{"id":602,"date":"2018-05-09T12:06:48","date_gmt":"2018-05-09T12:06:48","guid":{"rendered":"https:\/\/www.coopconsulco.it\/?p=602"},"modified":"2018-05-13T13:21:59","modified_gmt":"2018-05-13T13:21:59","slug":"guida-alla-nuova-privacy-gdpr","status":"publish","type":"post","link":"https:\/\/www.coopconsulco.it\/?p=602","title":{"rendered":"Guida alla nuova privacy &#8211; GDPR"},"content":{"rendered":"<h2><strong>GUIDA ALLE NUOVE REGOLE IN MATERIA&nbsp; DI PRIVACY<br>\n<\/strong><\/h2>\n<p>Dal 25 maggio trova piena applicazione la nuova normativa in materia di privacy che, come previsto dall&rsquo;art. 99 del Regolamento UE 2016\/679, &egrave; obbligatoria in tutti i suoi elementi e abroga espressamente la direttiva 95\/46\/CE.<\/p>\n<p>Di seguito si indicano le regole basilari previste dal nuovo Regolamento cercando di porre in rilievo le differenze fra la vecchia e la nuova normativa.<\/p>\n<p>La natura non tassativa delle indicazioni tracciate &egrave; peraltro fisiologica conseguenza dell&rsquo;essenza stessa del Regolamento, fondato sul principio della <strong>accountability <a href=\"#notauno\"><span style=\"color: #ff0000;\">(1)<\/span><\/a><\/strong>, in virt&ugrave; del quale &egrave; il <strong>titolare<\/strong> <a href=\"#notadue\"><span style=\"color: #ff0000;\"><strong>(2)<\/strong><\/span><\/a> del trattamento ad essere investito del compito (e della responsabilit&agrave;) di garantire l&rsquo;adempimento agli obblighi previsti dalle norme e l&rsquo;efficacia della tutela predisposta, in un bilanciamento di discrezionalit&agrave; di adempimenti e responsabilit&agrave; per la verifica della loro efficacia. Obblighi che comprendono quelli di riesame ed aggiornamento costante di tutte le condizioni adottate nel proprio sistema di trattamento e protezione dei dati personali.<\/p>\n<p><strong>Trattamento dei dati personali (art. 5)<\/strong><\/p>\n<p>Ai sensi dell&rsquo;art. 5 del Regolamento i dati debbono essere trattati in modo lecito, corretto e trasparente nei confronti dell&rsquo;interessato. Le finalit&agrave; devono essere determinate, esplicite e legittime.<\/p>\n<p>Anche i dati trattati devono essere adeguati, circoscritti e limitati tenendo conto della necessit&agrave; e della finalit&agrave;. Al trattamento deve essere garantita adeguata sicurezza.<\/p>\n<p>La trasparenza implica che ai titolari dei dati deve essere garantita l&rsquo;informazione, chiara, semplice e facilmente accessibile, delle modalit&agrave; attraverso le quali avviene l&rsquo;utilizzazione, la consultazione e il trattamento dei dati personali che li riguardano.<\/p>\n<p>Del rispetto dei princ&igrave;pi fissati dall&rsquo;art. 5, della loro adeguatezza, aggiornamento e sicurezza &egrave; responsabile il titolare del trattamento.<\/p>\n<p><strong>Liceit&agrave; del trattamento e consenso (art. 6)<\/strong><\/p>\n<p>Il regolamento conferma che ogni trattamento deve trovare fondamento in un&rsquo;idonea base giuridica. I fondamenti di liceit&agrave; del trattamento sono indicati all&rsquo;art. 6 del Regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice privacy &ndash; d.lgs. n. 196\/2003.<\/p>\n<p>Elemento fondamentale della liceit&agrave; del trattamento &egrave; il consenso.<\/p>\n<p><strong>Consenso (art. 7)<\/strong><\/p>\n<p>Ai sensi dell&rsquo;art. 7 del Regolamento il consenso deve essere prestato in maniera chiara e semplice, in forma comprensibile e facilmente accessibile.<\/p>\n<p>Il Regolamento non prevede obbligatoriamente la forma scritta per il consenso. Tuttavia considerato che il titolare del trattamento, sempre ai sensi dell&rsquo;art. 7, par. 1, &egrave; onerato di <em>&ldquo;dimostrare che l&rsquo;interessato ha prestato il proprio consenso al trattamento dei propri dati personali&rdquo;, <\/em>&egrave; evidentemente raccomandata l&rsquo;opportunit&agrave; di provvedere all&rsquo;acquisizione del consenso in forma scritta.&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;.<\/p>\n<p>Deve essere chiaro anche il riconoscimento del diritto a revocare il proprio consenso in qualsiasi momento.<\/p>\n<p>Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutti i requisiti indicati nel Regolamento (UE) 2016\/679. In caso contrario &egrave; opportuno, prima di tale data, raccogliere nuovamente il consenso degli interessati secondo quanto previsto dalla novella normativa.<\/p>\n<p><strong>Consenso Obbligatorio<\/strong><\/p>\n<p>La &nbsp;prestazione &nbsp;del &nbsp;consenso &nbsp;deve &nbsp;essere &nbsp;tale &nbsp;da &nbsp;consentire&nbsp; la dimostrazione dell&rsquo;effettivit&agrave; dei princ&igrave;pi fissati dall&rsquo;art. 7, rendendo chiaro ed inequivocabile:<\/p>\n<ol>\n<li>che l&rsquo;interessato ha acconsentito al trattamento;<\/li>\n<li>&nbsp;che l&rsquo;interessato ha prestato il consenso nella piena consapevolezza della misura e delle modalit&agrave; con le quali il trattamento avviene;<\/li>\n<li>forma accessibile e linguaggio semplice ed inequivocabile;<\/li>\n<li>l&rsquo;indicazione dell&rsquo;identit&agrave; del titolare del trattamento dei dati;<\/li>\n<li>la finalit&agrave; del trattamento cui sono destinati i dati personali;<\/li>\n<li>la specifica indicazione del diritto alla revoca del consenso;<\/li>\n<li>la separazione tra i consensi prestati rispetto ai dati ed alle finalit&agrave; di trattamento, laddove distinti<\/li>\n<\/ol>\n<p><strong>Consenso facoltativo<\/strong><\/p>\n<p>Il trattamento &egrave; considerato lecito quando &egrave; necessario:<\/p>\n<ul>\n<li>nell&rsquo;ambito di un contratto o ai fini della sua conclusione o esecuzione;<\/li>\n<li>per adempiere ad un obbligo legale;<\/li>\n<li>per la salvaguardia degli interessi vitali dell&rsquo;interessato o di un&rsquo;altra persona fisica;<\/li>\n<li>per l&rsquo;esecuzione &nbsp;di &nbsp;un &nbsp;compito &nbsp;di &nbsp;interesse &nbsp;pubblico &nbsp;o &nbsp;connesso all&rsquo;esercizio&nbsp;&nbsp; di&nbsp; &nbsp;pubblici&nbsp; &nbsp;poteri&nbsp; &nbsp;di&nbsp; &nbsp;cui&nbsp; &nbsp;&egrave;&nbsp; &nbsp;investito&nbsp; &nbsp;il&nbsp; &nbsp;titolare&nbsp; &nbsp;del trattame<\/li>\n<\/ul>\n<p>Ricorrendo una delle precedenti ipotesi, il consenso non &egrave; necessario ed &egrave; sufficiente la consegna dell&rsquo;informativa (con ricevuta che attesti la presa visione da parte dell&rsquo;interessato), che conferma cos&igrave; la centralit&agrave; e fondamentalit&agrave; della propria funzione nell&rsquo;ambito del trattamento dei dati personali. Si ricade in queste condizioni ed il trattamento dei dati &ndash; previa informativa &ndash; &egrave; lecito a prescindere dal consenso quando, ad esempio, i dati debbono &nbsp;essere &nbsp;acquisiti &nbsp;e &nbsp;trattati &nbsp;nell&rsquo;ambito &nbsp;della &nbsp;gestione &nbsp;di &nbsp;un contratto e conseguente rapporto di lavoro, mandato professionale ed ogni attivit&agrave; fisiologicamente connessa (a mero titolo esemplificativo e non esaustivo: instaurazione e gestione del rapporto di lavoro; elaborazione prospetti paga; adempimenti dichiarativi in materia contributiva e fiscale; gestione di infortuni e malattia, etc.)<\/p>\n<p><strong>Categorie particolari di dati (art. 9)<\/strong><\/p>\n<p>Cos&igrave; come indicato all&rsquo;art. 9 del Regolamento, il consenso all&rsquo;acquisizione dei dati sensibili deve essere esplicito. Lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione &ndash; art. 22).<\/p>\n<p>Per espressa previsione dell&rsquo;art. 9, par. 2, lett. b) del Regolamento, il divieto al trattamento, altrimenti previsto per i dati c.d. &ldquo;sensibili&rdquo;, non si applica ed il trattamento &egrave; considerato lecito quando &egrave; necessario per assolvere agli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell&rsquo;interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell&rsquo;Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell&rsquo;interessato.<\/p>\n<p><strong>I<\/strong><strong>nformativa (artt. 12 &ndash; 14)<\/strong><\/p>\n<p>Il titolare del trattamento adotta misure appropriate per fornire all&rsquo;interessato tutte le informazioni e le comunicazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.<\/p>\n<p>Il Regolamento non prevede una specifica forma di informativa, sebbene disponga che le informazioni di cui agli artt. 12 e seguenti debbano essere fornite per iscritto o anche in forma elettronica. Non &egrave; esclusa la forma orale, su richiesta dall&rsquo;interessato, dovendo per&ograve; comprovare l&rsquo;identit&agrave; di quest&rsquo;ultimo.<\/p>\n<p>Gli artt. 13 e 14 del Regolamento indicano le informazioni che devono essere fornite qualora i dati siano raccolti presso l&rsquo;interessato (art. 13) o presso altri soggetti (art. 14).<\/p>\n<p>L&rsquo;informativa &egrave; un momento fondamentale del trattamento dati, ne caratterizza &nbsp;la &nbsp;fase &nbsp;iniziale &nbsp;ed &nbsp;accompagna &nbsp;ogni &nbsp;sua &nbsp;fase. &nbsp;Assolve &nbsp;in concreto al principio di trasparenza effettiva, garantendo all&rsquo;interessato la possibilit&agrave; di conoscere, ad esempio, il periodo di conservazione dei dati e le modalit&agrave; tecniche attraverso le quali questa avviene. Il contenuto dell&rsquo;informativa, complesso e pi&ugrave; completo di quella gi&agrave; nota, deve essere utile a rendere edotto il titolare circa tutti i diritti che gli sono riconosciuti dal Regolamento, tra i quali necessariamente:<\/p>\n<ul>\n<li>diritto di accesso ai dati (art. 15);<\/li>\n<li>diritto di rettifica (art. 16);<\/li>\n<li>diritto alla cancellazione (c.d. &ldquo;diritto all&rsquo;oblio&rdquo;, art. 17);<\/li>\n<li>diritto di limitazione del trattamento (art. 18);<\/li>\n<li>diritto alla portabilit&agrave; dei dati (art. 20);<\/li>\n<li>diritto di opposizione (art. 21)<\/li>\n<\/ul>\n<p><strong>Re<\/strong><strong>g<\/strong><strong>istri delle attivit&agrave; di trattamento (art. 30)<\/strong><\/p>\n<p>Il registro dei trattamenti individuato dall&rsquo;articolo 30 &egrave; uno strumento fondamentale ai fini del monitoraggio degli adempimenti e della garanzia dei diritti previsti dal Regolamento n. 2016\/679.<\/p>\n<p>La sua previsione non &egrave; obbligatoria per il titolare del trattamento che occupi meno di 250 dipendenti.<\/p>\n<p>L&rsquo;obbligo prescinde dal requisito dimensionale nel caso in cui i dati oggetto del trattamento possano presentare un rischio per i diritti e le libert&agrave; degli interessati, il trattamento non sia occasionale o includano dati sensibili, genetici, biometrici, giudiziari, cos&igrave; come individuati dagli artt. 9 e 10 del Regolamento.<\/p>\n<p><strong>Adeguatezza delle misure adottate (artt. 24 &ndash; 26)<\/strong><\/p>\n<p>Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento &egrave; effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.<\/p>\n<p>Ci&ograve; implica anche la verifica e l&rsquo;eventuale necessit&agrave; di adeguamento degli strumenti (<em>hardware \/ <\/em>software) attraverso i quali il trattamento viene effettuato.<\/p>\n<p>Tenendo&nbsp; &nbsp;conto&nbsp; &nbsp;delle&nbsp; &nbsp;specifiche&nbsp; &nbsp;caratteristiche&nbsp; &nbsp;del&nbsp; &nbsp;trattamento&nbsp; &nbsp;e dei <strong>connessi profili di rischio per i diritti e le libert&agrave; delle persone fisiche <a href=\"#notaquattro\"><span style=\"color: #ff0000;\">(4)<\/span><\/a><\/strong>, all&rsquo;atto del trattamento ovvero di determinare i mezzi del medesimo, il titolare &nbsp;adotta &nbsp;misure &nbsp;tecniche &nbsp;e &nbsp;organizzative&nbsp; adeguate, &nbsp;in &nbsp;modo &nbsp;da attuare efficacemente i principi di protezione dei dati e garantire nel trattamento &nbsp;i &nbsp;requisiti &nbsp;del &nbsp;Regolamento &nbsp;e &nbsp;la &nbsp;tutela &nbsp;dei &nbsp;diritti &nbsp;degli interessati (c.d. <em>&ldquo;privacy by design&rdquo;<\/em>).<\/p>\n<p>Il titolare del trattamento attua misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ciascuna finalit&agrave; del trattamento. Obbligo che vale per la quantit&agrave; dei dati raccolti, la portata del trattamento, il periodo di conservazione e l&rsquo;accessibilit&agrave; ai dati stessi (c.d. <em>&ldquo;privacy by default&rdquo;<\/em>).<\/p>\n<p><strong>Valutazione d&rsquo;impatto sulla protezione dati (artt. 35 &ndash; 36)<\/strong><\/p>\n<p>Sono obbligati alla valutazione d&rsquo;impatto i titolari che debbano iniziare un trattamento molto rischioso per i diritti e le libert&agrave; delle persone fisiche, per le caratteristiche del trattamento o degli strumenti adottati per esso (ad esempio novit&agrave; tecnologiche, finalit&agrave;, natura dei dati).<\/p>\n<p>Quando la valutazione di impatto indica che il trattamento presenta un rischio elevato, prima di procedere al trattamento, il titolare &egrave; tenuto a consultare l&rsquo;autorit&agrave; di controllo.<\/p>\n<p><strong>Nomina responsabili esterni (art. 28)<\/strong><\/p>\n<p>Qualora un trattamento debba essere effettuato per conto del titolare, quest&rsquo;ultimo ricorre unicamente a responsabili che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il citato trattamento soddisfi i requisiti del Regolamento (UE) e garantisca la tutela dei diritti dell&rsquo;interessato (art.28). <a href=\"#notatre\"><span style=\"color: #ff0000;\"><strong>(3)<\/strong><\/span><\/a><\/p>\n<p><strong>Nomina autorizzati al trattamento<\/strong><\/p>\n<p>Pur &nbsp;non &nbsp;prevedendo &nbsp;espressamente &nbsp;la &nbsp;figura &nbsp;dell&rsquo;incaricato&nbsp; del trattamento, il regolamento non ne esclude la presenza, in quanto fa riferimento a persone autorizzate al trattamento dei dati personali sotto l&rsquo;autorit&agrave; diretta del titolare o del responsabile (art. 4 par. 10).<\/p>\n<p>Tale figura &egrave; colui che effettua materialmente le operazioni di trattamento sui dati personali. Pu&ograve; essere solo una persona fisica e deve agire sotto la diretta autorit&agrave; del titolare o del responsabile del trattamento.<\/p>\n<p><strong>D<\/strong><strong>ata Protection Officer (Art. 37 ss.)<\/strong><\/p>\n<p>Il responsabile della protezione dei dati personali (anche conosciuto con la dizione in lingua inglese &ldquo;Data Protection Officer&rdquo; &ndash; DPO) &egrave; una figura prevista dall&rsquo;art. 37 del Regolamento (UE) 2016\/679.<\/p>\n<p>La normativa non prevede tassativi requisiti per rivestire il ruolo di DPO. Il responsabile della protezione dei dati &egrave; designato, infatti, in funzione delle qualit&agrave; professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati e della capacit&agrave; di assolvere i compiti di cui all&rsquo;art. 39 del medesimo Regolamento (UE).<\/p>\n<p>Non &egrave; obbligatorio per lo studio del singolo professionista, in quanto le attivit&agrave; principali dello stesso non consistono in trattamenti che, per loro natura, ambito di applicazione e\/o finalit&agrave;, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.<\/p>\n<p>Non esplicitamente esclusi da tale obbligo i professionisti che svolgono la professione in forma associata o STP, per i quali, perlomeno per le realt&agrave; pi&ugrave; strutturate, la nomina &egrave; raccomandata, anche alla luce del principio di <em>&ldquo;accountability&rdquo; <\/em>che caratterizza il Regolamento.<\/p>\n<p><strong>D<\/strong><strong>ata breach (art. 35)<\/strong><\/p>\n<p>Tutti i titolari del trattamento devono notificare all&rsquo;autorit&agrave; di controllo le violazioni di &nbsp;dati personali senza ingiustificato ritardo e, &nbsp;dove possibile, entro 72 ore dal momento in cui ne sono venuti a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libert&agrave; delle persone fisiche. Qualora la notifica all&rsquo;autorit&agrave; di controllo non sia effettuata entro 72 ore, dovr&agrave; essere corredata dei motivi del ritardo (art.33).<\/p>\n<p>Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libert&agrave; delle persone fisiche, il titolare del trattamento comunica, con un linguaggio semplice e chiaro, la violazione all&rsquo;interessato senza ingiustificato ritardo (art.34).<\/p>\n<p><strong>Sanzioni<\/strong><\/p>\n<p>All&rsquo;art. 83 del Regolamento, par. 2, sono indicati i criteri che le autorit&agrave; di controllo devono utilizzare per valutare sia l&rsquo;opportunit&agrave; di irrogare una sanzione amministrativa sia l&rsquo;importo della stessa. Tali sanzioni devono essere in ogni caso effettive, proporzionate e dissuasive. Quasi tutti gli obblighi dei titolari e dei responsabili del trattamento sono classificati in base alla loro natura nelle disposizioni contenute all&rsquo;articolo 83, paragrafi 4, 5 &nbsp;e &nbsp;6. &nbsp;Il &nbsp;regolamento &nbsp;non &nbsp;fissa &nbsp;un &nbsp;importo &nbsp;specifico &nbsp;per &nbsp;ogni &nbsp;singola violazione, ma solo un massimale. Infatti, la violazione delle citate disposizioni &egrave; soggetta, a seconda delle diverse tipologie, a sanzioni amministrative pecuniarie fino a 10 o 20 milioni di euro o, per le imprese, fino al 2% o 4% del fatturato mondiale totale annuo dell&rsquo;esercizio precedente, se superiore.<\/p>\n<p>&nbsp;<\/p>\n<p><span style=\"font-size: 18px;\"><em>Note<\/em><\/span><\/p>\n<p><a name=\"notauno\"><\/a>(1)<\/p>\n<p>Uno dei principi cardini previsto dal GDPR &egrave; quello della responsabilizzazione (noto con il termine inglese di &ldquo;<strong>accountability<\/strong>&rdquo;). Nella nostra lingua manca un termine esatto equivalente perch&eacute; &ldquo;<strong>accountability<\/strong>&rdquo; accomuna profili presenti nei concetti di <em>responsabilizzazione<\/em>, <em>rendicontazione<\/em>, <em>aspettativa<\/em>.<\/p>\n<p>Il GDPR definisce il principio di responsabilizzazione nel senso che &ldquo;il titolare del trattamento &egrave; competente per il rispetto&rdquo; di tutti i principi di legittimit&agrave; &ldquo;ed &egrave; in grado di comprovarlo&rdquo; [art.5]. Il termine &ldquo;competente&rdquo; &egrave; una traduzione non felice del termine &ldquo;responsabile&rdquo; che meglio interpreta il significato di questo pilastro portante della riforma. Quindi, competenza, vale a dire capacit&agrave; dell&rsquo;azienda che utilizza dati personali di comprendere il significato dei principi di <em>data protection<\/em> e di attuarli e capacit&agrave; di dimostrarne la conformit&agrave; sono i due assi su cui poggia l&rsquo;accountability. In sostanza non contano pi&ugrave; gli aspetti formali previsti dalla previgente normativa, ma tutto deve essere inquadrato in una veste di concreta sostenibilit&agrave; dimostrando che l&rsquo;azienda ha adottato un sistema composito di gestione e controllo a presidio dei diritti degli interessati.<\/p>\n<p>&nbsp;<\/p>\n<p><a name=\"notadue\"><\/a>(2)<\/p>\n<p>La figura del titolare del trattamento non deriva da una scelta ma dalla individuazione di chi ha potere decisionale su finalit&agrave; e modalit&agrave; d&rsquo;uso dei dati, su strumenti o misure da adottare. Sotto la sua direzione operano i soggetti preposti alle operazioni di trattamento (incaricati) che si attengono alle istruzioni, con vincolo di confidenzialit&agrave;. Novit&agrave; riguardano il trattamento cogestito da pi&ugrave; titolari come nel caso di consociate di un gruppo che condividano un unico Crm contenente anagrafiche di comuni clienti e potenziali da cui ricavare liste di nominativi per le rispettive campagne promozionali. I co-titolari definiscono in un apposito accordo reciproche incombenze e responsabilit&agrave; (chi fa cosa), specie riguardo alle informazioni da fornire e modalit&agrave; di riscontro per l&rsquo;esercizio dei diritti degli interessati. In virt&ugrave; del principio di trasparenza, i punti salienti dell&rsquo;accordo sono accessibili agli interessati.<\/p>\n<p>&nbsp;<\/p>\n<p><a name=\"notatre\"><\/a>(3)<\/p>\n<p>Il modello organizzativo data protection non si esaurisce entro il perimetro aziendale, in quanto include la filiera di appaltatori e sub-appaltatori che utilizzano dati personali per conto dell&rsquo;azienda titolare. Il regolamento richiede all&rsquo;azienda titolare del trattamento di avere visibilit&agrave; dell&rsquo;intera filiera e di vincolare i relativi attori, di qualsiasi livello, alle proprie precise istruzioni che di fatto assumeranno il ruolo di responsabili del trattamento per conto dell&rsquo;azienda titolare secondo quanto prescritto all&rsquo;articolo 28 del GDPR a tutela dei soggetti interessati.<\/p>\n<p>Occorre quindi vincolare contrattualmente tutti gli attori della filiera alle medesime regole, al punto che i soggetti sottostanti la ditta titolare potranno avvalersi di sub-appaltatori solo con l&rsquo;autorizzazione della stessa azienda, una sottoscrizione da parte di questi delle medesime clausole di data protection che disciplinano il rapporto di primo livello. Chiude il cerchio il &ldquo;presidio della filiera&rdquo; che autorizza il titolare a richiedere resoconti e a effettuare verifiche anche presso i propri responsabili, sia direttamente che tramite terzi parti appositamente designate.<\/p>\n<p><a name=\"notaquattro\"><\/a>(4)<\/p>\n<p>I rischi per i diritti e le libert&agrave; delle persone fisiche, aventi probabilit&agrave; e gravit&agrave; diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare:<\/p>\n<ul>\n<li>se il trattamento pu&ograve; comportare discriminazioni, furto o usurpazione d&rsquo;identit&agrave;, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo;<\/li>\n<li>se gli interessati rischiano di essere privati dei loro diritti e delle loro libert&agrave; o venga loro impedito l&rsquo;esercizio del controllo sui dati personali che li riguardano;<\/li>\n<li>se sono trattati dati personali che rivelano l&rsquo;origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l&rsquo;appartenenza sindacale, nonch&eacute; dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;<\/li>\n<li>in caso di valutazione di aspetti personali, in particolare mediante l&rsquo;analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l&rsquo;affidabilit&agrave; o il comportamento, l&rsquo;ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;<\/li>\n<li>se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;<\/li>\n<li>se il trattamento riguarda una notevole quantit&agrave; di dati personali e un vasto numero di interessati.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h2>Cosa deve fare la mia azienda ?<\/h2>\n<p><iframe loading=\"lazy\" title=\"Privacy - Cosa Fare\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/j6uRrXXmxeA?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n","protected":false},"excerpt":{"rendered":"<p>GUIDA ALLE NUOVE REGOLE IN MATERIA&nbsp; DI PRIVACY Dal 25 maggio trova piena applicazione la nuova normativa in materia di privacy che, come previsto dall&rsquo;art. 99 del Regolamento UE 2016\/679, &egrave; obbligatoria in tutti i suoi elementi e abroga espressamente la direttiva 95\/46\/CE. Di seguito si indicano le regole basilari previste dal nuovo Regolamento cercando [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":607,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[21],"tags":[66,65],"class_list":["post-602","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-event","tag-gdpr","tag-privacy"],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v26.6 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\r\n<title>Guida alla nuova privacy - GDPR - Consulco<\/title>\r\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\r\n<link rel=\"canonical\" href=\"https:\/\/www.coopconsulco.it\/?p=602\" \/>\r\n<meta property=\"og:locale\" content=\"it_IT\" \/>\r\n<meta property=\"og:type\" content=\"article\" \/>\r\n<meta property=\"og:title\" content=\"Guida alla nuova privacy - GDPR - Consulco\" \/>\r\n<meta property=\"og:description\" content=\"GUIDA ALLE NUOVE REGOLE IN MATERIA&nbsp; DI PRIVACY Dal 25 maggio trova piena applicazione la nuova normativa in materia di privacy che, come previsto dall&rsquo;art. 99 del Regolamento UE 2016\/679, &egrave; obbligatoria in tutti i suoi elementi e abroga espressamente la direttiva 95\/46\/CE. Di seguito si indicano le regole basilari previste dal nuovo Regolamento cercando [&hellip;]\" \/>\r\n<meta property=\"og:url\" content=\"https:\/\/www.coopconsulco.it\/?p=602\" \/>\r\n<meta property=\"og:site_name\" content=\"Consulco\" \/>\r\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/consulenza.consulco\" \/>\r\n<meta property=\"article:published_time\" content=\"2018-05-09T12:06:48+00:00\" \/>\r\n<meta property=\"article:modified_time\" content=\"2018-05-13T13:21:59+00:00\" \/>\r\n<meta property=\"og:image\" content=\"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2018\/01\/Privacy.jpg\" \/>\r\n\t<meta property=\"og:image:width\" content=\"350\" \/>\r\n\t<meta property=\"og:image:height\" content=\"262\" \/>\r\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\r\n<meta name=\"author\" content=\"admin\" \/>\r\n<meta name=\"twitter:label1\" content=\"Scritto da\" \/>\n\t<meta name=\"twitter:data1\" content=\"admin\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tempo di lettura stimato\" \/>\n\t<meta name=\"twitter:data2\" content=\"14 minuti\" \/>\r\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.coopconsulco.it\/?p=602#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.coopconsulco.it\/?p=602\"},\"author\":{\"name\":\"admin\",\"@id\":\"https:\/\/www.coopconsulco.it\/#\/schema\/person\/87bbc852207344b1a1c61f1bf523a219\"},\"headline\":\"Guida alla nuova privacy &#8211; GDPR\",\"datePublished\":\"2018-05-09T12:06:48+00:00\",\"dateModified\":\"2018-05-13T13:21:59+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.coopconsulco.it\/?p=602\"},\"wordCount\":2740,\"commentCount\":0,\"publisher\":{\"@id\":\"https:\/\/www.coopconsulco.it\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.coopconsulco.it\/?p=602#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2018\/01\/Privacy.jpg\",\"keywords\":[\"GDPR\",\"privacy\"],\"articleSection\":[\"Event\"],\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.coopconsulco.it\/?p=602#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.coopconsulco.it\/?p=602\",\"url\":\"https:\/\/www.coopconsulco.it\/?p=602\",\"name\":\"Guida alla nuova privacy - GDPR - Consulco\",\"isPartOf\":{\"@id\":\"https:\/\/www.coopconsulco.it\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.coopconsulco.it\/?p=602#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.coopconsulco.it\/?p=602#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2018\/01\/Privacy.jpg\",\"datePublished\":\"2018-05-09T12:06:48+00:00\",\"dateModified\":\"2018-05-13T13:21:59+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/www.coopconsulco.it\/?p=602#breadcrumb\"},\"inLanguage\":\"it-IT\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.coopconsulco.it\/?p=602\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/www.coopconsulco.it\/?p=602#primaryimage\",\"url\":\"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2018\/01\/Privacy.jpg\",\"contentUrl\":\"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2018\/01\/Privacy.jpg\",\"width\":350,\"height\":262},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.coopconsulco.it\/?p=602#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.coopconsulco.it\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Guida alla nuova privacy &#8211; GDPR\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.coopconsulco.it\/#website\",\"url\":\"https:\/\/www.coopconsulco.it\/\",\"name\":\"Consulco\",\"description\":\"Consulenti in Cooperativa\",\"publisher\":{\"@id\":\"https:\/\/www.coopconsulco.it\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.coopconsulco.it\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"it-IT\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.coopconsulco.it\/#organization\",\"name\":\"Consulco\",\"url\":\"https:\/\/www.coopconsulco.it\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/www.coopconsulco.it\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2021\/05\/Logo-Consulco-3.png\",\"contentUrl\":\"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2021\/05\/Logo-Consulco-3.png\",\"width\":3397,\"height\":1151,\"caption\":\"Consulco\"},\"image\":{\"@id\":\"https:\/\/www.coopconsulco.it\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/consulenza.consulco\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.coopconsulco.it\/#\/schema\/person\/87bbc852207344b1a1c61f1bf523a219\",\"name\":\"admin\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"it-IT\",\"@id\":\"https:\/\/www.coopconsulco.it\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/0bbe2dfc39f9a40c09b87ab3e014b0ecab3ab582483d992bfb076b805b67d3c8?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/0bbe2dfc39f9a40c09b87ab3e014b0ecab3ab582483d992bfb076b805b67d3c8?s=96&d=mm&r=g\",\"caption\":\"admin\"},\"url\":\"https:\/\/www.coopconsulco.it\/?author=1\"}]}<\/script>\r\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Guida alla nuova privacy - GDPR - Consulco","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.coopconsulco.it\/?p=602","og_locale":"it_IT","og_type":"article","og_title":"Guida alla nuova privacy - GDPR - Consulco","og_description":"GUIDA ALLE NUOVE REGOLE IN MATERIA&nbsp; DI PRIVACY Dal 25 maggio trova piena applicazione la nuova normativa in materia di privacy che, come previsto dall&rsquo;art. 99 del Regolamento UE 2016\/679, &egrave; obbligatoria in tutti i suoi elementi e abroga espressamente la direttiva 95\/46\/CE. Di seguito si indicano le regole basilari previste dal nuovo Regolamento cercando [&hellip;]","og_url":"https:\/\/www.coopconsulco.it\/?p=602","og_site_name":"Consulco","article_publisher":"https:\/\/www.facebook.com\/consulenza.consulco","article_published_time":"2018-05-09T12:06:48+00:00","article_modified_time":"2018-05-13T13:21:59+00:00","og_image":[{"width":350,"height":262,"url":"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2018\/01\/Privacy.jpg","type":"image\/jpeg"}],"author":"admin","twitter_misc":{"Scritto da":"admin","Tempo di lettura stimato":"14 minuti"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.coopconsulco.it\/?p=602#article","isPartOf":{"@id":"https:\/\/www.coopconsulco.it\/?p=602"},"author":{"name":"admin","@id":"https:\/\/www.coopconsulco.it\/#\/schema\/person\/87bbc852207344b1a1c61f1bf523a219"},"headline":"Guida alla nuova privacy &#8211; GDPR","datePublished":"2018-05-09T12:06:48+00:00","dateModified":"2018-05-13T13:21:59+00:00","mainEntityOfPage":{"@id":"https:\/\/www.coopconsulco.it\/?p=602"},"wordCount":2740,"commentCount":0,"publisher":{"@id":"https:\/\/www.coopconsulco.it\/#organization"},"image":{"@id":"https:\/\/www.coopconsulco.it\/?p=602#primaryimage"},"thumbnailUrl":"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2018\/01\/Privacy.jpg","keywords":["GDPR","privacy"],"articleSection":["Event"],"inLanguage":"it-IT","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.coopconsulco.it\/?p=602#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.coopconsulco.it\/?p=602","url":"https:\/\/www.coopconsulco.it\/?p=602","name":"Guida alla nuova privacy - GDPR - Consulco","isPartOf":{"@id":"https:\/\/www.coopconsulco.it\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.coopconsulco.it\/?p=602#primaryimage"},"image":{"@id":"https:\/\/www.coopconsulco.it\/?p=602#primaryimage"},"thumbnailUrl":"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2018\/01\/Privacy.jpg","datePublished":"2018-05-09T12:06:48+00:00","dateModified":"2018-05-13T13:21:59+00:00","breadcrumb":{"@id":"https:\/\/www.coopconsulco.it\/?p=602#breadcrumb"},"inLanguage":"it-IT","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.coopconsulco.it\/?p=602"]}]},{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/www.coopconsulco.it\/?p=602#primaryimage","url":"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2018\/01\/Privacy.jpg","contentUrl":"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2018\/01\/Privacy.jpg","width":350,"height":262},{"@type":"BreadcrumbList","@id":"https:\/\/www.coopconsulco.it\/?p=602#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.coopconsulco.it\/"},{"@type":"ListItem","position":2,"name":"Guida alla nuova privacy &#8211; GDPR"}]},{"@type":"WebSite","@id":"https:\/\/www.coopconsulco.it\/#website","url":"https:\/\/www.coopconsulco.it\/","name":"Consulco","description":"Consulenti in Cooperativa","publisher":{"@id":"https:\/\/www.coopconsulco.it\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.coopconsulco.it\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"it-IT"},{"@type":"Organization","@id":"https:\/\/www.coopconsulco.it\/#organization","name":"Consulco","url":"https:\/\/www.coopconsulco.it\/","logo":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/www.coopconsulco.it\/#\/schema\/logo\/image\/","url":"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2021\/05\/Logo-Consulco-3.png","contentUrl":"https:\/\/www.coopconsulco.it\/wordpress\/wp-content\/uploads\/2021\/05\/Logo-Consulco-3.png","width":3397,"height":1151,"caption":"Consulco"},"image":{"@id":"https:\/\/www.coopconsulco.it\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/consulenza.consulco"]},{"@type":"Person","@id":"https:\/\/www.coopconsulco.it\/#\/schema\/person\/87bbc852207344b1a1c61f1bf523a219","name":"admin","image":{"@type":"ImageObject","inLanguage":"it-IT","@id":"https:\/\/www.coopconsulco.it\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/0bbe2dfc39f9a40c09b87ab3e014b0ecab3ab582483d992bfb076b805b67d3c8?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/0bbe2dfc39f9a40c09b87ab3e014b0ecab3ab582483d992bfb076b805b67d3c8?s=96&d=mm&r=g","caption":"admin"},"url":"https:\/\/www.coopconsulco.it\/?author=1"}]}},"_links":{"self":[{"href":"https:\/\/www.coopconsulco.it\/index.php?rest_route=\/wp\/v2\/posts\/602","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.coopconsulco.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.coopconsulco.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.coopconsulco.it\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.coopconsulco.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=602"}],"version-history":[{"count":16,"href":"https:\/\/www.coopconsulco.it\/index.php?rest_route=\/wp\/v2\/posts\/602\/revisions"}],"predecessor-version":[{"id":628,"href":"https:\/\/www.coopconsulco.it\/index.php?rest_route=\/wp\/v2\/posts\/602\/revisions\/628"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.coopconsulco.it\/index.php?rest_route=\/wp\/v2\/media\/607"}],"wp:attachment":[{"href":"https:\/\/www.coopconsulco.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=602"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.coopconsulco.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=602"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.coopconsulco.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=602"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}