La tutela dei dati personali e la libera circolazione degli stessi è una materia che attualmente presenta ampi margini

di incertezza,
a causa delle note vicende legate al coordinamento del Regolamento UE 2016/679 con la legislazione nazionale ed i provvedimenti
del Garante Privacy. Il presente Manuale tratta di questo argomento in chiave divulgativa e la sua modulistica, come ogni altro
modello, offre per definizione delle "proposte tipo", che dovranno essere adattate alle particolari esigenze del caso di specie,
anche tenuto conto delle tipologie di trattamento poste in essere dall’azienda. Vista la complessità della materia, Unioncamere
Lombardia e le singole Camere raccomandano di utilizzare tutti i materiali con attenzione, valutando le soluzioni proposte alla
luce della situazione concreta. Nella messa a punto della modulistica si consiglia, pertanto, di avvalersi dell’assistenza di legali
ed esperti informatici in grado di puntualizzare ogni aspetto tecnico/critico pertinente al caso di specie. Nessuna responsabilità
derivante dall’uso del Manuale e/o dei suoi contenuti, potrà essere imputata ad Unioncamere Lombardia, alle singole Camere o
all’autore del Manuale stesso, salvi i limiti dell’art. 1229 c.c.

PROPRIETÀ RISERVATA © 2020 UNIONCAMERE LOMBARDIA via Ercole Oldofredi, 23 - 20124 Milano. L’acquisizione del presente
Manuale non attribuisce alcun diritto in relazione all’utilizzo dei file e dei loro contenuti, al di fuori della relativa implementazione
per le finalità cui gli stessi sono destinati. L’acquirente non potrà, pertanto, concedere diritti d’uso o assegnare o trasferire licenze
in merito ai presenti file ed ai loro contenuti, da utilizzare/integrare per la compliance al vigente assetto normativo, o per altre
finalità esclusivamente personali, fermo restando il divieto di vendere e/o cedere a qualunque titolo, distribuire, o trarre opere
derivate dal file stesso e dai suoi contenuti. I diritti di commercializzazione, traduzione, riproduzione elettronica totale o parziale
con ogni mezzo, o di adattamento per scopi diversi da quelli connessi all’uso cui è destinato il file ed i suoi contenuti sono riservati.
I contenuti riconducibili alla CNIL, con la quale l’autore, Unioncamere Lombardia o le singole Camere non hanno alcun collega-
mento, sono regolati dalla rispettiva licenza.

-2-
 INDICE
PARTE PRIMA 7

Capitolo 1 7
Regolamento Generale sulla Protezione dei Dati 7
1.1 Introduzione 7
1.1.1 Stato di attuazione 7
1.1.2 Ambito di applicazione territoriale 9
1.1.3 Ambito di applicazione soggettivo 10
1.1.4 Garante Privacy 11
1.1.5 Comitato Europeo per la Protezione dei dati 12
1.2 Glossario 12
1.3 Principi generali del GDPR 16
1.3.1 Sintesi 16
1.3.2 Accountability 17
1.3.3 Privacy by default e by design 18
Capitolo 2 20
I soggetti 20
2. Titolare, Contitolare, Responsabile, DPO e Incaricato del trattamento 20
2.1 Titolare del trattamento 20
2.2 Contitolari del trattamento 21
2.3 Responsabile del trattamento 22
2.4 Responsabile della protezione dei dati (di seguito, “DPO”) 25
2.5 Soggetto Autorizzato/Designato al trattamento (ex Incaricato) 27
Capitolo 3 29
Dati personali 29
3. Dati personali comuni e categorie particolari di dati 29
3.1 Dati personali 29
3.2 Categorie particolari di dati personali (“dati sensibili”) 30
Capitolo 4 32
Condizioni per il trattamento 32
4.1 Liceità del trattamento 32
4.1.1 Trattamento dei dati comuni 32
4.1.2 Trattamento di categorie particolari di dati 33
4.2 Finalità del trattamento 35
4.3 Informativa all’Interessato 35
4.4 Il consenso 37
4.4.1 Nel caso di trattamento di dati comuni 37
4.4.2 Nel caso di trattamento di categorie particolari di dati 40
4.4.3 Consenso del dipendente 40
4.4.4 Consenso rilasciato prima del 25 maggio 2018 40
4.4.5 Consenso on line tramite Double opt-in 41
4.4.6 Marketing Digitale e conformità al GDPR e cookies 41
4.4.7 Consenso al trattamento durante la navigazione web mediante i Cookies 43
4.4.8 Consenso per acquisizione di banche dati a scopo di marketing 45
Capitolo 5 47
Diritti degli interessati 47
5. Diritti degli interessati 47
5.1 Introduzione 47
5.2 Riscontro all’interessato 47
5.2.1 Diritto di accesso 49
5.2.2 Diritto di rettifica 49
5.2.3 Diritto di cancellazione (“oblio”) 49
5.2.4 Diritto di limitazione del trattamento 51
5.2.5 Diritto di opposizione al trattamento 51
5.2.6 Diritto alla portabilità dei dati 52
5.2.7 Diritti riguardo alle decisioni automatizzate 52
Capitolo 6 54

Mappatura dei dati e gestione del rischio 54

6.1 Registro delle attività di trattamento 54

-3-
 6.1.1 Introduzione 54
6.1.2 Quando è obbligatorio 54
6.1.2 Contenuto 55
6.2 Valutazione d’impatto sulla protezione dei dati e consultazione preventiva 56
6.2.1 Valutazione d’impatto sulla protezione dei dati 56
6.2.2 Consultazione preventiva 58
6.3 Notifica della violazione dei dati personali 58
6.3.1 Notifica delle violazioni di dati personali 58
Capitolo 7 61
Aspetti di dettaglio 61
7. Dati trattati dal lavoratore in azienda 61
7.1 Situazioni di emergenza sanitaria 61
7.2 Assunzioni dei dipendenti 62
7.3 Videosorveglianza 62
7.4 Regolamento di posta elettronica ed internet per i dipendenti 63
7.5 Smart Working: privacy e sicurezza dei dispositivi da remoto 65
Capitolo 8 67
Misure di sicurezza 67
8. Misure di sicurezza 67
8.1 Rischio 67
8.2 Misure di sicurezza minime 68
8.3 Misure di sicurezza adeguate 68
Capitolo 9 71
Trasferimenti di dati fuori dall’Unione europea 71
9. Trasferimento di dati personali fuori dall’unione europea 71
9.1 Aspetti introduttivi 71
9.2 Condizioni per il trasferimento 71
9.3 Trasferimento di dati personali verso gli Stati Uniti 73
9.4 Clausole contrattuali standard 73
9.5 Norme vincolanti d’impresa (“Binding Corporate Rules”) 74
9.6 Altre condizioni per il trasferimento 74
Capitolo 10 76

Sanzioni 76
10. Sanzioni 76
10.1 Caratteristiche 76
10.2 Poteri ispettivi e di controllo del Garante Privacy 76
10.3 Sanzioni amministrative 77
10.4 Sanzioni penali del Codice Privacy 78
10.5 Risarcimento del danno 79
PARTE SECONDA 81
Modelli e Materiali 81
11.1 Come utilizzare i materiali 81
11.2 Registro dei trattamenti 82
11.3 Informative ai sensi dell’art. 13 del GDPR 82
11.3.1 Dipendenti/collaboratori 82
11.3.2 Informativa breve per visitatori (COVID-19) 85
11.3.3 Sito Internet aziendale (informativa sito e cookies estesa e breve) 87
11.3.4 Clienti 93
11.3.5 Fornitori 95
11.4 Istruzioni particolari ai Soggetti Autorizzati 97
11.4.1 Autorizzazione generica 97
11.4.2 Autorizzazione per il personale addetto al ricevimento visitatori 98
11.5 Istruzioni generali ai Soggetti Autorizzati (archiviazione, post@, internet) 99
11.6 Nomina dell’Amministratore di Sistema (interno) 104
11.7 Contratti con i Responsabili (esterni) 107
11.7.1 Nomina generica 107
11.8 Sicurezza dei dati 112
11.8.1 Introduzione al provvedimento dell’Autorità francese 112
11.8.2 Sensibilizzare gli utenti 114
11.8.3 Autenticazione degli utenti 116
11.8.4 Gestire i profili di autorizzazione 118

-4-
11.8.5 Tracciare gli accessi e gestire gli incidenti 119
11.8.6 Rendere sicure le postazioni di lavoro 120
11.8.7 Mettere in sicurezza i device mobili 122
11.8.8 Proteggere la rete informatica interna 123
11.8.9 Protezione dei server 124
11.8.10 Siti web sicuri 125
11.8.11 Salvaguardare la continuità aziendale 126
11.8.12 Archiviare in maniera sicura 127
11.8.13 Disciplinare la manutenzione e la distruzione dei dati 128
11.8.14 Gestire la sicurezza dei dati con i Responsabili del trattamento 129
11.8.15 Trasferire, in modo sicuro, i trasferimenti di dati con altri soggetti 130
11.8.16 Protezione dei locali 131
11.8.17 Tutelare lo sviluppo dei progetti informatici 132
11.8.18 Cifrare, garantire l’integrità o firmare 133
11.8.19 Check-list di valutazione e pianificazione delle misure di sicurezza 134
11.8.20 Modello di clausola per la manutenzione spot 140
11.8.21 Modello di disclaimer per e-mail 141

-5-
Il Manuale è stato pensato, in termini generali, per le Micro PMI che svolgono attività ordinarie -
che non riguardano dati particolarmente critici (ad esempio: dati genetici, sanitari, convinzioni
religiose, etc.) o trattamenti fortemente invasivi (ad esempio: attività di profilazione, geo-localiz-
zazione, sistemi per videosorveglianza continuativa di persone, etc.), serve ad aumentare la con-
sapevolezza e a guidare l’azienda nel processo di adeguamento grazie alla relativa modulistica
e a consigli pratici.
Gli aspetti riguardanti il DPO, la valutazione preliminare d’impatto e la comunicazione preventiva
al Garante Privacy e quant’altro riguardi trattamenti di dati sofisticati saranno trattati solo in ter-
mini generali. La loro analisi e gestione non può prescindere da valutazioni effettuate caso per
caso.
Si ricorda che la parte formativa (parte prima) offre una sintesi esposta in modo semplice e com-
prensibile e vengono riportati anche modelli da completare e personalizzare (parte seconda). Per
ogni approfondimento si rinvia alla normativa rilevante, ai pareri del Garante Privacy ed a quelli
del Comitato Europeo per la Protezione del Dati (di seguito, “EDPB”).
Esempi, concetti pratici importanti e raccomandazioni saranno evidenziati graficamente in appo-
siti riquadri, come quello sotto riportato.

Il Manuale è aggiornato alla data del 30 ottobre 2020 ed è soggetto a integrazioni e modifiche alla
luce dell’evoluzione della normativa a livello nazionale ed europeo, nonché di eventuali provve-
dimenti del Garante per la protezione dei dati personali italiano (di seguito, “Garante Privacy”).

Il Manuale è stato curato, su commissione di Unioncamere Lombardia, dall’Avv. Andrea Anto-

gnini – www.antognini.me
Si ringraziano per la collaborazione la dott.ssa Marta Cagnoli ed il dott. Massimiliano Sama.

-6-
 PARTE PRIMA
Capitolo 1
Regolamento Generale sulla Protezione dei Dati
1.1 INTRODUZIONE

1.1.1 Stato di attuazione

Nel 2012 la Commissione europea ha presentato ufficialmente il cosiddetto "pacchetto protezione
dati" finalizzato a garantire un quadro coerente ed un sistema armonizzato in materia nell'Ue.
Il “pacchetto” si compone di due diversi strumenti:
a) una proposta di Regolamento concernente "la tutela delle persone fisiche con riguardo al tratta-
mento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati
personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la Direttiva 95/46;
b) una proposta di Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e
repressione dei crimini, nonché all'esecuzione delle sanzioni penali, che sostituirà (ed integrerà)
la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di po-
lizia e giustizia, che nel presente Manuale non sarà oggetto di trattazione.
Il 4 maggio 2016, sono stati pubblicati sulla Gazzetta Ufficiale dell'Unione europea (GUUE) i testi
del Regolamento Generale sulla Protezione dei Dati (GDPR) e della Direttiva che regola i tratta-
menti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
Il 24 maggio 2016 è entrato ufficialmente in vigore il GDPR, che è definitivamente applicabile - in
via diretta - in tutti i Paesi Unione europea a partire dal 25 maggio 2018.
Ai sensi del GDPR, gli Stati membri hanno dovuto adottare ulteriori misure attuative entro il 25
maggio 2018. In Italia la normativa sulla protezione dei dati era disciplinata dal Codice Privacy.
Pertanto, l’Italia ha dovuto:
• adottare le misure necessarie per adattare la precedente legislazione nazionale abrogando e modifi-
cando le leggi esistenti e, cioè, il Codice Privacy.
• istituire l’autorità nazionale di protezione dei dati (in Italia, è il Garante Privacy).
• scegliere un organismo di accreditamento.
Gli Stati membri hanno margini di manovra normativi in limitati settori (ad esempio: trattamenti
dati in ambito di rapporti di lavoro, libertà di espressione e di informazione, etc.) poiché l’obbiet-
tivo è avere una normativa uniforme in tutta l’Unione europea.

Il legislatore italiano ha adottato le seguenti misure legislative:

1. La Legge 25 ottobre 2017 n. 163 (Legge di Delegazione Europea 2016-2017) che ha confe-
rito delega al governo per adeguare il quadro normativo nazionale alle disposizioni del GDPR
mediante provvedimenti legislativi di modifica del vigente Codice Privacy. Il governo ha dovuto
attenersi nell'esercizio della delega ai seguenti criteri direttivi:
• abrogare/modificare/coordinare le disposizioni del Codice Privacy conformemente a quelle del

-7-
 GDPR;
• prevedere la possibilità che molti dei provvedimenti attuativi e integrativi previsti dal GDPR pos-
sano essere emanati dal Garante con propri atti;
• adeguare il sistema sanzionatorio vigente alle disposizioni del GDPR con previsione di sanzioni
penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione com-
messa. Quindi alle pesanti sanzioni amministrative si affiancheranno anche quelle penali.
2. La Legge 20 novembre 2017 n. 167 (Legge Europea 2017) ha modificato l’art. 29 dell’attuale
Codice della Privacy, che quindi è già in vigore nel testo modificato, integrando alcuni requisiti
della nomina del Responsabile del trattamento previsti dal GDPR.
3. La Legge 27 dicembre 2017, n. 205 (Legge di Bilancio 2018) ha conferito delega al Garante
per la protezione dei dati personali (Garante Privacy) di emanare un proprio provvedimento che:
• disciplini le modalità attraverso le quali il Garante Privacy stesso monitora l'applicazione del GDPR
e vigila sulla sua applicazione;
• disciplina le modalità di verifica ai fini della portabilità dei dati personali trattati per via automatiz-
zata o tramite tecnologie digitali;
• prevede un modello di informativa per trattamenti fondati sull'interesse legittimo del Titolare che
prevede l'uso di nuove tecnologie o di strumenti automatizzati (quindi non su consenso o obbligo
contrattuale);
• definisce linee-guida o buone prassi in materia di trattamento dei dati personali fondato sull'inte-
resse legittimo del Titolare.
• stabilisce un procedimento di comunicazione tempestiva al Garante Privacy in caso di trattamento
fondato sull'interesse legittimo che prevede l'uso di nuove tecnologie o di strumenti automatizzati.

4. Il D.lgs 101/2018 ha armonizzato la normativa nazionale sulla privacy (D.lgs 30 giugno

2003 n.196 - Codice Privacy) al regolamento 679/2016. Tale decreto legislativo ha un duplice
scopo: da un lato, abrogativo avendo abolito alcune disposizioni del vecchio Codice Privacy e,
dall’altro, innovativo, poiché persegue l’obiettivo di adeguare le disposizioni del Codice privacy
ancora in vigore alla luce della nuova disciplina contenuta nel GDPR.

Il decreto citato ha inoltre introdotto un “periodo di grazia” della durata di otto mesi a decorrere
dal 19 settembre 2018 (giorno dell’entrata in vigore del D.lgs 101/2018). Durante questo periodo
di “tolleranza”, il Garante della privacy ha affermato di avere “un occhio di riguardo” nel commi-
nare le sanzioni previste dal GDPR. Il periodo di grazia è terminato il 20 maggio 2019.

Infine, è stato confermato il regime di “doppio binario” che affianca alle sanzioni amministrative
quelle penali.

Attenzione
Conseguentemente il presente Manuale dovrà essere integrato da tutte le modifiche normative
che verranno effettuate dal legislatore italiano in materia di protezione di dati personali menzio-
nate nella presente sezione, oltre ai provvedimenti del Garante Privacy.

-8-
1.1.2 Ambito di applicazione territoriale
Unione europea
Il GDPR si applica, indipendentemente dalla dimensione del Titolare del trattamento, a tutti i dati
di persone fisiche trattati da soggetti stabiliti in uno dei 28 paesi dell’Unione europea a partire dal
25 maggio 2018. Pertanto, le aziende dei seguenti paesi saranno soggette alla medesima norma-
tiva sulla protezione dei dati vigenti in Italia:
Austria, Belgio, Bulgaria, Cipro, Croazia, Danimarca, Estonia, Finlandia, Francia, Germania, Gre-
cia, Irlanda, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo, Regno
Unito, Repubblica Ceca, Romania, Slovacchia, Slovenia, Spagna, Svezia e Ungheria.

Brexit
Il 31 gennaio 2020 il Regno Unito è definitivamente uscito dall’Unione europea. A partire da tale
data è iniziato un periodo di transizione nel quale è prevista l’applicazione delle normative indi-
cate nell’accordo di recesso (compreso il GDPR) solo fino al 31 dicembre 2020.
Al momento in cui si scrive non è chiaro cosa accadrà con l’inizio del 2021 e se il regolamento
europeo troverà applicazione nel Regno Unito anche dopo il periodo di transizione.
Ad ogni modo è importante ricordare che il GDPR si applica ogni qualvolta la base operativa
aziendale è localizzata in territorio UE, oppure quando (nonostante la sede della società si trovi
in territorio extra UE) vengono offerti beni o servizi a cittadini europei o vengono monitorati i loro
comportamenti. Questo significa quindi che, anche una volta terminato il periodo di transizione,
le aziende con sede nel Regno Unito, dovranno comunque applicare il GDPR ai dati appartenenti
ai cittadini europei. Inoltre, se l’azienda inglese ha una sede operativa sul territorio continentale,
dovrà applicare gli standard di protezione previsti dal GDPR a tutti gli utenti, non solo a quelli
europei.
Per quanto riguarda il trasferimento di dati personali di residenti nell’UE verso il Regno Unito, al
verificarsi della Brexit, si attende una decisione di adeguatezza della Commissione in cui venga
riconosciuto che gli standard di protezione e sicurezza del Regno Unito siano allineati a quelli
previsti dal GDPR o in alternativa che venga siglato un accordo tra Europa e Regno Unito.

Spazio Economico Europeo (Area SEE)

Al fine di rendere applicabile il nuovo regolamento europeo anche a Islanda, Liechtenstein e Nor-
vegia (Stati che non sono membri dell’Unione europea ma che fanno parte dell’accordo SEE), la
Commissione europea si è impegnata a portare avanti trattative al fine di integrare il GDPR
nell’accordo SEE.
Il GDPR è stato incorporato nell'accordo SEE ed è diventato applicabile in Norvegia, in Islanda e
Liechtenstein nel luglio 2018, anche in tali Stati vige dunque il GDPR.

Svizzera
La Svizzera non è uno Stato membro dell'Unione europea e dello Spazio Economico Europeo, ma
è uno Stato membro dell'Area Europea di Libero Scambio (AELS) e perciò parte del "mercato

-9-
unico" dell'UE.
La Svizzera, insieme ad altri 12 Paesi non-SEE (tra cui Israele e Giappone e USA), è stata oggetto
di una "decisione di adeguatezza" da parte della Commissione europea che ha dichiarato la con-
formità del diritto svizzero alla normativa UE in ambito di data protection.
La Svizzera, già dal 1992, si era dotata di una propria Legge Federale in materia di protezione dei
dati personali che è stata successivamente revisionata alla luce delle novità normative introdotte
dal regolamento europeo. Poiché la normativa svizzera è stata oggetto di una decisione di ade-
guatezza e il diritto svizzero è stato riconosciuto in grado di garantire un adeguato livello di sicu-
rezza, le società che operano nello Spazio Economico Europeo non sono tenute ad adottare mi-
sure particolari per la salvaguardia dei trasferimenti di dati personali verso la Svizzera e possono
procedere al trasferimento dei dati personali come farebbero all'interno dell’area SEE.

Imprese stabilite al di fuori dell’Unione europea

Il GDPR si applicherà anche alle imprese stabilite al di fuori dell’Unione europea se:
• l’impresa tratta dati personali nell’ambito delle attività di una delle sue filiali stabilite
nell’Unione europea, indipendentemente dal luogo in cui i dati sono trattati;
• l’impresa è stabilita al di fuori dell’Unione europea e offre beni/servizi (a pagamento o gratuiti)
o monitora il comportamento delle persone nell’Unione europea.

Quando si applica il GDPR

Una piccola impresa si occupa di istruzione superiore operando online con sede fuori dell’Unione
europea e che si rivolge principalmente alle università di lingua italiana. Tale impresa offre con-
sulenza gratuita su alcuni corsi universitari e gli studenti accedono al materiale online mediante
nome utente e password, che offre l’impresa. Il GDPR si applica.

Quando non si applica il GDPR

L’impresa ha sede al di fuori dell’Unione europea e fornisce servizi a clienti localizzati fuori
dell’Unione. I clienti possono utilizzare tali servizi quando viaggiano in altri paesi, anche all’in-
terno dell’Unione europea. Se i servizi di tale impresa non si rivolgono specificamente a persone
fisiche localizzate nell’Unione europea, il GDPR non si applica.

1.1.3 Ambito di applicazione soggettivo

Il GDPR disciplina il trattamento dei dati personali relativi alle persone fisiche nell'Unione euro-
pea, da parte di persone, società od organizzazioni e non si applica al trattamento dei dati perso-
nali di persone decedute o di persone giuridiche. I dati personali delle persone decedute sono
però disciplinati attualmente disciplinati dal Codice Privacy (art. 2-terdecies).
Le sue norme non si applicano ai dati trattati da un individuo per motivi strettamente personali o
per attività svolte in ambito domestico, a condizione che non vi sia alcun legame con attività pro-
fessionali o commerciali svolte. Quando invece una persona utilizza i dati personali al di fuori
della “sfera personale”, ad esempio per attività socioculturali o finanziarie, allora occorre

- 10 -
rispettare la normativa sulla protezione dei dati.

Quando si applica il GDPR

Una società con sede nell’Unione europea fornisce servizi di viaggio a clienti che risiedono nei
paesi baltici e a tale scopo tratta i dati personali delle persone fisiche.

Quando non si applica il GDPR

Una persona utilizza la propria rubrica privata per invitare gli amici, via e-mail e per telefono, alla
festa del suo compleanno (eccezione domestica).

A seguito delle modifiche apportate dalla legge 22 dicembre 2011, n. 214 (c.d. Salva Italia), il trat-
tamento dei dati riferibili alle persone giuridiche, enti o associazioni non è più soggetto, salvo in
caso di ditte individuali ed i professionisti (che esercitano in forma individuale), alla disciplina
dettata dalla normativa sulla protezione dei dati1. A tale regola generale fanno eccezione alcune
diposizioni particolari in tema di “comunicazioni indesiderate” nelle comunicazioni elettroniche2
e, cioè, ad esempio i trattamenti di dati via e-mail.

1.1.4 Garante Privacy

Il Garante Privacy è un’autorità pubblica indipendente che vigila, tramite i poteri investigativi e
correttivi, sull’applicazione della normativa sulla protezione dei dati. Fornisce una consulenza
specialistica sulle questioni legate alla protezione dei dati e gestisce i reclami presentati contro
le violazioni del GDPR e delle leggi nazionali pertinenti.
È, altresì, il punto di contatto principale per le domande sulla protezione dei dati. Tuttavia, se
l’impresa opera e conseguentemente tratta dati in diversi Stati membri dell'Unione europea o fa
parte di un gruppo di società con sede in diversi Stati membri dell'Unione europea, il punto di
contatto principale potrebbe essere un’altra autorità in un altro Stato membro dell'Unione euro-
pea.
Il Garante Privacy si occupa anche dell’irrogazione delle sanzioni amministrative pecuniarie nei
confronti delle imprese. Inoltre, se fossero coinvolti interessati situati in altri Stati membri è pos-
sibile che l’impresa italiana venga coinvolta in procedimenti presso autorità privacy di altri Stati
o tribunali di altri Stati.
Il Garante Privacy ha il seguente indirizzo web: www.garanteprivacy.it dove è possibile trovare
gli aggiornamenti sul GDPR nella sezione dedicata: www.garanteprivacy.it/regolamentoue.

1Secondo il Garante Privacy per i liberi professionisti e le imprese individuali continua a trovare integrale applicazione la disciplina
di protezione dei dati personali (cfr. pareri 9 febbraio 2012, doc. web n. 1876517; 25 giugno 2015, doc. web n. 4169267, punto 2;
provv.ti 8 ottobre 2015, n. 523, doc. web n. 4349760, punto 5; 23 ottobre 2014, doc. web n. 3676822; provv.ti 23 gennaio 2014, n. 30,
doc. web n. 2927848; 21 marzo 2012, doc. web n. 1895176; 15 dicembre 2011, doc. web n. 1883880). E da ultimo il provvedimento
del 12 gennaio 2017 sul trattamento di dati personali per finalità di marketing.

- 11 -
1.1.5 Comitato Europeo per la Protezione dei dati
Il comitato europeo per la protezione dei dati (European Data Protection Board, di seguito
“EDPB”), a partire dal 25 maggio 2018, ha sostituito il Gruppo Art. 29 formato dai singoli Garanti
nazionali, istituito dalla direttiva europea privacy del 1995.
L’EDPB è un organismo dell’Unione dotato di personalità giuridica composto da un’autorità di
controllo per ciascuno Stato Membro dell’Unione europea e dal Garante Europeo della Protezione
dei dati.
L’EDPB garantisce l’applicazione coerente del GDPR. A tal fine, il comitato, di propria iniziativa o,
se del caso, su richiesta della Commissione, può emettere anche delle linee guida.
Principali linee guida emanate dal Gruppo Art.293:
• Consenso ai sensi del GDPR (wp259rev.01);
• Processi decisionali e profiling individuali automatizzati (wp251rev.01);
• Notifica delle violazioni dei dati personali ai sensi del Regolamento 2016/679 (wp250rev.01);
• Applicazione e l'impostazione delle sanzioni amministrative (wp253);
• Autorità di controllo capofila (wp244rev.01);
• Responsabili della protezione dei dati (di seguito, “DPO") (wp243rev.01);
• Portabilità dei dati (wp242rev.01);
• Valutazione dell'impatto sulla protezione dei dati (DPIA) (wp248rev.01).

Principali linee guida emanate dal EDPB:

• Linee guida sul consenso secondo il Regolamento 2016/679
• Linee guida sul trattmento di dati personali attraverso supporti video
• Linee guida sull’ambito territoriale di applicazione del regolamento 2016/679
• Linee guida sul trattamento di dati personali ai sensi dell’art.6, paragrafo 1, lettera b) del
regolamento nel contesto della fornitura di servizi online agli interessati
• Linee guida relative all’accreditamento degli organismi di certificazione ai sensi dell’art. 43 del
Regolamento 2016/679

1.2 GLOSSARIO
Il Glossario che segue consente di dare una panoramica dei concetti chiave della privacy. Se ne
consiglia la lettura in quanto permette di assimilare velocemente alcuni concetti fondamentali.
Archivio
Qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipen-
dentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo fun-
zionale o geografico.
Accountability
Tradotto in italiano come “responsabilizzazione”, implica che le imprese in qualità di Titolari o di
Responsabili del trattamento sono direttamente “responsabili” del rispetto di tutti i principi in
materia di protezione dei dati e devono dimostrare la loro conformità. Vi è quindi implicito il con-
cetto di “rendicontazione” cioè di dover rendere conto del proprio operato ex post, fornendo ade-
guata documentazione. Il GDPR pone con forza l’accento sulla “responsabilizzazione” di titolari e
3
Consultabili in inglese al link: http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360

- 12 -
responsabili, ossia, sull’ adozione di comportamenti proattivi e tali da dimostrare la concreta
adozione di misure di implementazione del GDPR.
Consenso
La libera manifestazione di volontà dell'interessato con cui questi accetta espressamente un de-
terminato trattamento dei suoi dati personali, del quale è stato preventivamente informato da chi
ha un potere decisionale sul trattamento.
Dato personale
Qualsiasi informazione che riguardi persone fisiche identificate o che possono essere identificate
(Interessati) anche attraverso altre informazioni, ad esempio, attraverso un numero o un codice
identificativo.
Sono, ad esempio, dati personali: il nome e cognome o denominazione; l'indirizzo, il codice fi-
scale; ma anche un'immagine, la registrazione della voce di una persona, la sua impronta digi-
tale, i dati sanitari, i dati bancari, l’indirizzo IP di navigazione, etc.
Dato sensibile
Un dato personale che, per la sua natura, richiede particolari cautele: sono dati sensibili quelli
che possono rivelare l'origine razziale ed etnica, le convinzioni religiose o di altra natura, le opi-
nioni politiche, l'adesione a partiti, sindacati o associazioni, lo stato di salute e la vita sessuale
delle persone. Al concetto di dato sensibile del Codice Privacy si sostituisce la categoria di dati
particolari (v. seguente).
Categorie particolari di dati personali
Dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose
o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a
identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'o-
rientamento sessuale della persona.
Dato giudiziario
I dati personali che rivelano l'esistenza di determinati provvedimenti giudiziari soggetti ad iscri-
zione nel casellario giudiziale (quali, ad es., i provvedimenti penali di condanna definitivi, la libe-
razione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione).
Rientrano in questa categoria anche la qualità di imputato o di indagato. I dati riguardanti prov-
vedimenti di natura non penale non sono considerati dati giudiziari.
Diffusione (vedi Trattamento)
Divulgare dati personali al pubblico o, comunque, ad un numero indeterminato di soggetti (ad
esempio, è diffusione la pubblicazione di dati personali su un quotidiano o su una pagina web). È
un’operazione di trattamento diversa dalla comunicazione.
Diritti dell'interessato
La normativa sulla protezione dei dai personali riconosce all'interessato una serie di diritti che
esulano dal semplice concetto di privacy come “diritto ad essere lasciato in pace”.
Garante Privacy
Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita
dalla legge sulla privacy (legge n. 675 del 31 dicembre 1996, oggi confluita nel Codice).
- 13 -
L'istituzione di analoghe autorità è prevista in tutti gli altri Paesi membri dell'Unione europea
(articolo 8 della Carta dei diritti fondamentali dell'Unione europea). Il Garante ha il compito di
assicurare la tutela dei diritti e delle libertà fondamentali nel trattamento dei dati personali ed il
rispetto della dignità della persona. Si compone di quattro membri eletti dal Parlamento, ha sede
a Roma, in Piazza di Monte Citorio, 121. Alle sue dipendenze è posto un Ufficio con un organico di
4
125 unità .
Autorizzato (del trattamento)
Il dipendente o il collaboratore che per conto della struttura del Titolare elabora o utilizza mate-
rialmente i dati personali sulla base delle istruzioni ricevute dal Titolare medesimo (e/o dal re-
sponsabile, se designato).
Informativa
Le informazioni che il Titolare del trattamento deve fornire ad ogni interessato, verbalmente o
per iscritto quando i dati sono raccolti presso l'interessato stesso, oppure presso terzi. L'infor-
mativa deve precisare sinteticamente e in modo colloquiale quali sono gli scopi e le modalità del
trattamento; se l'interessato è obbligato o no a fornire i dati; quali sono le conseguenze se i dati
non vengono forniti; a chi possono essere comunicati o diffusi i dati; quali sono i diritti riconosciuti
all'interessato; chi sono il Titolare, l'eventuale Responsabile del trattamento, l’eventuale DPO e
dove sono raggiungibili (ad esempio: indirizzo, telefono, fax, etc.), per citarne alcuni.
Interessato
La persona fisica cui si riferiscono i dati personali trattati dalle imprese. In Italia, secondo l’inter-
pretazione del Garante Privacy (espressa sotto la vigenza del Codice Privacy) sono da considerare
Interessati anche le imprese individuali ed i professionisti.
Misure di sicurezza
Sono tutti gli accorgimenti tecnici ed organizzativi, i dispositivi elettronici o i programmi informa-
tici utilizzati per garantire che i dati non vadano distrutti o persi anche in modo accidentale, che
solo le persone autorizzate possano avere accesso ai dati e che non siano effettuati trattamenti
contrari alle norme di legge o diversi da quelli per cui i dati erano stati raccolti.
Privacy e Sicurezza
Privacy è un termine inglese che evoca significati a volte mutevoli, accostabile ai concetti di "ri-
servatezza" e "privatezza”. Il diritto alla privacy e, in particolare, alla protezione dei dati personali
costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità
umana, come sancito anche dalla Carta dei diritti fondamentali dell'Unione europea. La man-
canza di privacy, come recenti casi di cronaca insegnano anche in ambito elettorale, mina alla
base i fondamenti delle moderne società democratiche5.
La privacy deve essere oggi concepita come una politica di gestione delle informazioni che ne
vieta l’accesso a soggetti non autorizzati e che può essere compromessa da falle nei sistemi di
sicurezza dell’organizzazione. Privacy e sicurezza, insieme sono le fondamenta del rapporto di

4
Sito web ufficiale: www.garanteprivacy.it.
5
. Nella realtà contemporanea, con il concetto di privacy non si intende soltanto il diritto di essere lasciati in pace o di proteggere
la propria sfera privata, ma soprattutto il diritto di controllare l'uso e la circolazione dei propri dati personali che costituiscono il
bene primario dell'attuale società dell'informazione.

- 14 -
fiducia tra un’organizzazione e i suoi utenti.
Pseudonimizzazione
La pseudonimizzazione è un trattamento dei dati personali che rende i dati personali non più
attribuibili ad uno specifico interessato senza l’integrazione di informazioni aggiuntive (che de-
vono essere separatamente conservate). In altre parole, la pseudonimizzazione è un procedi-
mento che consiste nella de-identificazione dei dati che non rende più possibile direttamente
risalire ai soggetti a cui i dati si riferiscono senza l’implementazione di informazioni aggiuntive e
attraverso un successivo procedimento di re-identificazione.
I dati sottoposti a procedimento di pseudonimizzazione ricadono nell’ambito di applicazione della
normativa europea come disposto nel Considerando 26 del GDPR.
Al procedimento di pseudonimizzazione si contrappone l’irreversibile procedimento di anonimiz-
zazione dei dati che rende impossibile, anche con l’aggiunta di nuove e ulteriori informazioni,
risalire all’identità dei soggetti (un esempio di dati anonimizzati sono i dati aggregati, che per-
mettono di analizzare i numeri relativi una specifica situazione – analisi di mercato – senza in
alcun modo risalire all’identità dei singoli soggetti coinvolti).
La principale distinzione tra pseudonimizzazione e anonimizzazione dei dati sta nell’irreversibi-
lità del procedimento di anonimizzazione.
I dati anonimizzati sono fuori dall’ambito di applicazione del GDPR e pertanto il loro utilizzo non
è soggetto alle disposizioni di cui tratta questo manuale.
Rappresentante del trattamento dei dati
La persona fisica o giuridica stabilita nell’Unione europea che, designata dal Titolare del tratta-
mento o dal Responsabile del trattamento per iscritto ai sensi dell’articolo 27 del GDPR, li rap-
presenta per quanto riguarda gli obblighi rispettivi a norma in materia di protezione dei dati per-
sonali sul territorio dell’Unione europea.
Responsabile del trattamento dei dati
La persona, la società, l'ente, l'associazione o l'organismo cui il Titolare affida all'esterno dell’im-
presa per la particolare esperienza o capacità, compiti di gestione e controllo del trattamento dei
dati. La designazione del Responsabile è obbligatoria ai sensi dell’art 28 del GDPR.
Responsabile della protezione dei dati, anche detto “DPO”
Figura di recente introduzione, il Responsabile della protezione dei dati (detto DPO utilizzando la
terminologia anglosassone diventata di uso comune: Data Processor Officer) è una figura chiave
per i trattamenti effettuati in particolari settori o da particolari soggetti. In questi casi, il Titolare o
il Responsabile dovrebbe essere assistito da una persona che abbia una conoscenza specialistica
della normativa e delle pratiche in materia di protezione dei dati nel controllo del rispetto a livello
interno del GDPR. Tali DPO, dipendenti o meno del Titolare del trattamento, devono poter adem-
piere alle funzioni e ai compiti assegnati dal GDPR in maniera indipendente.
Titolare del trattamento
La persona fisica, l'impresa, l'ente, l'associazione, etc., cui fa capo, singolarmente od eventual-
mente insieme ad altri (Contitolari del trattamento), il trattamento dei dati personali e a cui spetta
assumere le decisioni fondamentali sulle finalità e sulle modalità del trattamento medesimo
(comprese le misure di sicurezza)

- 15 -
Nei casi in cui il trattamento sia svolto da una società o da un’associazione per Titolare va intesa
l'entità nel suo complesso e non l'individuo o l'organo che l'amministra o la rappresenta (ad
esempio: presidente, amministratore delegato, sindaco, ministro, direttore generale, etc.). I casi
in cui il trattamento può essere imputabile ad un individuo riguardano semmai i liberi professio-
nisti o le imprese individuali.
Impresa
La persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti
un’attività economica, comprendente le società di persone o le associazioni che esercitano rego-
larmente un’attività economica.
Trattamento (di dati personali)
Un'operazione o un complesso di operazioni che hanno per oggetto dati personali. La definizione
è molto ampia, perché comprende la raccolta, la registrazione, l'organizzazione, la conserva-
zione, la modificazione, la selezione, l'estrazione, l'utilizzo, il blocco, la comunicazione, la diffu-
sione, la cancellazione e la distruzione di dati. Ciascuna di tali operazioni è una forma di tratta-
mento di dati.
Violazione (dei dati personali)
La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la per-
dita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conser-
vati o comunque trattati.

1.3 PRINCIPI GENERALI DEL GDPR

1.3.1 Sintesi
I principi generali in tema di protezione dei dati personali rappresentano lo strumento principale
per verificare la conformità dei trattamenti dei dati personali effettuati dalle imprese alla disci-
plina prevista dal GDPR o le relative norme attuative del GDPR che dovranno essere adottati dagli
Stati Membri dell’Unione europea, inclusa l’Italia.
I principi generali sono i seguenti.
1) Il diritto alla protezione dei dati personali: diritto fondamentale degli individui, tutte le persone
fisiche ne godono, anche professionisti e imprese individuali.
2) Il principio di liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo le-
cito, secondo correttezza e trasparenza nei confronti dell’interessato.
3) Il principio di limitazione della finalità: i dati personali vanno raccolti per finalità determinate, espli-
cite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità. È
prevista un’eccezione solamente nel caso in cui vi sia un ulteriore trattamento per finalità di ricerca
scientifica o storica, a fini statistici o per fini di archiviazione nel pubblico interesse.
4) Il principio di minimizzazione dei dati: i dati personali vanno utilizzati solo se indispensabili per
raggiungere le finalità concrete nei singoli casi.
5) Il principio di finalità: il trattamento dei dati personali deve avvenire per specifiche, legittime e
manifeste finalità. Ad es. un dato reperito in un elenco pubblico non può essere utilizzato per qual-
siasi finalità rispetto a quelle all’origine della raccolta.
6) Il principio di esattezza e aggiornamento dei dati: l’impresa deve adottare tutte le misure ragione-
voli per cancellare o rettificare tempestivamente i dati personali inesatti rispetto alle finalità per le
quali sono stati raccolti e trattati o a seguito di richieste dell’interessato.

- 16 -
7) Il principio di limitazione della conservazione dei dati: i dati personali vanno raccolti in una forma
che consenta l’identificazione degli Interessati per un arco di tempo necessario a realizzare le
finalità del trattamento. Sono previste eccezioni per finalità legate al pubblico interesse.
8) Il principio dell’integrità e della riservatezza: l’impresa deve garantire un’adeguata sicurezza dei
dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da
trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale.
9) Il principio di pertinenza e non eccedenza: i dati personali devono essere pertinenti e non superflui
rispetto alle finalità dichiarate.

Oltre alle sanzioni, non sottovalutare il blocco della banca dati

La violazione di uno di questi principi da parte dell’impresa espone l’azienda all’inutilizzabilità
dei dati raccolti, nonché al rischio di applicazione di sanzioni amministrative pecuniarie per il
trattamento effettuato in violazione del principio, oltre ad eventuali sanzioni penali ed a richieste
di risarcimento danni in sede giudiziale civile.

Liceità del trattamento

L’impresa gestisce un’agenzia di comunicazione. Quando raccoglie i dati personali dei clienti,
deve spiegare in modo chiaro e semplice perché ha bisogno di questi dati, come li userà e per
quanto tempo intende conservarli (tramite l’informativa). Il trattamento deve essere effettuato in
modo da rispettare i principi fondamentali della protezione dei dati. L’impresa deve essere in
grado, successivamente, di dimostrare di avere fornito, all’interessato, le informazioni richieste
dalla legge.

1.3.2 Accountability
L’accountability è forse la più grande innovazione del GDPR. Questo principio è stato tradotto in
italiano con il termine di responsabilizzazione6 ma contiene, al suo interno, anche l’obbligo, da
parte del Titolare/Responsabile, di rendere il conto del proprio operato, se necessario. Da ciò ne
deriva che l’impresa dovrà predisporre un modello organizzativo ritenuto adeguato al proprio
trattamento che dovrà essere “spiegato” e motivato nel corso di eventuali verifiche o ispezioni da
parte del Garante Privacy.
In sostanza l’onere della prova di essere conformi al GDPR (ed alle altre norme privacy) è in capo
al Titolare ed al Responsabile, per quanto di propria competenza. Infatti, le imprese in qualità di
Titolari o di Responsabili del trattamento sono direttamente “responsabili del rispetto di tutti i
principi in materia di protezione dei dati e devono dimostrare la loro conformità. Il GDPR pone
con forza l’accento sulla “responsabilizzazione” di titolari e responsabili, ossia sull’adozione di
comportamenti proattivi e tali da dimostrare la concreta adozione di misure di implementazione
del GDPR.

6
Il termine inglese “accountability” (responsabilità) proviene dal mondo anglosassone, dove è di uso comune e dove il suo
significato è ampiamente compreso e condiviso. Ciononostante, risulta complesso definire che cosa esattamente significhi
“accountability” in pratica. In generale, comunque, l’accento è posto sulla dimostrazione di come viene esercitata la responsabilità
e sulla sua verificabilità. La responsabilità e l'obbligo di rendere conto sono due facce della stessa medaglia ed entrambe sono
elementi essenziali di una buona governance. Solo quando si dimostra che la responsabilità funziona effettivamente nella pratica
può instaurarsi un livello di fiducia sufficiente.

- 17 -
La novità rispetto al Codice Privacy: i Titolari decidono autonomamente le modalità, le garanzie e
i limiti del trattamento dei dati personali nel rispetto delle disposizioni del GDPR. Secondo il
GDPR, ad esempio, in casi specifici, può essere obbligatoria la nomina di un DPO o l’esecuzione
di valutazioni d’impatto sulla protezione dei dati. Per dimostrare la conformità ai principi della
protezione dei dati, i Titolari del trattamento possono scegliere di utilizzare altri strumenti, quali
codici di condotta e meccanismi di certificazione.
Le imprese in qualità di Titolari o Responsabili del trattamento potranno aderire, quando saranno
disponibili, a:
• codici di condotta predisposti da un’associazione di imprese approvati dal Garante Privacy
(con validità nazionale) oppure dalla Commissione europea (con validità internazionale). I
codici di condotta sono strumenti di auto-disciplina che consentono a rappresentanti e
associazioni di categoria di definire regole interne di protezione dei dati personali. La finalità
dei codici di condotta è quella di raccogliere regole comuni che applichino in modo efficace il
GDPR, in base alle esigenze specifiche del singolo settore di attività. Il 12 febbraio 2019 sono
state adottate dal Comitato Europeo per la Protezione dei Dati (EDPB) delle linee guida in
materia di codici di condotta allo scopo di promuovere ed incentivare lo sviluppo di questi
sistemi di auto-regolamentazione e delineando i contenuti minimi che devono prevedere, le
procedure e le norme relative alla loro presentazione e alla successiva approvazione e
pubblicazione dei codici di condotta sia a livello nazionale che a livello europeo.
• sistemi di certificazione gestiti da organismi di certificazione dal Garante e/o da un organismo
nazionale di accreditamento.
Sia il codice di condotta che la certificazione sono strumenti volontari: spetta alle imprese deci-
dere se aderire a un determinato codice di condotta o richiedere la certificazione. Tali attività,
ovviamente, saranno tenute in debita considerazione dal Garante Privacy in caso di controlli od
accertamenti.

Accountability
Il 12 dicembre 2019 il Garante per la protezione dei dati personali, ai sensi dell’art. 20 del D.lgs
101/2018 ha approvato il codice di condotta per i sistemi informativi gestiti da soggetti privati in
tema di crediti al consumo, affidabilità e puntualità nei pagamenti nella versione a lui inviata in
data 10 settembre 2019. Le organizzazioni operanti in tale settore potranno quindi decidere di
aderirvi, allineandosi alle linee guida sancite dal codice7.

1.3.3 Privacy by default e by design

Due ulteriori principi introdotti dalla nuova normativa sulla protezione dei dati sono i seguenti:
protezione dei dati sin dalla progettazione (privacy by design) e protezione dei dati per imposta-
zione predefinita (privacy by default).
Il primo prevede che le imprese siano obbligate a mettere in atto misure tecniche e organizzative,
fin dalle prime fasi della progettazione, delle operazioni di trattamento (ad esempio:

7
Nel codice di condotta i termini di conservazione dei dati censiti e interrogabili on line, prevedono una più consistente profondità
temporale (10 anni) per la conservazione dei c.d. dati off line; questi potranno essere utilizzati per analisi statistiche e per la
costruzione di modelli predettivi, ma soltanto attraverso “opportune tecniche di cripting o pseudoanonimizzazione.

- 18 -
pseudonimizzazione, minimizzazione dei dati, etc.), in modo da salvaguardare, fin dall’inizio, i
principi di tutela della vita privata e di protezione dei dati personali (privacy by design).
Il secondo prevede che le imprese debbano garantire che i dati personali siano trattati in modo
da garantire la massima tutela della vita privata (ad esempio prevedendo il trattamento solo dei
dati necessari e stabilendo un breve periodo di conservazione e un’accessibilità limitata, etc.) in
modo che, per impostazione predefinita, vengano trattati solo i dati personali necessari per ogni
specifica finalità di trattamento (privacy by default).
Pertanto, vi è la necessità di configurare il trattamento prevedendo sin dall’inizio le garanzie in-
dispensabili “al fine di soddisfare i requisiti” del GDPR e tutelare i diritti degli Interessati, tenendo
conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà
degli Interessati. Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati
e richiede un’analisi preventiva e un impegno applicativo da parte dei Titolari/Responsabili che
devono sostanziarsi in una serie di attività specifiche e dimostrabili.
Tali impatti dovranno essere analizzati, dal Titolare del trattamento, attraverso un apposito pro-
cesso di valutazione tenendo conto dei rischi noti e delle misure tecniche ed organizzative (anche
di sicurezza) che ritiene necessario adottare al fine di mitigare tali rischi. All’esito di questa va-
lutazione il Titolare potrà decidere in autonomia se iniziare il trattamento – avendo adottato le
misure idonee a limitare sufficientemente il rischio – ovvero consultare il Garante Privacy per
ottenere indicazioni su come gestire il rischio residuo.
Il Garante, in assenza di rischi elevati, non avrà più il compito di “autorizzare” il trattamento ed il
suo intervento sarà successivo alla scelta svolta in autonomia dal Titolare: viene quindi meno
l’obbligo di notifica preventiva al Garante Privacy e il cosiddetto prior checking (o verifica prelimi-
nare), che ha fatto perdere molto tempo alle imprese italiane.

Privacy by design
L’uso della pseudonimizzazione (sostituzione del dato che identifica una persona con altri iden-
tificativi: codice alfanumerico) e della cifratura (codifica dei messaggi in modo che solo i soggetti
autorizzati possano leggerli).

Privacy by default
Una piattaforma social deve impostare il profilo degli utenti in modo da proteggere i dati personali
degli individui, ad esempio limitando fin dall’inizio l’accessibilità del profilo degli utenti, in modo
che non sia accessibile di default a un numero indefinito di persone.

- 19 -
 Capitolo 2
I soggetti
2. TITOLARE, CONTITOLARE, RESPONSABILE, DPO E INCARICATO DEL TRATTAMENTO
Il GDPR ha sostanzialmente confermato i ruoli privacy, introducendo come elemento di novità la
figura del Contitolare del trattamento, e dettando una disciplina dettagliata sull’atto di designa-
zione del soggetto che tratta i dati per suo conto: il Responsabile del trattamento. La nomina a
Responsabile può prevedere anche la nomina di sub-Responsabili del trattamento (cioè soggetti
incaricati direttamente dal Responsabile), come vedremo meglio in seguito.
La possibilità di attribuire specifiche funzioni e compiti a soggetti designati dal titolare o dal re-
sponsabile, assimilabili al ruolo di Incaricati del trattamento, è ora previsto dall’art. 2-quaterde-
cies del Codice Privacy, introdotto dal D.lgs. 10 agosto 2018, n. 101). Secondo il Garante Privacy il
GDPR non ne esclude la presenza in quanto fa riferimento a "persone autorizzate al trattamento
dei dati personali sotto l'autorità diretta del titolare o del responsabile" (si veda, in particolare,
art. 4, n. 10, del GDPR).
Questi soggetti sono di norma i dipendenti dell’azienda.
La catena dei soggetti privacy, che deve essere documentata, rappresenta un parametro per de-
terminare l’accountability del Titolare.

2.1 Titolare del trattamento

Per avere una mappatura privacy corretta è necessario porsi delle domande ed avere chiaro chi
è il soggetto che tratta i dati, quali dati sono trattati, dove, per quale motivo, fino a quando i dati
sono trattati e conservati. Le risposte a queste domande devono essere annotate in un registro
apposito e/o in diversi testi contrattuali e devono essere scritte utilizzando la terminologia propria
del GDPR.
Per ciascun soggetto privacy – Titolare, Responsabile e soggetti autorizzati (questi ultimi sotto il
Codice Privacy vengono definiti “Incaricati”) – le funzioni ed i gradi di responsabilità variano in
relazione alla attività in concreto svolta.
Il Titolare del trattamento (“Data Controller” in inglese) è il soggetto che esercita il potere decisio-
nale sulle finalità (cioè sul perché i dati personali sono raccolti) e sulle modalità del trattamento
(cioè su come sono trattati tali dati). La qualità di Titolare non può essere liberamente determinata
dai contraenti, ma discende direttamente dai poteri che si esercitano sui dati.
Il Titolare del trattamento può essere:
• la persona fisica (ad esempio, l’imprenditore individuale)
• la persona giuridica (ad esempio, una SNC, SRL, SPA)
• il servizio (ad esempio il fornitore di e-book)
• un altro organismo che, singolarmente o insieme ad altri,
che “tratta” i dati personali e cioè, ad esempio, li raccoglie, li registra, li conserva, li comunica a

- 20 -
soggetti determinati o li diffonde a soggetti indeterminati (ad esempio pubblicandoli su Internet)8.
Il Titolare del trattamento è tenuto a mettere in atto le misure adeguate ed efficaci e deve essere
in grado di dimostrare la conformità delle attività di trattamento con la nuova normativa sulla
protezione dei dati, compresa l’efficacia delle misure. Tali misure dovrebbero tener conto della
natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio
per i diritti e le libertà delle persone fisiche.
Il Titolare del trattamento deve assicurare, tra l’altro, l’osservanza dei principi di privacy by design
e by default.
I dipendenti che trattano dati personali all’interno dell’impresa per svolgere le mansioni loro at-
tribuite dal datore di lavoro (il Titolare) non ne sono in alcun modo responsabili, salvo non agi-
scano al di fuori di tali istruzioni.

Titolare del trattamento

Un’impresa edile (Titolare del trattamento) utilizza un subappaltatore per determinati lavori e gli
fornisce i dati di contatto dei clienti per i quali eseguire tali lavori. Il subappaltatore utilizza i dati
personali anche per inviare proprio materiale marketing, ai clienti dell’impresa edile, per ulteriori
servizi. Il subappaltatore in questo caso, per i servizi ulteriori, non può essere considerato un
semplice “Responsabile del trattamento” ai sensi del GDPR, poiché non tratta i dati personali solo
per conto dell’impresa edile, ma anche per una propria finalità. Per quest’ultima finalità, il su-
bappaltatore assume pertanto la veste di “Titolare del trattamento”. Vedremo fra poco chi è il
Responsabile del trattamento.

2.2 Contitolari del trattamento

Quando due o più Titolari del trattamento determinano congiuntamente le finalità e i mezzi del
trattamento, essi sono Contitolari del trattamento. Essi determinano in modo trasparente, me-
diante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi de-
rivanti dal GDPR. Nel caso si verifichi tale situazione vi è un obbligo giuridico di predisporre un
contratto tra Contitolari.
Supponiamo che nell’ambito di una joint venture (di seguito, “JV”) siano trattati i dati di clienti
(persone fisiche) da entrambi i partecipanti alla JV in modo autonomo ed indipendente. In questo
caso si realizza una situazione di contitolarità, in cui vi sono soggetti indipendenti – ad esempio
due distinte società - animate da finalità e mezzi di trattamento autonomi. Questa situazione è
molto delicata poiché bisogna comprendere e regolamentare la situazione in modo trasparente
e avendo cura che siano correttamente allocati i benefici (di chi sono i dati personali raccolti?), i
compiti e le responsabilità (se il Garante Privacy sanziona o viene instaurata una causa contro i
Titolari, in ultima analisi, chi paga?).
I Contitolari del trattamento definiscono congiuntamente finalità ed i mezzi del trattamento dei

8
Si ricorda la definizione di trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi
automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la
strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la
cancellazione o la distruzione di dati personali.

- 21 -
dati personali.
Se di fatto ciò non avviene, la designazione del Contitolare del trattamento privo di effettivo potere
dovrà essere considerata "nulla": un organismo che non ha un'influenza, né giuridica né di fatto,
per determinare le modalità e/o le finalità del trattamento dei dati non può in effetti essere con-
siderato il Contitolare del trattamento.
I Contitolari del trattamento determinano in modo trasparente chi deve garantire l’esercizio dei
diritti degli Interessati e le rispettive funzioni di comunicazione delle informazioni. Tale accordo
può individuare un punto di contatto per gli Interessati.
Inoltre, la normativa sulla protezione dei dati personali prevede che gli aspetti principali dell’ac-
cordo devono essere comunicati agli Interessati.

Contitolare del trattamento

L’impresa A offre i suoi servizi di babysitting tramite una piattaforma online. Allo stesso tempo,
l’impresa B, sfruttando la stessa piattaforma offre servizi a valore aggiunto. Questi servizi inclu-
dono la possibilità per i suoi utenti non solo di avere una babysitter, ma anche di noleggiare giochi
e DVD che la baby-sitter può portare con sé. Entrambe le imprese sono coinvolte nella configu-
razione del sito web. In questo caso, le due imprese hanno deciso di utilizzare la piattaforma per
entrambi gli scopi (servizi di babysitting e noleggio di DVD/giochi) e molto spesso condividono i
nominativi dei clienti. Pertanto, le due aziende sono Contitolari del trattamento perché non solo
accettano di offrire la possibilità di “servizi combinati”, ma progettano e utilizzano anche una piat-
taforma comune.

Raccomandazione del Garante

I Titolari di trattamento dovrebbero valutare attentamente l’esistenza di eventuali situazioni di
contitolarità. Sarà necessario, tra l’altro, individuare il “punto di contatto per gli Interessati” pre-
visto dal suddetto articolo ai fini dell’esercizio dei diritti previsti dal GDPR.

2.3 Responsabile del trattamento

Il Titolare del trattamento nel caso in cui abbia necessità di figure esterne alla propria azienda (di
solito sono fornitori o consulenti) può designare uno o più soggetti come Responsabili del Tratta-
mento (“data processor” in inglese) ed è tenuto - anche - a vigilare sulla puntuale osservanza
delle istruzioni impartite a tali Responsabili.
Il Responsabile del trattamento può essere:
• la persona fisica (ad esempio, il singolo professionista)
• la persona giuridica (ad esempio, una SNC, SRL, SPA)
• il servizio (ad esempio il fornitore di e-book)
• un altro organismo
che “tratta” i dati personali e cioè, ad esempio, li raccoglie, li registra, li conserva, li comunica a
soggetti determinati o li diffonde a soggetti indeterminati (ad esempio pubblicandoli su Internet).
Il Responsabile del trattamento deve avere una competenza qualificata, garantire affidabilità e

- 22 -
disporre delle risorse tecniche adeguate all’attuazione degli obblighi derivanti dal contratto di de-
signazione a responsabile.
Il Responsabile del trattamento è, in genere, un terzo esterno all’azienda; tuttavia, nel caso di
gruppi di società, si verifica frequentemente che una società (figlia) possa agire in qualità di Re-
sponsabile del trattamento per un’altra società del gruppo (madre), o viceversa.
Sembra che la prassi italiana di nominare Responsabili interni all’azienda sia attualmente scon-
sigliabile, come dicono i primi commentatori del GDPR, sia perché la nomina di responsabili in-
terni non è prevista dalla normativa comunitaria e sia perché al Responsabile sono attribuite
responsabilità assai gravose (ad esempio: il Responsabile può essere convenuto in giudizio
dall’Interessato).
Per quanto riguarda i Responsabili “esterni” all’azienda la loro individuazione è più complessa.
Normalmente le aziende si avvalgono di avvocati, commercialisti, studi di elaborazione paghe,
società di imbustamento e spedizione, medico competente, società che offrono soluzioni IT, ar-
chiviazione su cloud, manutenzione hardware e software. Per ciascuno di questi soggetti
l’azienda dovrà valutare se qualificarlo come Responsabile oppure autonomo Titolare di tratta-
mento9.
Si consideri che, il ruolo del Responsabile del trattamento non deriva dalla natura del soggetto
che tratta dati personali, ma dalle attività svolte in concreto ed in un contesto specifico e in rela-
zione a specifiche serie di dati od operazioni. Alcuni criteri possono essere utili per determinare
la qualifica dei vari attori implicati nel trattamento: il livello di istruzioni preliminari date dal Tito-
lare del trattamento; il controllo, da parte del Titolare del trattamento, il livello del servizio; la
visibilità nei confronti degli Interessati; la conoscenza specializzata delle parti; il potere di deci-
sione autonoma lasciato alle varie parti, etc.
La capacità di "determinare le finalità e gli strumenti" può derivare da varie circostanze giuridiche
e/o concrete: un'esplicita competenza giuridica (quando è la legge a designare il Titolare del trat-
tamento o a conferire il compito o l'obbligo di raccogliere ed elaborare certi dati); disposizioni
giuridiche comuni o ruoli tradizionali esistenti che generalmente comportano una certa respon-
sabilità all'interno di certe organizzazioni (ad esempio il datore di lavoro nei confronti dei suoi
dipendenti); circostanze concrete ed altri elementi (come relazioni contrattuali, responsabilità ef-
fettiva di una parte, visibilità verso gli interessati, etc.).
La categoria restante, quella dei "terzi", indica tutti gli attori che non siano specificamente legitti-
mati né autorizzati – in base, ad esempio, al loro ruolo come titolari del trattamento, incaricati del
trattamento, o loro dipendenti – a trattare dati personali.
La determinazione della "finalità" del trattamento fa “scattare” la qualifica di Titolare (di fatto) del
trattamento.
Il GDPR fissa più dettagliatamente, rispetto al Codice Privacy (art. 29 ora abrogato), le caratteri-
stiche dell’atto con cui il Titolare designa un Responsabile del trattamento attribuendogli specifici
compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale)
e deve disciplinare tassativamente diverse materie al fine di dimostrare che il Responsabile for-
nisce “garanzie sufficienti”, conformemente a quanto prevede il GDPR (art. 28).
Ne discende che gli avvocati, ad esempio in caso di contenzioso, ed i commercialisti, quando
9
Si veda il Parere 1/2010 sulle figure di "Titolare del trattamento" e "Responsabile del trattamento" adottato il 16 febbraio 2010 dal
Gruppo Art. 29.

- 23 -
svolgono attività rutinarie (tipo: attività di recupero crediti o predisposizione delle dichiarazioni
dei redditi), senza indicazioni da parte di un contabile interno che comunica istruzioni dettagliate
sul trattamento, sono da qualificare come autonomi Titolari.
In linea di massima, a giudizio di chi scrive, in genere – e salvo peculiarità del caso da verificare
in concreto – potrebbero essere qualificati come Responsabili i seguenti soggetti (sempre nella
misura in cui possano accedere ai dati personali):
a) medico competente in materia di igiene e sicurezza sul lavoro, se ha un ufficio/archivio/elabora-
tore dedicato presso l’azienda;
b) soggetto esterno che si occupa di predisporre le paghe dei dipendenti;
c) soggetto esterno che si occupa della manutenzione dei sistemi hardware e software aziendali;
d) fornitori di servizi in cloud10;
e) soggetti che svolgono, in outsourcing, attività per conto del Titolare del trattamento (si pensi ad un
call center esternalizzato) e sul quale il Titolare può (e deve) incidere nella determinazione non
solo delle finalità ma anche sugli strumenti del trattamento e nel controllo.
In sostanza si deve rispondere, tra le altre, alle seguenti domande:
• l’attività esternalizzata comporta attività di trattamento di dati personali?
• che margini di manovra ha il fornitore nella predisposizione del servizio?
• in che misura il cliente supervisiona il servizio e quali/quante istruzioni fornisce?
• qual è il livello di expertise del fornitore?
• il nome del fornitore è noto agli Interessati?
Il contratto o l’atto giuridico (la cd. nomina) deve includere i seguenti elementi:
1. il trattamento può avvenire solo su istruzioni documentate da parte del Titolare del tratta-
mento;
2. il Responsabile del trattamento assicura che le persone autorizzate al trattamento dei dati
personali si siano impegnate a rispettare la riservatezza o siano soggette a un adeguato ob-
bligo legale di riservatezza;
3. il Responsabile del trattamento deve offrire un livello di sicurezza minimo definito dal Titolare
del trattamento;
4. il Responsabile del trattamento, più in generale, deve aiutare l’impresa a garantire la confor-
mità con il GDPR.
In tale contratto, se possibile (ad esempio capita a volte che la controparte adotti condizioni ge-
nerali di servizio non negoziabili), si dovrà chiedere ai propri fornitori che dichiarino che i loro
sistemi informativi sono a norma del GDPR e che si impegnino a fornire assistenza nella predi-
sposizione del Registro dei trattamenti ed in eventuali procedure di riscontro all’Interessato,
come nel caso si verifichi un episodio di “data breach” (violazioni di dati, che vedremo in seguito).

Verificare le nomine a Responsabile, anche dei responsabili interni

In Italia, sussiste la prassi operativa di nominare “Responsabile del trattamento” anche il sin-
golo dipendente, il dirigente o l’area aziendale interna all’azienda (ad esempio le Risorse
Umane, Responsabile IT). Autorevole dottrina europea ed italiana sostiene invece l’incompatibi-
lità di queste nomine con il GDPR: sia l'ICO britannico che il CNIL francese richiamano espres-
samente il parere (1/2010) del Gruppo articolo 29 per evidenziare come il ruolo di responsabile

10
Il parere 5/2017 del Gruppo Art. 29 pare aver stabilito che tali soggetti rivestano la qualifica di Responsabile, salvo eccezioni.

- 24 -
del trattamento possa essere ricoperto solo da un soggetto esterno all'azienda. In forza dell’art.
2-quoterdicies è sempre possibile delegare specifici compiti e funzioni connessi al trattamento
dei dati a soggetti determinati (anche all’interno della organizzazione), ma queste sono temati-
che sofisticate esulano dalla presente trattazione.

Responsabile del trattamento

L’impresa è una società di vendita al dettaglio che effettua il back-up del proprio database clienti
su un server in cloud dedicato. A tal fine è stato stipulato un contratto con un fornitore di servizi
cloud noto per i suoi standard di protezione dei dati e che dispone di un sistema certificato di
crittografia dei dati. Il fornitore di servizi cloud è il Responsabile del trattamento in quanto, con-
servando i dati personali dei clienti nei suoi server, tratterà i dati personali per conto dell’impresa.
Dovrà quindi essere predisposto un contratto che regoli gli aspetti privacy.

Titolare del trattamento e Responsabile del trattamento

L’impresa è un oleificio che ha molti dipendenti. Firma un contratto con una società addetta
all’elaborazione delle buste paga dei propri dipendenti. L’oleificio indica a tale società quando
deve essere pagato lo stipendio, quando un dipendente lascia l’impresa o ottiene un aumento di
stipendio, e fornisce tutti gli altri dati per le buste paga e i pagamenti. La società fornisce il si-
stema informatico e conserva i dati dei dipendenti. L’oleificio è il Titolare del trattamento e la
società addetta all’elaborazione delle buste paga è il Responsabile del trattamento. Dovrà quindi
essere predisposto un contratto tra le parti.

Raccomandazione: evitare nomine fittizie

Evitare di nominare un soggetto privo di requisiti di affidabilità e professionalità quale Respon-
sabile del trattamento sperando di poter addossare a questo le conseguenze negative di attività
compiuta in violazione della normativa sulla privacy poiché, in ultima analisi, risponde sempre,
anche in via solidale, il Titolare del trattamento, anche solo per avere scelto un soggetto inidoneo
e/o non aver vigilato. Le sanzioni, e l’eventuale richiesta di risarcimento danni, possono essere
avanzate contro il Titolare ma anche contro il Responsabile del trattamento.

Se l’impresa svolge trattamenti di dati per conto di un cliente, essendo lei l’outsourcer in questo
caso – e ricorrono, in concreto, a parti invertite, le condizioni di cui sopra - allora l’impresa dovrà
essere nominata quale Responsabile del trattamento dei dati del proprio cliente, che questa volta
è Titolare.
Ciò si verifica quando l’impresa è uno studio di elaborazione paghe, ad esempio.

2.4 Responsabile della protezione dei dati (di seguito, “DPO”)

In Italia il Responsabile della Protezione dei dati (di seguito, “Data Protection Officer” o “DPO”) –
da non confondere con il soggetto visto in precedenza (Responsabile del trattamento) - è una
figura di recente introduzione, che non è sempre obbligatoria. Infatti, le imprese devono nomi-
nare un DPO, indipendentemente dalla qualifica di Titolare del trattamento o Responsabile del

- 25 -
trattamento, solamente se:
• le attività principali comportano il trattamento di dati sensibili su vasta scala;
• le attività principali comportano un monitoraggio, su vasta scala, regolare e sistematico delle per-
sone;
• le amministrazioni pubbliche hanno sempre l’obbligo di nominare un DPO (ad eccezione dei tri-
bunali che agiscono nell’esercizio delle loro funzioni giudiziarie). Nel caso in cui soggetti privati
esercitino funzioni pubbliche (in qualità, ad esempio, di concessionari di servizi pubblici), può ri-
sultare comunque fortemente raccomandato, ancorché non obbligatorio, procedere alla sua desi-
gnazione.
Segnaliamo che il monitoraggio del comportamento delle persone interessate comprende tutte
le forme di monitoraggio e profilazione su Internet, anche ai fini della pubblicità comportamen-
tale.
Il DPO può essere un membro del personale interno all’impresa o può essere assunto esterna-
mente sulla base di un contatto di servizio.
Un gruppo di imprese o soggetti pubblici possono nominare un unico DPO.
Il DPO, nominato dal Titolare del trattamento o dal Responsabile del trattamento, dovrà:
- possedere un'adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
- adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse (in linea di
principio, ciò significa che il DPO non può essere un soggetto che decide sulle finalità o sugli stru-
menti del trattamento di dati personali);
- operare alle dipendenze del Titolare o del responsabile (DPO interno) oppure sulla base di un
contratto di servizio (DPO esterno).
Il DPO dovrà:
- sorvegliare l’osservanza del GDPR;
- collaborare con il Titolare/Responsabile, laddove necessario, nel condurre una valutazione di im-
patto sulla protezione dei dati;
- informare e sensibilizzare il Titolare o il Responsabile del trattamento e i dipendenti;
- cooperare con il Garante e fungere da punto di contatto per il Garante Privacy;
- supportare il Titolare nella tenuta del Registro delle attività di trattamento.

DPO obbligatorio
La nomina del DPO è obbligatoria, ad esempio, quando l’impresa è:
• un ospedale (tratta dati sensibili come core business);
• una società di sicurezza incaricata di monitorare i centri commerciali e gli spazi pubblici;
• una piccola società di dispositivi per la domotica (se effettua monitoraggio regolare e sistematico).

DPO non obbligatorio

La nomina del DPO non è obbligatoria se il Titolare:
• è un medico di una comunità locale e tratta i dati personali dei suoi pazienti;
• è un avvocato con un piccolo studio legale che tratta i dati personali dei suoi clienti.

Il DPO deve essere coinvolto nell’impresa in modo adeguato e tempestivo, non deve ricevere

- 26 -
istruzioni dal Titolare del trattamento né dal Responsabile del trattamento per l’esercizio delle
sue funzioni. Il DPO riporta direttamente al più alto livello di gestione dell’organizzazione. Carat-
teristica fondamentale del DPO è la sua indipendenza.
Il Titolare o il Responsabile del trattamento dovranno mettere a disposizione del DPO le risorse
umane e finanziarie necessarie all’adempimento dei suoi compiti.
La designazione di un DPO riflette l’approccio “responsabilizzante” che è proprio della nuova nor-
mativa sulla protezione dei dati essendo finalizzata a facilitare l’attuazione del GDPR da parte del
Titolare/Responsabile. Non è un caso, infatti, che fra i compiti del DPO rientrino “la sensibilizza-
zione e la formazione del personale” e la sorveglianza sullo svolgimento della valutazione di im-
patto dei dati, oltre all’attività di vigilanza.
Sul sito Internet del Garante Privacy è reperibile uno schema di atto di designazione del DPO11, la
nomina del DPO deve essere comunicata al Garante Privacy, tramite apposita procedura. Si scon-
siglia di nominare un DPO che abbia già in carico troppe nomine poiché questo impedirebbe al
DPO di avere il tempo necessario a gestire il suo incarico.

2.5 Soggetto Autorizzato/Designato al trattamento (ex Incaricato)

Sotto la vigenza del “vecchio” Codice Privacy gli “Incaricati del trattamento” erano solitamente
individuati nei dipendenti e/o collaboratori del Titolare e, nella sostanza, tali figure sono confer-
mata anche nella normativa vigente.
Il GDPR non prevede una definizione per questi soggetti privacy che, comunque, riappaiono sotto
un’altra denominazione “soggetti autorizzati”. Il Codice Privacy prevede attualmente, all’art. 2-
quaterdecies che: “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria
responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni
connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente desi-
gnate, che operano sotto la loro autorità. Il titolare o il responsabile del trattamento individuano
le modalità più opportune per autorizzare al trattamento dei dati personali le persone che ope-
rano sotto la propria autorità diretta.”.
La norma è chiara e non si ritiene siano necessarie spiegazioni ulteriori: ai nostri fini “soggetti
autorizzati” e “soggetti designati” sono sinonimi. In organizzazioni complesse si può articolare
tale figura in vari modi, così da gestire anche figure di coordinamento privacy.
Il Garante Privacy, attualmente, ritiene che le disposizioni del Codice Privacy in materia di Incari-
cati del trattamento siano pienamente compatibili con la struttura e la filosofia del GDPR, in par-
ticolare alla luce del principio di “responsabilizzazione” di Titolari e Responsabili del trattamento
che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del GDPR nella
sua interezza. In questo senso, anche in tema di misure tecniche e organizzative di sicurezza, si
ritiene opportuno che Titolari e Responsabili del trattamento mantengano in essere la struttura
organizzativa e le modalità di designazione degli Incaricati di trattamento così come delineatesi
negli anni anche attraverso gli interventi del Garante Privacy in quanto misure atte a garantire e
dimostrare “che il trattamento è effettuato conformemente” al GDPR (si veda l’art. 24, comma 1,
del GDPR).
È capitato varie volte che i Garante Privacy abbia sanzionato imprese, prevalentemente nel

11
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7322273

- 27 -
comparto TelCo, per l’assenza di nomina di questi soggetti.

- 28 -
 Capitolo 3
Dati personali
3. DATI PERSONALI COMUNI E CATEGORIE PARTICOLARI DI DATI

3.1 Dati personali

Il progresso tecnologico ha aumentato esponenzialmente le possibilità di raccogliere e conser-
vare, tra gli altri, i dati personali. Anche per questa ragione il GDPR ha preso il posto della Diret-
tiva 95/46, che è stata implementata, in Italia, nel 1996, con la Legge n. 675 e, nel 2003, con il
Codice Privacy (D.lgs. 196).
I “dati” in azienda (e fuori) rappresentano un bene preziosissimo. Vengono trattati quelli relativi
ad attività economiche, come l’elenco dei clienti o fornitori (imprese), relativi a processi indu-
striali, know how, procedure, big data, etc. In concreto è necessario verificare se gli stessi sono
personali od anonimi poiché, in tale secondo caso, non troverebbe applicazione la disciplina pri-
vacy. Anche in caso di non applicazione delle norme sulla privacy, ciò non significa che si possa
trascurare la tutela del patrimonio dell’azienda, tutelando anche il know-how aziendale e cer-
cando di prevenire – ed essere in grado di difendersi – gli atti di concorrenza sleale da parte ex
dipendenti o di concorrenti. Anzi avere la privacy a norma è un aiuto fondamentale in questi casi
(qualora vengano implementati processi anche giuridicamente “protettivi”): per questo la privacy
deve essere disegnata “su misura”.
I dati personali sono, ad esempio, un indirizzo e-mail di un cliente o l’immagine fotografica di una
persona, il codice fiscale o un numero telefonico. Inoltre, le persone sono identificabili se asso-
ciate a identificativi online prodotti dai dispositivi, dalle app, dagli strumenti e dai protocolli utiliz-
zati (indirizzi IP, cookies, tag di identificazione a radiofrequenza, etc.)12.
Sono dati personali solamente nel caso in cui siano associati ad una persona fisica, identificata o
identificabile: lo schema di un impianto elettrico di un macchinario non contiene, in genere, dati
personali, ma è di solito, un asset da mantenere riservato e protetto, anche giuridicamente.
I dati personali sono tutte le informazioni relative a una persona identificata o identificabile. Sono
dati personali anche le varie informazioni, che raccolte insieme, possono portare all'identifica-
zione di una determinata persona.
I dati personali sottoposti a “de-identificazione”, cifratura o pseudonimizzazione, ma che possono
essere utilizzati per (re)identificare una persona, rimangono dati personali e rientrano nell'am-
bito di applicazione della normativa.
Solamente nel caso in cui dati personali siano stati resi anonimi, in modo tale che l'individuo non
sia più identificabile, tali informazioni non saranno più considerate dati personali ai fini della nor-
mativa sulla protezione dei dati. Perché i dati siano veramente anonimi: l'anonimizzazione deve
essere completa e irreversibile.
Il GDPR protegge i dati personali a prescindere dalla tecnologia utilizzata. Si dice quindi neutrale

12
Tali identificativi lasciano tracce che in combinazione con identificativi univoci e altre informazioni ricevute dai server, possono
essere utilizzate per creare profili delle persone fisiche e/o identificarle.

- 29 -
sotto il profilo tecnologico e si applica sia al trattamento automatizzato che a quello manuale, a
condizione che i dati siano organizzati in base a criteri predefiniti (ad es. in ordine cronologico).
Inoltre, non importa come vengono archiviati i dati: in un sistema informatico, tramite videosor-
veglianza o su carta; in tutti questi casi, i dati personali sono soggetti agli obblighi di protezione
stabiliti nel GDPR.

Dati personali
a) nome e cognome;
b) indirizzo;
c) indirizzo e-mail, come [email protected];
d) numero della carta d’identità/fotocopia della carta di identità;
e) dati sulla posizione (ad es. la funzione di posizionamento su un telefono cellulare);
f) un indirizzo IP (Internet Protocol);
g) un ID cookie;
h) l’identificativo pubblicitario del proprio telefono;
i) i dati conservati in un ospedale o da un medico riferibili ad una persona;
j) valutazione della prestazione del dipendente.

Dati non considerati personali:

a) numero di iscrizione al registro delle imprese di una società;
b) indirizzo e-mail, come [email protected], [email protected];
c) dati resi completamente anonimi, cioè non riferibili a persone fisiche determinate o determinabili.

3.2 Categorie particolari di dati personali (“dati sensibili”)

I dati personali sono una macrocategoria. All’interno dei dati personali, vi sono alcune categorie
particolari di dati personali - sensibili, giudiziari, biometrici, genetici - che necessitano del mas-
simo livello di protezione. In Italia queste categorie particolari di dati sono note come:
• dati (ex) sensibili: dati personali che consentono di rivelare l’origine razziale ed etnica di una
persona, le sue convinzioni religiose, filosofiche, l’orientamento sessuale o di altro genere.
Sono, altresì, dati sensibili i dati che indicano l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale. Oppure, importantissimi, i
dati relativi alla salute (fisica o mentale).
• dati biometrici: dati personali ottenuti da un trattamento tecnico specifico relativi alle caratte-
ristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o con-
fermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici. Sulla scorta
di tale definizione, si considerano dati biometrici le impronte digitali, la topografia della mano,
l’impronta vocale, le caratteristiche del volto (ma non una semplice foto), le caratteristiche
dell’iride, etc.
• dati genetici: dati personali, di qualunque tipo, che riguardano le caratteristiche genetiche ere-
ditate o acquisite di un individuo e forniscono informazioni univoche sulla fisiologia o sulla
salute della persona fisica, risultanti dall’analisi di un campione biologico.
Il GDPR raggruppa i dati sopra riportati in elenco come categorie particolari di dati personali cui
bisogna prestare la massima attenzione.

- 30 -
I dati relativi a condanne penali o reati - informazioni relative al casellario giudiziale e quelle
connesse alla posizione di imputato o indagato in procedimenti penali – devono essere trattati
conformemente al diritto dell’Unione o degli Stati membri.

- 31 -
 Capitolo 4
Condizioni per il trattamento
4.1 LICEITÀ DEL TRATTAMENTO

4.1.1 Trattamento dei dati comuni

Il trattamento dei dati personali da parte dell’impresa è lecito solo se sussistono le condizioni
previste dal GDPR. Ogni trattamento deve trovare fondamento in un’idonea base giuridica; i fon-
damenti di liceità del trattamento sono indicati all’art. 6 del GDPR e hanno aspetti convergenti, in
linea di massima, con quelli previsti attualmente dal Codice Privacy e devono essere obbligato-
riamente indicati nella informativa privacy. In particolare, ai sensi del GDPR, il trattamento dei
dati da parte delle imprese è lecito solo se e nella misura in cui ricorre almeno una delle seguenti
sei condizioni (cd. basi giuridiche del trattamento):
a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più speci-
fiche finalità (“consenso”)
b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecu-
zione di misure precontrattuali adottate su richiesta dello stesso (“obbligo contrattuale”)
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il Titolare del
trattamento (“obbligo giuridico”)
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra
persona fisica (“salvaguardia di interessi vitali”)
e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'e-
sercizio di pubblici poteri di cui è investito il Titolare (“interesse pubblico”)
f) il trattamento è necessario per un legittimo interesse dell’impresa ma solo dopo aver verificato
che non vengano compromessi i diritti e le libertà fondamentali della persona di cui stai trattando
i dati. Se i diritti della persona prevalgono sui tuoi interessi, non puoi procedere sulla base di un
interesse legittimo. La valutazione del fatto che i legittimi interessi della impresa per il trattamento
prevalgano su quelli degli Interessati dipende dalle singole circostanze del caso (“interesse legit-
timo”).
Pertanto, è necessario, ma anche sufficiente, che sia soddisfatta almeno una delle predette con-
dizioni per poter procedere al trattamento dei dati acquisiti. In difetto, il trattamento dei dati è
considerato illecito.
Il Titolare del trattamento può utilizzare la base giuridica di cui alla lett. f), cioè il legittimo inte-
resse dell’impresa, solo se nessuna delle altre condizioni di liceità può trovare applicazione.

Consenso (lett. a)
L’impresa offre un’app musicale e chiede il consenso degli utenti per analizzare le loro scelte
musicali in modo da suggerire nuove canzoni ed eventuali concerti.

Obbligo contrattuale (lett. b)

L’impresa vende prodotti online. Può trattare i dati necessari per procedere, su richiesta

- 32 -
dell’interessato, prima della stipula del contratto (per rispondere a richieste del potenziale
cliente) e per l’esecuzione dello stesso. Potrà trattare il nome, l’indirizzo di consegna, il numero
della carta di credito (se si esegue il pagamento con carta), senza la necessità di chiedere il con-
senso del proprio cliente.

Obbligo giuridico (lett. c)

Impresa con dipendenti: per ottenere la copertura previdenziale, la legge obbliga a fornire i dati
personali dei dipendenti (ad esempio, il reddito settimanale dei dipendenti) all’autorità compe-
tente.

Interessi vitali di una persona (lett. d)

Un ospedale che cura un paziente dopo un grave incidente stradale non ha bisogno del suo con-
senso per cercare un documento e verificare se questa persona esiste nel database dell'ospedale
e trovarne l’anamnesi, o per contattare il parente più prossimo.

Interesse pubblico (lett. e)

Un’associazione di categoria, come un ordine degli avvocati o un ordine di medici, può avviare
procedimenti disciplinari nei confronti di alcuni dei suoi membri senza avere la necessità di ac-
quisirne il preventivo consenso.

Legittimo interesse (lett. f)

L’impresa ha un interesse legittimo quando tratta dati personali per prevenire frodi o per garan-
tire la sicurezza della rete e dei dati dei sistemi informatici dell’azienda.

Un’impresa può procedere al trattamento dei dati dell’interessato sulla base di un proprio legit-
timo interesse. In qualità di impresa, è spesso necessario trattare dati personali per svolgere
compiti legati alle attività aziendali. Il trattamento dei dati personali in questo contesto può non
essere necessariamente giustificato da un obbligo giuridico o dall’esecuzione delle clausole di
un contratto con una persona fisica. Si possono quindi invocare interessi legittimi come giustifi-
cazione per il trattamento dei dati.
Tuttavia, anche in questo caso, permane l’obbligo dell’impresa di informare le persone del trat-
tamento al momento della raccolta dei dati. Le imprese devono verificare attentamente, ed in
ogni caso prima di procedere al trattamento dei dati, che, perseguendo i propri legittimi interessi,
non si stiano seriamente pregiudicando i diritti e le libertà di queste persone, altrimenti non si
potranno invocare legittimi interessi come giustificazione per il trattamento dei dati e bisognerà
trovare un’altra base giuridica. Si consiglia inoltre di documentare per iscritto questa scelta, ed il
ragionamento sottostante, nel Registro delle attività di trattamento.

4.1.2 Trattamento di categorie particolari di dati

L’impresa non può trattare categorie particolari di dati personali, salvo sussista una delle

- 33 -
seguenti condizioni:
a) è stato ottenuto il consenso esplicito dell’interessato, per una o più finalità specifiche (in determi-
nati casi una legge può escludere questa opzione);
b) l’impresa è tenuta, ai sensi della legislazione dell’Unione europea o nazionale o di un contratto
collettivo, a trattare tali dati per assolvere gli obblighi e/o esercitare i diritti – propri o dell’interes-
sato - nei settori del diritto del lavoro, della sicurezza sociale e della protezione sociale;
c) sono in gioco gli interessi vitali dell’interessato, o di una persona fisicamente o legalmente inca-
pace di fornire il proprio consenso;
d) le fondazioni, associazioni o altro ente senza scopo di lucro con finalità politiche, filosofiche, reli-
giose o sindacali, che tratta i dati relativi ai propri membri o alle persone in contatto regolare con
l’organizzazione;
e) i dati personali sono stati manifestamente resi pubblici dall’Interessato;
f) i dati sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
g) i dati sono trattati per motivi di rilevante interesse pubblico ai sensi del diritto comunitario o na-
zionale;
h) i dati sono trattati per necessarie attività di medicina preventiva o del lavoro; valutazione della
capacità lavorativa del dipendente; diagnosi medica; fornitura di cure o trattamenti sanitari o so-
ciali, oppure gestione di sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o na-
zionale, o sulla base di un contratto in qualità di operatore sanitario;
i) i dati sono trattati per motivi di interesse pubblico nel settore della sanità pubblica ai sensi del
diritto dell’Unione o nazionale;
j) i dati sono trattati ai fini dell’archiviazione, della ricerca scientifica o storica o a fini statistici ai
sensi del diritto dell’Unione o nazionale.
Il Garante Privacy, come previsto dall’art. 21 del D.lgs 101/2018, ha adottato il provvedimento re-
cante le prescrizioni relative al trattamento di categorie particolari di dati nei rapporti di lavoro,
da parte di organismi di tipo associativo, delle fondazioni e, tra gli altri, dei dati genetici13.
Ulteriori condizioni potranno essere imposte dal legislatore italiano per il trattamento di dati ge-
netici, dati biometrici o relativi alla salute.

Trattamento lecito di categorie particolari di dati (dati sensibili)

Un medico visita un certo numero di pazienti nella sua clinica e registra le visite in un database
che include campi come il nome/cognome del paziente, la descrizione dei sintomi e i farmaci
prescritti. Si tratta di dati sensibili. Il trattamento dei dati relativi alla salute e sanitari da parte
della clinica è consentito dalla legge sulla protezione dei dati in quanto richiesto per la cura della
persona e viene effettuato sotto la responsabilità di un medico soggetto all’obbligo del segreto
professionale.

Illecito trattamento di categorie particolari di dati (dati sensibili)

L’impresa vende abiti online. Per personalizzare i servizi in base agli interessi specifici dei clienti,
chiede ai clienti di fornire informazioni su taglia, colore preferito, metodo di pagamento, nome e
indirizzo per la consegna del prodotto. Inoltre, l’impresa chiede al cliente il suo orientamento
politico. La maggior parte delle informazioni serve per adempiere al contratto, ma le opinioni

13
Per approfondire si veda il provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi
dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101 [9124510].

- 34 -
politiche del cliente non sono necessarie per realizzare e consegnare un abito. In questo caso è
illecito richiedere le opinioni politiche del cliente.

4.2 FINALITÀ DEL TRATTAMENTO

Il principio di finalità stabilisce che un trattamento di dati personali è legittimo in relazione, ap-
punto, al fine del trattamento stesso. I dati devono essere raccolti per finalità determinate, espli-
cite e legittime, e quindi trattati secondo modalità compatibili con tale finalità. Stabilire gli scopi
del trattamento, ed indicarli nelle comunicazioni all'interessato, consente di stabilire ciò che è
davvero necessario e non raccogliere dati superflui.
Il trattamento di dati personali, anche sensibili, riferibili a singoli lavoratori è lecito, se finalizzato
(i) ad assolvere obblighi derivanti dal contratto individuale di lavoro (ad esempio, per verificare
l'esatto adempimento della prestazione o commisurare l'importo della retribuzione, anche per
lavoro straordinario, o dei premi da corrispondere, per quantificare le ferie e i permessi, per
appurare la sussistenza di una causa legittima di assenza). Alcuni scopi sono altresì previsti (ii)
dalla contrattazione collettiva per la determinazione di circostanze relative al rapporto di lavoro
individuale ad esempio, per la fruizione di permessi o aspettative sindacali e periodi di comporto
o rispetto alle percentuali di lavoratori da assumere con particolari tipologie di contratto o, an-
cora, (iii) dalla legge quali, ad esempio, le comunicazioni ad enti previdenziali e assistenziali.

Finalità (i) e sotto-finalità del trattamento (ii), (iii)

La finalità di dare corretta esecuzione al rapporto di lavoro costituisce la finalità tipica del datore
di lavoro/Titolare indicato sub (i), ma non è la sola. Ci possono essere delle sotto-finalità che
comportano delle differenze ed allora devono essere evidenziate nella reportistica perché hanno
una diversa base giuridica. Infatti, la finalità di permettere al dipendente di godere dei propri diritti
sindacali - indicata sub (ii) - implica il trattamento di dati sensibili e la comunicazione dei dati a
soggetti diversi (ad es. il sindacato), oltre che un diverso titolo: il contratto collettivo. Mentre invece
la finalità di effettuare le comunicazioni ad enti previdenziali od assistenziali – indicata sub (iii) –
implica il trattamento di altri dati sensibili e la comunicazione dei dati a soggetti diversi (ad es.
l’ente previdenziale, il parente del dipendente), oltre che una diversa base giuridica di tratta-
mento: la legge.

4.3 INFORMATIVA ALL’INTERESSATO

Il trattamento dei dati personali effettuato in maniera corretta e trasparente implica che l'Interes-
sato sia previamente informato dell'esistenza del trattamento e delle sue finalità, oltre alle altre
informazioni previste dalla legge.
I contenuti dell’informativa da rendere all’interessato sono elencati in modo tassativo negli arti-
coli 13, comma 1, e 14, comma 1, del GDPR e sono più ampi e per certi aspetti diversi rispetto a
quelli previsti dai rispettivi articoli abrogati del Codice Privacy.
Se il trattamento comporta processi decisionali automatizzati (tra cui, ad esempio, la profila-
zione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e
le conseguenze previste per l’interessato.

- 35 -
Nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve es-
sere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al
momento della prima comunicazione (non della registrazione) dei dati (a terzi o all’interessato).
L’informativa è data, in linea di principio, per iscritto e, nel contesto di servizi on line, preferibil-
mente in formato elettronico, anche se sono ammessi “altri mezzi”, quindi può essere fornita
anche oralmente, ma nel rispetto delle caratteristiche di cui sopra. Ma dato che il Titolare del
trattamento deve dimostrare di essere conforme al GDPR si suggerisce di evitare di fornire l’in-
formativa in modo orale poiché, in un secondo tempo, potrebbe risultare difficile dare prova di
avere adempiuto a questo obbligo.
Il GDPR ammette l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica,
ma solo “in combinazione” con l’informativa estesa. Mancando un’intesa a livello comunitario
circa le icone da utilizzare, si riconosce alla singola azienda la possibilità di predisporre informa-
tive chiare ed intellegibili, ricorrendo anche ad elementi iconografici. L’utilizzo di elementi può
rivelarsi estremamente utile nel caso in cui i soggetti interessati provengano da diverse nazioni,
con idiomi differenti e potrebbe semplificare la declinazione testuale dell’informativa in molteplici
lingue.
Il Titolare del trattamento, qualora intenda trattare i dati personali per una finalità diversa da
quella per cui essi sono stati inizialmente raccolti, deve fornire all'interessato, prima di effettuare
ogni ulteriore trattamento, le informazioni rilevanti in merito a tali nuove finalità.
Per contro, non è necessario imporre l'obbligo di fornire ulteriori informazioni se l'interessato
dispone già dell'informazione, se la registrazione o la comunicazione dei dati personali sono pre-
viste per legge o se informare l'interessato si rivela impossibile o richiederebbe uno sforzo spro-
porzionato. Quest'ultima eventualità potrebbe verificarsi, ad esempio, nei trattamenti eseguiti a
fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. In tali
casi si può tener conto del numero di Interessati, dell’antichità dei dati e di eventuali garanzie
adeguate in essere.
Qualora non sia possibile comunicare all'interessato l'origine dei dati personali, perché sono
state utilizzate varie fonti, dovrebbe essere fornita un'informazione di carattere generale
Il Titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informa-
zioni necessarie per il trattamento dei dati, nonché i diritti previsti dal GDPR in forma concisa,
trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in parti-
colare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite
per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interes-
sato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi
l'identità dell'interessato.
Il Titolare del trattamento dei dati deve fornire le seguenti informazioni agli Interessati nel caso
in cui proceda alla raccolta dei dati presso l’Interessato, ad esempio nel caso di un dipendente
(art. 13, comma 1, GDPR) è tenuto a comunicare:
• l'identità e i dati di contatto del Titolare del trattamento e, ove applicabile, del suo rappresentante;
• i dati di contatto del DPO, ove nominato;
• le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del tratta-
mento
• qualora il trattamento si basi sull'articolo 6, comma 1, lettera f), i legittimi interessi perseguiti dal
Titolare del trattamento o da terzi;

- 36 -
 • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
• ove applicabile, l'intenzione del Titolare del trattamento di trasferire dati personali a un paese
terzo e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione (o per il mo-
mento le “vecchie” autorizzazioni del Garante) circa la conformità della legge straniera al GDPR, il
riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il
luogo dove sono stati resi disponibili.
Il Titolare del trattamento dovrà fornire ulteriori Informazioni all’interessato è affinché il tratta-
mento sia legittimo (art. 13, comma 2, GDPR) è tenuto a comunicare:
• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per de-
terminare tale periodo;
• l'esistenza del diritto dell'interessato di chiedere al Titolare del trattamento l'accesso ai dati per-
sonali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano
o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
• qualora il trattamento di dati comuni e sensibili sia basato sul consenso, l'esistenza del diritto di
revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata
sul consenso prestato prima della revoca;
• il diritto di proporre reclamo a un'autorità di controllo.
• se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito ne-
cessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali
nonché le possibili conseguenze della mancata comunicazione di tali dati;
• l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo
22, commi 1 e 4, GDPR e, almeno in tali casi, informazioni significative sulla logica utilizzata, non-
ché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
Il Titolare del trattamento dei dati dovrà, invece, fornire informazioni agli Interessati quando i dati
personali non sono raccolti presso l’interessato, a condizioni sostanzialmente simili a quelle pre-
viste agli artt. 13, commi 1 e 2, oltre ai legittimi interessi perseguiti dal Titolare o da terzi, la fonte
da cui hanno origine i dati personali, con ulteriori condizioni di esclusione di rendere l’informativa
(ad esempio in caso vi sia un trattamento soggetto ad obbligo di segretezza). Tutte le informazioni
sono contenute all’art. 14 GDPR.

Raccomandazione del Garante: rivedere le informative

Nel caso in cui un titolare del trattamento stia ancora utilizzando un’informativa redatta antece-
dentemente alla piena efficacia del GDPR è necessario che effettui una verifica della sua confor-
mità alla nuova normativa entrata in vigore il 25 maggio 2018 ed apporti le necessarie modifiche
e adattamenti.

4.4 IL CONSENSO

4.4.1 Nel caso di trattamento di dati comuni

Il consenso è solamente una delle condizioni che il Titolare del trattamento deve soddisfare per
poter procedere lecitamente al trattamento dei dati. Tuttavia, è anche tra le più utilizzate dalle
imprese, pertanto il presente capitolo analizzerà i requisiti che le imprese devono osservare per
ottenere il consenso dell’interessato, che a volte è richiesto a sproposito all’interessato gene-
rando trattamenti di dati illeciti.

- 37 -
Il GDPR definisce il consenso dell’interessato come “qualsiasi manifestazione di volontà libera,
specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio
assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo ri-
guardano siano oggetto di trattamento”.
Pertanto, quando le imprese devono ottenere il consenso al trattamento dei dati personali, affin-
ché tale consenso sia valido devono essere soddisfatte le seguenti condizioni.
Il consenso deve:
a) essere fornito liberamente;
b) essere informato;
c) essere fornito per uno scopo specifico;
d) indicare chiaramente tutti i motivi del trattamento;
e) essere esplicito e fornito tramite un atto positivo (ad esempio, una casella elettronica da spuntare
online o mediante una firma su un modulo);
f) essere facilmente visibile e le imprese devono utilizzare un linguaggio semplice e chiaro;
g) essere revocabile (ad esempio, tramite un link per annullare l’iscrizione alla fine di una newsletter
elettronica).
Tutti questi requisiti devono essere soddisfatti congiuntamente. In difetto, Il Garante Privacy po-
trebbe reputare invalido il consenso ottenuto dall’interessato con la conseguenza di bloccare il
trattamento e/o procedere ad applicare sanzioni.
Affinché il consenso possa essere fornito liberamente, la persona deve avere libertà di scelta e
deve poter rifiutare o revocare il consenso senza essere penalizzata. Il consenso non dovrebbe
essere considerato liberamente espresso se l'interessato non è in grado di operare una scelta
autenticamente libera o è nell'impossibilità di rifiutare o revocare il consenso senza subire pre-
giudizio. Il consenso non è fornito liberamente se, ad esempio, esiste un evidente squilibrio tra
la persona e l’impresa (ad esempio, si pensi al rapporto datore di lavoro/dipendente) o se si ri-
chiede alle persone il consenso al trattamento di dati non necessari come condizione per l’adem-
pimento di un contratto o di un servizio.
Per essere espresso validamente il consenso deve prevedere una chiara azione positiva (ad
esempio inserire il proprio indirizzo e-mail in un campo dove è chiaramente specificata la finalità
del trattamento).

Consenso e condizioni generali del servizio

Nel caso in cui il consenso sia una clausola inserita all’interno delle condizioni generali del ser-
vizio da parte del fornitore, l’eventuale consenso fornito dall’interessato che firmi solamente le
condizioni generali del servizio non sarà un consenso validamente prestato ai fini della normativa
sulla protezione dei dati.

Consenso non libero, quindi invalido

L’impresa offre servizi di programmi televisivi online. Quando raccoglie i dati necessari per que-
sto contratto, richiede anche dati aggiuntivi, come l’orientamento sessuale o le convinzioni poli-
tiche della persona. Tale persona potrebbe pensare che il suo consenso al trattamento di questo
tipo di dati sia necessario per accedere ai film richiesti. Tuttavia, non lo è. In questo caso, il con-
senso non è libero, è un “consenso vincolato” ed anche nel caso in cui venga ottenuto non è un
- 38 -
consenso valido. Questa è una grave violazione perché prevede il trattamento illecito di categorie
particolari di dati.

Consenso libero, quindi valido

L’informativa sulla protezione dei dati di una compagnia di trasporti indica che i dati personali
dei clienti possono essere trattati per un concorso organizzato dalla compagnia, che mette in
palio dei viaggi gratuiti. I clienti che hanno spuntato la casella accettando di partecipare al con-
corso hanno segnalato chiaramente la volontà di far trattare i loro dati personali per le finalità del
concorso. Sussiste un valido consenso al trattamento dei dati per la partecipazione al concorso,
ma non per altre finalità.

Consenso mediante un atto positivo inequivocabile

Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impo-
stazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qual-
siasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il
trattamento proposto. Non può configurare consenso al trattamento dei dati il silenzio, l'inattività
oppure la preselezione di caselle da parte dell’azienda.

Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse
finalità. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve
essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso
è espresso.
Si ritiene che vi sia un consenso informato da parte dell’interessato solamente nel caso in cui
all’interessato siano fornite le seguenti informazioni tramite l’informativa di cui agli articoli 13 e
14 del GDPR, i cui requisiti sono stati analizzati in precedenza.
È opportuno prevedere una dichiarazione di consenso predisposta dal Titolare del trattamento in
una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro e non
contenga clausole abusive. Qualora il trattamento dei dati personali da parte dell’interessato ab-
bia più finalità, il consenso dovrebbe essere prestato per ciascuna finalità, individualmente. Nel
caso in cui il Titolare del trattamento non fornisca la possibilità di aderire separatamente ad ogni
singolo trattamento per ogni singola finalità, il medesimo non potrà procedere al trattamento dei
dati acquisiti, poiché tale consenso non si riterrà liberamente acquisito.

Consenso per finalità specifiche

Un rivenditore di articoli di abbigliamento (Titolare del trattamento) predispone, per richiedere il
consenso al trattamento dei dati dei propri clienti (Interessati del trattamento), un form con
un’unica casella finalizzato a ricevere e-mail di marketing e il consenso a condividere i dati ac-
quisiti con soggetti terzi. Il consenso non è valido poiché devono essere previste due diverse - e
separate - caselle per le due diverse finalità.

- 39 -
4.4.2 Nel caso di trattamento di categorie particolari di dati
Se il consenso, come visto sopra, per i dati comuni può anche essere implicito (ma mai tacito:
evitare caselle preflaggate!), quando si trattano categorie particolari di dati il consenso deve, in-
vece, essere esplicito, ciò anche nel caso di processi decisionali automatizzati (es. profilazione).
Si consideri che l’impresa può anche ottenere il consenso esplicito via telefono, a condizione che
vengano fornite tutte le informazioni all’Interessato in modo intelligibile e chiaro e con richiesta
di una conferma specifica dell'interessato (ad esempio premendo un pulsante o fornendo con-
ferma orale).
Il Titolare del trattamento può anche ottenere il consenso esplicito da un visitatore del suo sito
web offrendo una schermata di consenso esplicito che contiene le caselle di controllo sì | no , a
condizione che il testo preveda un’espressione del seguente tenore "con la presente, acconsento
al trattamento dei miei dati…", e non invece, "mi è chiaro che i miei dati saranno elaborati ". Per
di avere un consenso valido e informato devono quindi essere soddisfatte più condizioni.

4.4.3 Consenso del dipendente

È fondamentale per le imprese poter procedere al trattamento dei dati dei propri dipendenti e/o
collaboratori.
La situazione datore di lavoro-dipendente è considerata come una relazione asimmetrica (data
la diversa forza contrattuale delle parti) in cui il datore di lavoro ha più potere del dipendente.
Poiché, come precisato sopra, il consenso deve essere dato liberamente, l’impresa nella maggior
parte dei casi dovrà evitare di utilizzare il consenso del dipendente come base giuridica per il
trattamento dei suoi dati.
Tuttavia, potrebbero esserci situazioni in cui il trattamento dei dati personali di un dipendente in
base al consenso del dipendente stesso possa essere considerato lecito, specialmente se è nel
suo proprio interesse. Ad esempio, se una società concede benefici al dipendente o ai suoi fami-
liari (ad esempio sconti sui servizi della società), il trattamento di tali dati personali del dipendente
è consentito e lecito a tale scopo, se è stato fornito previo consenso informato.

Consenso invalido del dipendente

Per ottenere una maggiore produttività l’impresa intende installare delle videocamere CCTV nei
corridoi e all’ingresso dei bagni per poter monitorare i movimenti e il tempo trascorso fuori uffi-
cio. Anche nel caso in cui il dipendente fornisca il consenso, questo è considerato un consenso
non valido. Il Titolare non potrà procedere all’installazione delle videocamere sulla base di tale
consenso, ed anzi è passibile di sanzione per violazione delle norme dello Statuto dei Lavoratori.

4.4.4 Consenso rilasciato prima del 25 maggio 2018

Le imprese che hanno ottenuto il consenso da un interessato prima del 25 maggio 2018 non ne-
cessariamente devono nuovamente richiedere il consenso della persona interessata, se il con-
senso è stato ottenuto rispettando i requisiti del GDPR.
Pertanto, le imprese dovranno assicurarsi che il consenso fornito prima del 25 maggio 2018

- 40 -
soddisfi le condizioni stabilite nel GDPR ma dato che le informazioni da fornire ai sensi di legge
sono aumentate si consiglia di rinnovare eventuali consensi di dipendenti e clienti. Il consiglio
generale è quello di integrare le informative già rese e, in via prudenziale, fare sottoscrivere di
nuovo l’informativa per presa visione.

Richiesta del consenso

Sulla base del principio di responsabilizzazione il Titolare del trattamento deve tenere traccia di
qualunque manifestazione inequivocabile di consenso. Nel caso in cui il Titolare non sia docu-
mentalmente in possesso del consenso dell’interessato, dovrà procedere ad una nuova richiesta
di consenso.

Richiesta di consenso non necessaria

L’impresa ha fornito tutte le informazioni previste dal GDPR all’Interessato ed ha verificato che il
consenso all’interno dell’organizzazione è stato raccolto per iscritto ed è conforme a tutti i requi-
siti del GDPR. In questo caso, l’impresa non deve procedere a richiedere nuovamente il consenso
ai propri clienti dopo il 25 maggio 2018.

Revoca del consenso

L’impresa invia una newsletter online, avendo ricevuto il consenso dell’interessato. Successiva-
mente l’interessato comunica al Titolare che non desidera più ricevere la newsletter online. L’im-
presa dovrà cancellare dal database tutti i dati personali relativi a tale persona raccolti nel con-
testo dell’iscrizione alla newsletter, mantenendo in essere quelli relativi ad altre finalità (ad
esempio, alla gestione del contratto con l’interessato).

4.4.5 Consenso on line tramite Double opt-in

Consiste nella verifica in due fasi del consenso e serve ad assicurare che il consenso esplicita-
mente rilasciato sia valido. Ciò avviene quando il soggetto interessato, dopo aver rilasciato il pro-
prio consenso, riceve un’ulteriore comunicazione (via e-mail o sms) da parte del Titolare.
Il Titolare, infatti invia all’indirizzo e-mail dell’interessato un’ulteriore comunicazione – normal-
mente contenente un link di verifica -in cui chiede nuovamente conferma all’interessato della sua
volontà di acconsentire al trattamento dei dati.
Questa è un’ottima pratica che consente al Titolare di avere la documentazione necessaria a di-
mostrare, in caso di specifica richiesto da parte dell’interessato o del Garante Privacy, quando e
in che modalità ha ottenuto il consenso dall’Interessato.

4.4.6 Marketing Digitale e conformità al GDPR e cookies

La maggior parte delle PMI oggi ricorre a campagne di digital marketing per molteplici funzioni:
dalla promozione di loro prodotti e servizi online, alla pianificazione strategica di vendita e distri-
buzione, alla raccolta dati di potenziali clienti (prospect) attraverso azioni di “lead generation”. La

- 41 -
programmazione delle attività di marketing non può ignorare le implicazioni derivanti dall’appli-
cazione della normativa privacy e dagli obblighi che fanno capo al Titolare del trattamento.
Prima di lanciare qualunque campagna di digital marketing è fondamentale analizzare quale sia
la base giuridica che legittima la singola operazione e quali siano le specifiche finalità perseguite
dal Titolare del trattamento.
Per tutte le attività di marketing è richiesto il consenso del soggetto interessato che non può es-
sere tacito ma deve potersi almeno desumere da comportamenti concludenti. Ad esempio, nel
caso in cui l’azienda desiderasse svolgere attività di e-mail marketing inviando una newsletter ai
soggetti facenti parte del suo database, è necessario che il soggetto sia messo nella condizione
di comprendere che, inserendo il suo indirizzo e-mail nell’apposito form di contatto, chiede di
iscriversi alla mailing list dell’azienda e che legittima quindi quest’ultima ad inviargli informazioni
a contenuto promozionale.
L’interessato deve sempre essere posto nella condizione di chiedere la propria rimozione dalla
mailing list e di non ricevere più comunicazioni da parte dell’azienda in questione.
Inoltre, il consenso deve essere espressamente richiesto all’interessato per ogni specifica fina-
lità. Ad esempio, nel caso in cui l’azienda desiderasse effettuare attività di profilazione degli utenti
così da fornire ad ogni utente delle comunicazioni in linea con le sue propensioni di acquisto, è
necessario che questa finalità sia chiaramente portata a conoscenza dell’interessato nell’infor-
mativa e che egli rilasci un apposito ed espresso consenso per la profilazione.
Una questione analoga si pone anche per le attività di lead generation che coinvolgono l’utente
attraverso attività interattive sul sito web o sui social media. La finalità di ogni attività di lead
generation è quella di permettere all’azienda di creare – magari condividendo contenuti informa-
tivi utili per gli utenti - un database di potenziali clienti, i quali hanno dimostrato un determinato
interesse nei confronti di un prodotto o servizio e veicolare in questo modo le comunicazioni com-
merciali e promozionali nei loro confronti.
Anche nel caso di campagne di lead generation il Titolare del trattamento deve fornire all’Inte-
ressato l’idonea informativa, raccogliere il consenso al trattamento dei dati personali, consentire
all’interessato di chiedere la propria rimozione dal database aziendale e di non voler più ricevere
future comunicazioni commerciali.
Oggi molte attività di questo tipo avvengono tramite l’utilizzo dei canali social che consentono
all’azienda che lo desidera di interagire con un ampio bacino di utenti.
È importante sottolineare che per agire in conformità alla normativa, il Titolare del trattamento
non potrà mai effettuare attività di marketing inviando messaggi direttamente ai singoli utenti
così come postare dei contenuti sulla bacheca o pagina personale degli utenti sui social media.
Inoltre, come ha chiarito più volte il Garante Privacy, il fatto che un utente pubblichi contenuti o
dati personali sul proprio profilo su un social network non significa che tali informazioni siano
pubbliche e che possano essere utilizzate senza l’espresso consenso dell’interessato.
L’invio di comunicazioni promozionali riguardanti un determinato marchio o prodotto, effettuato
dalla relativa pagina social dell’impresa, può considerarsi lecito se dal contesto o dalle modalità
di funzionamento del social network può dedursi che l’interessato abbia manifestato la propria
volontà di ricevere messaggi promozionali da parte di una determinata azienda.
L’utente deve essere messo nella condizione di poter avere cognizione circa le modalità di

- 42 -
trattamenti dei suoi dati, ad esempio trovando le relative informazioni nelle impostazioni della
Pagina Fan dell’azienda su Facebook in cui dovrebbe essere presente il link che rimanda all’in-
formativa del sito web aziendale.

4.4.7 Consenso al trattamento durante la navigazione web mediante i Cookies

Prima del 25 maggio 2018 l’attività di profilazione online, a certe condizioni, doveva essere noti-
ficata al Garante Privacy secondo quanto disposto dall’art. 37, comma 1 del Codice Privacy. Con
la piena efficacia del GDPR, dal 25 maggio 2018, l’obbligo di notificazione preventiva al Garante
Privacy è stato abrogato. Nessuna preventiva comunicazione deve essere quindi fatta al Garante
Privacy in merito allo svolgimento di profilazione degli utenti finalizzata a ricondurre i medesimi
in determinate categorie (la cd. “clusterizzazione”).
Quando si parla di privacy e di tutela dei dati personali i cookies non possono essere tralasciati
poiché sono strumenti in grado di rendere identificabile un soggetto o di rivelare informazioni
che lo riguardano (come nel caso in cui i Cookie siano impiegati per raccogliere gli indirizzi IP dei
navigatori).
L’accettazione della cookie policy non può essere per l’utente una scelta obbligata, né è possibile
prevedere l’installazione di cookie sul dispositivo dell’utente che possono identificarlo o tracciare
le sue operazioni online prima che egli abbia dato il proprio consenso specifico, espresso ed
inequivocabile.
Il gestore del sito web deve prevedere un pannello (c.d. cookie banner) che compare sulla home
page del sito non appena un nuovo utente arriva sul sito web. Il cookie banner può essere definito
semplicemente come un’interfaccia attraverso cui un utente può scegliere se accettare o meno
l’utilizzo di Cookie, durante la sua prima navigazione oppure dopo che un consenso dato è sca-
duto. Nel banner devono essere presenti i link che rimandano all’informativa sui cookie, un pul-
sante per acconsentire all’installazione di cookie durante la navigazione e uno che invece per-
metta all’utente di rifiutare l’installazione degli stessi nel corso della sua prima navigazione.
È inoltre necessario che il Cookie banner contenga un link che rimandi ad una pagina in cui vi sia
una spiegazione (di facile comprensione per il navigatore) circa la natura dei cookie utilizzati, le
differenze tra le tipologie impiegate ad esempio cookie di sessione, persistenti, di navigazione,
tecnici, di marketing, di profilazione, analitici.
I Cookie di profilazione sono strumenti ampiamente utilizzati per monitorare le attività e i percorsi
compiuti online dagli utenti così da permettere di “clusterizzarli” in modo che l’azienda possa
proporre a specifici target prodotti e servizi in linea con la loro propensione di acquisto (cd. be-
havioral advertising).
Un’altra tipologia di Cookie molto utilizzata dai gestori di siti web è quella dei Cookie analitici che
consentono di raccogliere informazioni, in forma anonima e aggregata, sul numero degli utenti
che hanno navigato sul sito, sulle pagine più visualizzate e sulla durata delle sessioni.
Nel caso in cui il sito utilizzasse anche Cookie di proprietà di terze parti, l’informativa dovrebbe
indicare il link che rimanda alle informative dei proprietari di Cookie di terze parti in modo che il
navigatore sia messo nella condizione di sapere chi è il soggetto proprietario del Cookie utilizzato,
le sue modalità di funzionamento e il tempo di persistenza sul proprio browser.
Recentemente la Corte di Giustizia dell’Unione europea (di seguito, “CGUE”) si è espressa sull’uti-
lizzo di Cookie e sulla granularità (consenso specifico per ogni finalità perseguita dal titolare del

- 43 -
sito) ed inequivocabilità del consenso per una loro installazione. In particolare, la CGUE, con sen-
tenza del 1° ottobre 2019 C-673/17, ha affermato e che i gestori di siti web, qualora vogliano me-
morizzare Cookie sui dispositivi degli utenti devono richiedere un consenso specifico, libero, ine-
quivocabile ed informato, così come richiesto dall’art. 4 del GDPR. La CGUE ha inoltre specificato
che non può considerarsi validamente prestato il consenso all’utilizzo di Cookie mediante una
casella di spunta preselezionata che l’utente deve deselezionare nel caso in cui non voglia che i
suoi dati siano sottoposti al trattamento. L’utente deve quindi essere messo nella condizione di
poter scegliere se prestare o meno il consenso ed inoltre questo non deve essere dato indistin-
tamente per ogni tipologia Cookie, ma l’utente deve poter dare consenso all’utilizzo di un certo
tipo di Cookie (quelli necessari alla navigazione sul sito) e poterne rifiutare l’impiego di altri (come
ad esempio per quelli di profilazione che risultano essere maggiormente invasivi).
In un provvedimento sanzionatorio del 2018 il Garante Privacy ha stabilito che l’attività di elabo-
razione, attraverso un algoritmo, di dati personali ulteriori rispetto a quelli necessari a fornire la
prestazione base, sostanzia, già di per sé, una categorizzazione finalizzata a soddisfare specifiche
esigenze dell’utente fruitore, in vista, ovviamente, di un vantaggio economico per il fornitore e,
quindi, un’attività di profilazione14.
Per approfondimenti si veda l’apposita sezione del sito del Garante Privacy su cookies e profila-
zione15.

Il tuo sito/blog installa cookie? Cosa devi fare

IMPORTANTE: per una corretta interpretazione degli adempimenti Inserire il banner e
Segnalarli Notificare
previsti, si raccomanda la consultazione del Provvedimento del richiedere il consenso
Garante dell’8 maggio 2014 e dei «Chiarimenti in merito nell’informativa al Garante
all’attuazione della normativa in materia di cookie». ai visitatori
I documenti sono disponibili su www.garanteprivacy.it/cookie Art .2, par. 5, Direttiva 2009/136/CE Art .2, par. 5, Direttiva 2009/136/CE Art. 37, comma 1, lett. d),
e art. 122, comma 1, Codice privacy e art. 122, comma 1, Codice privacy Codice privacy

CHE TIPO DI COOKIE INSTALLI? LEGENDA: adempimento previsto adempimento non previsto

Nessun cookie

Tecnici o analitici
prima parte

Analitici terze parti

(se sono adottati strumenti che riducono il
potere identificativo dei cookie e la terza
parte non incrocia le informazioni raccolte
con altre di cui già dispone) – vedi punto 2
dei «Chiarimenti in merito all'attuazione
della normativa in materia di cookie»

Analitici terze parti

(se NON sono adottati strumenti che riducono
il potere identificativo dei cookie e la terza
parte non incrocia le informazioni raccolte con
altre di cui già dispone) – vedi punto 2 dei
«Chiarimenti in merito all'attuazione della
normativa in materia di cookie»

Di profilazione prima parte

La notificazione è
Di profilazione terze parti a carico del soggetto
terza parte che
svolge l’attività di
profilazione

14
Ordinanza ingiunzione del 18 gennaio 2018 [8341304]
15
http://www.garanteprivacy.it/cookie

- 44 -
4.4.8 Consenso per acquisizione di banche dati a scopo di marketing
Prima di acquisire da un’altra impresa o organizzazione un elenco di contatti o un database con-
tenente recapiti di persone, il Titolare deve essere in grado di dimostrare che i dati sono stati
ottenuti nel rispetto del GDPR e che è possibile utilizzarli a fini pubblicitari. Ad esempio, se
l’azienda li ha acquisiti in base al consenso, tale consenso doveva prevedere la possibilità di tra-
smettere i dati ad altri destinatari (soggetti terzi) per finalità di marketing diretto (di tali terzi). In
difetto non sarà possibile acquisire i predetti dati.
Le imprese che acquisiscono dati devono anche assicurarsi che l’elenco o il database sia aggior-
nato e che non si invii pubblicità a persone che si siano opposte al trattamento dei loro dati per-
sonali per finalità di marketing diretto. È inoltre necessario garantire che, se si utilizzano comu-
nicazioni come la posta elettronica a fini di marketing diretto, si rispettino le norme stabilite nella
direttiva e-privacy di prossima revisione16.
Questi elenchi sono trattati in base al consenso e le persone avranno il diritto di opporsi a tale
trattamento. Le imprese che acquisiscono tali dati devono inoltre informare le persone, al più
tardi al momento della prima comunicazione con loro, che ha raccolto i loro dati personali e che
li tratterà per l’invio di pubblicità: cioè fornire loro la propria informativa privacy.
Si deve segnalare che il GDPR stabilisce:
a) Considerando 47 “Costituisce parimenti legittimo interesse del titolare del trattamento interessato
trattare dati personali strettamente necessari a fini di prevenzione delle frodi. Può essere
considerato legittimo interesse trattare dati personali per finalità di marketing diretto.”
b) Considerando 70 “Qualora i dati personali siano trattati per finalità di marketing diretto,
l’interessato dovrebbe avere il diritto, in qualsiasi momento e gratuitamente, di opporsi a tale
trattamento, sia con riguardo a quello iniziale o ulteriore, compresa la profilazione nella misura
in cui sia connessa a tale marketing diretto. Tale diritto dovrebbe essere esplicitamente portato
all’attenzione dell’interessato e presentato chiaramente e separatamente da qualsiasi altra
informazione.”
Quanto al punto a) si consideri che la nostra dottrina e l’attuale orientamento del Garante Privacy
sono orientati a limitare fortemente la portata di quanto previsto al punto a) in materia di marke-
ting ed in ogni caso qualora si volesse optare per tale base giuridica si dovrebbe lasciare traccia
del proprio ragionamento sul Registro delle attività di trattamento.

Acquisizione dati per scopo di marketing

L’impresa (società X) gestisce diverse palestre in Piemonte. Un’altra impresa possiede diverse
librerie in Piemonte (società Y) ed è in buoni rapporti con X. Ambedue le imprese raccolgono i
dati dai rispettivi clienti. Tuttavia, le librerie della società Y non stanno andando molto bene: il
database dei clienti ha pochi nominativi e sempre meno persone entrano nei negozi. L’impresa
Y dice alla impresa X di avere una nuova biografia di un famoso atleta e chiede se i clienti della
libreria Y sarebbero Interessati a ricevere pubblicità sul libro. I termini dell’informativa sulla pri-
vacy libreria Y informavano i suoi clienti dell'eventualità che i dati forniti fossero condivisi con

16
Quella vista prima, ovvero, la Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al
trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita
privata e alle comunicazioni elettroniche)

- 45 -
partner che offrivano prodotti nel settore salute e fitness. Se è stato fornito il consenso specifico
alla possibilità di trasmettere i dati ad altri destinatari per il loro marketing diretto, la libreria Y
potrà inviare l’elenco dei suoi clienti all’impresa X. Tuttavia, non potranno essere inviati dati re-
lativi a persone che successivamente all’acquisizione del consenso da parte di Y si siano opposte
al trattamento dei propri dati personali.

- 46 -
 Capitolo 5
Diritti degli interessati
5. DIRITTI DEGLI INTERESSATI

5.1 Introduzione
Il Titolare del trattamento deve garantire all’Interessato il diritto di:
• essere informato sul trattamento dei suoi dati personali;
• ottenere l’accesso ai dati personali detenuti su di lui (“diritto di accesso”);
• chiedere la correzione di dati personali errati, inaccurati o incompleti (“diritto di correzione”);
• richiedere che i dati personali vengano cancellati quando non sono più necessari o se il loro
trattamento è illecito (“diritto di cancellazione”);
• potersi opporre al trattamento dei dati personali per scopi di marketing o per motivi legati alla
situazione specifica dell’interessato (“diritto di opposizione”);
• richiedere la limitazione del trattamento dei dati personali in casi specifici (“diritto di limita-
zione del trattamento”);
• ricevere i suoi dati personali in un formato leggibile da un dispositivo automatico e poterli
inviare a un altro Titolare del trattamento (“diritto alla portabilità dei dati”);
• richiedere che le decisioni basate sul trattamento automatizzato che li riguardano o che influi-
scono sull’interessato in modo significativo e basate sui suoi dati personali siano prese da
persone fisiche, non solo da algoritmi. In questo caso l’interessato ha anche il diritto di espri-
mere la sua opinione e di contestare la decisione (diritto di non essere sottoposto a decisione
basata unicamente su processo automatizzato).
Per l’esercizio di questi diritti l’interessato potrà contrattare il Titolare del trattamento o il Re-
sponsabile del trattamento. Nel caso in cui l’impresa nomini un DPO, l’Interessato potrà rivolgere
la propria richiesta a quest’ultimo.
Le imprese sono autorizzate a verificare l’identità dell’interessato, ad esempio richiedendo tra-
mite un link di verifica, inserendo nome utente o password oppure se tali diritti sono esercitati
off line dall’interessato mediante la richiesta di copia di un documento di identità.
Il D.lgs. 2018/101 ha esteso, come già previsto dal Garante Privacy nei suoi provvedimenti, che i
diritti sopra elencati siano estesi anche alle persone decedute da chi ha un interesse proprio, o
agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di
protezione (art. 2-terdecies del Codice Privacy).

5.2 Riscontro all’interessato

Il Titolare deve fornire una risposta all’interessato in caso di esercizio dei diritti di quest’ultimo,
ai sensi degli artt. 15-22 del GDPR, entro 1 mese dal ricevimento della richiesta da parte dell’in-
teressato, estendibile sino a 3 mesi solamente in casi di particolare complessità della richiesta.
Il Titolare, ai sensi del GDPR, deve comunque dare un riscontro all’interessato entro 1 mese dalla
richiesta, anche in caso di diniego.
Se il trattamento dei dati personali viene effettuato per via elettronica, l’impresa dovrà fornire i
mezzi per presentare le richieste degli interessati in formato elettronico (si consiglia di adottare
un indirizzo e-mail dedicato).

- 47 -
Spetta al Titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare
dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manife-
stamente infondate o eccessive (anche ripetitive) ovvero se sono chieste più “copie” dei dati per-
sonali nel caso del diritto di accesso (art. 15, comma 3 GDPR); in quest’ultimo caso il Titolare deve
tenere conto dei costi amministrativi sostenuti.
Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti
elettronici che ne favoriscano l’accessibilità, preferibilmente con lo stesso mezzo di comunica-
zione adottato dall’Interessato, può essere dato oralmente solo se così richiede l’Interessato
stesso (ma dovrà essere documentato a cura del Titolare).
La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, traspa-
rente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
Il Titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando
ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo Titolare a dover dare riscon-
tro in caso di esercizio dei diritti, il Responsabile è tenuto a collaborare con il Titolare ai fini di
agevolare l’esercizio dei diritti degli Interessati, ovviamente per quanto di propria competenza.
L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, ma possono esservi ecce-
zioni come abbiamo visto, ad esempio nel caso di richiesta di più copie. Se le richieste sono ma-
nifestamente infondate o eccessive, in particolare a causa del loro carattere ripetitivo, l’impresa
può addebitare un costo ragionevole o rifiutarsi di procedere con la richiesta.
Il Titolare ha il diritto di chiedere informazioni necessarie a identificare l’Interessato, e quest’ul-
timo ha il dovere di fornirle, secondo modalità idonee.
Sono ammesse deroghe ai diritti riconosciuti dal GDPR, ma solo sul fondamento di disposizioni
normative nazionali, ai sensi dell’articolo 23 nonché di altri articoli relativi ad ambiti specifici.
Si noti che una richiesta dell’Interessato non deve necessariamente contenere i riferimenti agli
articoli di legge, il Titolare deve guardare la sostanza della richiesta e procedere di conseguenza.

Raccomandazioni del Garante Privacy: predisporre una procedura interna

È opportuno che i Titolari di trattamento adottino le misure tecniche e organizzative eventual-
mente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli
Interessati, che – a differenza di quanto precedentemente previsto – dovrà avere per imposta-
zione predefinita forma scritta (anche elettronica). Potranno risultare utili le indicazioni fornite
dal Garante Privacy nel corso degli anni con riguardo all’intelligibilità del riscontro fornito agli
Interessati e alla completezza del riscontro stesso.

Accessi ripetuti da parte dell’interessato

Una persona che ha avuto accesso a tutti i suoi dati personali il mese precedente presenta nuo-
vamente la stessa richiesta di accesso agli stessi dati personali. Le imprese possono respingere
la richiesta o richiedere un compenso ragionevole.

- 48 -
5.2.1 Diritto di accesso
Il diritto di accesso ai dati trattati dalle imprese prevede per l’interessato il diritto di ricevere una
copia dei dati personali oggetto di trattamento.
Fra le informazioni che il Titolare deve fornire non rientrano le “modalità” del trattamento, mentre
occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per
definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi
terzi.
Quando qualcuno richiede l’accesso ai propri dati personali, l’impresa deve:
• confermare se sta trattando o meno dati personali che li riguardano;
• fornire una copia dei dati personali in suo possesso;
• fornire informazioni sul trattamento (quali finalità, categorie di dati personali, destinatari etc.).
L’impresa deve fornire gratuitamente alla persona interessata una copia dei suoi dati personali;
eventuali ulteriori copie possono essere soggette a una tariffa ragionevole.
L’esercizio del diritto di accesso è dettagliatamente disciplinato dall’art. 15 del GDPR.
È importante sottolineare che il diritto di accesso dell’Interessato non deve ledere i diritti di terzi.

Diritto di accesso
L’impresa fornisce un servizio di social network online in base al quale le persone possono
scambiarsi messaggi e immagini. L’interessato contatta l’impresa per accedere ai suoi dati per-
sonali e per verificare quali dati e come gli stessi vengono trattati. L’azienda è tenuta a confer-
mare che sta trattando dati personali ed a fornirne una copia (come nome, dettagli di contatto,
messaggi e immagini scambiate). È necessario anche fornire le informazioni sul trattamento, che
di solito sono inserite nell’informativa sulla privacy del servizio.

5.2.2 Diritto di rettifica

L'Interessato ha il diritto di ottenere dal Titolare del trattamento (i) la rettifica dei dati personali
inesatti che lo riguardano senza ingiustificato ritardo e (ii) l'integrazione dei dati personali incom-
pleti, anche fornendo una dichiarazione integrativa.

5.2.3 Diritto di cancellazione (“oblio”)

Il diritto all’oblio della sentenza di Corte di Giustizia denominata Google Spain17 è diverso rispetto
a quanto prevede il GDPR. La Corte di Giustizia nel caso citato ha ordinato al motore di ricerca,
individuato quale Titolare del trattamento, tra l’altro, la deindicizzazione del nome dell’interessato
dai risultati di ricerca (la persona a cui, per un debito previdenziale, l’abitazione era stata messa
in vendita), mentre i contenuti non sono stati cancellati dal web. Il diritto di cancellazione permette
all’Interessato, qualora ne ricorrano i presupposti, di far cancellare al Titolare del trattamento i
dati personali che lo riguardano. Si prevede, infatti, l’obbligo per i Titolari (se hanno “reso

Cfr. causa C-131/12, Google Spain SL, Google Inc. contro Agencia Española de Protección de Datos (AEPD), Mario Costeja
17

González del 13 maggio 2014.

- 49 -
pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare
della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi
“qualsiasi link, copia o riproduzione”: quindi il presupposto è lo stesso (un dato oggetto di diffu-
sione) ma le conseguenze pratiche sono molto diverse.
Il Titolare del trattamento ha l’obbligo di cancellare i dati personali dell’interessato, tra l’altro, nei
seguenti casi:
a) quando non sono più necessari rispetto alle finalità della raccolta;
b) il trattamento si basa sul consenso e l’interessato lo ha revocato;
c) i dati sono trattati illecitamente;
d) i dati devono essere cancellati per adempiere ad un obbligo legale.
L’interessato ha il diritto di chiedere alle imprese la cancellazione dei propri dati anche dopo la
revoca del consenso al trattamento.
Il GDPR consente alle persone il diritto di chiedere la cancellazione dei loro dati e il Titolare ha
l’obbligo di farlo, tranne che nei seguenti casi:
• i dati personali servono per esercitare il diritto alla libertà di espressione;
• esiste un obbligo giuridico per le imprese di conservazione dei dati;
• sussistono motivi di interesse pubblico18;
• accertamento ed esercizio di un diritto in sede giudiziaria.
Nel caso in cui un’impresa abbia trattato dati in modo illecito, questi devono essere cancellati. Lo
stesso vale per una richiesta da parte di una persona nel caso in cui l’impresa abbia raccolto i
suoi dati personali quando era ancora minorenne.
I Titolari che hanno "reso pubblici" i dati personali dell’interessato: ad esempio, pubblicandoli su
un sito web devono informare della richiesta di cancellazione altri titolari che trattano i dati per-
sonali cancellati, compresi "qualsiasi link, copia o riproduzione".
Tuttavia, le imprese potranno conservare i dati che sono stati sottoposti ad un adeguato processo
di anonimizzazione.

Cancellazione dei dati non necessaria

L’impresa gestisce un giornale online che pubblica un articolo su come un politico abbia riciclato
denaro in banche off-shore. Il politico chiede di rimuovere l’articolo. Il giornale on line sta utiliz-
zando i dati personali per esercitare il diritto all’informazione quindi, in linea di principio, non c’è
obbligo di cancellazione di tali dati. Sarebbe diverso se l’interessato non fosse un personaggio
pubblico e la notizia non rivestisse interesse per la collettività.

Cancellazione dei dati

L’impresa gestisce una piattaforma di social media, un minore carica delle foto; alcuni anni dopo
il minore (oggi maggiorenne) ritiene che tali foto potrebbero danneggiare le sue prospettive di
carriera. Dato che la persona era minorenne al momento del caricamento, è necessario cancel-
lare tali foto. Inoltre, se le foto sono state trattate su altri siti web, l’impresa deve prendere misure
ragionevoli per informare anche gli altri siti web che è stata presentata una richiesta di
18
Ad esempio, sanità pubblica, scopi di ricerca scientifica o storica.

- 50 -
cancellazione delle foto.

5.2.4 Diritto di limitazione del trattamento

Il diritto di limitazione del trattamento è un nuovo diritto, sorto con il GDPR. Se l’interessato con-
testa l’esattezza dei dati personali, il Titolare non può più utilizzarli sino a che non ha accertato
che gli stessi sono trattati lecitamente. Esso è esercitabile non solo in caso di violazione dei pre-
supposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì an-
che se l’interessato chiede la rettificazione dei dati (in attesa di tale rettifica da parte del Titolare)
o si oppone al loro trattamento ai sensi dell’art. 21 del GDPR (in attesa della valutazione da parte
del Titolare).
Esclusa la conservazione, è vietato ogni altro trattamento del dato di cui si chiede la limitazione,
a meno che ricorrano determinate circostanze:
• consenso dell’interessato;
• accertamento dei diritti in sede giudiziaria;
• tutela dei diritti di altra persona fisica o giuridica;
• interesse pubblico rilevante.

Raccomandazioni del Garante

Il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determi-
nazioni ulteriori; pertanto, è opportuno che i titolari prevedano nei propri sistemi informativi (elet-
tronici o meno) misure idonee a tale scopo.

5.2.5 Diritto di opposizione al trattamento

Gli Interessati hanno il diritto di opporsi al trattamento dei dati personali a loro riferibili sulla base
della loro situazione particolare e, quindi, in sostanza, in base ad una valutazione operata caso
per caso.
Nell’esercizio del diritto di opposizione, il Titolare non potrà più trattare i dati, a meno che non si
dimostri che il trattamento è necessario per motivi che prevalgono sui diritti e le libertà della
persona oppure se i dati sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in
sede giudiziaria.
Gli Interessati hanno inoltre il diritto di opporsi in qualsiasi momento al trattamento dei loro dati
personali per finalità di marketing diretto. Ai sensi del GDPR, il marketing diretto è inteso come
qualsiasi azione intrapresa da un’azienda per comunicare materiale pubblicitario o di marketing
rivolta a determinati soggetti.
Le imprese sono tenute ad informare gli interessati utilizzando l’informativa ai sensi dell’art. 13
del GDPR, o successivamente ai sensi dell’art. 14 del GDPR, se i dati non sono raccolti presso
l’Interessato, che i loro dati saranno usati per finalità di marketing diretto e che hanno il diritto di
opporsi gratuitamente. Se una persona si oppone al trattamento per finalità di marketing diretto,
l’impresa non potrà più trattare i suoi dati personali per tali finalità.

- 51 -
 Legittimo rigetto della richiesta di opposizione al trattamento
Nel settore assicurativo, molto spesso i dati personali sono necessari per la difesa di un diritto in
sede giudiziaria in caso di misure antifrode o antiriciclaggio. In tali casi, le compagnie possono
rifiutare di accogliere la richiesta di opposizione di un Interessato per motivi che prevalgono sui
diritti e sulle libertà individuali.

5.2.6 Diritto alla portabilità dei dati

Si tratta di uno dei nuovi diritti previsti dal GDPR, anche se non è del tutto sconosciuto ai consu-
matori (si pensi alla portabilità del numero telefonico presso altro operatore).
È bene segnalare che il diritto di portabilità dei dati non si applica ai trattamenti di dati personali
non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche
condizioni per il suo esercizio.
In particolare, le imprese devono garantire la portabilità – dei dati comuni e sensibili - solo dei
dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato
(quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse
legittimo del Titolare, per esempio), e solo relativamente ai dati che siano stati “forniti” dall’Inte-
ressato al Titolare.
L’impresa deve fornire all’interessato i dati in un formato strutturato e leggibile da un dispositivo
automatico oppure anche, su richiesta dell’Interessato, direttamente ad un altro Titolare di trat-
tamento.

Portabilità dei dati

Un paziente di una clinica privata in Spagna si trasferisce in un’altra clinica in Italia. Chiede alla
clinica spagnola, che dispone di file elettronici, di fornirgli i dati personali in un formato strutturato
leggibile da un dispositivo automatico, per poter trasmettere i dati agli operatori sanitari italiani.
La clinica spagnola deve fornire i dati personali in un formato aperto di uso comune (ad esempio,
XML, JSON, CSV, etc.). Quando si seleziona un formato di dati, l’organizzazione deve considerare
in che modo questo formato influenzerebbe o ostacolerebbe il diritto della persona a riutilizzare
i dati. Ad esempio, fornire ad un soggetto files in formato PDF della sua cartella clinica potrebbe
non essere sufficiente a garantire che i dati personali siano facilmente riutilizzabili.

5.2.7 Diritti riguardo alle decisioni automatizzate

Gli Interessati non dovrebbero essere soggetti a una decisione basata esclusivamente su un trat-
tamento automatizzato (ad esempio fondato su algoritmi) e giuridicamente vincolante o che incida
in modo significativo sulla sua persona.
Si considera che una decisione produca effetti giuridici quando i diritti legali o lo status giuridico
della persona ne risentono (ad esempio, il suo diritto di voto). Inoltre, il trattamento può avere un
impatto significativo su una persona se influisce sulle circostanze in cui si trova, sul suo compor-
tamento o sulle sue scelte (ad esempio, il rifiuto di una domanda di credito online).
Il ricorso al trattamento automatizzato ai fini del processo decisionale è autorizzato solo nei

- 52 -
seguenti casi:
• la decisione basata, ad esempio, sull’algoritmo è necessaria (cioè non ci deve essere altro modo
per raggiungere lo stesso obiettivo) per stipulare o eseguire un contratto con la persona i cui dati
sono stati trattati (ad esempio, una domanda di prestito online);
• una particolare legge (dell’Unione europea o nazionale) consente, ad esempio, l’uso di algoritmi e
prevede adeguate garanzie per salvaguardare i diritti, le libertà e gli interessi legittimi della per-
sona (ad esempio, norme contro l’evasione fiscale);
• la persona ha esplicitamente acconsentito a una decisione basata su algoritmo.
Tuttavia, la decisione presa deve salvaguardare i diritti, le libertà e gli interessi legittimi dell’in-
teressato, mediante l’applicazione di adeguate garanzie. Salvo nei casi in cui tale decisione sia
basata su una legge, negli altri due casi le imprese, in caso di trattamenti automatizzati, devono
informare gli Interessati:
• della logica applicata nel processo decisionale;
• del suo diritto di ottenere un intervento umano;
• delle potenziali conseguenze del trattamento;
• del suo diritto di contestare la decisione.
Le imprese dovranno quindi adottare le disposizioni procedurali necessarie per consentire alla
persona interessate di esprimere il proprio punto di vista e contestare la decisione.
Infine, occorre prestare particolare attenzione se l’algoritmo utilizza particolari categorie di dati
personali (“dati sensibili”): il processo decisionale automatizzato è consentito solo a queste con-
dizioni:
• se la persona interessata ha dato il suo consenso esplicito; oppure
• se il trattamento è necessario per motivi di rilevante interesse pubblico in base al diritto
dell’Unione europea o nazionale.
Inoltre, quando sono coinvolti dati di minori, le imprese devono evitare di prendere decisioni
esclusivamente automatizzate che producano effetti legali o analogamente significativi su tale
persona, perché i minori rappresentano un gruppo considerato particolarmente vulnerabile.

Decisione basata su algoritmi

L’impresa è una banca online che offre prestiti. I clienti inseriscono i loro dati e l’algoritmo pro-
duce risultati sull’opportunità di offrire o meno al cliente un prestito e sul tasso di interesse sug-
gerito. La banca deve riesaminare la decisione prima di comunicarla al potenziale cliente e in-
formarlo che può esprimere la sua opinione ed eventualmente contestare la decisione, tenendo
presente che ha il diritto di non essere soggetto a una decisione basata su algoritmi.

- 53 -
 Capitolo 6
Mappatura dei dati e gestione del rischio
6.1 REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO

6.1.1 Introduzione
Il GDPR stressa il concetto di "responsabilizzazione" (accountability nell'accezione inglese) di Ti-
tolari e Responsabili – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la con-
creta adozione di misure finalizzate ad assicurare l'applicazione della normativa.
Si richiamano i concetti di “data protection by default” e “by design”, ossia la necessità di configu-
rare il trattamento prevedendo fin dall'inizio le garanzie indispensabili "al fine di soddisfare i re-
quisiti" del regolamento e tutelare i diritti degli interessati – tenendo conto del contesto comples-
sivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.
Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio e
richiede, pertanto, un'analisi preventiva ed in una serie di attività specifiche e dimostrabili.
Come già visto, il GDPR conferma e, per altri versi innova, gli obblighi delle imprese che si con-
cretizzano nelle seguenti attività, alcune delle quali andranno annotate nel Registro delle attività
di trattamento:
a) valutare se nominare un DPO;
b) predisporre il registro delle attività di trattamento;
c) rendere l’informativa agli Interessati (dipendenti, collaboratori, clienti, fornitori) con le nuove in-
formazioni imposte dal GDPR), raccogliendone il consenso quando necessario;
d) nominare i soggetti Responsabili del trattamento (per gli outsourcer) e revocare nomine a Re-
sponsabili inutili e dannose;
e) dare apposite istruzioni ai soggetti autorizzati a trattare i dati (i dipendenti, collaboratori, stagisti,
etc.), comprensivi di regole su uso di posta elettronica ed Internet in azienda;
f) approntare misure adeguate di sicurezza a protezione dei dati (senza tralasciare di gestire la vi-
deosorveglianza e l’uso di badge in azienda: soprattutto attenzione ai badge intelligenti che rac-
colgono molti dati dei lavoratori);
g) valutare se effettuare una o più valutazioni d’impatto sulla protezione dei dati e, nel caso, la co-
municazione preventiva al Garante Privacy;
h) predisporre una procedura di riscontro all’Interessato;
i) predisporre una procedura in caso di violazione di dati.

6.1.2 Quando è obbligatorio

Il Registro delle attività di trattamento è obbligatorio qualora si verifichi anche solo uno dei se-
guenti casi:
• imprese con più di 250 dipendenti;
• trattamento che possa presentare un rischio per i diritti e le libertà dell'interessato;
• qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti)
che trattamenti categorie particolari di dati (dati sensibili) o dati relativi a condanne penali e a reati.
Il Registro deve quindi essere tenuto sia dal Titolare che dal Responsabile, ciascuno per la parte
- 54 -
di propria competenza. Ogni Responsabile dovrebbe quindi avere un apposito registro che de-
scriva il trattamento di ogni Titolare.
Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta
del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circo-
scrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra indi-
viduate (es. ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo
lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con ri-
ferimento a tale limitata tipologia di trattamento).

Raccomandazioni del Garante: Registro delle attività di trattamento

La tenuta del registro dei trattamenti non costituisce un adempimento formale bensì parte inte-
grante di un sistema di corretta gestione dei dati personali. Per tale motivo, si invitano tutti i
Titolari ed i Responsabili, a prescindere dalle dimensioni dell’organizzazione, a compiere i passi
necessari per dotarsi di tale registro e, in ogni caso, a compiere un’accurata ricognizione dei
trattamenti svolti e delle rispettive caratteristiche – ove già non condotta.

Si tratta di uno strumento fondamentale non soltanto ai fini di un’eventuale supervisione da parte
del Garante Privacy, ma anche allo scopo di disporre di un quadro aggiornato dei trattamenti in
essere all’interno di un’azienda – indispensabile per ogni valutazione e analisi del rischio.
Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Ga-
rante Privacy o a chi ne ha titolo per richiederlo.

6.1.2 Contenuto
Il Registro delle attività di trattamento deve contenere tutte le seguenti informazioni:
a) il nome e i dati di contatto del Titolare del trattamento e, ove applicabile, del contitolare del tratta-
mento, del rappresentante del Titolare del trattamento e del DPO;
b) le finalità del trattamento;
c) una descrizione delle categorie di Interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i desti-
natari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione interna-
zionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i
trasferimenti che avvengono eccezionalmente in assenza dei presupposti del GDPR la documen-
tazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative.
Il Garante Privacy ritiene altresì che il Titolare o il Responsabile possa inserire ulteriori informa-
zioni se lo si riterrà opportuno proprio nell’ottica della complessiva valutazione di impatto dei
trattamenti svolti. Il Garante Privacy ha messo a disposizione una serie di FAQ ed un modello di
Registro dei trattamenti semplificato sul proprio sito (https://www.garantepri-
vacy.it/home/faq/registro-delle-attivita-di-trattamento), che i singoli Titolari/Responsabili po-
tranno integrare nei modi opportuni. Anche nel presente Manuale, alla sezione materiali, è offerto

- 55 -
il modello di Registro delle attività di trattamento elaborato, su foglio excel, dall’autorità francese
di protezione dati (CNIL).

6.2 VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI E CONSULTAZIONE PREVENTIVA

6.2.1 Valutazione d’impatto sulla protezione dei dati

La corretta gestione del rischio è un’attività che deve essere necessariamente svolta dal Titolare
e dal Responsabile nell’ottica dell’accountability. Il rischio dovrà essere analizzato con un pro-
cesso specifico di valutazione. Successivamente il Titolare potrà decidere in autonomia se iniziare
il trattamento (avendo adottato le misure idonee a mitigare sufficientemente il rischio) ovvero
consultare il Garante Privacy su come gestire il rischio residuale, mediante consultazione pre-
ventiva.
Posto che il Titolare/Responsabile deve in ogni caso valutare il rischio prima di procedere ad
effettuare il trattamento, se il trattamento può presentare un rischio elevato per i diritti e le libertà
delle persone fisiche, ad esempio quando prevede in particolare l'uso di nuove tecnologie, con-
siderati la natura, l'oggetto, il contesto e le finalità del trattamento, il Titolare/Responsabile dovrà
effettuare - prima di procedere al trattamento - una valutazione dell'impatto dei trattamenti pre-
visti sulla protezione dei dati personali (www.garanteprivacy.it), consultandosi con il DPO (se pre-
sente).
La valutazione d'impatto sulla protezione dei dati è richiesta in particolare se il Titolare effettua:
• una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un
trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno
effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
• il trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne
penali o a reati;
• la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Il Garante Privacy dovrà rendere pubblico un elenco delle tipologie di trattamenti soggetti e sot-
tratti all’obbligo di effettuare una valutazione d'impatto sulla protezione dei dati.
In via di estrema sintesi, la valutazione d’impatto deve contenere almeno:
• una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento;
• una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
• una valutazione dei rischi per i diritti e le libertà degli interessati;
• le misure previste per affrontare i rischi.
È disponibile un software che costituisce un ausilio metodologico per le MicroPMI, offrendo un
focus sugli elementi principali di cui si compone la procedura di valutazione d'impatto sulla pro-
tezione dei dati. Potrebbe costituire quindi un utile supporto di orientamento allo svolgimento di
una valutazione d’impatto ed è disponibile al seguente link: https://www.cnil.fr/fr/outil-pia-tele-
chargez-et-installez-le-logiciel-de-la-cnil.
Tale software è stato predisposto dall’autorità garante francese (CNIL) e tradotto in italiano dal
Garante Privacy. Di seguito, si riporta un’utile infografica del Garante Privacy:

- 56 -
- 57 -
6.2.2 Consultazione preventiva
Se le misure previste per affrontare i rischi del trattamento soggetto a valutazione di impatto non
riescono ad attenuare quello residuo - che rimane un rischio elevato - il Titolare del trattamento,
prima di procedere al trattamento, dovrà consultare preliminarmente il Garante Privacy.
In tal caso, se il Garante Privacy ritiene che il tale trattamento violi il GDPR, in particolare qualora
il Titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, fornisce,
entro un termine (prorogabile) di otto settimane dal ricevimento della richiesta di consultazione,
un parere scritto al Titolare del trattamento, potendosi altresì valere dei suoi poteri, ad esempio,
di accesso, verifica, blocco e sanzione del trattamento di dati personali oggetto di valutazione.
Di seguito si riporta una sintetica descrizione del processo decisionale completo con i riferimenti
al GDPR.

Fonte: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/7016284

6.3 NOTIFICA DELLA VIOLAZIONE DEI DATI PERSONALI

6.3.1 Notifica delle violazioni di dati personali

Gli attacchi informatici sono purtroppo all’ordine del giorno e sempre più sofisticati (a volte è
veramente difficile, non avendone le competenze, riconoscere un file che nasconde un codice
- 58 -
maligno), a livello informatico ed organizzativo, stabilendo sin da subito una procedura, anche
informale ma documentata, con cui rilevare la modifica o la sottrazione di dati personali, allertare
il referente di riferimento (meglio se dotato di competenze informatiche) in modo da bloccare il
comportamento illegittimo.
Si consideri che i Titolari sono obbligati a notificare al Garante Privacy le violazioni di dati perso-
nali di cui vengano a conoscenza, entro 72 ore e comunque "senza ingiustificato ritardo", ma sol-
tanto se ritengono probabile che da tale violazione derivino rischi per i diritti e le libertà degli
Interessati. Pertanto, la notifica al Garante Privacy dell'avvenuta violazione non è obbligatoria,
essendo subordinata alla valutazione del rischio per gli interessati che spetta, ancora una volta,
al Titolare. Se la probabilità di tale rischio è elevata, il Titolare dovrà informare delle violazioni
anche gli Interessati, sempre "senza ingiustificato ritardo".
Non è richiesta la comunicazione all'Interessato se è soddisfatta una delle seguenti condizioni:
a) il Titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di prote-
zione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare
quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad ac-
cedervi, quali la cifratura;
b) il Titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiun-
gere di un rischio elevato per i diritti e le libertà degli Interessati;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una co-
municazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con
analoga efficacia.
L’azienda dovrà stabilire quindi una procedura tale per cui in caso si verifichi un incidente – ad
esempio un terminale viene infettato da un virus – il soggetto colpito sappia cosa fare e agisca
senza ritardo contattando la risorsa umana deputata a gestire con una procedura prioritaria e di
urgenza la situazione. Spesso infatti queste situazioni si complicano a causa di interventi, volen-
terosi ed in buona fede, di persone che non hanno le competenze necessarie.
In ogni caso tutte le violazioni di dati devono essere documentate pertanto il Titolare ed il Respon-
sabile dovranno mettere in campo delle procedure adeguate.
Si segnalano, al riguardo, le linee-guida in materia di notifica delle violazioni di dati personali del
Gruppo Art. 2919.

Raccomandazione del Garante Privacy

Tutti i Titolari/Responsabili dovranno in ogni caso documentare le violazioni di dati personali su-
bite, anche se non notificate al Garante Privacy e non comunicate agli Interessati, nonché le re-
lative circostanze e conseguenze e i provvedimenti adottati. Si raccomanda, pertanto, ai Tito-
lari/Responsabili di adottare le misure necessarie a documentare eventuali violazioni, essendo
peraltro tenuti a fornire tale documentazione, su richiesta, al Garante in caso di accertamenti.

Obbligo di informazione nei confronti del Garante Privacy

Un dipendente ospedaliero decide di copiare i dati dei pazienti su un CD e li pubblica online.
L’ospedale lo scopre qualche giorno dopo. Non appena l’ospedale lo scopre, ha 72 ore di tempo
per informare il Garante Privacy e, poiché i dati personali contengono informazioni sensibili (se
19
Si veda: www.garanteprivacy.it/regolamentoue/databreach

- 59 -
un determinato paziente ha il cancro, se una paziente è incinta, etc.), deve informare anche i
pazienti. In questo caso, è dubbio che l’ospedale abbia messo in atto misure di protezione tecni-
che e organizzative adeguate. Se le avesse messe in atto (ad esempio, criptando i dati), il rischio
sarebbe stato improbabile e avrebbe potuto essere esentato dall’obbligo di informare i pazienti.

Obbligo di informazione nei confronti del Garante Privacy e degli Interessati

I dati dei dipendenti di un’azienda tessile sono stati divulgati. I dati includevano gli indirizzi per-
sonali, la composizione della famiglia, lo stipendio mensile e le spese mediche di ciascun dipen-
dente. In questo caso, l’azienda tessile deve informare il Garante Privacy della violazione. Poiché
sono inclusi dati personali sensibili, come i dati relativi alla salute, l’azienda deve informare an-
che i dipendenti.

Obbligo di informazione diretto nei confronti dei clienti

Un servizio cloud perde diversi hard disk contenenti dati personali di molti dei suoi clienti. Deve
informarli non appena viene a conoscenza della violazione. I suoi clienti devono informare il Ga-
rante Privacy e le persone a seconda dei dati trattati dal Responsabile del trattamento.

- 60 -
 Capitolo 7
Aspetti di dettaglio
Il trattamento dei dati dei dipendenti
7. DATI TRATTATI DAL LAVORATORE IN AZIENDA

7.1 Situazioni di emergenza sanitaria

Nel contesto di un’emergenza sanitaria il datore di lavoro può trovarsi nella condizione di essere
tenuto per obbligo di legge a rilevare e trattare dati sensibili dei suoi dipendenti/collaboratori.
Nello specifico, le misure per il contenimento e la gestione dell'emergenza epidemiologica con-
tenute nel "Protocollo condiviso di regolamentazione delle misure per il contrasto e il conteni-
mento della diffusione del virus Covid-19 negli ambienti di lavoro tra Governo e parti sociali" del
14 marzo 2020 con relativo aggiornamento del 24 aprile 2020, ha stabilito, in capo al datore di
lavoro, l’obbligo di rilevare la temperatura corporea del personale dipendente così come quella
di qualsiasi altro soggetto (fornitori, visitatori, clienti) che accede ai locali aziendali. Il rilevamento
della temperatura corporea si configura come un trattamento di dati personali e pertanto è ne-
cessario rendere noto a coloro che accedono ai locali aziendali le modalità e le finalità del tratta-
mento dei dati personali e sanitari.

Per quanto concerne i lavoratori dipendenti potrebbe non essere necessario predisporre una ap-
posita informativa nel caso in cui quella fornita al dipendente al momento dell'assunzione o suc-
cessivamente specificasse chiaramente tra le finalità anche quelle della raccolta dati ai fini della
valutazione degli aspetti relativi alla salute e sicurezza del lavoratore stesso. Buona prassi è an-
che prevedere nel testo dell’informativa l’indicazione dei dati di contatto di un soggetto (coniuge,
familiare, altro) a cui il datore possa rivolgersi per comunicare urgenti informazioni relative a
situazioni di emergenza, come previsto nel modello di informativa proposto in questo Manuale
per dipendenti/collaboratori.

Nel caso in cui tale finalità non fosse espressamente prevista nelle precedente informativa è in-
dispensabile predisporne una che preveda la finalità della raccolta dei dati per contrastare la
diffusione del virus Covid-19 e le basi giuridiche che rendono legittimo il trattamento (art. 9 GDPR
in relazione alla salvaguardia di un interesse rilevante come quello della sanità pubblica o l’art.
6 GDPR in relazione ad un obbligo di legge e alla salvaguardia dell’interesse vitale di altri soggetti
che lavorano nella stessa organizzazione). Sul presupposto di queste basi giuridiche non è ne-
cessario che venga quindi richiesto alcun consenso al soggetto interessato.

- 61 -
L’informativa deve inoltre fare riferimento a tempi di conservazione, prevedendo l’ipotesi che i
dati possano essere conservati anche al termine della situazione di emergenza in ottemperanza
delle indicazioni provenienti dal Ministero della Salute o da altra autorità competente e l’esplicita
previsione che il mancato conferimento dei dati determina l’impossibilità di accedere ai locali
aziendali.

7.2 Assunzioni dei dipendenti

L’art. 111 del Codice Privacy, nei casi di ricezione dei curricula spontaneamente trasmessi dagli
interessati al fine della instaurazione di un rapporto di lavoro, prevede che il candidato deve ri-
cevere l’informativa da parte dell’azienda (con le informazioni di cui all’articolo 13 GDPR), al mo-
mento del primo contatto utile, successivo all’invio del curriculum medesimo. Nei limiti delle fi-
nalità contrattuali, il consenso al trattamento dei dati personali presenti nei curricula non è do-
vuto.

7.3 Videosorveglianza
L'art. 4 della Legge n. 300 del 1970 stabilisce che gli impianti audiovisivi e gli altri strumenti dai
quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori possono essere
impiegati esclusivamente per le seguenti finalità:
• esigenze organizzative e produttive;
• per la sicurezza del lavoro;
• per la tutela del patrimonio aziendale.
Le imprese che intendono installare nei luoghi di lavoro un impianto di videosorveglianza, in di-
fetto di accordo con la rappresentanza sindacale unitaria o la rappresentanza sindacale azien-
dale, hanno l'obbligo di munirsi di apposita autorizzazione – preventiva - all'installazione ed all'u-
tilizzo dell'impianto, rilasciata dall'Ispettorato Territoriale del Lavoro competente per territorio,
previa presentazione di apposita istanza preventiva.
Il Garante, sin dall'aprile 2010, ha emanato un apposito provvedimento di carattere generale in
materia di videosorveglianza20 che individua i principali adempimenti in capo alle aziende.
In particolare, il provvedimento prevede:
a) l'obbligo di informare, con appositi cartelli visibili e comprensibili, i soggetti che si trovano a tran-
sitare in un'area aziendale soggetta a tale controllo;
b) la specifica designazione scritta degli Incaricati (ora autorizzati) preposti a gestire le immagini;
c) la protezione delle immagini con idonee e preventive misure di sicurezza finalizzate a ridurre al
minimo i rischi di accesso non autorizzato e/o di trattamento non conforme;
d) il rispetto delle disposizioni in materia di tempi di conservazione delle immagini.
Il Garante Privacy prevede che in questi casi sia possibile utilizzare un modello semplificato di
informativa minima (fac-simile allegato al provvedimento citato). Quest’ultima si deve limitare ad
indicare il Titolare del trattamento, l’eventuale DPO, le finalità perseguite ed il supporto sul quale
viene riportata deve essere collocata prima del raggio di azione della telecamera, oltre che avere

20
Provvedimento in materia di videosorveglianza dell’8 aprile 2010.

- 62 -
un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illu-
minazione ambientale.
Segnaliamo, altresì, che se i dipendenti possono essere ripresi, riteniamo necessario indicarlo
nell’informativa privacy diretta ai dipendenti, nonché l’identificazione specifica del soggetto in-
terno all’azienda e l’eventuale Responsabile (esterno) del trattamento dei dati che abbia accesso
ai dati personali trattati con il sistema di videosorveglianza.
Sottolineiamo, altresì, che ai sensi del predetto provvedimento generale del Garante Privacy le
immagini debbano essere conservate per il tempo strettamente necessario per le ragioni di si-
curezza e, comunque, per un massimo di 24 ore successive alla rilevazione, salvo maggiori esi-
genze di tutela.
In ogni caso, le imprese possono comunque inoltrare una richiesta preliminare motivata per ot-
tenere un allungamento dei tempi di conservazione21.
Con la Circolare n. 5 del 19 febbraio 2018, relativa alle “indicazioni operative sull’installazione e
utilizzazione di impianti audiovisivi e di altri strumenti di controllo ai sensi dell’art. 4 della legge
n.300/1970, l’Ispettorato Nazionale del Lavoro (di seguito, “INL”) ha ritenuto necessario fornire
delle indicazioni operative per l’adeguamento delle procedure previste dalla normativa soprain-
dicata alle innovazioni tecnologiche che consentono il controllo a distanza dei lavoratori.
L’INL sottolinea che al fine del rilascio dell’autorizzazione necessaria per l’installazione degli
strumenti di controllo a distanza non sarà oggetto di valutazione la concreta tecnologia impiegata,
ma sarà invece analizzata l’effettiva esistenza delle ragioni legittimanti l’adozione del provvedi-
mento tenendo in considerazione le esigenze organizzative, produttive, di sicurezza sul lavoro e
di tutela del patrimonio aziendale. Da ciò si intende che la vera finalità della circolare è di respon-
sabilizzare le aziende demandando loro la scelta della strumentazione tecnologia più idonea al
caso concreto, principio in linea a quanto previsto dal GDPR in ambito di accountability.
La circolare inoltre stabilisce che, nei casi in cui le videocamere si attivino esclusivamente al di
fuori dell’orario di lavoro e con solo con il sistema di allarme antintrusione inserito, non sussiste
alcuna possibilità di controllo “preterintenzionale” sul personale e quindi il rilascio del provvedi-
mento autorizzativo non richiede l’espletamento della valutazione istruttoria.

7.4 Regolamento di posta elettronica ed internet per i dipendenti

Sin dal 2007 il Garante Privacy ritiene che la presenza di un regolamento di posta elettronica e
Internet sia essenziale per un corretto assolvimento degli obblighi di sicurezza e per un pieno
rispetto della normativa a tutela del lavoratore, ma anche a tutela dell’azienda. L’esperienza in-
segna che questo regolamento, se ben fatto, è molto importante anche per poter sanzionare i
dipendenti infedeli e poter validamente tutelare, ad esempio, anche il proprio know-how azien-
dale, registrare validi brevetti, etc.

21
Il Parere del Garante Privacy in materia dell’8 aprile 2010 prevede che “la conservazione deve essere limitata a poche ore o, al
massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a
festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell'autorità
giudiziaria o di polizia giudiziaria. Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per la particolare
rischiosità dell'attività svolta dal Titolare del trattamento (ad esempio, per alcuni luoghi come le banche può risultare giustificata
l'esigenza di identificare gli autori di un sopralluogo nei giorni precedenti una rapina), può ritenersi ammesso un tempo più ampio
di conservazione dei dati che, sulla scorta anche del tempo massimo legislativamente posto per altri trattamenti, si ritiene non
debba comunque superare la settimana.”.

- 63 -
L’art. 4 della Legge 300 del 1970 prevede, al comma 1 che gli impianti audiovisivi e gli strumenti
di controllo a distanza dei lavoratori possono essere impegnati solo per l’assolvimento di varie
finalità. Sempre l’art. 4 dello della stessa legge, ai commi 2 e 3, che la disposizione citata al capo
precedente non si applica agli strumenti utilizzati dal lavoratore per rendere la prestazione lavo-
rativa e agli strumenti di registrazione degli accessi e delle presenze. Inoltre, le informazioni
raccolte sono utilizzabili a tutti i fini connessi al rapporto di lavoro a condizione che sia data al
lavoratore adeguata informazione delle modalità d'uso degli strumenti e di effettuazione dei con-
trolli e nel rispetto della normativa sulla tutela dei dati personali.
Sulla base del provvedimento del Garante Privacy del 2007, il regolamento di posta elettronica e
internet diretto ai dipendenti e collaboratori dell’impresa deve, tra l’altro, indicare:
a) preventivamente (anche per tipologie) a quali lavoratori è accordato l'utilizzo della posta elettro-
nica e l'accesso a Internet;
b) quale ubicazione è riservata alle postazioni di lavoro per ridurre il rischio di un loro impiego abu-
sivo;
c) se determinati comportamenti non sono tollerati rispetto alla "navigazione" in Internet (ad es., il
download di software o di file musicali), oppure alla tenuta di file nella rete interna;
d) in quale misura è consentito utilizzare anche per ragioni personali servizi di posta elettronica o di
rete, anche solo da determinate postazioni di lavoro o caselle oppure ricorrendo a sistemi di web-
mail, indicandone le modalità e l'arco temporale di utilizzo (ad es., fuori dall'orario di lavoro o
durante le pause, o consentendone un uso moderato anche nel tempo di lavoro);
e) quali informazioni sono memorizzate temporaneamente (ad es., le componenti di file di log even-
tualmente registrati) e chi (anche all'esterno) vi può accedere legittimamente;
f) se e quali informazioni sono eventualmente conservate per un periodo più lungo, in forma cen-
tralizzata o meno (anche per effetto di copie di back up, della gestione tecnica della rete o di file di
log); se, e in quale misura, il datore di lavoro si riserva di effettuare controlli in conformità alla
legge, anche saltuari o occasionali, indicando le ragioni legittime – specifiche e non generiche –
per cui verrebbero effettuati (anche per verifiche sulla funzionalità e sicurezza del sistema) e le
relative modalità (precisando se, in caso di abusi singoli o reiterati, vengono inoltrati preventivi
avvisi collettivi o individuali ed effettuati controlli nominativi o su singoli dispositivi e postazioni);
g) quali conseguenze, anche di tipo disciplinare, il datore di lavoro si riserva di trarre qualora constati
che la posta elettronica e la rete Internet sono utilizzate indebitamente; le soluzioni prefigurate
per garantire, con la cooperazione del lavoratore, la continuità dell'attività lavorativa in caso di
assenza del lavoratore stesso (specie se programmata), con particolare riferimento all'attivazione
di sistemi di risposta automatica ai messaggi di posta elettronica ricevuti;
h) se sono utilizzabili modalità di uso personale; quali misure sono adottate per particolari realtà
lavorative nelle quali debba essere rispettato l'eventuale segreto professionale cui siano tenute
specifiche figure professionali;
i) le prescrizioni interne sulla sicurezza dei dati e dei sistemi.
Le imprese devono inoltre adeguatamente informare preventivamente i dipendenti nell’informa-
tiva sulla policy aziendale in materia di posta elettronica e internet. “La mancata esplicitazione di
una policy al riguardo può determinare anche una legittima aspettativa del lavoratore, o di terzi,
di confidenzialità rispetto ad alcune forme di comunicazione” è ciò che afferma il Garante Privacy
nel citato provvedimento.
Il regolamento di posta elettronica e internet deve essere aggiornato periodicamente e la sua
conoscenza, da parte dei dipendenti, anche alla luce del principio di responsabilizzazione del Ti-
tolare del trattamento dovrà essere debitamente documentata da quest’ultimo.

- 64 -
7.5 Smart Working: privacy e sicurezza dei dispositivi da remoto
A causa dell’emergenza sanitaria in atto, tutte le realtà aziendali italiane si sono trovate ad af-
frontare una revisione del loro assetto organizzativo implementando lo svolgimento delle attività
lavorative in modalità smart working.
Già nel 2017 Il Ministero del Lavoro e delle Politiche Sociali, con la Legge 81/2017, aveva ritenuto
necessario esprimersi sul lavoro agile (o smart working) definendolo come “una modalità di ese-
cuzione del rapporto di lavoro subordinato caratterizzata dall’assenza di vincoli orari e spaziali e
un’organizzazione per fasi, cicli e obiettivi, stabiliti mediante un accordo tra dipendente e datore
di lavoro “. Questa definizione pone l’accento sulla flessibilità organizzativa e rimuove i vincoli
legati al concetto di postazione fissa, consentendo al lavoratore di erogare la prestazione anche
da remoto, grazie all’utilizzato di un’apposita strumentazione (come pc portatili, tablet e
smartphone).
Le insidie per il lavoratore a distanza sono superiori se il datore di lavoro non fornisce gli stru-
menti idonei a garantire un’adeguata sicurezza tecnico-informatica.
Il datore di lavoro dovrebbe innanzitutto predisporre un documento (una cosiddetta “carta dello
smart worker”) in cui siano indicate le linee guida aziendali, le regole di condotta da rispettare
(ad esempio la flessibilità dell’orario di lavoro) e quali strumenti tecnologici sia possibile utiliz-
zare da remoto.
Il datore di lavoro deve quindi essere a conoscenza di quali strumenti e tecnologie impiegare al
fine di proteggere il sistema informatico aziendale, i dati raccolti e trattati (che costituiscono un
asset dell’azienda) e quali misure adottare al fine di minimizzare il rischio di intrusioni illegittime
alla rete.
Pertanto, per ogni dispositivo fornito in dotazione al lavoratore sarebbe raccomandato:
- Installare un software antivirus, un firewall (dispositivo che permette di monitorare il
traffico in entrata e in uscita) e un altro che limiti l’accesso a siti potenzialmente dannosi;
- Impostare una rete VPN che consenta la criptazione dei dati durante la trasmissione degli
stessi;
- Implementare meccanismi di autenticazione a due fattori sui servizi accessibili da remoto
per limitare i rischi di intrusione;
- Utilizzare protocolli che garantiscano la riservatezza e l'autenticazione del server
ricevente, ad esempio HTTPS per i siti web e SFTP per il trasferimento dei file, utilizzando
le versioni più recenti di questi protocolli;
- Controllare regolarmente i registri di accesso a distanza per individuare comportamenti
sospetti ed eventuali accessi non autorizzati;
- Limitare il numero di servizi disponibili da remoto in modo da ridurre il rischio di attacchi
ed intrusioni;
- Prevedere una procedura standardizzata in caso di guasto o di perdita del terminale che
consenta di cancellare da remoto di tutti i dati aziendali archiviati.
La possibilità di impiegare strumenti tecnologici di proprietà del lavoratore nel contesto dello
smartworking (in inglese indicato con l’acronimo BYOD che significa “bring your own device”) è
una scelta riservata al datore di lavoro. Questa scelta deve però essere il risultato di una ponde-
rata valutazione poiché il datore di lavoro è responsabile della sicurezza dei dati personali e
aziendali anche nel caso in cui questi siano trattati e conservati in dispositivi sui quali egli non
esercita alcun effettivo controllo ma di cui ha autorizzato l'utilizzo per accedere a risorse

- 65 -
informatiche dell'azienda.
A fine precauzionale è indispensabile procedere alla valutazione dei rischi tenendo in considera-
zione il contesto specifico (quale apparecchio e quali applicazioni vengono impiegate per avere
accesso o trattare quale tipo di dati) e fare una stima in termini di gravità e probabilità, così da
implementare le misure di sicurezza necessarie e adeguate al caso concreto.
Se il datore di lavoro decidesse di consentire l’uso di strumenti personali del lavoratore, una
buona prassi è quella di richiedere di “compartimentare” il device, in modo da separare le sezioni
destinate all’utilizzo in un contesto professionale da quelle invece riservate alla sfera personale
e individuale.
Non è però possibile adottare misure di sicurezza che abbiano lo scopo o l'effetto di limitare le
funzionalità del dispositivo di proprietà del lavoratore, ad esempio impedendo il download di ap-
plicazioni mobili, l’utilizzo di social networks o di altri sistemi di messaggistica istantanea.
Uno strumento di fondamentale importanza nell’ambito dello svolgimento di attività lavorativa in
smartworking è rappresentato dalle applicazioni di videoconferenza.
Anche in questo ambito il datore di lavoro dovrebbe fare le opportune valutazioni al fine di sce-
gliere un sistema che sia, non sono funzionale allo svolgimento delle attività in team, ma che sia
anche il più possibile conforme alla normativa europea in materia di data protection. Per il datore
di lavoro è di fondamentale importanza non solo tutelare la privacy dei lavoratori dipendenti che
utilizzano un servizio web nello svolgimento della loro attività professionali, ma anche preservare
la riservatezza dei flussi di informazioni tra dipendenti o tra dipendenti e clienti che avvengono
su piattaforme di video meeting.

- 66 -
 Capitolo 8
Misure di sicurezza
8. MISURE DI SICUREZZA

8.1 Rischio
Per “rischio”, in ambito privacy, si intende uno scenario descrittivo di un evento e delle relative
conseguenze che sono stimate in termini di gravità e probabilità per i diritti e le libertà delle per-
sone fisiche. La “gestione del rischio” è definibile come l’insieme coordinato delle attività finaliz-
zate a guidare e monitorare l’impresa nei riguardi di tale rischio. Nella pratica, ciò significa che i
Titolari devono valutare in modo continuativo i rischi creati dai propri trattamenti di dati personali.
Per l’individuazione del rischio abbiamo individuato, conformemente al tutorial presente sul sito
web del Garante Privacy, i seguenti elementi: a) origine; b) natura; c) gravità; d) probabilità; e)
impatto sui diritti e le libertà degli Interessati22.
Il rischio non si riferisce al Titolare ma al soggetto Interessato, è sui diritti e le libertà di quest’ul-
timo dove si dovrà puntare l’attenzione.
Sulla sicurezza del trattamento vi sono concetti fondamentali da assimilare riguardo ai dati e
quindi la loro: (i) disponibilità (distruzione, indisponibilità e perdita); (ii) integrità (alterazione) e
(iii) riservatezza (divulgazione ed accesso). Di conseguenza bisogna considerare gli effetti com-
plessivi del trattamento, come indicato dalla figura che segue

22
Si veda: http://www.garanteprivacy.it/regolamentoue/dpia/gestione-del-rischio

- 67 -
8.2 Misure di sicurezza minime
Il GDPR non prevede più obblighi generalizzati di adozione di misure minime di sicurezza come
previsto dal Codice Privacy e dal relativo Allegato B ora abrogati.
Le misure di sicurezza del GDPR devono "garantire un livello di sicurezza adeguato al rischio"
del trattamento quindi le indicazioni del GDPR devono considerarsi una lista aperta e non esau-
stiva, variabile caso per caso. Per lo stesso motivo, non potranno sussistere dopo il 25 maggio
2018 obblighi generalizzati di adozione di misure "minime" di sicurezza (ai sensi dell’art. 33 del
Codice Privacy) poiché tale valutazione sarà rimessa, caso per caso, al Titolare e al Responsabile
in rapporto ai rischi specificamente individuati, in ragione del principio di accountability.
Tuttavia, facendo anche riferimento alle prescrizioni contenute, in particolare, nell'Allegato "B" al
Codice Privacy, il Garante potrà valutare la definizione di linee-guida o buone prassi sulla base
dei risultati positivi conseguiti in questi anni, al momento tali linee-guida non sono ancora state
pubblicate.

8.3 Misure di sicurezza adeguate

Con il venir meno dell’obbligo di misure minime – uno strumento rigido che non seguiva lo svi-
luppo tecnologico - il GDPR fornisce una lista aperta e non esaustiva delle misure di sicurezza
adeguate al rischio che le imprese dovranno adottare, sostituendosi alle misure minime. In par-
ticolare, le aziende dovranno adottare le seguenti misure:
- 68 -
 • la pseudonimizzazione e la cifratura dei dati personali;
• la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resi-
lienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di
incidente fisico o tecnico;
• una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e
organizzative al fine di garantire la sicurezza del trattamento.
Nel valutare l’adeguato livello di sicurezza, il GDPR prevede che si deve fare particolare atten-
zione ai rischi che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla
divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali tra-
smessi, conservati o comunque trattati.
Il Titolare del trattamento, in futuro, potrà aderire a specifici codici di condotta o a schemi di cer-
tificazione per attestare l’adeguatezza delle misure di sicurezza adottate, quando saranno dispo-
nibili.
Nonostante la mancanza di una disciplina attuativa delle disposizioni del GDPR in materia di mi-
sure di sicurezza adeguate, è necessario verificare ed implementare le misure di sicurezza uni-
tamente al tecnico IT che si occupa dei sistemi aziendali.
Riteniamo che quanto sotto riportato possa costituire una guida per l’implementazione delle mi-
sure di sicurezza che ricordiamo essere un “processo” e come tali funzionano se tutti i soggetti
che di fatto trattano i dati ricevono adeguate istruzioni e si comportano di conseguenza.
Per le aziende che hanno già svolto l’attività di predisposizione delle misure minime di sicurezza
(previste dal Codice Privacy) e le hanno documentate, ad esempio, nel Documento Programma-
tico sulla Sicurezza si suggerisce di partire da tale base per documentare le modifiche nel frat-
tempo intervenute ai sistemi di sicurezza aziendali.
In sostanza l’azienda deve organizzare, sia a livello di archivio informatico che cartaceo, un si-
stema che impedisca che i dati personali possano essere conosciuti da soggetti che non hanno
titolo per venirne a conoscenza.

- 69 -
- 70 -
 Capitolo 9
Trasferimenti di dati fuori dall’Unione europea
9. TRASFERIMENTO DI DATI PERSONALI FUORI DALL’UNIONE EUROPEA

9.1 Aspetti introduttivi

La rapidità dell'evoluzione tecnologica e la globalizzazione comportano nuove sfide per la prote-
zione dei dati personali. Condivisione e raccolta di dati personali crescono esponenzialmente. La
tecnologia attuale consente alle imprese private di utilizzare dati personali, come mai in prece-
denza, nello svolgimento delle loro attività. La tecnologia ha trasformato l'economia e le relazioni
sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all'interno dell'U-
nione e il loro trasferimento verso paesi terzi, garantendo al tempo stesso un elevato livello di
protezione dei dati personali e favorendo la concorrenza. La protezione offerta dal GDPR segue il
flusso di questi dati, il che significa che le norme di protezione dei dati personali continuano ad
applicarsi indipendentemente dal luogo di destinazione dei dati. Ciò vale anche quando i dati ven-
gono trasferiti in un paese che non è uno Stato membro dell'Unione europea (considerato quindi
un paese “terzo”). D’altronde, con il quadro uniforme offerto dal GDPR, il trasferimento dati intra-
comunitario non desta particolari problematiche poiché tutti i paesi europei sono soggetti, in
massima parte, alla stessa normativa uniforme.
Secondo il GDPR il trasferimento di dati personali verso un paese terzo o un’organizzazione in-
ternazionale è ammesso se la Commissione europea, dopo averne vagliato la legislazione, ha
deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo,
garantiscono un livello di protezione adeguato.
In mancanza di una decisione, il Titolare del trattamento o il Responsabile del trattamento può
trasferire dati personali verso un paese terzo solo se ha fornito garanzie adeguate e a condizione
che gli Interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.
In sintesi, il trasferimento dei dati è vietato a meno che non sussistano alcune condizioni.

9.2 Condizioni per il trasferimento

Le diverse condizioni previste dal GDPR per il trasferimento di dati dall’Unione europea verso un
paese terzo sono le seguenti:
1. Una decisione della Commissione europea (“decisione di adeguatezza”) può sancire che un determi-
nato paese terzo è in grado di offrire un livello di protezione adeguato nel senso che è possibile tra-
sferire dati a un’altra società in quel paese terzo senza che l’esportatore dei dati sia tenuto a fornire
ulteriori garanzie o sia soggetto a condizioni supplementari. In altre parole, i trasferimenti verso un
paese terzo “adeguato” saranno assimilati a una comunicazione di dati all’interno dell’Unione euro-
pea.
2. In mancanza di una decisione di adeguatezza, il trasferimento può aver luogo mediante la

- 71 -
 predisposizione di garanzie adeguate e a condizione che le persone dispongano di diritti esecutivi e
mezzi di ricorso efficaci. Tali garanzie adeguate comprendono, tra l’altro:
• nel caso di un gruppo di imprese o di gruppi di aziende che esercitano un’attività economica con-
giunta, le aziende possono trasferire dati personali sulla base delle cosiddette norme vincolanti
d’impresa (“norme vincolanti d’impresa” o “Binding Corporate Rules” o “BCR”);
• accordi contrattuali con il destinatario dei dati personali, ad esempio utilizzando le clausole con-
trattuali tipo approvate dalla Commissione europea (“clausole contrattuali tipo”);
• l’osservanza di un codice di condotta o di un meccanismo di certificazione, unitamente all’otteni-
mento da parte del destinatario di impegni vincolanti ed esecutivi ad applicare le opportune ga-
ranzie per proteggere i dati trasferiti (“adesione a codici di condotta o meccanismi di certifica-
zione”);
3. Infine, se non sussistono le condizioni di cui sopra è possibile trasferire i dati personali all’estero, ad
esempio, quando una persona ha esplicitamente acconsentito al trasferimento proposto dopo aver
ricevuto tutte le informazioni necessarie sui rischi associati al trasferimento.
Pertanto, le imprese, per poter procedere lecitamente al trasferimento dei dati acquisiti all’estero
dovranno seguire la seguente procedura:
- controllare la presenza di eventuali decisioni di adeguatezza da parte della Commissione europea (per
il momento restano valide le vecchie decisioni del Garante Privacy e della Commissione: vedere sotto).
- In difetto, fornire garanzie adeguate prima di procedere al trasferimento come l’adesione a norme
vincolanti d’impresa e/o l’utilizzo di clausole contrattuali tipo e/o l’adesione a schemi di condotta o
meccanismi di certificazione.
- In difetto di una decisione di adeguatezza e in mancanza di garanzie adeguate, l’impresa potrà proce-
dere al trasferimento dei dati solo in caso di condizioni specifiche.
Le imprese possono, seguendo la procedura indicata nelle rispettive decisioni, procedere libera-
mente al trasferimento dei dati verso i seguenti Paesi terzi (extra UE), poiché la Commissione ha
adottato una decisione di adeguatezza.
Paesi nei confronti dei quali è stata emessa una decisione di adeguatezza da parte della Com-
missione europea.
Andorra Isola di Man
Argentina Israele
Australia - PNR Bailato del Jersey
Canada Nuova Zelanda
FaerØer Stati Uniti
Guernsey Svizzera
Uruguay Giappone

Ai sensi del GDPR, le predette decisioni di adeguatezza sono valide sino a quando non saranno
adottate nuove decisioni di adeguatezza.
Per quanto riguarda il trasferimento di dati personali verso i Paesi del SEE (Spazio Economico
Europeo) è importante ricordare che il GDPR è stato incorporato nell’accordo SEE e che pertanto
Norvegia, Islanda e Liechtenstein sono vincolati alla normativa Europea allo stesso modo degli
Stati Membri dell’Unione europea, ma non la Svizzera (che però beneficia della decisione di

- 72 -
adeguatezza della Commissione europea).
Le modalità di trasferimento dei dati verso il Regno Unito potrebbero subire delle modifiche a
seguito dell’uscita del Regno Unito dall’Unione europea. Al momento in cui si scrive è previsto
che il GDPR rimanga in vigore nel Regno Unito solo fino al 31 dicembre 2020.
Successivamente a tale data bisognerà valutare se la Commissione europea emetterà una deci-
sione di adeguatezza o se verrà stipulato un nuovo accordo tra EU e UK.

9.3 Trasferimento di dati personali verso gli Stati Uniti

In merito al trasferimento dei dati trattati verso gli Stati Uniti, la Commissione europea ha adottato
la decisione di adeguatezza n. 1250 del 12 luglio 2016, il cd. Privacy Shield, creando un meccani-
smo di autocertificazione per le società stabilite negli USA che intendano ricevere dati personali
dall’Unione europea.
La CGUE ha ritenuto che i requisiti del diritto interno degli Stati Uniti, e in particolare determinati
programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali
trasferiti dall'UE agli Stati Uniti ai fini della sicurezza nazionale, non soddisfano i requisiti sostan-
zialmente equivalenti a quelli previsti dal diritto dell'UE e, inoltre, che tali norme non prevedano
a favore dei soggetti interessati diritti azionabili in sede giudiziaria nei confronti delle autorità
statunitensi. Quindi la Corte ha dichiarato invalida la decisione sull'adeguatezza dello scudo per
la privacy (Privacy Shield).
A questo punto, dato che la sentenza della CGUE non ha impattato sulle clausole contrattuali
standard, per il momento, si dovrà fare riferimento a questo strumento contrattuale per espor-
tare dati verso gli Stati Uniti oppure, all’interno di gruppi di imprese, si dovranno utilizzare le
norme vincolanti di impresa.

9.4 Clausole contrattuali standard

La Commissione europea o l’autorità di controllo competente previa approvazione della Commis-
sione può stabilire che determinati strumenti contrattuali consentono di trasferire dati personali
verso Paesi terzi. Oppure, ai sensi dell’art. 28 GDPR, un’autorità di controllo può suggerire un
“modello” contrattuale standard.
In pratica, incorporando il testo delle clausole contrattuali in questione in un contratto utilizzato
per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conforme-
mente ai principi stabiliti nel GDPR anche nel Paese terzo o all’interno dell’organizzazione di de-
stinazione. È importante sottolineare che le clausole tipo di protezione dati non ammettono
emendamenti e devono essere sottoscritte dalle parti.
L'European Data Protection Board ha dato il parere favorevole, con alcune modifiche, alla propo-
sta di clausole contrattuali dell’autorità di controllo danese ed a quelle dell’autorità di controllo
slovacca e che sono reperibili nel sito dell’EDPB (www.edpb.europa.eu).
Questi strumenti sono complessi da maneggiare e quindi si invita l’azienda a verificarli con par-
ticolare attenzione.

- 73 -
9.5 Norme vincolanti d’impresa (“Binding Corporate Rules”)
Questo tipo di trasferimento è lecito, in caso di approvazione da parte del Comitato Europeo di
Protezione dei Dati e tra società appartenenti ad un medesimo gruppo.
Come anticipato, l’interpretazione della normativa sulla protezione dei dati in Europa prevede la
possibilità di trasferire i dati anche in assenza di una decisione di adeguatezza nel caso in cui
siano formalizzate regole di condotta esistenti nell'ambito di società appartenenti a un medesimo
gruppo e denominate “Binding Corporate Rules” (ossia "Norme Vincolanti di Impresa").
Il GDPR fissa i requisiti per l’approvazione delle norme vincolanti d’impresa e i contenuti obbli-
gatori di tali norme.
Il Garante potrà approvare le norme vincolanti delle imprese solamente se predette norme:
• siano giuridicamente vincolanti e si applichino a tutti i membri Interessati del gruppo imprendito-
riale o del gruppo di imprese che svolgono un’attività economica comune, compresi i loro dipen-
denti;
• conferiscano espressamente agli Interessati diritti azionabili in relazione al trattamento dei loro
dati personali;
Inoltre, le norme vincolanti dovranno prevedere i contenuti previsti dall’art. 47 del GDPR.

9.6 Altre condizioni per il trasferimento

In mancanza di una decisione di adeguatezza o di garanzie adeguate, comprese le norme vinco-
lanti d’impresa, è ammesso il trasferimento di dati fuori dall’Unione europea dati soltanto se si
verifica una delle seguenti condizioni:
a) l’Interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato
dei possibili rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di
adeguatezza e di garanzie adeguate (“consenso”);
b) il trasferimento sia necessario all’esecuzione di un contratto concluso tra l’interessato e il Titolare del
trattamento ovvero all’esecuzione di misure precontrattuali adottate su istanza dell’interessato (“ob-
bligo contrattuale”);
c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto stipulato tra il Titolare
del trattamento e un’altra persona fisica o giuridica a favore dell’interessato (“obbligo contrattuale a
favore dell’interessato”);
d) il trasferimento sia necessario per importanti motivi di interesse pubblico (“interesse pubblico”);
e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria (“di-
fesa di un diritto dinanzi al giudice”);
f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qua-
lora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso (“tutela inte-
ressi vitali dell’interessato”);
g) il trasferimento sia effettuato, ma solo per alcune tipologie di dati, a partire da un registro che, a norma
del diritto dell’Unione o degli Stati membri, mira a fornire informazioni al pubblico e può esser con-
sultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo in-
teresse, solo a condizione che sussistano i requisiti per la consultazione previsti dal diritto dell’Unione
o degli Stati membri (“registro pubblico”).
Viene meno il requisito dell’autorizzazione nazionale da parte del Garante Privacy. Ciò significa
che il trasferimento verso un Paese terzo “adeguato” ai sensi della decisione assunta in futuro
dalla Commissione, ovvero sulla base di clausole contrattuali modello, debitamente adottate, o di
- 74 -
norme vincolanti d’impresa approvate attraverso la specifica procedura, potrà avere inizio senza
attendere l’autorizzazione nazionale del Garante Privacy: a differenza di quanto in passato pre-
visto dall’art. 44 del Codice Privacy.
Tuttavia, l’autorizzazione del Garante sarà ancora necessaria se un Titolare desidera utilizzare
clausole contrattuali ad hoc (cioè non riconosciute come adeguate tramite decisione della Com-
missione europea) oppure accordi amministrativi stipulati tra autorità pubbliche: una delle novità
introdotte dal GDPR.

Trasferimento di dati all’estero

Un’azienda francese che intende espandere i suoi servizi in Canada, Nuova Zelanda e Cina. Il
primo passo consiste nel verificare se i paesi terzi coinvolti sono soggetti a una decisione di ade-
guatezza. In questo caso, sia il Canada che la Nuova Zelanda sono stati dichiarati adeguati.
L’azienda potrà trasferire i dati personali a questi due paesi terzi senza alcuna garanzia aggiun-
tiva, mentre per i trasferimenti in Cina, paese che non beneficia di una decisione di adeguatezza,
si dovranno fornire adeguate garanzie.
Le clausole contrattuali tipo dell’Unione europea sono dei modelli contrattuali messi a punto dalla
Commissione europea che hanno istituito un meccanismo che consente alle parti contraenti di
rendere legale il trasferimento di dati personali al di fuori dell’Europa.
Le clausole contrattuali tipo dell’Unione europea soddisfano automaticamente i requisiti di lega-
lità del trasferimento di dati purché non siano state modificate dalle parti contraenti.

- 75 -
 Capitolo 10
Sanzioni
10. SANZIONI

10.1 Caratteristiche
L’Unione europea ha attuato una riforma globale della normativa sulla protezione dei dati in Eu-
ropa. La riforma si basa su diversi pilastri (componenti fondamentali): norme coerenti, procedure
semplificate, azioni coordinate, coinvolgimento degli utenti, informazioni più efficaci e rafforza-
mento dei poteri destinati a far rispettare le norme.
Su Titolari/Responsabili del trattamento gravano responsabilità che il GDPR ha notevolmente au-
mentato in caso di violazione della tutela dei dati personali delle persone fisiche, anche per con-
sentire al Garante Privacy di avere leve adeguate contro le Big Tech (Amazon, Apple, Google,
Facebook e Microsoft).
Il Garante Privacy, potendosi anche coordinare con le altre autorità di controllo europee, è dotato
di poteri che mirano a garantire che i principi del GDPR e i diritti delle persone interessate siano
rispettati. Le sanzioni amministrative pecuniarie rappresentano un elemento centrale per spin-
gere gli operatori – anche pubblici - a conformarsi al GDPR.
Il legislatore italiano ha inoltre introdotto anche sanzioni penali per assicurare il rispetto delle
disposizioni del GDPR che saranno applicate non dal Garante Privacy ma dall’autorità giudiziaria
(il Garante Privacy è un’autorità indipendente).

10.2 Poteri ispettivi e di controllo del Garante Privacy

Il Garante o altra autorità di controllo europea ai sensi dell’articolo 58 del GDPR ha i seguenti
poteri di controllo:
a) ingiungere al Titolare del trattamento e al Responsabile del trattamento e, ove applicabile di fornirle
ogni informazione di cui necessiti per l’esecuzione dei suoi compiti;
b) condurre indagini sotto forma di attività di revisione sulla protezione dei dati;
c) effettuare un riesame delle certificazioni rilasciate;
d) notificare al Titolare del trattamento o al Responsabile del trattamento le presunte violazioni del GDPR;
e) ottenere dal Titolare del trattamento o dal Responsabile del trattamento, l’accesso a tutti i dati perso-
nali e a tutte le informazioni necessarie per l’esecuzione dei suoi compiti;
f) ottenere accesso a tutti i locali del Titolare del trattamento e del responsabile del trattamento, com-
presi tutti gli strumenti e mezzi di trattamento dei dati, in conformità con il diritto dell’Unione o il diritto
processuale degli Stati membri.
Per le attivazioni ed i relativi riscontri operativi, il Garante Privacy attiva il Nucleo Speciale Privacy,
quale reparto della Guardia di Finanza individuato per assicurare - su tutto il territorio nazionale
o previo interessamento del Reparto territorialmente competente - gli adempimenti connessi
all'attività di collaborazione.
Con deliberazione del 6 febbraio 2020 è stato approvato il piano ispettivo del Garante Privacy. A
parte settori specifici, i controlli si concentreranno anche sull’adozione delle misure di sicurezza

- 76 -
di imprese che trattano particolari categorie di dati personali, sul rispetto delle norme sulla in-
formativa e il consenso, sui tempi di conservazione dei dati. L'attività ispettiva verrà svolta anche
a seguito di segnalazioni e reclami, con particolare attenzione alle violazioni più gravi. Un primo
bilancio dell’attività ispettiva e sanzionatoria del Garante Privacy nel 2019 registra l’applicazione
di sanzioni per quasi 15 milioni di euro e iscrizioni a ruolo per un importo complessivo di più di
12 milioni euro,
Recentemente il Garante Privacy ha sanzionato un operatore telefonico per numerosi trattamenti
illeciti di dati legati all’attività di marketing che hanno interessato nel complesso alcuni milioni di
persone.

10.3 Sanzioni amministrative

Il Garante Privacy o altra autorità di controllo europea ha, tra gli altri, i seguenti poteri correttivi
nei confronti delle imprese:
• rivolgere avvertimenti, ammonimenti ed ingiunzioni al Titolare del trattamento o al Responsabile
del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni
del GDPR;
• imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento (da
non sottovalutare);
• infliggere una sanzione amministrativa pecuniaria.
Una volta accertata la violazione del GDPR, dopo aver valutato i fatti del caso, il Garante o altra
autorità di controllo competente deve individuare le misure correttive più appropriate. La san-
zione amministrativa pecuniaria deve risultare effettiva, proporzionata e dissuasiva, secondo i
criteri stabiliti dalla legge.
Il GDPR prevede due diversi gradi di severità per le sanzioni amministrative, con importi decisa-
mente elevati, che variano in relazione alla gravità della violazione contestata.
Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’am-
montare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione nonché il numero di Interessati lesi;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal Titolare o dal Responsabile per attenuare il danno subito dagli interessati;
d) il grado di responsabilità del Titolare o del Responsabile, tenendo conto delle misure tecniche e
organizzative da essi messe in atto;
e) eventuali precedenti violazioni commesse dallo stesso soggetto;
f) il grado di cooperazione con il Garante Privacy al fine di porre rimedio alla violazione e di atte-
nuarne i possibili effetti negativi;
g) le categorie di dati personali interessate dalla violazione;
h) se e in che misura il Titolare del trattamento o il responsabile del trattamento hanno notificato la
violazione;
Nel maggio 2019 è entrata in vigore la deliberazione riguardante il Regolamento concernente le
procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio
dei poteri demandati al Garante Privacy, nonché all’adozione dei provvedimenti correttivi e san-
zionatori.
Ci sono due livelli di gravità delle sanzioni, che si riportano di seguito.

- 77 -
Sanzioni amministrative pecuniarie fino a € 10.000.000,00 o, per le imprese, fino al 2 % del fatturato
mondiale totale annuo dell'esercizio precedente (se superiore) nei seguenti casi: violazione delle
disposizioni in materia di consenso del minore, trattamento che non richiede l’identificazione,
protezione dei dati fin dalla progettazione e protezione dei dati per impostazione predefinita (“pri-
vacy by design e privacy by default”), disposizioni in materia di contitolarità del trattamento, rap-
presentante di Titolare o Responsabile del trattamento, Responsabile del trattamento, Registro
delle attività del trattamento, cooperazione con il Garante, violazione delle misure di sicurezza,
mancata notifica di una violazione dei dati personali al Garante, mancata comunicazione di una
violazione dei dati personali all’interessato, mancata valutazione d’impatto sulla protezione dei
dati, mancata consultazione preventiva, mancata designazione del DPO e inosservanza dei rela-
tivi compiti.
Sanzioni amministrative pecuniarie fino a € 20.000.000,00, o per le imprese, fino al 4 % del fatturato
mondiale totale annuo dell'esercizio precedente, se superiore, nei seguenti casi: violazione delle
disposizioni sui principi di base del trattamento, mancanza di una base giuridica per procedere
al trattamento, consenso al trattamento dei dati personali, in materia di informazioni precedenti
al trattamento, diritto di accesso dell’interessato, diritto di rettifica, diritto di cancellazione, diritto
di limitazione del trattamento, obbligo di notifica in caso di rettifica o cancellazione dei dati per-
sonali o limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione, processo
decisionale automatizzato relativo alle persone fisiche, compresa la profilazione, trasferimento
di dati personali a un destinatario di un paese terzo ed inosservanza di un ordine, limitazione
provvisoria, o definitiva del trattamento o di sospensione del flusso dei dati o negato accesso del
Garante,
Il GDPR offre la possibilità di sostituire una sanzione pecuniaria con un ammonimento qualora il
Titolare del trattamento sia una persona fisica e la sanzione pecuniaria che dovrebbe essere im-
posta costituisca un onere sproporzionato.
Il Titolare ed il Responsabile che hanno predisposto una documentazione esaustiva ai sensi pri-
vacy – nel senso che hanno individuato i problemi ed indicato il ragionamento alla base delle loro
scelte per risolverlo, compatibilmente con i trattamenti in concreto effettuati e con il budget di-
sponibile – saranno dunque valutate con maggior favore proprio in punto di accountability, anche
qualora vi siano stati dei trattamenti non conformi al GDPR.

10.4 Sanzioni penali del Codice Privacy

Il D.lgs 101/2018 ha provveduto all’armonizzazione e alla rivisitazione del Codice Privacy con il
regolamento comunitario, adeguando anche alcune fattispecie a rilevanza penale.
Gli art. 167, 167 bis, 167 ter, 168 e 170 del Codice Privacy prevedono alcuni reati relativi a condotte
attinenti al trattamento di dati personali. In questa sede non è possibile fare una trattazione tec-
nica dei reati, comunque i medesimi si riportano in modo quanto più semplificato possibile.
L’art. 167, come modificato, del Codice Privacy prevede che chiunque, al fine di trarre per sé o
per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto dispo-
sto dagli articoli 123 (dati relativi al traffico), 126 (dati relativi all’ubicazione) e 130 (comunicazioni
indesiderate) o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è pu-
nito con la reclusione da sei mesi a un anno e sei mesi.
Lo stesso articolo stabilisce anche che chiunque, al fine di trarre per sé o per altri profitto ovvero
- 78 -
di arrecare danno all’interessato, nel procedere al trattamento dei dati personali di cui agli articoli
9 ("Trattamento di categorie particolari di dati personali") e 10 ("Trattamento dei dati personali
relativi a condanne penali e reati") del GDPR in violazione delle disposizioni di cui agli articoli 2-
sexies e 2-octies del Codice Privacy, o delle misure di garanzia di cui all’articolo 2-septies del
Codice Privacy ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2-quin-
quiesdecies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni. Stessa
pena si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare
danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o
un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del
GDPR, arreca nocumento all’interessato.
L’art. 167 bis del Codice Privacy invece si riferisce alla comunicazione e alla diffusione illecita di
dati personali oggetto di trattamento su larga scala e stabilisce che, salvo che il fatto costituisca
più grave reato, chiunque comunica o diffonde al fine di trarre profitto per sé o altri ovvero al fine
di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati per-
sonali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter, 2-sexies e 2-octies,
è punito con la reclusione da uno a sei anni.
Lo stesso articolo stabilisce inoltre che chiunque, al fine trarre profitto per sé o altri ovvero di
arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte so-
stanziale di esso contenente dati personali oggetto di trattamento su larga scala, è punito con la
reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di
comunicazione e di diffusione.
L’art. 167 ter del Codice Privacy invece prevede la fattispecie di acquisizione fraudolenta di dati
personali oggetto di trattamento su larga scala e prevede la punizione da uno a 4 anni per chiun-
que, al fine trarre profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti
un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di
trattamento su larga scala.
L’art. 168 del Codice Privacy punisce la falsità nelle dichiarazioni al Garante e interruzione
nell’esecuzione dei compiti o dell’esercizio dei poteri del Garante stabilendo la punizione con la
reclusione da sei mesi a tre anni per chiunque dichiari o attesti falsamente notizie o circostanze
o produca documentazione falsa.
L’art. 170 del Codice Privacy stabilisce chiunque, essendovi tenuto, non osserva un provvedi-
mento adottato dal Garante è punito con la reclusione da tre mesi a due anni.
L’azienda deve fare molta attenzione a non comunicare notizie false al Garante Privacy e a non
rispettare i provvedimenti del medesimo perché ciò, come sopra indicato, potrebbe configurare
un illecito penale.

10.5 Risarcimento del danno

Gli Interessati che abbiano subito un danno materiale o immateriale causato da una violazione
del GDPR hanno il diritto di ottenere il risarcimento del danno dal Titolare del trattamento o dal
Responsabile del trattamento.
Il GDPR prevede diversi casi che comportano rischi per i diritti e le libertà delle persone fisiche
che possono derivare dai seguenti trattamenti di dati personali suscettibili di cagionare un danno

- 79 -
risarcibile fisico, materiale o immateriale. Ad esempio:
a) se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie,
pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professio-
nale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o so-
ciale significativo;
b) se gli Interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito
l’esercizio del controllo sui dati personali che li riguardano;
c) se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni
religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati
relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;
d) in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti
riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli inte-
ressi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o
utilizzare profili personali;
e) se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;
f) se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di Interessati.
Questo elenco non è esaustivo e potenzialmente tutte le disposizioni del GDPR o delle norme
attuative del GDPR rivolte al Titolare e/o Responsabile del trattamento potrebbero comportare un
danno risarcibile. La giurisprudenza italiana in varie pronunce ha deciso che il danno non patri-
moniale derivante da violazioni privacy può essere risarcito solo qualora venga provata la gravità
della lesione e la serietà del danno.
Il Titolare del trattamento risponde per il danno cagionato dalla violazione del GDPR. Anche il
Responsabile del trattamento risponde – solidalmente con il Titolare, al fine di garantire un ri-
sarcimento effettivo all’Interessato - per il danno causato dal trattamento solo se non ha adem-
piuto gli obblighi del GDPR specificatamente diretti ai Responsabili del trattamento o ha agito in
modo difforme o contrario rispetto alle legittime istruzioni del Titolare del trattamento.
Il Titolare o il Responsabile possono essere esonerati dalla responsabilità se dimostrano che
l’evento dannoso non gli è in alcun modo imputabile (prova molto difficile da ottenere).
Qualora il Titolare o il Responsabile abbia pagato l’intero risarcimento del danno, tale soggetto
ha il diritto di agire in regresso nei confronti degli altri operatori coinvolti nella violazione confor-
memente alle condotte poste in essere in concreto per il recupero, quando possibile, di eventuali
somme di denaro.
Le azioni legali per l'esercizio del diritto di ottenere il risarcimento del danno sono promosse
dinanzi alle autorità giurisdizionali competenti a norma del diritto interno dello Stato membro.
La materia è regolata dall’art. 152 del Codice Privacy che prevede la competenza del tribunale del
luogo in cui ha la residenza il Titolare del trattamento. Se l’Interessato è un consumatore prevale
sul foro del Titolare del trattamento il foro speciale della residenza o del domicilio del consuma-
tore in quanto stabilisce una competenza esclusiva, alla luce delle esigenze di tutela, anche sul
terreno processuale, che sono alla base dello statuto del consumatore.
Le azioni nei confronti del Titolare o del Responsabile sono promosse dinanzi al Tribunale dello
stabilimento del Titolare o del Responsabile. In alternativa, tali azioni possono essere promosse
dinanzi al Tribunale in cui l'interessato risiede abitualmente (salvo che il Titolare/Responsabile
sia un'autorità pubblica), come previsto dall’art. 79, comma 2, del GDPR.

- 80 -
 PARTE SECONDA
Modelli e Materiali
11.1 COME UTILIZZARE I MATERIALI
Questa parte del Manuale contiene modelli e documenti che l’azienda potrà copiare, personaliz-
zare e formalizzare – alla luce di quanto detto sopra (che, quindi, è opportuno leggere prima di
usare i modelli) - in altre parole da utilizzare come base di partenza in modo che possa, succes-
sivamente, documentare la propria accountability.
Si consiglia a questo proposito di tenere tutti i materiali in un apposito fascicolo denominato “Fa-
scicolo Privacy” (cartaceo + elettronico) in cui confluiranno non solo i modelli personalizzati e
formalizzati ma anche le scelte riguardanti il trattamento. Il Fascicolo Privacy dovrà essere esi-
bito al Garante Privacy, in caso di richiesta, o ad altro soggetto che abbia titolo per accedervi.
Le attività suggerite ed i modelli/materiali sono le seguenti, con indicazione del paragrafo (ove
previsto):
• verificare se è necessario nominare un DPO (in tal caso sarà lui a coordinare il processo);
• individuare la risorsa (interna) che si occuperà di gestire materialmente questi adempimenti e che
successivamente è consigliabile faccia una relazione ai vertici aziendali (paragrafo 11.4);
• effettuare la mappatura dei dati, soggetti, flussi e banche dati. Registro dei trattamenti (paragrafo
11.2);
• analizzare le misure di sicurezza in azienda, da fare unitamente al tecnico IT dell’azienda, previa
nomina dello stesso (paragrafo 11.6). Si troverà a proposito una guida con check-list finale (para-
grafo 11.8), oltre a verificare se è necessario effettuare valutazioni d’impatto sulla protezione dei
dati;
• gestire i soggetti interni (dipendenti, collaboratori) che trattano i dati personali ed il sito web, uni-
tamente ai cookies. Informative (paragrafo 11.3), istruzioni particolari/generali ai Soggetti Auto-
rizzati (paragrafi 11.4 e 11.5)
• gestire i soggetti esterni (outsourcer) che trattano i dati personali (paragrafo 11.7);
• gestire gli altri Interessati (clienti, fornitori). Informative (paragrafo 11.3);
• gestire, se presenti, videosorveglianza e badge aziendali;
• gestire le richieste di accesso degli Interessati in modo scrupoloso, meglio se predisponendo una
apposita procedura;
• gestire una procedura in caso di violazione di dati personali;
• individuare le attività prioritarie, di immediata esecuzione, e programmare gli interventi da svol-
gere successivamente. Nel caso non vi sia budget sufficiente per implementare delle migliorie
alla policy privacy sarà opportuno richiedere dei preventivi scritti di costo, motivare l’impossibilità
di fare fronte a tale spesa nell’immediato e fissare una per verificarne la fattibilità in futuro;
• formalizzare e conservare il Fascicolo Privacy;
• rivedere quanto sopra periodicamente oppure in caso di modifiche riguardanti il trattamento dei
dati personali.

Attenzione
Tutta la modulistica se gestita in cartaceo andrà riversata su carta intestata dell’azienda, sotto-
scritta dalla società (ed anche timbrata) e dal soggetto coinvolto. Se predisposta in formato elet-
tronico (come ad esempio il Registro delle attività di trattamento) si suggerisce di sottoscrivere
digitalmente tale file, con il dispositivo di firma dell’azienda, e di apporvi una marcatura
- 81 -
temporale od utilizzare un meccanismo che possa dare data certa ed assicurare la riservatezza
della comunicazione, come ad esempio WIPO PROOF: https://www.wipo.int/wipoproof/en/.

11.2 REGISTRO DEI TRATTAMENTI

Il Registro dei trattamenti è contenuto in un file Microsoft Excel disponibile, in allegato, con il
Manuale. Oltre ai campi riservati alla mappatura è previsto uno spazio dedicato alle scelte operate
riguardo al trattamento, da annotare sinteticamente, a riprova della accountability dell’azienda
(“Note”). È necessario completarlo alla luce delle istruzioni che sono contenute nel foglio mede-
simo, utilizzando, quando disponibili, le tendine con i campi preimpostati, che in ogni caso, si
possono sempre personalizzare ulteriormente. Dovrà essere ovviamente inserito nel Fascicolo
Privacy.

11.3 INFORMATIVE AI SENSI DELL’ART. 13 DEL GDPR

11.3.1 Dipendenti/collaboratori
Il lavoratore/collaboratore deve ricevere la nuova informativa sul trattamento dei suoi dati per-
sonali, anche in sede di colloquio finalizzato all’assunzione. Sarà opportuno che l’azienda crei un
indirizzo di posta dedicato per le comunicazioni riguardanti la privacy, oppure utilizzi un account
già in uso ma presidiato da una risorsa competente. Allo stato non appare necessario chiedere il
consenso al trattamento dei dati del dipendente/collaboratore, la sua firma serve solo per avere
prova di aver adempiuto all’obbligo di legge. Questa informativa tiene conto anche del trattamento
dei dati in caso di situazioni emergenziali, richiedendo al lavoratore di inserire nominativo e dati
personali della persona da contattare.

Informativa prevista dall’art. 13 del GDPR al dipendente:

Gentile Sig./Sig.ra [inserire nome del dipendente/collaboratore], come previsto dalla legge vi-
gente, le forniamo le seguenti informazioni riguardanti il trattamento dei suoi dati personali.

Identità e dati di contatto del Titolare del trattamento.

Titolare del trattamento è [inserire denominazione/nome del titolare], con sede legale in [com-
pletare], in via [completare], n. [completare], codice fiscale e partita IVA numero [completare].
Per contattare il Titolare è anche possibile scrivere al seguente indirizzo di posta elettronica pri-
vacy@[ad esempio: nomeazienda.it: si suggerisce di predisporre un account di posta elettronica
dedicato] o telefonicamente al numero [completare].

Finalità, base giuridica del trattamento e tipi di dati trattati.

La raccolta ed il trattamento dei suoi dati personali sono effettuati per [verificare]:
- ricerca e selezione del personale l'eventuale assunzione ovvero l’instaurazione del rapporto di colla-
borazione (base giuridica: esecuzione di un contratto o di misure precontrattuali);
- l'elaborazione ed il pagamento della retribuzione/compenso (base giuridica: come sopra);
- l’espletamento di tutte le pratiche previste dalle leggi vigenti in materia di sicurezza sul lavoro, am-
biente e tutela dei dati personali (ed assimilate), (base giuridica: adempimento di un obbligo legale);

- 82 -
- l'adempimento degli obblighi legali e contrattuali, anche collettivi, e previdenziali, connessi al rapporto
di lavoro (base giuridica: assolvere obblighi, esercitare diritti in materia di diritto del lavoro, sicurezza
e protezione sociale);
- per contattare il soggetto da lei indicato in caso di emergenze ed eventuali comunicazioni obbligatorie
a tutela dell’interesse pubblico (basi giuridiche: salvaguardia dell’interesse vitale dell’interessato e
motivi di interesse pubblico in materia di sanità);
- la eventuale tutela dei diritti del Titolare (base giuridica: interesse legittimo ed accertare, esercitare,
difendere un diritto in sede giudiziaria).

I suoi dati personali saranno trattati attenendosi a principi di correttezza, liceità, trasparenza per
la gestione del suo rapporto di lavoro/collaborazione e per dare seguito alle sue richieste.

Il conferimento dei suoi dati è funzionale alla instaurazione del rapporto di lavoro o collaborazione
ed è un requisito necessario per la conclusione del contratto. Il mancato conferimento dei dati
comporta l’impossibilità di dare esecuzione al contratto. Il mancato conferimento dei dati relativi
al suo stato di salute, in caso di emergenze sanitarie, determina l’impossibilità di accedere ai
locali aziendali.

Il Titolare potrà trattare, esclusivamente per le finalità indicate, anche categorie particolari di dati
(“sensibili”), in quanto idonei a rilevare ad esempio [verificare]:
- il suo stato di salute (assenze per malattia, maternità, infortunio o l'avviamento obbligatorio, apparte-
nenza a categorie protette oppure in caso di emergenze sanitarie) idoneità o meno a specifiche man-
sioni/compiti (risultanti da visite mediche preventive/periodiche);
- l'adesione ad un sindacato (assunzione di cariche e/o richiesta di trattenute per quote di associazione
sindacale), l'adesione ad un partito;
- politico o la titolarità di cariche pubbliche elettive (permessi od aspettativa), convinzioni religiose (fe-
stività religiose fruibili per legge).

Eventuali destinatari e categorie di destinatari dei dati personali.

I suoi dati personali, anche relativi a categorie particolari (dati sensibili), potranno essere comu-
nicati ai seguenti soggetti [verificare i soggetti a cui vengono comunicati, o che comunque hanno
accesso, ai dati personali del dipendente o collaboratore]:
- medico competente o altri soggetti in adempimento degli obblighi in materia di igiene e sicurezza del
lavoro;
- enti pubblici (Inps, Inail, Dpl, uffici fiscali ed assimilati) o pubbliche autorità (ad es. autorità sanitarie);
- fondi o casse anche private di previdenza e assistenza;
- società di assicurazioni ed istituti di credito;
- organizzazioni sindacali, nel caso lei abbia conferito mandato;
- fondi integrativi (ed assimilati);
- organizzazioni imprenditoriali a cui aderisce il Titolare;
- risorse interne del Titolare, che hanno ricevuto apposite istruzioni;
- soggetti esterni nominati Responsabili del trattamento (ad esempio: consulenti del lavoro, società di
elaborazione buste paga, consulenti informatici, aziende specializzate in software);
- professionisti e società di amministrazione e gestione aziendale (autonomi Titolari) [altro?].

Il Titolare del trattamento non ha intenzione di trasferire i suoi dati personali in un Paese terzo
posto al di fuori dell’Unione europea, tuttavia si riserva la possibilità di utilizzare servizi in cloud
conformemente a quanto previsto dagli artt. 44 e seg. del GDPR [in caso l’azienda trasferisca dati
fuori dell’UE deve indicarlo, precisando anche se vi è una decisione di adeguatezza o garanzie

- 83 -
adeguate, etc. È importante verificare se l’azienda utilizza servizi in cloud e capire dove sono i
dati].

Durata della conservazione dei dati personali

I suoi dati saranno trattati per il periodo di tempo consentito, o imposto, dalle normative applica-
bili nella gestione del rapporto contrattuale e per il tempo necessario ad assicurare la tutela le-
gale, a lei ed al Titolare, sotto il profilo contrattuale ed extracontrattuale [verificare] [verificare i
tempi di conservazione dei dati personali]. I suoi dati potranno essere conservati anche al termine
dello stato di emergenza in ottemperanza delle indicazioni provenienti dal Ministero della Salute
o da altra autorità competente. I Suoi dati saranno conservati, per le finalità di ricerca e selezione,
per un periodo di dodici (12) mesi dal loro conferimento e potranno essere utilizzati per contatti
ed eventuali colloqui futuri.

Diritti dell’interessato
L’interessato ha il diritto di:
• chiedere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non
ancora registrati e quindi l’accesso ai propri dati personali, (e/o una copia di tali dati personali),
nonché ulteriori informazioni sui trattamenti in corso su di essi (art.15 GDPR);
• ottenere indicazioni con riferimento a:
- origine dei dati personali;
- finalità e modalità del trattamento;
- logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
- estremi identificativi del titolare, dei responsabili e del rappresentante designato ai
sensi dell’art.3, comma 1, GDPR;
- soggetti o delle categorie di soggetti ai quali i dati personali possono essere comu-
nicati o che possono venirne a conoscenza in qualità di rappresentante designato nel ter-
ritorio dello Stato, di responsabili o incaricati;
• ottenere: a) l’aggiornamento, la rettifica ovvero, quando vi hai interesse, l’integrazione dei dati; b)
la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di
legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali
i dati sono stati raccolti o successivamente trattati; nonché l’attestazione che le operazioni di cui
alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto,
di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento
si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al
diritto tutelato;
• chiedere la cancellazione dei propri dati ovvero la limitazione del trattamento dei propri dati per-
sonali;
• esercitare il diritto alla portabilità dei dati, ossia ottenere in un formato strutturato, di uso comune
e leggibile da dispositivo automatico una copia dei propri dati personali forniti o di richiederne la
trasmissione ad un altro Titolare;
• opporsi al trattamento dei propri dati personali.

Ha diritto di proporre reclamo all’Autorità di Controllo, il Garante per la tutela dei dati personali
(www.garanteprivacy.it), con sede a Roma, se ritiene che i suoi diritti siano stati violati.

Il Titolare non utilizza in alcun modo processi decisionali automatizzati che riguardano i suoi dati
personali.

- 84 -
 Dichiarazione per presa visione del dipendente/collaboratore

Io sottoscritto [inserire nome e cognome del dipendente/collaboratore] nato a [completare] il

[completare] dichiaro di aver letto e compreso il contenuto dell’Informativa privacy e di averne
ricevuto copia.

Dati della persona da contattare solo in caso di emergenza:

Nome e Cognome _______________________ [da far completare al dipendente]

Numero di telefono _______________________
Indirizzo e-mail _______________________

dichiara di avere letto e compreso l’informativa privacy sopra riportata, di averne ricevuto copia
e di avere informato la persona da contattare in caso di emergenza in merito a quanto sopra.

Si allegano eventuali istruzioni particolari e generali consegnate al dipendente/collaboratore.

Luogo e data: [inserire]

Firma: [inserire]

Dichiarazione per presa visione del familiare del dipendente/collaboratore

Io sottoscritto [inserire nome e cognome del dipendente/collaboratore], familiare dell’interes-

sato, nato a [completare] il [completare] dichiaro di aver letto e compreso il contenuto dell’Infor-
mativa privacy e di averne ricevuto copia.

Luogo e data: [inserire]

Firma: [inserire]

[attenzione non si tratta di un consenso al trattamento dei dati sia per il dipendente/collaboratore
che per il familiare, che allo stato attuale, sembra non essere necessario ma semplicemente un
modo per avere la prova di avere fornito al dipendente o collaboratore – ed al suo familiare (nel
caso l’azienda tratti i dati di quest’ultimo) - le informazioni previste dalla legge]
[verificare quanto sopra ed includere solo le attività svolte in concreto]
[allegare eventuali istruzioni per il dipendente/collaboratore: si veda in seguito]

11.3.2 Informativa breve per visitatori (COVID-19)

In caso di pandemie, il visitatore che accede in azienda deve ricevere l’informativa sul trattamento
dei suoi dati personali, che deve essere affissa e consegnata al visitatore. Allo stato non appare
necessario chiedere il consenso al trattamento del visitatore, la sua firma serve solo per avere
prova di aver adempiuto all’obbligo di legge, in casi di emergenza.

Informativa prevista dall’art. 13 del GDPR al visitatore:

- 85 -
Gentile Sig./Sig.ra [inserire nome del visitatore], come previsto dalla legge vigente, le forniamo
le seguenti informazioni riguardanti il trattamento dei suoi dati personali.

Identità e dati di contatto del Titolare del trattamento.

Titolare del trattamento è [inserire denominazione/nome del titolare], con sede legale in [com-
pletare], in via [completare], n. [completare], codice fiscale e partita IVA numero [completare].
Per contattare il Titolare è anche possibile scrivere al seguente indirizzo di posta elettronica pri-
vacy@[ad esempio: nomeazienda.it: si suggerisce di predisporre un account di posta elettronica
dedicato] o telefonicamente al numero [completare].

Interessati
Volontari, collaboratori, visitatori, persone che hanno accesso ai locali del centro

Base giuridica.
- implementazione dei protocolli di sicurezza anti-contagio (motivi di interesse pubblico);
- art. 32 Costituzione; art. 2087 c.c.; d.lgs. 81/2008 (obblighi di legge).

Finalità del trattamento

- prevenzione dal contagio da COVID-19;
- tutela della salute delle persone in azienda;
- collaborazione con le autorità pubbliche e, in particolare, quelle sanitarie.

Dati Raccolti
- temperatura corporea rilevata in tempo reale, senza registrazione o conservazione, salvo l’ipo-
tesi di cui al seguente punto;
- dati identificativi e registrazione del superamento della soglia di temperatura solo qualora sia
necessario a documentare le ragioni che hanno impedito l’accesso ai locali o la permanenza negli
stessi;
- situazioni di pericolo di contagio da Covid-19;
- dati relativi allo stato di salute riguardanti la “avvenuta negativizzazione” del tampone Covid-19.

Conseguenze in caso di rifiuto di rilevamento o di fornitura dei dati

Nel caso di rifiuto del rilevamento della temperatura o di fornitura dei dati è vietato l’accesso ai
locali del centro e la permanenza negli stessi.

Destinatari
I dati possono essere conosciuti da autorizzati al trattamento, dal responsabile dell’ufficio del
personale e dal medico competente.
I dati non sono diffusi o comunicati a terzi al di fuori delle specifiche previsioni normative. I dati
potranno essere comunicati alle pubbliche autorità.

I dati non sono trasferiti all’estero e non saranno oggetto di profilazione o decisioni automatizzate.

Periodo di conservazione
I dati identificativi e il superamento della soglia di temperatura, registrati solo qualora sia neces-
sario a documentare le ragioni che hanno impedito l’accesso ai locali aziendali sono conservati
fino al termine dello stato d’emergenza previsto dalle autorità pubbliche competenti.

- 86 -
Nessuna registrazione e/o conservazione è effettuata nel caso di mancato superamento della
soglia di temperatura.
È fatta salva la conservazione per un periodo superiore in relazione a richieste della pubblica
autorità ed in relazione ad esigenze connesse all’esercizio del diritto di difesa in caso di contro-
versie.

Diritti dell’interessato
Gli interessati hanno il diritto di ottenere, nei casi previsti, l'accesso ai propri dati personali e la
rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi
al trattamento (artt. 15 e ss. del GDPR).

11.3.3 Sito Internet aziendale (informativa sito e cookies estesa e breve)

Se il sito web dell’azienda raccoglie dati personali dei navigatori, anche mediante cookies, è ne-
cessario fornire l’informativa, estesa (quella qui sotto) e mediante banner, ai sensi dell’art. 13 del
GDPR e, se del caso, richiedere il consenso. Si consiglia di confrontarsi con un tecnico informa-
tico, sul punto. È inoltre necessario il consenso del navigatore se l’impresa intende svolgere fi-
nalità di marketing inviando newsletter agli interessati. Sarà opportuno che l’azienda crei un in-
dirizzo di posta dedicato per le comunicazioni riguardanti la privacy, oppure utilizzi un account
già in uso ma presidiato da una risorsa competente.
Di seguito, si riporta l’informativa prevista dall’art. 13 del GDPR il cui link è da inserire nella pa-
gina web di raccolta dell’e-mail utilizzata per l’invio di newsletter.

Informativa privacy sito web:

Gentile Navigatore, la presente Informativa Privacy, di seguito “Informativa”, rilasciata ai sensi
dell’art. 13 del Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati, di
seguito “GDPR“), è volta ad illustrare modalità e finalità dei trattamenti di dati personali raccolti
tramite il sito web [inserire indirizzo del sito web], di seguito “Sito”.

Identità e dati di contatto del Titolare del trattamento.

Titolare del trattamento è [inserire denominazione/nome del titolare], con sede legale in [com-
pletare], in via [completare], n. [completare], Codice fiscale e partita IVA numero [completare].
Per contattare il Titolare è anche possibile scrivere al seguente indirizzo di posta elettronica pri-
vacy@[ad esempio: nomeazienda.it: si suggerisce di predisporre un account di posta elettronica
dedicato].

Finalità, base giuridica del trattamento e tipi di dati trattati.

La raccolta ed il trattamento dei suoi dati personali comuni sono effettuati per [verificare]:
- fornire i servizi offerti dal presente Sito (base giuridica: esecuzione di un contratto o di misure pre-
contrattuali);
- l’esecuzione dei correlati obblighi di natura gestionale, amministrativa e tecnica (base giuridica: come
sopra);

- 87 -
- la promozione di nuovi prodotti o servizi del Titolare mediante invio di newsletter e news personaliz-
zate, contenenti materiale e iniziative promozionali di proprie attività e servizi (base giuridica: il con-
senso dell’interessato);
- la eventuale tutela dei diritti del Titolare (base giuridica: legittimo interesse del Titolare).

I suoi dati personali saranno trattati attenendosi a principi di correttezza, liceità, trasparenza per
consentirle la navigazione nel Sito e per dare seguito alle sue richieste, esclusivamente mediante
strumenti automatizzati [verificare].

Il conferimento dei dati è facoltativo, ma necessario per l’esecuzione dei servizi e, in particolare,
per consentirle la navigazione. Il mancato consenso all’utilizzo dei dati per fini promozionali non
incide sulla navigazione, ma avrà come unica conseguenza l’impossibilità da parte del Titolare
del trattamento di inviarle la newsletter [verificare].

Il Titolare potrà trattare, esclusivamente per le finalità indicate, solo dati comuni, quali, ad esem-
pio, i dati di navigazione, anagrafici, riferimenti telematici e telefonici [verificare].

Eventuali destinatari e categorie di destinatari dei dati personali.

I suoi dati personali comuni potranno essere comunicati ai seguenti soggetti [verificare i soggetti
cui vengono comunicati, o che comunque hanno accesso, ai dati personali del cliente]:
- fornitori di prodotti o servizi per l’erogazione dei servizi o per obblighi connessi;
- pubbliche amministrazioni o enti pubblici o pubbliche autorità per adempimenti legati ad obblighi di
legge;
- risorse interne del Titolare, che hanno ricevuto apposite istruzioni;
- soggetti esterni nominati Responsabili del trattamento (ad esempio: consulenti informatici, aziende
specializzate in software, marketing);
- professionisti (autonomi Titolari) [altro?].

Il Titolare del trattamento non ha intenzione di trasferire i suoi dati personali in un Paese terzo
posto al di fuori dell’Unione europea, tuttavia si riserva la possibilità di utilizzare servizi in cloud
conformemente a quanto previsto dagli artt. 44 e seg. del GDPR [in caso l’azienda trasferisca dati
personali fuori dell’UE deve indicarlo, precisando anche se vi è una decisione di adeguatezza o
garanzie adeguate, etc. Attenzione: verificare se l’azienda utilizza servizi in cloud].

Durata della conservazione dei dati personali.

I suoi dati saranno trattati per il periodo di tempo consentito, o imposto, dalle normative applica-
bili per l’erogazione del servizio e per il tempo necessario ad assicurare la tutela legale, a lei ed
al Titolare, sotto il profilo contrattuale ed extra-contrattuale [verificare].

Misure di sicurezza.
Il Titolare adotterà tutte le necessarie misure di sicurezza al fine di ridurre al minimo i rischi di
distruzione o di perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di tratta-
mento non consentito o non conforme alle finalità indicate nel presente documento.

Diritti dell’utente.
Il soggetto interessato, in qualsiasi momento, ha il diritto di richiedere al Titolare l’accesso ai dati
personali, la rettifica, la cancellazione, l’anonimizzazione degli stessi, nonché la limitazione e
l’opposizione al trattamento dei propri dati personali

- 88 -
L’utente ha anche il diritto, di revocare, in qualsiasi momento, il consenso espresso per finalità
di marketing (opt-out) scrivendo al seguente indirizzo e-mail [completare] e di proporre reclamo
all’Autorità di Controllo, il Garante per la tutela dei dati personali (www.garanteprivacy.it), con
sede a Roma, se ritiene che i suoi diritti siano stati violati.

Il Titolare non utilizza in alcun modo processi decisionali automatizzati che riguardano i suoi dati
personali.
Si precisa che la presente Informativa deve ritenersi riferita e applicabile unicamente al Sito,
senza estendersi alle pagine o ai siti accessibili mediante link e/o gestiti da terze parti.

Consenso per finalità di marketing

Dichiaro di aver letto e compreso il contenuto dell’Informativa Privacy e presto il consenso per
l’invio della newsletter

[inserire link ad Informativa Privacy e casella per selezionare si/no].

[verificare quanto sopra ed includere solo le attività svolte in concreto e tenere traccia della in-
formativa, di quando e come il cliente ha prestato il proprio consenso ed assicurando al cliente
la possibilità di revocarlo con le stesse modalità. Fare attenzione ai cookie ed integrare l’infor-
mativa con le indicazioni sull’uso degli specifici cookie utilizzati].

Informativa privacy estesa per Cookie:

Con la presente Informativa cookie, [inserire denominazione/nome del titolare], con sede [com-
pletare], in Via [completare], in qualità di titolare del trattamento (il “Titolare”), intende fornire agli
utenti del proprio sito web [completare], (il “Sito”) ogni più utile informazione riguardo all’utilizzo
di cookies.

A questo proposito, il presente documento costituisce parte integrante dell’informativa sul trat-
tamento dei dati personali, consultabile al seguente link. [inserire il link all’informativa del sito]

Per qualsiasi ulteriore informazione o questione circa i trattamenti svolti è possibile contattare il
Titolare all’indirizzo e-mail: privacy@[ad esempio: nomeazienda.it: si suggerisce di predisporre
un account di posta elettronica dedicato].

Cosa sono i cookies.

I cookie sono file di testo generati da un server che i siti web visitati dall’utente possono inviare
al suo terminale di navigazione, sul quale vengono memorizzati per essere poi ritrasmessi agli
stessi siti alla successiva visita del medesimo utente.

Nel corso della navigazione su Internet, l’utente può ricevere due differenti tipologie di cookie:
quelli relativi al sito visitato dall’utente (c.d. “Cookie di prima parte”), o quelli di siti o web server
diversi (c.d. “Cookie di terza parte”).

- 89 -
I cookie, peraltro, possono essere ulteriormente distinti in base alle finalità per cui sono utilizzati:
alcuni permettono una migliore navigazione dell’utente (c.d. “Cookie tecnici”), altri consentono di
monitorarne la navigazione allo scopo profilarne preferenze e abitudini (c.d. “Cookie di profila-
zione”), gli altri sono descritti nella presente informativa.

Quali cookies utilizza il Sito. [verificare]

Il Sito fa uso delle seguenti tipologie di cookie:

Cookie necessari: sono necessari per il funzionamento del sito e non possono essere disattivati.
Di solito vengono impostati solo in risposta alle azioni effettuate dall’utente che costituiscono una
richiesta di servizi, come l'impostazione delle preferenze riguardo alla privacy, l'accesso o la
compilazione di moduli. È possibile impostare il proprio browser per bloccare o avere avvisi ri-
guardo questi cookie, ma di conseguenza si perderanno alcune funzionalità. Questi cookie non
memorizzano informazioni personali;

Cookie di prestazione: permettono di contare le visite e fonti di traffico in modo da poter misurare
e migliorare le prestazioni del Sito. Aiutano il Titolare a sapere quali sono le pagine più e meno
popolari e vedere come i visitatori si operano sul Sito. Tutte le informazioni raccolte dai cookie
sono aggregate e, di conseguenza, anonime. Se non si autorizzano questi cookie non monitore-
remo le tue attività;

Cookie funzionali: consentono al Sito di fornire funzionalità e personalizzazione avanzate. Pos-

sono essere impostati dal Titolare o da provider di terze parti i cui servizi sono stati aggiunti alle
pagine del Sito. Se non si autorizzano questi cookie, i servizi, in tutto o in parte, potrebbero non
funzionare correttamente.

Cookie per pubblicità mirata: possono essere impostati dal Titolare o dai suoi partner pubblicitari.
Possono essere utilizzati dai partner del Titolare (soggetti terzi) per costruire un profilo dei tuoi
interessi e mostrarti annunci pertinenti su altri siti. Le informazioni memorizzate sono relative
all'individuazione del browser e del dispositivo internet utilizzato dal visitatore. Se non si autoriz-
zano questi cookie, la pubblicità sarà meno personalizzata.

Cookie per social media: sono impostati da vari servizi di social media aggiunti al Sito per con-
sentire di condividere i contenuti del Sito con amici e soggetti connessi al visitatore. Questi sono
in grado di monitorare il browser anche in altri siti e di creare un profilo degli interessi del visi-
tatore. Ciò potrebbe avere un impatto sul contenuto e messaggi visualizzati in altri siti web visitati.
Se non si accettano questi cookie, non è possibile utilizzare o visualizzare questi strumenti di
condivisione.

Come disabilitare i cookie.

Gli utenti possono disabilitare i Cookie tecnici attraverso le impostazioni del proprio browser,
nella consapevolezza che una simile scelta potrebbe precludere o peggiorare la navigazione sul
Sito.

Di regola, i principali browser permettono di controllare e disabilitare i Cookies attraverso l'area

delle impostazioni. Ecco i link alle pagine con le istruzioni per disabilitare i cookies nelle impo-
stazioni di alcuni dei principali browser:

- 90 -
Chrome: https://support.google.com/chrome/answer/95647?hl=it
Explorer: http://windows.microsoft.com/it-it/windows7/block-enable-or-allow-cookies
Firefox: https://support.mozilla.org/it/kb/Attivare%20e%20disattivare%20i%20cookie
Safari: http://support.apple.com/kb/HT1677?viewlocale=it_IT

Per maggiori informazioni, è possibile visitare: http://www.allaboutcookies.org op-

pure www.youronlinechoices.com.

Informativa breve per Cookie:

Questo sito utilizza cookie tecnici necessari al funzionamento del sito, cookie di prestazione, coo-
kie cookie funzionali, cookie per pubblicità mirata, cookie nei social media clicca qui (il link deve
rimandare al testo integrale della cookie policy all’interno della quale devono essere riportate le
informazioni di cui all’art. 13 del GDPR ed in particolare: il nome del cookie, la finalità del tratta-
mento, il periodo di conservazione delle informazioni, il link all’informativa di terze

Accetta tutti i Cookie e prosegui

Gestisci Cookie [link alla sezione

“Gestione dei Cookie”]

Gestione dei cookie necessari

Questi cookie sono necessari per il funzionamento del sito e non possono essere disattivati. Di
solito vengono impostati solo in risposta alle azioni effettuate dall’utente che costituiscono una
richiesta di servizi, come l'impostazione delle preferenze riguardo alla privacy, l'accesso o la
compilazione di moduli. È possibile impostare il proprio browser per bloccare o avere avvisi ri-
guardo questi cookie, ma di conseguenza si perderanno alcune funzionalità. Questi cookie non
memorizzano informazioni personali.

Sempre attivi

Gestione dei cookie di prestazione

Questi cookie permettono di contare le visite e fonti di traffico in modo da poter misurare e mi-
gliorare le prestazioni del Sito. Aiutano il Titolare a sapere quali sono le pagine più e meno popo-
lari e vedere come i visitatori si operano sul Sito. Tutte le informazioni raccolte dai cookie sono
aggregate e, di conseguenza, anonime. Se non si autorizzano questi cookie non monitoreremo le
tue attività.

Consento Rifiuto

- 91 -
Gestione dei cookie funzionali
Questi cookie consentono al Sito di fornire funzionalità e personalizzazione avanzate. Possono
essere impostati dal Titolare o da provider di terze parti i cui servizi sono stati aggiunti alle pa-
gine del Sito. Se non si autorizzano questi cookie, i servizi, in tutto o in parte, potrebbero non
funzionare correttamente.

Consento Rifiuto

Gestione dei cookies per pubblicità mirata

Questi cookie possono essere impostati dal Titolare o dai nostri partner pubblicitari. Possono
essere utilizzati dai partner del Titolare (soggetti terzi) per costruire un profilo dei tuoi interessi
e mostrarti annunci pertinenti su altri siti. Le informazioni memorizzate sono relative all'indivi-
duazione del browser e del dispositivo internet utilizzato dal visitatore. Se non si autorizzano que-
sti cookie, la pubblicità sarà meno personalizzata.

Consento Rifiuto

Gestione dei cookie dei social media

Questi cookie sono impostati da vari servizi di social media aggiunti al Sito per consentire di con-
dividere i contenuti del Sito con amici e soggetti connessi al visitatore. Questi sono in grado di
monitorare il browser anche in altri siti e di creare un profilo degli interessi del visitatore. Ciò
potrebbe avere un impatto sul contenuto e messaggi visualizzati in altri siti web visitati. Se non
si accettano questi cookie, non è possibile utilizzare o visualizzare questi strumenti di condivi-
sione.

Consento Rifiuto

- 92 -
11.3.4 Clienti
Il cliente, qualora sia una persona fisica o un’impresa individuale o un professionista, deve rice-
vere l’informativa sul trattamento dei suoi dati personali se il trattamento è finalizzato a dar corso
al contratto o in sede precontrattuale (non serve richiedere il consenso per questo). Sarà oppor-
tuno che l’azienda crei un indirizzo di posta dedicato per le comunicazioni riguardanti la privacy,
oppure utilizzi un account già in uso ma presidiato da una risorsa competente. Di seguito, si ri-
porta l’informativa prevista dall’art. 13 del GDPR.

Gentile Cliente, come previsto dalla legge vigente, le forniamo le seguenti informazioni riguar-
danti il trattamento dei suoi dati personali.

Identità e dati di contatto del Titolare del trattamento.

Titolare del trattamento è [inserire denominazione/nome del titolare], con sede legale in [com-
pletare], in via [completare], n. [completare], Codice fiscale e partita IVA numero [completare].
Per contattare il Titolare è anche possibile scrivere al seguente indirizzo di posta elettronica pri-
vacy@[ad esempio: nomeazienda.it: si suggerisce di predisporre un account di posta elettronica
dedicato].

Finalità, base giuridica del trattamento e tipi di dati trattati.

La raccolta ed il trattamento dei suoi dati personali comuni sono effettuati per [verificare]:
- l’esecuzione del rapporto contrattuale o precontrattuale (base giuridica: esecuzione di un contratto o
di misure precontrattuali);
- l’esecuzione dei correlati obblighi di natura gestionale, amministrativa e contabile (base giuridica:
come sopra);
- la promozione di nuovi prodotti o servizi del Titolare, mediante e-mail o newsletter (base giuridica: il
consenso dell’interessato);
- la eventuale tutela dei diritti del Titolare (base giuridica: legittimo interesse del Titolare).

I suoi dati personali saranno trattati attenendosi a principi di correttezza, liceità, trasparenza per
la gestione del rapporto contrattuale e/o precontrattuale e per dare seguito alle sue richieste.

Il conferimento dei dati è facoltativo, ma necessario per l’esecuzione del rapporto contrattuale ed
in particolare per l’adempimento degli obblighi contrattuali e di ogni correlato obbligo di carattere
amministrativo e contabile. Il mancato consenso all’utilizzo dei dati per fini promozionali non in-
cide sull’esecuzione del contratto ma avrà come unica conseguenza l’impossibilità da parte del
Titolare di trattare i suoi dati personali per tali finalità.

Il Titolare potrà trattare, esclusivamente per le finalità indicate, solo dati comuni, quali, ad esem-
pio, i dati anagrafici, riferimenti telematici e telefonici, carica/responsabilità ricoperta all’interno
della società/ente cliente, unitamente ai dati economici e finanziari, la denominazione sociale, le
sedi legali, i riferimenti bancari della società/ente Cliente medesima.

Eventuali destinatari e categorie di destinatari dei dati personali.

I suoi dati personali comuni potranno essere comunicati ai seguenti soggetti [verificare i soggetti
cui vengono comunicati, o che comunque hanno accesso, ai dati personali del cliente]:
- fornitori di prodotti o servizi per l’esecuzione del rapporto contrattuale o per obblighi connessi;
- pubbliche amministrazioni o enti pubblici per adempimenti legati ad obblighi di legge;
- società di assicurazioni ed istituti di credito;

- 93 -
- risorse interne del Titolare, che hanno ricevuto apposite istruzioni;
- soggetti esterni nominati Responsabili del trattamento (ad esempio: consulenti informatici, aziende
specializzate in software o in servizi di invio e-mail e/o newsletter);
- professionisti e società di amministrazione e gestione aziendale (autonomi Titolari) [altro?].

Il Titolare del trattamento non ha intenzione di trasferire i suoi dati personali in un Paese terzo
posto al di fuori dell’Unione europea [in caso l’azienda trasferisca dati personali fuori dell’UE deve
indicarlo, precisando anche se vi è una decisione di adeguatezza o garanzie adeguate, etc. Atten-
zione: verificare se l’azienda utilizza servizi in cloud].

Durata della conservazione dei dati personali

I suoi dati saranno trattati per il periodo di tempo consentito, o imposto, dalle normative applica-
bili nella gestione del rapporto di lavoro o di collaborazione e per il tempo necessario ad assicu-
rare la tutela legale, a lei ed al Titolare, sotto il profilo contrattuale ed extracontrattuale [verifi-
care].

Diritti dell’interessato
In qualsiasi momento lei ha il diritto di richiedere al Titolare l’accesso ai suoi dati, nonché la
rettifica o la cancellazione degli stessi.

Ha il diritto a richiedere la limitazione del trattamento ovvero di opporsi allo stesso.

Ha il diritto, in qualsiasi momento, di revocare il consenso espresso per finalità di marketing (opt-
out) scrivendo al seguente indirizzo [completare].

Ha diritto di proporre reclamo all’Autorità di Controllo, il Garante per la tutela dei dati personali
(www.garanteprivacy.it), con sede a Roma, se ritiene che i suoi diritti siano stati violati.

Il Titolare non utilizza in alcun modo processi decisionali automatizzati che riguardano i suoi dati
personali.

Consenso per finalità di marketing

Io sottoscritto [inserire nome e cognome] nato a [completare] il [completare] dichiaro di aver letto
e compreso il contenuto dell’Informativa Privacy e presto il consenso per attività di natura pro-
mozionale commerciale, come ad esempio mediante newsletter, attraverso strumenti tradizio-
nali (telefonate con operatore e posta cartacea) ed evoluti (e-mail, sms e simili).

Luogo e data: [inserire]

Firma: [inserire]

[verificare quanto sopra ed includere solo le attività svolte in concreto e tenere traccia della in-
formativa, di quando e come il cliente ne ha preso visione (se non è necessario chiedere il con-
senso non utilizzare il modulo di consenso di cui sopra) o ha prestato il proprio consenso ed
assicurando al cliente la possibilità di revocarlo con le stesse modalità].

- 94 -
11.3.5 Fornitori
Il fornitore, qualora sia una persona fisica o un’impresa individuale o un professionista, deve
ricevere l’informativa sul trattamento dei suoi dati personali se il trattamento è finalizzato a dar
corso al contratto o in sede precontrattuale (non serve richiedere il consenso per questo). Sarà
opportuno che l’azienda crei un indirizzo di posta dedicato per le comunicazioni riguardanti la
privacy, oppure utilizzi un account già in uso ma presidiato da una risorsa competente. Di seguito,
si riporta l’informativa prevista dall’art. 13 del GDPR.

Gentile Fornitore, come previsto dalla legge vigente, le forniamo le seguenti informazioni riguar-
danti il trattamento dei suoi dati personali.

Identità e dati di contatto del Titolare del trattamento.

Titolare del trattamento è [inserire denominazione/nome del titolare], con sede legale in [com-
pletare], in via [completare], n. [completare], Codice fiscale e partita IVA numero [completare].
Per contattare il Titolare è anche possibile scrivere al seguente indirizzo di posta elettronica pri-
vacy@[ad esempio: nomeazienda.it: si suggerisce di predisporre un account di posta elettronica
dedicato].

Finalità, base giuridica del trattamento e tipi di dati trattati.

La raccolta ed il trattamento dei suoi dati personali comuni sono effettuati per [verificare]:
- l’esecuzione del rapporto contrattuale o precontrattuale (base giuridica: esecuzione di un contratto o
di misure precontrattuali);
- l’esecuzione dei correlati obblighi di natura gestionale, amministrativa e contabile (base giuridica:
come sopra);
- la promozione di nuovi prodotti o servizi del Titolare (base giuridica: il consenso dell’interessato);
- la eventuale tutela dei diritti del Titolare (base giuridica: legittimo interesse del Titolare).

I suoi dati personali saranno trattati attenendosi a principi di correttezza, liceità, trasparenza per
la gestione del rapporto contrattuale e/o precontrattuale e per dare seguito alle sue richieste.

Il conferimento dei dati è facoltativo, ma necessario per l’esecuzione del rapporto contrattuale ed
in particolare per l’adempimento degli obblighi contrattuali e di ogni correlato obbligo di carattere
amministrativo e contabile.

Il Titolare potrà trattare, esclusivamente per le finalità indicate, solo dati comuni, quali, ad esem-
pio, i dati anagrafici, riferimenti telematici e telefonici, carica/responsabilità ricoperta all’interno
della società/ente fornitrice, unitamente ai dati economici e finanziari, la denominazione sociale,
le sedi legali, i riferimenti bancari della società/ente fornitrice medesima.

Eventuali destinatari e categorie di destinatari dei dati personali.

I suoi dati personali comuni potranno essere comunicati ai seguenti soggetti [verificare i soggetti
cui vengono comunicati, o che comunque hanno accesso, ai dati personali del cliente]:
- clienti, fornitori di prodotti o servizi per l’esecuzione del rapporto contrattuale o per obblighi connessi;
- pubbliche amministrazioni o enti pubblici per adempimenti legati ad obblighi di legge;
- società di assicurazioni ed istituti di credito;
- risorse interne del Titolare, che hanno ricevuto apposite istruzioni;
- soggetti esterni nominati Responsabili del trattamento (ad esempio: consulenti informatici, aziende
specializzate in software);

- 95 -
- professionisti e società di amministrazione e gestione aziendale (autonomi Titolari) [altro?].

Il Titolare del trattamento non ha intenzione di trasferire i suoi dati personali in un Paese terzo
posto al di fuori dell’Unione europea [in caso l’azienda trasferisca dati personali fuori dell’UE deve
indicarlo, precisando anche se vi è una decisione di adeguatezza o garanzie adeguate, etc. Atten-
zione: verificare se l’azienda utilizza servizi in cloud].

Durata della conservazione dei dati personali

I suoi dati saranno trattati per il periodo di tempo consentito, o imposto, dalle normative applica-
bili nella gestione del rapporto di lavoro o di collaborazione e per il tempo necessario ad assicu-
rare la tutela legale, a lei ed al Titolare, sotto il profilo contrattuale ed extracontrattuale [verifi-
care].

Diritti dell’interessato
In qualsiasi momento lei ha il diritto di richiedere al Titolare l’accesso ai suoi dati, nonché la
rettifica o la cancellazione degli stessi.

Ha il diritto a richiedere la limitazione del trattamento ovvero di opporsi allo stesso.

Ha diritto di proporre reclamo all’Autorità di Controllo, il Garante per la tutela dei dati personali
(www.garanteprivacy.it), con sede a Roma, se ritiene che i suoi diritti siano stati violati.

Il Titolare non utilizza in alcun modo processi decisionali automatizzati che riguardano i suoi dati
personali.

Dichiarazione per presa visione

Io sottoscritto [inserire nome e cognome del dipendente/collaboratore] nato a [completare] il

[completare] dichiaro di aver letto e compreso il contenuto dell’Informativa privacy e di averne
ricevuto copia.

Luogo e data: [inserire]

Firma: [inserire]

[attenzione non si tratta di un consenso al trattamento dei dati, se possibile prevedere il modulo
della “Dichiarazione per presa visione”, altrimenti rimuoverlo nel caso venga l’informativa venga
trasmessa via e-mail]

[verificare quanto sopra ed includere solo le attività svolte in concreto].

- 96 -
11.4 ISTRUZIONI PARTICOLARI AI SOGGETTI AUTORIZZATI
Il dipendente/collaboratore (Soggetto Autorizzato), oltre a ricevere l’informativa ai sensi dell’art.
13 del GDPR di cui sopra, deve ricevere le istruzioni e l’autorizzazione per il trattamento connesso
alle proprie funzioni. Il Titolare dopo avere effettuato la mappatura di soggetti, dati, trattamenti e
flussi potrà definire quelli che sono i diversi ambiti di trattamento dei dipendenti/collaboratori.

Data la situazione pandemica, è stato prevista anche l’autorizzazione per la raccolta dei dati re-
lativi alla temperatura corporea (ed altre situazioni di fragilità) da parte dell’addetto all’acco-
glienza dei visitatori, che deve presidiare l’accesso dei visitatori in azienda.

11.4.1 Autorizzazione generica

Gentile Sig./Sig.ra [inserire nome del dipendente/collaboratore], come previsto dalla legge vi-
gente, le forniamo le seguenti informazioni.

Il Titolare del trattamento, l’azienda [inserire nome dell’azienda], ai sensi dell’articolo 24 del
GDPR, le attribuisce i seguenti compiti e funzioni, ai sensi dell’art. 29 del GDPR e dell’art. 2-14,
comma 2, del Codice Privacy, in quanto soggetto autorizzato.

In quanto soggetto autorizzato lei avrà accesso alle seguenti banche dati e/o archivi [inserire
banche dati e tipologie di dati trattati: dati comuni o categorie particolari di dati (dati sensibili)],
oltre alle informazioni necessarie per lo svolgimento dei compiti affidati.

[specificare se vi sono istruzioni particolari per il trattamento]

[specificare se vengono consegnate chiavi di archivi o di porte di accesso ai locali e relative istru-
zioni]

[specificare se vengono consegnati elaboratori portatili, smartphone, tablet, o altri device].

Con riferimento alle banche dati e/o archivi a cui ha accesso potrà compiere le seguenti opera-
zioni (privilegi di accesso): [inserire il profilo utente ed i suoi privilegi].

Il trattamento dovrà essere realizzato in osservanza delle norme del Codice della Privacy del
GDPR e delle apposite prescrizioni che verranno impartite dal Titolare del trattamento.

Il Sig./Sig.ra [inserire nome del dipendente/collaboratore] si impegna ad osservare le allegate

Istruzioni generali ai Soggetti Autorizzati.

Azienda
(timbro e firma) [completare]

Soggetto Autorizzato
(nome e cognome e firma) [completare]

[allegare Istruzioni generali ai Soggetti Autorizzati]

- 97 -
11.4.2 Autorizzazione per il personale addetto al ricevimento visitatori
Il soggetto delegato ad accogliere i visitatori alla reception deve ricevere le istruzioni e l’autoriz-
zazione per il trattamento connesso alle proprie funzioni, secondo i protocolli settoriali condi-
visi.

Gentile Sig./Sig.ra [inserire nome del dipendente/collaboratore], come previsto dalla legge vi-
gente, le forniamo le seguenti informazioni.
Il Titolare del trattamento, l’azienda [inserire nome dell’azienda], ai sensi dell’articolo 24 del
GDPR, le attribuisce i seguenti compiti e funzioni, ai sensi dell’art. 29 del GDPR e dell’art. 2- qua-
terdecies, comma 2, del Codice Privacy, in quanto soggetto autorizzato.

In quanto soggetto autorizzato lei svolgerà le seguenti funzioni finalizzate alla prevenzione del
contagio da COVID-19 ed alla sua diffusione in azienda:
- rilevazione temperatura corporea in tempo reale, senza registrazione o conservazione, salvo
quanto previsto dal seguente punto, delle persone che accedono in azienda;
- raccolta e uso di dati identificativi dell’interessato e registrazione del superamento della soglia
di temperatura solo qualora sia necessario a documentare le ragioni che hanno impedito l’ac-
cesso ai locali aziendali;
- raccolta e uso dei dati relativi a situazioni di particolare fragilità dei visitatori.

[specificare le istruzioni particolari per il trattamento come da legge vigente e protocolli di settore]

Con riferimento alle banche dati e/o archivi a cui ha accesso potrà compiere le seguenti opera-
zioni (privilegi di accesso): [inserire il profilo utente ed i suoi privilegi].

Il trattamento dovrà essere realizzato in osservanza delle norme del Codice della Privacy del
GDPR e delle apposite prescrizioni che verranno impartite dal Titolare del trattamento.

Il Sig./Sig.ra [inserire nome del dipendente/collaboratore] si impegna ad osservare le allegate

Istruzioni generali ai Soggetti Autorizzati.

Azienda
(timbro e firma) [completare]

Soggetto Autorizzato
(nome e cognome e firma) [completare]

[allegare Istruzioni generali ai Soggetti Autorizzati]

- 98 -
11.5 ISTRUZIONI GENERALI AI SOGGETTI AUTORIZZATI (ARCHIVIAZIONE, POST@, INTERNET)
Le istruzioni particolari di cui sopra, quanto ai dipendenti/collaboratori, saranno integrate con la
regolamentazione generale di cui sotto.

Istruzioni generali ai Soggetti Autorizzati per attività di trattamento dati

1. Regole generali
I Soggetti Autorizzati (cioè gli utenti) sono chiamati ad attenersi alle seguenti regole di ordinaria
diligenza, che costituiscono il regolamento (Regolamento), nonché tutte le altre ulteriori misure
ritenute necessarie per garantire il rispetto di quanto previsto in materia di tutela dei dati perso-
nali. In particolare [verificare]:
• devono essere svolte le sole operazioni di trattamento necessarie per il raggiungimento delle
finalità stabilite dall’Azienda, evitando di compiere operazioni non autorizzate;
• tutte le operazioni di trattamento dovranno essere svolte garantendo il rispetto di misure di
sicurezza e massima riservatezza;
• in caso di allontanamento, anche temporaneo, dalla propria postazione di lavoro si devono
porre in essere tutte le misure necessarie (es. blocco del pc, chiusura del fascicolo cartaceo)
affinché́ soggetti terzi, anche se dipendenti, non possano accedere ai dati personali sia per
trattamenti automatizzati che cartacei;
• deve essere costantemente verificata esattezza e pertinenza dei dati, rispetto alle finalità̀ pre-
viste;
Si richiede il massimo scrupolo nelle varie fasi di trattamento (raccolta, aggiornamento, conser-
vazione e distruzione), soprattutto quando vengono trattate categorie particolari di dati personali
(ad esempio: dati sensibili), dati giudiziari (ad esempio: fedina penale) o altri dati che possono
avere un impatto negativo sulle libertà o i diritti delle persone. Tali dati devono essere trattati
secondo il principio della minimizzazione del trattamento: riducendone all’essenziale il loro uti-
lizzo (evitare di salvare/stampare documenti non necessari all’attività lavorativa). I Soggetti Au-
torizzati a trattare categorie particolari di dati riceveranno specifiche istruzioni operative su come
gestire i dati trattati con mezzi automatizzati (ad esempio: files) e non automatizzati (ad esempio:
archivi cartacei).
Nei successivi paragrafi si riportano le norme che i Soggetti Autorizzati devono adottare nel caso
di trattamenti effettuati in formato elettronico e cartaceo.

2. Postazioni [verificare]
La postazione di lavoro deve essere:
• utilizzata solo per scopi legati alla propria attività lavorativa;
• utilizzata in modo esclusivo da un solo Soggetto Autorizzato, salvo non sia predisposta per la
multiutenza (con apposite password);
• protetta, evitando che soggetti non autorizzati possano avere visibilità dei dati trattati.

Il Soggetto Autorizzato deve attenersi alle seguenti procedure:

• non utilizzare in Azienda risorse informatiche private (ad esempio: elaboratore, periferiche,
chiavi USB);
• non installare alcun software sugli strumenti Aziendali;
• non lasciare sulla scrivania informazioni riservate o dati personali su qualunque supporto
esse siano archiviate (per esempio, carta, CD, dispositivi USB);
• in caso di assenza momentanea bloccare il sistema operativo del proprio elaboratore o, in
alternativa, e, in ogni caso, impostare lo screen saver con password in modo che si attivi dopo
5 minuti di inattività;

- 99 -
 • non lasciare elaboratore, smartphone, tablet ed altri device incustoditi;
• non utilizzare fax e/o telefono per trasmettere dati personali se non si è assolutamente certi
dell’identità del destinatario.

3. Password [verificare]
Ogni Soggetto Autorizzato deve gestire la propria password come segue, fatte salve diverse
prassi aziendali:
• modificare, alla prima connessione, quella che è stata attribuita di default;
• modificarla almeno ogni 90 giorni, o immediatamente nei casi in cui sia compromessa;
• comporla utilizzando almeno 8 caratteri o, nel caso in cui lo strumento elettronico non lo con-
senta, con un numero di caratteri pari al massimo consentito;
• usare sia lettere che numeri e almeno un carattere maiuscolo e uno speciale;
• non basare la scelta su informazioni facilmente ricollegabili alla propria persona, ad esempio,
il nome proprio o quello dei familiari, date di nascita, indirizzi;
• mantenerla strettamente riservata e non divulgarla a terzi;
• non permettere ad altri utenti (ad esempio: colleghi, collaboratori, fornitori) di operare con le
proprie credenziali;
• non trascriverla in posti facilmente accessibili a terzi (ad esempio: post-it, scrivania), né la-
sciarla memorizzata sul proprio elaboratore;
• non comunicarla mai per telefono o via e-mail in chiaro, salvo gravi necessità.

4. Antivirus [verificare]
Gli strumenti assegnati agli utenti sono protetti da antivirus ma rimangono potenzialmente espo-
sti ad aggressioni di software non conosciuti o di comportamenti inavveduti degli utenti.
Per ridurre le probabilità̀ del verificarsi di tali attacchi è necessario che vengano osservate le
seguenti regole:
• controllare che il programma antivirus installato sia aggiornato periodicamente e sia attivo;
• chiudere correttamente i programmi in uso;
• non aprire file provenienti da fonti sospette ed analizzare gli allegati e-mail con attenzione
prima di procedere alla loro apertura;
• non scaricare o installare applicazioni/software in assenza di preventiva autorizzazione;
• verificare tramite appositi applicativi in dotazione ogni supporto magnetico contenente dati (ad
esempio, dispositivi USB, CD), prima dell'esecuzione dei file in esso contenuti;
• non utilizzare supporti di dubbia provenienza;
• porre attenzione ai messaggi di errore del proprio elaboratore;
• usare correttamente e solo per esigenze di lavoro i servizi di posta elettronica e Internet;
• non modificare le impostazioni del proprio elaboratore;
• spegnere il proprio elaboratore al termine della prestazione, prima di lasciare l’Azienda.

Se viene segnalato o si verifica un malfunzionamento dell’elaboratore, che possa far sorgere il

sospetto della presenza di un virus, il Soggetto Autorizzato, senza ritardo, deve:
1. sospendere ogni operazione sull’elaboratore e prendere velocemente nota dell’eventuale messaggio
di errore;
2. spegnere l’elaboratore;
3. contattare immediatamente l’Amministratore di Sistema.

5. Salvataggio dati [verificare]

Tutti i dati al termine della giornata lavorativa vanno salvati conformemente alle prassi aziendali.

- 100 -
6. Dispositivi portatili [verificare]
Un dispositivo portatile (ad esempio: elaboratore portatile, tablet, smartphone, cellulare) è estre-
mamente vulnerabile.
Fermo quanto sopra, il Soggetto Autorizzato è tenuto a:
• conservare lo strumento in un luogo sicuro;
• non lasciare il dispositivo incustodito;
• avvertire tempestivamente l’Amministratore di Sistema in caso di furto o compromissione del
dispositivo;
• fare attenzione all’uso del dispositivo in pubblico (dati password potrebbero essere carpiti da
terzi).

7. Internet e post@ [verificare]

Internet, posta elettronica e gli altri sistemi di messaggistica devono essere utilizzati esclusiva-
mente per finalità lavorative.
In particolare, il Soggetto Autorizzato è obbligato ad osservare le seguenti regole [verificare]:
1. la navigazione in internet è possibile solo per l’esecuzione dei compiti assegnati, altrimenti è
espressamente vietata;
2. non è consentito scaricare software, anche se ne è nota la fonte;
3. salvo ciò non rientri nei compiti assegnati, non è consentita l’interazione con social network,
gruppi di discussione, chat, sistemi di messaging o assimilati;
4. è vietato aprire e-mail e file allegati anomali o di origine sconosciuta (ad esempio: spam o simili).
Si consideri che posta elettronica, sistemi di instant messaging, navigazione internet veicolano
anche software malevoli (virus), che possono creare gravi danni in Azienda;
5. è vietato l’utilizzo della posta elettronica per comunicare informazioni riservate, dati personali,
senza garantirne l’opportuna protezione;
6. fare attenzione ai destinatari della comunicazione inviando dati personali solo a chi ha titolo per
trattarli. In caso di errore avvertire immediatamente il soggetto che ha ricevuto la comunicazione
richiedendo di cancellare il messaggio e relativi allegati;
7. è vietato modificare le impostazioni del proprio dispositivo od installare dispositivi di memorizza-
zione, comunicazione o dispositivi non autorizzati preventivamente dall’Amministratore di Si-
stema;
8. per migliorare l’efficienza dei sistemi è necessario cancellare messaggi e documenti inutili o al-
legati pesanti, se non necessari (o non collegati con l’attività lavorativa), verificando se la propria
casella ha superato i limiti di capienza;
9. In caso di assenza programmata il Soggetto Autorizzato deve attivare la procedura che consente
di avvertire i mittenti di messaggi di posta elettronica della sua assenza e di comunicare i recapiti
di un collega presente (“Out of Office”).

8. Archivi cartacei [verificare]

I fascicoli ed i documenti che contengono dati personali non devono essere lasciati incustoditi
nella postazione di lavoro e, terminata la prestazione, devono essere conservati in un luogo si-
curo. Inoltre, il Soggetto Autorizzato non deve consentirne l’accesso a terzi (colleghi compresi, se
non coinvolti in tale attività) anche quando il fascicolo o documento è in lavorazione.
In caso di trattamento categorie particolari di dati (stati di salute, iscrizione a sindacati), dati giu-
diziari, etc., tutta la documentazione cartacea deve essere conservata in armadi/cassetti chiusi a
chiave o stanze chiuse a chiave in caso di allontanamento, anche temporaneo, dalla postazione
di lavoro.
L’accesso a tutti i locali Aziendali deve essere consentito solo a personale preventivamente au-
torizzato dall’Azienda.

- 101 -
I documenti contenenti dati personali, se duplicati per errore, devono essere eliminati mediante
apposita macchina “distruggi documenti” o con qualunque altro mezzo che ne renda impossibile
la ricostruzione.

9. Accesso ai dati del Soggetto Autorizzato [verificare]

L’Amministratore di Sistema è abilitato ad accedere ai dati trattati dal Soggetto Autorizzato tra-
mite posta elettronica o navigazione in rete esclusivamente per motivi di sicurezza e protezione
del sistema informatico in caso di necessità (ad esempio: virus, spyware, malware, intrusioni
telematiche, spam, phishing), ovvero per motivi tecnici e/o di regolare svolgimento dell’attività
Aziendale (ad esempio: gestione software o hardware). Fatta eccezione per gli interventi urgenti
che si rendano necessari per far fronte a situazioni di emergenza, il personale incaricato avrà
accesso ai dati su richiesta del Soggetto Autorizzato e/o previo avviso al medesimo, sia fisica-
mente che da remoto. In quest’ultimo caso, il Soggetto Autorizzato avrà contezza dell’inizio
dell’intervento e della sua fine, mediante appositi messaggi.
Lo stesso Amministratore di Sistema può, nei casi suindicati, procedere a tutte le operazioni di
configurazione e gestione necessarie a garantire la corretta funzionalità dei sistemi informatici
(ad es. verifica, disinstallazione file e software pericolosi).
L’Amministratore di Sistema, in caso di assenza improvvisa o prolungata del Soggetto Autoriz-
zato o comunque non programmata e per improrogabili necessità di sicurezza o di operatività del
sistema è abilitato ad accedere alla posta elettronica del Soggetto Autorizzato per le strette ne-
cessità operative. Il Soggetto Autorizzato sarà avvertito di tale intervento.
L’Amministratore di Sistema può procedere a controlli sulla navigazione finalizzati a garantire
l’operatività e la sicurezza del sistema, nonché il necessario svolgimento delle attività lavorative,
ad esempio mediante un sistema di controllo dei contenuti (Proxy server) o mediante “file di log”
della navigazione svolta.
L’eventuale controllo sui file di log da parte dell’Amministratore di Sistema non è comunque
continuativo ed è limitato ad alcune informazioni - per esempio (i) per la posta elettronica: indi-
rizzo del mittente/destinatario, data e ora di invio/ricezione ed oggetto; (ii) per la navigazione in-
ternet: nome del Soggetto Autorizzato, identificativo del device, indirizzo IP, data/ora di naviga-
zione, siti visitati e totale accessi effettuati - ed i file stessi vengono conservati per il periodo stret-
tamente necessario per il perseguimento delle finalità̀ organizzative, produttive e di sicurezza
dell’Azienda, e comunque non oltre 12 mesi, fatti salvi in ogni caso specifici obblighi di legge.
Il sistema di registrazione dei log è configurato per cancellare periodicamente ed automatica-
mente (attraverso procedure di sovra registrazione) i dati personali degli utenti relativi agli ac-
cessi internet e al traffico telematico.
L’Amministratore di Sistema è altresì abilitato ad accedere ai dati contenuti negli strumenti in-
formatici restituiti dal Soggetto Autorizzato all’Azienda per cessazione del rapporto, sostituzione
delle apparecchiature, etc.
Sarà cura del Soggetto Autorizzato la cancellazione preventiva di tutti gli eventuali dati personali
eventualmente ivi contenuti.
In ogni caso, l’Azienda garantisce la non effettuazione di alcun trattamento mediante sistemi
hardware e software specificatamente preordinati al controllo a distanza.

A tale proposito si sottolinea che la strumentazione tecnologica/informatica e quanto con essa

creato è di proprietà dell’Azienda in quanto mezzo di lavoro. È vietato l’uso di tutti i sistemi Azien-
dali per finalità ed interessi diversi da quelli Aziendali.

- 102 -
Le verifiche sugli strumenti informatici saranno realizzate dall’Azienda nel pieno rispetto dei di-
ritti e delle libertà fondamentali degli utenti e del presente Regolamento.
In caso di anomalie, l’Azienda, per quanto possibile, privilegerà preliminari controlli anonimi e
quindi riferiti a dati aggregati nell’ambito di intere strutture lavorative o di sue aree nelle quali si
è verificata l’anomalia.
In tali casi verrà emesso un avviso generico a tutte le strutture coinvolte.
In caso di successive, perduranti anomalie, ovvero ravvisandone comunque la necessità,
l’Azienda si riserva di effettuare verifiche anche su base individuale, comunque finalizzate esclu-
sivamente alla individuazione di eventuali condotte illecite.
In nessun caso verranno realizzate verifiche prolungate, costanti o indiscriminate, fatte salve le
verifiche atte a tutelare gli interessi Aziendali.

10. Sanzioni
Il Soggetto Autorizzato al fine di non esporre sé stesso e l’Azienda al rischio di sanzioni è tenuto
ad adottare comportamenti conformi alla normativa vigente ed alla regolamentazione aziendale.
Gli utenti sono responsabili del corretto utilizzo degli strumenti e servizi aziendali.
Il Soggetto Autorizzato è responsabile per i danni cagionati all’Azienda ed ai terzi, a causa della
sua condotta.
Tutti gli utenti sono pertanto tenuti ad osservare e a far osservare le disposizioni contenute nel
presente Regolamento il cui mancato rispetto o la cui violazione, costituendo inadempimento
contrattuale potrà comportare:
- per il personale dipendente provvedimenti di natura disciplinare, anche previsti dalla contratta-
zione collettiva, oltre alle azioni civili e penali stabilite dalla legge;
- per i collaboratori esterni la risoluzione del contratto, oltre alle azioni civili e penali stabilite dalla
legge.

Il presente Regolamento è stato predisposto dall’Azienda, Titolare del trattamento, ed è sotto-

scritto dal Soggetto Autorizzato, al quale ne è consegnata una copia, per presa visione ed accet-
tazione del suo contenuto.

Azienda
(timbro e firma) [completare]

Soggetto Autorizzato
(nome e cognome e firma) [completare]

[allegare Istruzioni particolari ai Soggetti Autorizzati]

- 103 -
11.6 NOMINA DELL’AMMINISTRATORE DI SISTEMA (INTERNO)
Data la delicatezza dei compiti svolti dall’Amministratore di Sistema in azienda si consiglia di
gestire ai sensi privacy questa figura, sia esso un dipendente o una società esterna, in via priori-
taria. Quando è il dipendente/collaboratore interno che si occupa in qualità di soggetto responsa-
bile, avendone le competenze, dei sistemi IT, si consiglia di fornire le seguenti istruzioni detta-
gliate, che ovviamente devono essere esaminate unitamente al medesimo. Non si tratta di un
Responsabile interno, che non è più previsto dal GDPR, ma di un soggetto che, ai sensi del Codice
Privacy, soggetto autorizzato a svolgere le funzioni dell’Amministratore di Sistema.

Nomina dell’Amministratore di Sistema

Gentile Sig. […],

si comunica quanto segue.

1. Oggetto della nomina

In relazione ai compiti da lei svolti, considerato che per preparazione ed esperienza lei fornisce
idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati
personali (www.garanteprivacy.it), con particolare riferimento al profilo relativo alla sicurezza,
con la presente le conferiamo l'incarico di soggetto designato quale responsabile dei sistemi in-
formativi aziendali (di seguito, “Amministratore di Sistema”), ai sensi dell’art. 29 del GDPR e
dell’art. 2-14, comma ,1del Codice Privacy), consentendone la corretta utilizzazione avvalendosi
di strumenti, attrezzature, componenti hardware e software a lei messi a disposizione dalla Di-
rezione Aziendale, conformemente al Codice della Privacy (Decreto legislativo 30 giugno 2003, n.
196) ed al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016,
che è applicabile a partire dal 25 maggio 2018 (di seguito il "GDPR"), oltre alle norme nazionali
(Codice Privacy) ed ai provvedimenti del Garante Privacy in materia.

2. Descrizione del trattamento autorizzato

L’Amministratore di Sistema è autorizzato a trattare, su incarico del Titolare, i dati personali ne-
cessari per fornire i servizi previsti al Titolare, riguardanti la messa a regime di un sistema di
misure di sicurezza adeguate, come previsto dall’art. 32 del GDPR.
In particolare, compito dell’Amministratore di Sistema sarà quello di attuare le seguenti misure
di sicurezza idonee:
• pseudonimizzazione e crittografia dei dati personali, quando possibile
• la capacità di garantire la riservatezza, l'integrità, l’accessibilità e la resilienza dei sistemi uti-
lizzati per il trattamento dei dati;
• la capacità di ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo in
caso di incidente fisico o tecnico;
• un processo per testare regolarmente e valutare l'efficacia delle misure tecniche ed organiz-
zative al fine di garantire la sicurezza del trattamento23.

Più precisamente l’Amministratore di Sistema avrà i seguenti compiti e/o istruzioni: [verificare]
1. collaborare con il Titolare per l'adozione e l'aggiornamento delle più ampie misure di sicurezza
tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del

23
L’Amministratore di Sistema, quando saranno disponibili, si impegna ad attuare le misure di sicurezza previste da codici di
condotta o certificazioni rilevanti per il proprio settore ed ufficialmente riconosciute.

- 104 -
 contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i
24
diritti e le libertà delle persone fisiche, come previsto dall’art. 32 GDPR ;
2. operare, in tema di protezione dei dati personali, applicando i principi di “privacy sin dalla proget-
tazione” e “privacy per impostazione predefinita”, come previsto dall’art. 25 del GDPR.
3. impostare e gestire un sistema di autenticazione informatica per i trattamenti di dati personali
effettuati con strumenti elettronici, conforme all’art. 32 del GDPR (ad es. User ID e Password);
4. impostare e gestire un sistema di autorizzazione per i soggetti designati dal Titolare ad effettuare
i trattamenti di dati personali posti in essere con strumenti elettronici, conforme all’art. 32 GDPR
(ad es. diversi profili di autorizzazione a cui sono riconducibili diversi poteri);
5. implementare idonei strumenti elettronici atti a proteggere i dati trattati attraverso gli elaboratori
del sistema informativo aziendale, contro il rischio di intrusione, aggiornando analogamente, i
programmi volti a prevenire la vulnerabilità degli strumenti elettronici correggendone i difetti;
6. adottare procedure per la custodia delle copie di sicurezza dei dati e per il ripristino della dispo-
nibilità dei dati e dei sistemi, e organizzare il salvataggio dei dati con frequenza almeno settima-
nale;
7. assistere il Titolare nel corso di interventi da parte di terzi nei sistemi informativi aziendali, ad
esempio in caso di malfunzionamenti o aggiornamenti, documentando le attività svolte;
8. provvedere direttamente o dando specifiche istruzioni al personale competente alla distruzione e
smaltimento dei supporti informatici di memorizzazione logica o alla cancellazione dei dati per il
loro reimpiego;
9. assistere il Titolare nel compiere valutazioni d'impatto relative alla protezione dei dati, se richiesto;
10. assistere il Titolare nel compiere la consultazione preventiva del Garante Privacy, se richiesto;
11. assistere il Titolare nella tenuta, per quanto di sua competenza, del registro delle attività di tratta-
mento;
12. assistere, per quanto di sua competenza, il Titolare nel fornire riscontro alle domande di esercizio
dei diritti degli interessati e, più specificamente: diritto di accesso, di rettifica, cancellazione e di
opposizione, limitazione del trattamento, portabilità dei dati, diritto di non essere oggetto di una
decisione automatizzata individuale, inclusa la profilazione;
13. assistere, per quanto di sua competenza, il Titolare in caso di violazione dei dati personali, in via
prioritaria, qualora si verificasse;
14. dare concreta attuazione al Regolamento, che si acclude alla presente nomina (Allegato 1).
15. predisporre un piano di controlli periodici dell'efficacia delle misure di sicurezza adottate in
azienda;
16. collaborare con il Titolare per dare riscontro ad eventuali richieste del Garante Privacy o delle
forze dell’ordine.

L’Allegato 1 (Regolamento dato ai dipendenti/collaboratori) forma parte integrante della presente

nomina.

Data [completare], luogo [completare],

Azienda
(timbro e firma) [completare]

Amministratore di Sistema
(nome e cognome e firma) [completare]

24
Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in
particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale
o illegale, a dati personali trasmessi, conservati o comunque trattati.

- 105 -
[allegare Allegato 1]

- 106 -
11.7 CONTRATTI CON I RESPONSABILI (ESTERNI)

11.7.1 Nomina generica

L’azienda potrà perfezionare il modello conformemente al servizio richiesto al/dal proprio forni-
tore (ad esempio: elaborazione paghe, servizi professionali, marketing, spazio in cloud, etc.). Ca-
piterà spesso che fornitori strutturati propongano un proprio testo contrattuale (via e-mail o mo-
dificando le condizioni generali di servizio) in questo caso, qualora cioè non sia possibile nego-
ziare il contenuto del contratto, l’azienda potrà in ogni caso utilizzare il modello allegato come
termine di paragone rispetto alle condizioni proposte. Questo modello potrà essere utilizzato an-
che per gestire contrattualmente la situazione in cui l’Amministratore di Sistema è una so-
cietà/professionista esterna/o (inserendovi anche i contenuti di cui ai punti 1 e 2 del modello pre-
cedente, oltre all’Allegato 1 Regolamento per i dipendenti/collaboratori, che andrà indicato come
Allegato 2).
Il modello troverà applicazione anche a parti invertite ovvero qualora sia l’azienda ad essere Re-
sponsabile del trattamento, ad esempio, a favore di un proprio cliente. Dovrà essere accluso, in
allegato, il contratto di servizio (o di altro), anche se sotto forma di condizioni generali di servizio,
stipulato tra le parti.

Si faccia attenzione, tra l’altro, all’art. 13 dove si prevede quale sarà il tribunale competente in
caso di controversie. Se l’azienda indica quello sbagliato potrebbe trovarsi a dover attivare/subire
un contenzioso presso il tribunale della sede di controparte.

Modello di contratto tra Titolare e Responsabile del trattamento

[personalizzare]

[…]
con sede in […]
P.IVA n. […]
rappresentata da […], di seguito denominata “Titolare”
e-mail […]
da una parte,
e
[…]
con sede in […]
P.IVA n. […]
rappresentata da […], di seguito denominata “Responsabile”
e-mail […]
dall'altra,

1. Oggetto del contratto

Il presente contratto è volto a definire le condizioni alle quali il Responsabile si impegna ad effet-
tuare, su incarico e per conto del Titolare, i trattamenti di dati personali definiti di seguito.
Le parti si impegnano a rispettare le norme vigenti in materia di trattamento dei dati personali e,
in particolare, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile
2016, efficace a partire dal 25 maggio 2018 (di seguito il "GDPR"), ed il Codice della Privacy (De-
creto legislativo 30 giugno 2003, n. 196), oltre alle altre norme nazionali (Codice Privacy) ed ai
provvedimenti del Garante Privacy in materia.

- 107 -
2. Descrizione del trattamento autorizzato
Il Responsabile è autorizzato a trattare, per conto del Titolare, i dati personali necessari per for-
nire i servizi previsti dal contratto con il Titolare (di seguito il “Contratto”), che si riporta in allegato
(Allegato 1).

Natura delle operazioni da realizzare: consultazione, modifica, importazione e/o esportazione,

copie temporanee, backup e/o ripristino, replica ed altri usi relativi agli obblighi di manutenzione.
[verificare]

Dati personali trattati: il trattamento avrà ad oggetto dati comuni, categorie particolari di dati, dati
giudiziari. [verificare]

Categorie di interessati: gli interessati sono rappresentati da dipendenti, collaboratori, fornitori,

clienti e navigatori. [verificare]

Per eseguire servizi personalizzati, il Titolare fornisce al Responsabile le seguenti informazioni:

[indicare se vi sono informazioni aggiuntive da dare al Responsabile rispetto alle attività di trat-
tamento dei dati che vengono svolte: immaginare i rischi e richiedere contromisure].

3. Durata del contratto

Il presente contratto entra in vigore in pari data rispetto al Contratto ed ha una durata pari a quella
del Contratto.

4. Obblighi del Responsabile

Il Responsabile si impegna a:
4.1 trattare i dati al solo scopo di dare esecuzione al Contratto;
4.2 elaborare i dati in conformità con le istruzioni documentate dal Titolare di cui al punto 2
che precede. Se il Responsabile ritiene che un'istruzione del Titolare violi il GDPR o qualsiasi altra
disposizione di legge in materia di protezione dei dati, ne informa immediatamente il Titolare.
Inoltre, quando il Responsabile è obbligato a trasferire dati personali verso un paese terzo, ne
deve informare preventivamente il Titolare, a meno che la comunicazione di tale informazione
sia vietata dalla legge per importanti motivi di interesse pubblico.
4.3 garantire la riservatezza dei dati personali trasferiti dal Titolare al Responsabile e da
quest’ultimo trattati.
4.4 garantire che le persone autorizzate dal Responsabile a trattare i dati personali trasferiti
dal Titolare:
• si sono, a loro volta, impegnate alla riservatezza e confidenzialità;
• hanno ricevuto una formazione adeguata in materia di protezione dei dati personali;
4.5 prendere in considerazione, in termini di strumenti, prodotti, applicazioni o servizi, i prin-
cipi di “privacy sin dalla progettazione” e “privacy per impostazione predefinita”, come previsto
dall’art. 25 del GDPR.

5. Subresponsabili
[selezionare una delle seguenti opzioni alternative]
[Opzione A: autorizzazione generale all’utilizzo di Subresponsabili]

- 108 -
Il Responsabile può nominare altri soggetti responsabili del trattamento (Subresponsabili) per
svolgere specifiche operazioni di trattamento. In questo caso il Responsabile informa il Titolare,
preventivamente e per iscritto, di ogni modifica riguardante l’aggiunta o modifica di soggetti re-
sponsabili. Più precisamente, il Responsabile deve comunicare quali operazioni di trattamento
vengono svolte, il nome ed i dettagli del Subresponsabile, le tipologie di trattamento che intende
affidare a tale Subresponsabile e la data del relativo contratto. Il Titolare ha [inserire il numero di
giorni] giorni lavorativi dal ricevimento di tale comunicazione per opporsi, mediante comunica-
zione per iscritto, al conferimento dell’incarico al Subresponsabile. In assenza di tale opposizione
il Responsabile sarà legittimato a conferire l’incarico al Subresponsabile nei termini comunicati
al Titolare.
[qualora l’azienda abbia necessità di tutelare il proprio know-how si ritiene possa evitare di men-
zionare i propri outsourcer limitandosi ad indicarli per categorie ed ambiti di attività di tratta-
mento: si precisa che ciò non è previsto dal modello predisposto dalla CNIL]

[Opzione B: autorizzazione specifica]

Il Responsabile è autorizzato a nominare [inserire nome/denominazione del Subresponsabile]
(di seguito, il “Subresponsabile”) per svolgere le seguenti attività [inserire l’attività svolta dal Sub-
responsabile].
Nel caso in cui il Subresponsabile selezioni altri subresponsabili deve ottenere la preventiva,
specifica, autorizzazione scritta del Titolare.

[A prescindere dall'opzione (autorizzazione generale o specifica)]

Il Subresponsabile è obbligato a rispettare i medesimi obblighi che incombono sul Responsabile.
Il Responsabile garantisce che il Subresponsabile fornisca le stesse garanzie adeguate di imple-
mentazione delle misure tecniche ed organizzative in modo tale che il trattamento soddisfi i re-
quisiti del GDPR. Il Responsabile è responsabile nei confronti del Titolare nel caso il Subrespon-
sabile sia inadempiente ai propri obblighi in materia di protezione dei dati personali,

6. Diritti degli Interessati

[selezionare una delle seguenti opzioni alternative]
[Opzione A]
Il Titolare informa gli interessati ai sensi dell’art. 13 del GDPR e, se necessario, chiede loro con-
senso al trattamento dei dati, conservandone la relativa documentazione.

[Opzione B]
Il Responsabile, al momento della raccolta dei dati, informa gli interessati ai sensi dell’art. 13 del
GDPR e, se necessario, chiede loro consenso al trattamento dei dati, conservandone la relativa
documentazione. Le informazioni da fornire, ed il relativo modulo di consenso, devono essere
previamente concordate con il Titolare.

7. Esercizio dei diritti degli Interessati

Il Responsabile assiste, per quanto di sua competenza, il Titolare nel fornire riscontro alle richie-
ste degli Interessati e, più specificamente, a titolo esemplificativo: diritto di accesso, di rettifica,
cancellazione e di opposizione, limitazione del trattamento, portabilità dei dati, diritto di non es-
sere oggetto di una decisione automatizzata individuale, inclusa la profilazione.

[selezionare una delle seguenti opzioni alternative]

- 109 -
[Opzione A]
Il Responsabile, nel caso riceva richieste degli Interessati, inoltra, senza ritardo, le medesime al
Titolare via e-mail a [indicare e-mail del Titolare].

[Opzione B]
Il Responsabile deve rispondere, in nome e per conto del Titolare, alle richieste degli Interessati
entro i termini previsti dal GDPR, con riferimento ai trattamenti di dati oggetto del presente con-
tratto.

8. Notifica delle violazioni dei dati personali

Il Responsabile comunica al Titolare qualsiasi violazione dei dati personali entro 24 ore dalla sco-
perta della violazione mediante [indicare mediante quale mezzo di comunicazione]. Tale comu-
nicazione, che dovrà contenere tutte le informazioni previste dagli artt. 33 e 34 del GDPR, è inviata
unitamente alla documentazione necessaria per consentire al Titolare, se necessario, di notifi-
care tale violazione al Garante Privacy (od altra autorità di controllo competente) e, eventual-
mente, agli interessati i cui dati personali sono stati oggetto della violazione.

9. Assistenza del Responsabile a favore del Titolare

Il Responsabile assiste il Titolare nel compiere valutazioni d'impatto relative alla protezione dei
dati, ove tale adempimento sia, per il Titolare, obbligatorio od auspicabile.
Il Responsabile assiste il Titolare per quanto riguarda la consultazione preventiva dell'autorità di
vigilanza, ove tale adempimento sia, per il Titolare, obbligatorio od auspicabile.
Il Responsabile assiste il Titolare nella tenuta, per quanto di sua competenza, del registro delle
attività di trattamento. [da valutare]

10. Misure di sicurezza

Il Responsabile si impegna ad attuare le seguenti misure di sicurezza:
[Descrivere le misure tecniche e organizzative adeguate per garantire un livello di sicurezza con-
sono al rischio, compresi tra l'altro:
• pseudonimizzazione e crittografia dei dati personali
• la capacità di garantire la riservatezza, l'integrità, l’accessibilità e la resilienza dei sistemi utilizzati
per il trattamento dei dati;
• la capacità di ripristinare la disponibilità e l'accesso ai dati personali in modo tempestivo in caso
di incidente fisico o tecnico;
• un processo per testare regolarmente e valutare l'efficacia delle misure tecniche ed organizzative
al fine di garantire la sicurezza del trattamento.]

Il Responsabile, quando saranno disponibili, si impegna ad attuare le misure di sicurezza previ-

ste da codici di condotta o certificazioni rilevanti nel proprio settore ed ufficialmente riconosciute.

[Si consideri che l'art. 32 del GDPR prevede che il Titolare ed il Responsabile sono responsabili
dell'attuazione delle misure di sicurezza, si raccomanda di determinare con precisione le re-
sponsabilità di ciascuna delle parti in termini di misure da attuare]

11. Cessazione del rapporto

In caso di cessazione per qualsiasi causa del Contratto fra il Titolare ed il Responsabile, fatti salvi
gli eventuali obblighi di legge gravanti sul Responsabile e che comportano la conservazione di

- 110 -
dati personali a suo tempo trasferiti dal Titolare al Responsabile ed esigenze di difesa in giudizio
del Responsabile, il Responsabile:
• distruggerà tutti i dati personali, oppure
• restituirà tutti i dati personali al Titolare, oppure
• trasferirà i dati personali al nuovo Responsabile designato dal Titolare.
Al termine della procedura di distruzione, restituzione o trasferimento, il Responsabile dichiarerà
per iscritto al Titolare di non essere più in possesso di originali o copie dei dati oggetto della
distruzione, restituzione o trasferimento, fatti sempre salvi gli eventuali obblighi di legge che in-
combono sul Responsabile e che impongono la conservazione di detti dati.

12. Responsabile della protezione dei dati (DPO)

Il Responsabile comunicherà al Titolare il nome e le coordinate del Responsabile per la prote-
zione dei dati (DPO), ai sensi dell'articolo 37 del GDPR, qualora lo nomini.

13. Clausole finali

13.1 Il presente contratto non è modificabile se non mediante accordo scritto tra il Titolare ed il
Responsabile.
13.2 I servizi di cui al presente contratto sono già retribuiti da quanto previsto al Contratto (Alle-
gato 1).
13.3 In caso di controversie relative o connesse, direttamente o indirettamente, con il presente
contratto, la sua interpretazione, esecuzione o cessazione, sarà esclusivamente competente il
Foro della sede del Titolare/Responsabile [IMPORTANTE: completare con l’indicazione del Tito-
lare o del Responsabile, a seconda che la vostra azienda sia appunto Titolare o Responsabile].
Gli allegati formano parte integrante del presente contratto.

Data [completare], luogo [completare], [allegare Allegato 1]

Il Titolare [inserire denominazione/nome]

(timbro e firma) [completare]

Il Responsabile [inserire denominazione/nome]

(timbro e firma) [completare]

Fonte: www.cnil.fr
GDPR - Guide sous-traitant - maggio 2018
L'autore della traduzione, e dell’adattamento, non ha alcun collegamento con la CNIL.

- 111 -
11.8 SICUREZZA DEI DATI

11.8.1 Introduzione al provvedimento dell’Autorità francese

Sulle misure di sicurezza adeguate il Garante Privacy non si è ancora espresso con un provvedi-
mento. Di seguito si riporta un estratto della guida della CNIL (l’autorità garante francese) sulle
misure di sicurezza 25, che è stata tradotta in italiano e adattata, per quanto possibile, al nostro
ordinamento. Sebbene quanto segue non provenga dall’autorità italiana, in assenza di provvedi-
menti ufficiali, si è ritenuto di riportare una selezione della guida sulle misure di sicurezza, av-
vertendo l’azienda che quanto segue non è ha lo stesso valore, in Italia, di un provvedimento del
Garante Privacy.
Si consideri, infine, che in Francia vige una legislazione diversa a quella italiana, tra l’altro, in
materia di diritto del lavoro.

Il Risk Management determina le precauzioni da prendere "riguardo la natura dei dati e dei rischi
del trattamento per la sicurezza dei dati". Il GDPR afferma che la protezione dei dati personali
richiede di prendere "le misure tecniche ed organizzative adeguate per garantire un livello di
sicurezza pari al rischio" (art. 32).

Tale approccio permette di prendere decisioni oggettive e strettamente necessarie al contesto.

Per aiutare l’azienda a giungere ad un livello di conformità accettabile, di seguito si riportano le

precauzioni di base che dovrebbero essere attuate in modo sistematico.

Questa guida è pensata per aiutare l’azienda nella gestione del rischio, anche minimo, costituito
dalle seguenti quattro fasi:

1. Identificare i trattamenti dei dati personali, automatizzati e non, i dati elaborati (ad esempio
archivio clienti, contratti) ed i supporti dove sono conservati i dati:
• hardware (ad esempio, server, computer portatili, hard disk);
• software (ad esempio sistema operativo, software gestionale);
• canali di comunicazione (ad esempio, fibra ottica, wireless, Internet);
• documenti cartacei (ad esempio, documenti stampati, fotocopie).

2. Valutare i rischi generati da ogni trattamento.

- Identificare gli impatti potenziali per i diritti e le libertà di dati per le persone coinvolte, riguardo
i tre eventi sotto riportati:
- accesso illegittimo ai dati (ad esempio il furto di identità consecutiva divulgazione delle buste paga
dei dipendenti di una società);
- modifica indesiderata dei dati personali (ad esempio, si accusa falsamente qualcuno di un guasto
o di reato dopo la modifica di registri accessi);
- furto o perdita di dati (ad esempio mancata individuazione di un'interazione tra farmaci dovuta
all'impossibilità di accedere alla cartella clinica elettronica del paziente).

- Identificare le sorgenti di rischio (chi o che cosa potrebbe essere la causa di ogni evento te-
muto?), tenendo conto delle risorse interne ed esterne (ad esempio Amministratore IT, utenti,

25
La Guida è reperibile in francese sul sito web della CNIL al seguente indirizzo:
https://www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf

- 112 -
aggressore esterno o concorrente), e le risorse non umane interne o esterne (ad esempio, acqua,
materiali pericolosi, virus informatici non mirati).

- Identificare le minacce che si possono verificare (cosa potrebbe permettere che l’evento temuto
si realizzi?). Queste minacce si possono verificare attraverso i supporti dei dati (materiali, logici,
canali di comunicazione, supporti cartacei, etc.), che possono essere:
- utilizzati in modo inappropriato (ad esempio, l'abuso di diritto, la gestione degli errori);
- modificati (ad esempio, l'installazione di software dannoso);
- persi (ad esempio il furto di un computer portatile, la perdita di una chiave USB);
- visti (ad esempio, guardare uno schermo in un treno, geolocalizzazione delle macchine);
- danneggiati (ad esempio vandalismo, degrado dovuto alla naturale usura);
- sovraccaricati (ad esempio hard disk pieno, rifiuti di servizio attacco).

- Identificare le misure esistenti o programmate in grado di gestire i rischi (ad esempio, pas-
sword, il controllo degli accessi, il backup, la tracciabilità, la sicurezza dei locali, la crittografia,
l’anonimizzazione).

- Stimare la gravità e la probabilità del rischio, in vista di quanto precede (ad esempio livello
utilizzabile per la stima: trascurabile, moderato, alto, massimo).

- Implementare e verificare le misure previste. Se le misure previste ed esistenti sono ritenute

appropriate, è necessario assicurarsi che siano applicate e controllate.

- Effettuare verifiche periodiche di sicurezza. Ogni audit dovrebbe tradursi in un piano di azione
la cui attuazione deve essere condivisa con i vertici dell'organizzazione.

SI PUO’ FARE DI PIU’

• Il GDPR ha introdotto il concetto di "valutazione di impatto in materia di protezione dei dati", e
afferma che essa deve contenere almeno "una descrizione del trattamento e dei suoi obiettivi, la
valutazione della necessità e della proporzionalità, la valutazione del rischio [...] e le misure pre-
viste per affrontare tali rischi e rispettare le normative "(si veda l'articolo 35.7).
• La Guida PIA (in italiano: valutazione preliminare di impatto) della CNIL
(https://www.cnil.fr/fr/PIA-privacy-impact-assessment) consente di condurre una valutazione
d'impatto in materia di protezione dei dati. Il Garante Privacy ne ha curato la traduzione in italiano.
• Lo studio dei rischi sulla sicurezza delle informazioni può essere condotto simultaneamente con
lo studio dei rischi in materia di privacy. Questi approcci sono compatibili.
• Lo studio dei rischi per determinare le misure di sicurezza da adottare. E 'necessario prevedere
un budget per la loro attuazione.

- 113 -
11.8.2 Sensibilizzare gli utenti

Rendere edotti gli utenti sulle questioni in materia di sicurezza e tutela dei dati personali.

PRECAUZIONI ELEMENTARI
• Sensibilizzare gli utenti che lavorano su dati personali riguardo ai rischi legati alla tutela dei dati per-
sonali, informarli delle misure adottate per affrontare i rischi e le potenziali conseguenze in caso di
fallimento. Organizzare incontri formativi, inviare aggiornamenti regolari sulle procedure privacy, fare
reminder via e-mail, etc., condividere la presente guida.
• Documentare le procedure operative, tenerle aggiornate e renderle disponibili a tutti gli utenti inte-
ressati. Specificamente, qualsiasi azione sul trattamento dei dati personali, anche azioni amministra-
tive o il semplice uso di un'applicazione, viene spiegato in un linguaggio chiaro e adattato ad ogni
categoria di utenti nei documenti a cui possono fare riferimento.
• Scrivere un regolamento (di seguito “Regolamento”) conferendogli forza vincolante (ad esempio inte-
grandolo nel Regolamento aziendale). Questo regolamento deve includere almeno i seguenti conte-
nuti:
1. Richiamare le norme sulla protezione dei dati e le sanzioni per il mancato rispetto di questi.
2. Il campo di applicazione del Regolamento, che comprende in particolare:
o le modalità di intervento dei soggetti che gestiscono le risorse informatiche dell’azienda;
o i sistemi di autenticazione utilizzati dall’azienda (ad esempio password);
o le regole di sicurezza che gli utenti devono rispettare, che comprendano in particolare:
o segnalazione al reparto IT interno di qualsiasi violazione o tentativo di violazione del suo ac-
count e, in genere, di ogni malfunzionamento;
o non condividere mai nome utente e/o password con terzi (altri dipendenti compresi);
o non installare, copiare, modificare, eliminare software senza autorizzazione;
o bloccare il computer quando si lascia la stazione di lavoro;
o non accedere, tentare di accedere o cancellare informazioni se non rientra nei compiti affidati
all'utente;
o seguire le procedure precedentemente definite dall’azienda per regolamentare le operazioni
di copia dei dati su supporti rimovibili, tra cui l'ottenimento di approvazione preventiva da parte
del superiore e nel rispetto delle norme di sicurezza.
3. I termini di utilizzo delle risorse IT disponibili come:
o la postazione di lavoro;
o dispositivi nomadi (in particolare nel contesto di telelavoro);
o spazi di salvataggio individuali;
o le reti locali;
o le condizioni di utilizzo di dispositivi personali;
o Internet;
o e-mail;
o telefonia.
4. Le condizioni di amministrazione del sistema informativo, e l'esistenza, se del caso, di:
o sistemi di filtraggio automatico;
o sistemi di tracciabilità automatici;
o gestione della posta elettronica.
5. Le responsabilità e le sanzioni per il mancato rispetto del Regolamento.

SI PUO’ FARE DI PIU’

• Sviluppare una policy di classificazione delle informazioni che definisce più livelli e impone una mar-
catura di documenti ed e-mail che contengono categorie particolari di dati (dati sensibili).

- 114 -
• Evidenziare in modo visibile ed esplicito su ogni pagina dei documenti cartacei o elettronici che con-
tengono categorie particolari di dati (dati sensibili);
• Organizzare corsi di formazione e sensibilizzazione sulla sicurezza delle informazioni. Promemoria
periodici possono essere effettuate via e-mail.
• Prevedere la sottoscrizione di un impegno sul trattamento dei dati (vedi modello sotto riportato), o
includere nei contratti di lavoro una clausola specifica di riservatezza dei dati personali.

- 115 -
11.8.3 Autenticazione degli utenti

Riconoscere i propri utenti per poi dare loro l'accesso necessario al trattamento che devono svol-
gere.

Per assicurarsi che un utente possa accedere solo ai dati personali di cui ha bisogno, deve avere
un identificativo proprio e deve autenticarsi prima dell'utilizzo delle risorse IT.

I meccanismi di autenticazione delle risorse umane sono classificati a seconda di:

• quello che si sa, ad esempio, una password;
• che si ha, per esempio una smart card;
• una caratteristica propria, per esempio un'impronta digitale, o il modo per disegnare una firma auto-
grafa26. Si consiglia di evitare l’autenticazione tramite dati biometrici.

Si parla di autenticazione forte quando l’utente utilizza una combinazione di almeno due di queste
categorie.

PRECAUZIONI ELEMENTARI
Definire un identificatore univoco per ogni utente e proibire account condivisi tra più utenti. Se
l'uso di credenziali generiche o in comune è inevitabile, richiede una convalida della gerarchia e
implementare modi per il tracciamento.

Nel caso di autenticazione utente basata su password conservare le password in modo sicuro
applicando le seguenti regole per la password:
• almeno 8 caratteri con 3 dei 4 tipi di caratteri (maiuscole, minuscole, numeri, caratteri speciali) se
l'autenticazione prevede un limite di accesso all’account (caso più comune) tipo:
o ritardare l’accesso all’account dopo numerosi errori;
o "Captcha";
o bloccare l'account dopo 10 insuccessi;
• la password può fare solo 4 caratteri se l'autenticazione si basa su device detenuti dal soggetto e se
la password viene utilizzata per sbloccare il dispositivo è detenuto unicamente dalla persona (ad
esempio smart card o telefono cellulare) e si blocca al 3° tentativo non riuscito.

Si possono usare mnemotecniche per creare password complesse, per esempio:

• mantenendo solo le prime lettere di parole in una frase;
• mettendo in maiuscolo se la parola è un sostantivo (ad es Uomo);
• mantenendo la punteggiatura (ad esempio ');
• esprimendo i numeri usando i numeri da 0 a 9 (ad esempio un 1);
• utilizzando la fonetica (ad esempio acquistati UN=1).

Esempio, la frase " Io mi chiamo Andrea, e ho 2 nipoti" può corrispondere alla password:
“ImcA,eh2N”.

Obbligare l'utente a cambiare sin dalla sua prima connessione, qualsiasi password assegnata da
un amministratore o automaticamente dal sistema al momento della creazione dell'account o di
un successivo rinnovo per una svista.
26
Su questo argomento, si veda il provvedimento citato sul sito web del Garante Privacy
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3562912

- 116 -
Cosa non fare
• Comunicare la password ad altri.
• Memorizzazione di password in un file in chiaro, su carta o in un luogo facilmente accessibile da altri.
• Salvare le password nel browser senza una password principale di autenticazione.
• Utilizzare password con un legame personale (nome, data di nascita, etc.).
• Utilizzare la stessa password per accedere a diversi.
• Mantenere le password di default.
• Inviare via e-mail le proprie password.

SI PUO’ FARE DI PIU’

• Dare priorità a sistemi di autenticazione forte, se possibile.
• Limitare il numero di tentativi di accesso all’account utenti su workstation e bloccare temporanea-
mente l’account quando viene raggiunto il limite.
• Applicare un sistema di modifica delle password secondo intervalli ragionevoli ed appropriati.
• Implementare mezzi tecnici per far rispettare le norme in materia di autenticazione (ad esempio
blocco dell’account in caso di mancato modifica della password).
• Evitare, se possibile, che gli user id (per il “log in”) siano quelli forniti di default dai fornitori di software.
• Utilizzare password manager per avere password diverse per ogni servizio, da gestire con una master
password (s veda l’esempio, in francese: https://www.cnil.fr/fr/construire-un-mot-de-pass-on-and-
gestore-il-list-of-suoi codici UAP).
• Memorizzare le password in modo sicuro, trattandola con una funzione crittografica di “hash” utiliz-
zando una chiave progettata per questo scopo ed utilizzando sempre la chiave. Una chiave non deve
essere conservata nello stesso database con le impronte.
• Fare riferimento alle norme e raccomandazioni per i meccanismi di autenticazione forti.

- 117 -
11.8.4 Gestire i profili di autorizzazione

Limitare l'accesso ai soli dati di cui l’utente ha bisogno.

PRECAUZIONI ELEMENTARI
• Definire profili di autorizzazione nei sistemi separando i compiti e le aree di responsabilità, per limi-
tare l'accesso degli utenti ai soli dati strettamente necessari per l'adempimento dei loro compiti.
• Eliminare le autorizzazioni di accesso per gli utenti, non appena essi non sono più autorizzati ad ac-
cedere a una risorsa locale o ad un computer e/o al termine del loro contratto.
• Condurre una revisione annuale delle autorizzazioni per identificare ed eliminare gli account inutiliz-
zati e riallineare i diritti concessi sulle funzioni di ciascun utente.

Cosa non fare

• Creare o utilizzare account condivisi da più persone.
• Dare i diritti di amministratore agli utenti che non ne hanno bisogno o non ne hanno le competenze.
• Concedere ad un utente più privilegi del necessario.
• Dimenticare di rimuovere autorizzazioni temporanee concesse ad un utente (in caso di sostituzione,
per esempio).
• Dimenticare di eliminare gli account utente di coloro che non sono più in azienda.

SI PUO’ FARE DI PIU’

Definire, documentare e rivedere regolarmente la politica di controllo degli accessi in relazione
al trattamento attuata dall’azienda che dovrebbe includere:
• procedure sistematiche per gestire arrivo e partenza o modifica del ruolo delle risorse aventi accesso
a dati personali;
• le conseguenze previste per le persone con accesso legittimo ai dati personali in caso di mancato
rispetto delle misure di sicurezza;
• misure per limitare e controllare l'assegnazione e l'utilizzo degli accessi al trattamento.

- 118 -
11.8.5 Tracciare gli accessi e gestire gli incidenti
Tracciare l'accesso e fornire le procedure per la gestione di incidenti al fine di reagire in caso di
violazione dei dati personali (violazione della riservatezza, integrità o disponibilità).

Al fine di identificare l'accesso fraudolento o l’uso improprio di informazioni personali, o di de-

terminare la causa di un incidente, è opportuno registrare alcune azioni effettuate sui sistemi
informatici. Per fare questo, occorre stabilire un sistema di gestione delle tracce e degli incidenti.
Questo dovrebbe salvare gli eventi rilevanti e garantire che questi dati non possono essere alte-
rati. In ogni caso, non tenere questi record per un periodo eccessivo.

PRECAUZIONI ELEMENTARI
• Prevedere un sistema di registrazione (vale a dire, un registro dei "log") di attività degli utenti, ano-
malie e gli eventi relativi alla sicurezza:
o questi registri devono tenere traccia degli eventi nel corso di un periodo di rotazione non su-
periore a sei mesi (se non richiesto dalla legge o salvo non vi sia un rischio particolarmente
importante);
o il “logging” deve comportare, come minimo, l’accesso utenti compreso il loro identificativo, la
data e l'ora della loro connessione, e la data e l'ora della loro disconnessione;
o in alcuni casi può essere necessario per mantenere anche i dettagli delle azioni intraprese
dagli utenti, tipi di dati a cui si accede e il riferimento della registrazione in questione.
• Informare gli utenti dell’attuazione di questo sistema di controlli.
• Proteggere le strutture di registrazione e le registrazioni da accessi non autorizzati, rendendoli inac-
cessibili alle persone oggetto di attività di registrazione.
• Stabilire procedure che dettagliano il monitoraggio dell'uso del trattamento e esaminando periodica-
mente il registro eventi per rilevare eventuali anomalie.
• Garantire che i software di gestione delle anomalie notifichino nel più breve tempo possibile, al Re-
sponsabile IT, qualsiasi anomalia od incidente riguardante la sicurezza.
Notificare qualsiasi violazione di dati personali al Garante Privacy e, salvo quanto previsto dal
GDPR27, agli interessati per consentire loro di limitare conseguenze pregiudizievoli.

Cosa non fare

Utilizzare le informazioni dai dispositivi di registrazione per scopi diversi per assicurare il corretto
utilizzo del sistema informatico (ad esempio, monitorare i dipendenti, si tratta di una violazione
punita dallo Statuto dei Lavoratori).

27
Si vedano gli articoli 33 e 34 della GDPR.

- 119 -
11.8.6 Rendere sicure le postazioni di lavoro

Impedire l'accesso non autorizzato, l’ingresso di virus o il controllo da remoto, soprattutto via
Internet.

I rischi di intrusione nei sistemi informatici sono elevati e le postazioni di lavoro sono uno dei
principali punti di ingresso delle minacce.

PRECAUZIONI ELEMENTARI
• Fornire un meccanismo automatico di blocco di sessione in caso di non utilizzo della postazione per
un dato tempo.
• Installare un programma "firewall" e limitare l'apertura delle porte di comunicazione a quelle stretta-
mente necessarie per il funzionamento delle applicazioni installate sulla postazione di lavoro.
• Utilizzare un antivirus regolarmente aggiornato e prevedere una policy di regolare aggiornamento del
software.
• Configurare il software per gli aggiornamenti di sicurezza che vengono automaticamente effettuati al
più presto possibile.
• Favorire il salvataggio dei dati, da parte dell’utente, su uno spazio di archiviazione presidiato all’in-
terno della rete aziendale piuttosto che desktop. Nel caso in cui i dati sono memorizzati in locale,
fornire mezzi per la sincronizzazione o altre salvaguardie degli utenti, oltre alla formazione nel loro
uso.
• Limitare la connessione di dispositivi mobili (chiavi USB, dischi rigidi esterni, ecc.) a quanto stretta-
mente indispensabile.
• Disabilitare l'esecuzione automatica ("autorun") da supporti rimovibili. Per l'assistenza sulle stazioni
di lavoro:
o gli strumenti di amministrazione da remoto devono ottenere il consenso dell’utente prima di
accedere alla posizione, ad esempio rispondendo ad un messaggio che compare sullo
schermo;
o l'utente deve anche essere in grado di capire quando si verifica l’intervento e quanto termina,
ad esempio visualizzando un messaggio sullo schermo.

Cosa non fare

Utilizzare sistemi operativi obsoleti.
Dare diritti di amministratore ad utenti privi di solide competenze informatiche.

SI PUO’ FARE DI PIU’

• Vietare l'esecuzione di applicazioni scaricate da fonti non attendibili.
• Limitare l'uso di applicazioni che richiedono i diritti di amministratore per la loro esecuzione.
• Cancellare i dati in modo sicuro da una postazione prima della sua riassegnazione ad un'altra risorsa
umana.
• Se una posizione risulta compromessa, cercare la fonte piuttosto che qualsiasi traccia di intrusione
nel sistema informativo dell’azienda in modo da rilevare la compromissione di altri elementi.
• Eseguire una verifica del sistema di sicurezza su software ed hardware utilizzati dall'azienda. Verifi-
care avvisi ed opinioni su vulnerabilità nel software e hardware (https://csirt.gov.it/), e le adeguate
modalità per proteggersi.
• Aggiornare gli applicativi quando sono state identificate e corrette le vulnerabilità critiche.
• Installare gli aggiornamenti critici dei sistemi operativi senza ritardo pianificando una verifica auto-
matica settimanale.

- 120 -
• Comunicare a tutti gli utenti la condotta da tenere e l'elenco delle persone da contattare in caso di un
incidente sulla sicurezza o al verificarsi di un evento insolito che impatta sui sistemi IT.

- 121 -
11.8.7 Mettere in sicurezza i device mobili

Anticipare le violazioni di sicurezza conseguenti a furto di dati o perdita di un dispositivo mobile.

La proliferazione di computer portatili, chiavette USB e smartphone rende necessario anticipare

le violazioni di sicurezza dei dati conseguenti a furto o a perdita di tali attrezzature.

PRECAUZIONI ELEMENTARI
• Sensibilizzare gli utenti sui rischi specifici connessi con l'uso di strumenti di mobile computing (ad
esempio furto di hardware) e sulle procedure per limitarli.
• Implementare meccanismi di backup o di sincronizzazione delle posizioni nomadi per fare fronte alla
perdita dei dati memorizzati.
• Fornire mezzi di cifratura di workstation portatili e supporti mobili (computer portatili, chiavette USB,
hard disk esterni, CD-R, DVD-RW, ecc.), per esempio:
o crittografia del disco fisso nella sua interezza se possibile a livello di sistema operativo;
o cifratura di ogni file;
o creazione cartelle (in grado di contenere più file) crittografate.
• Molti computer portatili includono una soluzione di crittografia del disco fisso: se possibile, si consiglia
di utilizzare questa funzione.
• Per quanto riguarda gli smartphone, oltre al codice PIN della scheda SIM, attivare la chiusura auto-
matica del device richiedendo una password (password, sequenza, ecc.) di sblocco.

Cosa non fare

Utilizzare i servizi di salvaguardia o di sincronizzazione dei servizi cloud installati di default su un
dispositivo senza analizzare in modo dettagliato le loro condizioni di utilizzazione ed i requisiti di
sicurezza dei fornitori di questi servizi.

SI PUO’ FARE DI PIU’

• Posizionare un filtro privacy sugli schermi di postazioni utilizzate in luoghi pubblici.
• Limitare la memorizzazione dei dati sui dispositivi mobili a quanto strettamente necessario e, in alcuni
casi, impedire di utilizzare tali dispositivi quando si viaggia.
• Fornire garanzie contro il furto (ad esempio cavo di sicurezza, la marcatura visibile delle attrezzature)
e limitare il suo impatto (ad esempio blocco automatico, crittografia).
• Quando i dispositivi mobili vengono utilizzati per raccogliere dati in trasferta (ad esempio assistenti
personali, smartphone, computer portatili, etc.), crittografare i dati sul terminale. Fornire anche un
blocco del dispositivo dopo pochi minuti di inattività e l'eliminazione dei dati raccolti non appena sono
stati trasferiti al sistema informativo dell'azienda.

- 122 -
11.8.8 Proteggere la rete informatica interna

Consentire le sole funzioni di rete necessarie ai trattamenti stabiliti dall’azienda.

PRECAUZIONI ELEMENTARI
• Limitare l'accesso ad Internet bloccando servizi non necessari (ad esempio VoIP, peer to peer, ecc.).
• Gestire le reti Wi-Fi. Devono utilizzare tipi di crittografia adeguati allo stato dell'arte (WPA2 o WPA2-
PSK con una password complessa) e le reti aperte per gli ospiti devono essere separate dalla rete
interna.
• Imporre una VPN per l'accesso remoto e, se possibile, con una forte autenticazione dell’utente (ad
esempio smart card, generatore di password univoche (OTP), ecc.).
• Assicurarsi che nessuna interfaccia di amministrazione sia accessibile direttamente da Internet. La
manutenzione deve essere effettuata attraverso una VPN.
• Limitare il flusso di rete strettamente necessario filtrando il flusso in ingresso/uscita dall'apparec-
chiatura (firewall, server proxy, etc.). Ad esempio, se un server Web deve usare obbligatoriamente
HTTPS, è necessario attivare i flussi in entrata su quella macchina sulla porta 443 e bloccare tutte le
altre porte.

Cosa non fare

• Usare protocolli non sicuri per accedere alle risorse di rete (firewall, router, gateway). Si dovrebbe
invece usare SSH o l'accesso fisico diretto alle apparecchiature.
• Fornire agli utenti un accesso a Internet non filtrato.
• Creazione di una rete Wi-Fi utilizzando la crittografia WEP.

SI PUO’ FARE DI PIU’

• Informarsi sulle best practice di settore.
• È possibile impostare apparecchiature di identificazione automatica utilizzando gli identificatori delle
schede di rete (indirizzi MAC) per impedire la connessione di un dispositivo non in elenco.
• I sistemi di rilevamento delle intrusioni (IDS) sono in grado di analizzare il traffico di rete per rilevare
gli attacchi. Gli utenti dovrebbero essere avvertiti quando i loro contenuti vengono analizzati.
• Il partizionamento della rete riduce l’impatto in caso di compromissione. Possiamo distinguere una
rete interna in cui non è consentita alcuna connessione Internet, e una DMZ (zona demilitarizzata) con
accesso in Internet, separati da gateway (firewall).

- 123 -
11.8.9 Protezione dei server

Rafforzare le misure di sicurezza applicate ai server.

La sicurezza dei server aziendali deve essere una priorità, perché centralizzano molte informa-
zioni e dati.

PRECAUZIONI ELEMENTARI
• Limitare l'accesso agli strumenti ed alle interfacce di amministrazione solo al personale autorizzato.
Le operazioni correnti devono essere svolte con il livello minimo di privilegi.
• Adottare criteri specifici per le password degli amministratori. Cambiare le password almeno ad ogni
cambio di amministratore o in caso vi siano sospetti di compromissione.
• Installare gli aggiornamenti critici senza ritardo per i sistemi operativi e per le applicazioni, pianifi-
cando una verifica automatica settimanale.
• Quanto all’amministrazione del database;
• Uso di account nominativi per l'accesso alle banche dati e creazione di account specifici per ogni ap-
plicazione;
• Attuare misure contro attacchi volti all’introduzione di codice SQL, scripts, ecc.
• Effettuare il backup dei dati e verificarlo regolarmente.
• Implementare un protocollo TLS (in sostituzione di SSL28), o un protocollo per la cifratura e l'autenti-
cazione, quanto meno per gli scambi di dati su internet, e verificare la sua corretta attuazione attra-
29
verso strumenti adeguati .

Cosa non fare

• Utilizzare servizi non sicuri (ad esempio autenticazione in chiaro, flussi di dati in chiaro, etc.).
• Utilizzare per altre funzioni i server che ospitano il database, ad esempio la navigazione, l'accesso e-
mail, etc.
• Posizionare i database su un server accessibile direttamente da Internet.
• L'utilizzo di account utente generico (cioè condivisa tra più utenti).

SI PUO’ FARE DI PIU’

• Rispettare le best practice sulle password.
• Qualsiasi sistema di trattamento dei dati particolari (“sensibili”) deve essere implementato in un am-
biente dedicato (isolato).
• Le operazioni sui server devono essere effettuate tramite una rete dedicata e isolata, accessibile dopo
una autenticazione forte ed una tracciabilità rinforzata.
• Per quanto riguarda il software in esecuzione sui server, si consiglia di utilizzare strumenti di rileva-
mento delle vulnerabilità (software che rilevano le vulnerabilità come Nmap30 , Nessus31 , Nikto, Etc.)
per i trattamenti più critici per rilevare potenziali vulnerabilità di sicurezza. Possono anche essere
utilizzati sistemi di rilevamento e prevenzione degli attacchi ai sistemi critici o ai server.
• Limitare o vietare l'accesso fisico e logico alle porte di diagnostica e di configurazione remota.

28
Il protocollo TLS è talvolta chiamato SSL o SSL / TLS, "SSL" è il nome dato a questo protocollo nella sua prima versione ormai
considerati vulnerabili ed evitare.
29
Per TLS, esiste ad esempio https://www.ssllabs.com/ssltest/ o https://ssl-tools.net/
30
https://nmap.org/
31
http://www.nessus.org

- 124 -
11.8.10 Siti web sicuri

Garantire che le buone pratiche minime siano applicate ai siti web.

Ogni sito deve garantire la sua identità e la riservatezza delle informazioni trasmesse.

PRECAUZIONI ELEMENTARI
32
• Implementare il protocollo TLS (in sostituzione del SSL ) su tutti i siti web, utilizzando solo le versioni
più recenti e verificandone la corretta attuazione.
• Rendere obbligatorio l’utilizzo di TLS per tutte le pagine di autenticazione, formare o sui quali vengono
visualizzati o trasmessi i dati personali non pubbliche.
• Limitare le porte di comunicazione a quelle strettamente necessarie per il corretto funzionamento
delle applicazioni installate. Se l'accesso ad un server web passa solo attraverso HTTPS, è necessario
consentire che il flusso di rete IP arrivi sulla porta 443, bloccando tutte le altre porte.
• Limitare l'accesso a strumenti ed interfacce di amministrazione solo al personale autorizzato. In par-
ticolare, limitare l'uso di account di amministrazione ai soggetti che si occupano della materia e solo
per le operazioni di amministrazione necessarie.
• Se si utilizzano i cookie non necessari a rendere il servizio, ottenere il consenso del navigatore dopo
avere rilasciato l’informativa, anche tramite banner, prima del deposito dei cookie.
• Limitare il numero di componenti utilizzati, nell'eseguire monitoraggio e aggiornamento.

Cosa non fare

• Transito di dati personali, su siti non sicuri, di ID o password.
• Utilizzare servizi non sicuri (ad esempio autenticazione in chiaro, flussi di dati in chiaro, etc.).
• Utilizzare per altre funzioni i server che ospitano il database, ad esempio la navigazione, l'accesso ad
e-mail.
• Posizionare i database su un server accessibile direttamente da Internet.
• L'utilizzo di account utente generico (cioè condiviso tra più utenti).

PER SPINGERSI OLTRE

• Per quanto riguarda l’installazione di cookie, si consiglia di consultare la sezione del sito web del
Garante Privacy: http://www.garanteprivacy.it/cookie e quanto riportato sopra nel capitolo dedicato.
• Per quanto riguarda il software in esecuzione sui server, si consiglia di utilizzare strumenti di rileva-
mento delle vulnerabilità (software che rilevano le vulnerabilità come Nmap, Nessus, Nikto, etc.) per
i trattamenti più critici e per rilevare potenziali vulnerabilità di sicurezza. Possono anche essere uti-
lizzati sistemi di rilevamento e prevenzione degli attacchi ai sistemi critici o ai server. Questi test do-
vrebbero essere effettuati regolarmente e prima di ogni implementazione di un nuovo software.
• Le varie autorità europee di security hanno pubblicato raccomandazioni specifiche per implementare
il protocollo TLS o per mettere in sicurezza un sito web.

32
TLS, abbreviazione di Transport Layer Security, e SSL, abbreviazione di Secure Socket Layers, sono entrambi protocolli
crittografici che criptano i dati e autenticano una connessione durante il trasferimento di dati su Internet..

- 125 -
11.8.11 Salvaguardare la continuità aziendale

Eseguire backup regolari per limitare l'impatto di una perdita indesiderata di dati.

Le copie di backup devono essere realizzate e testate regolarmente. Deve essere predisposto un
piano di business continuity o di disaster recovery che anticipi i possibili incidenti di recupero (ad
esempio guasti hardware).

PRECAUZIONI ELEMENTARI
• Per quanto riguarda il backup dei dati
- Eseguire backup frequenti di dati, che siano in formato cartaceo o elettronico. Può essere oppor-
tuno prevedere backup incrementali giornalieri33 e completi a intervalli regolari.
- Conservare i backup in un sito esterno, se possibile, in scatole a prova di fuoco e tenuta stagna.
- Proteggere i dati salvati allo stesso livello di sicurezza di quelli memorizzati su server operativo
(ad esempio, crittografando i backup, prevedere il salvataggio in un luogo sicuro, prevedendo un
contratto di fornitura di backup in outsourcing).
- Quando i backup sono trasmessi attraverso la rete, è necessario crittografare il canale di trasmis-
sione se non è interno alla società.
• Per quanto riguarda il piano di disaster recovery e di business continuity.
- Fare un piano di disaster recovery e di business continuity anche breve, compreso l'elenco delle
parti interessate.
- Garantire che gli utenti, fornitori ed i Responsabili del trattamento sappiano chi avvisare in caso
di incidente.
- Eseguire regolarmente test di ripristino dei backup e di applicazione del piano di disaster recovery
e di business continuity.
• Circa gli aspetti materiali:
- utilizzare un gruppo di continuità per proteggere le apparecchiature utilizzate per il trattamento
essenziale;
- fornire ridondanza ai supporti di backup, ad esempio utilizzando un disco con tecnologia RAID34.

Cosa non fare

Conservare i backup nello stesso posto delle macchine che trattano i dati. Qualora si verifichi una
grave catastrofe in tale luogo si produrrebbe la perdita permanente di tutti i dati.

SI PUO’ FARE DI PIU’

• Per quanto riguarda l'istituzione di un piano di business continuity e disaster recovery, lo SGDSN ha
pubblicato una guida, in francese35.
• Si consiglia di implementare una replica dei dati in un sito secondario.

33
Un backup incrementale è quello di salvare solo le modifiche apportate in relazione ad un backup precedente.
34
RAID (Redundant Array of Independent Disks) denota tecniche di distribuzione dei dati su più supporti di archiviazione (ad
esempio hard disk) per evitare la perdita dei dati al fallimento di uno dei supporti.
35
https://www.economie.gouv.fr/files/hfds-guide-pca-plan-conti-nuite-activity-_sgdsn.pdf

- 126 -
11.8.12 Archiviare in maniera sicura

Archiviare i dati che non vengono utilizzati ogni giorno, ma non hanno ancora raggiunto il loro
limite di conservazione, per esempio perché sono memorizzati per essere utilizzati in caso di
contenzioso.

Gli archivi devono essere sicuri, soprattutto se i dati archiviati sono dati sensibili o sono dati che
potrebbero avere gravi ripercussioni sulle persone coinvolte.

PRECAUZIONI ELEMENTARI
• Impostare un processo di gestione degli archivi: individuando come i dati devono essere conservati,
come e dove vengono memorizzati e come sono gestiti.
• Implementare procedure specifiche per l'accesso ai dati archiviati in modo che l'uso di un archivio
deve intervenire in modo tempestivo ed in via di eccezione.
• Per quanto riguarda la distruzione degli archivi, scegliere una procedura che garantisca che l’intero
archivio è stato distrutto.

Cosa non fare

• Utilizzare supporti che non garantiscano una sufficiente longevità. Ad esempio, la longevità di CD e
DVD riscrivibili raramente supera i 4/5 anni.
• Mantenere i dati di base attiva semplicemente indicandoli come archiviati. i dati archiviati devono es-
sere accessibili ad un reparto specifico responsabile per il loro accesso.

SI PUO’ FARE DI PIU’

Verificare l’esistenza di best practice in materia.

- 127 -
11.8.13 Disciplinare la manutenzione e la distruzione dei dati

Garantire la sicurezza dei dati in qualsiasi momento del ciclo di vita di hardware e software.

Le operazioni di manutenzione devono essere in grado di gestire l'accesso ai dati da parte dei
fornitori. I dati devono essere cancellati prima che l'apparecchiatura venga posta in rottamazione.

PRECAUZIONI ELEMENTARI
• Documentare i lavori di manutenzione in un registro.
• Inserire una clausola sulla sicurezza nei contratti di manutenzione con i fornitori (vedi sotto).
• Disciplinare, ad opera del responsabile IT interno, gli interventi operati da terzi.
• Scrivere ed attuare una procedura sicura di cancellazione dei dati.
• Eliminare in modo sicuro i dati dai supporti prima dello smaltimento, prima della riparazione o alla
fine del contratto di locazione/leasing.

Cosa non fare

Installare applicazioni per la manutenzione a distanza con vulnerabilità note, per esempio, che
non criptano le comunicazioni.
Riutilizzare, rivendere o gettare via supporti con dati personali, senza che i dati siano stati elimi-
nati in maniera sicura.

SI PUO’ FARE DI PIU’

Utilizzando software dedicati alla cancellazione dei dati senza distruzione fisica che sono stati
oggetto di revisione contabile o di certificazione.

- 128 -
11.8.14 Gestire la sicurezza dei dati con i Responsabili del trattamento

I dati forniti ai Responsabili del trattamento, o da essi gestiti, devono beneficiare di garanzie ade-
guate.

PRECAUZIONI ELEMENTARI
• Utilizzare unicamente fornitori che forniscono adeguate garanzie (soprattutto in termini di compe-
tenza, affidabilità e risorse). Richiedere la presentazione da parte del fornitore della sua policy per la
sicurezza dei sistemi informativi.
• Acquisire e documentare mediante gli strumenti (ad esempio, controlli di sicurezza, visite in loco, etc.)
per verificare l'efficacia delle garanzie offerte dal contraente in termini di protezione dei dati. Queste
garanzie includono:
- la crittografia dei dati in base al loro carattere di dato particolare (“sensibile”) o, in mancanza,
l'esistenza di procedure per garantire che il fornitore non abbia accesso ai dati ad esso affidati,
salvo non sia necessario per l’esecuzione del suo contratto;
- la cifratura della trasmissione di dati (ad esempio tipo di connessione HTTPS, VPN, ecc.);
- le garanzie per la protezione della rete, la tracciabilità (giornali, audit) della gestione delle abilita-
zioni, dell'autenticazione, etc.
• Prevedere un contratto con i Responsabili del trattamento che definisca in particolare, l’oggetto, la
durata, le finalità del trattamento e gli obblighi delle parti. Assicurarsi che contenga in particolare le
disposizioni riguardanti:
- gli obblighi del fornitore in materia di tutela dei dati personali affidati;
- i vincoli minimi sulla autenticazione degli utenti;
- le condizioni di restituzione e / o la distruzione dei dati alla fine del contratto;
- regole di gestione e di segnalazione degli incidenti. Queste dovrebbero includere le informazioni
del Titolare del trattamento, in caso di scoperta della vulnerabilità o dell’incidente in materia di
36
sicurezza e ciò, nel più breve tempo possibile, quando si tratta di una violazione dei dati personali.

Cosa non fare

• Ricevere le prestazioni dell’outsourcer senza aver firmato un contratto contenente i requisiti di cui
all'articolo 28 del GDPR e che comunque non sono gestiti ai sensi privacy.
• Utilizzare i servizi cloud senza alcuna garanzia circa la posizione geografica effettiva dei dati personali
e senza verificare le condizioni legali e le eventuali formalità per il trasferimento dei dati fuori
dall’Unione europea.

SI PUO’ FARE DI PIU’

• Si veda l'articolo 28 del GDPR.
• Per quanto riguarda il cloud computing, Il Garante Privacy ha formulato una guida37.
• Per quanto riguarda i dati sanitari, la normativa italiana in materia di fascicolo sanitario elettronico è
reperibile anche via web38.

36
Una violazione di dati è caratterizzata dalla "violazione dei dati personali" quando tocca, appunto, dati personali (comuni o cate-
gorie particolari).
37
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1894503
38
https://www.fascicolosanitario.gov.it/normativa-di-riferimento

- 129 -
11.8.15 Trasferire, in modo sicuro, i trasferimenti di dati con altri soggetti

Rafforzare la sicurezza di qualsiasi trasmissione di dati personali.

L'e-mail non è un mezzo sicuro per trasmettere i dati personali senza ulteriori misure. Un sem-
plice errore nella sua gestione può portare a divulgare a destinatari non autorizzati dati personali
e quindi interferire con il diritto alla tutela dei dati personali degli individui. Inoltre, tutti i soggetti
che hanno l'accesso ai server di posta coinvolti (compresi quelli dei mittenti e destinatari) pos-
sono avere accesso ai loro contenuti.

PRECAUZIONI ELEMENTARI
• Crittografare i dati prima di registrarli su supporto fisico da trasmettere a terzi (DVD, chiavi USB, hard
disk portatili).
• Quando si invia su una rete:
- crittografare le parti sensibili se questa trasmissione utilizza la posta elettronica;
- utilizzare un protocollo che garantisce la riservatezza e l'autenticazione del server destinatario del
trasferimento del dato, ad esempio SFTP o HTTPS, utilizzando le versioni più recenti dei protocolli;
- garantire la riservatezza delle informazioni segrete (ad esempio chiave di crittografia, la pas-
sword, etc.) trasmettendole tramite un canale separato (ad esempio, l'invio del file crittografato
per e-mail e la password di comunicazione per telefono o SMS).
• Se si desidera utilizzare il fax, attuare le seguenti misure:
- installare il fax in un locale controllato fisicamente e accessibile solo al personale autorizzato;
- far visualizzare l'identità del fax del destinatario quando la comunicazione viene trasmessa;
- inviare via fax documenti già inviati in originali al destinatario;
- preregistrare nella rubrica fax (se è presente la funzione) i potenziali destinatari.

Cosa non fare

Trasmettere file contenenti dati personali in chiaro tramite sistemi di messaggistica pubblica.

SI PUO’ FARE DI PIU’

• L'uso di algoritmi a chiave pubblica: vari operatori hanno istituito un'infrastruttura di gestione delle
chiavi che sembra particolarmente adatta per garantire la confidenzialità e l'integrità delle comunica-
zioni, oltre che l'autenticazione del mittente.
• Il mittente può firmare digitalmente i dati prima di inviarli per garantirne l’originalità della trasmis-
sione.

- 130 -
11.8.16 Protezione dei locali

Migliorare la sicurezza dei locali che ospitano i server e le apparecchiature di rete.

L'accesso ai locali deve essere controllato per prevenire o rallentare l'accesso diretto ai soggetti
non autorizzati, sia per archivi cartacei o all’hardware, inclusi i server.

PRECAUZIONI ELEMENTARI
• Installare l’antifurto e verificarlo periodicamente.
• Stabilire rilevatori di fumo e sistemi antincendio, ispezionandoli ogni anno.
• Proteggere le chiavi che consentono l'accesso ai locali ed ai codici di allarme (attribuendole a soggetti
specifici per iscritto).
• Distinguere le zone edifici in base ai rischi (ad esempio per fornire un controllo di accesso dedicato
per la sala computer).
• Mantenere un elenco di persone o categorie di persone autorizzate ad entrare in ciascuna area.
• Stabilire le regole e mezzi di controllo di accesso visitatori o, quantomeno, far accompagnare da per-
sonale dell’azienda i visitatori qualora debbano recarsi fuori dalle zone di ricezione39.
• Proteggere fisicamente le apparecchiature informatiche mediante dispositivi specifici (sistemi antin-
cendio dedicati, sopraelevazione contro eventuali inondazioni ridondanza di alimentazione elettrica
e/o di climatizzazione).

Cosa non fare

Sottodimensionare o trascurare la manutenzione ambientale delle sale computer (ad esempio
aria condizionata, invertitore, etc.). Il blocco di questi macchinari si traduce spesso nel blocco
delle macchine e nell'apertura delle zone di accesso a tali stanze (per la circolazione dell'aria)
neutralizzando di fatto le protezioni fisiche che contribuiscono alla sicurezza dei locali.

SI PUO’ FARE DI PIU’

• Tenere un registro degli accessi alle sale o uffici in cui vi sono dati personali che possono avere un
grave impatto negativo sulle persone coinvolte.
• Assicurarsi che sia consentito l’accesso in aree riservate al solo personale autorizzato. Ad esempio:
- all'interno delle aree riservate, richiedere l'uso di un mezzo di identificazione a vista (badge) per
tutte le persone;
- i visitatori (personale addetto all'assistenza tecnica, etc.) devono avere un accesso limitato e de-
vono essere registrati data ed ora del loro arrivo e partenza;
- rivedere e aggiornare regolarmente i permessi di accesso alle aree protette eliminando quelli non
più necessari.

39
Dal momento del loro ingresso, durante la visita e fino a quando lasciano i locali dell’azienda.

- 131 -
11.8.17 Tutelare lo sviluppo dei progetti informatici

Integrare la sicurezza e la tutela della privacy prima possibile nei vari progetti.

La protezione dei dati personali deve essere integrata negli sviluppi dei software sin dalla fase di
progettazione per offrire agli interessati un miglior controllo dei propri dati e ridurre gli errori, la
perdita, la modifica non autorizzata o uso improprio di questi dati nelle applicazioni.

PRECAUZIONI ELEMENTARI
• Integrare nella progettazione dell’applicazione o del servizio i principi di tutela dei dati personali e
della sicurezza (privacy by design). Queste esigenze si possono tradurre in scelte sull'architettura
(centralizzata vs. decentrata), sulle caratteristiche (anonimizzazione in un breve tempo, minimizza-
zione dei dati), e sulla la tecnologia (la comunicazione criptata), etc.
• Per gli sviluppi che riguardano un vasto pubblico a riflettere sui parametri relativi alla privacy, tra cui
l'impostazione di privacy per impostazione predefinita (privacy by default).
• Evitare l'uso di caselle di testo libero o commenti.
• Eseguire gli sviluppi informatici ed i test in ambiente informatico distinto da quello produttivo (ad
esempio, su computer o macchine virtuali diverse) e con dati fittizi o anonimi.

Cosa non fare

• Utilizzare i dati per personali reali per le fasi di sviluppo e test. Quando possibile devono essere effet-
tuate simulazioni.
• Sviluppare un'applicazione e pensare successivamente alle misure di sicurezza da mettere in atto.

SI PUO’ FARE DI PIU’

• Lo sviluppo del software deve imporre formati di acquisizione e registrazione dei dati che riducono al
minimo i dati raccolti. Ad esempio, se si tratta di raccogliere solo l'anno di nascita di una persona, il
campo dell’apposito modulo dovrebbe proibire di inserire mese e giorno di nascita. Ciò è realizzabile
realizzando un menu a discesa limitante le scelte per un campo di modulo.
• I formati dei dati devono essere compatibili con la durata della conservazione degli stessi. Ad esempio,
se un documento digitale deve essere conservato per 20 anni, può essere opportuno utilizzare un
formato aperto che ha più probabilità di essere mantenuto a lungo termine.
• La creazione e la gestione dei profili dei profili di autorizzazione degli utenti, che conferiscono diversi
diritti di accesso ai dati, dovrebbero essere integrati sin dalle fasi di sviluppo del software.
• A seconda dell'applicazione, può essere necessario, per garantirne l'integrità, attraverso l'uso di firme
del codice eseguibile, in modo da garantire che non è stato alterato.

- 132 -
11.8.18 Cifrare, garantire l’integrità o firmare

Garantire l'integrità, la riservatezza e l'autenticità delle informazioni.

Le funzioni hash contribuiscono ad assicurare l'integrità dei dati. Le firme elettroniche/digitali,

oltre a garantire l'integrità, permettono di verificarne l'origine e la loro autenticità. Infine, la cifra-
tura, a volte erroneamente chiamata crittografia, garantisce la riservatezza di un messaggio.

PRECAUZIONI ELEMENTARI
• Utilizzare un algoritmo collaudato e sicuro, per esempio, i seguenti algoritmi:
- SHA-256, SHA-512 e SHA-341 come funzione hash;
- HMAC utilizzando SHA-256, bcrypt, scrypt o PBKDF2 per memorizzare le password;
- AES o AES-CBC per la cifratura simmetrica;
- RSA-OAEP come definito in PKCS # 1 v2.1 per la cifratura asimmetrica;
- infine, per le firme, RSA-SSA-PSS come specificato nel PKCS # 1 v2.1.
• Utilizzare dimensioni delle chiavi sufficienti, si consiglia di utilizzare chiavi a 128 bit.
• Proteggere le chiavi segrete, come minimo mediante l'attuazione di diritti di accesso restrittivi e una
password sicura.
• Redigere una procedura che indica come saranno gestite le chiavi ed i certificati tenendo conto della
possibilità di sblocco a seguito di dimenticanza della password.

Cosa non fare

• Utilizzare algoritmi obsoleti come cifratura DES e 3DES e funzioni hash SHA1 o MD5;
• confondere la funzione di hash e la cifratura e ritenere che la sola funzione di hash sia sufficiente per
garantire la riservatezza dei dati. Anche se le funzioni di hash sono funzioni "a senso unico", che sono
difficili da invertire, i dati possono essere recuperati attraverso la loro impronta. Queste funzioni sono
veloci da usare, è spesso possibile provare automaticamente tutte le possibilità e quindi di riconoscere
l'impronta.

SI PUO’ FARE DI PIU’

• Comprendere i principi di base della crittografia e cifratura.
• Quando si riceve un certificato elettronico, verificare che il certificato contenga un'indicazione uso coe-
rente con ciò che è previsto, che sia valido e non revocato, ed abbia una catena di certificazione corretta
a tutti i livelli.
• Utilizzare software o librerie di crittografia che sono stati oggetto di revisione da parte di terzi di com-
provata esperienza.
• Possono essere utilizzate diverse soluzioni di crittografia, come ad esempio:
- soluzioni certificate o validate da soggetti autorevoli;
- software Veracrypt che consente l'implementazione directory cifrate40;
- software GNU Privacy Guard che consente l'implementazione di crittografia asimmetrica (firma e
cifratura)41.

40
Si tratta di un “contenitore” che contiene più directory.
41
https://www.gnupg.org/index.fr.html

- 133 -
11.8.19 Check-list di valutazione e pianificazione delle misure di sicurezza
Per ogni singolo punto si consiglia di indicare se l’attività è stata fatta [fatto/da fare], in caso con-
trario pianificare l’intervento. È possibile indicare note, appunti e data di compilazione, negli ap-
positi spazi. Compilare ed inserire la check-list che segue nel “Fascicolo Privacy”.

1. Informare e sensibilizzare chi tratta i dati personali

2. Predisporre le policy privacy, autorizzazioni ed il regolamento aziendale dandogli forza vincolante

3. Impostare un identificativo (login) unico per ogni utente

4. Adottare una politica di password in linea quanto sopra

5. Obbligare l'utente a modificare la password dopo il ripristino

6. Limitare il numero di tentativi di accesso ad un account

7. Impostare i profili di autorizzazione (in relazione ai trattamenti da svolgere)

8. Rimuovere i profili obsoleti

9. Condurre una revisione annuale dei profili delle autorizzazioni

- 134 -
10. Impostare un sistema di registrazione

11. Informare gli utenti della installazione del sistema di registrazione

12. Proteggere il sistema di registrazione (log compresi)

13. Prevedere una procedura per la notifica di violazioni di dati personali

14. Prevedere un sistema di blocco automatico della sessione

15. Utilizzare antivirus regolarmente aggiornati

16. Installare software "firewall"

17. Raccogliere il consenso dell'utente prima di lavorare sulla sua postazione da remoto

18. Prevedere sistemi di cifratura dei dispositivi mobili

19. Eseguire regolarmente il backup e la sincronizzazione dei dati

20. Esigere una password per sbloccare gli smartphone

- 135 -
21. Ridurre al minimo il flusso di rete strettamente necessario

22. Implementare un sistema di accesso sicuro da remoto con VPN

23. Implementare protocolli WPA2 o WPA2-PSK per reti Wi-Fi

24. Limitare l'accesso agli strumenti e interfacce di amministrazione solo al personale autorizzato

25. Installare senza ritardo gli aggiornamenti critici

26. Garantire la disponibilità dei dati

27. Utilizzare il protocollo TLS e garantirne il funzionamento

28. Assicurarsi che nessuna password o nome utente passi da internet

29. Controllare che gli input dell'utente corrispondano a ciò che è previsto

30. Inserire un’informativa e, se del caso, un modulo di consenso con banner per i cookie

- 136 -
31. Eseguire regolarmente il backup

32. Conservare il supporto di backup in un luogo sicuro

33. Fornire mezzi di sicurezza per il trasporto di piano di backup e testare regolarmente la business
continuity

34. Implementare procedure specifiche per l'accesso ai dati archiviati

35. Distruggere gli archivio obsoleti in modo sicuro

36. Registrare gli interventi di manutenzione in un registro

37. Individuare un soggetto che si occupi di seguire gli interventi di terzi

38. Cancellare i dati di qualsiasi supporto prima della sua rottamazione

39. Gestire i Responsabili del trattamento ai sensi privacy

40. Prevedere le condizioni di restituzione e la distruzione di dati

- 137 -
41. Verificare l'efficacia delle garanzie previste (controlli di sicurezza, visite, ecc.)

42. Cifrare i dati prima dell'invio

43. Assicurarsi che l’indirizzo e-mail del destinatario sia corretto

44. Trasmettere il dato segreto (ad esempio: password) in una trasmissione separata e con un canale
diverso

45. Limitare l'accesso ai locali con porte chiuse

46. Installare allarmi antintrusione e verificarli periodicamente

47. Proporre impostazioni rispettose della privacy degli utenti finali nel sito web

48. Nel sito aziendale evitare le zone per i commenti e delimitarle rigorosamente

49. Effettuare test su dati fittizi o anonimi

50. Utilizzare algoritmi, software e librerie riconosciuti e validati dalla comunità

- 138 -
51. Mantenere i files segreti e le chiavi crittografiche in modo sicuro

Fonte: www.cnil.fr
Security of personal data - maggio 2018
L'autore della traduzione, e dell’adattamento, non ha alcun collegamento con la CNIL.

- 139 -
11.8.20 Modello di clausola per la manutenzione spot

Modello di clausola da utilizzare per la manutenzione effettuata da terzi

Ogni operazione di manutenzione deve essere descritta specificando le date e le ore di intervento,
la natura delle operazioni ed i nomi dei partecipanti, trasmessi a X.

Per la manutenzione a distanza con accesso in remoto agli archivi di X, Y prenderà tutti gli accor-
gimenti per consentire X per identificare l'origine di ogni intervento esterno. A tal fine, Y si impe-
gna ad ottenere il consenso preventivo di X prima di ogni operazione di manutenzione da remoto
richiesta.

Saranno predisposti dei registri soggetti alle rispettive responsabilità di X e Y, indicanti la data e
il dettagliato degli interventi effettuati on site e da remoto ed i nomi dei soggetti coinvolti.

- 140 -
11.8.21 Modello di disclaimer per e-mail

Modello di disclaimer per e-mail

La informiamo che le informazioni contenute nella presente comunicazione (e i relativi allegati)

sono confidenziali, riservate e destinate esclusivamente ai destinatari indicati; pertanto, la diffu-
sione, distribuzione e/o la riproduzione del messaggio e/o i documenti trasmessi da parte di
qualsiasi soggetto diverso dal destinatario sono proibiti per legge. Qualora Lei abbia ricevuto
questo messaggio per errore, è pregato di eliminarlo immediatamente insieme agli eventuali
allegati e avvertire chi l’abbia inviato. La informiamo che il presente messaggio non è personale;
pertanto, eventuali risposte potranno essere conosciute dal personale e dagli altri soggetti auto-
rizzati dal Titolare.

- 141 -
- 142 -