IL DIRITTO ALLA PROTEZIONE DEI

DATI PERSONALI: TRA DISCIPLINA

EUROPEA E ADEGUAMENTO DELLA
DISCIPLINA NAZIONALE
Indice
Introduzione 7. Liceità del trattamento – Basi giuridiche
1. Focus fonti • Basi giuridiche: consenso
• Inquadramento costituzionale • Basi giuridiche: esecuzione di un contratto e di misure pre-
• La privacy in Europa contrattuali
• Il “pacchetto” protezione dati personali • Basi giuridiche: adempimento di un obbligo legale
• La riforma del Codice privacy • Basi giuridiche: interesse vitale dell’interessato o di un terzo
2. Finalità • Basi giuridiche: esecuzione di un compito di interesse pubblico o
3. Ambito di applicazione materiale connesso all’esercizio di pubblici poteri
4. Ambito di applicazione territoriale • Basi giuridiche: legittimo interesse prevalente del titolare o di un
5. Definizioni: terzo
• Interessato, titolare e responsabile 8. Soggetti:
• Categorie particolari di dati • Compiti del titolare e contitolarità
6. Principi: • Compiti del responsabile del trattamento
• Liceità, correttezza e trasparenza • Autorizzati al trattamento
• Finalità
• Minimizzazione
• Esattezza
• Conservazione
• Integrità e riservatezza
• Responsabilizzazione
Indice
9. Informativa: 12. Trasferimenti di dati all’estero
• Contenuto 13. Autorità di controllo: caratteristiche compiti e poteri
• Tempi • Autorità di controllo italiana
• Modalità • Autorità capofila e meccanismo dello sportello unico (one stop
10. Diritti degli interessati shop)
• Accesso • Il meccanismo di coerenza
• Rettifica • Comitato europeo per la protezione dei dati – EDPB
• Cancellazione (“oblio”) 14. Forme di tutela
• Limitazione
• Rappresentanza degli interessati
• Portabilità
• Responsabilità
• Opposizione
• Non essere sottoposti a decisioni automatizzate 15. Sanzioni
• Limitazioni • Sanzioni penali in Italia
11. Accountability e approccio basato sul rischio 16. Privacy e diritto del lavoro:
• Privacy by design e privacy by default 17. Marketing e profilazione
• Registro dei trattamenti
• Certificazioni e codici di condotta
• Misure di sicurezza
• Violazioni dei dati personali (data breach)
• Valutazione di impatto
• Consultazione preventiva
• Responsabile per la protezione dei dati personali
(DPO)
Focus fonti: inquadramento costituzionale

La Costituzione non menziona espressamente né il diritto alla privacy né

il diritto alla vita privata né il diritto alla riservatezza.

Il problema del fondamento del diritto alla privacy si inquadra, per tanto,
nel più ampio problema dei “nuovi diritti”.

Fu riconosciuto con la sentenza n. 38/1973 dalla Corte Costituzionale, che affermò

l’esistenza del diritto alla privacy come limite del diritto di cronaca sulla base degli articoli
2, 3,comma 2 e 13,comma 1 della Costituzione e sugli articoli 8 e 9 della CEDU.

Il riconoscimento definitivo dell’esistenza del diritto alla privacy nel nostro ordinamento
avvenne soltanto con la sentenza n. 2129/1975 della Corte di Cassazione (caso Soraya), che
collocò la privacy nel sistema costituzionale italiano individuando come fondamento del
diritto non solo gli artt. 2 e 3, ma anche gli artt.13, 14, 15, 29 e 41 della Costituzione

4
Focus fonti: la privacy in Europa

Il diritto alla vita privata è sancito all’art. 7 della CEDU. Con particolare
riguardo alla protezione dei dati personali nel 1981 venne stipulata la
Convenzione n. 108.

La Carta dei diritti fondamentali dell’Unione Europea (2000) ha

riconosciuto il diritto alla riservatezza e il diritto alla protezione dei dati
personali agli artt. 7 e 8.

Con il Trattato di Lisbona del 2007 la Carta dei diritti fondamentali dell’Unione Europea è stata
integrata nei Trattati.

Inoltre, sulla base dell’art. 16 del TFUE, è stata riconosciuta all’Unione una competenza molto
più forte in materia di circolazione dei dati personali, permettendo la produzione di fonti più
incisive della Direttiva 95/46 con la quale si era tentato di armonizzare le discipline nazionali
sulla protezione dei dati personali.
5
Focus fonti: il “pacchetto protezione dati”

Nel 2016 il Parlamento europeo e il Consiglio hanno adottato il c.d. “pacchetto protezione
dati”: il Regolamento generale sulla protezione dei dati personali (Regolamento UE
2016/679) e la Direttiva sul trattamento dei dati personali da parte delle autorità
competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati
o esecuzione di sanzioni penali (Direttiva UE 2016/680).

Il Regolamento 2016/679 (GDPR) è entrato in vigore il 24 maggio 2016, ma la sua piena applicabilità
è stata rimanda fino al 25 maggio 2018, lasciando due anni per permettere agli Stati membri di
adeguare le normative nazionali alla nuova disciplina e per dare il tempo ai soggetti privati e pubblici
di conformarsi agli obblighi derivanti dalla nuova normativa.

Con il Regolamento 2016/679 è stata abrogata la Direttiva 95/46 che precedentemente regolava la
materia. Così facendo l’Unione europea è passata da un approccio basato sull’armonizzazione ad uno
basato sull’uniformazione delle discipline nazionali.

6
Focus fonti

In Italia la Direttiva 95/46 fu attuata con la l. n. 675/1997, successivamente

integrata da altre fonti. L’intera disciplina venne poi riorganizzata con il [Link]. n.
196/2003, c.d. Codice della privacy, nel quale venne raccolta quasi tutta la
normativa relativa alla protezione dei dati personali.

Con l’entrata in vigore del Regolamento 2016/679 si è resa però necessaria la

modifica del Codice.

Il Governo, delegato a tale scopo dal Parlamento, ha emanato il [Link]. n. 101/2018 con il quale
ha adeguato la disciplina del Codice privacy al nuovo quadro europeo.

7
Finalità
GDPR: art. 1 e considerando da 1 a 14, 170 e 172

Oggetto e finalità
1. Il GDPR stabilisce norme relative alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali, nonché norme relative alla libera
circolazione di tali dati.
2. Il GDPR protegge i diritti e le libertà fondamentali delle persone fisiche, in
particolare il diritto alla protezione dei dati personali.
3. La libera circolazione dei dati personali nell’Unione non può essere limitata né
vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al
trattamento dei dati personali.
8
Ambito di applicazione materiale
GDPR: art. 2 e considerando da 15 a 21

Ambito di applicazione materiale

1. Il GDPR si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento
non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.
2. Il GDPR non si applica ai trattamenti di dati personali: a) effettuati per attività che non rientrano nell’ambito di
applicazione del diritto dell’Unione; b) effettuati dagli Stati membri nell'esercizio di attività che rientrano
nell'ambito di applicazione del titolo V, capo 2, TUE; c) effettuati da una persona fisica per l’esercizio di attività
a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione,
indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro
minacce alla sicurezza pubblica e la prevenzione delle stesse.
3. Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione, si applica il Regolamento
UE n. 2018/1725. Il Regolamento UE n. 2018/1725 e gli altri atti giuridici dell'Unione applicabili a tale trattamento di
dati personali devono essere adeguati ai principi e alle norme del presente regolamento conformemente all’articolo 98.
4. Il GDPR non pregiudica pertanto l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla
responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva.
9
 Ambito di applicazione territoriale
GDPR: art. 3
EDPB "Guidelines 3/2018 on the territorial scope of the GDPR" - Adottate il 16 novembre 2018, in corso di consultazione pubblica

Ambito di applicazione territoriale

1. Il GDPR si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da
parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che
il trattamento sia effettuato o meno nell’Unione.
2. Il GDPR si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un
titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le
attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione,
indipendentemente dell’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro
comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
3. Il GDPR si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito
nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.
10
Definizioni: interessato, titolare e responsabile
GDPR: art. 4, par. 1, 7 e 8 e considerando 26, 27, 30 e 74
EDPB “Opinion 1/2010 on the concepts of controller and processor" - Adottate il 16 febbraio 2010

Interessato: L’interessato al trattamento è la persona fisica a cui si riferiscono i dati

personali.
Può essere solo una persona fisica e non una persona giuridica.

Titolare: Il Titolare del trattamento (data controller) è la persona fisica o giuridica,

l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri,
determina le finalità e i mezzi del trattamento di dati personali.

Responsabile: Il responsabile del trattamento (data processor) è la persona fisica o

giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del
titolare del trattamento. 11
Definizioni: categorie particolari di dati
GDPR: art. 9 e considerando da 51 a 56

Il GDPR stabilisce un generale divieto di trattare dati rientranti in particolari categorie.

In questa definizione sono ricompresi quei dati che rivelano «l’origine razziale o etnica, le opinioni politiche, le
convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici
intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o
all'orientamento sessuale della persona».
Tuttavia

L’art. 9, par. 2 del GDPR prevede alcuni specifici casi in base ai quali è possibile derogare al divieto di
trattare dati rientrati in particolari categorie.

La scelta per un divieto generale a cui è possibile derogare soltanto in casi specifici è dovuta al fatto che i dati
particolari sono quelli che afferiscono alla sfera più intima della persona. 12
 Definizioni: categorie particolari di dati
GDPR: art. 9 e considerando da 51 a 56

Eccezioni. I dati particolari possono essere trattati nei seguenti casi:

a) con il consenso esplicito dell’interessato;

b) se il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o
dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia
autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati
membri;
c) se il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora
l’interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso;
d) se il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione,
associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali,
a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari
contatti con la fondazione, l’associazione o l'organismo a motivo delle sue finalità e che i dati personali non siano
comunicati all'esterno senza il consenso dell'interessato;
e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
1
3
 Definizioni: categorie particolari di dati
f) se il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
g) se il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli
Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione
dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato;
h) se il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della
capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e
servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con
un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;
i) se il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione
da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza
dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati
membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il
segreto professionale;
j) se il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici in conformità dell'articolo 89, paragrafo 1, sulla base del diritto dell'Unione o nazionale, che è
proporzionato alla finalità perseguita, rispetta l'essenza del diritto alla protezione dei dati e prevede misure
appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
14
 Principi: liceità, correttezza e trasparenza
GDPR: artt. 5, lett. a) e 6
EDPB “Guidelines on transparency under Regulation 2016/679" - Adottate il 29 novembre 2017, riviste e adottate l’11 aprile 2018

Art. 5:
I dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e
trasparenza»).

Art. 6
Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è
necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta
dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il
trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; e) il trattamento è
necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare
del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a
condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati
15
personali, in particolare se l’interessato è un minore (quest’ultima base giuridica non si applica al trattamento di dati effettuato dalle
autorità pubbliche nell’esecuzione dei loro compiti).
 Principi: liceità, correttezza e trasparenza
GDPR: considerando 39
Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le
modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati
personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento
di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio
riguarda, in particolare, l'informazione degli interessati sull'identità del titolare del trattamento e sulle finalità del trattamento e
ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro
diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano. È opportuno che le persone
fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità
di esercizio dei loro diritti relativi a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali
dovrebbero essere esplicite e legittime e precisate al momento della raccolta di detti dati personali. I dati personali dovrebbero essere
adeguati, pertinenti e limitati a quanto necessario per le finalità del loro trattamento. Da qui l’obbligo, in particolare, di assicurare che
il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la
finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano
conservati più a lungo del necessario, il titolare del trattamento dovrebbe stabilire un termine per la cancellazione o per la verifica
periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati personali inesatti siano rettificati o cancellati. I dati
personali dovrebbero essere trattati in modo da garantirne un’adeguata sicurezza e riservatezza, anche per impedire l'accesso o
l’utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.
16
 Principi: finalità
GDPR: art. 5, lett. b)
WP29 "Opinion 3/2013 on purpose limitation" - Adottate il 2 aprile 2013

I dati personali sono raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo
che non sia incompatibile con tali finalità.
Determinate - il titolare deve prevedere in modo sufficientemente chiaro
quali siano le finalità effettive per cui ha intenzione di raccogliere e trattare i
dati personali . Non sono pertanto ammesse indicazioni generiche

Esplicite - le finalità devono essere sufficientemente inequivocabili e

Le finalità del
chiaramente espresse. L’interessato deve essere messo a conoscenza dei
trattamento motivi per i quali i suoi dati sono trattati
devono essere:
Legittime - le finalità del trattamento devono essere lecite rispetto alla
normativa applicabile e, allo stesso tempo, legittime. Non sono dunque
ammesse finalità contra legem e men che meno finalità lecite ma illegittime

17
 Principi: minimizzazione
GDPR: art. 5, lett. d)
I dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

quali sono i dati essenziali per lo specifico trattamento che si

vuole effettuare
Il titolare del
trattamento, prima
che il trattamento sia effettivamente necessario per il
ancora di raccogliere i
raggiungimento di un determinato scopo particolare, che la finalità
dati, deve procedere ad
non sia raggiungibile con altri mezzi, ragionevolmente applicabili
individuare:
nel contesto di riferimento

La minimizzazione dei dati deve essere prevista fin dalla progettazione del
trattamento in base all’approccio privacy by design e by default
18
 Principi: esattezza
GDPR: art. 5, lett. d)

Art. 5 lett. d)

I dati personali devono essere esatti e, se necessario, aggiornati.

In tal senso, devono essere adottate tutte le misure ragionevoli per cancellare o rettificare
tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»).

I dati trattati non solo devono essere esatti, ma anche aggiornati, ed eventualmente corretti, a
richiesta dell’interessato, nel caso in cui fossero errati.

19
 Principi: conservazione
GDPR: art. 5, lett. e)

Art. 5, lett. e)

I dati personali devono essere conservati in una forma che consenta l’identificazione degli
interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono
trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano
trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o
a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l'attuazione di misure
tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà
dell’interessato («limitazione della conservazione»);

20
 Principi: integrità e riservatezza
GDPR: art. 5, lett. f)

Art. 5 lett. f)

I dati devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali,
compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non
autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e
riservatezza»).

21
Liceità del trattamento - Basi giuridiche
GDPR: art. 6 e considerando 40

Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

Consenso Esecuzione di un contratto

Esecuzione di un e di misure pre-contrattuali
compito di interesse
pubblico o connesso
all’esercizio di pubblici
poteri Interesse vitale
dell’interessato o
di un terzo
Legittimo interesse
Adempimento di
prevalente del titolare
un obbligo legale
o di un terzo
2
2
Basi giuridiche: consenso
GDPR: artt. 6, 7 e 4, par. 11 e considerando da 32, 33, 42, 43

Consenso: “qualsiasi manifestazione Manifestazione

Specifica
di volontà libera, specifica, informata e di volontà libera
inequivocabile dell'interessato, con la
quale lo stesso manifesta il proprio Elementi
assenso, mediante dichiarazione o azione essenziali del
consenso
positiva inequivocabile, che i dati
personali che lo riguardano siano oggetto Inequivocabile
di trattamento.” Informata
dell’interessato

Gruppo di lavoro Articolo 29: Linee guida sul consenso ai sensi del regolamento (UE) 2016/679
[Link]
2
3
Basi giuridiche: esecuzione di un contratto e di misure
pre-contrattuali
GDPR: art. 6 e considerando 44

La necessità del trattamento ai fini dell’esecuzione di un

contratto di cui sia parte l’interessato, ovvero, di misure
precontrattuali adottate su richiesta dell’interessato stesso
costituisce il presupposto di legittimità del trattamento
medesimo.

Insieme al consenso è la sola ipotesi contemplata nell’articolo 6

in cui il trattamento si fonda su una “manifestazione di
volontà dell’interessato”. In questo caso, la manifestazione di
volontà dell’interessato è ovviamente indiretta, ma insita
nell’interesse di questi a concludere il contratto per il quale I suoi
dati personali verranno trattati.

24
Basi giuridiche: adempimento di un obbligo legale
GDPR: art. 6 e considerando 45

L’esecuzione delle operazioni di trattamento è in questo caso

vincolata ad un necessario collegamento fra la disciplina sulla
protezione dei dati personali e la normativa di settore di
ciascuno stato membro o dell’Unione, al fine di evitare il rischio
di possibili antinomie all’interno dell’ordinamento.

Per quanto non sia richiesta una specifica previsione normativa

per avvalersi di tale base giuridica, è vero però che secondo I
requisiti di certezza normativa, chiarezza e precisione della
disposizione che preveda l’obbligo legale, viene garantita
l’effettività all’autodeterminazione informativa dell’interessato.

25
 Basi giuridiche: interesse vitale dell’interessato o di un
terzo
GDPR: art. 6 e considerando 46
WP29 “Opinion 6/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/EC" - Adottate
il 9 aprile 2014

Questa base di liceità rappresenta uno tra i più significativi casi di

bilanciamento degli interessi tra il diritto alla protezione ai dati
personali e la salvaguardia di un altro bene giuridico. In questo caso
prevale l’interesse giuridico di primaria rilevanza costituzionale quale
appunto il diritto alla vita e all’integrità fisica (interesse vitale) dello
stesso interessato o di terzi.

Si precisa però che il ricorso a tale presupposto di legittimità del

trattamento deve ritenersi residuale, vale a dire limitato ai soli casi
nei quali il trattamento non può essere manifestamente fondato su
un’altra base giuridica. 2
Questo progetto è co-finanziato dal
programma Rights, Equality and Citizenship
6
dell’Unione europea
Basi giuridiche: esecuzione di un compito di interesse
pubblico o connesso all’esercizio di pubblici poteri
GDPR: art. 6 e considerando 45 e 46

Il trattamento secondo tale base

giuridica è lecito quando sia effettuato
da soggetti pubblici appunto per fini di
“interesse pubblico”. Vale a dire,
quando l’ente svolge attività funzionali
all’espletamento di compiti Sarà dunque necessario valutare in
istituzionali. via principale il parametro relativo
al grado di funzionalità dell’attività
rispetto al potere esercitato e
l’eventuale possibilità di estendere
in via interpretativa la nozione di
“compito di interesse pubblico”.

27
Esecuzione di un compito di interesse pubblico o
connesso all’esercizio di pubblici poteri
[Link]. 196/2003 (c.d. Codice privacy): art. 2-ter

È sotteso alla disciplina del trattamento dati personali da parte dei soggetti
pubblici se funzionale allo svolgimento di funzioni istituzionali dell’ente.

È deteriminante valutare caso per caso il nesso tra il trattamento e lo

svolgimento di un compito di interesse pubblico o connesso
all’esercizio di pubblici poteri.

28
Esecuzione di un compito di interesse pubblico o
connesso all’esercizio di pubblici poteri
[Link]. 196/2003 (c.d. Codice privacy): art. 2-ter

La valutazione dovrà tener conto del:

- parametro relativo al grado di funzionalità
dell’attività rispetto al potere esercitato;
- e della possibilità di estendere in via interpretativa
la nozione di compito di interesse pubblico.

Il trattamento può ritenersi funzionale

all’esercizio di pubblici poteri o all’esecuzione di
un compito di interesse pubblico anche laddove
non sussista un obbligo legale in senso stretto.

29
Esecuzione di un compito di interesse pubblico o
connesso all’esercizio di pubblici poteri
[Link]. 196/2003 (c.d. Codice privacy): art. 2-ter

La comunicazione di dati diversi da quelli di cui agli artt. 9 e 10

del Regolamento tra titolari è ammissibile se prevista da una
norma di legge o, se previsto dalla legge, di regolamento o se
necessaria per lo svolgimento di funzioni istituzionali, potendo
iniziare una volta che sia decorso il termine di 45 giorni dalla
relativa comunicazione al Garante.

È invece sempre necessaria la norma di legge

o, se previsto dalla legge, di regolamento per la
comunicazione e diffusione di dati.

30
Basi giuridiche: legittimo interesse prevalente del
titolare o di un terzo
GDPR: art. 6 e considerando da 47 a 50

Il titolare del trattamento dovrà compiere alcune valutazioni basate

sul paramentro interpretativo per verificare la sussistenza del suo
legittimo interesse nella misura in cui, l’interesse perseguito con Il
trattamento risulti legittimo e non vi prevalgano invece, esigenze di
tutela dei diritti o delle libertà dell’interessato.

Il titolare dovrà tener conto delle regionevoli aspettative nutrite

dall’interessato al momento e nell’ambito della raccolta dei suoi dati
personali relativamente al trattamento che vuole porre in essere.

3
1
Soggetti: compiti del titolare
GDPR: artt. 4, par. 7, 24 e 26 e considerando da 74 a 79

Il titolare:

- Individua il rischio connesso al trattamento;

- Pone in sicurezza l’attività di trattamento dei dati;
- Mette in atto misure tecniche e organizzative adeguate a garantire che il trattamento è
effettuato conformemente al Regolamento;
- Rilascia l’informativa all’interessato;
- Attende all’esercizio dei diritti dell’interessato;
- Fornisce dimostrazione che il trattamento è effettuato conformemente al Regolamento;
- Nomina il Responsabile del trattamento dei dati;
- Vigila sull’osservanza del contratto di nomina del Responsabile del trattamento dei dati

3
2
Soggetti: compiti del titolare e contitolarità
GDPR: artt. 4, par. 7, 24 e 26 e considerando da 74 a 79

- Compila il registro del trattamento dei dati;

- Nomina il Responsabile della Protezione dei dati (DPO/RPD);
- Coopera con l’Autorità di controllo;
- Notifica l’eventuale violazione dei dati personali (data breach);
- Documenta la violazione dei dati personali (data breach);
- Comunica la violazione dei dati personali (data breach);
- Effettua la «valutazione d’impatto» (DPIA);
- Effettua la «consultazione preventiva».
Contitolarità:
È possibile che coesistano più titolari del trattamento che decidono
congiuntamente di trattare i dati per una finalità comune. In tale caso, i
contitolari devono definire specificamente, con un atto giuridicamente valido,
il rispettivo ambito di responsabilità e i compiti. Gli interessati, però, possono
rivolgersi indifferentemente ad uno qualsiasi dei contitolari.. 3
3
Soggetti: compiti del responsabile del trattamento
GDPR: art. 28 e considerando 81

- Tratta i dati personali soltanto su istruzione documentata del titolare del trattamento;
- Garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla
riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- Adotta tutte le misure richieste in materia di sicurezza del trattamento;
- Rispetta le condizioni previste dalla legge nei casi di ricorso a un altro responsabile del
trattamento;
- Assiste il titolare del trattamento con misure tecniche e organizzative adeguate;
- Assiste il titolare del trattamento nel garantire il rispetto degli obblighi in materia di sicurezza
e di comunicazioni nei casi di violazione di dati personali;
- Su scelta del titolare del trattamento, cancella o restituisce tutti i dati personali dopo che è
terminata la prestazione dei servizi relativi al trattamento e cancella le copie esistenti, salvo
che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
- Mette a disposizione del titolare del trattamento tutte le informazioni necessarie per
dimostrare il rispetto degli obblighi contrattuali e consente e contribuisce alle attività di
revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto
da questi incaricato. 3
4
Soggetti: autorizzati al trattamento

Non c’è una esplicita definizione della figura delle persone autorizzate al trattamento.

Si ricava però dal combinato dall’art. 4.10 del Regolamento UE 2016/679, dove
vengono definite come non “terzo” le persone autorizzate al trattamento dei dati
personali che operano sotto l’autorità diretta del titolare o del responsabile e dall’art.
29 del Regolamento UE 2016/679.

L’art. 29 stabilisce che le persone autorizzate al trattamento dei dati personali non possono
trattare tali dati se non sono istruite in tal senso dal titolare del trattamento, salvo che lo
richieda il diritto dell’Unione o degli stati membri.
3
5
Informativa: contenuto
GDPR: art. 13, par. 1 e considerando 60

a) Identità e dati di contatto del titolare del trattamento (e, ove applicabile, del suo rappresentante);
b) Dati di contatto del responsabile della protezione dei dati (ove applicabile);
c) Finalità del trattamento cui sono destinati i dati personali nonché́ la base giuridica del trattamento;
d) Legittimi interessi perseguiti dal titolare del trattamento o da terzi [qualora il trattamento si basi sull'articolo 6,
paragrafo 1, lettera f)];
e) Eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a
un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel
caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, paragrafo 1, secondo comma, il riferimento alle
garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state
rese disponibili.

INFORMAZIONI CHE IL TITOLARE DEL

TRATTAMENTO FORNISCE ALL’INTERESSATO
3
6
Informativa: contenuto
GDPR: art. 13, par. 2 e considerando 60

.
a) Periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) Esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la
cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro
trattamento, oltre al diritto alla portabilità̀ dei dati;
c) Esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità̀ del trattamento basata sul
consenso prestato prima della revoca [qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure
sull'articolo 9, paragrafo 2, lettera a)];
d) Diritto di proporre reclamo a un'autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione
di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata
comunicazione di tali dati;
f) Esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e,
almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale
trattamento per l'interessato

INFORMAZIONI FORNITE AL FINE DI GARANTIRE UN TRATTAMENTO CORRETTO E TRASPARENTE

Informativa: tempi
GDPR: art. 13 e considerando 61

IL TITOLARE DEL TRATTAMENTO FORNISCE

L’INFORMATIVA
NEL MOMENTO IN CUI OTTIENE I DATI
PERSONALI DALL’INTERESSATO

Qualora il titolare intenda trattare i dati personali già ottenuti per una finalità diversa da quella per cui sono stati
raccolti, prima di tale ulteriore trattamento, fornisce all’interessato:

1) informazioni su tale diversa finalità;

2) ogni ulteriore informazione pertinente di cui all’art. 13, par. 2.
3
8
 Informativa: modalità
GDPR: art. 12

IL TITOLARE DEL TRATTAMENTO ADOTTA MISURE APPROPRIATE PER FORNIRE ALL’INTERESSATO LE INFORMAZIONI
RELATIVE AL TRATTAMENTO:

IN FORMA CONCISA, TRASPARENTE, INTELLIGIBILE E FACILMENTE ACCESSIBILE;

CON LINGUAGGIO SEMPLICE E CHIARO

PER ISCRITTO, CON ALTRI MEZZI - ANCHE ELETTRONICI - OD ORALMENTE [se richiesto
dall’interessato] PURCHE’ SIA COMPROVATA CON ALTRI MEZZI L’IDENTITA’ DELL’INTERESSATO.

LE INFORMAZIONI POSSONO ESSERE FORNITE IN COMBINAZIONE CON ICONE STANDARDIZZATE PER DARE, IN
MODO FACILMENTE VISIBILE, INTELLIGIBILE E CHIARAMENTE LEGGIILE, UN QUADRO D’INSIEME DEL TRATTAMENTO
PREVISTO. SE PRESENTATE ELETTRONICAMENTE LE ICONE SONO LEGGIBILI DA DISPOSITIVO AUTOMATICO.
3
9
 Informativa: modalità
GDPR, considerando 58 e 60

a. se destinate al pubblico attraverso un sito web;

ELETTRONICO

b. in situazioni in cui la molteplicità degli operatori coinvolti e la complessità

FORMATO

tecnologica dell’operazione fanno sì che sia difficile per interessato comprendere se,
da chi e per quali finalità sono raccolti dati personali che lo riguardano, quali la
pubblicità online.

TRATTAMENTO CORRETTO
E TRASPARENTE

PRINCIPIO
Il Titolare del trattamento deve informare l’interessato dell’esistenza del trattamento e
delle sue finalità prendendo in considerazione le circostanze e il contesto specifico in
cui i dati personali sono trattati.
Diritti degli interessati
GDPR: art. 12 e considerando 59
Il Titolare del trattamento agevola l’esercizio dei diritti dell’interessato e non può rifiutare di soddisfare la richiesta dell’interessato al fine
dell’esercizio dei suoi diritti, fatto salvo che il titolare dimostri di non essere in grado di identificare l’interessato.

 il Titolare fornisce le informazioni relative alla richiesta dell’interessato senza giustificato ritardo e, comunque, al più tardi entro 1
mese dal ricevimento della richiesta;
 il Titolare, laddove non riesca a garantire una risposta entro 1 mese, può provvedere entro 2 mesi – se necessario tenuto conto della
complessità e del numero i richieste - previa informativa all’interessato del motivo del ritardo;
 il Titolare se non ottempera alla richiesta dell’interessato lo informa dei motivi dell’inottemperanza e della possibilità di proporre reclamo
a una autorità di controllo e di proporre ricorso giurisdizionale senza ritardo e, comunque, al più tardi entro 1 mese dal ricevimento
della richiesta;
 il Titolare fornisce le informazioni, ove possibile, con mezzi elettronici laddove la richiesta dell’interessato avvenga con detti mezzi, fatta
salva diversa indicazione di quest’ultimo;
 Le richieste dell’interessate sono gratuite;
 Se le richieste dell’interessato sono manifestamente infondate o eccessive (in particolare per il carattere ripetitivo) il Titolare può
alternativamente:
a) addebitare un contributo di spesa ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la
comunicazione o intraprendere l’azione richiesta;
b) rifiutare di soddisfare la richiesta.
Spetta, comunque, al Titolare l’onere di dimostrare il carattere di infondatezza od eccessività della richiesta.
Diritti degli interessati: accesso
GDPR: art. 15 e considerando 63 e 64
L’interessato ha il diritto di ottenere dal titolare del trattamento conferma che sia o meno in corso un
trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso a:

PERIODO CONSERVAZIONE TUTTE LE INFORMAZIONI SULLE ORIGINI

PREVISTO OVVERO I CRITERI DEI DATI
DATI
UTILIZZATI PER
PERSONALI
DETERMINARLO
DIRITTO INTERESSATO DI CHIEDERE
DIRITTO PROPORRE LA RETTIFICA, CANCELLZIONE,
CATEGORIE RECLAMO AUTORITA’ LIMITAZIONE, OPPOSIZIONE
DATI CONTROLLO
4
ESISTENZA PROCESSO
DECISIONALE
FINALITA’
TRATTAMENTO
DESTINATARI [o loro categorie] A CUI I
DATI PERSONALI SONO O SARANNO
2
AUTOMATIZZATO [compresa la
profilazione], LOGICA
COMUNICATI [in particolare se destinatari di UTILIZZATA, IMPORTANZA E
paesi terzi o organizzazioni internazionali]
Questo progetto è co-finanziato dal COSEGUENZE
Diritti degli interessati: rettifica
GDPR: art. 16 e 19 e considerando 31 e 65

L’interessato ha il diritto di ottenere dal titolare del trattamento:

INTEGRAZIONE
RETTIFICA
dei dati personali incompleti, anche fornendo una
dei dati personali inesatti che lo
dichiarazione integrativa, tenuto conto delle finalità̀ del
riguardano senza ingiustificato
trattamento.
ritardo.

IL TITOLARE DEL TRATTAMENTO COMUNICA EVENTUALI RETTIFICHE A CIASCUNO DEI DESTINATARI CUI
SONO STRASMESSI I DATI PERSONALI, SALVO CHE CIO’ SI RILEVI IMPOSSIBILE O IMPLICHI UNO SFORZO
SPROPORZIONATO.

SE L’INTERESSTO LO RICHIEDA IL TITOLARE DEL TRATTAMENTO GLI COMUNICA TALI DESTINATARI.

[TALI COMUNICAZIONI AVVENGONO ANCHE IN CASO DI LIMITAZIONI E CANCELLAZIONE]

4
3
Diritti degli interessati: cancellazione “oblio”
GDPR: art. 17 e considerando 65 e 66

L’Interessato ha il diritto di ottenere dal Titolare del trattamento la cancellazione dei dati personali che lo riguardano
se sussiste uno dei seguenti motivi:

a) i dati personali non sono più̀ necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti
trattati;
b) l'interessato revoca il consenso su cui si basa il trattamento conformemente all'articolo 6, paragrafo 1, lettera a),
o all'articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, par. 1 e 2, e non sussiste alcun motivo
legittimo prevalente per procedere al trattamento;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto
dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento;
f) i dati personali sono stati raccolti relativamente all'offerta di servizi della società dell'informazione di cui
all'articolo 8, par. 1. 4
4
Diritti degli interessati: cancellazione “oblio”
Il Titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del par. 1, a cancellarli,
tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche,
per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di
cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

Il Titolare, comunque, non e tenuto ad applicare le misure di cui ai par. 1 e 2 qualora il trattamento sia
necessario per:
a) l'esercizio del diritto alla libertà di espressione e di informazione;
b) l'adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell'Unione o dello Stato
membro cui è soggetto il titolare del trattamento o per l'esecuzione di un compito svolto nel pubblico interesse
oppure nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
c) motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’art. 9, par. 2, lett. h) e i), e
dell’art. 9, par. 3;
d) fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’art.
89, par. 1, nella misura in cui il diritto di cui al par. 1 rischi di rendere impossibile o di pregiudicare gravemente il
conseguimento degli obiettivi di tale trattamento;
e) l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.
Diritti degli interessati: limitazione
GDPR: art. 18 e considerando 67

a) L’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del
trattamento per verificare l'esattezza di tali dati personali.
In questo caso
IPOTESI DI LIMITAZIONE

 il trattamento, salva la conservazione, avviene soltanto con il consenso dell’interessato o per

l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di
un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno
Stato membro;
 Interessato è informato prima che tale limitazione sia revocata.
b) il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece
che ne sia limitato l’utilizzo;
c) benché il titolare del trattamento non ne abbia più̀ bisogno ai fini del trattamento, i dati personali sono
necessari all'interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede
giudiziaria;
d) L’interessato si è opposto al trattamento ai sensi dell’articolo 21, par. 1, in attesa della verifica in merito
4
all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.

6
Diritti degli interessati: portabilità
GDPR: art. 20 e considerando 68

L’Interessato ha il diritto di:

1) ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano
forniti a un titolare del trattamento;
2) trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti;
3) ottenere, se fattibile tecnicamente, la trasmissione diretta dei dati da un titolare all’altro.
Qualora:
a) il trattamento si basi sul consenso ai sensi dell’art. 6, para. 1, lettera a), o dell’art. 9, par. 2, lett. a), o su un contratto ai sensi
dell’art. 6, par. 1, lett. b);
b) il trattamento sia effettuato con mezzi automatizzati.

 LASCIA IMPREGIUDICATO L’ART. 17

 NON SI APPLICA AL TRATTAMENTO NECESSARIO PER L’ESECUZIONE DI UN COMPITO DI
INTERESSE PUBBLICO O CONNESSO ALL’ESERCIZIO DI PUBBLICI POTERI DI CUI È INVESTITO
IL TITOLARE
 NON DEVE LEDERE I DIRITTI E LE LIBERTA’ ALTRUI 4
7
Diritti degli interessati: opposizione
GDPR: art. 21 e considerando 69 e 70
L’Interessato ha il diritto di opporsi in qualsiasi momento con mezzi automatizzati che utilizzano specifiche tecniche (fatta salva la direttiva
2002/58/CE):
1) al trattamento dei dati personali che lo riguardano per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio
di pubblici poteri di cui sia investito il titolare, compresa la profilazione [per motivi connessi alla sua situazione particolare];
2) al trattamento dei dati personali che lo riguardano per il perseguimento del legittimo interesse del titolare del trattamento
compresa la profilazione [per motivi connessi alla sua situazione particolare];
Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l'esistenza di motivi legittimi cogenti per
procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà. dell'interessato oppure per l'accertamento, l'esercizio o la difesa
di un diritto in sede giudiziaria.

3) al trattamento dei dati per finalità di marketing diretto, compresa la profilazione nella misura in cui sia connessa a tale marketing
diretto

TALE DIRITTO E’ ESPLICITAMENTE PORTATO ALL’ATTENZIONE DELL’INTERESSATO ED E’ PRESENTATO

CHIARAMENTE E SEPARATAMENTE DA QUALSIASI ALTRA INFORMAZIONE AL PIU’ TARDI AL MOMENTO DELLA
PRIMA COMUNICAZIONE CON L’INTERESSATO.
 Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell’art. 89, par. 1, l'interessato, per motivi
connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguardano, salvo se il trattamento è
necessario per l'esecuzione di un compito di interesse pubblico.
4
8
Diritti degli interessati: non essere sottoposti a
decisioni automatizzate
GDPR: art. 22 e considerando 71 e 72
EDPB “Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679" - Adottate il 3
ottobre 2017, riviste e adottate il 6 febbraio 2018

L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la
profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona,
fatto salvo il caso in cui tale decisione:
a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l’interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa
altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;
c) si basi sul consenso esplicito dell'interessato.

Nei casi sub. a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi
dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria
opinione e di contestare la decisione.

Le decisioni di cui sub. a), b) e c) non si basano sulle categorie particolari di dati personali di cui all’art. 9, par. 1, a meno che non
4
sia d'applicazione l’art. 9, par. 2, lett. a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi
interessi dell'interessato.
9
Diritti degli interessati: limitazioni
GDPR: art. 22, par. 1 e considerando 73
a) la sicurezza nazionale;
Il diritto dell’Unione o dello Stato b) la difesa;
membro cui è soggetto il titolare c) la sicurezza pubblica;
del trattamento o il responsabile d) la prevenzione, l'indagine, l'accertamento e il perseguimento di reati o
del trattamento può limitare, l'esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione
di minacce alla sicurezza pubblica;
mediante misure legislative, la e) altri importanti obiettivi di interesse pubblico generale dell'Unione o di uno
portata degli obblighi e dei diritti Stato membro, in particolare un rilevante interesse economico o finanziario
di cui agli articoli da 12 a 22 nella dell'Unione o di uno Stato membro, anche in materia monetaria, di bilancio e
misura in cui le disposizioni ivi tributaria, di sanità pubblica e sicurezza sociale;
contenute corrispondano ai diritti f) la salvaguardia dell'indipendenza della magistratura e dei procedimenti
e agli obblighi di cui agli articoli giudiziari;
da 12 a 22, qualora tale g) le attività volte a prevenire, indagare, accertare e perseguire violazioni della
limitazione rispetti l'essenza dei deontologia delle professioni regolamentate;
h) una funzione di controllo, d'ispezione o di regolamentazione connessa, anche
diritti e delle libertà fondamentali occasionalmente, all'esercizio di pubblici poteri nei casi di cui alle lettere da a),
e sia una misura necessaria e a e) e g);
proporzionata in una società
democratica per salvaguardare:
i) la tutela dell'interessato o dei diritti e delle libertà altrui; 5
j) l'esecuzione delle azioni civili.
0
Diritti degli interessati: limitazioni
GDPR: art. 23, par. 2 e considerando 73

Qualsiasi misura legislativa di cui al par. 1 contiene DISPOSIZIONI SPECIFICHE riguardanti almeno, se
del caso:
portata delle categorie di dati finalità del trattamento
limitazioni personali o categorie di
introdotte trattamento
indicazione precisa garanzie per
del titolare del prevenire abusi o
il diritto degli trattamento o delle l'accesso o il
trasferimento illeciti rischi per i
interessati di essere categorie di titolari
diritti e le
informati della
libertà degli
limitazione, a meno periodi di conservazione e le garanzie interessati
che ciò possa applicabili tenuto conto della natura,
compromettere la dell'ambito di applicazione e delle finalità del
finalità della stessa. trattamento o delle categorie di trattamento
Accountability e approccio basato sul rischio
Il GDPR non ha solo ampliato i diritti riconosciuti all’interessato, ma si è concentrato sulla maggiore
responsabilizzazione dei soggetti coinvolti nel trattamento dei dati personali, mostrando grande interesse
al tema della data security.
Il GDPR adotta taluni “strumenti” al fine di rafforzare la tutela dei dati e la responsabilizzazione del
Titolare e del Responsabile del trattamento:
• sancisce il principio di accountability (Art. 5, par. 2);
• sancisce i principi della privacy by design e della privacy by default;
• Prevede la tenuta del Registro dei trattamenti;
• richiede d’implementare adeguate misure di sicurezza, tenendo in considerazione le tipologie di
operazioni svolte e i relativi livelli di rischio, affinché non si verifichino violazioni dei dati;
• introduce la figura del Data Protection Officer.
Il principio di accountability ambisce a realizzare il passaggio da una concezione di adempimento formale
della normativa privacy, ad un approccio sostanziale di protezione dei dati, connesso alla natura delle
5 alle
attività concretamente svolte, all’analisi dei rischi e alle misure di sicurezza che risultino adeguate
singole fattispecie. 2
Accountability e approccio basato sul rischio: privacy by
design e privacy by default
GDPR: art. 25, par. 1 e considerando da 75 a 78

Privacy by design
Il principio di privacy by design impone un’attenta riflessione in tema di protezione dei dati personali sin dal momento
della progettazione del processo di raccolta e di utilizzo dei dati personali, dunque prima che il trattamento venga
avviato.

In tal modo si ambisce a realizzare un trattamento che soddisfi sin dall’inizio i requisiti del GDPR e che tuteli al meglio
i diritti degli interessati. Simile impostazione, piuttosto che delineare un approccio reattivo basato prevalentemente su
interventi ex post, punta alla realizzazione di un approccio proattivo di tutela dei dati personali.

Il titolare del trattamento mette in atto misure tecniche e organizzative sia al momento di determinare i mezzi del
trattamento sia durante l’esecuzione del trattamento stesso, tenendo conto:
• del quadro complessivo in cui il trattamento si colloca (stato dell’arte, costi di attuazione, natura, ambito di
applicazione, contesto e finalità del trattamento);
• della probabilità e della gravità dei rischi che possono scaturire per i diritti e le libertà degli interessati.
5
3
Accountability e approccio basato sul rischio: privacy by design
e privacy by default
GDPR: art. 25, par. 2 e considerando da 75 a 78

Privacy by default
Il principio di privacy by default riconosce una protezione dei dati per impostazione predefinita. Ciò comporta che
devono essere trattati solo i dati personali necessari per le finalità previste dal trattamento e per il periodo
strettamente necessario al loro conseguimento.

In questo senso, il principio di privacy by default è strettamente legato al principio di minimizzazione (Art. 5 GDPR)
prevedendo che qualsiasi sistema che tratti dati personali deve essere progettato affinché raccolga ed utilizzi
unicamente i dati necessari per perseguire la specifica finalità predeterminata.

L’obbligo di minimizzare il trattamento dei dati per impostazione predefinita riguarda:

• la quantità dei dati raccolti
• la portata del trattamento
• il periodo di conservazione
• l’accessibilità
5
4
Accountability e approccio basato sul rischio: registro
dei trattamenti
GDPR: art. 30 e considerando 82

Il Registro dei trattamenti è uno strumento essenziale per una assicurare un adeguato
e continuo rispetto del GDPR.
Il Registro si configura come un utilissimo strumento di accountability poiché consente al titolare di avere:
• una completa ricognizione e valutazione dei trattamenti svolti;
• un prospetto complessivo delle analisi del rischio relative ai trattamenti svolti;
• una corretta pianificazione dei trattamenti;

Il Registro si configura inoltre come strumento di compliance alla normativa poiché deve essere esibito in caso
di verifiche da parte dell’Autorità di vigilanza

L’onere di tenere il Registro dei trattamenti è posto in capo al titolare e, se nominato, al responsabile del
trattamento.
Il Registro può essere tenuto sia in forma scritta che in formato elettronico, deve essere soggetto ad un 5
costante aggiornamento.
5
Accountability e approccio basato sul rischio: registro
dei trattamenti
GDPR: art. 30 e considerando 82

Contenuti (minimi) del Descrizione

Registro dei trattamenti: generale delle
Finalità del misure di sicurezza
trattamento
Ove applicabile, i Esecuzione di un
trasferimenti di dati Nome e dati di contatto
compito di interesse
personali extra UE del titolare e, se nominati,
pubblico o connesso
del contitolare, del
all’esercizio di
rappresentante e del DPO
pubblici poteri
Descrizione delle
categorie di Destinatari cui i dati Termini previsti per la
interessati e di dati sono stati o saranno cancellazione delle
personali comunicati diverse categorie di 5
dati
6
Accountability e approccio basato sul rischio: registro
dei trattamenti
GDPR: art. 30, par. 5
WP29 "Position paper on the derogations from the obligation to maintain records of processing activities
pursuant to Article 30(5) GDPR" – 19 aprile 2018

Nonostante sia vivamente consigliato per il titolare del trattamento tenere un proprio
Registro dei trattamenti, vi sono dei casi in cui simile tenuta non è prevista come
obbligatoria.

NON è obbligatoria la tenuta

del Registro dei trattamenti
• il trattamento svolto possa presentare un rischio, anche
per non elevato, per i diritti e le libertà dell’interessato
• il trattamento non sia occasionale
le imprese o le organizzazioni con
• il trattamento coinvolga categorie particolari di dati ex
meno di 250 dipendenti che art. 9 oppure dati relativi a condanne penali e a reati5ex
trattano dati personali, a meno art. 10
che 7
Accountability e approccio basato sul rischio: registro
dei trattamenti
Il Garante per la protezione dei dati personali con un comunicato stampa dell’8 ottobre 2018 ha
messo a disposizione delle "FAQ sul registro delle attività di trattamento":
[Link]
Le FAQ del Garante contengono una serie di ulteriori precisazioni:
• sulle misure di semplificazione di cui possono godere le PMI;
• sulla categoria delle “organizzazioni” di cui all’art. 30, par. 5, rientrandovi anche le associazioni, le fondazioni e i
comitati;
• sui soggetti tenuti all’obbligo di redazione del registro come, ad esempio:
- esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi,
piccola distribuzione, etc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici,
tatuatori etc.);
- liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o
reati (es. commercialisti, avvocati, notai, farmacisti, medici in generale etc.)
- associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penale o
reati (i.e. organizzazioni di tendenza, associazioni a tutela di soggetti c.d “vulnerabili”, associazioni che perseguono
finalità di prevenzione e contrasto delle discriminazioni; associazioni sportive con riferimento ai dati sanitari etc.)
- il condomionio ove tratti “categorie particolari di dati”(es. delibere per interventi volti al superamento di barriere
5
architettoniche etc.) 8
Accountability e approccio basato sul rischio: misure di
sicurezza
Il criterio del rischio inerente al trattamento è uno dei criteri fondamentali che il titolare tiene in
considerazione nella gestione dei propri obblighi derivanti dal GDPR.
Se il rischio
Se all’esito della
residuo risulta
DPIA permane
tale da poter
Minimizzazione livello di rischio per
Valutazione del prospettare un
del rischio la persona fisica che
rischio rischio elevato
attraverso le non può essere
intrinseco per i diritti e le
adeguate minimizzato, si
connesso al libertà della
misure di effettua la
trattamento persona fisica, si
sicurezza consultazione
concretamente avvia una
tecniche o preventiva per
posto in essere Valutazione
organizzative confrontarsi con
(Art. 32) d’impatto sul
(Art. 32) l’Autorità di
trattamento
controllo
(c.d. DPIA)
(Art. 36)
(Art. 35)
5
Qualora avvenga una violazione dei dati (c.d. data breach), a seconda dei casi, se
Questo progetto è co-finanziato dal
ne dà notizia all’Autorità di controllo e agliEquality
programma Rights, interessati coinvolti (artt. 33 - 34).
and Citizenship 9
dell’Unione europea
Accountability e approccio basato sul rischio: misure di
sicurezza
L’art. 32 del GDPR dispone che: «tenendo conto dello stato dell’arte e dei costi di attuazione,
della natura, dell’oggetto, del contesto e delle finalità del trattamento come del rischio di varia
probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare ed il responsabile del
trattamento mettono in atto misure tecniche e organizzative adeguate per garantire
un livello di sicurezza adeguato al rischio».

Con il termine rischio si intende la probabilità che si verifichino impatti negativi sui diritti e le libertà degli
interessati.
In particolare, i rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse,
possono derivare da trattamenti di dati personali suscettibili di cagionare:
• danni fisici
A titolo esemplificativo, dal trattamento possono derivare:
• danni materiali • discriminazioni
• danni immateriali • furto o usurpazione d’identità
•
•
perdite finanziarie
pregiudizio alla reputazione
6
0
Accountability e approccio basato sul rischio: misure di
sicurezza
Nel valutare l’adeguatezza del livello di sicurezza si deve tener conto dei rischi che derivano da:
• distruzione accidentale o illegale
• perdita
• modifica
• divulgazione non autorizzata
• accesso accidentale o illegale ai dati personali trasmessi, conservati o comunque elaborati

Le misure di sicurezza possono essere  tecniche e organizzative

 la pseudonimizzazione
 la cifratura dei dati personali
A titolo
 la capacità di assicurare su base permanete la riservatezza, l’integrità, la disponibilità e
esemplificativo,
la resilienza dei sistemi e dei servizi di trattamento
l’art. 32 riporta
 la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati
alcune misure
personali in caso di incidente fisico o tecnico
di sicurezza
 una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure 6
tecniche e organizzative al fine di garantire la sicurezza del trattamento
1
Accountability e approccio basato sul rischio: misure di
sicurezza

Il titolare e il responsabile del trattamento, al fine di dimostrare la messa in atto di

opportune misure di sicurezza e la corretta individuazione del rischio connesso al
trattamento e delle migliori prassi per attenuarlo, può avvalersi di differenti elementi
(considerando 77):
• indicazioni fornite dal DPO
• adozione di codici di condotta approvati
• adozione di certificazioni approvate
• linee guida fornite dall’EDBP

L’EDPB può pubblicare linee guida sui trattamenti che si ritiene

improbabile possano presentare un rischio elevato per i diritti e le
libertà delle persone fisiche e indicare quali misure possono essere 6
sufficienti in tali casi per far fronte a tale rischio.
2
Accountability e approccio basato sul rischio:
violazioni dei dati personali (data breach)
GDPR: artt. 4 – 33 – 34 e considerando da 85 a 88

Violazione dei dati personali (c.d. data breach) definita dall’art. 4 par. 12 GDPR
come «la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione,
la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi,
conservati o comunque trattati».

Il titolare deve documentare qualsiasi data breach avvenuto, le circostanze e le

conseguenze ad esso relativo, e i provvedimenti adottati per porvi rimedio.
Si tentare di prevenire
un data breach Autorità di controllo
A seconda dei casi, qualora si
ponendo in essere le verifichi un data breach, bisogna (Art. 33 GDPR)
adeguate misure di darne comunicazione
sicurezza di cui all’art. a: Interessati coinvolti
32 GDPR. (Art. 34 GDPR) 6
3
Accountability e approccio basato sul rischio:
violazioni dei dati personali (data breach)
GDPR: artt. 4 – 33 – 34 e considerando da 85 a 88

Il GDPR ha evidenziato che un data breach, se non affrontato in modo adeguato e tempestivo, può
provocare danni fisici, materiali o immateriali alle persone fisiche.
Tra le tipologie di dati:

• perdita di controllo dei dati personali;

• limitazione dei diritti;
• discriminazione;
• furto o usurpazione di identità;
• perdite finanziarie;
• decifratura non autorizzata della pseudonimizzazione;
• pregiudizio alla reputazione;
•
•
perdita di riservatezza dei dati protetti da segreto professionale;
in generale, qualsiasi danno economico o sociale significativo per la persona fisica.
6
4
Accountability e approccio basato sul rischio:
violazioni dei dati personali (data breach)
GDPR: art. 33 e considerando 85, 87 e 88
WP29 "Guidelines on Personal data breach notification under Regulation 2016/679" - Adottate 3 ottobre 2017, riviste 6 febbraio 2018
Notifica di un Se il titolare è in grado di dimostrare che sia improbabile un
data breach No rischio per i diritti e le libertà delle persone fisiche derivante
all’Autorità di dal data breach.
controllo
Se il data breach presenta un rischio per i diritti e le libertà delle persone fisiche,
Si il titolare notifica la violazione all’Autorità di controllo senza ingiustificato
ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a
conoscenza.
Tempo
Qualora la notifica all’Autorità di controllo non sia effettuata entro le 72 ore, la
notifica dovrà contenere l’indicazione dei motivi del ritardo.
Contenuto
Se il data breach interessa le attivita poste in essere dal responsabile 6del
trattamento, quest’ultimo informa il titolare senza ingiustificato ritardo dopo
essere venuto a conoscenza dal data breach. 5
Accountability e approccio basato sul rischio:
violazioni dei dati personali (data breach)
GDPR: art. 33 e considerando 85, 87 e 88
WP29 "Guidelines on Personal data breach notification under Regulation 2016/679" - Adottate 3 ottobre 2017, riviste 6 febbraio 2018
Notifica di un
data breach
all’Autorità di Il GDPR richiede che la notifica all’Autorità di controllo contenga:
controllo • descrivere la natura del data breach, comprese le categorie e il numero di
interessati coinvolti, nonché le categorie e il numero di registrazioni dei dati
Si personali in questione;
• i dati di contatto del soggetto a cui rivolgersi per maggiori informazioni;
Tempo • le probabili conseguenze derivanti dal data breach;
• le misure adottate o in corso di adozione per rimediare al data breach e per
attenuarne le conseguenze negative.
Contenuto
Qualora non sia possibile fornire le informazioni contestualmente, le informazioni possono
essere fornite in fasi successive senza ingiustificato ritardo.
6
6
Accountability e approccio basato sul rischio:
violazioni dei dati personali (data breach)
GDPR: art. 34 e considerando 86, 87 e 88
WP29 "Guidelines on Personal data breach notification under Regulation 2016/679" - Adottate 3 ottobre 2017, riviste 6 febbraio 2018
Notifica di un Se sussiste un rischio elevato per i diritti e le libertà delle persone fisiche.
Data Breach Si
In tal caso, senza giustificato ritardo, il Titolare deve dare notizia all’interessato
all’interessato dell’avvenuto data breach in forma chiara e facilmente comprensibile.
La notifica deve indicare:
• i dati di contatto del soggetto a cui rivolgersi per maggiori informazioni;
No • le probabili conseguenze derivanti dal data breach;
• le misure adottate o in corso di adozione per rimediare al data breach e per
attenuarne le conseguenze negative.

 se il titolare aveva adottato le misure tecniche e organizzative adeguate di protezione con

riferimento ai dati oggetto del data breach;
 se il titolare dopo la violazione ha adottato misure atte a scongiurare un rischio elevato per i diritti
e libertà dell’interessato derivante dal data breach; 6
 se la notifica richiederebbe uno sforzo sproporzionato per il titolare. In tal caso, si adottato
Questo progetto è co-finanziato dal
modalità alternative per dare notizia dell’avvenuto dataEquality
programma Rights, breach and (es. comunicazione pubblica).
Citizenship
7
Accountability e approccio basato sul rischio: valutazione
di impatto
GDPR: art. 35 e considerando 84, da 89 a 93 e 95

Valutazione di impatto (c.d. DPIA): rappresenta un “percorso obbligatorio” che il GDPR ha previsto per
tutte le forme di trattamento particolarmente rischiose.

Si configura come una misura preventiva inerente il risk assessment che ogni titolare del trattamento è tenuto ad
effettuare sulla base della natura, dell’oggetto, del contesto e delle finalità del trattamento, proprio al fine di individuare
i rischi che ne possono derivare e, quindi, i mezzi e gli strumenti da adottare per contrastare tali rischi.
Si tratta di uno strumento per potenziare il rispetto del GDPR, posto che l’esito della valutazione deve essere preso in
considerazione nel determinare le opportune misure da adottare al trattamento dei dati personali.

La DPIA è strumento determinante in termini di responsabilizzazione (accountability) in quanto aiuta il titolare:

• a rispettare le prescrizioni del GDPR;
• a dimostrare l’adozione di misure idonee a garantire il rispetto della normativa.
6
8
Accountability e approccio basato sul rischio:
valutazione di impatto
GDPR: art. 35 e considerando 84, da 89 a 93 e 95

L’obbligo di condurre una DPIA, in determinate circostanze, deve collocarsi nel più generale contesto degli
obblighi imposti ai titolari di gestire correttamente i rischi connessi al trattamento di dati personali.

Secondo il WP29 per rischio si intende: “uno scenario che descrive un evento e le sue conseguenze stimate in termini di gravità
e probabilità”.
Rispetto al dettato di cui all’art. 35, il WP29 chiarisce che, con riguardo ad un approccio basato sul rischio, nel
contesto giuridico della protezione dei dati, il riferimento ai “diritti e le libertà” degli interessati va inteso in primis
come relativo al diritto alla privacy delle persone.
Tuttavia, il riferimento ai “diritti e le libertà” può riguardare anche altri diritti fondamentali quali:
• la libertà di espressione e di pensiero
• la libertà di movimento
• il divieto di discriminazioni
• il diritto alla libertà di coscienza e di religione 6
9
Accountability e approccio basato sul rischio:
valutazione di impatto
GDPR: art. 35 e considerando 84, da 89 a 93 e 95

Il GDPR valutazione sistematica e globale di aspetti personali basata su un trattamento

automatizzato, compresa la profilazione, sulla quale si fondano decisioni che
contempla
producono effetti significativi sul piano giuridico o personale
espressamente 3
casi al verificarsi dei trattamento su larga scala di categorie particolari di dati personali o di dati
quali l’esecuzione relativi a condanne penali e a reati
della DPIA è
obbligatoria sorveglianza sistematica su larga scala di una zona accessibile al pubblico

E’ tuttavia lasciato alle Autorità di controllo il compito di redigere un elenco delle tipologie di trattamenti da
sottoporre alla DPIA. (L’elenco redatto dal Garante italiano:
[Link]

7 una
L’Autorità di controllo può inoltre redigere un elenco delle tipologie di trattamenti per le quali non è richiesta
DPIA. 0
Accountability e approccio basato sul rischio:
valutazione di impatto
GDPR: art. 35 e considerando 84, da 89 a 93 e 95
WP29 "Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento possa
presentare un rischio elevato ai sensi del regolamento 2016/679" - Adottate il 4 aprile 2017, modificate e adottate il 4 ottobre 2017

I casi espressamente indicati dall’art. 35 non sono le uniche ipotesi in cui è necessario lo svolgimento di una
DPIA. Infatti la DPIA deve essere effettuata ogni volta in cui un trattamento presenti un rischio elevato per i
diritti e le libertà della persona fisica. 1. Valutazione o assegnazione di un punteggio
2. Processo decisionale automatizzato che ha effetto giuridico o incide in
modo analogo significativamente
Il WP29 ha suggerito 9 criteri da 3. Monitoraggio sistematico
utilizzare per valutare se svolgere o 4. Dati sensibili o dati aventi carattere altamente personale
5. Trattamento di dati su larga scala
meno una DPIA.
6. Creazione di corrispondenze o combinazione di insiemi di dati
In generale, il WP29 suggerisce di 7. Dati relativi a interessati vulnerabili
svolgere una DPIA laddove 8. Uso innovativo o applicazione di nuove soluzioni tecnologiche od
concorrano almeno 2 criteri relativi organizzative
al trattamento. 7
9. Quando il trattamento in sé impedisce agli interessati di esercitare un
diritto o di avvalersi di un servizio o di un contratto
1
Accountability e approccio basato sul rischio:
valutazione di impatto
GDPR: art. 35 e considerando 84, da 89 a 93 e 95

Il titolare del trattamento, coadiuvato dalla figura del Data protection officer, effettua l’analisi delle criticità del
trattamento, redigendo un documento che contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle loro finalità, compreso, ove applicabile, l’interesse
legittimo perseguito dal titolare del trattamento

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità

c) una valutazione dei rischi per i diritti e le libertà degli interessati

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per
garantire la protezione dei dati personali e dimostrare la conformità alla normativa, tenuto conto dei diritti e
degli interessi legittimi degli interessati e delle altre persone in questione 7
2
Accountability e approccio basato sul rischio:
valutazione di impatto
GDPR: art. 35 e considerando 84, da 89 a 93 e 95

Spetta al titolare del trattamento effettuare tali valutazioni individuando le misure idonee per attenuare il rischio
(accountability).

La valutazione del rischio e l’idoneità delle misure dipendono infatti dal contesto del trattamento.

La pseudonimizzazione e la cifratura dei dati personali, la minimizzazione o i meccanismi di controllo non

costituiscono necessariamente misure idonee.

L’idoneità delle misure dipende dal contesto e dai rischi specifici dei singoli trattamenti.

Il titolare tiene conto dello stato dell’arte (conoscenze anche tecnologiche disponibili) e dei costi di attuazione.

Il titolare può tener conto anche delle indicazioni, ove esistenti, del Comitato europeo per la protezione dei dati
personali. 7
3
Accountability e approccio basato sul rischio:
consultazione preventiva
GDPR: art. 36 e considerando da 94 a 96

Consultazione preventiva: laddove gli esiti della DPIA conducano all’individuazione di un rischio
elevato in assenza di misure idonee ad attenuare le conseguenze pregiudizievoli (permanenza di un rischio residuo
elevato per le persone fisiche), il titolare del trattamento consulta l’Autorità di controllo prima di procedere al
trattamento.
La consultazione dell’Autorità di controllo è necessaria anche qualora il diritto di uno Stato
membro preveda l’obbligo di consultare e/o ottenere la previa autorizzazione dell’Autorità stessa
in rapporto a trattamenti svolti dal titolare per l’esecuzione di compiti nell’interesse pubblico, tra
cui: trattamenti connessi alla protezione sociale; trattamenti connessi alla sanità pubblica.

Se l’Autorità di controllo ritiene che il trattamento violi il GDPR, non avendo il titolare del trattamento attenuato
sufficientemente il rischio, fornisce al titolare un parere scritto entro un termine di 8 settimane dal ricevimento
della richiesta di consultazione (prorogabile di 6 settimane se trattamento di elevata complessità) e può avvalersi
dei poteri di cui all’articolo 58 GDPR.
La decorrenza dei termini per esprimere il parere può essere sospesa fintantoché l’Autorità non abbia ottenuto 7 le
informazioni necessarie ai fini della consultazione.
4
Accountability e approccio basato sul rischio:
consultazione preventiva
GDPR: art. 36 e considerando da 94 a 96
Al momento della consultazione il titolare del trattamento deve comunicare all’Autorità di controllo
per lo meno alcune informazioni affinché l’Autorità possa svolgere le proprie valutazioni:

a) ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del
trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento
nell'ambito di un gruppo imprenditoriale
b) le finalità e i mezzi del trattamento previsto
c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del
GDPR
d) ove applicabile, i dati di contatto del Data protection officer
e) la DPIA di cui all’articolo 35
f) ogni altra informazione richiesta dall’Autorità di controllo 7
5
Accountability e approccio basato sul rischio:
consultazione preventiva
GDPR: art. 36 e considerando da 94 a 96

L’Autorità di controllo nel fornire consulenza al titolare può richiedere tutte le necessarie ed ulteriori
informazioni, tenendo conto del contenuto della richiesta del titolare e indicare le misure ulteriori
eventualmente da implementare a cura del titolare e può, ove necessario, adottare tutte le misure
correttive ai sensi dell’art. 58 GDPR.
L’Autorità di controllo può esercitare:
• poteri investigativi
• poteri consultivi
• poteri correttivi
In particolare può rivolgere ammonimenti ove il trattamento abbia violato le disposizioni del GDPR.
Può imporre una limitazione provvisoria o definitiva del trattamento, incluso, come extrema ratio vietare
il trattamento stesso. 7
6
Accountability e approccio basato sul rischio:
consultazione preventiva
Il mancato o il non corretto svolgimento di una DPIA o la mancata consultazione
Violazione preventiva della Autorità di controllo possono comportare l’irrogazione di una sanzione
degli artt. 35 e amministrativa pecuniaria fino ad un massimo di 10 milioni di euro ovvero, se si tratta
36 GDPR di una impresa, fino al 2% del fatturato mondiale totale annuo dell’esercizio finanziario
precedente, se superiore (ex art. 83, par. 4).

L’art. 35 (valutazione di impatto) e l’art. 36 (consultazione preventiva dell’autorità di

controllo) incontrano una deroga nel caso in cui il legislatore abbia previsto
un’autonoma base giuridica per una particolare tipologia di trattamento come previsto
Deroga agli
dall’art. 6, par. 2 per i trattamenti necessari ad adempiere un obbligo legale al quale è
artt. 35 e 36 soggetto il titolare o per l’esecuzione di compiti di interesse pubblico (art. 6 par. 1 lett.
GDPR c) ed e).
In tali ipotesi gli artt. 35 e 36 non si applicano se la DPIA è stata già effettuata, sempre
che gli Stati membri non ne considerino comunque necessario l’adempimento.
77
Accountability e approccio basato sul rischio:
DPO
GDPR: art. 37 e considerando 97
Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico
[Link]

a) il trattamento è effettuato da un’autorità pubblica o da un

organismo pubblico, eccettuate le autorità giurisdizionali quando
Il titolare e il esercitano le loro funzioni giurisdizionali.
responsabile del b) le attività principali del titolare o del responsabile del
trattamento designano trattamento consistono in trattamenti che, per loro natura,
un responsabile della ambito di applicazione e/o finalità, richiedono il monitoraggio
protezione dei dati regolare e sistematico degli interessati su larga scala.
(c.d. DPO) c) le attività principali del titolare del trattamento o del
ogniqualvolta: responsabile del trattamento consistono nel trattamento, su larga
scala, di categorie particolari di dati personali di cui all’articolo 9
o di dati relativi a condanne penali e a reati di cui all’articolo 10.

78
Accountability e approccio basato sul rischio:
DPO
GDPR: art. 37 e considerando 97
Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico
[Link]

• Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati, a condizione che un
responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento.
• Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo
pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o
organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione.

Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della
conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i
compiti di cui all’articolo 39.
Il responsabile della protezione dei dati può essere un dipendente del titolare del trattamento o del
responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi.
Il titolare del trattamento o il responsabile del trattamento pubblica i dati di contatto del responsabile della protezione
dei dati e li comunica all’Autorità di controllo.
79
Accountability e approccio basato sul rischio:
DPO
GDPR: art. 38 e considerando 97
Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico
[Link]

si assicurano che il responsabile della

Il titolare e il protezione dei dati non riceva alcuna
si assicurano che il istruzione per quanto riguarda
responsabile
responsabile della protezione l'esecuzione di tali compiti. Il
del responsabile della protezione dei dati
dei dati sia tempestivamente e trattamento:
adeguatamente coinvolto in non è rimosso o penalizzato dal
tutte le questioni riguardanti la titolare del trattamento o dal
protezione dei dati personali. responsabile del trattamento per
l'adempimento dei propri compiti.
Il responsabile della protezione dei dati
sostengono il responsabile della protezione dei dati nell’esecuzione riferisce direttamente al vertice
dei compiti di cui all’articolo 39 fornendogli le risorse necessarie gerarchico del titolare del trattamento
per assolvere tali compiti e accedere ai dati personali e ai o del responsabile del trattamento.
trattamenti e per mantenere la propria conoscenza specialistica.
80
Accountability e approccio basato sul rischio:
DPO
GDPR: art. 38 e considerando 97
Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico
[Link]

• Gli interessati possono contattare il responsabile della protezione dei dati per tutte le
questioni relative al trattamento dei loro dati personali e all'esercizio dei loro diritti derivanti dal
presente regolamento.

• Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito
all'adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.

• Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare
del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano
adito a un conflitto di interessi.
8
1
Accountability e approccio basato sul rischio:
DPO
GDPR: art. 39 e considerando 97
Il responsabile della protezione dei dati è incaricato almeno dei seguenti COMPITI:

a) informare e fornire consulenza al titolare o al responsabile del trattamento nonché ai dipendenti che eseguono il
trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli
Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla
protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di
protezione dei dati personali, compresi l'attribuzione delle responsabilità , la sensibilizzazione e la formazione del
personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo
svolgimento (art. 35);

d) cooperare con l’Autorità di controllo;

e) fungere da punto di contatto per l’Autorità di controllo per questioni connesse al trattamento, tra cui la
consultazione preventiva (v. art. 36), ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
8
2
Accountability e approccio basato sul rischio:
codici di condotta e certificazioni
Il principio di accountability introdotto dal GDPR impone al titolare/responsabile due tipologie di invertenti:
l’adozione di misure tecniche e organizzative che minimizzino i rischi legati al trattamento dei dati; la
dimostrazione di aver fatto il possibile per evitare di incorrere in una violazione della normativa.
Al fine di perseguire gli interventi sopra richiamati, il GDPR prevede taluni strumenti di cui il
titolare/responsabile può avvalersi facoltativamente:

• Codici di condotta, strumento già presente all’interno della precedente normativa. Danno
l’opportunità di adattare l’attuazione del GDPR alle peculiarità che interessano settori specifici, declinando
meglio quanto previsto dalla disciplina ed individuano best practices. I codici si configurano come
strumenti di co-regolazione.

• Certificazioni, strumento inedito rispetto al passato, che si configura in un’attestazione che dimostri il
rispetto di specifici criteri in linea con la normativa. Rilevante è l’impatto che potrà assumere tale
strumento per le aziende, configurandosi come elemento in grado di ingenerare fiducia nei consumatori
8
La formulazione di codici di condotta e certificazioni è incoraggiata dagli Stati membri, dalle Autorità di controllo, dall’EDPB
e dalla Commissione europea. 3
Accountability e approccio basato sul rischio:
codici di condotta
GDPR: artt. 40 e 41 e considerando 98, 99, 167, 168
EDPB “Linee guida 1/2019 in materia di Codici di Condotta" - Adottate il 12 febbraio 2019, in corso di consultazione pubblica

I codici di condotta sono uno strumento attraverso cui è possibile

dimostrare la conformità al GDPR. Assumono valenza probatoria
Codici di 1 con riferimento al rispetto degli obblighi imposti al
condotta titolare/responsabile e con riferimento all’adozione di misure tecniche
ed organizzative adeguate a garantire la sicurezza dei trattamenti.
L’adesione a codici di condotta è un elemento che viene tenuto in
2 considerazione nell’eventuale processo di determinazione di sanzioni
Funzioni amministrative pecuniarie ex art. 83 GDPR.

3 I codici di condotta costituiscono una garanzia adeguata per il

trasferimento di dati personali extra UE ex art. 46 GDPR.
8
4 I codici di condotta sono tenuti in considerazione nello svolgimento
Questo progetto è co-finanziato dal
della valutazioneprogramma
di impatto del and
Rights, Equality trattamento
Citizenship ex art 35 GDPR. 4
Accountability e approccio basato sul rischio:
codici di condotta
GDPR: artt. 40 e 41 e considerando 98, 99, 167, 168
EDPB “Linee guida 1/2019 in materia di Codici di Condotta" - Adottate il 12 febbraio 2019, in corso di consultazione pubblica

L’attività di elaborazione/modifica di codici di condotta spetta ad associazioni ed organismi

rappresentanti le categorie di titolari o responsabili del trattamento.

Trattamento corretto e Raccolta di dati personali Pseudonimizzazione

trasparente
Possibili Informative al pubblico e Notifica data breach Protezione dei minori
contenuti agli interessati
dei codici Procedure per assicurare i Esercizio dei diritti degli Trasferimento di dati in
principi di privacy by design interessati Paesi extra UE
(A titolo esemplificativo)
e by default

L’EDBP tiene un registro dei codici di condotta esistenti e li rende pubblici. 8

5
Accountability e approccio basato sul rischio:
codici di condotta
GDPR: artt. 40 e 41 e considerando 98, 99, 167, 168
EDPB “Linee guida 1/2019 in materia di Codici di Condotta" - Adottate il 12 febbraio 2019, in corso di consultazione pubblica

Ipotesi in cui il codice si riferisce ad attività di trattamento circoscritte ad un solo

Stato membro.
La proposta di elaborazione/modifica del un codice è rivolta all’Autorità di
Nazionale
controllo nazionale che esprime in merito un proprio parere.
Qualora il parere risulti positivo, si procede all’approvazione, alla registrazione ed
Tipologie alla pubblicazione del codice.
di codici: Ipotesi in cui il codice si riferisce ad attività di trattamento che interessano vari
Stati membri.
A seconda della La proposta di elaborazione/modifica di un codice è rivolta all’Autorità di
tipologia cambia la
controllo nazionale che, prima di approvare il progetto, lo sottopone al Comitato
portata ed il Europeo
europeo per la protezione dei dati (c.d. EDPB) attraverso il meccanismo di
procedimento di
approvazione coerenza previsto nel GDPR. Se l’EDPB fornisce parere favorevole, il progetto è
trasmesso alla Commissione europea che può decidere di riconoscere al8codice
una validità generale all’interno dell’Unione.
6
Accountability e approccio basato sul rischio:
controllo dei codici di condotta approvati
GDPR: artt. 40 e 41 e considerando 98, 99, 167, 168
Chi monitora Autorità di controllo Accreditati dall’Autorità
di controllo.
i codici di
condotta? Organismi accreditati Non monitorano i
trattamenti effettuati da
autorità pubbliche.

Condizioni affinchè l’Organismo possa ricevere l’accreditamento: Le Autorità di controllo,

• Qualità preesistenti: siano competenti in materia, siano utilizzando il meccanismo di
indipendenti, e non sussistano conflitti di interessi. coerenza, possono presentare
• Qualità strutturali: abbiano adottato procedure idonee a: in forma di progetto
all’EDPB dei criteri attraverso
valutare la congruenza tra le attività di un determinato
cui vengono declinate più
trattamento ed uno specifico codice, controllare il rispetto del analiticamente le condizioni
codice, gestire eventuali violazioni (con possibile sospensione o richieste per poter ricevere
esclusione dal codice di chi non sia risultato rispettoso). l’accreditamento. 8
Questo progetto è co-finanziato dal
In caso di mancato rispetto delle predette condizioni, all’Organismo può essere revocato l’accreditamento.
programma Rights, Equality and Citizenship
7
dell’Unione europea
Accountability e approccio basato sul rischio:
certificazioni
GDPR: artt. 42 e 43 e considerando 100, 166 – 168

La certificazione è uno strumento attraverso cui il

titolare/responsabile può dimostrare la conformità al GDPR dei
1 trattamenti posti in essere. La certificazione determina una sorta di
Certificazioni presunzione di conformità tra gli standard adottati dal
titolare/responsabile e quelli richiesti dalla normativa.

La presenza di una certificazione è un elemento che viene tenuto in

Funzioni 2 considerazione nell’eventuale processo di determinazione di
sanzioni amministrative pecuniarie ex art. 83 GDPR.

La certificazione costituisce una garanzia adeguata per il

3
trasferimento di dati personali extra UE ex art. 46 GDPR.
8
8
Accountability e approccio basato sul rischio:
certificazioni
GDPR: artt. 40 e 41 e considerando 98, 99, 167, 168

La certificazione è uno strumento per dimostrare il rispetto della normativa. Tuttavia, avere una
certificazione di per sé non garantisce la conformità al GDPR.
Per tale ragione, rimane inalterata la responsabilità del titolare/responsabile rispetto al trattamento
effettuato e, allo stesso tempo, rimangono impregiudicati i poteri e i compiti delle Autorità di controllo.

La certificazione viene rilasciata sulla base di specifici criteri stabiliti dalle Autorità di controllo e/o dal
Comitato europeo per la protezione dei dati (c.d. EDPB). In quest’ultimo caso si parla di “certificazione
comune” che stabilisce standard condivisi per tutti gli Stati membri.

La certificazione ha una durata di 3 anni e al suo scadere può essere rinnovata laddove sussistano i
requisiti richiesti. Qualora vengano meno i presupposti della certificazione, quest’ultima potrà essere
revocata.

L’EDBP tiene un registro di tutti i meccanismi di certificazione esistenti e li rende pubblici. 8

9
Accountability e approccio basato sul rischio:
rilascio e controllo delle certificazioni
GDPR: artt. 42 e 43 e considerando 100, 166 – 168

Chi può Autorità di controllo

Istituiti da:
rilasciare una
certificazione? • Autorità di controllo;
Organismi di certificazione
• Organismi nazionali di accreditamento
(in virtù del Regolamento CE 765/2008).

Condizioni affinchè l’Organismo possa ricevere l’accreditamento (di durata massima 5 anni):
• Qualità preesistenti: siano competenti in materia, siano indipendenti, e non sussistano conflitti di
interessi.
• Qualità strutturali: abbiano adottato procedure idonee a gestire l’intero processo di certificazione.
• Qualità operative: rispettino specifici criteri stabiliti dalle Autorità di controllo o dal Comitato
europeo per la protezione dei dati (c.d. EDPB).
In caso di mancato rispetto delle predette condizioni, all’Organismo di certificazione può essere revocato l’accreditamento.
9
0
Trasferimenti di dati all’estero
GDPR: artt. 44 – 46 e considerando 101 – 102 e 103, 107 - 109, 114, 167-169
Principio generale per il trasferimento (art. 44) è che qualunque trasferimento di dati personali verso un paese terzo o
un'organizzazione internazionale ha luogo soltanto se il titolare del trattamento e il responsabile del trattamento
rispettano le condizioni previste dal Regolamento:

Trasferimento sulla base di una Trasferimento soggetto a

decisione di adeguatezza (art. 45) garanzie adeguate (art. 46)

Articolo 96 Rapporto con accordi precedentemente conclusi (C102)

Restano in vigore, fino alla loro modifica, sostituzione o revoca, gli accordi internazionali che comportano
il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali conclusi dagli Stati
membri prima del 24 maggio 2016 e conformi al diritto dell'Unione applicabile prima di tale data. 9
1
Trasferimenti di dati all’estero
GDPR: art. 45 e considerando 101 – 102

Trasferimento sulla base di una decisione di adeguatezza: le decisioni di adeguatezza sinora adottate dalla
Commissione (livello di protezione dati in Paesi terzi, a partire dal Privacy Shield, e clausole contrattuali tipo per
titolari e responsabili) e gli accordi internazionali in materia di trasferimento dati stipulati prima del 24 maggio
2016 dagli Stati membri restano in vigore fino a loro eventuale revisione o modifica (si vedano art. 45, paragrafo 9,
Art. e art. 96). Restano valide, conseguentemente, le autorizzazioni nazionali sinora emesse dal Garante
45 successivamente a tali decisioni di adeguatezza della Commissione (si veda
[Link]
intenazionale/trasferimento-dei-dati-verso-paesi-terzi#1 ). Restano valide, inoltre, le autorizzazioni nazionali che il
Garante ha rilasciato in questi anni per specifici casi (si veda art. 46, paragrafo 5), sino a loro eventuale modifica.

9
2
 Trasferimenti di dati all’estero
GDPR: art. 46 e considerando 103, 107 - 109, 114, 167-169
Trasferimento soggetto a garanzie adeguate: In mancanza di una decisione ai sensi dell’articolo 45, paragrafo 3, il
titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o
un'organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati
dispongano di diritti azionabili e mezzi di ricorso effettivi.
Sono considerate garanzie adeguate, senza necessitare di autorizzazioni specifiche da parte di un’Autorità di controllo:
a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici;
b) le norme vincolanti d'impresa (v. art. 47);
c) le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d'esame (v. art. 93, par. 2);
d) le clausole tipo di protezione dei dati adottate da un'autorità di controllo e approvate dalla Commissione (v. art. 93);
e) un codice di condotta (v. art. 40), con l’impegno vincolante ed esecutivo da parte del titolare o del responsabile del
Art. 46 trattamento nel paese terzo ad applicare le garanzie adeguate;
f) un meccanismo di certificazione (v. art. 42), con l’impegno vincolante ed esigibile da parte del titolare o del
responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate;
Inoltre, fatta salva l’autorizzazione dell’Autorità di controllo competente, possono costituire particolare garanzie
adeguate :
9
g) le clausole contrattuali tra il titolare del trattamento o il responsabile del trattamento e il titolare del trattamento, il
responsabile del trattamento o il destinatario dei dati personali nel paese terzo o nell’organizzazione internazionale; o
h) le disposizioni da inserire in accordi amministrativi
Questo progetto
3
tra autorità̀ pubbliche o organismi pubblici che
è co-finanziato dal
programma Rights, Equality and Citizenship
comprendono diritti effettivi e azionabili per gli
dell’Unione interessati.
europea
Trasferimenti di dati all’estero
GDPR: art. 49 e considerando 111- 114
EDPB "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679" - Adottate il 25 maggio 2018

Deroghe in specifiche situazioni: In mancanza di una decisione di adeguatezza ai sensi (art. 45) o di garanzie
adeguate ai sensi (art. 46), comprese le norme vincolanti d’impresa, è ammesso il trasferimento verso un paese terzo o
un’organizzazione internazionale soltanto se si verifica una delle seguenti condizioni:
a) L’interessato abbia esplicitamente acconsentito al trasferimento proposto, dopo essere stato informato dei possibili
rischi di siffatti trasferimenti per l’interessato, dovuti alla mancanza di una decisione di adeguatezza e di garanzie
adeguate;
b) il trasferimento sia necessario all’esecuzione di un contratto ovvero all’esecuzione di misure precontrattuali adottate
su istanza dell’interessato;
Art. 49 c) il trasferimento sia necessario per la conclusione o l’esecuzione di un contratto a favore dell’interessato;
d) il trasferimento sia necessario per importanti motivi di interesse pubblico;
e) il trasferimento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria;
f) il trasferimento sia necessario per tutelare gli interessi vitali dell’interessato o di altre persone, qualora l’interessato si
trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
g) il trasferimento sia effettuato a partire da un registro che mira a fornire informazioni al pubblico e può esser 9
consultato tanto dal pubblico in generale quanto da chiunque sia in grado di dimostrare un legittimo interesse, solo
a condizione che sussistano i requisitiQuesto
per progetto è co-finanziato dal
la consultazione
programma Rights, Equality and previsti
4
Citizenship dal diritto dell’Unione o degli Stati membri.
dell’Unione europea
Trasferimenti di dati all’estero
GDPR: art. 49 e considerando 111- 114
EDPB "Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679" - Adottate il 25 maggio 2018

Se nessuna delle deroghe in specifiche situazioni è applicabile: il trasferimento verso un Paese terzo o
un’organizzazione internazionale è ammesso soltanto se non è ripetitivo, riguarda un numero limitato di interessati, è
necessario per il perseguimento degli interessi legittimi cogenti del titolare del trattamento, su cui non prevalgano gli
interessi o i diritti e le libertà dell'interessato, e qualora il titolare del trattamento abbia fornito garanzie adeguate
relativamente alla protezione dei dati personali.
Il titolare del trattamento informa del trasferimento l’Autorità di controllo. In aggiunta alla fornitura di informazioni di
cui agli articoli 13 e 14, il titolare del trattamento informa l'interessato del trasferimento e degli interessi legittimi cogenti
perseguiti.
Art. 49
Il primo comma, lettere a), b) e c), e il secondo comma del paragrafo 1 non si applicano alle attività svolte
dalle autorità pubbliche nell’esercizio dei pubblici poteri. L’interesse pubblico di cui al paragrafo 1, primo comma,
lettera d), è riconosciuto dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del
trattamento.
9
In mancanza di una decisione di adeguatezza, il diritto dell’Unione o degli Stati membri può, per importanti motivi di
interesse pubblico, fissare espressamente limiti al trasferimento di categorie specifiche di dati verso un paese terzo o
un'organizzazione internazionale. Questo progetto è co-finanziato dal
programma Rights, Equality and Citizenship
5
dell’Unione europea
Trasferimenti di dati all’estero
GDPR: art. 50 e considerando 116

a) sviluppare meccanismi d) promuovere lo scambio e la

Cooperazione internazionale
di cooperazione documentazione delle
per la protezione dei dati
internazionale per legislazioni e prassi in materia
personali.
facilitare l’applicazione di protezione dei dati personali,
In relazione ai Paesi terzi e alle
efficace della legislazione compresi i conflitti di
organizzazioni internazionali, la
sulla protezione dei dati giurisdizione con Paesi terzi.
Commissione e le Autorità di
personali;
controllo adottano misure
appropriate per:

c) coinvolgere le parti interessate pertinenti

b) prestare assistenza reciproca a livello internazionale
in discussioni e attività dirette a promuovere
nell’applicazione della legislazione sulla protezione dei dati
la cooperazione internazionale
personali, in particolare mediante notificazione, deferimento
nell'applicazione della legislazione sulla
dei reclami, assistenza alle indagini e scambio di
protezione dei dati personali;
informazioni, fatte salve garanzie adeguate per la protezione
Questo progetto è co-finanziato dal
dei dati personali e gli altri diritti e libertà fondamentali;
programma Rights, Equality and Citizenship 96
dell’Unione europea
Autorità di controllo : caratteristiche, compiti e
poteri
GDPR: artt. 51 – 59 e considerando 117 – 132

Il Regolamento UE 2016/679, come l’abrogata Direttiva 95/46/CE, prevede che ogni Stato membro
dell’Unione europea sia tenuto ad istituire una propria Autorità di controllo.

L’Autorità di controllo deve rispettare il carattere di indipendenza, affinché sia in grado di svolgere i propri
compiti senza alcun condizionamento esterno.
L’indipendenza, la neutralità e l’imparzialità dell’Autorità di controllo è assicurata attraverso la dotazione di
risorse umane, tecniche e finanziarie che consentano di svolgere effettivamente la propria funzione.
Allo stesso modo, il controllo finanziario sull’Autorità deve essere svolto in maniera tale da non comprometterne
l’indipendenza.
Inoltre, è stabilito che i componenti dell’Autorità debbano essere nominati attraverso una procedura trasparente,
in ragione delle competenze possedute del singolo soggetto.

Ogni Autorità di controllo ha competenza rispetto ai trattamenti effettuati sul territorio del rispettivo Stato
9
membro, nonché rispetto ai trattamenti che, nonostante siano effettuati al di fuori dello Stato, interessino
soggetti residenti all’interno del suo territorio.
7
Autorità di controllo : caratteristiche, compiti e
poteri
Le Autorità sono istituite al fine di vigilare sull’applicazione delle
disposizioni del Regolamento UE 2016/679 e di tutelare i diritti e le libertà
Compiti fondamentali degli interessati.
Promuovono la consapevolezza dei titolati/responsabili rispetto ai loro obblighi, svolgono
indagini sull’applicazione del Regolamento, cooperano tra loro.

riconosciuti alla propria Autorità

Ogni Stato può integrare i poteri
Correttivi: ingiungere al titolare/responsabile di effettuare determinate operazioni.
Di indagine: poteri di investigazione dell’Autorità, anche di propria iniziativa.
Poteri Consultivi e autorizzativi: fornire consulenza preventiva ai titolari, rilasciare pareri
agli organi nazionali, autorizzare clausole standard, approvare le norme vincolanti d’impresa,
etc.
9
Di comminazione diQuesto
sanzioni amministrative pecuniarie (art. 83
GDPR)
progetto è co-finanziato dal
programma Rights, Equality and Citizenship
8
Autorità di controllo italiana
GDPR: artt. 51 – 59 e considerando 117 – 132
[Link]. 196/2003 (c.d. Codice privacy): artt. 153 – 160

Il Garante per la protezione dei dati personali è l’Autorità di controllo italiana, istituita nel
1996, in ottemperanza alla precedente Direttiva 95/46/CE.
Il Garante rientra nel novero delle Autorità amministrative indipendenti previste dall’ordinamento italiano e si
qualifica come organo collegiale composto da 4 membri, all’interno dei quali viene scelto il Presidente.
I membri sono eletti, rispettivamente, 2 dal Senato della Repubblica e 2 dalla Camera dei Deputati.
L’incarico ha una durata di 7 anni e non può essere rinnovato.
I componenti del Garante vengono scelti tra personaggi di comprovata professionalità, esperienza e
competenza in materia di diritto alla protezione dei dati personali.
Sia la durata dell’incarico, diversa da quella degli organi politici, sia i requisiti di professionalità richiesti per la
nomina, concorrono a rafforzare il carattere di indipendenza del Garante.
6
 Autorità capofila e meccanismo dello sportello
unico (c.d. one stop shop)
GDPR: artt. 56 e 60 e considerando 123 – 128 e 130,131
WP29 “Linee-guida per l´individuazione dell´autorità di controllo capofila in rapporto a uno specifico titolare o responsabile del
trattamento (WP244)” - Adottate il 13 dicembre 2016, emendate in data 5 aprile 2017"

Qualora il trattamento dei dati interessi una pluralità di Stati membri, ci si avvale dell’Autorità capofila che ha il
compito di coordinare la cooperazione tra le Autorità di controllo degli Stati interessati dal trattamento.
• Se trattamento effettuato da titolare/responsabile con stabilimenti in più di uno Stato l’Autorità capofila è
quella dello Stato ove è situato lo stabilimento principale;
• Se il trattamento incide su interessati in più Stati, nonostante sia effettuato nello stabilimento unico del
titolare/responsabile l’Autorità capofila è quella dello Stato dove è situato lo stabilimento unico.

Meccanismo dello sportello unico: nel caso venga presentato un reclamo su di un

cooperazione

trattamento che interessi più Stati, le Autorità di controllo coinvolte si scambiano informazioni utili
sul caso. L’Autorità capofila comunica poi alle altre Autorità il proprio progetto di decisione, che
diventa vincolante per tutti gli Stati interessati laddove non siano presentate obiezioni. 1
Se una delle Autorità solleva un’obiezione, l’Autorità capofila valuta se accoglierla, modificando0la
decisione, oppure se non accoglierla, attivando il meccanismo di coerenza.
0
Il meccanismo di coerenza
GDPR: artt. 63 – 67 e considerando 135 – 138 e 143,167,168
Il meccanismo di coerenza ha l’obiettivo di garantire nell’Unione europea una disciplina uniforme in materia
di protezione dei dati personali ed un’applicazione coerente dalla normativa.
A tale scopo sono messi a disposizione tre distinti “strumenti”:

Art. Potere del Comitato europeo (c.d. EDPB) di adottare pareri che individuino soluzioni unitarie per
64 questioni specifiche. In alcune ipotesi il parere è obbligatorio, in altre è oggetto di una precisa richiesta.

Potere dell’EDPB di dirimere controversie sorte tra/con le Autorità di controllo nazionali attraverso
l’adozione di decisioni vincolanti. Le controversie possono sorgere nell’ambito del meccanismo dello
Art.
sportello unico; nel caso di incerta determinazione dello stabilimento principale di un
65
titolare/responsabile; nell’ipotesi di mancata richiesta all’EDPB di un parere obbligatorio o di mancata
conformazione allo stesso.
1
Art. Ne caso di rischio grave ed immediato per i diritti degli individui, ciascuna Autorità di controllo può
66 adottare misure provvisorie attraverso una procedura d’urgenza. 0
1
Comitato europeo per la protezione dei dati - EDPB
GDPR: artt. 68 – 76 e considerando 139 – 140

Le figure di vertice dell’

Composizione Garante europeo per la
Autorità di controllo di
protezione dei dati
ciascuno Stato Membro
L’abrogata Direttiva 95/45/CE prevedeva l’Art. 29 Working Party (c.d. WP29) quale
Prima meccanismo di coordinamento tra le Autorità nazionali di controllo. Il WP29 costituiva un
gruppo di lavoro la cui funzione era eminentemente consultiva.

Con l’entrata in vigore del Regolamento UE 2016/679, il WP29 è stato sostituito dall’EDPB,
un organismo dotato di compiti e di poteri più ampi rispetto al precedente gruppo di lavoro.
Adesso L’istituzione di un apposito organismo è stato reso necessario dalla rilevanza che ha assunto1il
diritto alla protezione dei dati personali nel panorama europeo. 0
2
Comitato europeo per la protezione dei dati –
EDPB
L’EDPB ha come principale obiettivo quello di garantire l’applicazione coerente del
Regolamento UE 2016/679 all’interno dell’Unione e di coordinare l’attività delle
Autorità nazionali di controllo.

Decisioni vincolanti nell’ambito del meccanismo di coerenza.

Sorveglianza: riguardo all’applicazione corretta del Regolamento.

Attività consultiva: emissione di pareri sulle decisioni delle Autorità nazionali di

Compiti e controllo, sui codici di condotta, sui meccanismi di certificazione, sull’accreditamento degli
Poteri organismi di certificazione, etc.
(Art. 70
GDPR) Pubblicazione di Linee guida, raccomandazioni e best practice
Attività di promozione degli obiettivi perseguiti dal Regolamento e della
cooperazione tra le Autorità nazionali di controllo.
1
0
Forme di tutela
GDPR: artt. 77 – 79 e considerando 141 – 143 e 145,147
Il Regolamento UE 2016/679 riconosce all’interessato tre distinte forme di tutela:
Reclamo davanti all’Autorità di controllo, laddove si ritenga che il trattamento violi le davanti all’
disposizioni del Regolamento.
Art. 77 Il reclamo può essere presentato all’Autorità di controllo dello Stato in cui l’interessato risiede
Autorità di
controllo
abitualmente, in cui lavora oppure in cui si è verificata la presunta violazione.
Ricorso giurisdizionale nei confronti dell’Autorità di controllo avverso una
decisione vincolante. Il ricorso è proposto davanti all’autorità giudiziaria dello Stato in cui si trova
l’Autorità di controllo.
Art. 78 Il ricorso può essere presentato se l’Autorità di controllo:
• non tratta un reclamo ex art. 77; davanti all’
• non informa l’interessato entro 3 mesi sullo stato o sull’esito del reclamo ex art. 77. autorità
giudiziaria
Ricorso giurisdizionale nei confronti del titolare/responsabile qualora si 1
Art. 79 ritenga che il trattamento abbia leso dei diritti dell’interessato, in violazione delle disposizioni del
Regolamento. Il ricorso è proposto davanti all’autorità giudiziaria dello Stato in cui si trova 0
l’Autorità di controllo oppure dello Stato oveprogetto
Questo l’interessato risiede
è co-finanziato dal abitualmente.
programma Rights, Equality and Citizenship
4
Forme di tutela
GDPR: artt. 77 – 79 e considerando 141 – 143 e 145,147
[Link]. 196/2003 (c.d. Codice privacy): artt. 140 bis – 152
Il Reclamo deve contenere indicazioni dettagliate sui fatti, sulle disposizioni ritenute violate, sulle misure
richieste, sugli identificativi del titolare/responsabile. Sono allegati i documenti utili ai fini della valutazione.
Modello fornito dal Garante:
[Link]

Il Garante privacy italiano decide sul reclamo entro 9 mesi dalla Avverso la decisione, entro 30
presentazione (12 mesi in caso di particolari esigenze istruttorie). giorni è ammesso il ricorso
Entro 3 mesi dalla presentazione informa l’interessato sullo stato del davanti all’autorità giudiziaria.
procedimento.

Il reclamo al Garante ed il ricorso all’autorità giudiziaria sono 1

La Segnalazione è uno strumento, più snello rispetto al
reclamo, attraverso cui chiunque può comunicare delle
forme di tutela alternativa.
Il Codice privacy stabilisce che se è già stata intrapresa una delle
obbligato ad agire o a prendere provvedimenti.
0
irregolarità al Garante. In tal caso, però, il Garante non è

5
due forme di tutela, l’altra non potrà essere avviata.
Forme di tutela: Rappresentanza degli interessati
GDPR: art. 80 e considerando 142
[Link]. 196/2003 (c.d. Codice privacy): art. 142

In maniera innovativa rispetto alla precedente normativa, il Regolamento UE 2016/679 introduce la possibilità
per gli interessati di essere rappresentati e tutelati da appositi organismi, organizzazioni o
associazioni senza scopo di lucro ed attivi nel settore della protezione dei dati personali.
I suddetti organismi, organizzazioni e associazioni possono esercitare le forme di tutela ex artt. 77, 78 e 79 su
mandato dell’interessato.

Gli Stati possono prevedere che taluni organismi,

organizzazioni o associazioni esercitino all’interno del Al momento, la normativa
territorio nazionale, anche senza mandato dell’interessato, le
forme di tutela ex artt. 77, 78 e 79 laddove ritenga che un
italiana non ha previsto la
possibilità di agire senza 1
trattamento abbia leso i diritti dell’interessato in violazione mandato dell’interessato.
0
del GDPR.
6
 Responsabilità
GDPR: art. 82 e considerando 142, 146, 147

Chiunque subisce un danno in violazione del Regolamento UE 2016/679 può agire in via
giurisdizionale ex art. 79 per chiedere risarcimento al titolare o al responsabile del
trattamento.
Se non ha rispettato:
Può essere: Non solo l’interessato Se il trattamento è • gli specifici obblighi posti
• materiale (patrimoniale); stato eseguito in in capo al responsabile dal
• immateriale (non patrimoniale). violazione del Regolamento;
Regolamento. • le istruzioni impartite dal
Se più soggetti (titolari/responsabili) sono coinvolti in uno stesso titolare.
trattamento che cagiona un danno, si configura una responsabilità
in solido. Il danneggiato potrà chiedere il risarcimento per intero
nei confronti di qualsiasi soggetto coinvolto.
Quest’ultimo, poi, potrà rivalersi sugli altri soggetti per la parte del
1
risarcimento corrispondente alla loro responsabilità.
non gli è in alcun modo imputabile.
0
NO responsabilità, se provano che l’evento dannoso

7
 Sanzioni
GDPR: artt. 83, 84 e considerando 148 – 152
WP29 “Linee guida riguardanti l’applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n.
2016/679” - Adottate il 13 dicembre 2016, emendate in data 5 aprile 2017"
• Principio di proporzionalità: sanzioni effettive, proporzionate e
Criteri che
Sanzioni l’Autorità di
dissuasive a seconda del caso concreto.
controllo segue • Circostanze del caso concreto: natura, gravità e durata della
per definire violazione; numero di interessati coinvolti; tipologia di dati personali; tipo
di finalità del trattamento; entità del danno cagionato; misure adottate per
l’entità della
attenuare il danno; precedenti violazioni; dolo o colpa della violazione;
Amministrativ sanzione etc.
e pecuniarie • Se nell’ambito dello stesso trattamento vengono effettuate più violazioni,
(Art. 83) l’ammontare della sanzione pecuniaria totale sarà pari all’importo
Limiti connesso alla violazione più grave.
massimi delle • Violazioni che portano sanzioni fino a 10 milioni € o, per le imprese,

Altre sanzioni
sanzioni fino al 2% del fatturato mondiale totale annuo dell’esercizio
precedente, se superiore.
1
(Art. 84) 0
• Violazioni che portano sanzioni fino a 20 milioni € o, per le imprese,
fino al 4% del fatturato mondiale totale annuo dell’esercizio
Questo progetto è co-finanziato dal
precedente,
programma se and
Rights, Equality superiore.
Citizenship
8
dell’Unione europea
 Sanzioni
GDPR: artt. 83, 84 e considerando 148 – 152
Le sanzioni amministrative pecuniarie possono essere inflitte congiuntamente o in sostituzione
Sanzioni delle misure correttive indicate dall’Autorità di controllo (ex art. 58).

- Obblighi del titolare/responsabile del trattamento;

Sanzioni fino a 10 milioni €
Amministrativ o al 2% del fatturato
- Obblighi dell’organismo di certificazione;
e pecuniarie mondiale totale annuo - Obblighi dell’organismo di controllo sui codici di
(Art. 83) dell’esercizio precedente, se condotta.
violazione di:
- Principi di base del trattamento;
Sanzioni fino a 20 milioni €
- Diritti degli interessati;
o al 4% del fatturato - Disposizioni sul trasferimento dei dati extra-UE;

Altre sanzioni
mondiale totale annuo - 1 IX del
Obblighi introdotti dagli Stati ai sensi del capo
dell’esercizio precedente, se Regolamento;
(Art. 84) violazione di: 0
- Inosservanza di ordini dell’Autorità di controllo.
9
 Sanzioni
GDPR: artt. 83, 84 e considerando 148 – 152

Sanzioni
Altre sanzioni amministrative pecuniarie
per violazioni non previste dall’art. 83. Libera scelta
degli Stati
se introdurre
Amministrative Altre sanzioni penali.
altre sanzioni
pecuniarie
(Art. 83)
- Nel caso di altre sanzioni amministrative pecuniarie, gli Stati dovranno
comunque rispettare il principio di proporzionalità ex art. 83 per la
determinazione dell’importo della sanzione.
- Nel caso di altre sanzioni di natura penale, gli Stati dovranno rispettare il
principio del ne bis in idem fissato dalla Corte di Giustizia.
Altre sanzioni
(Art. 84)
1
Gli Stati hanno comunicato alla Commissione europea le altre sanzioni introdotte
1
nell’ordinamento nazionale prima del 25 maggio 2018 e, successivamente, dovranno
comunicarle tutte le eventuali modifiche e/o integrazioni.
0
 Sanzioni penali in Italia [1]
GDPR: art. 84 e considerando 149 e 152
[Link]. 196/2003 (c.d. Codice privacy): artt. 167 – 171

Altre sanzioni Trattamento illecito dei dati personali (art. 167): per chi, al fine di trarre profitto per sé o
(Art. 84 GDPR) per altri oppure per arrecare un danno all’interessato, arreca nocumento a quest’ultimo
- trattando dati relativi al traffico o all’ubicazione in violazione delle disposizione che ne regolano il
trattamento. Reclusione da 6 mesi a 1 anno e mezzo;
- trattando dati di categorie particolari o dati giudiziari in violazione delle disposizioni che ne
regolano il trattamento. Reclusione da 1 a 3 anni;
Italia - trasferendo dati extra UE in violazione del GDPR. Reclusione da 1 a 3 anni.

Esercitando la libertà Comunicazione e diffusione illecita (art. 167 bis): per chi comunica o diffonde un
riconosciuta dal archivio automatizzato di dati oggetto di trattamento su larga scala, al fine di trarne profitto per sé o
Regolamento, ha deciso per altri oppure per arrecare un danno.
di prevedere all’interno
della normativa
1
La comunicazione o diffusione è effettuata senza il consenso dell’interessato oppure in violazione
delle disposizioni riguardanti: il trattamento per l’esecuzione di un compito di interesse pubblico; il
nazionale degli 1
trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante; il trattamento di
illeciti penali. dati relative a condanne penali e reati.
Questo progetto è co-finanziato dal
Reclusione da 1 a 6 anni.
programma Rights, Equality and Citizenship
1
 Sanzioni penali in Italia [2]
GDPR: art. 84 e considerando 149 e 152
[Link]. 196/2003 (c.d. Codice privacy): artt. 167 – 171

Altre sanzioni Acquisizione fraudolenta di dati personali (art. 167 ter): per chi si appropria
(Art. 84 GDPR) fraudolentemente di un archivio automatizzato di dati oggetto di trattamento su larga scala, al fine di
trarne profitto per sé o di arrecare un danno. Reclusione da 1 a 4 anni.
False dichiarazioni al Garante (art. 168): reclusione da 6 mesi a 3 anni.
Interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del
Italia Garante (art. 168): per chi interrompe intenzionalmente. Reclusione fino a 1 anno.
Esercitando la libertà Inosservanza di provvedimenti del Garante (art. 170): per chi viola i provvedimenti di
riconosciuta dal limitazione o di divieto del trattamento; i provvedimenti relativi al trattamento di dati genetici,
Regolamento, ha deciso biometrici e relativi alla salute; i provvedimenti che individuano le disposizioni delle precedenti
di prevedere all’interno
della normativa
autorizzazioni generali che risultano compatibili al GDPR. Reclusione da 3 mesi a 2 anni. 1
nazionale degli Violazione disposizioni in materia di controlli a distanza e indagini 1 sulle
illeciti penali. opinioni dei lavoratori (art. 171): violazioni degli artt. 4 e 8 dello Statuto dei lavoratori.
Questo progetto è co-finanziato dal
Le sanzioni sono stabilite all’interno dello Statuto dei lavoratori.
programma Rights, Equality and Citizenship
2
Privacy e diritto del lavoro

Protezione dei
Salvaguardia della
diritti e delle libertà
dignità umana
individuali

PAROLE
CHIAVE

Sistemi di
monitoraggio sul
posto di lavoro Trasparenza del
trattamento

Contrattazione
collettiva

113
Regolamento UE e diritto del lavoro

Sistemi di
monitoraggio sul
posto di lavoro

TECNOLOGIE E STRUMENTI DI
COMUNICAZIONE ELETTRONICA
 Internet
 Posta elettronica
 Videosorveglianza
Geolocalizzazione
 Social
Art. 4 l.n. 300/1970 come modificato dall’art. 23 [Link]. n. 151 del 2015

Parere 2/2017 sul

trattamento dei dati Gruppo “Articolo 29” dell’8 giugno 2017
nel posto di lavoro

114
Art. 4 l. 300/70 (Art. 23 [Link]. 151/2015
Impianti audiovisivi e altri strumenti di controllo
1. Gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di
controllo a distanza dell'attività dei lavoratori possono essere impiegati esclusivamente
per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del
patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla
rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali. In
alternativa, nel caso di imprese con unità produttive ubicate in diverse province della
stessa regione ovvero in più regioni, tale accordo può essere stipulato dalle
associazioni sindacali comparativamente più rappresentative sul piano nazionale. In
mancanza di accordo, gli impianti e gli strumenti di cui al primo periodo possono
essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale
del lavoro o, in alternativa, nel caso di imprese con unità produttive dislocate negli
ambiti di competenza di più sedi territoriali, della sede centrale dell’Ispettorato
nazionale del lavoro. I provvedimenti di cui al terzo periodo sono definitivi.(*)
2. La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal
lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione degli
accessi e delle presenze.
_______________
(*) Comma modificato dall’art. 5, comma 2 [Link].. 24 settembre 2016, n. 185
Legislazione nazionale
JOBS ACT
[Link]. N. 151 del 2015

24 settembre 2015

PRIMA DOPO

116
Legislazione nazionale

Art. 4 l.n. 300/1970 come modificato dall’art. 23 [Link].. n. 151

del 2015

Impianti audiovisivi ed altri

Strumenti utilizzati dal lavoratore
strumenti dai quali derivi anche la
per rendere la prestazione
possibilità di controllo a distanza
lavorativa e strumenti di
dell’attività dei lavoratori, impiegati
registrazione degli accessi e delle
per esigenze organizzative e
presenze
produttive, per la sicurezza del
lavoro e per la tutela del
patrimonio aziendale

SI NO

Accordo sindacale o Accordo sindacale o

autorizzazione amministrativa autorizzazione amministrativa

117
Utilizzo delle informazioni raccolte a tutti i
fini connessi al rapporto di lavoro
Campo di applicazione: 1° e 2° comma
Condizioni

Rispetto di quanto disposto

Adeguata informazione
dal [Link]. n. 196 del 2003

 modalità di uso degli strumenti

 modalità di effettuazione dei controlli

Trasparenza del
trattamento

118
Adeguata informazione

 Atto distinto dall’informativa

 Possibile riferimento a quanto già fatto in materia di internet e posta

elettronica (Provvedimento Garante 2007): “grava sul datore di lavoro
l’onere di indicare in ogni caso, chiaramente e in modo
particolareggiato, quali siano le modalità di utilizzo degli strumenti
messi a disposizione ritenute corrette e se, in che misura e con quali
modalità vengono effettuati controlli”

 Circolari/Regolamenti/Ordini di servizio preesistenti  necessità di

aggiornamento

119
Strumenti utilizzati dal lavoratore per rendere
la prestazione lavorativa
Strumenti utilizzati  non solo concessi o affidati, ma effettivamente
impiegati per svolgere la prestazione lavorativa

 Prestazioni concretamente svolte dal lavoratore

 Necessaria correlazione tra strumenti e mansioni svolte

 Necessaria preventiva valutazione del rapporto tra strumenti e mansioni

anche a fini probatori

120
Strumenti utilizzati dal lavoratore per rendere
la prestazione lavorativa

Nota del Ministero del Lavoro e delle Politiche Sociali - 18 giugno

2015
Non possono essere considerati "strumenti di controllo a distanza" gli strumenti
che vengono assegnati al lavoratore "per rendere la prestazione lavorativa" (una
volta si sarebbero chiamati gli "attrezzi di lavoro"), come pc, tablet e cellulari.
L'espressione "per rendere la prestazione lavorativa" comporta che l'accordo o
l'autorizzazione non servono se, e nella misura in cui, lo strumento viene
considerato quale mezzo che "serve" al lavoratore per adempiere la prestazione:
ciò significa che, nel momento in cui tale strumento viene modificato (ad
esempio, con l'aggiunta di appositi software di localizzazione o filtraggio) per
controllare il lavoratore, si fuoriesce dall'ambito della disposizione: in tal caso,
infatti, da strumento che "serve" al lavoratore per rendere la prestazione il pc, il
tablet o il cellulare divengono strumenti che servono al datore per controllarne la
prestazione.

121
Strumenti utilizzati dal lavoratore per rendere
la prestazione lavorativa

Circolare del Ministero del lavoro – Direzione interregionale del

lavoro di Milano – 10 maggio 2016

 L’espressione per rendere la prestazione lavorativa porta a considerare

strumento di lavoro il mezzo che “serve al lavoratore per adempiere al suo
obbligo dedotto in contratto, cioè per eseguire la prestazione lavorativa”

 La nozione di strumento di lavoro va identificata con quello strumento idoneo

ad assolvere complessivamente una funzione di mezzo necessario
normalmente, secondo le regole dell’arte, per rendere la prestazione lavorativa

122
Strumenti di registrazione degli accessi e
delle presenze
Art. 4, comma 2, l.n. 300 del 1970
“La disposizione di cui al comma 1 non si applica agli strumenti utilizzati dal
lavoratore per rendere la prestazione lavorativa e agli strumenti di registrazione
degli accessi e delle presenze”

 Badge apri-porta

 Accessi aree riservate

 Accessi logici
Strumenti utilizzati dal lavoratore per rendere
la prestazione lavorativa
BADGE

 Il badge ad alta frequenza è uno

strumento di controllo a distanza e
non un semplice rilevatore di
presenze (Cass. 17531 del 2017)

 Un badge elettronico idoneo a

rilevare non solo la presenza ma
anche le sospensioni, i permessi e
le pause, ed a comparare
nell’immediatezza i dati di tutti i
dipendenti è uno strumento di
controllo a distanza (Cass. 9904
del 2016)
Dati biometrici

Art. 2 septies [Link]..n. 196 del 2003 (nuovo testo)

“7. Nel rispetto dei principi in materia di protezione dei dati personali, con
riferimento agli obblighi di cui all'articolo 32 del Regolamento, e' ammesso
l'utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai
dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia di cui al
presente articolo.”
Posta elettronica ed internet
Provvedimento del Garante n. 303 del 13 luglio 2016

Con riferimento al servizio di posta elettronica e di navigazione web devono

ritenersi come strumenti di lavoro solo servizi, software o applicativi
strettamente funzionali alla prestazione lavorativa, anche sotto il profilo
della sicurezza. A titolo esemplificativo possono essere considerati strumenti di
lavoro il servizio di posta elettronica offerta ai dipendenti (mediante attribuzione
di un account personale) e gli altri servizi della rete aziendale, fra cui anche il
collegamento a siti internet. Costituiscono parte integrante di questi strumenti
anche i messa a disposizione del lavoratoresistemi e le misure che ne consentono
il fisiologico e sicuro funzionamento al fine di garantire un elevato livello di
sicurezza della rete aziendale

ESEMPI
 Sistemi di login per il corretto esercizio per il servizio di posta elettronica con
conservazione al massimo di 7 giorni dei soli dati esteriori
 Sistemi di filtraggio anti-virus che rilevano anomalie di sicurezza nelle
postazioni di lavoro o sui server per l’erogazione dei servizi di rete
 Sistemi di inibizione automatica della consultazione di contenuti in rete
inconferenti rispetto alle competenze istituzionali, senza registrazione dei
tentativi di accesso
126
Tecnologia e rapporto di lavoro
Parere 2/2017

 Valutazione dell’equilibrio tra interessi legittimi e tutela dei dipendenti

 Individuazione rischi nuove tecnologie

 Individuazione linee guida per evitare che il legittimo interesse del datore di
lavoro al miglioramento dell’efficienza e alla protezione dei beni aziendali si
trasformi in un monitoraggio ingiustificabile e intrusivo

segue ….
127
Tecnologia e rapporto di lavoro
Parere 2/2017

Scenari

 Trattamento durante il processo di assunzione

 profilo social
 necessità di un interesse legittimo: necessario ai fini del lavoro offerto per
verificare rischi specifici e informazione ai candidati

 Trattamento derivante da uno screening durante il periodo di

impiego
 profilo social
 lo screening non può avvenire in modo generalizzato
 legittimo interesse: profilo linkedin di ex dipendente per verificare clausole
di non concorrenza

segue ….
128
Tecnologia e rapporto di lavoro
 Trattamento derivante dal monitoraggio delle comunicazioni
elettroniche sul posto di lavoro:
 validità linee guida internet e posta elettronica 2007
 valutazione della proporzionalità delle misure e possibilità di ridurre il
monitoraggio

 Trattamento derivante dal monitoraggio di tecnologie al di

fuori del posto di lavoro

utilizzo dispositivi
dispositivi
personali sul posto
mobili
di lavoro (BYOD)
lavoro a dispositivi
domicilio e indossabili
a distanza

segue ….
129
Tecnologia e rapporto di lavoro
 trattamento relativo agli orari e alle presenze
 trattamento derivante da sistemi di monitoraggio video
 trattamento relativo a veicoli utilizzati dai dipendenti

registratori dati
relativi ad eventi

 trattamenti che implicano la divulgazione dei dati dei

dipendenti a terzi
 trattamento che implicano trasferimenti internazionali di dati

130
E-mail aziendale

 Utilizzo privato

 Equiparazione della corrispondenza epistolare, telegrafica e elettronica a quella

informatica o telematica o effettuata con ogni altra forma di comunicazione a
distanza (art. 616 c.p.)

 Chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui

non diretta, ovvero sottrae o distrae, al fine di prenderne o di farne da altri
prendere cognizione, una corrispondenza chiusa o aperta, a lui non diretta,
ovvero, in tutto o in parte, la distrugge o sopprime, è punito, se il fatto non è
preveduto come reato da altra disposizione di legge, con la reclusione fino a un
anno o con la multa da euro 30 a euro 516

 Giurisprudenza  necessità del dolo

 Garante  necessità di una informazione dettagliata

131
E-mail aziendale
Corte Europea dei Diritti dell’Uomo 12 gennaio 2016
 Il controllo effettuato dal datore di lavoro sull’utilizzo della casella e-mail
aziendale da parte del lavoratore non viola l’art. 8 della Convenzione Europea
dei diritti dell’Uomo, ogniqualvolta sia trovato un ragionevole equilibrio tra il
diritto del datore alla verifica dell’esatto adempimento dell’obbligazione
lavorativa e quello del lavoratore al rispetto della riservatezza delle
comunicazioni personali

Corte europea dei Diritti dell’Uomo - Grande Camera 5 settembre

2017
 Le comunicazioni effettuate sul posto di lavoro rientrano nel concetto di “vita
privata” e “corrispondenza” tutelati dall’articolo 8 della Convenzione europea
dei Diritti Umani
 Il diritto al rispetto della vita privata e della riservatezza della corrispondenza
continua ad esistere, anche se sono previste delle restrizioni sul posto di
lavoro. Il datore di lavoro non può ridurre a zero la vita sociale e privata dei
dipendenti

132
Posta elettronica ed internet

Provvedimento n. 53 – 1°febbraio 2018

Trattamento di dati personali effettuato sugli account di posta elettronica aziendale

Effettuazione da parte del datore di lavoro di controlli sul contenuto della

corrispondenza elettronica (conservata sul server, per l’intera durata del rapporto
di lavoro e anche oltre la cessazione) utilizzati per effettuare una contestazione
disciplinare (scambio di mail tra colleghi)

 necessità di informativa all’interessato circa le modalità e finalità dell’attività di

raccolta e conservazione dei dati relativi all’utilizzo della posta elettronica e
delle specifiche attività di controllo
 non è conforme ai principi di liceità, necessità e proporzionalità del trattamento
la conservazione sistematica dei dati esterni e del contenuto di tutte le
comunicazioni elettroniche scambiate dai dipendenti attraverso gli account
aziendali, allo scopo di poter ricostruire gli scambi di comunicazioni interni ed
esterni, anche in vista di possibili contenziosi, effettuata da soggetti diversi dal
Questo progetto è co-finanziato dal
titolare della specifica casella per laRights,
programma durata
Equalitydel rapporto e dopo la cessazione
and Citizenship
dell’Unione europea
Controlli informatici

 Il datore di lavoro può effettuare controlli mirati per verificare il corretto uso,
da parte dei dipendenti, degli strumenti di lavoro come i personal computer
aziendali, ma tale prerogativa va esercitata nel rispetto della libertà e dignità
dei lavoratori, nonché dei principi di correttezza, pertinenza e non eccedenza,
potendo determinare il trattamento di informazioni di carattere sensibile (Cass.
N. 22313 del 2016).
 Sono illegittime la conservazione e la categorizzazione dei dati personali dei
dipendenti relativi alla navigazione in Internet, l’utilizzo della posta elettronica
e alle utenze telefoniche, acquisiti dal datore di lavoro attraverso impianti e
sistemi di controllo che abbiano carattere invasivo e massivo (Cass. N. 18302
del 2016).
 Non costituisce violazione della normativa in materia di riservatezza il
comportamento del datore di lavoro che si sia limitato a rilevare data, ora,
durata e volume di traffico dei vari accessi indebiti del lavoratore alla rete
internet (Cass. 14862 del 2017).
Videosorveglianza

Provvedimento del garante aprile 2010

PRESUPPOSTI
rispetto delle norme sul controllo a
liceità distanza

conformazione dei programmi in modo

necessità da privilegiare dati anonimi

scelta della dislocazione delle

telecamere e delle modalità di ripresa,
proporzionalità
secondo il principio di pertinenza e non
eccedenza

segue ….
Videosorveglianza

Rapporto di lavoro

 Vietate riprese per verificare l’osservanza dei doveri di diligenza stabiliti per
il rispetto dell’orario di lavoro e la correttezza nell’esecuzione della
prestazione

 Rispetto della dignità e libertà del lavoratore ai sensi dell’art. 4 della legge
300 del 1970

 Applicazione delle procedure garantiste anche nell’ipotesi in cui le

telecamere riprendano incidentalmente il lavoratore
Videosorveglianza

NOTA N. 11241 - 1°GIUGNO 2016

 L’installazione di un impianto di videosorveglianza non
può avvenire antecedentemente, e quindi in assenza, di
uno specifico accordo con i sindacati, o in mancanza, di
autorizzazione amministrativa.

 La violazione dell’art. 4 non è esclusa dalla circostanza

che tali apparecchiature siano solo installate ma non
ancora funzionanti, né dall’eventuale preavviso dato ai
lavoratori, né infine dal fatto che il controllo sia
discontinuo perché esercitato in locali dove i lavoratori
possono trovarsi solo saltuariamente.

 La condotta criminosa è rappresentata dalla mera

installazione non autorizzata dell’impianto, a prescindere
dal suo effettivo utilizzo.
Videosorveglianza

NOTA N. 4619 - 24 MAGGIO 2017

 La procedura autorizzativa dell’ITL è successiva al mancato accordo verificatori in
sede aziendale con gli organismi sindacali interni
 l’autorizzazione rilasciata dall’ITL può essere sostituita da un successivo accordo
sindacale
 le organizzazioni sindacali deputate al raggiungimento dell’accordo sono la RSU o
la RSA e le organizzazioni sindacali comparativamente più rappresentative a
livello nazionale
 l’accordo viene ritenuto valido se raggiunto con la sola maggioranza della RSA
(nota del Ministero del Lavoro n. 2975 del 5 dicembre 2015)
 le intese raggiunte ex art. 8, comma 2, della legge n. 148/2011 in materia di
video sorveglianza debbono trovare il proprio fondamento negli obiettivi indicati al
comma 1. Gli accordi, derogatori rispetto art. 4, debbono garantire il rispetto
della Costituzione, delle norme comunitarie e delle convenzioni internazionali in
materia di lavoro
Videosorveglianza

Circolare n. 5 - 19 febbraio 2018

Installazione e utilizzazione di impianti audiovisivi e di altri strumenti di
controllo
1) ISTRUTTORIA DELLE ISTANZE PRESENTATE PER L’INSTALLAZIONE DI
IMPIANTI DI VIDEOSORVEGLIANZA

 l’Ispettorato deve valutare l’effettiva sussistenza delle ragioni che

giustificano l’autorizzazione (ragioni organizzative e produttive,
sicurezza del lavoro, tutela del patrimonio aziendale)
 in tali casi, fermo il principio per cui, di norma, la ripresa dei
lavoratori dovrebbe avvenire in via incidentale e con carattere di
occasionalità, l’impianto può anche inquadrare direttamente i
lavoratori, senza limitazioni quali l’angolo di ripresa della telecamera
o l’oscuramento del volto del lavoratore
Videosorveglianza

Circolare n. 5 - 19 febbraio 2018

2) TUTELA DEL PATRIMONIO AZIENDALE
 nessun problema per dispositivi collegati ad impianti antifurto purché entrino
in funzione in assenza dei lavoratori
 rispetto dei principi di legittimità, determinatezza delle finalità,
proporzionalità, correttezza e non eccedenza per dispositivi operanti in
presenza di lavoratori  gradualità del monitoraggio – esclusione di controlli
invasivi
3) TELECAMERE
 l’accesso da postazioni remote alle immagini “in tempo reale” può essere
autorizzato in casi eccezionali e motivati
 l’accesso a immagini registrate deve essere tracciato; conservazione per un
tempo limitato (non inferiore a 6 mesi); superato il sistema della “doppia
chiave fisica o logica”
 autorizzazione (o accordo sindacale) anche per l’installazione in locali “privati”
ad accesso saltuario o occasionale dei lavoratori
Geolocalizzazione

Circolare n. 2 - 7 novembre 2016

Apparecchi di localizzazione satellitale gps montati su

autovetture aziendali

 Se “elementi aggiunti” per esigenze assicurative, produttive o di sicurezza

del lavoro richiedono l’accordo sindacale o, in mancanza, l’autorizzazione
amministrativa, ex art. 4, 1°comma.

 In casi particolari, se installati per consentire la concreta ed effettiva

prestazione lavorativa (che non può essere resa senza tali strumenti) o se
richiesta da specifiche normative di legge o regolamentari (esempio per
trasporto valori oltre 1.5 milioni di euro) costituiscono strumenti di lavoro
ex art. 4, 2°comma.
Localizzazione di dispositivi smartphone e
tablet

Provvedimento garante n. 505 del 30 novembre 2017

 Sistema tecnologico che consente la localizzazione geografica di dispositivi aziendali forniti

ai dipendenti allo scopo di certificare ai clienti l’effettuazione delle attività di controllo sulla
qualità di distribuzione del materiale pubblicitario.

 Sistema non direttamente proporzionato

all’esecuzione della prestazione lavorativa: accordo
sindacale.

 Necessità di posizionare un’icona che indichi

l’attivazione della localizzazione.
Geolocalizzazione

Provvedimento n. 138 – 16 marzo 2017

Localizzazione geografica dei veicoli utilizzati da una compagnia di
servizi idrici
 ottimizzazione richiesta di intervento e emergenze
 innalzamento delle condizioni di sicurezza sul lavoro dei dipendenti
 corretta manutenzione dei veicoli
 tutela del patrimonio aziendale
 calcolo dei tempi di lavoro effettivo
 gestione di incidenti stradali e sanzioni per violazione del codice della strada

Installazione legittima per le finalità indicate nel rispetto della privacy dei lavoratori
Il sistema può consentire il controllo a distanza dei lavoratori e necessita di previo
accordo sindacale o, in mancanza, di autorizzazione amministrativa

segue ….
Geolocalizzazione

Provvedimento n. 138 – 16 marzo 2017

Vanno definite le modalità di raccolta, di elaborazione e conservazione dei dati di
geolocalizzazione e degli altri dati personali, differenziando le tutele in base alle singole
finalità perseguite.

Ad esempio:
 regolare tenuta del libro unico del lavoro  conservazione per 5 anni
 contestazione violazioni amministrative  conservazione max 90 gg. (ovvero il tempo
previsto per la notificazione del verbale di contestazione)
 cancellazione o anonimizzazione automatica dei dati al termine del periodo di
conservazione
 trattamento dei dati sui percorsi in forma aggregata o anonima per finalità statistiche o
di programmazione del lavoro
 adozione di misure di sicurezza e accesso ai dati dei soli incaricati
 adeguata informazione ai dipendenti
Smartphone e rilevazione delle presenze

Provvedimento n. 350 – 8 settembre 2016

 Applicazione – contenente una funzionalità di localizzazione geografica – sul
dispositivo smartphone dei dipendenti, preordinata all’effettuazione della
timbratura del cartellino e alla rilevazione delle presenze
legittimità
 alternatività del sistema
 risparmio gestione; semplificazione ed incremento dell’efficienza e della
certezza della rilevazione
 cancellazione di tutti i dati: solo dato relativo alla presenza nella sede di lavoro
 temporaneità della conservazione
 informazione ai dipendenti
 configurazione che renda sempre visibile sullo schermo l’icona indicante che la
funzionalità è attiva
Marketing

Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio 2013
Il Garante ha adottato nel 2013 un provvedimento specifico sul marketing prevedendo:

 Consenso libero (se online, cd. opt-in)

 Consenso specifico per ciascuna distinta finalità (marketing, profilazione, comunicazione a terzi
dei dati)
 Informativa completa circa le modalità utilizzate per il trattamento (e-mail, sms, mms,
telefono, etc.)
 eccezione del "soft spam" per l’invio di posta elettronica promozionale: se il titolare del
trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta
elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può
non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli
oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente
o in occasione di successive comunicazioni.

Il provvedimento deve oggi essere interpretato alla luce dei

principi del GDPR…
Marketing: legittimo interesse

Il GDPR (Considerando 47) ha aperto alla possibilità per i Titolari di effettuare trattamenti a finalità
di marketing senza consenso espresso quando «tenuto conto delle ragionevoli aspettative nutrite
dall’interessato in base alla sua relazione con il titolare del trattamento…» l’interessato «…possa
ragionevolmente attendersi che abbia luogo un trattamento a tal fine».

Interessato ha un rapporto con il

Titolare che legittima l’aspettativa (es. ha
Interessato non ha alcun rapporto con il chiesto diversi preventivi e/o ha già
Titolare acquistato un prodotto dello stesso tipo)

Legittimo
Consenso interesse
Marketing: il cd. soft spam

Il GDPR non è invece intervenuto sull’eccezione del cd. soft-spam di cui all’art. 130, comma 4,
Codice Privacy, che è rimasta pertanto immutata:

«[Se] il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta
elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non
richiedere il consenso dell'interessato, sempre che
[1] si tratti di servizi analoghi a quelli oggetto della vendita e
[2] l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive
comunicazioni.
[3] L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità
di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera
agevole e gratuitamente.

È vietato in ogni caso l'invio di comunicazioni […], a scopo promozionale, effettuato camuffando o celando
l'identità del mittente […] o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di
cui agli articoli da 15 a 22 del Regolamento […].»
Marketing: norme speciali per il telemarketing
Legge 11 gennaio 2018 n. 5 – Nuove disposizioni sul telemarketing (in corso di implementazione…)

 Registro Pubblico delle Opposizioni esteso a

 numeri di telefonia mobile
 numeri di telefonia fissa assenti dagli elenchi pubblici

 annullamento dei consensi: una volta iscritti al Registro, tutti i consensi resi in passato si intendono
revocati, fatta eccezione per quelli precedentemente rilasciati nell’ambito di “nell’ambito di specifici rapporti
contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi”

 introduzione di prefisso unico per le telefonate di direct marketing e con un altro prefisso unico
per le ricerche di mercato;

 Verifica di avvenuta/non avvenuta iscrizione al Registro dei numeri che si intendono utilizzare per le
finalità di marketing almeno una volta al mese

 Responsabilità solidale tra Titolare del trattamento (committente) e call center per le violazioni
 Profilazione per finalità di marketing
Definizione:
«qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per
valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti
riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi,
l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica»

Quindi, la profilazione è costituita da tre elementi:

 deve essere una forma di trattamento automatizzato;

 deve essere effettuata su dati personali;
 il suo obiettivo deve essere quello di valutare (es. analizzare, prevedere) aspetti personali
 Profilazione per finalità di marketing

Se non c’è valutazione, non c’è profilazione. Un esempio dalle Linee guida sul processo decisionale
automatizzato relativo alle persone fisiche e sulla profilazione ai fini del regolamento 2016/679 del Working
Party Article 29

«Un’azienda potrebbe voler classificare i propri

clienti in base all’età o al sesso per finalità
statistiche e per acquisire una panoramica
aggregata dei propri clienti senza effettuare
previsioni o trarre conclusioni in merito a
una persona specifica.
In questo caso, la finalità non è la
valutazione delle caratteristiche individuali e
quindi non si tratta di profilazione.»
Profilazione per finalità di marketing

La profilazione finalizzata alle sole attività di marketing, in quanto trattamento a sé,

richiede l’individuazione di una autonoma base giuridica, ulteriore rispetto alla
base giuridica che legittima le finalità di marketing (sia esso il consenso o il
legittimo interesse del Titolare).

Ciò detto, è possibile individuare tale base giuridica nel legittimo interesse del
Titolare, piuttosto che nel consenso dell’interessato? Due tesi a confronto
 Profilazione per finalità di marketing (Garante)

Garante Privacy
Provv. 4 luglio 2013, «Linee guida in materia di attività promozionale e contrasto allo spam»
Provv. 24 febbraio 2005, «Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi
di fidelizzazione»

Secondo il Garante, mentre per le attività di trattamento connesse all'utilizzo di una cd. fidelity
card la base giuridica può essere costituita dalla necessità di dare esecuzione al rapporto
contrattuale sottostante, con riferimento alle altre finalità di trattamento, quali profilazione e
ricerche di mercato da un lato o marketing dall’altro, vi è necessità dell'acquisizione da parte degli
interessati di un consenso specifico, informato e distinto per ciascuna di esse.
 Profilazione per finalità di marketing (WP29)

Tuttavia, secondo il WP29 («Linee guida sul processo decisionale automatizzato relativo
alle persone fisiche e sulla profilazione»), la profilazione può fondarsi sul legittimo interesse,
purché non sia qualificabile quale trattamento ex art. 22, par. 1 GDPR (i.e. un trattamento
idoneo a produrre effetti giuridici per l’interessato o incida in modo significativo sulla sua
persona).
Aggiunge poi il WP29 che «sarebbe difficile per il titolare del trattamento giustificare il ricorso al legittimo
interesse come base legittima per pratiche intrusive di profilazione e tracciamento per finalità di marketing o
pubblicità, ad esempio quelle che comportano il tracciamento di persone fisiche su più siti web, ubicazioni,
dispositivi, servizi o l’intermediazione di dati».