GDPR e trattamento dei dati personali - 25 settembre 2018

GDPR e trattamento dei dati
personali nella Pubblica
Amministrazione Locale
25 settembre 2018 - dott. Simone Chiarelli
Salone consiliare della Provincia di Asti

Realizzato in
collaborazione fra

DECRETO LEGISLATIVO 10 agosto 2018, n. 101
Disposizioni per l’adeguamento della normativa nazionale alle
disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche’ alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati).
(GU Serie Generale n.205 del 04-09-2018)
note: Entrata in vigore del provvedimento: 19/09/2018

Fonti del Diritto
GDPR
regolamento UE 2016/679
Codice Privacy
Dlgs 196/2003
Adeguamento GDPR
Dlgs 101/2008
Disciplina
Transitoria
Provvedimenti Garante
dal 25/5/2018
Provvedimenti Garante
ante 25/5/2018
A
B
C
D
E
F

Extra GDPR
Diritto penale
Direttiva (UE) 2016/680
Recepimento
DECRETO LEGISLATIVO
18 maggio 2018, n. 51
DPR
15 gennaio 2018, n. 15
Rinvio al GDPR
Provvedimenti Garante e
Decreti attuativi
A
B
D
E
F
C

Cosa contiene il Dlgs 101/2018
Modifiche Dlgs 196/2003
Molti articoli del Codice
della Privacy (Dlgs
196/2003) vengono
corretti per adattarli alla
nuova terminologia del
GDPR
Abrogazioni Dlgs 196/2003
L’intervento più
significativo riguarda le
abrogazioni sia al Dlgs
196/2003 (le più
importanti) che ad altre
disposizioni
Nuove disposizioni
Gli articoli 17 e seguenti
del Dlgs 101/2018 sono
“norme nuove” e come
tali non si ritrovano nel
Dlgs 196/2003

Cosa NON contiene il Dlgs 101/2018
Disposizioni sui soggetti
La normativa nazionale
non disciplina più
titolare, contitolare,
responsabile, dpo ecc…
tranne qualche
disposizione secondaria
e la novità dei “designati”
Disposizioni su adempimenti
Nessuna norma su
Registri, DPIA
(valutazione d’impatto) e
rinvio completo sugli altri
adempimenti (salvo
qualche disposizione su
reclamo)
Altro
Manca una disciplina
specifica sulle sanzioni
(minimo-massimo) per
cui si rinvia al GDPR
mentre ci sono
disposizioni sulle
procedure di
applicazione

Ruoli e responsabilità
nel sistema GDPR
Titolare, contitolare, DPO, Responsabili, autorizzati ecc…..

Organigramma
Responsabile
Dati di contatto
DPO Dipendenti Designati
DPO/RPD
Dati di contatto
Personale Team Privacy
Titolare
Esercenti funzioni
del titolare
Contitolare
DPO -
Responsabili
Designati

Art. 2-quaterdecies “CODICE PRIVACY” (Attribuzione di funzioni e compiti
a soggetti designati)
Chi sono
Il titolare o il
responsabile del
trattamento possono
prevedere …. persone
fisiche, espressamente
designate, che operano
sotto la loro autorità
Cosa fanno
specifici compiti e
funzioni connessi al
trattamento di dati
personali
Come designarli
Il titolare o il
responsabile del
trattamento individuano
le modalita' piu'
opportune

DESIGNATI
Art. 10
DPCM 25 maggio 2018
- 1. I dirigenti della Presidenza del Consiglio
dei ministri che trattano dati personali in
relazione alle competenze attribuite o
comunque esercitate ..sono autorizzati al
trattamento nel rispetto delle misure e delle
istruzioni adottate da chi esercita le funzioni di
titolare del trattamento dei dati personali.
2. E' autorizzato al trattamento dei dati
personali tutto il personale in servizio presso
la PCM che tratta dati personali in relazione
alle competenze della unita' organizzativa alla
quale e' stato assegnato, salvo eventuali
diverse determinazioni adottate dai soggetti di
cui all'art. 3 (esercenti funzioni di titolare).

Titolare
Art. 4 (definizione)
la persona fisica o
giuridica, l'autorità
pubblica, il servizio o
altro organismo che,
singolarmente o insieme
ad altri, determina le
finalità e i mezzi del
trattamento di dati
personali
Accountability
Il titolare del trattamento
è competente per il
rispetto del paragrafo 1 e
in grado di comprovarlo
(«responsabilizzazione»)
Esercente funzioni
D.P.C.M. 25 maggio
2018 “i soggetti
individuati per l'esercizio
delle funzioni di titolare
del trattamenti dei dati
personali, ciascuno nel
rispettivo ambito di
competenza, sono: ……”

Contitolare
Art. 26
Allorché due o più titolari
del trattamento
determinano
congiuntamente le
finalità e i mezzi del
trattamento
Accordo
Essi determinano in
modo trasparente,
mediante un accordo
interno, le rispettive
responsabilità … Il
contenuto essenziale
dell'accordo è messo a
disposizione
dell'interessato.
Diritti disgiunti
l'interessato può
esercitare i propri diritti
ai sensi del presente
regolamento nei
confronti di e contro
ciascun titolare del
trattamento.

Titolare e contitolare
Interessati
Diritti
Titolare
DPO
Designati
Contitolare
DPO
DesignatiPunto di contatto
Accordo di
contitolarità

Responsabile della protezione dei dati DPO/RPD
DPO obbligatorio
il trattamento è
effettuato da un'autorità
pubblica o da un
organismo pubblico,
eccettuate le autorità
giurisdizionali quando
esercitano le loro
funzioni giurisdizionali;
DPO obbligatorio
le attività principali
consistono in trattamenti
che, per loro natura,
ambito di applicazione
e/o finalità, richiedono il
monitoraggio regolare e
sistematico degli
interessati su larga scala
DPO obbligatorio
le attività principali
consistono nel
trattamento, su larga
scala, di categorie
particolari di dati
personali o di dati relativi
a condanne penali e a
reati

D.P.O. (R.P.D.)
Art. 37
PUBBLICA AMMINISTRAZIONE
- Qualora il titolare del trattamento o
il responsabile del trattamento sia
un'autorità pubblica o un
organismo pubblico, un unico
responsabile della protezione dei
dati può essere designato per più
autorità pubbliche o organismi
pubblici, tenuto conto della loro
struttura organizzativa e
dimensione.

D.P.O. (R.P.D.)
Artt. 37-39
- Nei casi diversi …. il titolare e del
trattamento, il responsabile del
trattamento o le associazioni e gli
altri organismi rappresentanti le
categorie di titolari del trattamento
o di responsabili del trattamento
possono o, se previsto dal diritto
dell'Unione o degli Stati membri,
devono designare un responsabile
della protezione dei dati.

D.P.O. (R.P.D.)
Artt. 37-39
- Il responsabile della protezione dei
dati è designato in funzione delle
qualità professionali, in particolare
della conoscenza specialistica
della normativa e delle prassi in
materia di protezione dei dati, e
della capacità di assolvere i
compiti di cui all'articolo 39.

D.P.O. (R.P.D.)
Artt. 37-38
- … tempestivamente e
adeguatamente coinvolto in tutte
le questioni riguardanti la
protezione dei dati personali.
- ... fornendogli le risorse necessarie
per assolvere tali compiti e
accedere ai dati personali e ai
trattamenti e per mantenere la
propria conoscenza specialistica
- … non riceva alcuna istruzione per
quanto riguarda l'esecuzione di tali
compiti.
- … può svolgere altri compiti e
funzioni. Il titolare del trattamento
o il responsabile del trattamento si
assicura che tali compiti e funzioni
non diano adito a un conflitto di
interessi.

D.P.O. (R.P.D.)
Artt. 37-38
- Il responsabile della protezione dei
dati riferisce direttamente al
vertice gerarchico del titolare del
trattamento o del responsabile del
trattamento.
- Gli interessati possono contattare
il responsabile della protezione dei
dati per tutte le questioni relative al
trattamento dei loro dati personali
e all'esercizio dei loro diritti
derivanti dal presente
regolamento.
- … è tenuto al segreto o alla
riservatezza in merito
all'adempimento dei propri compiti

D.P.O. (R.P.D.)
Artt. 37-38
- informare e fornire consulenza al
titolare del trattamento o al
responsabile del trattamento
nonché ai dipendenti che
eseguono il trattamento in merito
agli obblighi derivanti dal presente
regolamento nonché da altre
disposizioni dell'Unione o degli
Stati membri relative alla
protezione dei dati;

D.P.O. (R.P.D.)
Artt. 37-38
- sorvegliare l'osservanza del
presente regolamento, di altre
disposizioni dell'Unione o degli
Stati membri relative alla
protezione dei dati nonché delle
politiche del titolare del
trattamento o del responsabile del
trattamento in materia di
protezione dei dati personali,
compresi l'attribuzione delle
responsabilità, la sensibilizzazione
e la formazione del personale che
partecipa ai trattamenti e alle
connesse attività di controllo;

D.P.O. (R.P.D.)
Artt. 37-38
- fornire, se richiesto, un parere in
merito alla valutazione d'impatto
sulla protezione dei dati e
sorvegliarne lo svolgimento ai
sensi dell'articolo 35;
- cooperare con l'autorità di
controllo; e
- fungere da punto di contatto per
l'autorità di controllo per questioni
connesse al trattamento, tra cui la
consultazione preventiva di cui
all'articolo 36, ed effettuare, se del
caso, consultazioni relativamente a
qualunque altra questione.

Il Gruppo di lavoro è stato istituito in virtù dell’articolo 29 della direttiva 95/46/CE. È l’organo consultivo indipendente dell’UE
per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all’articolo 30 della direttiva 95/46/CE e
all’articolo 15 della direttiva 2002/58/CE

https://servizi.gpdp.it/comunicazione-rpd/compilaModulo

Responsabile del trattamento
Art. 4 (definizione)
la persona fisica o
giuridica, l'autorità
pubblica, il servizio o
altro organismo che
tratta dati personali per
conto del titolare del
trattamento
Titolare-Responsabile
ricorre unicamente a
responsabili del
trattamento che
presentino garanzie
sufficienti per mettere in
atto misure tecniche e
organizzative adeguate
...
Sub-responsabile
Il responsabile non
ricorre a un altro
responsabile senza
previa autorizzazione
scritta, specifica o
generale, del titolare. Nel
caso di autorizzazione
scritta generale, il
responsabile informa il
titolare

Responsabile
Art. 28
- I trattamenti da parte di un
responsabile del trattamento sono
disciplinati da un contratto o da
altro atto giuridico a norma del
diritto dell'Unione o degli Stati
membri, che vincoli il responsabile
del trattamento al titolare del
trattamento e che stipuli la materia
disciplinata e la durata del
trattamento, la natura e la finalità
del trattamento, il tipo di dati
personali e le categorie di
interessati, gli obblighi e i diritti del
titolare del trattamento.

Responsabile
Art. 28
- il responsabile del trattamento
informa immediatamente il titolare
del trattamento qualora, a suo
parere, un'istruzione violi il
presente regolamento o altre
disposizioni, nazionali o
dell'Unione, relative alla protezione
dei dati.
L'adesione da parte del
responsabile del trattamento a un
codice di condotta o a un
meccanismo di certificazione può
essere utilizzata come elemento
per dimostrare le garanzie
sufficienti

Responsabile
Art. 29
- Il responsabile del trattamento, o
chiunque agisca sotto la sua
autorità o sotto quella del titolare
del trattamento, che abbia accesso
a dati personali non può trattare
tali dati se non è istruito in tal
senso dal titolare del trattamento,
salvo che lo richieda il diritto
dell'Unione o degli Stati membri.

Responsabile
Art. 33
DATA BREACH
- Il responsabile del trattamento
informa il titolare del trattamento
senza ingiustificato ritardo dopo
essere venuto a conoscenza della
violazione.

Titolare - Responsabile - Designati
Designati
Dirigente, P.O.,
dipendente
Titolare
Esercenti funzioni
Designati
Dirigente, P.O.,
dipendente
Designati
Dirigente, P.O.,
dipendente
DPO/RPD
Personale
Responsabile
Designati
Responsabile
Designati
Responsabile
Designati
Sub-Responsabile
Designati

I principi nel trattamento dati
alla luce del GDPR

Art. 5 GDPR (Principi applicabili al trattamento di dati personali)
«liceità, correttezza e
trasparenza»
Liceità
Correttezza
Trasparenza
«limitazione della finalità»
raccolti per finalità determinate,
esplicite e legittime, e
successivamente trattati in modo
che non sia incompatibile con tali
finalità; un ulteriore trattamento
dei dati personali a fini di
archiviazione nel pubblico
interesse, di ricerca scientifica o
storica o a fini statistici non è,
conformemente all'articolo 89,
paragrafo 1, considerato
incompatibile con le finalità
iniziali
«minimizzazione dei dati»
adeguati, pertinenti e
limitati a quanto
necessario rispetto alle
finalità per le quali sono
trattati

«Esattezza»
esatti e, se necessario,
aggiornati; devono
essere adottate tutte le
misure ragionevoli per
cancellare o rettificare
tempestivamente i dati
inesatti rispetto alle
finalità per le quali sono
trattati
«limitazione della conservazione»
conservati in una forma che
consenta l'identificazione degli
interessati per un arco di tempo
non superiore al conseguimento
delle finalità per le quali sono
trattati; conservati per periodi più
lunghi a condizione che siano
trattati esclusivamente a fini di
archiviazione nel pubblico
interesse, di ricerca scientifica o
storica o a fini statistici
«integrità e riservatezza»
trattati in maniera da
garantire un'adeguata
sicurezza dei dati personali,
compresa la protezione,
mediante misure tecniche e
organizzative adeguate, da
trattamenti non autorizzati o
illeciti e dalla perdita, dalla
distruzione o dal danno
accidentali.

Il titolare del trattamento è
competente per il rispetto dei
principi e in grado di
comprovarlo
(«responsabilizzazione»).

Il registro dei trattamenti
alla luce del GDPR

Il registro dei trattamenti
GDPR (preambolo 82)
Per dimostrare che si
conforma al presente
regolamento, il titolare
del trattamento o il
responsabile del
trattamento dovrebbe
tenere un registro delle
attività di trattamento
effettuate sotto la sua
responsabilità
Elementi
Titolare e Responsabile
Registro - Accountability
forma scritta, anche in
formato elettronico
a disposizione
dell'autorità di controllo
GDPR (art. 30)
+ di 250 dipendenti,
- tutti se rischio per i
diritti e le libertà
dell'interessato o
categorie particolari di
dati (dati sensibili e
penali)

Analisi delle problematiche
Analisi rischi
Analisi dei rischi
derivanti dalla propria
attività
Focalizzazione sui
trattamenti a rischio
Collegamento a PIA
(valutazione impatto)
Analisi trattamenti
Analisi e censimento dei
trattamenti effettuati ad
un livello di dettaglio
adeguato
Selezione dei trattamenti
in PIA
Registro
Elaborazione del registro
dei trattamenti
Elaborazione delle
informative collegate ai
trattamenti
Inserimento dei
trattamenti PIA nella
valutazione

Registro
Art. 30
- il nome e i dati di contatto del
titolare, responsabile della
protezione dei dati;
- le finalità del trattamento;
- categorie di interessati e categorie
di dati personali;
- categorie di destinatari
- i trasferimenti di dati personali
verso un paese terzo
- ove possibile, i termini ultimi
previsti per la cancellazione delle
diverse categorie di dati;
- ove possibile, una descrizione
generale delle misure di sicurezza
tecniche e organizzative.

Registro
Approfondimenti
- coinvolgimento organizzazione
- tecniche di redazione
- modalità di approvazione
- modalità di aggiornamento
- coinvolgimento DPO
- benchmarking

Registro
Esempi
- Consiglio Nazionale Forense
http://www.consiglionazionaleforense.it/documents/20
182/431068/All.+B+-+FAQ+privacy+-
+Schema+di+registro+dei+trattamenti+%2828-3-
2018%29.xls/4dc82b2c-0723-4909-9dd9-767708b92245
- Comune di Firenze
https://accessoconcertificato.comune.fi.it/OdeProduzio
ne/FIODEWeb4.nsf/PRG_V001_Allegati/2018_G_00186?
OpenDocument

Informazioni, informativa,
consenso
alla luce del GDPR

Informazioni e informativa
GDPR (considerando 60)
I principi di trattamento
corretto e trasparente
implicano che
l'interessato sia
informato dell'esistenza
del trattamento e delle
sue finalità
Elementi
Identità e dati di contatto
del titolare, DPO
Finalità
Destinatari
Periodo di conservazione
Diritti
GDPR (art. 13-14)
Informazioni da fornire
qualora i dati personali
siano raccolti presso
l'interessato
Informazioni da fornire
qualora i dati personali
non siano stati ottenuti
presso l'interessato

Informazioni
Raccolta dati
In caso di raccolta
presso l'interessato di
dati che lo riguardano, il
titolare del trattamento
fornisce all'interessato,
nel momento in cui i dati
personali sono ottenuti
Informazioni
Le informazioni sono
fornite per iscritto o con
altri mezzi, anche, se del
caso, con mezzi
elettronici.
Consenso
Qualora il trattamento
sia basato sul consenso,
il titolare del trattamento
deve essere in grado di
dimostrare che
l'interessato ha prestato
il proprio consenso al
trattamento dei propri
dati personali.

Informazioni
Art. 13-14
- l'identità e i dati di contatto del
titolare del trattamento e, ove
applicabile, del suo rappresentante;
- i dati di contatto del responsabile
della protezione dei dati, ove
applicabile;
- le finalità del trattamento cui sono
destinati i dati personali nonché la
base giuridica del trattamento;
- qualora il trattamento si basi
sull'articolo 6, paragrafo 1, lettera
f), i legittimi interessi perseguiti dal
titolare del trattamento o da terzi;

Informazioni
Art. 13-14
- gli eventuali destinatari o le
eventuali categorie;
- l'intenzione del titolare del
trattamento di trasferire dati
personali a un paese terzo
- il periodo di conservazione dei dati
personali oppure i criteri utilizzati
per determinare tale periodo;
- l'esistenza dei diritti
dell'interessato
- il diritto di proporre reclamo a
un'autorità di controllo;
- le possibili conseguenze della
mancata comunicazione di tali dati
- l'esistenza di un processo
decisionale automatizzato

le informazioni destinate al
pubblico o all'interessato
siano concise, facilmente
accessibili e di facile
comprensione e che sia
usato un linguaggio
semplice e chiaro, oltre che,
se del caso, una
visualizzazione

Tipologia di dati
Dati particolari
Liceità del trattamento

Tipologia di trattamenti
Destinatari
Obbligatorietà

Misure di sicurezza
Diritti
Informazioni
di contatto

Consenso - GDPR (considerando 32)
Consenso espresso
Il consenso dovrebbe
essere espresso
mediante un atto
positivo inequivocabile
con il quale l'interessato
manifesta l'intenzione
libera, specifica,
informata e
inequivocabile di
accettare il trattamento
Silenzio
Non dovrebbe pertanto
configurare consenso il
silenzio, l'inattività o la
preselezione di caselle
Mezzi elettronici
Se il consenso
dell'interessato è
richiesto attraverso
mezzi elettronici, la
richiesta deve essere
chiara, concisa e non
interferire
immotivatamente con il
servizio per il quale il
consenso è espresso

Consenso - GDPR (considerando 42)
Accountability
dovrebbe essere in grado
di dimostrare che
l'interessato ha
acconsentito al
trattamento
Comprensibile
dichiarazione di
consenso predisposta
dal titolare del
trattamento in una forma
comprensibile e
facilmente accessibile,
che usi un linguaggio
semplice e chiaro e non
contenga clausole
abusive
Evidente squilibrio
evidente squilibrio tra
l'interessato e il titolare
del trattamento, specie
quando il titolare del
trattamento è un'autorità
pubblica e ciò rende
pertanto improbabile che
il consenso sia stato
espresso liberamente

Liceità del
trattamento
Art. 6
- Il trattamento è lecito solo se e
nella misura in cui ricorre
almeno una delle seguenti
condizioni:
- a) l'interessato ha espresso il
consenso al trattamento dei
propri dati personali per una o
più specifiche finalità;

Liceità del
trattamento
Art. 6
- il trattamento è necessario
all'esecuzione di un contratto
di cui l'interessato è parte o
all'esecuzione di misure
precontrattuali adottate su
richiesta dello stesso;
- il trattamento è necessario per
adempiere un obbligo legale al
quale è soggetto il titolare del
trattamento;
la salvaguardia degli interessi
vitali dell'interessato o di
un'altra persona fisica;

Liceità del
trattamento
Art. 6
l'esecuzione di un compito di
interesse pubblico o connesso
all'esercizio di pubblici poteri di
cui è investito il titolare del
trattamento;
il perseguimento del legittimo
interesse del titolare del
trattamento o di terzi, a
condizione che non prevalgano
gli interessi o i diritti e le libertà
fondamentali dell'interessato
che richiedono la protezione
dei dati personali, in particolare
se l'interessato è un minore.

Consenso
Art. 7
- Se il consenso dell'interessato
è prestato nel contesto di una
dichiarazione scritta che
riguarda anche altre questioni,
la richiesta di consenso è
presentata in modo
chiaramente distinguibile dalle
altre materie, in forma
comprensibile e facilmente
accessibile, utilizzando un
linguaggio semplice e chiaro.
- Il consenso è revocato con la
stessa facilità con cui è
accordato.

Consenso e
“dati sensibili”
Art. 9
- È vietato trattare dati personali che
rivelino l'origine razziale o etnica, le
opinioni politiche, le convinzioni
religiose o filosofiche, o
l'appartenenza sindacale, nonché
trattare dati genetici, dati
biometrici intesi a identificare in
modo univoco una persona fisica,
dati relativi alla salute o alla vita
sessuale o all'orientamento
sessuale della persona.
- non si applica se l'interessato ha
prestato il proprio consenso
esplicito al trattamento di tali dati
personali per una o più finalità
specifiche

Approfondimenti
informativa e consenso
https://www.garanteprivacy.it/regolamentoue/diritti-degli-interessati
https://www.garanteprivacy.it/web/guest/regolamentoue/informativa
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/36573
https://servizi.gpdp.it/comunicazione-rpd/

Valutazione d’impatto (DPIA)
alla luce del GDPR

Valutazione d’impatto
GDPR (preambolo 84)
qualora i trattamenti
possano presentare un
rischio elevato per i diritti
e le libertà delle persone
fisiche …. il titolare ...
l'origine, la natura, la
particolarità e la gravità
di tale rischio
Autorità di controllo
Se rischio elevato che il
titolare non può
attenuare mediante
misure opportune in
termini di tecnologia
disponibile e costi di
attuazione, prima del
trattamento si dovrebbe
consultare l'autorità di
controllo.
GDPR (art. 35)
PIA “discrezionale”
PIA “necessaria”

GDPR e trattamento dei dati personali - 25 settembre 2018

Valutazione
d’impatto
“Discrezionale”
- Quando un tipo di trattamento,
allorché prevede in particolare
l'uso di nuove tecnologie,
considerati la natura, l'oggetto,
il contesto e le finalità del
trattamento, può presentare un
rischio elevato per i diritti e le
libertà delle persone fisiche.
Una singola valutazione può
esaminare un insieme di
trattamenti simili che
presentano rischi elevati
analoghi.

Valutazione
d’impatto
Necessaria
- una valutazione sistematica e
globale di aspetti personali
relativi a persone fisiche,
basata su un trattamento
automatizzato, compresa la
profilazione, e sulla quale si
fondano decisioni che hanno
effetti giuridici o incidono in
modo analogo
significativamente su dette
persone fisiche;

Valutazione
d’impatto
Necessaria
- il trattamento, su larga
scala, di categorie
particolari di dati
personali o di dati
relativi a condanne
penali e a reati
- la sorveglianza
sistematica su larga
scala di una zona
accessibile al pubblico

Valutazione d’impatto
Elenco PIA
elenco delle tipologie di
trattamenti soggetti al
requisito di una
valutazione d'impatto
Elenco NON-PIA
può inoltre redigere e
rendere pubblico un
elenco delle tipologie di
trattamenti per le quali
non è richiesta una
sulla protezione dei dati
Parere del DPO
(art. 39) … il DPO deve
fornire, se richiesto, un
parere in merito alla
sulla protezione dei dati
e sorvegliarne lo
svolgimento

Valutazione
d’impatto
Analisi dei rischi
Criticità

Trattamenti
Si parte dal registro
dei trattamenti
Rischi
Si individuano i rischi
tecnici ed
organizzativi
Livello
Si attribuisce un livello
(basso/medio/alto)
PIA
Si approfondisce per i
rischi significativi
Verifica
Si verifica
periodicamente

Valutazione
d’impatto
Contenuto
- descrizione sistematica dei
trattamenti previsti e delle
finalità del trattamento,
compreso, ove applicabile,
l'interesse legittimo perseguito
dal titolare del trattamento;
- valutazione della necessità e
proporzionalità dei trattamenti
in relazione alle finalità;
- valutazione dei rischi per i
diritti e le libertà degli
interessati

Valutazione
d’impatto
Contenuto
- le misure previste per
affrontare i rischi, includendo le
garanzie, le misure di sicurezza
e i meccanismi per garantire la
protezione dei dati personali e
dimostrare la conformità al
presente regolamento, tenuto
conto dei diritti e degli interessi
legittimi degli interessati e
delle altre persone in questione

Valutazione
d’impatto
Riesame
- Se necessario, il titolare del
trattamento procede a un
riesame per valutare se il
trattamento dei dati personali
sia effettuato conformemente
alla valutazione d'impatto sulla
protezione dei dati almeno
quando insorgono variazioni
del rischio rappresentato dalle
attività relative al trattamento.

Valutazione
d’impatto
Valutazione preventiva
con il Garante
- Il titolare del trattamento, prima
di procedere al trattamento,
consulta l'autorità di controllo
qualora la valutazione
d'impatto sulla protezione
indichi che il trattamento
presenterebbe un rischio
elevato in assenza di misure
adottate dal titolare del
trattamento per attenuare il
rischio.

Valutazione
d’impatto
Esempi
- https://www.garanteprivacy.it/
regolamentoue/DPIA
- http://ec.europa.eu/newsroom
/article29/news-overview.cfm
- https://www.cnil.fr/fr/outil-pia-
telechargez-et-installez-le-
logiciel-de-la-cnil

I diritti dell’interessato
e le limitazioni

Diritti dell’interessato (art. 12)
GDPR (art. 12)
agevola l'esercizio dei
diritti dell'interessato
1 mese
fornisce all'interessato le
informazioni relative
all'azione intrapresa
senza ingiustificato
ritardo e, comunque, al
più tardi entro un mese
dal ricevimento della
richiesta stessa
“Rompiscatole”
Se le richieste
dell'interessato sono
manifestamente
infondate, eccessive,
ripetitive:
a) addebita un contributo
b) rifiuta di soddisfare la
richiesta

Diritti
dell’interessato
- Richiesta di maggiori
informazioni (art. 5)
- Diritto di accesso (art. 15)
- Diritto di rettifica (art. 16)
- Diritto di cancellazione (diritto
all´oblio) (art.17)
- Diritto di limitazione del
trattamento (art. 18)
- Diritto alla portabilità dei dati
(art. 20)

Diritti
dell’interessato
- Diritto di mandato a terzi (art.
80)
- Diritto al risarcimento (art. 82)
- Diritto all'informazione per data
breach (art. 33)
- Diritto al contatto con il DPO
(art. 26)
- Diritto di proporre reclamo
all'autorità di controllo (art. 77)

Le “speciali disposizioni” del
Codice Privacy
alla luce del Dlgs 101/2018

Art. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un
compito di interesse pubblico o connesso all'esercizio di pubblici poteri)
Soggetti
Autorità pubbliche
Privati
Base giuridica
Legge
Regolamento “attuativo”
Eccezione
Comunicazione fra
titolari (dati comuni)
45 giorni prima senza
opposizione del Garante

Art. 2-sexies (Trattamento di categorie particolari di dati personali necessario per
motivi di interesse pubblico rilevante) - EX DATI SENSIBILI
Soggetti
Autorità pubbliche
Privati
Base giuridica
Legge
Regolamento “attuativo”
Specificazioni
che specifichino i tipi di
dati che possono essere
trattati, le operazioni
eseguibili e il motivo di
interesse pubblico
rilevante, nonche' le
misure appropriate e
specifiche per tutelare i
diritti fondamentali e gli
interessi dell'interessato.

Art. 2-sexies (Trattamento di categorie particolari di dati personali necessario per
motivi di interesse pubblico rilevante)
2. Fermo quanto previsto dal comma 1, si considera rilevante
l'interesse pubblico relativo a trattamenti effettuati da soggetti
che svolgono compiti di interesse pubblico o
connessi all'esercizio di pubblici poteri nelle seguenti materie:
a) accesso a documenti amministrativi e accesso civico;
b) tenuta degli atti e dei registri dello stato civile
ecc……..
3. Per i dati genetici, biometrici e relativi alla salute il
trattamento avviene comunque nel rispetto di quanto previsto
dall'articolo 2-septies.

Art. 2-quinquies (Consenso del minore in relazione ai servizi della società dell'informazione)
Soggetti
il minore che ha
compiuto i quattordici
anni puo' esprimere il
consenso al trattamento
dei propri dati personali
in relazione all'offerta
diretta di servizi della
societa'
dell'informazione.
Base giuridica
… eta' inferiore a
quattordici anni ... e'
lecito a condizione che
sia prestato da chi
esercita la
responsabilita'
genitoriale.
Specificazioni
linguaggio
particolarmente chiaro e
semplice, conciso ed
esaustivo, facilmente
accessibile e
comprensibile dal minore

Art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e
relativi alla salute)
Oggetto
Dati genetici
Dati biometrici
Dati relativi alla salute
Condizioni
Misure di garanzia
stabilite con
provvedimento del
Garante (ogni 2 anni)
Eccezione
Nel rispetto dei principi
… e' ammesso l'utilizzo
dei dati biometrici con
riguardo alle procedure
di accesso fisico e
logico ai dati da parte dei
soggetti autorizzati

Art. 2-octies (Principi relativi al trattamento di dati relativi a condanne penali e
reati)
Soggetti
Fatto salvo quanto
previsto dal decreto
legislativo 18 maggio
2018, n. 51
Dati
dati personali relativi a
condanne penali e a reati
o a connesse misure di
sicurezza
Base giuridica
Legge o regolamento
che prevedano garanzie
appropriate per i diritti e
le liberta' degli
interessati
In mancanza … decreto
del Ministro della
giustizia

Art. 2-decies (Inutilizzabilità dei dati)
I dati personali trattati in violazione della
disciplina rilevante in materia di
trattamento dei dati personali non
possono essere utilizzati,
salvo articolo 160- bis [processo].

Art. 2-undecies (Limitazioni ai diritti dell'interessato)
Diritti (artt. 15-22)
Diritto di accesso
Diritto di rettifica
Diritto alla cancellazione
(«diritto all'oblio»)
Diritto di limitazione di
trattamento
Diritto alla portabilità
Diritto di opposizione
Dati
con richiesta al titolare
del trattamento
ovvero
con reclamo
Forma
... puo', in ogni caso,
essere ritardato, limitato
o escluso con
comunicazione motivata
e resa senza ritardo
In tali casi, i diritti
dell'interessato possono
essere esercitati anche
tramite il Garante

Art. 2-terdecies (Diritti riguardanti le persone decedute)
Diritti (artt. 15-22)
Diritto di accesso
Diritto di rettifica
Diritto alla cancellazione
(«diritto all'oblio»)
Diritto di limitazione di
trattamento
Diritto alla portabilità
Diritto di opposizione
Dati - soggetti
dati personali
concernenti persone
decedute
da chi ha un interesse
proprio, o agisce a tutela
dell'interessato, in
qualita' di suo
mandatario, o per ragioni
familiari meritevoli di
protezione.
Blocco
nei casi previsti dalla
legge … o (servizi web)
l'interessato lo ha
espressamente vietato
con dichiarazione scritta
presentata al titolare del
trattamento o a
quest'ultimo comunicata

Art. 2-terdecies (Diritti riguardanti le persone decedute)
3. La volonta' dell'interessato di vietare l'esercizio dei diritti di cui
al comma 1 deve risultare in modo non equivoco e deve essere
specifica, libera e informata; il divieto puo' riguardare l'esercizio
soltanto di alcuni dei diritti di cui al predetto comma.
4. L'interessato ha in ogni momento il diritto di revocare o
modificare il divieto di cui ai commi 2 e 3.
5. In ogni caso, il divieto non puo' produrre effetti pregiudizievoli
per l'esercizio da parte dei terzi dei diritti patrimoniali che
derivano dalla morte dell'interessato nonche' del diritto di
difendere in giudizio i propri interessi.

Accesso e riservatezza
Art. 59
Accesso ai DOCUMENTI
rimane disciplinato dalla
legge 7 agosto 1990, n.
241 e regolamenti di
attuazione
Art. 59
I presupposti, le modalità
e i limiti per l’esercizio
del diritto di accesso
civico restano
disciplinati dal decreto
legislativo 14 marzo
2013, n. 33.
Art. 60
salute - vita sessuale -
orientamento sessuale
trattamento consentito
se la situazione
giuridicamente rilevante
e' di rango almeno pari ai
diritti dell'interessato,
ovvero diritto della
personalita' o libertà
fondamentale

Trattamento dei dati in
ambito sanitario

Art. 75-93 del Dlgs 196/2003
Medico di base - pediatra
Informazioni per il
“complessivo
trattamento” (diagnosi,
assistenza, terapia)
Scritte o orali
Valide per altri soggetti
Strutture
Annotazione
dell’informativa di reparti
ed unità
Cartelli ed avvisi (al
posto del consenso)
Emergenze
Informazioni successive
Rinnovo dopo la
maggiore età

Art. 96 (Trattamento di dati relativi a studenti)
Soggetti
le istituzioni del sistema
nazionale di istruzione
[pubblico e privato di
ogni livello]
Diffusione
possono comunicare o
diffondere, anche a
privati e per via
telematica, dati relativi
agli esiti formativi,
intermedi e finali, degli
studenti e altri dati
personali
Deroghe
Restano altresì ferme le
vigenti disposizioni in
materia di pubblicazione
dell'esito degli esami
mediante affissione
nell'albo dell'istituto e di
rilascio di diplomi e
certificati.

TITOLO VII - Trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o
storica o a fini statistici
Il titolo disciplina il trattamento dei dati
personali effettuato a fini di
archiviazione nel pubblico interesse, di
ricerca scientifica o storica o a fini
statistici, ai sensi dell'articolo 89 del
regolamento GDPR

Art. 99 (Durata del trattamento)
1. Il trattamento di dati personali a fini di archiviazione nel pubblico
interesse, di ricerca scientifica o storica o a fini statistici puo' essere
effettuato anche oltre il periodo di tempo
necessario per conseguire i diversi scopi per i quali i dati sono stati in
precedenza raccolti o trattati.
2. A fini di archiviazione nel pubblico interesse, di ricerca scientifica o
storica o a fini statistici possono comunque essere conservati o ceduti
ad altro titolare i dati personali dei quali, per qualsiasi causa, e' cessato
il trattamento nel rispetto di quanto previsto dall'articolo 89, paragrafo
1, del Regolamento [garanzie adeguate per i diritti e le libertà
dell'interessato].

Art. 111-bis (Informazioni in caso di ricezione di curriculum)
Le informazioni di cui all’articolo 13 del Regolamento, nei
casi di ricezione dei curricula spontaneamente trasmessi
dagli interessati al fine della instaurazione di un rapporto di
lavoro, vengono fornite al momento del primo contatto utile,
successivo all’invio del curriculum medesimo. Nei limiti
delle finalità di cui all’articolo 6, paragrafo
1, lettera b), del Regolamento, il consenso al trattamento
dei dati personali presenti nei curricula non è dovuto.

TITOLO X - Comunicazioni elettroniche (artt. 121-132-quater)
Le disposizioni si applicano al trattamento dei
dati personali connesso alla fornitura di servizi
di comunicazione elettronica accessibili al
pubblico su reti pubbliche di comunicazioni,
comprese quelle che supportano i dispositivi di
raccolta dei dati e di identificazione

TITOLO XII - Giornalismo, libertà di informazione e di espressione (artt. 136-139-quater)
Le disposizioni si applicano al trattamento dei
dati personali connesso alla fornitura di servizi
di comunicazione elettronica accessibili al
pubblico su reti pubbliche di comunicazioni,
comprese quelle che supportano i dispositivi di
raccolta dei dati e di identificazione

PARTE III - TUTELA DELL’INTERESSATO E SANZIONI
Reclamo (artt. 140-bis, 141, 142)
- “interessato” (soggetto qualificato)
- documentato
- scritto e sottoscritto
- 3 mesi (stato di avanzamento)
- 9 mesi (decisione)
- ricorribile

PARTE III - TUTELA DELL’INTERESSATO E SANZIONI
Segnalazione (art. 144)
- chiunque (anche anonimo)
- Garante può valutare (o meno)
- scritto/orale
- nessun termine
- anche d’ufficio
- poteri art. 58 GDPR

Art. 58 GDPR - POTERI
Poteri di indagine (paragrafo 1)
- a) ingiungere al titolare del trattamento e al responsabile del
trattamento di fornirle ogni informazione;
- b) condurre indagini;
- c) effettuare un riesame delle certificazioni;
- d) notificare al titolare del trattamento o al responsabile del
trattamento le presunte violazioni del presente regolamento;
- e) ottenere, dal titolare del trattamento o dal responsabile del
trattamento, l'accesso a tutti i dati personali e a tutte le informazioni
- f) ottenere accesso a tutti i locali del titolare del trattamento e del
responsabile del trattamento

Poteri correttivi (paragrafo 2)
- a) avvertimenti
- b) ammonimenti
- c) ingiungere di soddisfare le richieste
- d) ingiungere di conformare
- e) ingiungere di comunicare all’interessato
- f) imporre limitazione
- g) ordinare rettifica, cancellazione ecc…
- h) revocare la certificazione
- i) infliggere sanzione
- j) ordinare sospensione flussi extra UE

Poteri autorizzativi e consultivi (paragrafo 3)
- a) consulenza al titolare (art. 36)
- b) pareri a Parlamento e Governo
- c) autorizzare trattamenti
- d) parere su codici di condotta
- e) accreditamento organismi
- f) rilascio certificazioni
- g) clausole tipo
- h) autorizzare clausole contrattuali
- i) autorizzare accordi amministrativi
- j) approvare norme vincolanti di impresa

Accertamenti, controlli, sanzioni
amministrative e penali
Il Garante per la protezione dei dati personali

Art. 96 (Trattamento di dati relativi a studenti)
Indagine (art. 157)
il Garante puo' richiedere
al titolare, al
responsabile, al
rappresentante,
all'interessato o anche a
terzi di fornire
informazioni e di esibire
documenti anche con
riferimento al contenuto
di banche di dati.
Accertamenti
Luogo pubblico
Internet
Luoghi di lavoro
Privata abitazione
Rinvio (art. 160-bis)
Validita', efficacia e
utilizzabilita' nel
procedimento giudiziario
di atti, documenti e
provvedimenti basati sul
trattamento di dati
personali non conforme
restano disciplinate dalle
pertinenti disposizioni
processuali.

SANZIONI AMMINISTRATIVE PECUNIARIE
Procedimento
Indagine - accertamenti - verifiche
Avvio del procedimento
30 giorni per scritti difensivi e/o audizione
Ordinanza ingiunzione con criteri art. 83
Pagamento in misura ridotta (50%)
30 giorni per ricorso
Regolamento del Garante per la procedura
Rinvio a L. 689/1981 (articoli 1-9, 18-22, 24-28)

SANZIONI AMMINISTRATIVE PECUNIARIE
Entità
Fino a 20 000 000 EUR, o per le
imprese, fino al 4 % del fatturato
mondiale totale annuo
dell'esercizio precedente

SANZIONI PENALI “speciali”
Tipologie del Codice
Art. 167 (Trattamento illecito di dati)
Art. 167- bis (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala)
Art. 167- ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala)
Art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri
del Garante)
Art. 170 (Inosservanza di provvedimenti del Garante)
Art. 171 (Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori)

Disposizioni del
D.Lgs. 10/08/2018, n. 101
Non confluite nel Codice della privacy

Art. 17-18-19
Art. 17. Modifiche al decreto legislativo 1° settembre 2011, n. 150 [Disposizioni
complementari al codice di procedura civile in materia di riduzione e
semplificazione dei procedimenti civili di cognizione, ai sensi dell'articolo 54
della legge 18 giugno 2009, n. 69]
Art. 18. Definizione agevolata delle violazioni in materia di protezione dei dati
personali [oblazione con ⅖ del minimo - riapertura procedimento - interruzione
della prescrizione]
Art. 19. Trattazione di affari pregressi [entro il 19 novembre 2018 richiesta
straordinaria di trattazione per reclami, segnalazioni e verifiche preliminari]

Art. 20. Codici di deontologia e di buona condotta vigenti
alla data di entrata in vigore del presente decreto
A.1 Codice di deontologia relativo al trattamento dei dati personali nell'esercizio dell'attività giornalistica.
A.2 Codice di deontologia e di buona condotta per il trattamento di dati personali per scopi storici.
A.3 Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca
scientifica effettuati nell'ambito del sistema statistico nazionale.
A.4 Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici
A.5 Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di
crediti al consumo, affidabilità e puntualità nei pagamenti
A.6 Codice di deontologia e di buona condotta per il trattamento dei dati personali per svolgere investigazioni
difensive o per far valere o difendere un diritto in sede giudiziaria
A.7 Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di
informazione commerciale

Art. 20. Codici di deontologia e di buona condotta vigenti
alla data di entrata in vigore del presente decreto
Codici di deontologia A.5 e A.7. Revisionati entro 6+6 mesi
Codici di deontologia A.1, A.2, A.3, A.4, A.6. Continuano a produrre effetti fino
alla pubblicazione delle nuove disposizioni
Art. 18. Definizione agevolata delle violazioni in materia di protezione dei dati
personali [oblazione con ⅖ del minimo - riapertura procedimento - interruzione
della prescrizione]
Art. 19. Trattazione di affari pregressi [entro il 19 novembre 2018 richiesta
straordinaria di trattazione per reclami, segnalazioni e verifiche preliminari]

Art. 21. Autorizzazioni generali del Garante per la protezione
dei dati personali
Il Garante individua le prescrizioni contenute nelle autorizzazioni generali già
adottate che risultano compatibili con le disposizioni del medesimo
regolamento e del presente decreto
Le autorizzazioni generali del Garante per la protezione dei dati personali
adottate prima della data di entrata in vigore del presente decreto e relative a
trattamenti diversi da quelli indicati al comma 1 cessano di produrre effetti alla
predetta data della pubblicazione del provvedimento in Gazzetta Ufficiale
TERMINI: entro 90 giorni in consultazione - entro 60 giorni adozione

Provvedimento in tema di Autorizzazioni generali del Garante per la protezione
dei dati personali - 19 luglio 2018 [9026901]
nelle more del perfezionamento dell’iter legislativo di adeguamento del quadro
normativo nazionale alle disposizioni del Regolamento, le garanzie e le misure
appropriate e specifiche di cui alle Autorizzazioni generali, adottate in data 15
dicembre 2016 (con Provvedimenti pubblicati sulla Gazzetta Ufficiale n. 303 del
29 dicembre 2016), per taluni trattamenti di categorie particolari di dati
personali e di dati personali relativi a condanne penali e reati o a connesse
misure di sicurezza, si intendano in vigore fino all’adozione di eventuali misure
che potranno essere previste nel decreto legislativo di adeguamento della
disciplina in materia, riservandosi ulteriori valutazioni all’esito del predetto
percorso normativo.

Autorizzazioni generali del Garante per la protezione dei dati personali
1/2016 al trattamento dei dati sensibili nei rapporti di lavoro
n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale
n. 3/2016 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni
n. 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti
n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di titolari
n. 6/2016 al trattamento dei dati sensibili da parte degli investigatori privati
n. 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici
n. 8/2016 al trattamento dei dati genetici
n. 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca scientifica

Art. 22. Altre disposizioni transitorie e finali
1. Il presente decreto e le disposizioni dell'ordinamento nazionale si
interpretano e si applicano alla luce della disciplina dell'Unione europea in
materia di protezione dei dati personali e assicurano la libera circolazione dei
dati personali tra Stati membri ai sensi dell'articolo 1, paragrafo 3, del
Regolamento (UE) 2016/679
2. A decorrere dal 25 maggio 2018 le espressioni «dati sensibili» e «dati
giudiziari» utilizzate ai sensi dell'articolo 4, comma 1, lettere d) ed e), del codice
in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del
2003, ovunque ricorrano, si intendono riferite, rispettivamente, alle categorie
particolari di dati di cui all'articolo 9 del Regolamento (UE) 2016/679 e ai dati di
cui all'articolo 10 del medesimo regolamento

Sino all'adozione dei corrispondenti provvedimenti generali di cui all'articolo 2-
quinquiesdecies del codice in materia di protezione dei dati personali, di cui al
decreto legislativo n. 196 del 2003, i trattamenti di cui al medesimo articolo
[Trattamento che presenta rischi elevati per l'esecuzione di un compito di
interesse pubblico], già in corso alla data di entrata in vigore del presente
decreto, possono proseguire qualora avvengano in base a espresse disposizioni
di legge o regolamento o atti amministrativi generali, ovvero nel caso in cui
siano stati sottoposti a verifica preliminare o autorizzazione del Garante per la
protezione dei dati personali, che abbiano individuato misure e accorgimenti
adeguati a garanzia dell'interessato.

4. A decorrere dal 25 maggio 2018, i
provvedimenti del Garante per la protezione dei
dati personali continuano ad applicarsi, in
quanto compatibili con il suddetto regolamento
e con le disposizioni del presente decreto.

8. Il registro dei trattamenti di cui all'articolo 37, comma 4, del codice in
materia di protezione dei dati personali, di cui al decreto legislativo n.
196 del 2003 [notificazioni del trattamento], cessa di essere alimentato
a far data dal 25 maggio 2018. Da tale data e fino al 31 dicembre 2019,
il registro resta accessibile a chiunque secondo le modalità stabilite nel
suddetto articolo 37, comma 4, del decreto legislativo n. 196 del 2003
Dal 25/5/2018 e fino al 31 dicembre 2019, il registro resta comunque
accessibile a chiunque attraverso il sito del Garante all'indirizzo:
https://web.garanteprivacy.it/rgt/NotificaTelematica.php, "Consultazione
del registro".

9. Le disposizioni di legge o di regolamento che individuano
il tipo di dati trattabili e le operazioni eseguibili al fine di
autorizzare i trattamenti delle pubbliche amministrazioni
per motivi di interesse pubblico rilevante trovano
applicazione anche per i soggetti privati che trattano i dati
per i medesimi motivi.

13. Per i primi otto mesi dalla data di entrata in vigore del
presente decreto, il Garante per la protezione dei dati
personali tiene conto, ai fini dell'applicazione delle sanzioni
amministrative e nei limiti in cui risulti compatibile con le
disposizioni del Regolamento (UE) 2016/679, della fase di
prima applicazione delle disposizioni sanzionatorie.

Art. 24. Applicabilità delle sanzioni amministrative alle
violazioni anteriormente commesse
1. Le disposizioni del presente decreto che, mediante
abrogazione, sostituiscono sanzioni penali con le sanzioni
amministrative previste dal Regolamento (UE) 2016/679 si
applicano anche alle violazioni commesse anteriormente
alla data di entrata in vigore del decreto stesso,
sempre che il procedimento penale non sia stato definito
con sentenza o con decreto divenuti irrevocabili.
ecc…..

Art. 26. Disposizioni finanziarie
2. Dall'attuazione del presente decreto, ad esclusione
dell'articolo 18, non devono derivare nuovi o maggiori oneri
a carico della finanza pubblica. Le amministrazioni
interessate provvedono agli adempimenti previsti con le
risorse umane, strumentali e finanziarie disponibili a
legislazione vigente.

Ulteriori appunti e spunti di
riflessione
Questo materiale non verrà approfondito nel corso del webinar

Approfondimenti
https://www.youtube.com/playlist?list=PLnc9N-ztTF5dYQ-2HTqTaWPnGy_1YWtl4
https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA
http://www.omniavis.it/web/forum/index.php?board=172.0
https://www.facebook.com/groups/569951550054710/
https://www.garanteprivacy.it/

Ringraziamenti
Adempa s.r.l.
P.IVA: IT 01652330059
Sede Legale: Piazza Vittorio Alfieri 61, Asti, 14100 (AT)
Sede Operativa: Località Quartino 24/P, Melazzo, 15010 (AL)
info@adempa.it
0144485520
Omniavis s.r.l.
P.IVA: IT 05661600485
Sede Legale e operativa: Lungarno
Colombo 44, Firenze, 50136 (FI)
info@omniavis.it
0556236286

Grazie
dott. Simone Chiarelli
simone.chiarelli@gmail.com
3337663638

GDPR e trattamento dei dati personali - 25 settembre 2018

More Related Content

What's hot (20)

Similar to GDPR e trattamento dei dati personali - 25 settembre 2018 (20)

More from Simone Chiarelli (20)

GDPR e trattamento dei dati personali - 25 settembre 2018