanno diritto di conoscere l’identità degli AdS.

4. Audit e tracciabilità degli accessi
   È obbligatorio adottare sistemi di logging che registrino gli accessi logici effettuati dagli amministratori ai sistemi e agli archivi elettronici. Questi log devono:

   • essere completi, integri e non modificabili;

   • riportare timestamp, descrizione dell’evento e sistema coinvolto;

   • essere conservati per almeno 6 mesi.

5. Esternalizzazione del servizio
   Se i servizi di amministrazione di sistema sono affidati a terzi, l’elenco degli AdS può essere conservato dal Titolare o dal Responsabile esterno del trattamento (outsourcer), purché disponibile in caso di controlli.

⚠️ Attenzione: il consenso al supporto IT non equivale a nomina

Caso pratico: se una società IT presta supporto tecnico continuativo (es. manutenzione dei server) senza accedere o trattare direttamente dati personali, non è necessaria la designazione formale come amministratore di sistema. Tuttavia, è **fortemente consigliata la nomina come Responsabile Esterno del Trattamento, specificando nel contratto e nelle "note" le attività svolte presso il cliente.

Viceversa, se il fornitore:

• accede ai server del cliente,

• effettua backup,

• gestisce credenziali,

• copia o trasferisce dati,

allora deve essere formalmente nominato amministratore di sistema oppure Responsabile Esterno, a seconda della tipologia di attività.

🖥️ Quando registrare gli accessi?

Non tutti i contesti richiedono un sistema di Access Log, ma il principio è il seguente:

• Ambienti mono-utente (es. PC personale del dipendente)
  Se l'accesso è regolato da credenziali individuali, il rischio è contenuto. Un sistema di Access Log può non essere necessario.

• Aree condivise (es. cartelle condivise su rete aziendale)
  Qui è opportuno registrare gli accessi (log-in/log-off) per ogni utente che può interagire con la banca dati.

• Postazioni Server o sistemi con accesso remoto
  In questi casi, è essenziale attivare log di accesso, soprattutto quando vi operano soggetti esterni come fornitori IT o altri Data Processor.

• Software gestionale in cloud
  La software house, se fornisce hosting e gestione del database, dovrebbe integrare sistemi di audit e fornire evidenza della tracciabilità al cliente.

🔐 Conclusione

La corretta gestione degli Amministratori di sistema è cruciale per garantire trasparenza, sicurezza e conformità al GDPR. È un ambito in cui la forma è sostanza, e l’omissione anche solo di una delle formalità richieste può esporre l’azienda a sanzioni.

L’installazione di un impianto di videosorveglianza nei luoghi di lavoro richiede particolari cautele quando può comportare il controllo a distanza dell’attività dei lavoratori.

In questi casi, è obbligatorio ottenere l’autorizzazione dell’Ispettorato Territoriale del Lavoro (ITL), salvo che non sia stato raggiunto un accordo sindacale preventivo.

✅ È necessario presentare domanda all’ITL quando:

1. 📍 L’impianto di videosorveglianza riprende l’attività lavorativa dei dipendenti, anche se:

   • non registra le immagini (solo visualizzazione in tempo reale),

   • è attivo solo in alcuni orari,

   • è presente per finalità dichiarate come sicurezza o prevenzione.

2. ⚖️ Non sono presenti rappresentanze sindacali aziendali (RSA o RSU) con cui stipulare un accordo.

3. ⚠️ Sono presenti RSA o RSU, ma non si è raggiunto un accordo con il datore di lavoro sull’installazione dell’impianto.

❌ Non serve presentare domanda all’Ispettorato se:

• ✅ È stato sottoscritto un accordo sindacale con le rappresentanze dei lavoratori (RSA/RSU) in azienda;

• ✅ L’impianto è installato esclusivamente per esigenze di sicurezza in aree dove non è possibile identificare né monitorare i lavoratori, ad esempio:

  • aree di accesso o perimetri esterni non frequentati dal personale;

  • ambienti non lavorativi (es. parcheggi riservati);

• ✅ Le immagini non sono in alcun modo associate o associabili a specifici dipendenti (es. riprese aggregate, senza individui riconoscibili).

📌 Obblighi aggiuntivi

• 🛑 Informativa privacy obbligatoria: i lavoratori devono essere informati in modo chiaro della presenza delle telecamere e delle finalità del trattamento dei dati.

• 🔐 Limitazione dell’accesso ai filmati: solo persone autorizzate possono visualizzare le immagini.

• 🕒 Tempi di conservazione: in genere non superiori a 72 ore, salvo esigenze particolari motivate (es. indagini giudiziarie).

📄 In sintesi

L’installazione di un impianto di videosorveglianza comporta l’obbligo di informare in modo chiaro, trasparente e visibile le persone che stanno per entrare in un’area sorvegliata. Questo avviene tramite l’affissione di apposita cartellonistica informativa.

📌 Dove vanno posizionati i cartelli?

• I cartelli devono essere collocati prima che una persona entri nell’area videosorvegliata, non dopo, in modo da consentire un’informazione preventiva.

• Devono essere ben visibili, leggibili e comprensibili anche in orario notturno (es. illuminati o riflettenti, se necessario).

• Vanno installati in prossimità delle telecamere, o comunque in tutti i punti di accesso all’area sorvegliata.

📄 Cosa deve contenere il cartello?

Il cartello deve essere conciso ma completo delle informazioni fondamentali richieste dalla normativa:

1. Indicazione chiara della presenza della videosorveglianza

   • Es. “Area videosorvegliata” o “Questa area è soggetta a videosorveglianza”.

2. Finalità del trattamento

   • Es. “per motivi di sicurezza”, “per la tutela del patrimonio”, “per esigenze organizzative”.

3. Indicazione se le immagini sono solo visualizzate o anche registrate

   • Es.

     • “Le immagini sono rilevate da... per fini di...” (solo visione)

     • “La registrazione è effettuata da... per fini di...” (con memorizzazione)

4. Identità del Titolare del trattamento

   • È preferibile indicare il Titolare, anziché il Responsabile, con:

     • Nome/ragione sociale

     • Recapiti (indirizzo, email, telefono)

5. Eventuale riferimento al DPO (se nominato)

   • Obbligatorio se è previsto dalla struttura aziendale.

6. Rinvio alla privacy policy completa

   • Con diciture tipo: “Per maggiori informazioni sul trattamento dei dati personali, è possibile consultare l’informativa completa presso [indirizzo fisico o sito web]”.

🔍 Esempio di dicitura corretta

🔴 AREA VIDEOSORVEGLIATA
La registrazione è effettuata da: Studio Medico Dott. Rossi – Via Verdi, 15 – Roma
per finalità di sicurezza e tutela del patrimonio.
Per maggiori informazioni sul trattamento dei dati personali e sull’esercizio dei diritti, consultare l’informativa disponibile in sede o su www.studiomedico.it/privacy.

⚠️ Ricorda

• Il cartello non sostituisce l’informativa privacy completa, che deve essere comunque disponibile in sede o su richiesta.

• L’uso di icone e simboli (es. l’immagine stilizzata della videocamera) è consigliato per rendere il messaggio più immediato.

• Il modello ufficiale di cartello è disponibile sul sito del Garante per la protezione dei dati personali.

Dal punto di vista del Regolamento UE 2016/679 (GDPR), i lavoratori volontari, ovvero coloro che operano senza scopo di lucro e in forma mutualistica o solidaristica, non devono essere formalmente censiti né come:

• Incaricati del trattamento (oggi correttamente definiti come "persone autorizzate al trattamento" ex art. 29 GDPR),

• né come Responsabili del trattamento (art. 28 GDPR),

anche se materialmente si trovano a trattare dati personali, inclusi dati sensibili o particolari.

⚖️ Perché non devono essere censiti?

La ragione è da ricondurre a due fattori principali:

1. Mancanza di responsabilità formale e decisionale
   I volontari non assumono responsabilità autonome sul trattamento dei dati, non decidono finalità né modalità del trattamento, e operano sotto la diretta autorità del Titolare.
   In quanto tali, rientrano in modo implicito nella struttura interna dell’organizzazione e non richiedono una nomina formale come soggetto esterno (es. Data Processor o responsabile esterno).

2. Natura non professionale e non contrattualizzata del rapporto
   Trattandosi di rapporti non regolati da un contratto professionale o di fornitura, e privi di corrispettivo economico, il GDPR non impone l’obbligo di nomina formale, se i volontari agiscono secondo istruzioni ricevute e sotto controllo del Titolare.

📌 Conclusione

👉 I volontari non devono essere censiti né come responsabili né come incaricati del trattamento.
Tuttavia, è buona prassi che ricevano una formazione minima sul trattamento dei dati e adeguate istruzioni documentate, per assicurare la conformità ai principi di integrità, riservatezza e sicurezza (art. 32 GDPR).

⏰ Termini e obblighi di notifica delle violazioni di dati personali (Data Breach)

A partire dal 25 maggio 2018, il Regolamento Europeo GDPR (Reg. UE 2016/679) ha introdotto l’obbligo per tutti i titolari del trattamento di notificare all’Autorità di controllo competente (in Italia, il Garante per la protezione dei dati personali) le violazioni dei dati personali di cui vengano a conoscenza.

📌 Quando è obbligatoria la notifica?

La notifica è obbligatoria solo se la violazione è suscettibile di comportare un rischio per i diritti e le libertà degli interessati (ad es. rischio di furto d’identità, frodi, danni alla reputazione, perdita del controllo dei dati personali, ecc.).

La valutazione di tale rischio spetta al titolare del trattamento, che dovrà agire secondo i principi di responsabilizzazione (accountability).

⏱ Termine di notifica

• La notifica all’Autorità di controllo deve avvenire:

  • entro 72 ore dalla scoperta della violazione;

  • e comunque senza ingiustificato ritardo.

⚠️ Se la notifica non può essere effettuata entro 72 ore, deve essere accompagnata da una giustificazione del ritardo.

🧾 Contenuto della notifica all’Autorità (art. 33 GDPR)

La comunicazione deve includere almeno:

1. La natura della violazione dei dati personali;

2. Le categorie e il numero approssimativo degli interessati coinvolti;

3. Le categorie e il numero approssimativo dei dati personali coinvolti;

4. Il nome e i dati di contatto del DPO o di altro punto di contatto;

5. Le probabili conseguenze della violazione;

6. Le misure adottate o proposte per porre rimedio alla violazione e mitigarne gli effetti negativi.

👥 Comunicazione agli interessati (art. 34 GDPR)

Se la violazione presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare è tenuto a comunicare direttamente agli interessati le seguenti informazioni:

• Natura della violazione;

• Contatti per ricevere ulteriori informazioni;

• Conseguenze probabili della violazione;

• Misure correttive adottate.

❗ Tuttavia, la comunicazione agli interessati non è necessaria se:

• Il titolare ha adottato misure tecniche e organizzative adeguate (es. cifratura dei dati);

• Ha successivamente eliminato il rischio elevato;

• La comunicazione richiederebbe uno sforzo sproporzionato (in tal caso, è sufficiente una comunicazione pubblica adeguata).

📚 Obbligo di documentazione (art. 33.5 GDPR)

Anche se non vi è obbligo di notifica, il titolare deve documentare internamente tutte le violazioni, comprese:

• Le circostanze della violazione;

• Le sue conseguenze;

• Le misure adottate per porvi rimedio.

Questa documentazione è essenziale per dimostrare la conformità con il GDPR in caso di controlli.

✅ In sintesi

🔐 Rifiuto del dipendente a firmare la nomina a incaricato del trattamento (data handler)

📌 Contesto normativo

Secondo l’art. 30 del Codice Privacy (D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018):

“Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.”

Il GDPR, pur non usando più il termine “incaricato”, conferma che il trattamento deve avvenire sotto l’autorità del titolare e nel rispetto di istruzioni documentate (art. 29 GDPR).

❗ Cosa succede se il dipendente si rifiuta di firmare?

Il rifiuto di firmare la lettera di nomina ad incaricato non impedisce automaticamente al datore di lavoro di considerare valido l’incarico, se esiste una documentazione oggettiva che dimostra che il dipendente è stato assegnato formalmente e consapevolmente a una mansione che comporta il trattamento di dati.

Ad esempio:

• La preposizione a un ufficio (es. amministrazione, segreteria, gestione clienti) dove il trattamento è inevitabile;

• La formazione privacy ricevuta e documentata;

• L'accesso assegnato a strumenti informatici o archivi contenenti dati personali.

⚖️ Conseguenze del rifiuto

Il rifiuto può avere rilievo disciplinare o contrattuale, perché:

• Il trattamento di dati è parte integrante della mansione;

• La nomina formale serve a tutelare l’azienda e a dimostrare la conformità al GDPR;

• Se il dipendente rifiuta l’atto formale ma continua a trattare i dati, si crea un rischio giuridico per il datore.

🛑 Se invece si rifiuta anche di trattare i dati, allora non può svolgere la mansione assegnata e il rifiuto può essere considerato un inadempimento contrattuale, con possibili:

• Contestazioni disciplinari;

• Trasferimento ad altra mansione (se disponibile);

• Nei casi estremi, anche risoluzione del rapporto di lavoro per giustificato motivo soggettivo.

✅ Cosa fare in pratica

1. Conservare la lettera non firmata, con data e annotazione del rifiuto.

2. Verbalizzare il rifiuto, eventualmente con un testimone.

3. Richiamare il dipendente per iscritto, spiegando che la firma è parte integrante del suo ruolo e serve per la conformità normativa.

4. Valutare sanzioni disciplinari o la riassegnazione, in base al contratto collettivo e alle policy aziendali.

5. In assenza di collaborazione, valutare la risoluzione del contratto se il trattamento dei dati è parte essenziale del ruolo.

📝 Esempio di comunicazione al dipendente

"Gentile [Nome], la sua mansione prevede il trattamento di dati personali ai sensi del Regolamento (UE) 2016/679. La designazione ad incaricato del trattamento è obbligatoria per garantire la legittimità e la sicurezza delle operazioni svolte. Il suo rifiuto a firmare tale designazione compromette la possibilità di proseguire nella funzione assegnata. La invitiamo a rivalutare la sua posizione entro [X giorni] al fine di evitare ulteriori provvedimenti."

Sì, chi fornisce un servizio di Web Hosting (cioè ospita il sito web, database, email, ecc.) deve essere nominato Responsabile del Trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (GDPR), se tratta dati personali per conto del Titolare del trattamento.

🔍 Perché è necessario nominarlo?

Il fornitore di hosting ha accesso (anche solo potenziale) a dati personali che transitano o sono conservati nei server, come:

• Dati degli utenti del sito (form di contatto, ordini, iscrizioni);

• Dati raccolti tramite cookie o analytics;

• Email gestite tramite il dominio del cliente;

• Backup o database contenenti dati identificabili.

Anche se non accede volontariamente ai dati, il solo fatto di gestire e conservare i server implica una responsabilità sul trattamento.

✅ Cosa fare

Il titolare del trattamento (es. il proprietario del sito o dell’attività) deve:

1. Verificare che il provider fornisca sufficienti garanzie di conformità al GDPR (sicurezza, riservatezza, misure tecniche e organizzative).

2. Stipulare un contratto o atto di nomina a "Responsabile del trattamento", con i contenuti previsti dall’art. 28 del GDPR.

3. Conservare copia del contratto tra la documentazione privacy aziendale.

❗Attenzione

Non importa se il fornitore è italiano o estero. Se ospita o gestisce dati di cittadini UE, deve essere nominato formalmente e contrattualmente come Responsabile del trattamento.

❌ Quando NON serve la nomina?

Se il servizio di hosting non tratta dati personali per conto del cliente, ad esempio:

• Si tratta solo di un servizio di registrazione dominio (senza spazio web, database, mail, ecc.);

• Il sito ospitato è puramente informativo e non raccoglie alcun dato personale (nessun form, cookie, analytics, login…).

In questi rari casi, il provider potrebbe non essere considerato Responsabile, ma è sempre meglio valutare caso per caso.

• Il principio di correttezza del trattamento dei dati personali, sancito dal Regolamento Generale sulla Protezione dei Dati (GDPR), impone che ogni trattamento:

  • sia trasparente nei confronti degli interessati,

  • sia coerente con le loro legittime aspettative,

  • non contenga elementi ingannevoli, opachi o ambigui.

  ---

  ⚖️ Cosa implica il principio di correttezza?

  1. Informazione chiara e preventiva
     Gli interessati devono essere informati prima che inizi il trattamento, in modo chiaro, semplice e comprensibile (non con linguaggio tecnico o legalese).

  2. Nessuna ambiguità o raggiro
     Il trattamento non può avvenire in modo occulto o approfittare dell’ignoranza dell’interessato.
     → Ad esempio, non è corretto ottenere dati dicendo che servono “per fini statistici” e poi usarli per marketing.

  3. Finalità dichiarate e legittime
     I dati devono essere raccolti per scopi leciti, espliciti e dichiarati (vedi anche il principio di limitazione della finalità), senza deviare da questi scopi senza ulteriore informazione o consenso.

  4. Accessibilità e controllo da parte dell’interessato
     L’interessato ha il diritto di sapere quali dati sono trattati, da chi, perché e per quanto tempo, e di ottenere risposte in tempi ragionevoli.

  5. Rispetto della volontà dell’interessato
     Quando l’interessato esprime un consenso, una revoca, o esercita un diritto, il titolare del trattamento deve rispettarlo tempestivamente.

  ---

  ❌ Cosa viola il principio di correttezza?

  • Informative poco chiare o incomplete;

  • Trattamento dei dati all’insaputa dell’interessato;

  • Raccolta dati per uno scopo e uso per un altro;

  • Ostacolare o ritardare l’accesso dell’interessato ai propri dati;

  • Rendere complicata o inefficace la procedura per l’esercizio dei diritti.

  ---

  ✅ In sintesi

  Il principio di correttezza è la garanzia etica e giuridica che i dati non vengano utilizzati contro la volontà o gli interessi dell’interessato. Si affianca al principio di liceità e trasparenza, ed è alla base del rapporto di fiducia tra utenti e titolari del trattamento.

• Sì, puoi elaborare un documento simile al vecchio DPS (Documento Programmatico sulla Sicurezza), ma non è più obbligatorio né riconosciuto formalmente dal GDPR. Tuttavia, un documento interno ben strutturato può essere estremamente utile per dimostrare la “accountability” (responsabilizzazione) richiesta dal Regolamento.

  ---

  🔎 Cosa prevede il GDPR al posto del DPS?

  Il GDPR non impone un documento unico come il DPS, ma richiede una serie di documenti separati, ognuno con uno scopo specifico. Ecco gli elementi che devono essere predisposti:

  Obbligatori (a seconda dei casi):

  • ✅ Lettere di nomina e mansionari per:

    • Data handler interni (incaricati del trattamento);

    • Data processor esterni (responsabili del trattamento).

  • ✅ Informative e raccolta del consenso (artt. 12–14);

  • ✅ Registro delle attività di trattamento (art. 30 GDPR);

  • ✅ Valutazione d’Impatto sulla Privacy (DPIA/PIA), se necessaria (art. 35);

  • ✅ Policy di Sicurezza e misure tecniche-organizzative;

  • ✅ Gestione delle violazioni e delle notifiche (Data Breach);

  • ✅ Archiviazione e tracciabilità di tutta la documentazione privacy.

  ---

  📄 Puoi creare un “documento riassuntivo”?

  Sì, è una buona prassi. Puoi realizzare un documento interno di sintesi (simile al DPS) che:

  • riepiloga l’organizzazione della privacy in azienda;

  • descrive le misure adottate;

  • documenta i flussi dei dati e i soggetti coinvolti;

  • richiama i riferimenti ai documenti obbligatori (registro, informative, nomine, ecc.).

  ❗ Importante: questo documento non sostituisce i singoli obblighi del GDPR, ma può essere un utile strumento di audit, formazione e prova di accountability.

  ---

  ✅ Conclusione

  Puoi creare un documento in stile DPS come strumento integrativo per l’organizzazione interna e per dimostrare la tua conformità, ma non è obbligatorio. Il GDPR ti chiede invece di tenere e aggiornare singoli documenti ufficiali, ognuno con una funzione ben precisa.