{"id":6757,"date":"2024-04-22T21:09:59","date_gmt":"2024-04-22T21:09:59","guid":{"rendered":"https:\/\/www.consultingpb.com\/?p=6757"},"modified":"2024-04-24T15:23:33","modified_gmt":"2024-04-24T15:23:33","slug":"titolare-o-responsabile-questo-e-il-problema","status":"publish","type":"post","link":"https:\/\/www.consultingpb.com\/en\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/","title":{"rendered":"Titolare o responsabile? Questo \u00e8 il problema"},"content":{"rendered":"\n<h3 class=\"wp-block-heading\" id=\"h-chi-e-il-titolare-del-trattamento\">Chi \u00e8 il titolare del trattamento ?<\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u00abtitolare del trattamento\u00bb: la persona fisica o giuridica, l&#8217;autorit\u00e0 pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalit\u00e0 e i mezzi del trattamento di dati personali; quando le finalit\u00e0 e i mezzi di tale trattamento sono determinati dal diritto dell&#8217;Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell&#8217;Unione o degli Stati membri;<\/p>\n\n\n\n<p><\/p>\n<\/blockquote>\n\n\n\n<p>Il concetto di &#8220;titolare del trattamento&#8221; \u00e8 fondamentale nel contesto della privacy e della protezione dei dati personali, soprattutto alla luce delle normative come il GDPR (General Data Protection Regulation) dell&#8217;Unione Europea. <\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Per spiegarlo in modo semplice, immaginiamo il titolare del trattamento come il &#8220;capitano&#8221; di una nave che naviga nel vasto mare dei dati personali.<\/p>\n\n\n\n<p><strong>Chi \u00e8 il Titolare del Trattamento?<\/strong><br><\/p>\n\n\n\n<p>In altre parole, \u00e8 chi decide &#8220;perch\u00e9&#8221; e &#8220;come&#8221; i dati personali dovrebbero essere trattati. Questo pu\u00f2 essere un&#8217;azienda, un&#8217;organizzazione, o anche un dipartimento governativo.<\/p>\n\n\n\n<p>La definizione di titolare del trattamento contiene <strong>cinque elementi principal<\/strong>i, che saranno analizzati separatamente ai fini dei presenti orientamenti. Sono i seguenti:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>&#8220;la persona fisica o giuridica, l&#8217;autorit\u00e0 pubblica, il servizio o altro organismo&#8221;<\/li>\n\n\n\n<li>&#8220;determina&#8221;<\/li>\n\n\n\n<li>&#8220;da solo o insieme ad altri&#8221;<\/li>\n\n\n\n<li>&#8220;gli scopi e i mezzi&#8221;<\/li>\n\n\n\n<li>\u201cdel trattamento dei dati personali\u201d.<\/li>\n<\/ul>\n\n\n\n<p>Conforme al GDPR, il titolare del trattamento pu\u00f2 essere identificato come &#8220;<strong>un individuo o un&#8217;entit\u00e0 legale, un&#8217;autorit\u00e0 pubblica, un&#8217;agenzia o qualsiasi altro tipo di organismo&#8221;. <\/strong><\/p>\n\n\n\n<p>Questo indica che non esistono limitazioni specifiche riguardo alla natura dell&#8217;entit\u00e0 che pu\u00f2 assumere il ruolo di responsabile del trattamento, potendo essere <strong>sia un&#8217;organizzazione che un singolo individuo o un gruppo di persone. <\/strong><\/p>\n\n\n\n<p>Tuttavia, nella pratica, \u00e8 generalmente l&#8217;organizzazione stessa, piuttosto che una persona singola all&#8217;interno di essa (come l&#8217;amministratore delegato, un dipendente o un membro del consiglio di amministrazione), a svolgere la funzione di titolare del trattamento secondo il GDPR. <\/p>\n\n\n\n<p>Quando si tratta del trattamento dei dati all&#8217;interno di un conglomerato aziendale, \u00e8 fondamentale valutare con attenzione se un&#8217;entit\u00e0 opera come titolare o responsabile del trattamento, specialmente nel caso in cui elabori dati per conto dell&#8217;azienda capogruppo.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-garante-della-protezione-dei-dati-personali-provv-9-12-1997\">Garante della Protezione dei dati personali provv. 9.12.1997<\/h3>\n\n\n\n<p> Il Garante nelle \u201cPrecisazioni sulla figura del titolare\u201d (provv. 9.12.1997) specifica che il riferimento alla persona fisica che compare nella definizione del titolare non riguarda coloro che amministrano o rappresentano la persona giuridica, la pubblica amministrazione o l\u2019ente, ma concerne gli individui che effettuano un trattamento di dati a titolo personale (ad esempio, il libero professionista, il piccolo imprenditore), e che assumono individualmente la piena responsabilit\u00e0 di un\u2019attivit\u00e0 che va distinta nettamente, anche sul piano giuridico, da quella che singole persone fisiche possono coordinare nell\u2019ambito e nell\u2019interesse di una persona giuridica, di un\u2019impresa o di un ente nel quale ricoprono incarichi di rilievo. <\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-chi-e-il-titolare-del-trattamento-nel-contesto-di-una-persona-giuridica\">Chi \u00e8 il Titolare del Trattamento nel contesto di una persona giuridica<\/h4>\n\n\n\n<p>Nel contesto di una persona giuridica (come un&#8217;azienda o un ente pubblico), il &#8220;titolare del trattamento&#8221; non \u00e8 una singola persona fisica all&#8217;interno dell&#8217;organizzazione (come l&#8217;amministratore delegato o il direttore generale), ma l&#8217;entit\u00e0 nel suo complesso. Questo significa che l&#8217;intera organizzazione \u00e8 responsabile del trattamento dei dati personali nel rispetto delle leggi sulla privacy.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-esempio-pratico\">Esempio Pratico<\/h4>\n\n\n\n<p>Immaginiamo una grande azienda farmaceutica, &#8220;PharmaCorp&#8221;, che raccoglie dati sui pazienti per la ricerca. In questo caso, &#8220;PharmaCorp&#8221; nel suo complesso \u00e8 il titolare del trattamento. Anche se l&#8217;amministratore delegato o il capo del dipartimento di ricerca potrebbero prendere decisioni su come vengono utilizzati i dati, la responsabilit\u00e0 legale e la conformit\u00e0 con le normative sulla privacy ricadono sull&#8217;azienda stessa, non su queste singole persone.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-perche-e-importante\">Perch\u00e9 \u00c8 Importante?<\/h4>\n\n\n\n<p>Questa distinzione \u00e8 cruciale per varie ragioni:<\/p>\n\n\n\n<p><strong>Responsabilit\u00e0 e Conformit\u00e0<\/strong>: Assicura che l&#8217;intera organizzazione sia responsabile della protezione dei dati personali e della conformit\u00e0 con le leggi sulla privacy, promuovendo un approccio olistico e integrato alla gestione dei dati.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong>Chiarezza nelle Relazioni Esterne<\/strong>: Fornisce chiarezza a chi fornisce i propri dati personali (come i clienti o i pazienti) su chi sia effettivamente responsabile per quei dati, rendendo pi\u00f9 semplice per loro esercitare i loro diritti in materia di privacy (come il diritto di accesso, rettifica o cancellazione dei dati).<\/p>\n\n\n\n<p><strong>Gestione delle Responsabilit\u00e0<\/strong>: Aiuta a definire chiaramente le responsabilit\u00e0 all&#8217;interno dell&#8217;organizzazione, assicurando che le politiche e le procedure di protezione dei dati siano implementate a tutti i livelli.<\/p>\n\n\n\n<p>Quindi, quando si parla di<strong> &#8220;titolare del trattamento&#8221; <\/strong>in contesti organizzativi complessi, \u00e8 importante ricordare che si riferisce all&#8217;entit\u00e0 nel suo complesso, e non alle singole persone che operano al suo interno. Questo aiuta a garantire che la gestione dei dati personali sia presa seriamente e che ci sia una chiara responsabilit\u00e0 collettiva per la protezione della privacy.<\/p>\n\n\n\n<p>In alcuni casi, aziende e istituzioni pubbliche designano <strong>un individuo specifico<\/strong> per sovrintendere all&#8217;esecuzione delle operazioni di trattamento dei dati. <\/p>\n\n\n\n<p>Tuttavia, anche se questa persona viene incaricata di assicurare la conformit\u00e0 alle leggi sulla protezione dei dati, non assume il ruolo di titolare del trattamento. Piuttosto, agisce in rappresentanza dell&#8217;entit\u00e0 legale (che sia un&#8217;azienda o un ente pubblico), la quale rimane l&#8217;ultima responsabile per qualsiasi inadempienza alle normative, in qualit\u00e0 di titolare del trattamento.<\/p>\n\n\n\n<p><strong>Il secondo principio<\/strong> fondamentale che definisce il ruolo di titolare del trattamento riguarda l&#8217;autorit\u00e0 di quest&#8217;ultimo sul processo di trattamento, attraverso l&#8217;esercizio del<strong> potere decisionale. <\/strong><\/p>\n\n\n\n<p>Un titolare del trattamento \u00e8 quindi identificato come l&#8217;entit\u00e0 che stabilisce aspetti fondamentali del trattamento dei dati. <\/p>\n\n\n\n<p>Questa capacit\u00e0 di controllo pu\u00f2 essere assegnata per legge o pu\u00f2 emergere dall&#8217;esame delle circostanze specifiche o dei fatti concreti. <\/p>\n\n\n\n<p>\u00c8 essenziale analizzare le operazioni di trattamento specifiche in esame per determinare chi ne sia responsabile, ponendo particolare attenzione a questioni come <\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>&#8220;Perch\u00e9 si sta effettuando questo trattamento?&#8221; e &#8220;Chi ha deciso che il trattamento dovesse essere intrapreso per uno scopo specifico?&#8221;.<\/p>\n<\/blockquote>\n\n\n\n<p>In assenza di specifiche disposizioni legislative che attribuiscano il controllo del trattamento, la definizione di un&#8217;entit\u00e0 come responsabile del trattamento deve essere determinata analizzando le circostanze concrete legate al processo di trattamento dei dati. \u00c8 fondamentale considerare tutte le circostanze rilevanti per stabilire se un&#8217;entit\u00e0 eserciti un&#8217;influenza decisiva sul trattamento dei dati personali in questione.<\/p>\n\n\n\n<p>Questa necessit\u00e0 di una valutazione basata sui fatti implica che il ruolo di responsabile del trattamento non dipende dalla natura intrinseca dell&#8217;entit\u00e0 che tratta i dati, <strong>ma dalle sue azioni specifiche in un dato contesto.<\/strong> Ci\u00f2 significa che la stessa entit\u00e0 pu\u00f2 assumere il ruolo di titolare del trattamento per alcune operazioni di trattamento e di responsabile del trattamento per altre, e questa distinzione deve essere valutata in relazione ad ogni singola attivit\u00e0 di trattamento dei dati.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Un esempio classico di soggetto che pu\u00f2 agire sia come titolare del trattamento sia come responsabile del trattamento \u00e8 una societ\u00e0 di consulenza IT che offre servizi di cloud computing e di gestione dei sistemi informativi alle aziende.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-come-titolare-del-trattamento\">Come Titolare del Trattamento<\/h4>\n\n\n\n<p>Quando la societ\u00e0 di consulenza IT raccoglie e utilizza dati personali relativi ai propri dipendenti per scopi di gestione delle risorse umane, agisce come titolare del trattamento. In questo contesto, la societ\u00e0 decide le finalit\u00e0 e i mezzi del trattamento dei dati personali dei suoi dipendenti, come l&#8217;elaborazione delle buste paga, la gestione delle assenze e delle ferie, e la valutazione delle performance.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-come-responsabile-del-trattamento\">Come Responsabile del Trattamento<\/h4>\n\n\n\n<p>D&#8217;altra parte, quando la stessa societ\u00e0 fornisce servizi di cloud computing a un&#8217;altra azienda, agisce come responsabile del trattamento. In questo scenario, la societ\u00e0 di consulenza IT gestisce i dati personali per conto dell&#8217;azienda cliente (il titolare del trattamento), seguendo le istruzioni specificate nel contratto di servizio. Questo pu\u00f2 includere l&#8217;hosting di database dell&#8217;azienda cliente contenenti dati personali, la gestione della sicurezza dei dati, e il supporto nel backup e nel recupero dei dati.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-valutazione-contestuale\">Valutazione Contestuale<\/h4>\n\n\n\n<p>La distinzione tra i ruoli di titolare e responsabile del trattamento per la stessa entit\u00e0 dipende strettamente dalle specifiche attivit\u00e0 di trattamento e dalle relazioni contrattuali stabilite con altre parti. \u00c8 fondamentale che questa distinzione sia chiaramente definita e documentata per assicurare la conformit\u00e0 con il GDPR, specialmente in termini di responsabilit\u00e0, obblighi di protezione dei dati, e diritti degli interessati. <strong>Questo approccio basato sui fatti garantisce che tutte le parti coinvolte comprendano i loro ruoli e responsabilit\u00e0 nella protezione dei dati personali.<\/strong><\/p>\n\n\n\n<p>Nella pratica, certe attivit\u00e0 di trattamento dei dati possono essere considerate intrinsecamente connesse al ruolo o alle funzioni di un&#8217;entit\u00e0, implicando cos\u00ec una responsabilit\u00e0 diretta in termini di protezione dei dati. Questo pu\u00f2 derivare da normative generali o da pratiche legali consolidate in vari campi (come il diritto civile, commerciale, del lavoro, ecc.). <\/p>\n\n\n\n<p>In questi casi, i ruoli tradizionali e le competenze professionali che normalmente comportano una certa responsabilit\u00e0 possono facilitare l&#8217;identificazione del responsabile del trattamento. <\/p>\n\n\n\n<p>Quando un&#8217;entit\u00e0 gestisce dati personali nell&#8217;ambito delle sue interazioni con dipendenti, clienti o membri, \u00e8 generalmente considerata titolare del trattamentoo, in quanto determina gli scopi e i mezzi del trattamento in conformit\u00e0 al GDPR.<\/p>\n\n\n\n<p><em>La societ\u00e0 ABC assume <strong>uno studio legale<\/strong> per rappresentarla in una controversia. Per svolgere questo compito, lo studio legale deve trattare i dati personali relativi al caso. La ragione del trattamento dei dati personali \u00e8 il mandato dello studio legale di rappresentare il cliente in tribunale. Tale mandato, tuttavia, non \u00e8 specificatamente finalizzato al trattamento dei dati personali. Lo studio legale agisce con un notevole grado di indipendenza, ad esempio nel decidere quali informazioni utilizzare e come utilizzarle, e non ci sono istruzioni da parte dell&#8217;azienda cliente in merito al trattamento dei dati personali. I trattamenti che lo studio legale effettua per adempiere all&#8217;incarico di legale rappresentante della societ\u00e0 sono quindi legati al ruolo funzionale dello studio legale tanto che lo stesso \u00e8 da considerarsi titolare di tale trattamento.<\/em><\/p>\n\n\n\n<p>In assenza di specifiche disposizioni legislative che attribuiscano il controllo del trattamento, la definizione di un&#8217;entit\u00e0 come responsabile del trattamento deve essere determinata analizzando le <strong>circostanze concrete legate al processo di trattamento <\/strong>dei dati. \u00c8 fondamentale considerare tutte le circostanze rilevanti per stabilire se un&#8217;entit\u00e0 eserciti un&#8217;influenza decisiva sul trattamento dei dati personali in questione.<\/p>\n\n\n\n<p>Il quarto elemento chiave nella definizione di titolare del trattamento si concentra sull&#8217;ambito dell&#8217;influenza esercitata dal titolare del trattamento, specificatamente sulle &#8220;<strong>finalit\u00e0 e mezzi&#8221;<\/strong> del trattamento dei dati. <\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>I termini &#8220;scopo&#8221; e &#8220;mezzi&#8221; sono definiti rispettivamente come il risultato che si intende ottenere o che guida le azioni pianificate, e il metodo attraverso il quale si raggiunge un risultato o si realizza uno scopo.<\/p>\n<\/blockquote>\n\n\n\n<p>Secondo il GDPR, i dati personali devono essere raccolti per<strong> scopi specifici, espliciti e legittimi<\/strong>, e non devono essere successivamente trattati in modo incompatibile con questi scopi. <\/p>\n\n\n\n<p>Di conseguenza, \u00e8 fondamentale determinare le &#8220;finalit\u00e0&#8221; del trattamento e i &#8220;mezzi&#8221; per raggiungerle. Determinare questi aspetti significa decidere il &#8220;perch\u00e9&#8221; e il &#8220;come&#8221; del trattamento: per un dato trattamento, il titolare del trattamento \u00e8 colui che ha stabilito il motivo per cui si svolge il trattamento (cio\u00e8, per quale scopo) e come questo obiettivo sar\u00e0 conseguito (cio\u00e8, quali strumenti verranno utilizzati).<\/p>\n\n\n\n<p>Una persona fisica o giuridica che esercita tale influenza sul trattamento dei dati partecipa cos\u00ec alla definizione delle finalit\u00e0 e dei mezzi del trattamento, secondo quanto previsto dall&#8217;articolo 4(7) del GDPR.<\/p>\n\n\n\n<p>Pertanto, il titolare del trattamento deve stabilire sia le finalit\u00e0 che i mezzi del trattamento. Non pu\u00f2 limitarsi a definire lo scopo, ma deve anche prendere decisioni sulle modalit\u00e0 del trattamento. Al contrario, un responsabile del trattamento non ha il potere di determinare le finalit\u00e0 del trattamento.<\/p>\n\n\n\n<p>Nella pratica, quando un titolare del trattamento delega a un responsabile del trattamento l&#8217;esecuzione del trattamento per suo conto, ci\u00f2 spesso implica che il responsabile del trattamento possa prendere alcune decisioni su come procedere con il trattamento in modo indipendente. <\/p>\n\n\n\n<p>L&#8217;EDPB riconosce che pu\u00f2 esserci spazio per una certa discrezionalit\u00e0 da parte del responsabile del trattamento nel prendere decisioni relative al trattamento. <\/p>\n\n\n\n<p>\u00c8 quindi importante chiarire quale grado di influenza sul &#8220;perch\u00e9&#8221; e sul &#8220;come&#8221; del trattamento qualifichi un&#8217;entit\u00e0 come titolare del trattamento e in che misura un responsabile del trattamento possa agire autonomamente nelle decisioni.<\/p>\n\n\n\n<p>Quando un&#8217;entit\u00e0 stabilisce chiaramente le finalit\u00e0 e i mezzi del trattamento, affidando a un&#8217;altra entit\u00e0 compiti che equivalgono all&#8217;esecuzione delle sue istruzioni dettagliate, la distinzione \u00e8 netta: la seconda entit\u00e0 \u00e8 il responsabile del trattamento, mentre la prima \u00e8 il titolare del trattamento.<\/p>\n\n\n\n<p>La distinzione tra le decisioni che devono essere prese dal titolare del trattamento e quelle che possono essere delegate al responsabile del trattamento si concentra sulla differenziazione tra<strong> i &#8220;mezzi essenziali&#8221; e i &#8220;mezzi non essenziali&#8221;<\/strong> del trattamento. Le decisioni sulle finalit\u00e0 del trattamento sono di competenza esclusiva del titolare del trattamento.<\/p>\n\n\n\n<p>Nel contesto della determinazione dei mezzi, i<strong> &#8220;mezzi essenziali&#8221;<\/strong> si riferiscono a quelli strettamente legati alla finalit\u00e0 e all&#8217;ambito del trattamento, e sono tradizionalmente considerati di competenza del titolare del trattamento. Questi includono decisioni su quali dati personali saranno trattati, la durata del trattamento, chi avr\u00e0 accesso ai dati e a chi appartengono i dati trattati.<\/p>\n\n\n\n<p>D&#8217;altro canto, i &#8220;<strong>mezzi non essenzial<\/strong>i&#8221; si occupano degli aspetti pratici dell&#8217;implementazione del trattamento, come la scelta del software o dell&#8217;hardware specifico o le misure di sicurezza dettagliate, su cui il responsabile del trattamento pu\u00f2 avere discrezionalit\u00e0 decisionale.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-esempio-gestione-delle-buste-paga\">Esempio: Gestione delle buste paga<\/h4>\n\n\n\n<p>Prendiamo il caso del datore di lavoro A che ingaggia un&#8217;azienda esterna per gestire il pagamento degli stipendi ai suoi dipendenti. Il datore di lavoro A fornisce istruzioni dettagliate su chi deve essere pagato, quanto, entro quale data, tramite quale banca, per quanto tempo conservare i dati, e quali informazioni trasmettere all&#8217;autorit\u00e0 fiscale, ecc. In questa situazione, il trattamento dei dati \u00e8 svolto allo scopo di pagare gli stipendi dei dipendenti da parte della Societ\u00e0 A, e l&#8217;entit\u00e0 che gestisce le buste paga non ha il diritto di utilizzare i dati per propri scopi. La modalit\u00e0 di trattamento \u00e8 definita in modo chiaro e stringente dal datore di lavoro A. Tuttavia, l&#8217;entit\u00e0 incaricata della gestione delle buste paga ha la libert\u00e0 di prendere alcune decisioni operative, come la scelta del software da utilizzare o come organizzare l&#8217;accesso ai dati all&#8217;interno della propria struttura.<\/p>\n\n\n\n<p>Questi esempi illustrano come la distinzione tra titolare del trattamento e responsabile del trattamento possa variare a seconda delle circostanze specifiche e delle attivit\u00e0 di trattamento dei dati personali.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-esempio-pagamenti-bancari\">Esempio: Pagamenti bancari<\/h4>\n\n\n\n<p>Quando l&#8217;amministrazione delle buste paga, seguendo le istruzioni del datore di lavoro A, invia informazioni alla banca B per eseguire i pagamenti ai dipendenti, la banca B tratta i dati personali nell&#8217;ambito delle sue operazioni bancarie. La banca decide autonomamente, indipendentemente dal datore di lavoro A, quali dati trattare per erogare il servizio e quanto tempo conservare tali dati. In questo contesto, il datore di lavoro A non ha controllo sulle finalit\u00e0 e sui mezzi con cui la Banca B tratta i dati. Pertanto, la Banca B \u00e8 considerata titolare del trattamento per questa attivit\u00e0, e il trasferimento di dati personali dall&#8217;amministrazione delle buste paga \u00e8 visto come una comunicazione tra due titolari del trattamento.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-esempio-commercialisti\">Esempio: Commercialisti<\/h4>\n\n\n\n<p>Se il datore di lavoro A incarica la societ\u00e0 di contabilit\u00e0 C di esaminare la propria contabilit\u00e0 e trasferisce i dati delle transazioni finanziarie (inclusi i dati personali) a C, la societ\u00e0 di contabilit\u00e0 C elabora questi dati senza ricevere istruzioni dettagliate da A. La societ\u00e0 di contabilit\u00e0 C decide in autonomia, conformemente alle leggi che regolano le sue attivit\u00e0 di revisione, come trattare i dati raccolti esclusivamente ai fini dell&#8217;audit di A. Questo include decisioni su quali dati raccogliere, quali categorie di persone registrare, quanto tempo conservare i dati e quali strumenti tecnici utilizzare. In queste circostanze, la societ\u00e0 di contabilit\u00e0 C agisce come un titolare del trattamento indipendente. Tuttavia, questo ruolo potrebbe cambiare se la legge non impone obblighi specifici alla societ\u00e0 di contabilit\u00e0 e se l&#8217;azienda cliente fornisce istruzioni molto dettagliate sul trattamento dei dati.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-esempio-servizi-di-hosting\">Esempio: Servizi di hosting<\/h4>\n\n\n\n<p>Quando il datore di lavoro A ingaggia il servizio di hosting H per archiviare dati crittografati sui suoi server, il servizio di hosting H non determina se i dati ospitati siano dati personali n\u00e9 li tratta in modo diverso dalla loro semplice memorizzazione. Poich\u00e9 l&#8217;archiviazione \u00e8 considerata un trattamento di dati personali, il servizio di hosting H agisce come responsabile del trattamento per conto del datore di lavoro A. \u00c8 necessario che il datore di lavoro A fornisca a H le istruzioni adeguate, ad esempio riguardo alle misure di sicurezza necessarie, e che venga stipulato un accordo di trattamento dei dati conformemente all&#8217;articolo 28 del GDPR. H deve assistere A nell&#8217;adozione delle misure di sicurezza appropriate e informarlo in caso di violazione dei dati personali.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Gli esempi sottostanti dimostrano come la distinzione tra il ruolo di titolare del trattamento e quello di responsabile del trattamento possa variare in base alla specifica situazione e al tipo di trattamento dei dati personali.<\/p>\n<\/blockquote>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-esempio-servizi-di-hosting-0\">Esempio: Servizi di hosting<\/h4>\n\n\n\n<p>Nel caso in cui il datore di lavoro A contratti il servizio di hosting H per l&#8217;archiviazione di dati crittografati sui server di H, il fornitore di hosting non determina se i dati ospitati siano dati personali n\u00e9 li tratta in maniera diversa dalla semplice memorizzazione. Poich\u00e9 l&#8217;archiviazione costituisce un trattamento di dati personali, il servizio di hosting H funge da responsabile del trattamento per conto del datore di lavoro A. \u00c8 necessario che il datore di lavoro A fornisca a H istruzioni specifiche, ad esempio sulle misure di sicurezza tecniche e organizzative da adottare, e che venga stipulato un accordo di trattamento dei dati conformemente all&#8217;articolo 28 del GDPR. H ha il compito di assistere A nell&#8217;implementazione delle necessarie misure di sicurezza e di informarlo in caso di violazioni dei dati personali.<\/p>\n\n\n\n<p>Mentre le decisioni riguardanti i mezzi non essenziali possono essere delegate al responsabile del trattamento, \u00e8 importante che alcuni elementi chiave siano definiti<strong> nel contratto con il responsabile del trattamento. <\/strong><\/p>\n\n\n\n<p>Inoltre, le finalit\u00e0 e i mezzi definiti dal titolare del trattamento devono concernere specificamente <strong>il &#8220;trattamento dei dati personali&#8221;<\/strong>, come definito dall&#8217;articolo 4, paragrafo 2, del GDPR, che comprende qualsiasi operazione o insieme di operazioni effettuate su dati personali. <\/p>\n\n\n\n<p>Questo significa che il controllo esercitato da un soggetto pu\u00f2 riferirsi all&#8217;intero processo di trattamento o solo a specifiche fasi dello stesso. Chiunque tratti dati deve valutare se questi costituiscano dati personali e, in tal caso, quali siano gli obblighi secondo il GDPR. Un soggetto pu\u00f2 essere considerato titolare del trattamento anche se non mira specificamente ai dati personali o ha valutato erroneamente di non trattare dati personali.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u00c8 rilevante notare che non \u00e8 necessario che il titolare del trattamento abbia accesso fisico ai dati per essere considerato tale. Se un soggetto esternalizza un&#8217;attivit\u00e0 di trattamento influenzando lo scopo e i mezzi del trattamento, ad esempio modificando i parametri di un servizio in modo da determinare quali dati personali debbano essere trattati, questo soggetto viene considerato titolare del trattamento, anche senza un accesso diretto ai dati.<\/p>\n<\/blockquote>\n\n\n\n<p>Nell&#8217;esempio delle ricerche di mercato, l&#8217;azienda ABC, che desidera comprendere meglio quali tipi di consumatori siano pi\u00f9 inclini ad essere interessati ai suoi prodotti, si avvale dei servizi della societ\u00e0 XYZ per acquisire queste informazioni. L&#8217;azienda ABC fornisce a XYZ indicazioni precise sul tipo di informazioni che ritiene rilevanti, inclusa una serie di domande da porre ai partecipanti alla ricerca.<\/p>\n\n\n\n<p>Sebbene l&#8217;azienda ABC riceva da XYZ unicamente dati aggregati, come le tendenze di consumo suddivise per area geografica, senza avere accesso diretto ai dati personali dei partecipanti, \u00e8 l&#8217;azienda ABC a determinare l&#8217;occorrenza del trattamento, gli scopi per cui questo deve essere effettuato e a fornire istruzioni specifiche su quali dati raccogliere. Di conseguenza, l&#8217;azienda ABC assume il ruolo di titolare del trattamento dei dati personali raccolti e trattati da XYZ al fine di ottenere le informazioni desiderate.<\/p>\n\n\n\n<p>D&#8217;altro canto, XYZ, che agisce in base alle direttive ricevute dall&#8217;azienda ABC e pu\u00f2 utilizzare i dati esclusivamente per lo scopo definito da quest&#8217;ultima, \u00e8 considerato responsabile del trattamento. Questo esempio evidenzia come, anche in assenza di un accesso diretto ai dati personali da parte del committente (in questo caso l&#8217;azienda ABC), la responsabilit\u00e0 e il controllo sulle finalit\u00e0 e sui mezzi del trattamento dei dati determinino la qualifica di titolare del trattamento, mentre l&#8217;esecuzione del trattamento secondo istruzioni specifiche identifica il responsabile del trattamento.<\/p>\n\n\n\n<p>Questo principio chiarisce che la responsabilit\u00e0 nella protezione dei dati personali e nella conformit\u00e0 con le normative sulla privacy (come il GDPR) non dipende semplicemente dal possesso fisico o dall&#8217;accesso diretto ai dati.<\/p>\n\n\n\n<p>La chiave \u00e8 piuttosto il controllo sulla finalit\u00e0 e sui mezzi del trattamento dei dati. Ci\u00f2 assicura che le entit\u00e0 che hanno il potere decisionale sul trattamento dei dati personali, anche se indirettamente, siano tenute a rispettare gli obblighi di protezione e privacy previsti dalla legge.<\/p>\n\n\n\n<p>La definizione di &#8220;titolare del trattamento&#8221; si estende quindi oltre la semplice accessibilit\u00e0 fisica ai dati, abbracciando chiunque abbia un impatto significativo sulle decisioni relative a come e perch\u00e9 i dati personali vengono trattati. <\/p>\n\n\n\n<p>Questo enfatizza l&#8217;importanza di una gestione responsabile dei dati personali e la necessit\u00e0 di accordi chiari e conformi alle normative quando si esternalizzano servizi che implicano il trattamento di tali dati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-provvedimento-del-garante-del-22-06-2023\">Il provvedimento del garante del 22.06.2023<\/h3>\n\n\n\n<p>Il provvedimento del Garante per la Protezione dei Dati Personali del 22 giugno 2023, numero 264, riguarda una sanzione amministrativa pecuniaria imposta ad Autostrade per l&#8217;Italia S.p.A. (ASPI) per violazioni del Regolamento Generale sulla Protezione dei Dati (GDPR)<a target=\"_blank\" rel=\"noreferrer noopener\" href=\"https:\/\/www.garanteprivacy.it\/home\/docweb\/-\/docweb-display\/docweb\/9909702\">1<\/a>.&nbsp;La sanzione ammonta a 1.000.000 di euro.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-dettagli-del-provvedimento\">Dettagli del Provvedimento<\/h4>\n\n\n\n<p><strong>Contesto<\/strong>: Il provvedimento \u00e8 stato preso in seguito a una segnalazione dell&#8217;8 settembre 2021 da parte dell&#8217;Associazione Nazionale Utenti Servizi Pubblici (Assoutenti), riguardante l&#8217;applicazione &#8220;Free To X&#8221; creata da Autostrade per l\u2019Italia S.p.A. (ASPI) e da Free to X S.r.l. Questa app \u00e8 stata sviluppata per consentire il rimborso totale o parziale del costo del biglietto autostradale in caso di ritardi dovuti a lavori in corso.<\/p>\n\n\n\n<p><strong>Risposta di ASPI<\/strong>: ASPI ha risposto alle richieste di informazioni del Garante, spiegando che l&#8217;origine del sistema di rimborso, noto come Cashback, derivava da un accordo conclusosi con il Ministero delle Infrastrutture e dei Trasporti (ora Ministero delle infrastrutture e della Mobilit\u00e0 Sostenibili &#8211; MIMS) a seguito di un presunto grave inadempimento da parte di ASPI. L&#8217;obiettivo era implementare misure compensative concordate nell&#8217;accordo, con l&#8217;autorizzazione del MIMS.<\/p>\n\n\n\n<p><strong>Funzionamento dell&#8217;applicazione<\/strong>: Dopo aver ottenuto il nulla osta del MIMS il 21 luglio 2021, ASPI ha incaricato Free To X S.r.l. di gestire il servizio di Cashback tramite l&#8217;app. Questo servizio era destinato a gestire i rimborsi per ritardi significativi causati da cantieri sulle autostrade gestite da ASPI. ASPI fungeva da responsabile del trattamento dei dati personali nell&#8217;ambito del servizio di Cashback.<\/p>\n\n\n\n<p><strong>Utilizzo dell&#8217;applicazione<\/strong>: L&#8217;app \u00e8 stata resa disponibile ufficialmente il 14 settembre 2021 in una fase sperimentale iniziata il giorno successivo. Il numero totale di utenti iscritti all&#8217;app era di 308.058, di cui solo circa un terzo era iscritto al servizio Cashback, rispetto agli oltre 800 milioni di transiti annui sulla rete autostradale di ASPI.<\/p>\n\n\n\n<p>Questo provvedimento evidenzia l&#8217;attenzione del Garante per la Protezione dei Dati Personali verso le iniziative che coinvolgono il trattamento dei dati personali, assicurando che tali pratiche siano condotte nel rispetto della normativa vigente in materia di privacy.<\/p>\n\n\n\n<p>pi\u00f9 nel dettaglio, la societ\u00e0 che aveva sviluppato l\u2019applicazione attuava solo le direttive che gli erano state impartite dal titolare in merito alle concrete modalit\u00e0 di trattamento dei dati personali degli utenti dell\u2019app. Di conseguenza, la diversa qualificazione dei ruoli privacy attribuita dal Garante alle parti coinvolte ha avuto immediate ripercussioni sugli adempimenti che la societ\u00e0 qualificata come titolare effettivo era tenuta a porre in essere (quali, ad esempio, l\u2019informativa con le informazioni corrette e la nomina a responsabile verso la societ\u00e0 sviluppatrice).<\/p>\n\n\n\n<p>Nel contesto del provvedimento del Garante per la Protezione dei Dati Personali relativo all&#8217;applicazione &#8220;Free To X&#8221; e al servizio di Cashback offerto da Autostrade per l\u2019Italia S.p.A. (ASPI) in collaborazione con Free to X S.r.l., ASPI \u00e8 stata considerata titolare del trattamento dei dati personali per diversi motivi:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Definizione di Titolare del Trattamento<\/strong>: Secondo il Regolamento Generale sulla Protezione dei Dati (GDPR), il titolare del trattamento \u00e8 la persona fisica o giuridica, l&#8217;autorit\u00e0 pubblica, l&#8217;agenzia o altro organo che, da solo o insieme ad altri, determina le finalit\u00e0 e i mezzi del trattamento dei dati personali. In questo caso, ASPI, in quanto entit\u00e0 che ha ideato e promosso l&#8217;iniziativa del Cashback e che ha definito le finalit\u00e0 e i mezzi del trattamento dei dati nell&#8217;ambito di questa iniziativa, rientra nella definizione di titolare del trattamento.<\/li>\n\n\n\n<li><strong>Ruolo di ASPI nell&#8217;Iniziativa<\/strong>: ASPI ha avuto un ruolo centrale nell&#8217;ideazione, progettazione e implementazione del servizio di Cashback. Questo include la decisione di offrire un rimborso ai viaggiatori in caso di ritardi significativi dovuti a lavori in corso sulle autostrade da essa gestite. La decisione di raccogliere e utilizzare i dati personali degli utenti per facilitare questo servizio \u00e8 stata presa da ASPI, che ha quindi stabilito le finalit\u00e0 del trattamento.<\/li>\n\n\n\n<li><strong>Accordo con Free to X S.r.l.<\/strong>: Anche se ASPI ha delegato la gestione operativa del servizio di Cashback a Free to X S.r.l., ASPI rimane l&#8217;entit\u00e0 che ha concordato le condizioni e i termini del servizio, comprese le modalit\u00e0 di trattamento dei dati personali degli utenti. Questo accordo non esime ASPI dalle sue responsabilit\u00e0 come titolare del trattamento, poich\u00e9 ha definito le finalit\u00e0 e i mezzi del trattamento.<\/li>\n\n\n\n<li><strong>Responsabilit\u00e0 nei confronti degli Utenti<\/strong>: ASPI, in quanto entit\u00e0 che ha promosso l&#8217;iniziativa rivolta agli utenti delle autostrade, ha la responsabilit\u00e0 di assicurare che i dati personali degli utenti siano trattati in modo conforme al GDPR e alla normativa sulla privacy. Questo include la responsabilit\u00e0 di informare gli utenti sul trattamento dei loro dati, sui loro diritti in materia di protezione dei dati e sulle modalit\u00e0 di esercizio di tali diritti.<\/li>\n<\/ol>\n\n\n\n<p>In conclusione, ASPI \u00e8 stata considerata titolare del trattamento perch\u00e9 ha giocato un ruolo decisivo nella determinazione delle finalit\u00e0 e dei mezzi del trattamento dei dati personali nell&#8217;ambito del servizio di Cashback, conformemente alla normativa europea sulla protezione dei dati.<\/p>\n\n\n\n<p>Immaginate di partecipare a un programma che vi promette di restituire una parte dei soldi che spendete in autostrada se vi trovate in mezzo a lavori stradali che causano ritardi. <\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-ruolo-di-aspi-nel-cashback\">Ruolo di ASPI nel Cashback<\/h4>\n\n\n\n<p>ASPI ha pensato e realizzato l&#8217;intera idea del Cashback. Ha deciso di offrire un rimborso a chi si trova in ritardo a causa dei lavori sulle autostrade che gestisce. Per fare ci\u00f2, ha bisogno di raccogliere informazioni sugli utenti, come quando e dove hanno viaggiato, per poter calcolare il rimborso. ASPI, quindi, stabilisce perch\u00e9 e come vengono usati questi dati.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-collaborazione-con-free-to-x-s-r-l\">Collaborazione con Free to X S.r.l.<\/h4>\n\n\n\n<p>Anche se ASPI ha affidato a un&#8217;altra societ\u00e0, Free to X S.r.l., la gestione pratica di questo servizio di Cashback, ASPI non si libera delle sue responsabilit\u00e0. Ha concordato con Free to X come i dati dovrebbero essere trattati, ma rimane comunque ASPI a decidere il &#8220;perch\u00e9&#8221; e il &#8220;come&#8221; finale del loro uso. Questo significa che ASPI deve assicurarsi che tutto sia fatto rispettando le regole sulla privacy.<\/p>\n\n\n\n<p><em> Al riguardo \u00e8 possibile consultare <strong>il\u00a0parere n. 1\/2010\u00a0<a href=\"https:\/\/onelegale.wolterskluwer.it\/normativa\/10LX0000887473SOMM?pathId=1c6a08e478a3a\"><\/a><a href=\"https:\/\/onelegale.wolterskluwer.it\/normativa\/10LX0000887473SOMM?pathId=1c6a08e478a3a\">del WP29<\/a>\u00a0<a href=\"https:\/\/onelegale.wolterskluwer.it\/normativa\/10LX0000887473SOMM?pathId=1c6a08e478a3a\"><\/a><a href=\"https:\/\/onelegale.wolterskluwer.it\/normativa\/10LX0000887473SOMM?pathId=1c6a08e478a3a\">(WP169)<\/a>\u00a0<\/strong>sui concetti di responsabile e incaricato del trattament<\/em>o<\/p>\n\n\n\n<div data-wp-interactive=\"core\/file\" class=\"wp-block-file\"><object data-wp-bind--hidden=\"!state.hasPdfPreview\" hidden class=\"wp-block-file__embed\" data=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/gruppo-di-lavoro-articolo-29-per-la-protezione-dei.pdf\" type=\"application\/pdf\" style=\"width:100%;height:600px\" aria-label=\"Embed of gruppo-di-lavoro-articolo-29-per-la-protezione-dei.\"><\/object><a id=\"wp-block-file--media-c0f0005c-2f04-46a8-8793-68f6f0b5172a\" href=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/gruppo-di-lavoro-articolo-29-per-la-protezione-dei.pdf\">gruppo-di-lavoro-articolo-29-per-la-protezione-dei<\/a><a href=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/gruppo-di-lavoro-articolo-29-per-la-protezione-dei.pdf\" class=\"wp-block-file__button wp-element-button\" download aria-describedby=\"wp-block-file--media-c0f0005c-2f04-46a8-8793-68f6f0b5172a\">Download<\/a><\/div>\n\n\n\n<p>Il documento analizzato \u00e8 un parere del Gruppo di lavoro articolo 29 per la protezione dei dati, che si focalizza sui concetti di &#8220;responsabile del trattamento&#8221; e &#8220;incaricato del trattamento&#8221; secondo la direttiva 95\/46\/CE. <\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-considerando-n-74-del-gdpr\">Il considerando n. 74 del GDPR<\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u00c8 opportuno stabilire la responsabilit\u00e0 generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest&#8217;ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. In particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformit\u00e0 delle attivit\u00e0 di trattamento con il presente regolamento, compresa l&#8217;efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell&#8217;ambito di applicazione, del contesto e delle finalit\u00e0 del trattamento, nonch\u00e9 del rischio per i diritti e le libert\u00e0 delle persone fisiche.<\/p>\n<\/blockquote>\n\n\n\n<p> Ed infatti, il\u00a0<a href=\"https:\/\/onelegale.wolterskluwer.it\/normativa\/10LX0000828463ART12?pathId=1c6a08e478a3a\">C74<\/a>\u00a0specifica che il titolare del trattamento dovrebbe essere in grado di dimostrare la conformit\u00e0 delle attivit\u00e0 di trattamento con il\u00a0<a href=\"https:\/\/onelegale.wolterskluwer.it\/normativa\/10LX0000828463SOMM?pathId=1c6a08e478a3a\">GDPR<\/a>, compresa l\u2019efficacia delle misure. Tali misure dovrebbero tener conto della natura, dell\u2019ambito di applicazione, del contesto e delle finalit\u00e0 del trattamento, nonch\u00e9 del rischio per i diritti e le libert\u00e0 delle persone fisiche.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-la-cotitolarita-nel-trattamento-dei-dati-personali-nswer\">La cotitolarit\u00e0 nel trattamento dei dati personali nswer<\/h3>\n\n\n\n<p>La\u00a0<strong>cotitolarit\u00e0 nel trattamento dei dati personali<\/strong>\u00a0si riferisce a situazioni in cui due o pi\u00f9 entit\u00e0 determinano congiuntamente le finalit\u00e0 e i mezzi del trattamento di dati personali. Questo concetto \u00e8 regolamentato dall&#8217;articolo 26 del GDPR, che introduce norme specifiche per la gestione di tali situazioni<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-caratteristiche-della-cotitolarita\">Caratteristiche della Cotitolarit\u00e0<\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Definizione delle Responsabilit\u00e0<\/strong>: I cotitolari devono definire chiaramente le loro rispettive responsabilit\u00e0 per il trattamento dei dati, comprese le misure di sicurezza e il rispetto dei diritti degli interessati. Questo pu\u00f2 essere fatto tramite un accordo che stabilisce chi \u00e8 responsabile di quali aspetti del trattamento<a href=\"https:\/\/www.riskmanagement360.it\/analisti-ed-esperti\/contitolarita-dei-dati-personali-profili-evolutivi\/\" target=\"_blank\" rel=\"noreferrer noopener\">5<\/a><a href=\"https:\/\/www.altalex.com\/documents\/news\/2020\/11\/09\/contitolari-trattamento-privacy-dopo-gdpr-nuove-linee-guida-edpb\" target=\"_blank\" rel=\"noreferrer noopener\">8<\/a>.<\/li>\n\n\n\n<li><strong>Informativa agli Interessati<\/strong>: \u00c8 essenziale che gli interessati siano informati della cotitolarit\u00e0, comprese le informazioni su chi sono i cotitolari e le loro responsabilit\u00e0 specifiche. Questo aiuta a garantire la trasparenza e permette agli interessati di esercitare i loro diritti in modo efficace<a href=\"https:\/\/www.altalex.com\/documents\/news\/2020\/11\/09\/contitolari-trattamento-privacy-dopo-gdpr-nuove-linee-guida-edpb\" target=\"_blank\" rel=\"noreferrer noopener\">8<\/a><a href=\"https:\/\/www.saporedimare.it\/privacy-policy\/\" target=\"_blank\" rel=\"noreferrer noopener\">11<\/a>.<\/li>\n\n\n\n<li><strong>Gestione delle Richieste degli Interessati<\/strong>: I cotitolari devono organizzare un modo per gestire le richieste degli interessati, assicurando che queste possano essere indirizzate al cotitolare appropriato per una risposta tempestiva<a href=\"https:\/\/www.altalex.com\/documents\/news\/2020\/11\/09\/contitolari-trattamento-privacy-dopo-gdpr-nuove-linee-guida-edpb\" target=\"_blank\" rel=\"noreferrer noopener\">8<\/a>.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-implicazioni-legali\">Implicazioni Legali<\/h3>\n\n\n\n<p>La cotitolarit\u00e0 impone ai cotitolari l&#8217;obbligo di garantire che il trattamento dei dati sia conforme al GDPR. Questo include l&#8217;adozione di misure adeguate per proteggere i dati personali e garantire i diritti degli interessati. Inoltre, i cotitolari devono essere in grado di dimostrare la conformit\u00e0 con il GDPR, compresa la corretta implementazione dell&#8217;accordo di cotitolarit\u00e0<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Tuttavia, l&#8217;uso comune di un sistema o infrastruttura per il trattamento dei dati non implica automaticamente una co-titolarit\u00e0 in ogni situazione, specialmente quando il trattamento \u00e8 separabile e potrebbe essere condotto da una sola parte senza l&#8217;intervento dell&#8217;altra, o quando una delle parti agisce senza una propria finalit\u00e0 di trattamento.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-esempi-pratici\">Esempi pratici:<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Agenzia di viaggi<\/strong>: L&#8217;agenzia di viaggi, una compagnia aerea e una catena alberghiera che decidono di creare una piattaforma comune su Internet per offrire pacchetti di viaggio diventano co-titolari del trattamento per le operazioni svolte sulla piattaforma e per le azioni di marketing congiunte, anche se mantengono il controllo esclusivo sulle altre attivit\u00e0 di trattamento al di fuori della piattaforma.<\/li>\n\n\n\n<li><strong>Progetto di ricerca<\/strong>: Istituti di ricerca che utilizzano una piattaforma comune per un progetto di ricerca specifico diventano co-titolari del trattamento dei dati raccolti e condivisi sulla piattaforma, poich\u00e9 hanno deciso insieme la finalit\u00e0 e i mezzi del trattamento.<\/li>\n\n\n\n<li><strong>Operazione di marketing<\/strong>: Aziende che lanciano un prodotto in co-branding e decidono di condividere i dati dei clienti per organizzare un evento promozionale diventano co-titolari del trattamento per l&#8217;organizzazione dell&#8217;evento, poich\u00e9 hanno definito insieme lo scopo e le modalit\u00e0 di trattamento dei dati in questo contesto.<\/li>\n\n\n\n<li><strong>Sperimentazioni cliniche<\/strong>: Un operatore sanitario e un&#8217;universit\u00e0 che avviano insieme una sperimentazione clinica diventano co-titolari del trattamento quando concordano congiuntamente lo scopo e i mezzi essenziali del trattamento dei dati personali raccolti per la ricerca.<\/li>\n\n\n\n<li><strong>Cacciatori di teste<\/strong>: Un&#8217;azienda che aiuta un&#8217;altra azienda nel reclutamento, utilizzando un servizio che implica la condivisione e il trattamento congiunto dei dati dei candidati, pu\u00f2 essere considerata co-titolare del trattamento se le decisioni su come gestire il servizio e i dati sono prese congiuntamente.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<ul class=\"wp-block-list\">\n<li>La presenza di pi\u00f9 soggetti coinvolti in un&#8217;operazione di trattamento dei dati non implica automaticamente una titolarit\u00e0 congiunta del trattamento. La determinazione di una co-titolarit\u00e0 richiede un&#8217;analisi specifica del ruolo e delle responsabilit\u00e0 di ciascuna entit\u00e0 coinvolta in relazione al trattamento dei dati in questione. Esistono diverse situazioni in cui, nonostante la collaborazione o l&#8217;uso condiviso di dati o infrastrutture, i soggetti coinvolti non sono considerati contitolari del trattamento.<\/li>\n\n\n\n<li><\/li>\n<\/ul>\n<\/blockquote>\n\n\n\n<p><\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-esempi-di-situazioni-senza-co-titolarita\">Esempi di Situazioni senza Co-titolarit\u00e0<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Trasmissione dei dati dei dipendenti alle autorit\u00e0 fiscali<\/strong>: Una societ\u00e0 che invia dati relativi agli stipendi dei dipendenti alle autorit\u00e0 fiscali, come richiesto dalla legge, non stabilisce una co-titolarit\u00e0 con l&#8217;amministrazione finanziaria. Nonostante entrambi trattino gli stessi dati, la mancanza di finalit\u00e0 e mezzi congiuntamente determinati porta alla qualificazione di entit\u00e0 separate come titolari del trattamento.<\/li>\n\n\n\n<li><strong>Operazioni di marketing in un gruppo di aziende con database condiviso<\/strong>: Un gruppo di aziende che utilizza un database comune per la gestione dei clienti non implica necessariamente una co-titolarit\u00e0. Se ogni entit\u00e0 del gruppo tratta i dati per i propri scopi specifici e decide autonomamente sull&#8217;accesso e sulla gestione dei dati, allora ciascuna azienda agisce come un titolare del trattamento indipendente.<\/li>\n\n\n\n<li><strong>Utilizzo di un&#8217;infrastruttura condivisa senza finalit\u00e0 comuni<\/strong>: Quando una societ\u00e0 ospita un database utilizzato da altre aziende per trattare dati personali, ma non vi \u00e8 alcun coinvolgimento o finalit\u00e0 condivisa con la societ\u00e0 ospitante, non si stabilisce una co-titolarit\u00e0. Le aziende che utilizzano il database possono trattare i dati per le proprie finalit\u00e0 indipendenti, rendendo la societ\u00e0 ospitante e le altre aziende titolari del trattamento separati.<\/li>\n\n\n\n<li><strong>Casi di enti che trattano dati per finalit\u00e0 indipendenti in una catena di operazioni<\/strong>: Diversi soggetti che trattano gli stessi dati personali in sequenza, ciascuno con la propria finalit\u00e0 e mezzi indipendenti, non sono considerati co-titolari. L&#8217;assenza di una partecipazione congiunta alla determinazione delle finalit\u00e0 e dei mezzi esclude la co-titolarit\u00e0, rendendo i soggetti titolari indipendenti in successione.<\/li>\n\n\n\n<li><strong>Analisi statistica per un compito di interesse pubblico<\/strong>: Un&#8217;autorit\u00e0 pubblica che raccoglie dati da altri enti pubblici per analisi statistiche, utilizzando un sistema specifico, agisce come l&#8217;unico titolare del trattamento per quelle finalit\u00e0 analitiche e statistiche. Gli altri enti pubblici, pur contribuendo con i dati, non sono co-titolari del trattamento, ma rimangono responsabili dell&#8217;accuratezza dei dati forniti.<\/li>\n\n\n\n<li><\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<ul class=\"wp-block-list\">\n<li>Questi esempi illustrano che la co-titolarit\u00e0 del trattamento si basa su una determinazione congiunta delle finalit\u00e0 e dei mezzi del trattamento. La semplice collaborazione, l&#8217;uso condiviso di dati o infrastrutture, o la partecipazione in una catena di trattamento non sono sufficienti per stabilire una co-titolarit\u00e0 senza una chiara intenzione e azione congiunta in tale direzione.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n<\/blockquote>\n\n\n\n<p><\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-il-responsabile-del-trattamento-dei-dati\">Il responsabile del trattamento dei dati<\/h3>\n\n\n\n<p>Il responsabile del trattamento \u00e8 definito nell&#8217;articolo 4, paragrafo 8, del GDPR come una persona fisica o giuridica, un&#8217;autorit\u00e0 pubblica, un servizio o un altro organismo che tratta dati personali per conto del titolare del trattamento. Questa definizione include una vasta gamma di entit\u00e0 che possono agire in questa capacit\u00e0, indicando che non ci sono limitazioni specifiche sul tipo di soggetto che pu\u00f2 essere un responsabile del trattamento. Ci\u00f2 significa che sia le organizzazioni che gli individui possono assumere questo ruolo.<\/p>\n\n\n\n<p>Il GDPR impone obblighi diretti ai responsabili del trattamento, che possono essere ritenuti responsabili o multati per il mancato rispetto di tali obblighi o per azioni che contraddicono le istruzioni legittime del titolare del trattamento. \u00c8 possibile che vi siano pi\u00f9 responsabili del trattamento coinvolti in un unico processo di trattamento dei dati. Un titolare del trattamento pu\u00f2 decidere di affidare diverse fasi del trattamento a diversi responsabili o pu\u00f2 nominare un responsabile che, con l&#8217;autorizzazione del titolare, ingaggia sub-responsabili.<\/p>\n\n\n\n<p>Per essere qualificato come responsabile del trattamento, <strong>\u00e8 necessario:<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li>Essere un&#8217;entit\u00e0 separata rispetto al titolare del trattamento.<\/li>\n\n\n\n<li>Trattare i dati personali per conto del titolare.<\/li>\n<\/ol>\n\n\n\n<p>Questa distinzione implica che un dipartimento di una stessa azienda generalmente non pu\u00f2 essere considerato un responsabile del trattamento rispetto a un altro dipartimento della stessa entit\u00e0, poich\u00e9 il trattamento dei dati avviene all&#8217;interno della stessa organizzazione e non per conto di un&#8217;altra entit\u00e0.<\/p>\n\n\n\n<p>Il trattamento &#8220;per conto di&#8221; un titolare implica che l&#8217;entit\u00e0 separata agisce per servire gli interessi del titolare del trattamento e deve attuare le istruzioni fornite dal titolare, almeno per quanto riguarda le finalit\u00e0 del trattamento e gli elementi essenziali dei mezzi.<\/p>\n\n\n\n<p> Tuttavia, il responsabile del trattamento ha comunque un margine di discrezionalit\u00e0 su come meglio servire gli interessi del titolare, inclusa la scelta dei mezzi tecnici e organizzativi pi\u00f9 adeguati per il trattamento.<\/p>\n\n\n\n<p>Importante notare che il responsabile del trattamento non pu\u00f2 trattare i dati per i propri scopi. Se un responsabile del trattamento va oltre le istruzioni del titolare del trattamento e inizia a determinare le proprie finalit\u00e0 e mezzi di trattamento, viola il GDPR e pu\u00f2 essere considerato a tutti gli effetti <strong>un titolare del trattamento <\/strong>per quel particolare trattamento, soggetto a possibili sanzioni.<\/p>\n\n\n\n<p>Un titolare del trattamento deve avvalersi esclusivamente di responsabili del trattamento che <strong>forniscano garanzie sufficienti <\/strong>per attuare misure tecniche e organizzative adeguate affinch\u00e9 il trattamento soddisfi i requisiti del GDPR.<\/p>\n\n\n\n<p><br>Elementi da prendere in considerazione potrebbero essere le conoscenze specialistiche del responsabile del trattamento (ad esempio competenze tecniche in materia di misure di sicurezza e violazioni dei dati); l&#8217;affidabilit\u00e0 del processore; le risorse del responsabile del trattamento e la sua adesione ad un codice di condotta o a un meccanismo di certificazione approvato.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>La natura fondamentale del responsabile del trattamento rimane inalterata: questa figura \u00e8 quella che, avendo un certo grado di libert\u00e0 nella scelta dei metodi, lavora per raggiungere gli obiettivi di trattamento stabiliti dal titolare del trattamento. Ci\u00f2 che distingue e definisce un&#8217;entit\u00e0 come responsabile del trattamento \u00e8 il fatto che le sue azioni sono finalizzate a servire gli scopi prefissati dal titolare del trattamento.<\/p>\n\n\n\n<p><\/p>\n<\/blockquote>\n\n\n\n<p>Il responsabile del trattamento viene nominato dal titolare attraverso <strong>un documento ufficiale<\/strong>, che specifica in dettaglio i compiti assegnatigli. Tuttavia, \u00e8 importante sottolineare che, sebbene questo documento di nomina sia cruciale per identificare un soggetto come responsabile del trattamento, da solo non \u00e8 sufficiente. <\/p>\n\n\n\n<p>\u00c8 indispensabile anche effettuare <strong>un&#8217;analisi pratica delle attivit\u00e0 svolte <\/strong>da questo soggetto per confermare il suo ruolo.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Infatti, se il responsabile del trattamento, nonostante sia stato nominato dal titolare per determinate funzioni, va oltre questi compiti e gestisce i dati per scopi o con metodi diversi da quelli definiti dal titolare, si trover\u00e0 a ricoprire il ruolo di titolare del trattamento o, a seconda delle circostanze, quello di co-titolare. <\/p>\n\n\n\n<p>In questo contesto, il Gruppo di Lavoro Articolo 29, nel suo parere 1\/2010 a pagina 26, ha chiarito che un responsabile che prende iniziative significative nella definizione degli scopi o nei metodi essenziali del trattamento dei dati si trasforma in un co-titolare del trattamento.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>D&#8217;altro canto, il fatto di identificare (anche attraverso un contratto) un&#8217;entit\u00e0 come titolare del trattamento dei dati non \u00e8 di per s\u00e9 sufficiente a garantire che questa non gestisca i dati per conto di un&#8217;altra parte e che, di fatto, agisca come responsabile del trattamento per quest&#8217;ultima.<\/p>\n\n\n\n<p>Questi esempi illustrano come la distinzione tra responsabile del trattamento e titolare del trattamento sia fondamentale nel GDPR e come la classificazione dipenda dalle attivit\u00e0 specifiche e dalla relazione tra le parti coinvolte nel trattamento dei dati personali.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>MarketinZ e GoodProductZ<\/strong>: In questo esempio, MarketinZ era inizialmente designato come responsabile del trattamento per conto di GoodProductZ. Tuttavia, quando MarketinZ ha iniziato a usare i dati per i propri scopi commerciali, \u00e8 diventato di fatto un titolare del trattamento per quelle operazioni, violando il GDPR. Questo sottolinea che un&#8217;entit\u00e0 non pu\u00f2 essere considerata un responsabile del trattamento se determina autonomamente le finalit\u00e0 e i mezzi del trattamento dei dati personali.<\/li>\n\n\n\n<li><strong>Servizio taxi<\/strong>: Anche se il servizio taxi tratta dati personali nell&#8217;ambito della fornitura del suo servizio alla Societ\u00e0 ABC, opera come un titolare del trattamento poich\u00e9 determina autonomamente le finalit\u00e0 e i mezzi del trattamento dei dati. <\/li>\n\n\n\n<li><strong>Call center e supporto IT<\/strong>: Questi esempi mostrano situazioni in cui i fornitori di servizi agiscono come responsabili del trattamento, poich\u00e9 trattano dati personali per conto del titolare del trattamento seguendo le sue istruzioni e non per i propri scopi.<\/li>\n\n\n\n<li><strong>Consulente IT<\/strong>: In questo caso, l&#8217;accesso ai dati personali da parte del consulente IT \u00e8 incidentale e non costituisce l&#8217;obiettivo principale del servizio fornito. Pertanto, il consulente non \u00e8 considerato un responsabile del trattamento, evidenziando l&#8217;importanza dell&#8217;intento e della funzione principale del servizio nella determinazione del ruolo ai sensi del GDPR.<\/li>\n\n\n\n<li><strong>Fornitore di servizi cloud<\/strong>: Questo esempio sottolinea l&#8217;importanza per i titolari del trattamento di assicurarsi che i contratti con i fornitori di servizi cloud siano conformi al GDPR e che i dati personali siano trattati esclusivamente per le finalit\u00e0 specificate dal titolare.<\/li>\n<\/ul>\n\n\n\n<p>In generale, questi esempi riflettono la necessit\u00e0 di un&#8217;analisi caso per caso per determinare se un&#8217;entit\u00e0 agisce come un responsabile o un titolare del trattamento, basata sul grado di controllo che ha sulle finalit\u00e0 e sui mezzi del trattamento dei dati personali. \u00c8 cruciale per i titolari del trattamento valutare attentamente le relazioni con i fornitori di servizi per garantire la conformit\u00e0 al GDPR e proteggere i diritti degli interessati.<\/p>\n\n\n\n<p>Il GDPR ha introdotto disposizioni specifiche che attribuiscono obblighi diretti ai responsabili del trattamento dei dati, evidenziando l&#8217;importanza della loro funzione nella protezione dei dati personali. Questi obblighi includono:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Impegno alla Riservatezza<\/strong>: I responsabili del trattamento devono assicurarsi che le persone autorizzate a trattare dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza (Articolo 28, paragrafo 3).<\/li>\n\n\n\n<li><strong>Tenuta dei Registri<\/strong>: \u00c8 richiesto ai responsabili del trattamento di mantenere un registro di tutte le categorie di attivit\u00e0 di trattamento svolte sotto la loro responsabilit\u00e0 (Articolo 30, paragrafo 2).<\/li>\n\n\n\n<li><strong>Misure Tecniche e Organizzative<\/strong>: Devono essere implementate misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio (Articolo 32).<\/li>\n\n\n\n<li><strong>Designazione del Responsabile della Protezione dei Dati (DPO)<\/strong>: I responsabili del trattamento devono designare un DPO sotto determinate condizioni, come specificato nell&#8217;Articolo 37.<\/li>\n\n\n\n<li><strong>Notifica di Violazione dei Dati<\/strong>: In caso di violazione dei dati personali, i responsabili del trattamento hanno il dovere di notificare il titolare del trattamento senza ingiustificato ritardo dopo essere venuti a conoscenza della violazione (Articolo 33, paragrafo 2).<\/li>\n\n\n\n<li><strong>Trasferimenti di Dati verso Paesi Terzi<\/strong>: Le norme sui trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali si applicano sia ai responsabili che ai titolari del trattamento (Capo V).<\/li>\n<\/ol>\n\n\n\n<p>L&#8217;European Data Protection Board (EDPB) sottolinea che l&#8217;Articolo 28, paragrafo 3, impone obblighi diretti ai responsabili del trattamento, includendo il dovere di assistere i titolari del trattamento nel garantire la conformit\u00e0 con il regolamento. <strong>Questo sottolinea la responsabilit\u00e0 condivisa tra titolari e responsabili del trattamento nel proteggere i dati personali e assicurare la conformit\u00e0 al GDPR.<\/strong><\/p>\n\n\n\n<p>La selezione del responsabile del trattamento da parte del titolare \u00e8 un processo critico delineato nel GDPR, che sottolinea la necessit\u00e0 di assicurarsi che il responsabile offra garanzie adeguate per la protezione dei dati personali. <strong>Questo processo implica una valutazione approfondita delle capacit\u00e0 del responsabile del trattamento di soddisfare i requisiti del GDPR, inclusi quelli relativi alla sicurezza dei dati e alla tutela dei diritti degli interessati.<\/strong><\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-elementi-chiave-nella-scelta-del-responsabile-del-trattamento\">Elementi Chiave nella Scelta del Responsabile del Trattamento:<\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Garanzie Sufficienti<\/strong>: Il titolare del trattamento deve selezionare responsabili che dimostrino di poter implementare misure tecniche e organizzative adeguate per garantire la conformit\u00e0 con il GDPR e la protezione dei diritti degli interessati.<\/li>\n\n\n\n<li><strong>Valutazione delle Garanzie<\/strong>: La valutazione delle garanzie offerte dal responsabile del trattamento richiede un&#8217;analisi dettagliata e la raccolta di documentazione pertinente, come politiche sulla privacy, termini di servizio, e certificazioni riconosciute (es. ISO 27000).<\/li>\n\n\n\n<li><strong>Valutazione del Rischio<\/strong>: La decisione del titolare del trattamento deve basarsi su un&#8217;analisi del rischio che consideri la natura, l&#8217;ambito, il contesto e le finalit\u00e0 del trattamento, nonch\u00e9 i rischi per i diritti e le libert\u00e0 degli individui.<\/li>\n\n\n\n<li><strong>Elementi per la Valutazione<\/strong>: Tra gli elementi da considerare nella valutazione delle garanzie ci sono le competenze tecniche del responsabile, la sua affidabilit\u00e0, le risorse a disposizione e la reputazione sul mercato. L&#8217;adesione a codici di condotta o meccanismi di certificazione pu\u00f2 servire come prova delle garanzie offerte.<\/li>\n\n\n\n<li><strong>Obligo Continuo<\/strong>: La responsabilit\u00e0 del titolare del trattamento di assicurarsi che il responsabile offra garanzie sufficienti \u00e8 un obbligo continuo, che richiede verifiche periodiche attraverso audit e ispezioni.<\/li>\n<\/ol>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-aspetti-contrattuali\">Aspetti Contrattuali:<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Forma del Contratto<\/strong>: Qualsiasi trattamento di dati personali deve essere regolato da un contratto o altro atto giuridico in forma scritta, che vincoli il responsabile del trattamento nei confronti del titolare e specifichi gli obblighi di entrambe le parti.<\/li>\n\n\n\n<li><strong>Contenuto del Contratto<\/strong>: Il contratto deve includere dettagli specifici su come verranno implementati gli obblighi del GDPR, andando oltre la semplice ripetizione delle sue disposizioni. Deve anche adattarsi alla specifica attivit\u00e0 di trattamento, tenendo conto dei rischi associati.<\/li>\n\n\n\n<li><strong>Clausole Contrattuali Tipo (SCC)<\/strong>: Le parti possono scegliere di utilizzare SCC adottate dalla Commissione o da un&#8217;autorit\u00e0 di controllo, ma non sono obbligate a farlo. Qualsiasi clausola aggiuntiva non deve contraddire le SCC o compromettere la protezione offerta dal GDPR.<\/li>\n\n\n\n<li><strong>Responsabilit\u00e0 Condivisa<\/strong>: Sia il titolare che il responsabile del trattamento hanno la responsabilit\u00e0 di garantire che esista un contratto adeguato. L&#8217;assenza di un contratto aggiornato ai sensi del GDPR o l&#8217;accettazione di termini non conformi possono portare a violazioni regolamentari.<\/li>\n<\/ul>\n\n\n\n<p>La scelta e la gestione del rapporto con i responsabili del trattamento sono processi fondamentali per garantire la conformit\u00e0 al GDPR e la protezione efficace dei dati personali.<\/p>\n\n\n\n<p>Il contenuto del contratto o di altro atto giuridico tra il titolare e il responsabile del trattamento \u00e8 dettagliatamente definito dall&#8217;articolo 28, paragrafo 3, del GDPR, secondo l&#8217;interpretazione dell&#8217;EDPB. Questo contratto deve specificare chiaramente gli aspetti chiave del trattamento dei dati personali per garantire trasparenza, responsabilit\u00e0 e conformit\u00e0 alla legge.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-contenuto-richiesto-del-contratto\">Contenuto Richiesto del Contratto:<\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Oggetto del Trattamento<\/strong>: Deve essere definito in modo specifico per chiarire l&#8217;oggetto principale del trattamento, come le registrazioni di videosorveglianza in una struttura di massima sicurezza.<\/li>\n\n\n\n<li><strong>Durata del Trattamento<\/strong>: Deve essere indicato il periodo esatto o i criteri per determinarlo, ad esempio, facendo riferimento alla durata del contratto di trattamento.<\/li>\n\n\n\n<li><strong>Natura del Trattamento<\/strong>: Bisogna descrivere dettagliatamente le operazioni di trattamento e le finalit\u00e0, ad esempio, la raccolta, registrazione, archiviazione di immagini per l&#8217;accertamento di illeciti.<\/li>\n\n\n\n<li><strong>Tipologia dei Dati Personali<\/strong>: I dati devono essere specificati dettagliatamente, evitando generalizzazioni e includendo, se applicabile, le categorie particolari di dati.<\/li>\n\n\n\n<li><strong>Categorie degli Interessati<\/strong>: Deve essere indicato chiaramente a chi si riferiscono i dati, come visitatori, dipendenti, corrieri, ecc.<\/li>\n<\/ol>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-istruzioni-documentate-del-titolare-del-trattamento\">Istruzioni Documentate del Titolare del Trattamento:<\/h4>\n\n\n\n<p>Il titolare deve fornire istruzioni documentate al responsabile del trattamento, che definiscono il trattamento consentito e inaccettabile dei dati, le procedure dettagliate e le modalit\u00e0 di protezione dei dati. Il responsabile del trattamento non deve agire al di fuori di queste istruzioni. Se lo fa, pu\u00f2 essere considerato titolare del trattamento per quel trattamento specifico, violando il GDPR.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-trasferimenti-di-dati-a-paesi-terzi\">Trasferimenti di Dati a Paesi Terzi:<\/h4>\n\n\n\n<p>Il contratto deve includere requisiti specifici per i trasferimenti di dati a paesi terzi o organizzazioni internazionali, in linea con il Capo V del GDPR. Questo \u00e8 particolarmente importante quando il responsabile del trattamento delega alcune attivit\u00e0 di trattamento a sub-responsabili in paesi terzi o ha divisioni extra-UE.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-trattamento-obbligatorio-per-legge\">Trattamento Obbligatorio per Legge:<\/h4>\n\n\n\n<p>Il responsabile del trattamento pu\u00f2 trattare i dati senza istruzioni documentate del titolare solo se obbligato da leggi dell&#8217;UE o dello Stato membro. In tal caso, deve informare il titolare del trattamento di questa esigenza legale prima di procedere, a meno che la legge non proibisca tale informazione per importanti motivi di interesse pubblico.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-importanza-dei-dettagli-nel-contratto\">Importanza dei Dettagli nel Contratto:<\/h4>\n\n\n\n<p>Questi requisiti sottolineano l&#8217;importanza di negoziare e redigere attentamente il contratto o altro atto giuridico che regola il trattamento dei dati personali. Il contratto dovrebbe andare oltre la semplice ripetizione delle disposizioni del GDPR, fornendo dettagli specifici e concretezza sulle modalit\u00e0 di trattamento e le misure di sicurezza richieste. Questo approccio non solo garantisce la conformit\u00e0 legale ma aiuta anche a chiarire le responsabilit\u00e0 e le aspettative di entrambe le parti, contribuendo alla protezione dei diritti e delle libert\u00e0 degli interessati.<\/p>\n\n\n\n<p>Il GDPR stabilisce chiaramente che il responsabile del trattamento pu\u00f2 operare solo seguendo le istruzioni documentate fornite dal titolare del trattamento. Questo aspetto sottolinea la responsabilit\u00e0 del titolare nel definire e comunicare in modo preciso il perimetro entro il quale i dati personali possono essere trattati, garantendo cos\u00ec che ogni attivit\u00e0 di trattamento sia conforme alle disposizioni legali e rispetti i diritti degli interessati.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-elementi-chiave-da-includere-nell-accordo\">Elementi Chiave da Includere nell&#8217;Accordo:<\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Istruzioni Documentate<\/strong>: \u00c8 fondamentale che il titolare del trattamento fornisca istruzioni dettagliate e documentate riguardo al trattamento dei dati personali, specificando quali attivit\u00e0 sono consentite e quali no. Queste istruzioni possono riguardare diverse fasi del trattamento, come la raccolta, l&#8217;archiviazione, la trasmissione e l&#8217;eliminazione dei dati.<\/li>\n\n\n\n<li><strong>Limiti del Trattamento<\/strong>: Il responsabile del trattamento deve attenersi strettamente alle istruzioni fornite e non pu\u00f2 decidere autonomamente su finalit\u00e0 e mezzi del trattamento. Qualora il responsabile agisca al di fuori delle istruzioni ricevute, potrebbe essere considerato a tutti gli effetti come titolare del trattamento per quelle specifiche operazioni, violando il GDPR.<\/li>\n\n\n\n<li><strong>Documentazione delle Istruzioni<\/strong>: Le istruzioni fornite dal titolare devono essere documentate in modo chiaro e accessibile, potenzialmente attraverso un allegato al contratto o in forma di comunicazione scritta come email. Questo serve a garantire che ci sia una prova tangibile delle direttive impartite.<\/li>\n\n\n\n<li><strong>Trasferimenti Internazionali<\/strong>: Il contratto deve includere disposizioni specifiche per i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, assicurando che tali trasferimenti siano in linea con il Capo V del GDPR. Ci\u00f2 \u00e8 particolarmente rilevante se il responsabile del trattamento intende delegare alcune operazioni a sub-responsabili fuori dall&#8217;UE o se ha sedi in paesi terzi.<\/li>\n\n\n\n<li><strong>Trattamento Obbligatorio per Legge<\/strong>: In casi eccezionali, il responsabile del trattamento pu\u00f2 essere tenuto a trattare o trasferire dati personali in base a obblighi legali. Anche in questa circostanza, deve informare il titolare del trattamento di tale obbligo, a meno che specifiche disposizioni legali non vietino tale comunicazione per motivi di interesse pubblico.<\/li>\n<\/ol>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-importanza-della-negoziazione-e-redazione-degli-accordi\">Importanza della Negoziazione e Redazione degli Accordi:<\/h4>\n\n\n\n<p>La negoziazione e la redazione degli accordi di trattamento dei dati richiedono attenzione e precisione, poich\u00e9 devono riflettere accuratamente le responsabilit\u00e0 e le aspettative di entrambe le parti. Potrebbe essere necessaria una consulenza legale per assicurarsi che l&#8217;accordo sia conforme alle disposizioni del GDPR e per interpretare correttamente eventuali obblighi legali che influenzano il trattamento dei dati.<\/p>\n\n\n\n<p>Questo processo non solo garantisce la conformit\u00e0 normativa, ma stabilisce anche una base chiara per la tutela dei diritti degli interessati e la protezione dei dati personali, rafforzando la fiducia tra titolare e responsabile del trattamento.<\/p>\n\n\n\n<p>Il GDPR pone grande enfasi sulla protezione dei dati personali, richiedendo che sia il titolare che il responsabile del trattamento adottino misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio. Questo include obblighi specifici per il responsabile del trattamento, come l&#8217;assicurare che il personale autorizzato al trattamento dei dati personali si impegni alla riservatezza e l&#8217;implementazione di misure di sicurezza adeguate.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-impegno-alla-riservatezza\">Impegno alla Riservatezza<\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Obbligo di Riservatezza<\/strong>: Il responsabile del trattamento deve assicurare che tutte le persone autorizzate a trattare i dati personali siano vincolate da un impegno di riservatezza. Questo pu\u00f2 essere realizzato tramite accordi contrattuali o obblighi legali esistenti.<\/li>\n\n\n\n<li><strong>Ampia Applicazione<\/strong>: L&#8217;obbligo di riservatezza copre non solo i dipendenti diretti, ma anche eventuali lavoratori temporanei o altri individui che hanno accesso ai dati personali nel corso delle loro funzioni.<\/li>\n\n\n\n<li><strong>Protezione dei Dati<\/strong>: L&#8217;obbligo di riservatezza deve essere sufficientemente ampio da includere tutti i dati personali trattati, nonch\u00e9 i dettagli del rapporto di trattamento.<\/li>\n<\/ol>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-misure-di-sicurezza\">Misure di Sicurezza<\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Obblighi di Sicurezza<\/strong>: L&#8217;articolo 32 del GDPR richiede l&#8217;adozione di misure di sicurezza tecniche e organizzative adeguate. Questo obbligo si applica sia al titolare che al responsabile del trattamento e deve essere riflettuto nel contratto di trattamento.<\/li>\n\n\n\n<li><strong>Dettagli sulle Misure di Sicurezza<\/strong>: Il contratto deve specificare o fare riferimento alle misure di sicurezza che saranno adottate. \u00c8 importante che il contratto consenta al titolare del trattamento di valutare l&#8217;adeguatezza delle misure di sicurezza e di soddisfare i propri obblighi di responsabilit\u00e0 ai sensi del GDPR.<\/li>\n\n\n\n<li><strong>Revisione Periodica<\/strong>: Le misure di sicurezza dovrebbero essere soggette a revisioni periodiche per assicurare che rimangano adeguate rispetto ai rischi, che possono cambiare nel tempo.<\/li>\n\n\n\n<li><strong>Istruzioni e Approvazione<\/strong>: Il livello di dettaglio e l&#8217;approccio alle misure di sicurezza possono variare in base alle circostanze. Il titolare del trattamento dovrebbe fornire istruzioni chiare sulle misure di sicurezza da implementare e approvare le proposte del responsabile del trattamento.<\/li>\n<\/ol>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-riservatezza-dei-dati-personali\">Riservatezza dei Dati Personali<\/h4>\n\n\n\n<p>Il responsabile del trattamento deve assicurare che tutte le persone autorizzate a trattare i dati personali siano vincolate da un impegno di riservatezza. Questo pu\u00f2 essere realizzato attraverso accordi contrattuali specifici o in virt\u00f9 di obblighi legali preesistenti. \u00c8 essenziale che questo impegno di riservatezza sia appropriato e sufficientemente ampio da coprire tutti i dati personali trattati, oltre ai dettagli del rapporto di trattamento stesso.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-sicurezza-dei-dati\">Sicurezza dei Dati<\/h4>\n\n\n\n<p>L&#8217;articolo 32 del GDPR richiede al responsabile del trattamento di adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio. Queste misure devono essere riflettute nel contratto di trattamento, che non dovrebbe limitarsi a ribadire le disposizioni del GDPR ma dovrebbe fornire dettagli concreti sulle misure di sicurezza adottate.<\/p>\n\n\n\n<p>Il contratto deve includere:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Informazioni sulle misure di sicurezza specifiche che saranno implementate.<\/li>\n\n\n\n<li>L&#8217;obbligo per il responsabile del trattamento di ottenere l&#8217;approvazione del titolare del trattamento prima di apportare modifiche alle misure di sicurezza.<\/li>\n\n\n\n<li>La necessit\u00e0 di una revisione periodica delle misure di sicurezza per garantire che rimangano adeguate rispetto ai rischi, che possono cambiare nel tempo.<\/li>\n<\/ul>\n\n\n\n<p>Il grado di dettaglio delle informazioni sulle misure di sicurezza incluse nel contratto deve permettere al titolare del trattamento di valutare l&#8217;adeguatezza delle misure in conformit\u00e0 con l&#8217;articolo 32, paragrafo 1, del GDPR.<\/p>\n\n\n\n<p> Inoltre, queste informazioni aiutano il titolare del trattamento a soddisfare il proprio obbligo di responsabilit\u00e0.<\/p>\n\n\n\n<p>Questo <strong>processo collaborativo <\/strong>tra titolare e responsabile del trattamento \u00e8 cruciale per garantire che i dati personali siano trattati in modo sicuro, rispettando gli obblighi legali e proteggendo i diritti degli interessati.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-condizioni-per-assumere-un-altro-responsabile-del-trattamento\">Condizioni per Assumere un Altro Responsabile del Trattamento<\/h4>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Autorizzazione Scritta<\/strong>: Il responsabile del trattamento originario non pu\u00f2 ingaggiare un altro responsabile del trattamento senza ottenere prima l&#8217;autorizzazione scritta del titolare del trattamento. Questa autorizzazione pu\u00f2 essere specifica, per singoli sub-responsabili, o generale, coprendo l&#8217;assunzione di sub-responsabili entro certi parametri definiti.<\/li>\n\n\n\n<li><strong>Notifica di Cambiamenti<\/strong>: In caso di autorizzazione generale, il responsabile del trattamento deve informare il titolare del trattamento di eventuali cambiamenti nei sub-responsabili, offrendo al titolare la possibilit\u00e0 di opporsi a tali cambiamenti. \u00c8 importante che il contratto tra titolare e responsabile del trattamento stabilisca chiaramente il processo per tali notifiche.<\/li>\n\n\n\n<li><strong>Contratto tra Responsabili<\/strong>: Quando un responsabile del trattamento decide di assumere un altro responsabile, \u00e8 necessario che fra loro sia stipulato un contratto che imponga al sub-responsabile gli stessi obblighi di protezione dei dati previsti per il responsabile originario. Questo assicura che tutti i responsabili coinvolti nel trattamento dei dati personali siano vincolati dagli stessi standard di sicurezza e conformit\u00e0.<\/li>\n\n\n\n<li><strong>Audit e Ispezioni<\/strong>: Il contratto con il sub-responsabile deve includere l&#8217;obbligo di consentire e contribuire agli audit e alle ispezioni da parte del titolare del trattamento o di un revisore incaricato. Questo permette al titolare di verificare direttamente la conformit\u00e0 del sub-responsabile con le norme GDPR.<\/li>\n\n\n\n<li><strong>Responsabilit\u00e0<\/strong>: Il responsabile del trattamento originario rimane responsabile nei confronti del titolare per il rispetto degli obblighi di protezione dei dati da parte di qualsiasi sub-responsabile che assuma. Questo significa che il responsabile originario deve assicurarsi che i sub-responsabili siano adeguatamente selezionati e in grado di garantire la conformit\u00e0 con il GDPR.<\/li>\n\n\n\n<li><\/li>\n<\/ol>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-assistenza-nelle-richieste-degli-interessati\">Assistenza nelle Richieste degli Interessati<\/h4>\n\n\n\n<p>Il responsabile del trattamento deve assistere il titolare nell&#8217;adempimento delle richieste degli interessati, fornendo misure tecniche e organizzative adeguate. La capacit\u00e0 di fornire questa assistenza dipende dalla natura del trattamento e dal tipo di attivit\u00e0 affidata al responsabile del trattamento.<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Natura dell&#8217;Assistenza<\/strong>: L&#8217;assistenza pu\u00f2 variare da semplici inoltri tempestivi delle richieste degli interessati a compiti pi\u00f9 specifici e tecnici, specialmente quando il responsabile del trattamento ha il compito di estrarre e gestire i dati personali.<\/li>\n\n\n\n<li><strong>Responsabilit\u00e0 del Titolare<\/strong>: Nonostante il supporto del responsabile del trattamento, \u00e8 il titolare del trattamento che ha la responsabilit\u00e0 finale di soddisfare le richieste degli interessati. Il titolare deve valutare l&#8217;ammissibilit\u00e0 delle richieste caso per caso o fornire istruzioni chiare al responsabile del trattamento su come gestire le richieste.<\/li>\n\n\n\n<li><strong>Tempi di Risposta<\/strong>: I termini per rispondere alle richieste degli interessati, come definiti nel Capo III del GDPR, non possono essere estesi sulla base della necessit\u00e0 di ottenere informazioni dal responsabile del trattamento.<\/li>\n<\/ol>\n\n\n\n<p>Queste disposizioni assicurano che i diritti degli interessati siano salvaguardati in ogni fase del trattamento dei dati personali e che ci sia una chiara responsabilit\u00e0 e trasparenza tra titolare e responsabile del trattamento, nonch\u00e9 tra quest&#8217;ultimo e eventuali sub-responsabili.<\/p>\n\n\n\n<p>L&#8217;articolo 28, paragrafo 3, lettera f) del GDPR impone al responsabile del trattamento l&#8217;obbligo di assistere il titolare del trattamento nel garantire il rispetto degli obblighi previsti dagli articoli 32 a 36, che riguardano la sicurezza del trattamento, la notifica di violazioni dei dati personali, la valutazione d&#8217;impatto sulla protezione dei dati (DPIA) e la consultazione preventiva con l&#8217;autorit\u00e0 di controllo. Questo richiede un approccio collaborativo e proattivo da parte del responsabile del trattamento per supportare il titolare in queste aree critiche.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-dettagli-su-come-fornire-assistenza\">Dettagli su Come Fornire Assistenza<\/h4>\n\n\n\n<p>Il contratto tra titolare e responsabile del trattamento non dovrebbe limitarsi a ribadire gli obblighi di assistenza, ma dovrebbe specificare in modo dettagliato come il responsabile \u00e8 tenuto ad assistere il titolare. Questo pu\u00f2 includere la definizione di procedure, la fornitura di moduli modello, e l&#8217;implementazione di sistemi informativi che facilitino la raccolta e la condivisione delle informazioni necessarie.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-notifica-delle-violazioni-dei-dati\">Notifica delle Violazioni dei Dati<\/h4>\n\n\n\n<p>Il responsabile \u00e8 tenuto ad informare tempestivamente il titolare di qualsiasi violazione dei dati personali. Questo supporto \u00e8 cruciale per permettere al titolare di adempiere all&#8217;obbligo di notificare le violazioni all&#8217;autorit\u00e0 di controllo e, se necessario, agli interessati, senza indebito ritardo. Il contratto dovrebbe specificare i tempi per la notifica e i dettagli del punto di contatto.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-valutazioni-d-impatto-e-consultazioni\">Valutazioni d&#8217;Impatto e Consultazioni<\/h4>\n\n\n\n<p>Il responsabile del trattamento deve, inoltre, assistere il titolare nel condurre valutazioni d&#8217;impatto sulla protezione dei dati e, se necessario, nella consultazione con l&#8217;autorit\u00e0 di controllo. Questo supporto pu\u00f2 variare a seconda della natura del trattamento e delle informazioni disponibili al responsabile, ma \u00e8 fondamentale per identificare e mitigare i rischi legati al trattamento dei dati personali.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-responsabilita-e-iniziativa\">Responsabilit\u00e0 e Iniziativa<\/h4>\n\n\n\n<p>\u00c8 importante sottolineare che l&#8217;assistenza del responsabile del trattamento non trasferisce la responsabilit\u00e0 degli obblighi dal titolare al responsabile. Il titolare rimane responsabile per l&#8217;adempimento degli obblighi GDPR e deve prendere l&#8217;iniziativa nelle valutazioni d&#8217;impatto, nella gestione delle violazioni dei dati e nelle altre aree richieste, con il responsabile che fornisce supporto &#8220;ove necessario e su richiesta&#8221;.<\/p>\n\n\n\n<p>Il contratto dovrebbe specificare chiaramente la frequenza e le modalit\u00e0 attraverso cui il flusso di informazioni dovrebbe avvenire tra il titolare del trattamento e il responsabile del trattamento, assicurando che il titolare sia sempre aggiornato sulle operazioni di trattamento. <\/p>\n\n\n\n<p>Ci\u00f2 potrebbe implicare, ad esempio, la condivisione di parti rilevanti dei registri delle attivit\u00e0 di trattamento da parte del responsabile con il titolare. \u00c8 importante che il responsabile del trattamento metta a disposizione tutte le informazioni necessarie riguardo le modalit\u00e0 con cui verr\u00e0 eseguito il trattamento per conto del titolare. Queste informazioni dovrebbero coprire aspetti quali i sistemi impiegati, le misure di sicurezza adottate, la gestione dei dati, la loro localizzazione, i trasferimenti, l&#8217;accesso, i destinatari dei dati, l&#8217;uso di eventuali subresponsabili, e cos\u00ec via.<\/p>\n\n\n\n<p>Il contratto dovrebbe altres\u00ec delineare le modalit\u00e0 con cui sia possibile realizzare e contribuire a controlli e audit, sia da parte del responsabile che da parte di un revisore esterno designato dallo stesso. \u00c8 fondamentale che ci sia una collaborazione leale per decidere la necessit\u00e0 di audit presso le strutture del responsabile del trattamento, oltre a definire procedure specifiche per l&#8217;ispezione dei subresponsabili da parte sia del responsabile che del titolare del trattamento.<\/p>\n\n\n\n<p>In caso di istruzioni che potrebbero contravvenire alle normative sulla protezione dei dati, come stabilito dall&#8217;articolo 28, paragrafo 3, il responsabile del trattamento \u00e8 tenuto a notificare senza indugi al titolare del trattamento qualsiasi istruzione che, secondo il suo giudizio, possa violare il GDPR o altre leggi relative alla protezione dei dati degli Stati membri o dell&#8217;Unione Europea. Questo perch\u00e9 il responsabile del trattamento deve seguire le direttive del titolare del trattamento ma ha anche l&#8217;obbligo di rispettare la legge, creando potenzialmente un conflitto tra questi due doveri.<\/p>\n\n\n\n<p>Se viene sollevata una preoccupazione riguardo a un&#8217;istruzione potenzialmente illegale, il responsabile del trattamento deve valutare la situazione per determinare se l&#8217;istruzione contravvenga effettivamente alle norme sulla protezione dei dati. L&#8217;EDPB suggerisce che le parti stabiliscano nel contratto le conseguenze di una notifica di istruzione illegale da parte del responsabile del trattamento, incluso, ad esempio, l&#8217;inserimento di una clausola che permetta la risoluzione del contratto nel caso in cui il responsabile del trattamento continui a seguire un&#8217;istruzione illecita.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-i-provvedimenti-del-garante-linee-guida-nella-differenza-tra-titolare-e-responsabile\">I provvedimenti del Garante linee guida nella differenza tra Titolare e responsabile<\/h3>\n\n\n\n<p>In particolare, ci sono state molteplici occasioni in cui il Garante ha chiarito che, nonostante la definizione contrattuale di un&#8217;entit\u00e0 come titolare del trattamento, questa deve essere considerata responsabile del trattamento in determinate circostanze (vedi, ad esempio, la decisione del 15 giugno 2011 relativa agli agenti che svolgono attivit\u00e0 promozionali e quella del 29 aprile 2009 riguardante l&#8217;appalto di servizi).<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-provvedimento-del-15-06-2011\">Provvedimento del 15.06.2011<\/h4>\n\n\n\n<p>Il provvedimento del Garante per la protezione dei dati personali del 15 giugno 2011 riguarda la titolarit\u00e0 del trattamento di dati personali da parte di soggetti che utilizzano agenti per attivit\u00e0 promozionali.<\/p>\n\n\n\n<p>Questo documento stabilisce che, anche se un&#8217;azienda si avvale di agenti esterni per la commercializzazione dei suoi prodotti o servizi, rimane il titolare del trattamento dei dati personali. <\/p>\n\n\n\n<p>Ci\u00f2 implica che l&#8217;azienda principale ha la responsabilit\u00e0 finale di garantire la conformit\u00e0 con le normative sulla protezione dei dati, nonostante l&#8217;uso di terze parti per attivit\u00e0 promozionali<\/p>\n\n\n\n<p>Il provvedimento sottolinea l&#8217;importanza di designare formalmente questi agenti come responsabili del trattamento, stabilendo chiaramente i loro ruoli e responsabilit\u00e0. Questo \u00e8 essenziale per garantire che tutte le parti coinvolte rispettino le normative vigenti in materia di privacy e protezione dei dati. Inoltre, il provvedimento del Garante del 15 giugno 2011 \u00e8 stato citato in vari altri documenti e linee guida successivi, dimostrando la sua rilevanza nel contesto della regolamentazione della privacy in Italia<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-provvedimento-del-29-04-2009\">Provvedimento del 29.04.2009<\/h4>\n\n\n\n<p>Il provvedimento del Garante per la protezione dei dati personali del 29 aprile 2009 ha affrontato diverse questioni relative alla protezione dei dati personali. <\/p>\n\n\n\n<p>Uno degli aspetti trattati in questo provvedimento riguardava la titolarit\u00e0 del trattamento dei dati personali da parte di Poste Italiane, anche in caso di appalto.<\/p>\n\n\n\n<p> Il Garante ha stabilito che Poste Italiane rimaneva il titolare del trattamento dei dati personali, nonostante l&#8217;uso di soggetti esterni per determinate attivit\u00e0<\/p>\n\n\n\n<p>Inoltre, il provvedimento ha affrontato la questione degli scontrini fiscali &#8220;parlanti&#8221; per l&#8217;acquisto di farmaci, stabilendo delle prescrizioni per la protezione dei dati personali dei clienti in questo contesto<\/p>\n\n\n\n<p>.Il provvedimento del 29 aprile 2009 \u00e8 stato citato in altri documenti e discussioni relative alla protezione dei dati personali, dimostrando la sua importanza e rilevanza nel contesto normativo italiano sulla privacy<\/p>\n\n\n\n<p>Questo provvedimento \u00e8 stato preso in considerazione anche in relazione alla conformit\u00e0 con il successivo Regolamento Generale sulla Protezione dei Dati (GDPR), che ha ulteriormente rafforzato i diritti degli individui rispetto al trattamento dei loro dati personali<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Il responsabile del trattamento ha l&#8217;obbligo di non elaborare i dati personali oltre le direttive ricevute dal titolare del trattamento. Anche se \u00e8 possibile che le istruzioni fornite dal titolare lascino una certa libert\u00e0 al responsabile, permettendogli di decidere sulle migliori misure tecniche e organizzative da applicare a seconda delle situazioni specifiche, il responsabile deve comunque operare seguendo le linee guida stabilite dal titolare.<\/p>\n\n\n\n<p>In caso di mancato rispetto delle istruzioni ricevute, il responsabile del trattamento si trover\u00e0 a dover affrontare sanzioni sia nei confronti del titolare del trattamento che per il trattamento dei dati che ha effettuato, arrivando a essere considerato lui stesso come titolare del trattamento per quelle specifiche azioni. <\/p>\n\n\n\n<p><strong>La Corte di Cassazione <\/strong>ha rafforzato questa interpretazione, sottolineando che i ruoli di &#8220;responsabile del trattamento&#8221; e di &#8220;titolare del trattamento&#8221; devono essere compresi in termini funzionali, non meramente formali. L&#8217;obiettivo \u00e8 quello di distribuire le responsabilit\u00e0 basandosi sui ruoli reali svolte dalle parti, una divisione che deve emergere dall&#8217;analisi concreta dei fatti o delle circostanze specifiche del caso. Questa ripartizione delle responsabilit\u00e0 \u00e8 considerata un principio fondamentale e, come tale, non pu\u00f2 essere oggetto di negoziazione.<\/p>\n\n\n\n<p>Sul punto, la Suprema Corte ha chiarito che affinch\u00e9 ricorra la figura del \u201cresponsabile del trattamento\u201d, \u00e8 necessario che il trattamento si svolga effettivamente nell\u2019osservanza delle istruzioni impartite dal titolare del trattamento. Nel caso di inosservanza delle stesse, il responsabile del trattamento potr\u00e0 essere riconosciuto titolare del trattamento, in ragione dell\u2019autonomia decisionale e gestionale manifestata nell\u2019aver disatteso le disposizioni impartite dal titolare del trattamento effettivo<br><\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-ii-atto-di-designazione-contenuto-e-forma\">II. Atto di designazione: contenuto e forma<\/h4>\n\n\n\n<p>L&#8217;articolo 28, comma 3, del GDPR specifica in dettaglio le caratteristiche e i requisiti che deve avere l&#8217;atto di nomina del responsabile del trattamento, andando oltre quanto definito dalla normativa precedente. <\/p>\n\n\n\n<p>Questo atto pu\u00f2 essere rappresentato da un contratto o da un altro tipo di documento legale che stabilisca:<\/p>\n\n\n\n<p> i) l&#8217;oggetto del trattamento; <\/p>\n\n\n\n<p>ii) la durata del trattamento; <\/p>\n\n\n\n<p>iii) la natura e gli scopi del trattamento; <\/p>\n\n\n\n<p>iv) il tipo di dati personali trattati; <\/p>\n\n\n\n<p>v) le categorie di soggetti interessati; <\/p>\n\n\n\n<p>vi) gli obblighi e i diritti del titolare del trattamento. <\/p>\n\n\n\n<p>Inoltre, l&#8217;atto deve includere una serie di obblighi specifici per il responsabile, elencati nell&#8217;articolo 28, comma 3, dalle lettere a) a h).<\/p>\n\n\n\n<p> Il titolare ha la possibilit\u00e0 di nominare il responsabile utilizzando lo stesso contratto che regola il rapporto esistente tra le parti, arricchendolo con i requisiti minimi menzionati nella normativa, oppure attraverso un contratto separato o un altro documento legale, a condizione che questo sia adeguato a impegnare il responsabile al rispetto degli obblighi previsti.<\/p>\n\n\n\n<p>Nelle Linee Guida 7\/2020 riguardanti i concetti di titolare e responsabile del trattamento, l&#8217;EDPB ha chiarito che il documento che regola il trattamento dei dati non dovrebbe limitarsi a ripetere le definizioni generali degli elementi gi\u00e0 menzionati, ma dovrebbe fornire dettagli pi\u00f9 specifici e concreti. Questo include, ad esempio, i criteri specifici che devono essere rispettati per il trattamento dei dati o il livello di sicurezza necessario per il tipo di trattamento dei dati descritto nel contratto o nell&#8217;atto.<\/p>\n\n\n\n<p>Le disposizioni richieste dall&#8217;articolo 28, paragrafo 3, che devono essere incluse nell&#8217;atto di nomina possono essere categorizzate in due gruppi: quelle relative ai doveri di assistenza al titolare nelle operazioni di trattamento dei dati (lettere e, f, e h) e quelle che riguardano l&#8217;obbligo di assicurare la sicurezza e la confidenzialit\u00e0 dei dati (lettere b, c, d e g).<\/p>\n\n\n\n<p>Vale la pena menzionare la disposizione indicata nella lettera a), che stabilisce che il responsabile del trattamento debba operare sulla base di &#8220;istruzioni documentate&#8221; fornite dal titolare. Secondo alcuni studiosi, questa clausola, data l&#8217;assenza di un obbligo corrispondente imposto al titolare di fornire istruzioni documentate al responsabile, sembra richiedere a quest&#8217;ultimo di registrare le istruzioni ricevute per poter dimostrare di aver agito in conformit\u00e0 con il GDPR. Questo significa che, anche se le istruzioni fossero ricevute oralmente, ad esempio in situazioni d&#8217;urgenza, il responsabile avrebbe l&#8217;obbligo di documentarle successivamente<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>D&#8217;altro canto, la mancata designazione da parte del titolare del trattamento espone anche il soggetto che agisce per suo conto, e che dovrebbe essere riconosciuto come responsabile del trattamento, a conseguenze negative, inclusa la possibilit\u00e0 di sanzioni. <\/p>\n\n\n\n<p>Questo \u00e8 evidenziato da alcune recenti decisioni del Garante per la Protezione dei Dati Personali (GPDP), come quelle in cui sono stati sanzionati tutti i soggetti coinvolti nella catena del trattamento (titolare del trattamento, societ\u00e0 di servizi e il subfornitore) in casi dove la societ\u00e0 di servizi e il suo subfornitore hanno operato senza che il loro ruolo di responsabile e subresponsabile del trattamento fosse formalmente definito secondo l&#8217;articolo 28 del GDPR (provvedimenti del 22.7.2021, n. 292, 293 e 294).<\/p>\n\n\n\n<p>Questa situazione deriva dal fatto che il trattamento dei dati, eseguito per conto e nell&#8217;interesse del titolare, avveniva senza un&#8217;adeguata base legale. Tuttavia, \u00e8 importante notare che, di fronte a una possibile inattivit\u00e0 del titolare, il responsabile del trattamento non ha altre opzioni se non quella di sollecitare la formalizzazione della sua nomina o, in alternativa, di rinunciare all&#8217;incarico.<\/p>\n\n\n\n<p>Il Garante per la Protezione dei Dati Personali (GPDP) ha preso in considerazione questo aspetto in due provvedimenti del 2021. In un caso, ha sanzionato il titolare per non aver nominato come responsabile del trattamento la societ\u00e0 a cui aveva affidato servizi in outsourcing. Nell&#8217;altro caso, ha ritenuto sufficiente ammonire la societ\u00e0 poich\u00e9 quest&#8217;ultima aveva pi\u00f9 volte sollecitato il titolare a nominarla come responsabile del trattamento e aveva adottato misure in linea con la normativa sulla privacy, come l&#8217;istituzione del registro dei trattamenti (provvedimenti del 14.1.2021, n. 9 e 10).<\/p>\n\n\n\n<p>Come gi\u00e0 indicato dall&#8217;articolo 29 del Codice Privacy, l&#8217;articolo 28, paragrafo 9, del GDPR stabilisce che l&#8217;atto di designazione del responsabile del trattamento debba essere redatto in forma scritta, aggiungendo che pu\u00f2 essere concluso anche in formato elettronico  ad esempio attraverso la selezione di una casella in un modulo online <\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-iii-il-ricorso-a-clausole-standard\">III. Il ricorso a clausole standard<\/h4>\n\n\n\n<p>I paragrafi 7 e 8 dell&#8217;articolo 28 del GDPR aprono la possibilit\u00e0 che la Commissione Europea o le autorit\u00e0 di controllo nazionali possano adottare clausole contrattuali standard per la nomina del responsabile del trattamento. <\/p>\n\n\n\n<p>Queste clausole riflettono i requisiti minimi specificati nel paragrafo 3 dell&#8217;articolo 28. In questo modo, il legislatore europeo ha deciso di seguire un approccio gi\u00e0 testato in precedenza per il trasferimento di dati verso paesi terzi, facilitando per i titolari del trattamento l&#8217;adempimento dell&#8217;obbligo di regolamentare adeguatamente tali trasferimenti. Questo fornisce uno strumento semplice da utilizzare e sicuramente in linea con la normativa vigente.<\/p>\n\n\n\n<p>A fronte della maggiore complessit\u00e0 connessa alla designazione del responsabile del trattamento che emerge dal disposto del&nbsp;<a href=\"https:\/\/onelegale.wolterskluwer.it\/normativa\/10LX0000828463SOMM?pathId=ebb557aa7b51c\">GDPR<\/a>, il ricorso a clausole contrattuali modello appare senza dubbio auspicabile; ci\u00f2 soprattutto in considerazione dello squilibrio contrattuale che molto spesso caratterizza le dinamiche tra grossi fornitori di servizi, che trattano i dati in qualit\u00e0 di responsabili, e gli utenti di tali servizi, che sono titolari del trattamento. <\/p>\n\n\n\n<p>In queste situazioni, il titolare del trattamento non ha il potere negoziale necessario per imporre obblighi o adempimenti al responsabile del trattamento. <\/p>\n\n\n\n<p>Di conseguenza, l&#8217;atto di nomina viene predisposto unilateralmente dal responsabile.<\/p>\n\n\n\n<p> L&#8217;utilizzo di clausole standard potrebbe almeno garantire al titolare che la designazione sia compatibile con gli obblighi di legge, <\/p>\n\n\n\n<p>Come evidenziato dalla dottrina, l&#8217;intento del legislatore europeo \u00e8 quello di fornire uno strumento che protegga non solo le parti coinvolte nell&#8217;accordo, ma soprattutto i terzi che potrebbero essere impattati dagli effetti dell&#8217;accordo sul trattamento dei dati stipulato tra il titolare e il responsabile<\/p>\n\n\n\n<p>Il 4 giugno 2021, la Commissione Europea ha adottato due decisioni di esecuzione riguardanti le nuove clausole contrattuali standard <\/p>\n\n\n\n<p>Le nuove clausole contrattuali standard mirano a fornire un modello aggiornato in linea con le novit\u00e0 introdotte dal Regolamento, adottando un approccio flessibile. Questo \u00e8 stato realizzato sia dividendo le clausole contrattuali standard in moduli sia estendendo il numero di parti che possono aderire al contratto e utilizzare le stesse clausole.<\/p>\n\n\n\n<div data-wp-interactive=\"core\/file\" class=\"wp-block-file\"><object data-wp-bind--hidden=\"!state.hasPdfPreview\" hidden class=\"wp-block-file__embed\" data=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/dk_sa_standard_contractual_clauses_january_2020_en.pdf\" type=\"application\/pdf\" style=\"width:100%;height:600px\" aria-label=\"Embed of dk_sa_standard_contractual_clauses_january_2020_en.\"><\/object><a id=\"wp-block-file--media-d3052871-36dd-4d13-81a4-7734952687ba\" href=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/dk_sa_standard_contractual_clauses_january_2020_en.pdf\">dk_sa_standard_contractual_clauses_january_2020_en<\/a><a href=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/dk_sa_standard_contractual_clauses_january_2020_en.pdf\" class=\"wp-block-file__button wp-element-button\" download aria-describedby=\"wp-block-file--media-d3052871-36dd-4d13-81a4-7734952687ba\">Download<\/a><\/div>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"h-\"><\/h3>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-la-figura-del-responsabile-interno\">La figura del responsabile interno<\/h4>\n\n\n\n<p>Durante l&#8217;applicazione del Codice per la protezione dei dati personali, la prassi ha introdotto la figura del responsabile interno del trattamento, cio\u00e8 una persona all&#8217;interno dell&#8217;organizzazione del titolare (sia dipendente che collaboratore) a cui venivano delegate specifiche responsabilit\u00e0 in materia di protezione dei dati. <\/p>\n\n\n\n<p>Questo soggetto aveva un certo grado di autonomia nel decidere i mezzi e le modalit\u00e0 di trattamento dei dati, pur rispettando le finalit\u00e0 stabilite dal titolare. Sebbene questa figura non fosse mai stata formalmente definita a livello legislativo, era considerata in linea con la definizione di responsabile del trattamento fornita dalla direttiva 95\/46\/CE e dal Codice privacy.<\/p>\n\n\n\n<p>Dato che il GDPR non prevede esplicitamente la figura del responsabile interno del trattamento, spetta agli interpreti valutare la sua compatibilit\u00e0 con il nuovo quadro normativo. Il GDPR descrive in modo dettagliato la figura del responsabile del trattamento, introducendo numerosi obblighi specifici per questa figura. La natura di alcuni di questi obblighi sembra suggerire l&#8217;incompatibilit\u00e0 della figura del responsabile interno con le disposizioni del GDPR. Ad esempio, obblighi come la creazione di un registro dei trattamenti, la nomina di un rappresentante nell&#8217;Unione Europea, o la designazione di un responsabile per la protezione dei dati personali sono chiaramente pensati per soggetti esterni all&#8217;organizzazione del titolare.<\/p>\n\n\n\n<p>Inoltre, molti degli obblighi elencati nell&#8217;articolo 28, paragrafo 3, come l&#8217;assistenza al titolare nell&#8217;adozione di misure tecniche e organizzative, l&#8217;obbligo di cancellare o restituire i dati al termine del servizio, o l&#8217;obbligo di consentire al titolare di effettuare ispezioni e controlli, sembrano superflui se applicati a un soggetto interno all&#8217;organizzazione del titolare. Questa interpretazione \u00e8 supportata anche da Pelino (2, pag. 149). Infine, l&#8217;articolo 29 del GDPR distingue chiaramente tra le figure del titolare e del responsabile del trattamento e i soggetti che agiscono sotto l&#8217;autorit\u00e0 di questi ultimi, rafforzando ulteriormente l&#8217;idea di una potenziale incompatibilit\u00e0 della figura del responsabile interno con il regolamento.<\/p>\n\n\n\n<p>Quest&#8217;interpretazione \u00e8 supportata dal parere del 12 maggio 2020 del Garante per la Protezione dei Dati Personali (GPDP), che ha chiarito il ruolo e le responsabilit\u00e0 degli Organismi di Vigilanza (OdV) previsti dal decreto legislativo n. 231\/2001 in relazione al trattamento dei dati personali svolto nell&#8217;ambito delle loro funzioni. <\/p>\n\n\n\n<p>Il Garante ha stabilito che l&#8217;OdV non pu\u00f2 essere considerato n\u00e9 un titolare autonomo del trattamento, a causa della definizione legale dei suoi compiti e delle direttive ricevute dall&#8217;organo dirigente, n\u00e9 un responsabile del trattamento, poich\u00e9 non \u00e8 una persona giuridicamente distinta dal titolare per conto del quale opera seguendo le istruzioni ricevute. Invece, l&#8217;OdV \u00e8 considerato parte integrante dell&#8217;ente che, successivamente, nomina i singoli membri dell&#8217;Organismo come soggetti autorizzati al trattamento dei dati, i quali sono tenuti a seguire le istruzioni del titolare.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-rapporto-tra-titolare-e-responsabile-del-trattamento\">Rapporto tra titolare e responsabile del trattamento<\/h4>\n\n\n\n<p>Il ruolo del titolare del trattamento e la sua interazione con la figura del responsabile del trattamento assumono un&#8217;importanza fondamentale nell&#8217;ambito del GDPR, stabilendo chi sia tenuto al rispetto delle varie disposizioni in materia di protezione dei dati e in che modo le persone interessate possano attuare i propri diritti in maniera concreta. <\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Sia i titolari che i responsabili del trattamento sono soggetti a possibili <strong>sanzioni<\/strong> finanziarie se non aderiscono agli obblighi specifici delineati dal GDPR che li riguardano. Entrambi hanno l&#8217;obbligo diretto di rispondere alle autorit\u00e0 di controllo, fornendo e mantenendo la documentazione richiesta, collaborando durante le indagini e ottemperando agli ordini amministrativi. \u00c8 fondamentale ricordare, inoltre, che i responsabili del trattamento sono tenuti a seguire scrupolosamente le direttive dei titolari del trattamento nelle loro operazioni.<\/p>\n\n\n\n<p>Il principio di responsabilit\u00e0, unito alle disposizioni dettagliate su come adempiere ai requisiti del GDPR e alla ripartizione dei compiti, richiede l&#8217;identificazione precisa dei vari ruoli assunti dai soggetti partecipanti al trattamento dei dati personali.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\" id=\"h-esempio\">Esempio:<\/h4>\n\n\n\n<p>In un&#8217;azienda che utilizza un sistema di monitoraggio del tempo di lavoro dei dipendenti, l&#8217;azienda stessa agisce come titolare del trattamento, poich\u00e9 decide le finalit\u00e0 e i mezzi del trattamento dei dati personali dei dipendenti. Un fornitore di software esterno, utilizzato per gestire il sistema di monitoraggio, sarebbe il responsabile del trattamento, operando secondo le istruzioni fornite dall&#8217;azienda.<\/p>\n\n\n\n<p>In questo scenario, l&#8217;azienda (titolare del trattamento) deve assicurarsi che il sistema rispetti i principi del GDPR, come la minimizzazione dei dati e la sicurezza dei dati. Deve anche essere in grado di dimostrare la conformit\u00e0 con il principio di responsabilit\u00e0, ad esempio, attraverso la documentazione delle misure di sicurezza adottate e la regolarit\u00e0 delle verifiche sulla protezione dei dati. Il fornitore di software (responsabile del trattamento), d&#8217;altra parte, deve seguire le istruzioni dell&#8217;azienda riguardo al trattamento dei dati e adottare misure adeguate per proteggere i dati personali dei dipendenti.<\/p>\n\n\n\n<p>Questa chiara definizione dei ruoli \u00e8 fondamentale per garantire che tutte le parti coinvolte comprendano le loro responsabilit\u00e0 e contribuiscano alla protezione dei dati personali in conformit\u00e0 con il GDPR.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong>Q<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Chi \u00e8 il titolare del trattamento ? \u00abtitolare del trattamento\u00bb: la persona fisica o giuridica, l&#8217;autorit\u00e0 pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalit\u00e0 e i mezzi del trattamento di dati personali; quando le finalit\u00e0 e i mezzi di tale trattamento sono determinati dal diritto dell&#8217;Unione o degli [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":6770,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[44],"tags":[],"class_list":["post-6757","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-diritto-rovescio"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v23.3 (Yoast SEO v25.6) - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Titolare o responsabile? Questo \u00e8 il problema - PB Consulting<\/title>\n<meta name=\"description\" content=\"Esplora le differenze cruciali tra Titolare e Responsabile del trattamento nel contesto del GDPR\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Titolare o responsabile? Questo \u00e8 il problema\" \/>\n<meta property=\"og:description\" content=\"Esplora le differenze cruciali tra Titolare e Responsabile del trattamento nel contesto del GDPR\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/\" \/>\n<meta property=\"og:site_name\" content=\"PB Consulting\" \/>\n<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/alberto.bozzo.9\" \/>\n<meta property=\"article:published_time\" content=\"2024-04-22T21:09:59+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-04-24T15:23:33+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/rpGoPnAsvL-0x512-1.jpeg\" \/>\n\t<meta property=\"og:image:width\" content=\"512\" \/>\n\t<meta property=\"og:image:height\" content=\"512\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Alberto Bozzo\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Alberto Bozzo\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"64 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/\",\"url\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/\",\"name\":\"Titolare o responsabile? Questo \u00e8 il problema - PB Consulting\",\"isPartOf\":{\"@id\":\"https:\/\/www.consultingpb.com\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/rpGoPnAsvL-0x512-1.jpeg\",\"datePublished\":\"2024-04-22T21:09:59+00:00\",\"dateModified\":\"2024-04-24T15:23:33+00:00\",\"author\":{\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\"},\"description\":\"Esplora le differenze cruciali tra Titolare e Responsabile del trattamento nel contesto del GDPR\",\"breadcrumb\":{\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/#primaryimage\",\"url\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/rpGoPnAsvL-0x512-1.jpeg\",\"contentUrl\":\"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/rpGoPnAsvL-0x512-1.jpeg\",\"width\":512,\"height\":512},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.consultingpb.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Titolare o responsabile? Questo \u00e8 il problema\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.consultingpb.com\/#website\",\"url\":\"https:\/\/www.consultingpb.com\/\",\"name\":\"PB Consulting\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.consultingpb.com\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50\",\"name\":\"Alberto Bozzo\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g\",\"caption\":\"Alberto Bozzo\"},\"sameAs\":[\"https:\/\/www.consultingpb.com\/\",\"https:\/\/www.facebook.com\/alberto.bozzo.9\",\"https:\/\/www.instagram.com\/ab_dirittorovescio\/\",\"https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/\"],\"url\":\"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Titolare o responsabile? Questo \u00e8 il problema - PB Consulting","description":"Esplora le differenze cruciali tra Titolare e Responsabile del trattamento nel contesto del GDPR","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/","og_locale":"en_US","og_type":"article","og_title":"Titolare o responsabile? Questo \u00e8 il problema","og_description":"Esplora le differenze cruciali tra Titolare e Responsabile del trattamento nel contesto del GDPR","og_url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/","og_site_name":"PB Consulting","article_author":"https:\/\/www.facebook.com\/alberto.bozzo.9","article_published_time":"2024-04-22T21:09:59+00:00","article_modified_time":"2024-04-24T15:23:33+00:00","og_image":[{"width":512,"height":512,"url":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/rpGoPnAsvL-0x512-1.jpeg","type":"image\/jpeg"}],"author":"Alberto Bozzo","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Alberto Bozzo","Est. reading time":"64 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/","url":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/","name":"Titolare o responsabile? Questo \u00e8 il problema - PB Consulting","isPartOf":{"@id":"https:\/\/www.consultingpb.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/#primaryimage"},"image":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/#primaryimage"},"thumbnailUrl":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/rpGoPnAsvL-0x512-1.jpeg","datePublished":"2024-04-22T21:09:59+00:00","dateModified":"2024-04-24T15:23:33+00:00","author":{"@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50"},"description":"Esplora le differenze cruciali tra Titolare e Responsabile del trattamento nel contesto del GDPR","breadcrumb":{"@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/#primaryimage","url":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/rpGoPnAsvL-0x512-1.jpeg","contentUrl":"https:\/\/www.consultingpb.com\/wp-content\/uploads\/2024\/04\/rpGoPnAsvL-0x512-1.jpeg","width":512,"height":512},{"@type":"BreadcrumbList","@id":"https:\/\/www.consultingpb.com\/blog\/diritto-rovescio\/titolare-o-responsabile-questo-e-il-problema\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.consultingpb.com\/en\/"},{"@type":"ListItem","position":2,"name":"Titolare o responsabile? Questo \u00e8 il problema"}]},{"@type":"WebSite","@id":"https:\/\/www.consultingpb.com\/#website","url":"https:\/\/www.consultingpb.com\/","name":"PB Consulting","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.consultingpb.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/09b2842207e1ed74e87559a8e584fd50","name":"Alberto Bozzo","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.consultingpb.com\/#\/schema\/person\/image\/","url":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/417349770ce903a6b3447c4269e5e3cf91964bab004ff7a0336c8434fdf40b46?s=96&d=mm&r=g","caption":"Alberto Bozzo"},"sameAs":["https:\/\/www.consultingpb.com\/","https:\/\/www.facebook.com\/alberto.bozzo.9","https:\/\/www.instagram.com\/ab_dirittorovescio\/","https:\/\/www.linkedin.com\/in\/alberto-bozzo-57982b63\/"],"url":"https:\/\/www.consultingpb.com\/en\/blog\/author\/alberto\/"}]}},"_links":{"self":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/6757","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/comments?post=6757"}],"version-history":[{"count":10,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/6757\/revisions"}],"predecessor-version":[{"id":6772,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/posts\/6757\/revisions\/6772"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media\/6770"}],"wp:attachment":[{"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/media?parent=6757"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/categories?post=6757"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.consultingpb.com\/en\/wp-json\/wp\/v2\/tags?post=6757"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}