Istituto Statale Comprensivo

Suggerimenti | Consigli | Recensioni

Legge

Nuova Legge Sulla Privacy Cosa Fare?

Nuova Legge Sulla Privacy Cosa Fare
Il titolare è tenuto a: –

  • Fornire informazioni chiare agli interessati della raccolta dei dati.
  • Evidenziare gli scopi dell’elaborazione e i casi di utilizzo.
  • Definire i criteri di conservazione e di eliminazione dei dati.
  • Proteggere i dati personali con misure di sicurezza appropriate.
  • Avvalersi di un responsabile della protezione dei dati (per le organizzazioni di grandi dimensioni).
  • Segnalare alle autorità eventuali violazioni.
  • Conservare la documentazione dettagliata.

Come agire in caso di violazione della privacy?

La denuncia della violazione della privacy deve avvenire attraverso il Garante per la protezione dei dati personali. La denuncia quindi dev’essere fatta presso un’autorità amministrativa indipendente che è stata istituita proprio per vegliare per la legge della privacy.

Cosa deve contenere obbligatoriamente l’informativa sul trattamento dei dati personali resa ai sensi dell’art 13 GDPR?

Quando è dovuta tale informativa e cosa deve contenere? – L’informativa è una comunicazione rivolta all’interessato con lo scopo di informarlo sulle finalità e le modalità del trattamento dei dati da parte del titolare del trattamento ed è dovuta ogni qual volta vi sia un trattamento di dati. Esistono, tuttavia, casi in cui non occorre informare l’interessato, ad esempio quando:

  • l’interessato dispone già delle informazioni
  • comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato
  • l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare
  • i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri.

L’informativa deve avere il seguente contenuto minimo:

  • l’ identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile
  • la base giuridica del trattamento, in caso di trattamento basato su consenso o giustificato da leggi
  • categorie di dati trattati e finalità del trattamento, ossia quali dati verranno trattati e per quale fine
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
  • l’eventuale trasferimento di dati in Paesi extra UE (chiedendo autorizzazioni specifiche nel caso in cui le Autorità Garanti non abbiano definito il livello di protezione del Paese in questione)
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo

L’ informativa deve essere chiara e concisa, facilmente accessibile ed intelligibile, Deve essere resa per iscritto o con altri mezzi (ad esempio posta elettronica) e, se richiesto dall’interessato, in forma orale (purché l’identità dell’interessato sia comprovata con altri mezzi).

  • analisi statistiche
  • indagini di mercato
  • newsletter
  • trattamento dati particolari (ex dati sensibili)
  • trattamento dati di minori
  • Altri fondamentali diritti di cui l’interessato è titolare sono il diritto di accesso ai dati personali, il diritto di rettifica e cancellazione (diritto all’oblio), il diritto di limitazione e di opposizione al trattamento e il diritto alla portabilità dei dati.
  • SANZIONI
  • In materia di informazione da fornire agli interessati, una violazione può comportare aspre sanzioni da parte dell’autorità di controllo (Garante) e il blocco dei dati raccolti oltre che un cospicuo risarcimento danni.

Come agire per tutelare i nostri dati personali?

Ogni persona può tutelare i propri dati personali, in primo luogo, esercitando i diritti previsti dagli articoli da 15 a 22 del Regolamento (UE) 2016/679. Come? L’interessato può presentare un’istanza al titolare, senza particolari formalità (ad esempio, mediante lettera raccomandata, telefax, posta elettronica, ecc.).

  1. Su questo sito è disponibile un modulo che si può utilizzare per esercitare i predetti diritti.
  2. L’istanza può essere riferita, a seconda delle esigenze dell’interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano, comunque trattati.

All’istanza il titolare, deve fornire idoneo riscontro, ossia: – senza ingiustificato ritardo, al più tardi entro 1 mese dal suo ricevimento; – tale termine può essere prorogato di 2 mesi, qualora si renda necessario tenuto conto della complessità e del numero di richieste.

In tal caso, il titolare deve comunque darne comunicazione all’interessato entro 1 mese dal ricevimento della richiesta. Cosa fare se ritengo che il trattamento dei dati che mi riguardano non sia corretto o se la risposta ad un’istanza per l’esercizio dei diritti previsti dagli articoli 15-22 del Regolamento (UE) 2016/679 non perviene nei tempi indicati o non è soddisfacente? Se ritiene che il trattamento dei dati che lo riguardano non è conforme alla disposizioni vigenti ovvero se la risposta ad un’istanza con cui esercita uno o più dei diritti previsti dagli articoli 15-22 del Regolamento (UE) 2016/679 non perviene nei tempi indicati o non è soddisfacente, l’interessato può rivolgersi all’autorità giudiziaria o al Garante per la protezione dei dati personali, in quest’ulimo caso mediante un reclamo ai sensi dell’articolo art.77 del Regolamento (UE) 2016/679,

Il Regolamento europeo non prevede più l’istituto del ricorso per fare valere i diritti di accesso ai dati personali (che pertanto non è più esperibile davanti al Garante a partire dal 25 maggio 2018). Strumenti di tutela IL RECLAMO Il reclamo al Garante è un atto circostanziato con il quale si rappresenta una violazione della disciplina rilevante in materia di protezione dei dati personali (articolo 77 del Regolamento UE 679/2016) e artt.

da 140-bis a 143 del Codice. Al reclamo segue un’ istruttoria preliminare e un eventuale successivo procedimento amministrativo formale che può portare all’adozione dei provvedimenti di cui all’articolo 58 del Regolamento. Avverso la decisione del Garante è ammesso il ricorso giurisdizionale ai sensi degli articoli 143 e 152 del Codice e dell’articolo 78 del Regolamento.

La presentazione del reclamo è gratuita. Per approfondimenti: pagina informativa e modello sul reclamo LA SEGNALAZIONE Chiunque può rivolgere, ai sensi dell’art.144 del Codice, una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’art.58 del Regolamento ( indirizzo ). * (Scheda di s intesi redatta dall’Ufficio del Garante a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell’Autorità. Per dubbi e domande si suggerisce di contattare l’ Urp del Garante )

Cosa si rischia se si viola la privacy?

Violazione della privacy, sanzioni – La violazione della privacy è un reato che si verifica quando si utilizzano in modo illecito i dati personali altrui, oppure quando:

  • viene notificato il falso al Garante per la privacy ;
  • non si adottano le misure necessarie per tutelare i dati sensibili ;
  • non vengono rispettati i provvedimenti stabiliti dal Garante per la privacy,

Le sanzioni previste possono essere:

  • la reclusione da 6 mesi a 3 anni nel caso di trattamento illecito dei dati personali al fine di trarre un profitto o di recare danno a un soggetto terzo;
  • la r eclusione da 6 mesi a 3 anni per chi dichiara o attesta il falso, anche attraverso la produzione di documenti falsi che vengono esibiti dinanzi al Garante per la privacy;
  • la reclusione da 3 mesi a 2 anni per il mancato rispetto dei provvedimenti del Garante della Privacy;
  • l’arresto fino a 2 anni o l’ammenda da 10.000 a 50.000 euro nel caso in cui non vengano messe in atto le misure di sicurezza per la protezione della privacy.

In questa ipotesi, si hanno a disposizione 6 mesi di tempo di prescrizione per mettersi in regola. Se entro il termine di prescrizione il reo risulta adempiente, pagherà soltanto un quarto della somma massima prevista dal reato, che una volta pagato sarà considerato estinto. Leggi anche: ” Cosa sono i reati di opinione “.

Come denunciare una persona per privacy?

Violazione della privacy: come fare denuncia – Se si ritiene che la propria privacy sia stata violata si può procedere con denuncia per violazione della privacy, Il soggetto che ritiene di essere stato leso può fare denuncia rivolgendosi al tribunale civile per chiedere un risarcimento per il danno subìto, oppure all’ autorità giudiziaria per chiedere che venga avviato un processo penale,

Quanto tempo ho per denunciare una violazione della privacy?

Senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche.

Quali sono i dati sensibili da non pubblicare?

Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica. Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.

  1. Particolarmente importanti sono: • i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.
  2. E i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa); • i dati rientranti in particolari categorie : si tratta dei dati c.d.

“sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’ orientamento sessuale ; • i dati relativi a condanne penali e reati : si tratta dei dati c.d.

“giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza. Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

LE PARTI IN GIOCO Interessato è la persona fisica alla quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l’indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l”interessato” (articolo 4, paragrafo 1, punto 1), del Regolamento UE 2016/679 ); Titolare è la persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679 ); Responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679 ).

Il Regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. “sub-responsabile” (articolo 28, paragrafo 2). * (Scheda di sintesi redatta dall’Ufficio del Garante a mero scopo divulgativo.

Quali sono i dati personali non sensibili?

Che cosa sono i “Dati sensibili” così come definiti dal GDPR? – I dati sensibili sono tutti quei dati che rivelano:

Origine razziale o etnica; Opinioni politiche; Credi religiosi o filosofici; Associazione a sindacati; Dati genetici; Dati biometrici con lo scopo di identificare in modo esclusivo una persona fisica; Dati che riguardano la salute o la vita sessuale e/o l’orientamento sessuale di una persona fisica.

See also:  Cosa Serve Per Acquistare Un'Auto Con La Legge 104?

I dati che i clienti e gli editori partner di Criteo raccolgono e trattano non possono essere qualificati come sensibili secondo la definizione del GDPR, Da parte sua, Criteo raccoglie unicamente identificatori tecnici pseudonimi collegati a eventi di navigazione.

Chi quantifica il risarcimento del danno in caso di violazione della privacy?

Danno e risarcimento del danno – L’articolo 82 del GDPR stabilisce che ” chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento “.

  • L’espressione utilizzata è riferita al danno patrimoniale e non patrimoniale.
  • Il soggetto danneggiato (cioè l’ interessato ) a seguito di un trattamento dei suoi dati in violazione delle norme del GDPR (nonché degli atti delegati e di esecuzione del GDPR, e delle norme nazionali di adattamento) può ottenere il risarcimento di qualunque danno occorsogli (anche se la lesione è marginale), sia a seguito di condotta del titolare (ed eventuali contitolari) che del responsabile del trattamento,

Il titolare risponde per il danno causato dal trattamento in violazione del regolamento, mentre il responsabile solo del danno causato dal non corretto adempimento dei suoi obblighi specifici, o se ha agito in modo difforme rispetto alle istruzioni del titolare.

  1. Eventuali sub-responsabili, invece, rispondono solo internamente, verso il responsabile, non verso gli interessati.
  2. In sintesi si configura in capo al titolare ed eventuali responsabili una responsabilità oggettiva per contrarietà ai precetti del GDPR.
  3. Il concetto di danno è precisato nel Considerando 146: ” Il titolare del trattamento o il responsabile del trattamento dovrebbe risarcire i danni cagionati a una persona da un trattamento non conforme al presente regolamento ma dovrebbe essere esonerato da tale responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile,

Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento. Ciò non pregiudica le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell’Unione o degli Stati membri.

  • Un trattamento non conforme al presente regolamento comprende anche il trattamento non conforme agli atti delegati e agli atti di esecuzione adottati in conformità del presente regolamento e alle disposizioni del diritto degli Stati membri che specificano disposizioni del presente regolamento.
  • Gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito,

Qualora i titolari del trattamento o i responsabili del trattamento siano coinvolti nello stesso trattamento, ogni titolare del trattamento o responsabile del trattamento dovrebbe rispondere per la totalità del danno. Tuttavia, qualora essi siano riuniti negli stessi procedimenti giudiziari conformemente al diritto degli Stati membri, il risarcimento può essere ripartito in base alla responsabilità che ricade su ogni titolare del trattamento o responsabile del trattamento per il danno cagionato dal trattamento, a condizione che sia assicurato il pieno ed effettivo risarcimento dell’interessato che ha subito il danno.

Il titolare del trattamento o il responsabile del trattamento che ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento “. Si applica il principio del cumulo tra i vari soggetti (art.82.

par.4), in modo che i danneggiati ottengano sempre l’intero risarcimento del danno, potendo agire per l’intero danno indifferentemente contro uno qualsiasi dei soggetti tenuti solidalmente al risarcimento, indipendentemente da eventuali ripartizioni interne tra i danneggianti.

Eventuali clausole contrattuali di ripartizione del danno valgono solo nei rapporti interni tra i danneggianti, per cui il soggetto che ha provveduto a risarcire il danno potrà agire in regresso contro gli altri soggetti per le quote di responsabilità. In assenza di accordi interni occorrerà un accertamento giudiziale per la ripartizione interna per quote.

Eventuali delegati del titolare e autorizzati, invece, rispondono solo nella misura dell’effettivo concorso alla causazione del danno, in base all’art.2043 c.c., sempre limitatamente nei rapporti interni con i soggetti tenuti al risarcimento. Si delinea un regime differenziato.

Le persone fisiche, giuridiche o altri enti che trattano dati per attività di impresa o professionale sono soggette al regime speciale agevolato per l’interessato al trattamento tipizzato dall’art.82 GDPR, con risarcimento del danno patrimoniale o non patrimoniale. Le persone fisiche, invece, che trattano dati per scopi domestici o personali, sono soggette al regime ordinario di responsabilità aquiliana (art.2043 c.c.).

In quest’ultimo caso il risarcimento del danno non patrimoniale consegue solo alla prova che il trattamento configuri un reato (art.2059 c.c.) oppure il danneggiato sia in grado di dimostrare la lesione di un diritto fondamentale della persona protetto dall’art.2 Cost.

Chi è autorizzato a chiedere i dati sensibili?

Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.’

Quali sono i dati personali che riguardano la tutela della privacy?

GDPR e dati sensibili: è cambiato qualcosa? – L’articolo 9 del GPDR ci dice che i dati particolari (ex-sensibili) non devono essere trattatati – salvo consenso esplicito dell’interessato o in caso di necessità per assolvere ad alcuni obblighi ben codificati – e ci dice anche quali sono:

l’origine razziale o etnica le opinioni politiche, le convinzioni religiose o filosofiche i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

Quindi rispetto al codice privacy cosa è cambiato? Solo la forma, poco la sostanza. Dati sensibili e dati particolari sono assimilabili ed è vietato trattarli, a meno che l’interessato non abbia dato il suo esplicito consenso e salvo alcuni casi particolari che vedremo fra poco.

La novità vera è un’altra. È cambiato il concetto stesso di dato personale, che sull’onda dell’evoluzione tecnologica è diventato qualcosa di più complesso rispetto a quello che intendevamo una volta. Oggi i sono tutte le informazioni che riconducono ad un singolo individuo attraverso le sue caratteristiche, relazioni, abitudini, stile di vita e così via.

E quindi sono anche:

tutte le informazioni identificative, dai dati anagrafici alle immagini che ritraggono la persona i dati precedentemente definiti sensibili e quindi sottoposti a tutela particolare le informazioni giudiziarie che possono rivelare l’esistenza di determinati provvedimenti giudiziari a carico della persona i dati relativi alle comunicazioni elettroniche via telefono o internet come, per esempio, un indirizzo IP i dati che consentono di geolocalizzare una persona e da cui è possibile capire dove è andata, quando e a volte anche con chi i dati genetici e i dati biometrici

Chi può lamentare una violazione della privacy?

CHE COS’E’ IL RECLAMO E COME SI PRESENTA AL GARANTE Il reclamo è lo strumento che consente all’interessato di rivolgersi al Garante per la protezione dei dati personali per lamentare una violazione della disciplina in materia di protezione dei dati personali (art.77 del Regolamento (Ue) 2016/679 e artt.

  1. Da 140-bis a 143 del Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento) e di richiedere una verifica dell‘Autorità.
  2. Il reclamo può essere sottoscritto direttamente dall’interessato oppure, per suo conto, da un avvocato, un procuratore, un organismo, un’organizzazione o un’associazione senza scopo di lucro.

In tali casi, è necessario conferire una procura da depositarsi presso il Garante assieme a tutta la documentazione utile ai fini della valutazione del reclamo presentato. Il reclamante potrà far pervenire l’atto utilizzando la modalità ritenuta più opportuna, consegnandolo a mano presso gli uffici del Garante (all’indirizzo di seguito indicato) o mediante l’inoltro di: a) raccomandata A/R indirizzata a: Garante per la protezione dei dati personali, Piazza Venezia, 11 – 00187 Roma b) messaggio di posta elettronica certificata indirizzata a: [email protected] (questo indirizzo è configurato per ricevere SOLO comunicazioni provenienti da posta elettronica certificata) Il reclamo e l’eventuale procura dovranno essere sottoscritti con firma autenticata, ovvero con firma digitale, ovvero con firma autografa (in tale ultimo caso, al reclamo dovrà essere allegata copia di un documento di riconoscimento dell’interessato/a in corso di validità). – formato,pdf AL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI P.ZZA VENEZIA 11 00187 ROMA Reclamo ex art.77 del Regolamento (Ue) 2016/679 e artt. da 140-bis a 143 del Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento Il/La sottoscritto/a., nato/a a,il,, residente in.

CF., il/la quale ai fini del presente procedimento dichiara di voler ricevere eventuali comunicazioni al seguente recapito (indicare uno o più recapiti, tra indirizzo fisico/telefono/e-mail/fax) espone quanto segue: (in questa parte del reclamo dovranno essere forniti necessariamente i seguenti elementi:) a) dichiarazione in relazione alla circostanza che la Repubblica italiana è lo Stato membro in cui risiede abitualmente, lavora oppure il luogo ove si è verificata la presunta violazione; b) gli estremi identificativi del titolare del trattamento (cioè, la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali e che avrebbe commesso la violazione); c) gli estremi identificativi del responsabile del trattamento (ove conosciuto); d) un’indicazione, per quanto possibile dettagliata, dei fatti e delle circostanze su cui l’atto si fonda, ivi comprese eventuali richieste già rivolte sulla questione al Titolare del trattamento; e) le disposizioni del Regolamento (UE) 2016/679 e del Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento che si presumono violate, specificando se siano stati già eventualmente esercitati i diritti di cui agli artt.

da 15 a 22 del Regolamento, e l’indicazione delle misure richieste Tutto ciò premesso, il/la sottoscritto/a: CHIEDE al Garante per la protezione dei dati personali, esaminato il reclamo che precede e ritenutane la fondatezza, di assumere nei confronti di,(indicare il titolare del trattamento, recapito, ed ogni elemento utile alla sua individuazione) ogni opportuno provvedimento e, in particolare: a) rivolgere a questi o al responsabile del trattamento avvertimenti o ammonimenti sul fatto che detti trattamenti possono verosimilmente violare, ovvero abbiano violato, le disposizioni vigenti in materia; b) ingiungere al titolare del trattamento di soddisfare le richieste di esercizio dei diritti di cui agli artt.

da 15 a 22 del Regolamento e/o di conformare i trattamenti alle disposizioni vigenti in materia anche nei confronti del responsabile del trattamento, ove previsto; c) imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento. Elenco dei documenti allegati: 1) 2) 3) Data Si ricorda che chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art.168 del Codice in materia di protezione dei dati personali (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante), salvo che il fatto non costituisca più grave reato.

INFORMAZIONI SUL TRATTAMENTO DEI DATI PERSONALI Per le informazioni relative al trattamento dei dati personali effettuato dal Garante per la protezione dei dati personali a seguito della ricezione del presente modello, si rappresenta che il Garante per la protezione dei dati personali, in qualità di titolare del trattamento (con sede in Piazza Venezia n.11, IT-00187, Roma; Email: [email protected]; PEC: [email protected]*; Centralino: +39 06696771), tratterà i dati personali conferiti con il presente modulo, con modalità prevalentemente informatiche e telematiche, per le finalità previste dal Regolamento (Ue) 2016/679 e dal Codice in materia di protezione dei dati personali (d.lgs.30 giugno 2003, n.196 e s.m.i.), in particolare per l’esecuzione dei propri compiti di interesse pubblico o comunque connessi all’esercizio dei propri pubblici poteri, ivi incluse le finalità di trattazione delle istanze pervenute, nonché di archiviazione, di ricerca storica e di analisi per scopi statistici.

See also:  Cosa Fare Se Il Computer Non Legge La Chiavetta?

Il conferimento dei dati è obbligatorio e la loro mancata indicazione non consente di effettuare l’esame del reclamo. I dati acquisiti nell’ambito della procedura di esame del reclamo saranno conservati in conformità alle norme sulla conservazione della documentazione amministrativa. I dati saranno trattati esclusivamente dal personale e da collaboratori dell’Autorità o delle imprese espressamente nominate come responsabili del trattamento.

Al di fuori di queste ipotesi, i dati non saranno diffusi, né saranno comunicati a terzi, fatti salvi i casi in cui si renda necessario comunicarli ad altri soggetti coinvolti nell’attività istruttoria e nei casi specificamente previsti dal diritto nazionale o dell’Unione europea.

  • Gli interessati hanno il diritto di ottenere dal Garante, nei casi previsti, l’accesso ai propri dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt.15 e ss.
  • Del Regolamento).
  • L’apposita istanza all’Autorità è presentata contattando il Responsabile della protezione dei dati presso il Garante (Garante per la protezione dei personali – Responsabile della Protezione dei dati personali, Piazza Venezia, 11, 00187, Roma, email: [email protected]).

* (questo indirizzo è configurato per ricevere SOLO comunicazioni provenienti da posta elettronica certificata)

Quando la violazione della privacy è reato?

Per la configurazione del reato di violazione della privacy occorre provare il danno subito, non essendo sufficiente la produzione di propri dati sensibili in un giudizio civile. La Terza Sezione Penale della Corte di Cassazione, con la sentenza n.23808/2019, ha avuto modo di pronunciarsi in merito al reato di trattamento illecito di dati personali, meglio conosciuto come reato di violazione della privacy, di cui all’ art.167 del codice privacy, precisando quelli che sono i requisiti necessari per la sua configurazione,

La questione sottoposta al vaglio degli Ermellini era nata dopo che la Corte d’ Appello di Firenze aveva deciso di assolvere un uomo, al quale era stato contestato il delitto ex art.167 del codice privacy, per aver diffuso, nell’ambito di un procedimento civile, dei dati personali concernenti lo stato di salute di un’ altra persona, la quale non aveva prestato il suo consenso al loro utilizzo.

Di fronte a tale decisione, il titolare dei dati diffusi, costituitosi parte civile, ricorreva dinanzi alla Corte di Cassazione, evidenziando come, diversamente da quanto ritenuto dalla Corte territoriale, la diffusione di dati sensibili nell’ambito di un procedimento civile, senza il consenso dell’ avente diritto alla riservatezza, integrasse, a suo avviso, il necessario presupposto del nocumento della persona offesa, determinando un danno di natura non patrimoniale conseguente alla diffusione di dati afferenti alla sfera intima, nonché un danno patrimoniale, per avere indotto il convenuto opposto a dare il proprio consenso ad una transazione, al fine di evitare l’altrimenti inevitabile soccombenza processuale.

Lo stesso ricorrente denunciava, peraltro, come la diffusione di suoi dati sensibili avesse riguardato una platea indefinita di soggetti, quali il giudice, i cancellieri, gli avvocati ed i praticanti avvocati, con la conseguenza che la stessa aveva determinato, per lui, l’ impossibilità di reinserirsi nel mondo del lavoro,

La Suprema Corte ha dichiarato il ricorso inammissibile, Gli Ermellini hanno, preliminarmente, evidenziato come, all’ epoca dei fatti, l’ art.167 del codice privacy, al comma 2, disponesse che ” salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.

In seguito, tuttavia, il Codice della Privacy, d.lgs.n.196/2003, è stato modificato dal d.lgs.n.101/2018, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.

In seguito a tale novella, il comma 2 dell’ art.167 del codice privacy dispone ora che ” salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2 sexies e 2 octies o delle misure di garanzia di cui all’articolo 2 septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2 quinquiesdecies arreca nocumento all’ interessato, è punito con la reclusione da uno a tre anni”.

  • Dalla lettera della norma citata si nota come costituisca, dunque, un requisito necessario per la configurazione del reato in esame, la sussistenza di un danno in capo all’ interessato,
  • La stessa giurisprudenza di legittimità ha, peraltro, già avuto modo di chiarire che detto nocumento “è costituito dal pregiudizio, anche di natura non patrimoniale, subito dalla persona cui si riferiscono i dati quale conseguenza dell’ illecito trattamento ” (Cass.

Pen., n.29549/2017). Tale nocumento deve, altresì, essere inteso come “un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dalla persona alla quale si riferiscono i dati o le informazioni protetti, o anche da terzi, quale conseguenza dell’illecito trattamento” (Cass.

  • Pen., n.7504/2013; Cass.
  • Pen., n.23798/2012).
  • Secondo gli Ermellini, quindi, la Corte territoriale ha correttamente applicato detti principi, escludendo, nel caso de quo, la sussistenza di un danno, sulla base del fatto che non risultava essere stata dimostrata e neppure prospettata la diffusione dei dati personali al di fuori della ristretta cerchia di soggetti che ne erano venuti a conoscenza per ragioni professionali, restando a loro volta assoggettati al dovere di riservatezza,

Quanto alla facoltà di difendersi in giudizio utilizzando gli altrui dati personali, i Giudici di merito hanno giustamente ricordato che, secondo quanto affermato dalla giurisprudenza di legittimità, essa va esercitata nel rispetto dei doveri di correttezza, pertinenza e non eccedenza stabiliti dalla legge, sicché la legittimità della produzione di documenti contenenti tali dati va valutata in base al bilanciamento tra il contenuto del dato stesso, cui va correlato il grado di riservatezza, e le esigenze di difesa,

Quali sono i reati contro la privacy?

Ecco i reati in materia di privacy previsti oggi dalla disciplina sul trattamento dei dati personali, alla luce del Regolamento UE e della normativa attuativa italiana di Valeria Zeppilli – Con il decreto di adeguamento della normativa privacy al Gdpr, il quadro sanzionatorio previsto per le violazioni della normativa a tutela dei dati personali ha subito alcune importanti modifiche.

Trattamento illecito di dati Comunicazione e diffusione illecita di dati personali Acquisizione fraudolenta di dati personali Interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante Inosservanza di provvedimenti del Garante Violazioni in materia di controlli a distanza dei lavoratori Gli ex reati

Quanto ammonta risarcimento per violazione della privacy?

11020/2021) i giudici della Corte di Cassazione hanno confermato la condanna al risarcimento del danno non patrimoniale ( per un importo di Euro 8.500,00) derivante dall’illecito trattamento dei dati personali (nel caso di specie illecita divulgazione) proprio in considerazione del fatto che vi era stata un’accurata

Quanto costa una violazione della privacy?

Nuova Legge Sulla Privacy Cosa Fare Garantire l’effettivo rispetto di una norma richiede, chiaramente, anche la previsione di una serie di sanzioni atte a punirne le violazioni, e su questo il GDPR non fa eccezione: l’articolo 83 individua, infatti, i criteri di applicazione di sanzioni amministrative pecuniarie.

Comprendere se si tratta di una singola violazione o di più condotte illecite, e individuare quali disposizioni del Regolamento vengono violate. Individuare la sanzione determinandone il livello di partenza in ragione della gravità della violazione, applicando i criteri previsti dal GDPR, considerando cioè le categorie di dati interessati, la natura e gravità, il carattere doloso o colposo, etc. Valutare la presenza di eventuali circostanze aggravanti o attenuanti. Identificare i massimali previsti dalla normativa per la sanzione considerata. Verificare il rispetto dei requisiti di efficacia, proporzionalità e dissuasività.

Con le succitate linee guida, Titolari e Responsabili potranno acquisire maggiore consapevolezza nella modulazione delle sanzioni amministrative pecuniarie a loro irrogate. Ad oggi, difatti, l’art.83 del GDPR indica una generica previsione di sanzioni pecuniarie che possono arrivare sino a 10.000 o 20.000 euro (a seconda della condotta sanzionata) o, per le imprese, sino al 2% o 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore (art.83, par.4, 5).

Quali sono i contenuti obbligatori di un Informativa privacy?

Dati del titolare (nome, denominazione o ragione sociale, domicilio o sede) o, ove applicabile, i dati del responsabile della protezione dei dati; finalità e basi giuridiche del trattamento dati; natura obbligatoria o facoltativa del consenso. Devono essere specificate le conseguenze del diniego del consenso.

Come deve essere l’informativa sul trattamento dei dati personali?

Modalità dell’informativa – In osservanza del principio della trasparenza l’informativa deve avere forma coincisa, deve essere chiara, facilmente accessibile ed intellegibile per l’interessato (Considerando 39), e questo in particolare quando è rivolta a dei minori, eventualmente anche utilizzando immagini o icone (le icone devono essere identiche per tutta l’Unione europea e saranno identificate da un successivo provvedimento della Commissione europea).

  1. L’informativa deve essere resa per iscritto o con altri mezzi (anche elettronici, come per es., la posta elettronica).
  2. Se richiesto dall’interessato l’informativa può essere data oralmente (purché sia comprovata con altri mezzi l’identità dell’interessato).
  3. E’ preferibile tuttavia fornirla in forma tale da provarne l’esistenza e per consentire alle autorità di vigilanza di verificarne la completezza e correttezza.

E’ ammessa la possibilità di pubblicare l’informativa su un sito web, inserendo il collegamento ( link ) a tale pagina web nella pagina principale ( home ) del sito web, ma anche nelle comunicazioni e nella corrispondenza, compreso la corrispondenza cartacea.

Quale informazioni deve specificare l’informativa sulla privacy?

Le parole da usare – Il GDPR è molto rigoroso su come l’informativa sulla privacy deve essere formulata e strutturata. Deve essere:

Concisa, chiara, comprensibile e di facile accesso, Le aziende dovrebbero presentare le informazioni usando il minor numero possibile di parole, ciascun punto presentato separatamente e l’intera sezione chiaramente identificabile rispetto alle informazioni non relative all’informativa sulla privacy. Per iscritto, Sebbene siano consentiti mezzi non scritti (video, messaggi vocali, infografiche, soprattutto se rivolti a bambini o persone vulnerabili), l’informativa sulla privacy deve essere disponibile alla lettura in un unico documento scritto. In un linguaggio semplice, L’informativa deve definire in modo chiaro ciò che l’azienda intende fare con i dati. Deve perciò evitare termini vaghi come “può”, “alcuni” ed “eventualmente”. Inoltre, deve essere scritta per essere capita dal lettore medio e l’azienda deve fornire disposizioni speciali se l’informativa è rivolta a bambini o persone vulnerabili. Disponibile per via orale su richiesta, Le aziende dovrebbero avere una versione registrata o qualcuno disponibile a leggerla ad alta voce, se richiesto.

Per tutte le organizzazioni che non sanno da che parte iniziare con la redazione della propria informativa sulla privacy, il modello precompilato realizzato da IT Governance sarà di grande aiuto. Personalizzabile con i dati della propria azienda, l’ Informativa sulla privacy GDPR – modello personalizzabile permetterà ad ogni organizzazione, di qualsiasi dimensione e tipologia, di redigere l’informativa sulla privacy in pochi minuti.

See also:  Nuova Legge Privacy 2018 Cosa Cambia?

Che informazioni devono essere necessariamente inseriti nel registro delle attività di trattamento dei dati ai sensi dell’art 30 paragrafo 1 GDPR?

Faq – L’art.30 del Regolamento (EU) n.679/2016 (di seguito “RGPD”) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento, E’ un documento contenente le principali informazioni (specificatamente individuate dall’art.30 del RGPD) relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento (sul registro del responsabile, vedi, in particolare, il punto 6 ).

Costituisce uno dei principali elementi di accountability del titolare, in quanto strumento idoneo a fornire un quadro aggiornato dei trattamenti in essere all’interno della propria organizzazione, indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. Tutti i titolari e i responsabili del trattamento sono tenuti a redigere il Registro delle attività di trattamento (v. art.30, par.1 e 2 del RGPD). In particolare, in ambito privato, i soggetti obbligati sono così individuabili:

imprese o organizzazioni con almeno 250 dipendenti; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti che possano presentare un rischio – anche non elevato – per i diritti e le libertà dell’interessato; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti non occasionali; qualunque titolare o responsabile (incluse imprese o organizzazioni con meno di 250 dipendenti) che effettui trattamenti delle categorie particolari di dati di cui all’articolo 9, paragrafo 1 RGPD, o di dati personali relativi a condanne penali e a reati di cui all’articolo 10 RGPD.

Rientrano nella categoria delle “organizzazioni” di cui all’art.30, par.5 anche le associazioni, fondazioni e i comitati. Alla luce di quanto detto sopra, sono tenuti all’obbligo di redazione del registro, ad esempio: – esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es.

parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.); – liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale); – associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e.

organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso); – il condominio ove tratti “categorie particolari di dati” (es.

  • Delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L.n.13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
  • Infine, si precisa che le imprese e organizzazioni con meno di 250 dipendenti obbligate alla tenuta del registro potranno comunque beneficiare di alcune misure di semplificazione, potendo circoscrivere l’obbligo di redazione del registro alle sole specifiche attività di trattamento sopra individuate (es.

ove il trattamento delle categorie particolari di dati si riferisca a quelli inerenti un solo lavoratore dipendente, il registro potrà essere predisposto e mantenuto esclusivamente con riferimento a tale limitata tipologia di trattamento). Al di fuori dei casi di tenuta obbligatoria del Registro, anche alla luce del considerando 82 del RGPD, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici e accessibili a tutti, il principio di accountability e, al contempo, ad agevolare in maniera dialogante e collaborativa l’attività di controllo del Garante stesso.

Si invita altresì a consultare il documento interpretativo del 19 aprile 2018 del Gruppo ex art.29 (Ora Comitato europeo per la protezione dei dati) reperibile al seguente link: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045 Il Regolamento individua dettagliatamente le informazioni che devono essere contenute nel registro delle attività di trattamento del titolare (art.30, par.1 del RGPD) e in quello del responsabile (art.30, par.2 del RGPD).

Con riferimento ai contenuti si rappresenta quanto segue: (a) nel campo “finalità del trattamento” oltre alla precipua indicazione delle stesse, distinta per tipologie di trattamento (es. trattamento dei dati dei dipendenti per la gestione del rapporto di lavoro; trattamento dei dati di contatto dei fornitori per la gestione degli ordini), sarebbe opportuno indicare anche la base giuridica dello stesso (v.

Art.6 del RGPD; in merito, con particolare riferimento al “legittimo interesse”, si rappresenta che il registro potrebbe riportare la descrizione del legittimo interesse concretamente perseguito, le “garanzie adeguate” eventualmente approntate, nonché, ove effettuata, la preventiva valutazione d’impatto posta in essere dal titolare (v.

provv. del Garante del 22 febbraio 2018 – ). Sempre con riferimento alla base giuridica, sarebbe parimenti opportuno: in caso di trattamenti di “categorie particolari di dati”, indicare una delle condizioni di cui all’art.9, par.2del RGPD; in caso di trattamenti di dati relativi a condanne penali e reati, riportare la specifica normativa (nazionale o dell’Unione europea) che ne autorizza il trattamento ai sensi dell’art.10 del RGPD; (b) nel campo “descrizione delle categorie di interessati e delle categorie di dati personali” andranno specificate sia le tipologie di interessati (es.

  • Clienti, fornitori, dipendenti) sia quelle di dati personali oggetto di trattamento (es.
  • Dati anagrafici, dati sanitari, dati biometrici, dati genetici, dati relativi a condanne penali o reati, ecc.); (c) nel campo “categorie di destinatari a cui i dati sono stati o saranno comunicati” andranno riportati, anche semplicemente per categoria di appartenenza, gli altri titolari cui siano comunicati i dati (es.

enti previdenziali cui debbano essere trasmessi i dati dei dipendenti per adempiere agli obblighi contributivi). Inoltre, si ritiene opportuno che siano indicati anche gli eventuali altri soggetti ai quali – in qualità di responsabili e sub-responsabili del trattamento– siano trasmessi i dati da parte del titolare (es.

soggetto esterno cui sia affidato dal titolare il servizio di elaborazione delle buste paga dei dipendenti o altri soggetti esterni cui siano affidate in tutto o in parte le attività di trattamento). Ciò al fine di consentire al titolare medesimo di avere effettiva contezza del novero e della tipologia dei soggetti esterni cui sono affidate le operazioni di trattamento dei dati personali; (d) nel campo “trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale” andrà riportata l’informazione relativa ai suddetti trasferimenti unitamente all’indicazione relativa al Paese/i terzo/i cui i dati sono trasferiti e alle “garanzie” adottate ai sensi del capo V del RGPD (es.

decisioni di adeguatezza, norme vincolanti d’impresa, clausole contrattuali tipo, ecc.); (e) nel campo “termini ultimi previsti per la cancellazione delle diverse categorie di dati” dovranno essere individuati i tempi di cancellazione per tipologia e finalità di trattamento (ad es.

  1. In caso di rapporto contrattuale, i dati saranno conservati per 10 anni dall’ultima registrazione – v.
  2. Art.2220 del codice civile”).
  3. Ad ogni modo, ove non sia possibile stabilire a priori un termine massimo, i tempi di conservazione potranno essere specificati mediante il riferimento a criteri (es.
  4. Norme di legge, prassi settoriali) indicativi degli stessi (es.

“in caso di contenzioso, i dati saranno cancellati al termine dello stesso”); (f) nel campo “descrizione generale delle misure di sicurezza” andranno indicate le misure tecnico-organizzative adottate dal titolare ai sensi dell’art.32 del RGDP tenendo presente che l’elenco ivi riportato costituisce una lista aperta e non esaustiva, essendo rimessa al titolare la valutazione finale relativa al livello di sicurezza adeguato, caso per caso, ai rischi presentati dalle attività di trattamento concretamente poste in essere.

Tale lista ha di per sé un carattere dinamico (e non più statico come è stato per l’Allegato B del d. lgs.196/2003) dovendosi continuamente confrontare con gli sviluppi della tecnologia e l’insorgere di nuovi rischi. Le misure di sicurezza possono essere descritte in forma riassuntiva e sintetica, o comunque idonea a dare un quadro generale e complessivo di tali misure in relazione alle attività di trattamento svolte, con possibilità di fare rinvio per una valutazione più dettagliata a documenti esterni di carattere generale (es.

procedure organizzative interne; security policy ecc.). Può essere riportata nel registro qualsiasi altra informazione che il titolare o il responsabile ritengano utile indicare (ad es. le modalità di raccolta del consenso, le eventuali valutazioni di impatto effettuate, l’indicazione di eventuali “referenti interni” individuati dal titolare in merito ad alcune tipologie di trattamento ecc.).

  1. Il Registro dei trattamenti è un documento di censimento e analisi dei trattamenti effettuati dal titolare o responsabile.
  2. In quanto tale, il registro deve essere mantenuto costantemente aggiornato poiché il suo contenuto deve sempre corrispondere all’effettività dei trattamenti posti in essere.
  3. Qualsiasi cambiamento, in particolare in ordine alle modalità, finalità, categorie di dati, categorie di interessati, deve essere immediatamente inserito nel Registro, dando conto delle modifiche sopravvenute.

Il Registro può essere compilato sia in formato cartaceo che elettronico ma deve in ogni caso recare, in maniera verificabile, la data della sua prima istituzione (o la data della prima creazione di ogni singola scheda per tipologia di trattamento) unitamente a quella dell’ultimo aggiornamento.

In quest’ultimo caso il Registro dovrà recare una annotazione del tipo: “- scheda creata in data XY” “- ultimo aggiornamento avvenuto in data XY” Il responsabile del trattamento tiene un registro di “tutte le categorie di attività relative al trattamento svolte per conto di un titolare” (art.30, par.2 del RGPD).

In merito alle modalità di compilazione dello stesso si rappresenta quanto segue: a) nel caso in cui uno stesso soggetto agisca in qualità di responsabile del trattamento per conto di più clienti quali autonomi e distinti titolari (es. società di software house), le informazioni di cui all’art.30, par.2 del RGPD dovranno essere riportate nel registro con riferimento a ciascuno dei suddetti titolari.

In questi casi il responsabile dovrà suddividere il registro in tante sezioni quanti sono i titolari per conto dei quali agisce; ove, a causa dell’ingente numero di titolari per cui si operi, l’attività di puntuale indicazione e di continuo aggiornamento dei nominativi degli stessi nonché di correlazione delle categorie di trattamenti svolti per ognuno di essi risulti eccessivamente difficoltosa, il registro del responsabile potrebbe riportare il rinvio, ad es., a schede o banche dati anagrafiche dei clienti (titolari del trattamento), contenenti la descrizione dei servizi forniti agli stessi, ferma restando la necessità che comunque tali schede riportino tutte le indicazioni richieste dall’art.30, par.2 del RGPD; b) con riferimento alla “descrizione delle categorie di trattamenti effettuati” (art.30, par.2, lett.

b) del RGPD) è possibile far riferimento a quanto contenuto nel contratto di designazione a responsabile che, ai sensi dell’art.28 del RGPD, deve individuare, in particolare, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati oggetto del trattamento, nonché la durata di quest’ultimo; c) in caso di sub-responsabile, parimenti, il registro delle attività di trattamento svolte da quest’ultimo potrà specificatamente far riferimento ai contenuti del contratto stipulato tra lo stesso e il responsabile ai sensi dell’art.28, paragrafi 2 e 4 del RGPD.