Workshop della Commissione Calcolo e Reti dell'I.N.F.N. IL TRATTAMENTO DEI DATI PERSONALI QUANDO SONO COINVOLTI SOGGETTI ESTERNI ALL’INFN ETTORE RONCONI – La Biodola Isola d'Elba, 4 giugno 2019

GLI ATTORI TITOLARE CONTITOLARE RESPONSABILE SUB-RESPONSABILE

IL TITOLARE E’... … l'autorità pubblica … che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; (ART. 4, § 7 GDPR)

chi decide il perché e il come del trattamento IL TITOLARE E’... chi decide il perché e il come del trattamento

LE FINALITA’ DEL TRATTAMENTO ... Il perché è l’obiettivo al servizio del quale viene effettuato il trattamento (ad es. Il trattamento di dati in ambito lavorativo è funzionale alle esigenze di stipula di un contratto di lavoro)

I MEZZI DEL TRATTAMENTO ... Il “come si tratta” si riferisce non solo ai mezzi tecnici (hw e sw) ma anche a … quali dati trattare, quali terzi avranno accesso ai dati; per quanto tempo trattare i dati; quando tali dati saranno eliminati; etc …

Chi tratta i dati nell’INFN? L’INFN è il TITOLARE MILANO – 19 MARZO 2019 Corso di formazione sul trattamento dei dati personali

L’ORGANIZZAZIONE DEL TRATTAMENTO DEI DATI PERSONALI NELL’INFN La delibera CD 14844/2018 L’ORGANIZZAZIONE DEL TRATTAMENTO DEI DATI PERSONALI NELL’INFN

La delibera CD 14844/2018 ruolo del Direttore Generale ruolo dei Direttori delle Strutture ruolo dei Direttori delle Strutture e delle articolazioni dell’AC

RUOLO dei Direttori e Responsabili designano, istruiscono e controllano le persone autorizzate al trattamento informano l’interessato e, nei casi previsti, ne acquisiscono il consenso assicurano l’esercizio dei diritti previsti per gli interessati implementano il Registro del trattamento dei dati personali

RUOLO DEI DIRETTORI notificano le violazioni – data breach effettuano la valutazione di impatto designano i Responsabili esterni individuano un referente locale collaborano col DG e DPO

IL CONTITOLARE E’... (ART. 26 GDPR) Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. (ART. 26 GDPR)

IL CONTITOLARE E’... La determinazione congiunta non deve essere necessariamente ripartita in modo uguale

RAPPORTI FRA CONTITOLARI E’ OBBLIGATORIO ACCORDO INTERNO da rendere conoscibile il contenuto essenziale

RAPPORTI FRA CONTITOLARI CONTENUTO rispettivi ruoli e responsabilità rapporti dei contitolari con gli interessati solidarietà passiva per il risarcimento danni

(ART. 4 § 8 GDPR) IL RESPONSABILE E’... la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento; (ART. 4 § 8 GDPR)

IL RESPONSABILE E’... Scelto fra chi presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate da soddisfare i requisiti del GDPR e garantire la tutela dei diritti dell'interessato.

RAPPORTI FRA TITOLARE E RESPONSABILE E’ OBBIGATORIO UN CONTRATTO O ATTO GIURIDICO IN FORMA SCRITTA ANCHE DIGITALE CHE CONTENGA…

RAPPORTI FRA TITOLARE E RESPONSABILE CONTENUTO Materia e durata del trattamento Natura e finalita’ del trattamento il tipo di dati personali le categorie di interessati gli obblighi e i diritti del titolare del trattamento

OBBLIGHI del RESPONSABILE trattare i dati solo su istruzione documentata del titolare garantire l’impegno alla riservatezza delle persone autorizzate adottare tutte le misure tecnico-organizzative per garantire un livello di sicurezza adeguato al rischio (art. 32 GDPR) rispettare le condizioni per la nomina di un sub - responsabile

OBBLIGI DEL RESPONSABILE cancellare o restituire i dati al termine del trattamento collaborare con il titolare nella attivita’ di revisione, comprese le ispezioni assistere il titolare con misure tecniche adeguate per dar seguito ai diritti degli interessati assistere il titolare nell’adozione delle misure di sicurezza: nelle procedure di data breach; nelle valutazioni di impatto o nella consultazione preventiva (artt. 32-36 GDPR)

DALLA TEORIA ALLA PRATICA

RAPPORTI FRA RESPONSABILE E SUB-RESPONSABILE in un altro contratto sono estesi gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento

IL SUB-RESPONSABILE ... Qualora il sub responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.

In sintesi TITOLARE CONTITOLARE RESPONSABILE SUB-RESPONSABILE chi decide come e perche’ CONTITOLARE coloro che decidono insieme come e perche’ RESPONSABILE chi tratta per conto di… SUB-RESPONSABILE chi tratta una parte delle attivita’ trattate per conto di

Dalla teoria alla pratica OPERATORE DI TELECOMUNICAZIONE E’ TITOLARE SOLO PER I DATI RELATIVI AL TRAFFICO E ALLA FATTURAZIONE E NON PER I DATI TRASMESSI

Dalla teoria alla pratica PROVIDER SERVIZI HOSTING E’ RESPONSABILE per i dati personali pubblicati on-line dai suoi clienti

Dalla teoria alla pratica IMPIANTI DI VIDEOSORVEGLIANZA IL PROPRIETARIO DELL’IMMOBILE E’ IL TITOLARE MENTRE LA SOCIETA’ DI VIGILANZA E’ RESPONSABILE

Dalla teoria alla pratica ESPERTO QUALIFICATO E’ RESPONSABILE DEI DATI DOSIMETRICI

Dalla teoria alla pratica MEDICO COMPETENTE E’ RESPONSABILE DEI DATI SANITARI ACQUISITI EX D.LGS 81/2008

Dalla teoria alla pratica AGENZIA VIAGGI - CISALPINA RESPONSABILE PER I DATI ACQUISITI PRESSO L’INFN MA TITOLARE NEI RAPPORTI CON TERZI

Dalla teoria alla pratica GESTIONE STIPENDI RESPONSABILE PER I DATI ACQUISITI PRESSO L’INFN

Dalla teoria alla pratica CENTRI DI CALCOLO INFN-UNI COTITOLARE PER I GESTIONE COMUNE CENTRI CALCOLO

in conclusione … Ogni trattamento necessita di una verifica delle concrete circostanze giuridiche e fattuali per individuare la corretta figura del soggetto attivo.

domande