Qualsiasi scambio e trasmissione di informazioni che comportano un trattamento di dati personali da parte delle istituzioni, organi o organismi dell\u2019UE deve inoltre avvenire in conformit\u00e0 al regolamento (UE) 2018\/1725<\/p>\n\n\n\n
regolamento (UE) 2018\/1725<\/h3>\n\n\n\n
Il regolamento (UE) 2018\/1725 riguarda la protezione delle persone fisiche per quanto riguarda il trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione europea. Essa stabilisce le regole relative alla protezione dei dati personali all’interno delle istituzioni europee al fine di garantire un livello elevato di tutela in conformit\u00e0 con il regolamento generale sulla protezione dei dati (GDPR).<\/p>\n\n\n\n
Definizione di trattamento di dati personali<\/h3>\n\n\n\n
Per trattamento si intende \u201cqualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione\u201d 87(cfr. Regolamento (Ue) 2016\/679, art. 4. \u00a7 1, n. 2).<\/em><\/p>\n\n\n\n La tutela dei dati personali va assicurata non solo alla persona segnalante o denunciante ma anche agli altri soggetti cui si applica la tutela della riservatezza, quali il facilitatore, la persona coinvolta e la persona menzionata nella segnalazione in quanto \u201cinteressati\u201d dal trattamento dei dati<\/p>\n\n\n\n Cfr. art. 4, par. 1 Regolamento (UE) 679\/2016 ai sensi del quale l\u2019interessato \u00e8 una \u201cpersona fisica identificata o identificabile si considera identificabile la persona fisica che pu\u00f2 essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o pi\u00f9 elementi caratteristici della sua identit\u00e0 fisica, fisiologica, genetica, psichica, economica, culturale o sociale\u201d.<\/p>\n\n\n\n Il titolare del trattamento \u00e8 la persona fisica o giuridica, l’autorit\u00e0 pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalit\u00e0 e i mezzi del trattamento di dati personali. <\/p>\n\n\n\n Pertanto, ai sensi del d.lgs. n. 24\/2023 sono titolari del trattamento i soggetti del settore pubblico e privato che istituiscono canali di segnalazione interni, ANAC nell\u2019ambito del canale di segnalazione esterno e le autorit\u00e0 competenti cui le segnalazioni vengono trasmesse <\/p>\n\n\n\n Gli enti che condividono il canale interno per la ricezione e la gestione delle segnalazioni sono contitolari del trattamento. Tali soggetti determinano congiuntamente le finalit\u00e0 e i mezzi del trattamento dei dati personali. Pertanto, essi sono tenuti a stabilire in modo trasparente, mediante un accordo interno, le rispettive responsabilit\u00e0 in merito all’osservanza degli obblighi derivanti dalla normativa in tema di tutela dei dati personali. <\/p>\n\n\n\n L\u2019accordo, il cui contenuto essenziale \u00e8 messo a disposizione dei soggetti interessati (persona segnalante o denunciante, facilitatore, persona coinvolta o persona menzionata nella segnalazione), deve riflettere adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati.<\/p>\n\n\n\n 1. Allorch\u00e9 due o pi\u00f9 titolari del trattamento determinano congiuntamente le finalit\u00e0 e i mezzi del trattamento, essi sono contitolari del trattamento. <\/p>\n\n\n\n Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilit\u00e0 in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilit\u00e0 siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo pu\u00f2 designare un punto di contatto per gli interessati.<\/p>\n\n\n\n 2. L’accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell’accordo \u00e8 messo a disposizione dell’interessato.<\/p>\n\n\n\n 3. Indipendentemente dalle disposizioni dell’accordo di cui al paragrafo 1, l’interessato pu\u00f2 esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.<\/p>\n\n\n\n Soggetti esterni gestori delle segnalazioni (ove sia stata loro affidata la gestione) – <\/p>\n\n\n\n Fornitori esterni <\/p>\n\n\n\n Persone espressamente designate dal titolare o dai contitolari del trattamento che gestiscono e trattano le segnalazioni<\/p>\n\n\n\n La disciplina sulla tutela dei dati personali stabilisce che i titolari e i contitolari del trattamento prevedano, sotto la propria responsabilit\u00e0 e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorit\u00e0<\/p>\n\n\n\n 1. Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilit\u00e0 e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorit\u00e0.<\/em><\/p>\n\n\n\n 2. Il titolare o il responsabile del trattamento individuano le modalit\u00e0 pi\u00f9 opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorit\u00e0 diretta.<\/em><\/p>\n\n\n\n A tal riguardo, per la trattazione delle segnalazioni, divulgazioni pubbliche o denunce, vanno individuate, come gi\u00e0 anticipato, persone espressamente autorizzate e previamente istruite dai titolari del trattamento. <\/p>\n\n\n\n Si consideri inoltre che i suddetti soggetti autorizzati operano sotto la direzione del titolare del trattamento eseguendo i compiti loro affidati. Non godono pertanto di apprezzabili margini di autonomia operativa nell\u2019ambito dei trattamenti di dati personali che sono chiamati a svolgere. Resta fermo che le persone autorizzate sono comunque tenute a rispettare i principi fondamentali in materia di tutela dei dati personali. <\/p>\n\n\n\n Il responsabile del trattamento, o chiunque agisca sotto la sua autorit\u00e0 o sotto quella del titolare del trattamento, che abbia accesso a dati personali non pu\u00f2 trattare tali dati se non \u00e8 istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.<\/p>\n\n\n\n Occorre avere riguardo all\u2019assetto organizzativo interno di ogni ente in modo da prevedere che le autorizzazioni al trattamento dei dati siano tali da ricomprendere tutte le persone che sono coinvolte nella gestione delle segnalazioni (si pensi al caso in cui erroneamente la segnalazione invece di pervenire attraverso il canale interno pervenga tramite protocollo). <\/p>\n\n\n\n Tali soggetti devono inoltre ricevere un\u2019adeguata e specifica formazione professionale volta ad accrescerne le competenze specialistiche anche in materia di normativa sulla protezione dei dati personali, sicurezza dei dati e delle informazioni, nonch\u00e9 in tema di addestramento relativamente alle procedure predisposte<\/p>\n\n\n\n Tale specifica formazione deve inoltre avere i caratteri di effettivit\u00e0 e concretezza e, al fine di tener conto delle novit\u00e0 o delle specifiche attivit\u00e0 affidate ai soggetti in questione, i percorsi formativi necessitano di aggiornamenti e revisioni periodiche (facendo riferimento ad esempio a procedure adottate o in corso di adozione).<\/p>\n\n\n\n 4. Il titolare del trattamento e il responsabile del trattamento fanno s\u00ec che chiunque agisca sotto la loro autorit\u00e0 e abbia accesso a dati personali non tratti tali dati se non \u00e8 istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.<\/p>\n\n\n\n Inoltre, il decreto prevede che nell\u2019ambito dei canali interni di segnalazione, i soggetti del settore pubblico e privato possono affidare la ricezione e la trattazione delle segnalazioni anche ad un soggetto esterno autonomo e con personale specificamente formato. <\/p>\n\n\n\n Tale soggetto, ai sensi della normativa in materia della tutela dei dati personali, assume la qualifica di responsabile del trattamento e, come anticipato, deve presentare garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilit\u00e0 e risorse, per mettere in atto misure tecniche e organizzative che garantiscano il rispetto della riservatezza, protezione dei dati e segretezza. <\/p>\n\n\n\n 1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.<\/p>\n\n\n\n 2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. <\/p>\n\n\n\n Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando cos\u00ec al titolare del trattamento l’opportunit\u00e0 di opporsi a tali modifiche.<\/p>\n\n\n\n L’esecuzione dei trattamenti da parte dei responsabili del trattamento deve essere disciplinata da un contratto o da altro atto giuridico che preveda l’oggetto, la durata, la natura e la finalit\u00e0 del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Peraltro, anche i responsabili del trattamento possono prevedere, sotto la propria responsabilit\u00e0, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorit\u00e0104.<\/p>\n\n\n\n 3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalit\u00e0 del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. <\/p>\n\n\n\n Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:<\/p>\n\n\n\n a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui \u00e8 soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;<\/p>\n\n\n\n b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;<\/p>\n\n\n\n c) adotti tutte le misure richieste ai sensi dell’articolo 32<\/a>; la pseudonimizzazione e la cifratura dei dati personali; la capacit\u00e0 di assicurare su base permanente la riservatezza, l’integrit\u00e0, la disponibilit\u00e0 e la resilienza dei sistemi e dei servizi di trattamento; la capacit\u00e0 di ripristinare tempestivamente la disponibilit\u00e0 e l’accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.<\/p>\n\n\n\n d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;<\/p>\n\n\n\n e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ci\u00f2 sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;<\/p>\n\n\n\n f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;<\/p>\n\n\n\n g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che \u00e8 terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e<\/p>\n\n\n\n h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attivit\u00e0 di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.<\/p>\n\n\n\n Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.<\/p>\n\n\n\n 4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attivit\u00e0 di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. <\/p>\n\n\n\n Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilit\u00e0 dell’adempimento degli obblighi dell’altro responsabile.<\/p>\n\n\n\n 5. L’adesione da parte del responsabile del trattamento a un codice di condotta <\/strong>approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 pu\u00f2 essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.<\/p>\n\n\n\n 6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo pu\u00f2 basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.<\/p>\n\n\n\n 7. La Commissione pu\u00f2 stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.<\/p>\n\n\n\n a) Trattare i dati in modo lecito, corretto e trasparente nei confronti dei soggetti interessati (\u00abliceit\u00e0, correttezza e trasparenza\u00bb).<\/p>\n\n\n\n b) Raccogliere i dati solo al fine di gestire e dare seguito alle segnalazioni, divulgazioni pubbliche o denunce effettuate da parte dei soggetti tutelati dal d.lgs. 24\/2023 (\u00ablimitazione della finalit\u00e0\u00bb).<\/p>\n\n\n\n c) Garantire che i dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalit\u00e0 per le quali sono trattati (\u00abminimizzazione dei dati\u00bb). A tal riguardo, il decreto precisa, infatti, che i dati personali che manifestamente non sono utili al trattamento di una specifica segnalazione non sono raccolti o, se raccolti accidentalmente, sono cancellati senza indugio. <\/p>\n\n\n\n In tal caso il soggetto deputato a valutare la manifesta inutilit\u00e0 dei dati \u00e8 il titolare del trattamento, in persona di coloro che sono autorizzati a ricevere e a trattare le segnalazioni, sulla base di indicazioni impartite dallo stesso titolare e dalla normativa di settore in ogni caso si precisa che il principio di minimizzazione debba essere interpretato in modo restrittivo limitando l\u2019applicabilit\u00e0 della previsione ai soli casi sia palese la assoluta irrilevanza di parti della segnalazione che contengono dati personali rispetto alla vicenda segnalata restando salve le norme di settore in materia di conservazione degli atti.<\/p>\n\n\n\n d) Assicurare che i dati siano esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti relativi alla specifica segnalazione, divulgazione pubblica o denuncia che viene gestita (\u00abesattezza\u00bb).<\/p>\n\n\n\n e) Conservare i dati in una forma che consenta l’identificazione degli interessati per il tempo necessario al trattamento della specifica segnalazione e comunque non oltre cinque anni a decorrere dalla data della comunicazione dell’esito finale della procedura di segnalazione (\u00ablimitazione della conservazione\u00bb). <\/p>\n\n\n\n f) Effettuare il trattamento in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (\u00abintegrit\u00e0, disponibilit\u00e0 e riservatezza\u00bb). <\/p>\n\n\n\n Nel contesto in esame, caratterizzato da elevati rischi per i diritti e le libert\u00e0 degli interessati, il ricorso a strumenti di crittografia nell\u2019ambito dei canali interni e del canale esterno di segnalazione, \u00e8 di regola da ritenersi una misura adeguata a dare attuazione, fin dalla progettazione e per impostazione predefinita, al predetto principio di integrit\u00e0 e riservatezza. Le misure di sicurezza adottate devono, comunque, essere periodicamente riesaminate e aggiornate.<\/p>\n\n\n\n g) Rispettare il principio della privacy by design e della privacy by default. Definire un modello di gestione delle segnalazioni in conformit\u00e0 ai principi di protezione dei dati personali. <\/p>\n\n\n\n In particolare, tali misure devono fare in modo che non siano resi accessibili, in via automatica senza il tramite del titolare del trattamento o soggetto autorizzato, dati personali a un numero indefinito di soggetti. Occorre in particolare adottare misure tecniche e organizzative fin dalla progettazione del canale di segnalazione (privacy by design) e garantire che per impostazione predefinita (privacy by default) siano trattati solo i dati personali strettamente necessari in relazione alla specifica segnalazione, divulgazione pubblica o denuncia.<\/p>\n\n\n\n \u00e8 un concetto e un approccio fondamentale nel campo della protezione dei dati personali e della privacy. Si tratta di un approccio proattivo che mira a integrare la protezione della privacy fin dalla fase iniziale di progettazione di un sistema, prodotto, servizio o processo. L’obiettivo principale della privacy by design \u00e8 quello di garantire che la privacy degli individui sia considerata e preservata in modo naturale e intrinseco in tutte le fasi di sviluppo e implementazione.<\/p>\n\n\n\n Ecco alcuni principi chiave associati alla privacy by design:<\/p>\n\n\n\n in italiano si traduce come “privacy per impostazione predefinita”. <\/p>\n\n\n\n Questo principio \u00e8 comunemente associato alla protezione dei dati e alla sicurezza delle informazioni. Significa che le impostazioni di privacy pi\u00f9 restrittive vengono applicate automaticamente non appena un cliente acquista un nuovo prodotto o servizio. In sostanza, le informazioni personali dell’utente rimangono private fino a quando non decidono di condividerle. Questo approccio si contrappone a impostazioni in cui gli utenti devono attivamente scegliere di proteggere la loro privacy.<\/p>\n\n\n\n La privacy per impostazione predefinita \u00e8 un componente chiave delle filosofie di progettazione incentrate sulla privacy ed \u00e8 spesso richiesta da regolamenti sulla protezione dei dati come il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea. Ha lo scopo di proteggere gli utenti garantendo che i loro dati personali non vengano condivisi automaticamente o inadvertitamente senza il loro consenso esplicito.<\/p>\n\n\n\n h) Effettuare, nella fase di progettazione del canale di segnalazione e dunque prima dell\u2019inizio del trattamento, una valutazione d\u2019impatto sulla protezione dei dati al fine di individuare ed applicare le necessarie misure tecniche per evitare tale rischio<\/p>\n\n\n\n 1. Quando un tipo di trattamento, allorch\u00e9 prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalit\u00e0 del trattamento, pu\u00f2 presentare un rischio elevato per i diritti e le libert\u00e0 delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione pu\u00f2 esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.<\/p>\n\n\n\n 2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.<\/p>\n\n\n\n 3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 \u00e8 richiesta in particolare nei casi seguenti:<\/p>\n\n\n\n a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;<\/p>\n\n\n\n b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10;<\/p>\n\n\n\n c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.<\/p>\n\n\n\n 7. La valutazione contiene almeno:<\/p>\n\n\n\n a) una descrizione sistematica dei trattamenti previsti e delle finalit\u00e0 del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;<\/p>\n\n\n\n b) una valutazione della necessit\u00e0 e proporzionalit\u00e0 dei trattamenti in relazione alle finalit\u00e0;<\/p>\n\n\n\n c) una valutazione dei rischi per i diritti e le libert\u00e0 degli interessati di cui al paragrafo 1; e<\/p>\n\n\n\n d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformit\u00e0 al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.<\/p>\n\n\n\n 8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili \u00e8 tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.<\/p>\n\n\n\n 9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.<\/p>\n\n\n\n 11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d’impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attivit\u00e0 relative al trattamento.<\/p>\n\n\n\n i) Rendere ex ante ai possibili interessati (ad es. segnalanti, segnalati, persone interessate dalla segnalazione, facilitatori, ecc.) un\u2019informativa sul trattamento dei dati personali mediante la pubblicazione di documenti informativi ad esempio tramite sito web, piattaforma, informative brevi in occasione dell\u2019utilizzo degli altri canali previsti dal decreto. <\/p>\n\n\n\n Ai sensi degli artt. 13 e 14 del Regolamento (UE) 679\/2016. Tale informativa (che pu\u00f2 essere, ad esempio, inclusa nell\u2019atto organizzativo adottato dall\u2019amministrazione\/ente per la gestione delle segnalazioni ovvero pubblicata in un\u2019apposita sezione dell\u2019applicativo informatico utilizzato per l\u2019acquisizione e gestione delle segnalazioni), deve essere resa nel momento in cui i dati personali sono ottenuti e deve contenere una serie di indicazioni specifiche. <\/p>\n\n\n\n Ci si riferisce, a titolo esemplificativo, all\u2019identit\u00e0 e ai dati di contatto del titolare del trattamento, del responsabile del trattamento, ove presente, e della persona autorizzata al trattamento, le finalit\u00e0 del trattamento cui sono destinati i dati personali nonch\u00e9 la base giuridica del trattamento; il periodo di conservazione dei dati personali.<\/em><\/p>\n\n\n\n Nella fase di acquisizione della segnalazione e della eventuale successiva istruttoria non devono invece essere fornite informative ad hoc ai vari soggetti interessati diversi dal segnalante. Ci\u00f2 anche per evitare elevati flussi informativi dai quali \u00e8 possibile dedurre il coinvolgimento della persona in una segnalazione vanificando le tutele per la riservatezza approntate dal decreto.<\/p>\n\n\n\n Laddove all\u2019esito dell\u2019istruttoria sulla segnalazione si avvii un procedimento nei confronti di uno specifico soggetto segnalato, a quest\u2019ultimo va naturalmente resa un\u2019informativa ad hoc<\/p>\n\n\n\n l) Assicurare l\u2019aggiornamento del registro delle attivit\u00e0 di trattamento, integrandolo con le informazioni connesse a quelle di acquisizione e gestione delle segnalazioni<\/p>\n\n\n\n Tale registro dovr\u00e0 contenere, ad esempio, il nome e i dati di contatto del titolare del trattamento e, ove presente, del contitolare del trattamento; una descrizione delle categorie di soggetti interessati e delle categorie di dati personali che vengono in rilievo; le autorit\u00e0 competenti a cui le segnalazioni, divulgazioni pubbliche o denunce, e quindi i dati personali in esse contenuti, sono stati o saranno comunicati.<\/p>\n\n\n\n 1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attivit\u00e0 di trattamento svolte sotto la propria responsabilit\u00e0. Tale registro contiene tutte le seguenti informazioni:<\/p>\n\n\n\n a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;<\/p>\n\n\n\n b) le finalit\u00e0 del trattamento;<\/p>\n\n\n\n c) una descrizione delle categorie di interessati e delle categorie di dati personali;<\/p>\n\n\n\n d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;<\/p>\n\n\n\n e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;<\/p>\n\n\n\n f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;<\/p>\n\n\n\n g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.<\/p>\n\n\n\n 2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attivit\u00e0 relative al trattamento svolte per conto di un titolare del trattamento, contenente:<\/p>\n\n\n\n a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;<\/p>\n\n\n\n b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;<\/p>\n\n\n\n c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;<\/p>\n\n\n\n m) Garantire il divieto di tracciamento dei canali di segnalazione. Nel caso in cui l\u2019accesso ai canali interni e al canale esterno di segnalazione avvenga dalla rete dati interna del soggetto obbligato e sia mediato da dispositivi firewall o proxy, deve essere garantita la non tracciabilit\u00e0 \u2013 sia sulla piattaforma informatica che negli apparati di rete eventualmente coinvolti nella trasmissione o monitoraggio delle comunicazioni – del segnalante nel momento in cui viene stabilita la connessione a tali canali. <\/p>\n\n\n\n Ci\u00f2 in quanto la registrazione e la conservazione (ad esempio, nei log degli apparati firewall), delle informazioni relative alle connessioni ai predetti canali di segnalazione consente la tracciabilit\u00e0 dei soggetti che utilizzano tale applicativo, tra i quali i segnalanti. Ci\u00f2, rende inefficaci le altre misure adottate per tutelare la riservatezza dell\u2019identit\u00e0 dei segnalanti.<\/p>\n\n\n\n n) Garantire, ove possibile, il tracciamento dell\u2019attivit\u00e0 del personale autorizzato nel rispetto delle garanzie a tutela del segnalante, al fine di evitare l\u2019uso improprio di dati relativi alla segnalazione. Deve essere evitato il tracciamento di qualunque informazione che possa ricondurre all\u2019identit\u00e0 o all\u2019attivit\u00e0 del segnalante . Spetta comunque al titolare del trattamento alla luce del principio di responsabilizzazione, individuare le misure di sicurezza idonee alla luce del rischio in concreto<\/p>\n\n\n\n Il tracciamento, fatto salvo quanto previsto dall\u2019art. 4 della l. n. 300\/1970, pu\u00f2 essere effettuato esclusivamente al fine di garantire la correttezza e la sicurezza del trattamento dei dati.<\/p>\n\n\n\n La responsabilit\u00e0 in caso di violazione della disciplina sulla tutela dei dati personali ricade in capo al titolare del trattamento<\/strong> laddove tale violazione sia commessa delle persone autorizzate o dai responsabili del trattamento. <\/p>\n\n\n\n Ci\u00f2 salvo che, come sopra chiarito, questi ultimi non si siano limitati a trattare i dati in base alle indicazioni del titolare del trattamento e abbiano definito mezzi e finalit\u00e0 propri assumendo quindi la titolarit\u00e0 di tale trattamento.<\/p>\n\n\n\n La responsabilit\u00e0 ricade in capo al responsabile del trattamento<\/strong> nel caso in cui la suddetta violazione \u00e8 commessa da persone autorizzate da quest\u2019ultimo. <\/p>\n\n\n\n In tali casi, il Garante per la protezione dei dati personali pu\u00f2 adottare provvedimenti correttivi e, nei casi previsti dalla legge, applicare sanzioni amministrative pecuniarie . <\/p>\n\n\n\n Ogni autorit\u00e0 di controllo ha tutti i poteri correttivi seguenti: b) rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;<\/p>\n\n\n\n c) ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell’interessato di esercitare i diritti loro derivanti dal presente regolamento;<\/p>\n\n\n\n d) ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;<\/p>\n\n\n\n e) ingiungere al titolare del trattamento di comunicare all’interessato una violazione dei dati personali;<\/p>\n\n\n\n f) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;<\/p>\n\n\n\n g) ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell’articolo 17, paragrafo 2, e dell’articolo 19;<\/p>\n\n\n\n h) revocare la certificazione o ingiungere all’organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all’organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono pi\u00f9 soddisfatti;<\/p>\n\n\n\n i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e<\/p>\n\n\n\n j) ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un’organizzazione internazionale.<\/p>\n\n\n\n Tali sanzioni amministrative non si applicano in relazione ai trattamenti svolti in ambito giudiziario ai sensi Art. 166, comma 10, Nuovo Codice Privacy \u2013 D.lgs 196\/2003 aggiornato al D.lgs 101\/2018<\/p>\n\n\n\n Le medesime violazioni possono inoltre rilevare sotto il profilo penale e dar luogo a responsabilit\u00e0 civile<\/p>\n\n\n\n Diritto al risarcimento e responsabilit\u00e0<\/strong> Sanzioni<\/strong> 2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al pi\u00f9 tardi entro il 25 maggio 2018, e comunica senza ritardo ogni successiva modifica. <\/p>\n\n\n\n La persona coinvolta o la persona menzionata nella segnalazione, con riferimento ai propri dati personali trattati nell\u2019ambito della segnalazione, divulgazione pubblica o denuncia, non possono esercitare \u2013 per il tempo e nei limiti in cui ci\u00f2 costituisca una misura necessaria e proporzionata- i diritti che normalmente il Regolamento (UE) 2016\/679 riconosce agli interessati <\/p>\n\n\n\n I diritti di cui agli articoli da 15 a 22 del Regolamento non possono essere esercitati con richiesta al titolare del trattamento ovvero con reclamo ai sensi dell’articolo 77 del Regolamento qualora dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto:<\/p>\n\n\n\n f) alla riservatezza dell’identit\u00e0 della persona che segnala violazioni di cui sia venuta a conoscenza in ragione del proprio rapporto di lavoro o delle funzioni svolte, ai sensi del decreto legislativo recante attuazione della direttiva (UE) 2019\/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione, ovvero che segnala violazioni ai sensi degli articoli\u00a052 bis<\/a>\u00a0e\u00a052 ter<\/a>\u00a0del decreto legislativo 1\u00b0 settembre 1993, n. 385, o degli articoli\u00a04 undecies<\/a>\u00a0e\u00a04 duodecies<\/a>\u00a0del decreto legislativo 24 febbraio 1998, n. 58(3)<\/a><\/sup><\/p>\n\n\n\n (il diritto di accesso ai dati personali, il diritto a rettificarli, il diritto di ottenerne la cancellazione o cosiddetto diritto all\u2019oblio, il diritto alla limitazione del trattamento, il diritto alla portabilit\u00e0 dei dati personali e quello di opposizione al trattamento.<\/p>\n\n\n\n Dall\u2019esercizio di tali diritti potrebbe derivare un pregiudizio effettivo e concreto alla tutela della riservatezza dell\u2019identit\u00e0 della persona segnalante. In tali casi, dunque, al soggetto segnalato o alla persona menzionata nella segnalazione \u00e8 preclusa anche la possibilit\u00e0, laddove ritengano che il trattamento che li riguarda violi suddetti diritti, di rivolgersi al titolare del trattamento e, in assenza di risposta da parte di quest\u2019ultimo, di proporre reclamo al Garante della protezione dei dati personali.<\/p>\n\n\n\n Qualora i responsabili del trattamento non si limitino a trattare i dati in base alle indicazioni del titolare del trattamento e inizino a definire mezzi e finalit\u00e0 propri, sono considerati titolari rispetto a tale ultimo trattamento e possono pertanto essere soggetti alle sanzioni amministrative pecuniarie da parte del Garante.<\/p>\n\n\n\n Vale poi precisare che, laddove in esito alla valutazione di impatto (cfr. infra) si renda necessario il ricorso a misure tecniche e organizzative per ridurre un rischio per i diritti degli interessati, i titolari del trattamento, nell\u2019individuazione e predisposizione di tali misure, possono eventualmente ricorrere a fornitori esterni al fine di rendere pi\u00f9 sicuro e adeguato il canale di gestione delle segnalazioni, divulgazioni pubbliche o denunce. <\/p>\n\n\n\n Anche tali soggetti, che operano per conto dei titolari del trattamento, ai sensi della normativa sulla tutela dei dati personali, sono responsabili del trattamento.<\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Il trattamento dei dati personali e il rispetto della relativa normativa Al fine di garantire il diritto alla protezione dei dati personali alle persone segnalanti o denuncianti il legislatore ha previsto che l\u2019acquisizione e gestione delle segnalazioni, divulgazioni pubbliche o denunce, ivi incluse le comunicazioni tra le autorit\u00e0 competenti, avvenga in conformit\u00e0 alla normativa in […]<\/p>\n","protected":false},"author":2,"featured_media":4936,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[44,1],"tags":[],"class_list":["post-4932","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diritto-rovescio","category-non-categorizzato"],"yoast_head":"\nChi sono gli interessati?<\/h3>\n\n\n\n
Le qualifiche dei soggetti che trattano i dati personali <\/h3>\n\n\n\n
Titolari del trattamento <\/h3>\n\n\n\n
Contitolari del trattamento <\/h3>\n\n\n\n
Art. 26 GDPR Contitolari del trattamento<\/strong><\/h3>\n\n\n\n
Responsabili del trattamento <\/h3>\n\n\n\n
Persone autorizzate <\/h3>\n\n\n\n
Dispositivo dell’art. 2 quaterdecies Codice della privacy<\/h3>\n\n\n\n
L’individuazione delle persone autorizzate al trattamento<\/h3>\n\n\n\n
Articolo 29<\/strong> GDPR<\/h3>\n\n\n\n
Trattamento sotto l’autorit\u00e0 del titolare del trattamento o del responsabile del trattamento<\/strong><\/h3>\n\n\n\n
Art. 32 n. 4 GDPR<\/h3>\n\n\n\n
Il soggetto esterno autonomo. Il responsabile del trattamento <\/h3>\n\n\n\n
Articolo 28<\/strong> del GDPR Responsabile del trattamento<\/h3>\n\n\n\n
Il contratto o altro atto giuridico<\/h3>\n\n\n\n
I principi fondamentali <\/h3>\n\n\n\n
La “privacy by design”<\/h3>\n\n\n\n
\n
“Privacy by default” <\/h3>\n\n\n\n
Articolo 35 <\/strong>Valutazione d’impatto sulla protezione dei dati<\/h3>\n\n\n\n
Altri principi<\/h3>\n\n\n\n
No informativa<\/h3>\n\n\n\n
Articolo 30<\/strong> GDPR Registri delle attivit\u00e0 di trattamento<\/h3>\n\n\n\n
La responsabilit\u00e0 in caso di violazioni<\/h3>\n\n\n\n
Art 58 co2 GDPR poteri dell’autorit\u00e0 Garante <\/h3>\n\n\n\n
a) rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;<\/p>\n\n\n\nEccezioni<\/h3>\n\n\n\n
La responsabilit\u00e0 civile per illecito trattamento dei dati<\/h3>\n\n\n\n
Art. 82 GDPR – Diritto al risarcimento e responsabilit\u00e0<\/h3>\n\n\n\n
1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
2. Un titolare del trattamento<\/strong> coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento<\/strong> risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
3. Il titolare del trattamento o il responsabile del trattamento \u00e8 esonerato dalla responsabilit\u00e0,<\/strong> a norma del paragrafo 2 se dimostra che l’evento dannoso non gli \u00e8 in alcun modo imputabile.
4. Qualora pi\u00f9 titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento \u00e8 responsabile in solido<\/strong> per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
5. Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente<\/strong> alla loro parte di responsabilit\u00e0 per il danno conformemente alle condizioni di cui al paragrafo 2.
6. Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorit\u00e0 giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.<\/p>\n\n\n\nArticolo 84<\/strong> GDPR<\/h3>\n\n\n\n
1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive.<\/p>\n\n\n\nDivieto di esercitare i diritti che vengono riconosciuti agli interessati<\/h3>\n\n\n\n
Articolo\u00a02 undecies\u00a0Codice della privacy<\/h3>\n\n\n\n
i diritti di cui agli arti 15 e 22<\/h3>\n\n\n\n
La ratio<\/h3>\n\n\n\n
Quando un responsabile diventa titolare?<\/h3>\n\n\n\n
I fornitori esterni<\/h3>\n\n\n\n
![\"\"](\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2023\/12\/image-3.png\")
<\/figure>\n\n\n\n