Responsabile del trattamento

• GPDP, Docweb 9768387, 11.5.2022 (2)

  Massima (2) – Qualora il fornitore di un’applicazione web (nel caso di specie, per la gestione delle segnalazioni di illeciti nell’ambito della disciplina in materia di whistleblowing), in qualità di responsabile del trattamento, si avvalga a propria volta di un fornitore del servizio di hosting (nel caso di specie, un servizio di hosting di server virtuali o fisici), quest’ultimo concorre al trattamento dei dati personali del titolare e dovrà pertanto essere designato quale responsabile o sub-responsabile del trattamento ai sensi dell’art. 28, par. 2 e 4, GPDR, in quanto, pur non trattando gli indirizzi IP relativi agli interessati che utilizzano l’applicativo in questione e pur non accedendo direttamente ai dati personali trattati mediante tale applicativo, conserva questi ultimi sulla propria infrastruttura tecnologica e ne garantisce l’integrità e la disponibilità, adottando adeguate misure tecniche e organizzative, assicurando determinati livelli di servizio in termini di disponibilità dei sistemi e mettendo a disposizione dei propri clienti una serie di strumenti per gestire e monitorare il servizio.

• GPDP, Docweb 9768387, 11.5.2022 (1)

  Massima (1) – Il fornitore di servizi che mette a disposizione del titolare del trattamento apposita applicazione web per la gestione delle segnalazioni di illeciti nell’ambito della disciplina in materia di whistleblowing, oltre a dover garantire l’adozione di misure tecniche in grado di garantire l’integrità e la disponibilità dei dati trattati, non può esimersi dalla corretta definizione dei ruoli privacy, disciplinando espressamente il rapporto con eventuali terze parti coinvolte nella gestione delle segnalazioni –  e conseguentemente dei dati ivi contenuti – ed ottenendo la preventiva, quanto necessaria, autorizzazione da parte del titolare del trattamento a tale coinvolgimento al fine di consentire il mantenimento, da parte di quest’ultimo, del pieno controllo dei trattamenti che vengono effettuati per suo conto.

• La corretta definizione dei ruoli privacy, con riferimento alla subfornitura di hosting, nel quadro della disciplina dettata in materia di segnalazioni di condotte illecite (“whistleblowing”)

  GPDP, Docweb n. 9768387 dell’11 maggio 2022 | Massime e Commento di Luca Petrone

• GPDP, Docweb 9698724, 22.7.2021 (4)

  Massima (4) – Il rapporto tra titolare e responsabile deve essere regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati «soltanto su istruzione documentata del titolare» [art. 28, par. 3, lett. a), GDPR].

• GPDP, Docweb 9698724, 22.7.2021 (3)

  Massima (3) – Ai fini del rispetto della normativa in materia di protezione dei dati personali, occorre identificare con precisione i soggetti che, a diverso titolo, possono trattare i dati personali e definire chiaramente le rispettive attribuzioni, in particolare quella di titolare e di responsabile del trattamento e dei soggetti che operano sotto la diretta responsabilità di questi (art. 4, par. 1, n. 7, GDPR). Sul titolare ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una «responsabilità generale» sui trattamenti posti in essere (v. art. 5, par. 2 c.d. «accountability» e 24 GDPR), anche quando questi siano effettuati da altri soggetti “per suo conto” (cons. 81, artt. 4, n. 8) e 28 GDPR).

• La Data Protection fra le strade cittadine: le violazioni del GDPR relative alla “modernizzazione” dei parcometri per la gestione della sosta a pagamento

  GPDP, Docweb n. 9698724 del 22 luglio 2021 | Massime e Commento di Martina Voci

• GPDP, Docweb 9543119, 14.1.2021 (1) 

  Massima (1): Il titolare del trattamento dei dati personali relativo all’istituzione dell’elenco pubblico delle organizzazioni e associazioni legittimate a proporre una “azione di classe” va individuato nel Ministero della Giustizia, presso cui è istituito il predetto elenco, e non nella persona del Direttore generale della competente Direzione, sotto la cui responsabilità gestionale viene tenuto l’elenco medesimo. Ciò non toglie che il Ministero, in qualità di titolare, possa prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la sua autorità (cfr. art. 2 quaterdecies del Codice).

• GPDP, Docweb 9169688, 21.10.2019 (1)

  Massima (1) – Nell’ambito dei bandi di gara aventi ad oggetto la fornitura di servizi assicurativi e nella formalizzazione del successivo rapporto da instaurarsi tra ente aggiudicante e impresa assicuratrice, quest’ultima non va inquadrata nel ruolo di responsabile del trattamento ex art. 28 GDPR, né in quello di contitolare del trattamento, ma quale autonomo titolare del trattamento,in quanto non pone in essere un trattamento di dati “per conto” dell’ente aggiudicante, circostanza questa che, peraltro, priverebbe la società medesima dell’autonomia necessaria ad una corretta valutazione e liquidazione del danno.

• Parere sullo schema di decreto (di natura regolamentare) del Ministero della Giustizia concernente l’istituzione dell’elenco pubblico delle organizzazioni e associazioni legittimate a proporre una “azione di classe”

  GDPD, Docweb n. 9543119 del 14 gennaio 2021 | Massime e Commento di Rosamaria Gallo e Corina Pop

• Ruolo soggettivo dell’impresa assicurativa nell’ambito dei bandi di gara per l’affidamento dei servizi assicurativi

  GPDP, Docweb n. 9169688 del 21 ottobre 2019 | Massime e Commento di Fabio Bravo