GDPR

© Pasquale Tarallo
Linee Guida
in vista della piena applicazione
prevista per il 25 Maggio 2018
Regolamento Europeo
per la Protezione dei Dati Personali
2016/679

© Pasquale Tarallo
2
Copyright
Licenza Creative Commons CC BY-NC-SA 3.0 IT
per essere successivamente
UTILIZZATO,
MODIFICATO
DISTRIBUITO LIBERAMENTE
con Licenza Creative Commons CC BY-NC-SA 3.0 IT
(Attribuzione – Non commerciale – Condividi allo stesso modo 3.0 Italia)
Questa presentazione è parte di un progetto editoriale più ampio
Ideato, Realizzato e Distribuito GRATUITAMENTE
per tentare una Chiave di Lettura al
Regolamento Europeo per la Protezione dei Dati Personali 2016/679
(in inglese General Data Protection Regulation, GDPR).
Può essere richiesto via mail in formato ppt all’Autore
Pasquale Tarallo

3
Contenuti
1 Perché si promuove la Protezione dei Dati Personali
2 La Guida dell’Autorità Garante
3 Fondamenti di Liceità
4 Informativa
5 Diritti degli interessati
6 Titolare, responsabile, incaricato del Trattamento
7 Approccio basato sul rischio e Responsabilizzazione
8 Il Trasferimento dei dati verso Paesi Terzi e
Organizzazioni Internazionali
9 Conclusioni

4
© Pasquale Tarallo
1 Perché si promuove la Protezione
dei Dati Personali

© Pasquale Tarallo
5
Il nuovo scenario digitale mostra che la Rete è pervasiva,
immateriale ed immediatamente disponibile a molti utenti
La rapidità e l’intensità
dell'evoluzione tecnologica
hanno condotto all’aumento di soggetti
ed oggetti connessi fra loro
(per questo si parla di rete delle cose,
Internet Of Things, IoT).
Si assiste al conseguente
scambio e condivisione di dati fra
Individui ed Organizzazioni
di diverso genere e tipo
(o scopo, quali Istituzioni, Imprese,
Enti no Profit, etc.)
in tutto il mondo
sia fisico che digitale.

© Pasquale Tarallo
6
L’importanza della Sicurezza delle Informazioni è discussa in
maniera più approfondita in ALTRA PRESENTAZIONE

© Pasquale Tarallo
7
Considerato che qualcosa è cambiato, cosa deve essere preso in
considerazione ?
Come
Proteggere i Dati
Personali ?
Come
Proteggere le
Informazioni ?
Cosa bisogna prendere
in considerazione

© Pasquale Tarallo
8
Il fenomeno dei Big Data
L’innovazione comporta nuove sfide.
Tra le altre, la portata della condivisione e della
raccolta dei BIG DATA*
• da un lato dovrebbe facilitare ancora di più la
loro libera circolazione sia all'interno dell'Unione
che per il loro trasferimento verso paesi terzi e
organizzazioni internazionali,
• mentre dall’altro dovrebbe garantire un elevato
livello di protezione da eventuali violazioni dei
dati personali.
*Definizione nella slide successiva.

© Pasquale Tarallo
9
A proposito di Big Data, cosa sono e come possono essere
trattati ?
Talvolta si usa l’espressione inglese BIG
DATA per fare riferimento ai grandi
volumi di dati, siano essi grezzi o
strutturati, in una forma definita in
termini di Volume, Velocità, Varietà e
Veridicità che potrebbero essere trattari
in formato Elettronico, per Iscritto o
Visivamente.
Individui
Organizzazioni
Oggetti
Profilazione
e/o
Condivisione
Il Trattamento può comprendere la
Raccolta, la Registrazione, la
Conservazione, il Recupero, la
Trasmissione, il Blocco o la
Cancellazione dei dati. Anche per
Sostenere oppure Opporsi alla
Profilazione e/o Condivisione dei
medesimi.

© Pasquale Tarallo
10
In virtù dell’enorme quantità di Norme presenti alcuni anni fa
si avviò un confronto per armonizzarle in tutta l’Unione

© Pasquale Tarallo
11
Considerate le nuove minacce e le violazioni dei dati personali
si decise di accelerare la trasformazione normativa con il GDPR
Abbiamo scelto un
Regolamento perché non
necessita un recepimento
dei Paesi Membri ed è in
grado di disciplinare la
Protezione del Trattamento
dei Dati Personali delle
Persone Fisiche e della loro
Circolazione in tutta
l’Unione Europea

© Pasquale Tarallo
12
Il Regolamento per la Protezione dei Dati Personali
A seguito della pubblicazione sulla Gazzetta Ufficiale dell’Unione Europea del 04
Giugno 2016, è entrato formalmente in vigore il 24 maggio 2016 il Regolamento
Europeo per la Protezione dei Dati Personali 2016/679 o nella sua accezione
inglese General Data Protection Regulation (GDPR).

© Pasquale Tarallo
13
Dall’approvazione all’applicazione
Il GDPR diverrà pienamente applicabile a decorrere dal 25 maggio 2018
(secondo quanto previsto dall’art. 99 delle disposizioni finali)
Pubblicazione sulla
Gazzetta Ufficiale UE:
04 Maggio 2016
Entrata in vigore
(dopo 20 gg):
24 Maggio
2016
Effettiva
applicazione:
25 Maggio
2018

© Pasquale Tarallo
14
Alcuni primi dettagli del GDPR
Per favorire l’applicazione del GDPR ciascuno stato membro è stato chiamato ad
istituire un’Autorità Sovrintendente Indipendente per
 dare udienza ai reclami,
 effettuare indagini,
 sanzionare le infrazioni amministrative,
 ecc.
• Le autorità sovrintendenti in ciascuno stato membro collaboreranno con le altre,
fornendo assistenza reciproca e organizzando operazioni congiunte sotto il
coordinamento e la supervisione di una apposita commissione europea per la
protezione dei dati (EDPB, European Data Protection Board).

© Pasquale Tarallo
15
Il WP 29
• Inizialmente il gruppo di lavoro delle diverse autorità è stato citato anche come
WP 29 (Working Party Article 29) poiché è stato istituito dall'art. 29 della direttiva
95/46, come organismo consultivo e indipendente.
• Il WP 29 è composto da un rappresentante delle autorità di protezione dei dati
personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della
protezione dei dati), nonché da un rappresentante della Commissione
appositamente istituita in sede UE.
• Il 25 Maggio 2018, all’atto della piena applicazione del GDPR, il WP29 verrà
sostituito dall’EDPB (European Data Protection Board)

© Pasquale Tarallo
16
Compiti del WP 29
Fra i compiti più rilevanti del WP29 vi sono i seguenti:
• formulare pareri sul livello di tutela nella Comunità e nei paesi terzi
• fornire consulenze alla Commissione in merito ad ogni progetto di modifica della
direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della
tutela dei diritti e delle libertà, nonché in merito a qualsiasi altro progetto di
misure comunitarie che incidano su tali diritti e libertà
• formulare pareri sui codici di condotta elaborati a livello comunitario
• formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardi la
protezione dei dati personali nella Comunità
• definire i criteri di adeguatezza per i paesi terzi.

© Pasquale Tarallo
17
Meccanismo di coerenza all’interno dell’UE
Il Regolamento prevede un MECCANISMO DI COERENZA, gestito dal Garante
Europeo per la Protezione dei Dati (GEPD, oppure nella versione inglese EDPS,
European Data Protection Supervisor) che uniforma l'interpretazione e applicazione
del Regolamento in tutti i Paesi dell'Unione.
In particolare viene indicato che, qualora ci siano delle divergenze tra le legislazioni
degli stati membri che possano pregiudicare l'equivalenza della tutela persone,
interviene il WP29 informando la speciale commissione dell’UE, formulando pareri e
raccomandazioni.
La Commissione è tenuta ad informare il gruppo del seguito dato ai suoi pareri e
raccomandazioni.

© Pasquale Tarallo
18
Il riconoscimento di una Leading Authority favorisce la
disponibilità di un punto di contatto unico
• Qualora un’impresa abbia più stabilimenti nell'UE, avrà un'unica Autorità
sovrintendente come propria «Autorità principale« a cui fare riferimento, sulla
base dell'ubicazione del proprio "stabilimento principale" (ossia il luogo dove si
realizzano le principali attività di gestione).
• L’Autorità principale agirà quale "sportello unico (noto anche come meccanismo
dell’One Stop Shop, ovvero unico negozio dove trovo tutto)" per supervisionare
tutte le attività di gestione dati di quell’impresa nell’UE.
L’Autorità principale fungerà anche da capofila (Leading Authority) nei confronti
delle altre Autorità nazionali cooperando ed avendo la competenza di emettere
decisioni vincolanti per la altre autorità.

© Pasquale Tarallo
19
Nonostante l’approssimarsi del 25 Maggio permangono i Dubbi
su modalità, costi, opportunità e necessità di essere conformi
Considerando le principali novità introdotte dal nuovo Regolamento
si deve riflettere sui possibili approcci da utilizzare
per confermare l’ìmportanza della protezione dei dati personali
e giungere alla scadenza del 25 maggio 2018
con le idee più CHIARE non solo ai fini della conformità.

© Pasquale Tarallo
20
In sintesi si chiede di comprendere COSA FARE
Seguendo
l’Autorità Garante per la Protezione dei Dati Personali si distinguono
LE AZIONI CHE POSSONO ESSERE INTRAPRESE IMMEDIATAMENTE
in quanto basate su
disposizioni precise del Regolamento
che non lasciano spazi a interventi del legislatore nazionale,
rispetto
alle altre norme del Regolamento,
come quelle che disciplinano
i trattamenti per finalità di interesse pubblico
ovvero
in ottemperanza a obblighi di legge.

21
© Pasquale Tarallo
2 Il GDPR
nella sua Formulazione Originale

© Pasquale Tarallo
22
Il Regolamento Generale per la Protezione dei Dati Personali si
compone di 11 Capi suddivisi in 99 Articoli e 173 Considerando
1 2 3 4 5 6 7 8 9 10 11
12 13 14 15 16 17 18 19 20 21 22
23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43 44
45 46 47 48 49 50 51 52 43 54 55
56 57 58 59 60 61 62 63 64 65 66
67 68 69 70 71 72 73 74 75 76 77
78 79 80 81 82 83 84 85 86 87 88
89 90 91 92 93 94 95 96 97 98 99

© Pasquale Tarallo
23
Nel Capo I si disciplinano le DISPOSIZIONI GENERALI
in 4 Articoli
1. Oggetto e finalità
2. Ambito di applicazione materiale
3. Ambito di applicazione territoriale
4. Definizioni
1 2 3 4

© Pasquale Tarallo
24
Nel Capo II si disciplinano i PRINCIPI in 11 Articoli
5 6 7 8 9 10 11
5. Principi applicabili al Trattamento di dati personali
6. Liceità del Trattamento
7. Condizioni per il consenso
8. Condizioni applicabili al consenso dei minori in relazione ai servizi
della società dell'informazione
9. Trattamento di categorie particolari di dati personali
10. Trattamento dei dati personali relativi a condanne penali e reati
11. Trattamento che non richiede l'identificazione

© Pasquale Tarallo
25
Nel Capo IV si disciplinano il TITOLARE ed il
RESPONSABILE del Trattamento in 3 Sezioni e 20 Articoli
Sezione 1 - Obblighi generali
Sezione 2 - Sicurezza dei dati personali
Sezione 3 - Valutazione d'impatto sulla protezione dei dati e consultazione
preventiva
Sezione 4 - Responsabile della protezione dei dati
Sezione 5 - Codici di condotta e certificazione
23
12 13 14 15 16 17 18 19 20 21 22

© Pasquale Tarallo
26
Nel Capo III si disciplinano i DIRITTI
DELL’INTERESSATO in 5 Sezioni e 12 Articoli
Sezione 1 - Trasparenza e modalità
Sezione 2 - Informazione e accesso ai dati personali
Sezione 3 - Rettifica e cancellazione
Sezione 4 - Diritto di opposizione e processo decisionale automatizzato
relativo alle persone fisiche
Sezione 5 - Limitazioni
24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43

© Pasquale Tarallo
27
Nel Capo V si disciplinano i Trasferimenti di dati verso
paesi terzi o organizzazioni internazionali in 7 Articoli
44 45 46 47 48 49 50
44. Principio generale per il trasferimento
45. Trasferimento sulla base di una decisione di adeguatezza
46. Trasferimento soggetto a garanzie adeguate
47. Norme vincolanti d'impresa
48. Trasferimento o comunicazione non autorizzati dal diritto
dell'Unione
49. Deroghe in specifiche situazioni
50. Cooperazione internazionale per la protezione dei dati personali

© Pasquale Tarallo
28
Nel Capo VI si disciplinano le Autorità di controllo
indipendenti in 2 Sezioni e 9 Articoli
51 52 53 54 55 56 57 58 59
Sezione 1 - Indipendenza
Sezione 2 – Competenza, compiti e poteri

© Pasquale Tarallo
29
Nel Capo VI si disciplinano la Cooperazione e la
Coerenza in 3 Sezioni e 26 Articoli
Sezione 1 - Cooperazione
Sezione 2 – Coerenza
Sezione 3 – Comitato europeo per la protezione dei dati
51 52 53 54 55 56 57 58 59 60
61 62 63 64 65 66 67 68 69 70 71
72 73 74 75 76

© Pasquale Tarallo
30
Nel Capo VIII si disciplinano i Mezzi di ricorso, le
responsabilità e le sanzioni in 8 Articoli
77. Diritto di proporre reclamo all'autorità di controllo
78. Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità
di controllo
79. Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare
del Trattamento o del responsabile del Trattamento
80. Rappresentanza degli interessati
81. Sospensione delle azioni
82. Diritto al risarcimento e responsabilità
83. Condizioni generali per infliggere sanzioni amministrative pecuniarie
84. Sanzioni
77 78 79 80 81 82 83 84

© Pasquale Tarallo
31
Nel Capo IX si disciplinano le Disposizioni relative a
specifiche situazioni di Trattamento in 7 Articoli
85 86 87 88 89 90 91
85. Trattamento e libertà d'espressione e di informazione
86. Trattamento e accesso del pubblico ai documenti ufficiali
87. Trattamento del numero di identificazione nazionale
88. Trattamento dei dati nell'ambito dei rapporti di lavoro
89. Garanzie e deroghe relative al Trattamento a fini di archiviazione
nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
90. Obblighi di segretezza
91. Norme di protezione dei dati vigenti presso chiese e associazioni
religiose

© Pasquale Tarallo
32
Nel Capo X si disciplinano gli Atti delegati e gli Atti di
esecuzione in 2 Articoli
92 93
92. Esercizio della delega
93. Procedura di comitato

© Pasquale Tarallo
33
Nel Capo XI si riportano le Disposizioni Finali in 6
Articoli
94. Abrogazione della direttiva 95/46/CE
95. Rapporto con la direttiva 2002/58/CE
96. Rapporto con accordi precedentemente conclusi
97. Relazioni della Commissione
98. Riesame di altri atti legislativi dell'Unione in materia di protezione
dei dati
99. Entrata in vigore e applicazione
9694 95 97 98 99

© Pasquale Tarallo
34
Per Esplicitare il lessico utilizzato nel GDPR si riportano per
esteso il CAPO 1 ed i Relativi Articoli (A) e Considerando (C)
1 2 3 4 5 6 7 8 9 10 11
12 13 14 15 16 17 18 19 20 21 22
23 24 25 26 27 28 29 30 31 32 33
34 35 36 37 38 39 40 41 42 43 44
45 46 47 48 49 50 51 52 43 54 55
56 57 58 59 60 61 62 63 64 65 66
67 68 69 70 71 72 73 74 75 76 77
78 79 80 81 82 83 84 85 86 87 88
89 90 91 92 93 94 95 96 97 98 99

© Pasquale Tarallo
35
Come abbiamo visto nel Capo I si disciplinano le
DISPOSIZIONI GENERALI in 4 Articoli
1. Oggetto e finalità
2. Ambito di applicazione materiale
3. Ambito di applicazione territoriale
4. Definizioni
1 2 3 4

© Pasquale Tarallo
36
Vediamo
i Dettagli
Esaminiamo in dettaglio l’Art.1 (A1)
Oggetto e Finalità (C1-14, C170, C172)
Vediamo
i Dettagli

© Pasquale Tarallo
37
Disposizioni Generali (Capo I)
Oggetto e Finalità (A1)
• Il Regolamento stabilisce norme relative alla protezione delle persone fisiche con
riguardo al Trattamento dei dati personali, nonché norme relative alla libera
circolazione di tali dati.
• Esso protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il
diritto alla protezione dei dati personali.
• La libera circolazione dei dati personali nell’Unione non può essere limitata né
vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al
Trattamento dei dati personali.

© Pasquale Tarallo
38
Oggetto e Finalità (C1)
• La protezione delle persone fisiche con riguardo al Trattamento dei dati di carattere
personale è un diritto fondamentale. L’articolo 8, paragrafo 1, della Carta dei diritti
fondamentali dell’Unione europea («Carta») e l’articolo 16, paragrafo 1, del trattato
sul funzionamento dell’Unione europea («TFUE») stabiliscono che ogni persona ha
diritto alla protezione dei dati di carattere personale che la riguardano.

© Pasquale Tarallo
39
• È opportuno che la protezione prevista dal presente regolamento si applichi alle persone
fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al Trattamento dei
loro dati personali.
• Il presente regolamento non disciplina il Trattamento dei dati personali relativi a persone
giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma
della persona giuridica e i suoi dati di contatto.

© Pasquale Tarallo
40
• Poiché l’obiettivo del presente regolamento, vale a dire garantire un livello equivalente di tutela
delle persone fisiche e la libera circolazione dei dati personali nell’Unione, non può essere
conseguito in misura sufficiente dagli Stati membri ma, a motivo della portata e degli effetti
dell’azione in questione, può essere conseguito meglio a livello di Unione, quest’ultima può
intervenire in base al principio di sussidiarietà sancito dall’articolo 5 del trattato sull’Unione
europea (TUE).
• Il presente regolamento si limita a quanto è necessario per conseguire tale obiettivo in
ottemperanza al principio di proporzionalità enunciato nello stesso articolo.

© Pasquale Tarallo
41
• Il Garante europeo della protezione dei dati è stato consultato conformemente all’articolo 28,
paragrafo 2, del regolamento (CE) n. 45/2001 e ha espresso un parere il 7 marzo 2012

© Pasquale Tarallo
42
Vediamo
i Dettagli
Ambito di Applicazione Materiale (C15-21)
Vediamo
i Dettagli

© Pasquale Tarallo
43
Disposizioni Generali
Ambito di Applicazione Materiale (A2)
1. Il GDPR si applica alle PERSONE FISICHE, a prescindere dalla nazionalità o dal
luogo di residenza, in relazione al Trattamento dei loro dati personali contenuti in un
archivio o destinati a figurarvi.

© Pasquale Tarallo
44
Ambito di Applicazione Materiale (A2) (continua)
2. Il regolamento non si applica ai trattamenti di alcune categorie di Dati Personali
(esplicitate nelle prossime diapositive).

© Pasquale Tarallo
45
Disposizioni Generali: Ambito di applicazione materiale
Esclusioni
• per attività che non rientrano
nell'ambito di applicazione del
diritto dell’UE
• effettuato dagli Stati membri
nell'esercizio di attività relative alla
POLITICA ESTERA e di
SICUREZZA NAZIONALE o
COMUNE DELL’UE
• effettuato dalle autorità competenti
a fini di prevenzione, indagine,
accertamento o perseguimento di
REATI O ESECUZIONE DI
SANZIONI PENALI incluse la
salvaguardia contro minacce alla
sicurezza pubblica e la
prevenzione delle stesse.
IL GDPR non si applica per il Trattamento dei dati personali
effettuato

© Pasquale Tarallo
46
Disposizioni Generali: Ambito di applicazione materiale
Esclusioni (continua)
Inoltre, Il GDPR non si applica ai Trattamenti di dati personali effettuati da una
persona fisica per l'esercizio di attività a carattere esclusivamente personale o
domestico e quindi senza una connessione con un'attività commerciale o
professionale.
Le attività a carattere personale o domestico dovrebbero comprendere la
corrispondenza e gli indirizzari, o l'uso dei social network e attività online intraprese
nel quadro di tali attività.
Tuttavia, il GDPR si applica comunque ai titolari del Trattamento o ai responsabili
del Trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali
attività a carattere personale o domestico.

© Pasquale Tarallo
47
Ambito di Applicazione Materiale (A2) (continua)
3. Per il Trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie
dell’Unione, si applica il regolamento (CE) n. 45/2001. Il regolamento (CE) n.
45/2001 e gli altri atti giuridici dell’Unione applicabili a tale Trattamento di dati
personali devono essere adeguati ai principi e alle norme del presente regolamento
conformemente all’articolo 98.
4. Il Regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE,
in particolare le norme relative alla responsabilità dei prestatori intermediari di
servizi di cui agli articoli da 12 a 15 della medesima direttiva.

© Pasquale Tarallo
48
Ambito di Applicazione Materiale (C15)
• Al fine di evitare l’insorgere di gravi rischi di elusione, la protezione delle persone
fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere
dalle tecniche impiegate.
• La protezione delle persone fisiche dovrebbe applicarsi sia al Trattamento
automatizzato che al Trattamento manuale dei dati personali, se i dati personali sono
contenuti o destinati a essere contenuti in un archivio.
• Non dovrebbero rientrare nell’ambito di applicazione del presente regolamento i
fascicoli o le serie di fascicoli non strutturati secondo criteri specifici, così come le
rispettive copertine.

© Pasquale Tarallo
49
Ambito di Applicazione Materiale (C21)
• Il presente regolamento non pregiudica l’applicazione della direttiva 2000/31/CE
del Parlamento europeo e del Consiglio, in particolare delle norme relative alla
responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della
medesima direttiva.
• Detta direttiva mira a contribuire al buon funzionamento del mercato interno
garantendo la libera circolazione dei servizi della società dell’informazione tra Stati
membri.

© Pasquale Tarallo
50
Vediamo
i Dettagli
Ambito di Applicazione Territoriale (C22-25)
Vediamo
i Dettagli

© Pasquale Tarallo
51
Ambito di Applicazione Territoriale (A3)
1. Il presente regolamento si applica al Trattamento dei dati personali effettuato
nell’ambito delle attività di uno stabilimento da parte di un titolare del Trattamento
o di un responsabile del Trattamento nell’Unione, indipendentemente dal fatto che il
Trattamento sia effettuato o meno nell’Unione

© Pasquale Tarallo
52
Ambito di Applicazione Territoriale (C22)
• Qualsiasi Trattamento di dati personali effettuato nell’ambito delle attività di uno
stabilimento di un titolare del Trattamento o responsabile del Trattamento nel
territorio dell’Unione dovrebbe essere conforme al presente regolamento,
indipendentemente dal fatto che il Trattamento avvenga all’interno dell’Unione.
• Lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di
un’organizzazione stabile.
• A tale riguardo, non è determinante la forma giuridica assunta, sia essa una
succursale o una filiale dotata di personalità giuridica.

© Pasquale Tarallo
53
2. Il presente regolamento si applica al Trattamento dei Dati di Interessati che si
trovano nell'Unione, effettuato da un titolare o da un responsabile che non è stabilito
nell'Unione, quando le attività di Trattamento riguardano:
• l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione,
indipendentemente dall'obbligatorietà di un pagamento dell'interessato;
• oppure il monitoraggio del loro comportamento nella misura in cui tale
comportamento ha luogo all'interno dell'Unione.

© Pasquale Tarallo
54
• Onde evitare che una persona fisica venga privata della protezione cui ha diritto in
base al presente regolamento, è opportuno che questo disciplini il Trattamento dei
dati personali degli interessati che si trovano nell’Unione effettuato da un titolare del
Trattamento o da un responsabile del Trattamento non stabilito nell’Unione, quando
le attività di Trattamento sono connesse all’offerta di beni o servizi a detti interessati
indipendentemente dal fatto che vi sia un pagamento correlato.

© Pasquale Tarallo
55
Ambito di Applicazione Territoriale (C23) (continua)
• Per determinare se tale titolare o responsabile del Trattamento stia offrendo beni o
servizi agli interessati che si trovano nell’Unione, è opportuno verificare se risulta
che il titolare o il responsabile del Trattamento intenda fornire servizi agli interessati
in uno o più Stati membri dell’Unione.

© Pasquale Tarallo
56
Ambito di Applicazione Territoriale (C23) (continua)
• Mentre la semplice accessibilità del sito web del titolare del Trattamento, del
responsabile del Trattamento o di un intermediario nell’Unione, di un indirizzo di
posta elettronica o di altre coordinate di contatto o l’impiego di una lingua
abitualmente utilizzata nel paese terzo in cui il titolare del Trattamento è stabilito
sono insufficienti per accertare tale intenzione, fattori quali l’utilizzo di una lingua o
di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di
ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si
trovano nell’Unione possono evidenziare l’intenzione del titolare o del responsabile
del Trattamento di offrire beni o servizi agli interessati nell’Unione

© Pasquale Tarallo
57
• È opportuno che anche il Trattamento dei dati personali degli interessati che si
trovano nell’Unione ad opera di un titolare del Trattamento o di un responsabile del
Trattamento non stabilito nell’Unione sia soggetto al presente regolamento quando è
riferito al monitoraggio del comportamento di detti interessati, nella misura in cui
tale comportamento ha luogo all’interno dell’Unione.
• Per stabilire se un’attività di Trattamento sia assimilabile al controllo del
comportamento dell’interessato, è opportuno verificare se le persone fisiche sono
tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di
Trattamento dei dati personali che consistono nella profilazione della persona fisica,
in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le
preferenze, i comportamenti e le posizioni personali.

© Pasquale Tarallo
58
3. Il presente regolamento si applica al Trattamento dei dati personali effettuato da un
titolare che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno
Stato membro in virtù del diritto internazionale pubblico. (ad esempio in una a
rappresentanza diplomatica o consolare

© Pasquale Tarallo
59
• Laddove vige il diritto di uno Stato membro in virtù del diritto internazionale
pubblico, ad esempio nella rappresentanza diplomatica o consolare di uno Stato
membro, il presente regolamento dovrebbe applicarsi anche a un titolare del
Trattamento non stabilito nell’Unione.

© Pasquale Tarallo
60
Vediamo
i Dettagli
Definizioni (vari Considerando)
Vediamo
i Dettagli

© Pasquale Tarallo
61
Definizioni

© Pasquale Tarallo
62
Disposizioni Generali - Definizioni
Dato Personale (A4 comma 1)
Un DATO PERSONALE è
Qualsiasi informazione riguardante
una persona fisica identificata o
identificabile («Interessato») con
particolare riferimento a un
identificativo.
Possibili identificativi
• il nome,
• un numero di identificazione,
• i dati relativi all'ubicazione,
• un identificativo online
• uno o più elementi caratteristici
della sua identità fisica, fisiologica,
genetica, psichica (dati biometrici),
• uno o più elementi caratteristici
della sua identità economica,
culturale o sociale

© Pasquale Tarallo
63
Il Dato Personale: alcune considerazioni dell’autore
Secondo gli estensori del GDPR è auspicabile applicare i principi di protezione dei
dati a tutte le informazioni relative a una persona fisica identificata o identificabile.
Si noti che si utilizza in modo equivalente il termine DATO ed il termine
INFORMAZIONE.
I puristi potrebbero obiettare che il termine DATO è sinonimo di dato grezzo,
primitivo, senza alcuna forma di Trattamento, mentre quando si parla di
INFORMAZIONE si prevede già qualche forma di elaborazione, aggregazione, etc.
Tuttavia, questa distinzione non emerge nel GDPR.

© Pasquale Tarallo
64
Dato Personale (C26)

© Pasquale Tarallo
65
Dato Personale (C26) (continua)

© Pasquale Tarallo
66
Dato Personale (C26) (continua)

© Pasquale Tarallo
67

© Pasquale Tarallo
68

© Pasquale Tarallo
69
Trattamento (A4 comma 2)

© Pasquale Tarallo
70
Il Trattamento: qualche esempio riportati nell’Art. 4
Esempi di Trattamento dei dati personali sono:
• la raccolta,
• la registrazione,
• l'organizzazione,
• la strutturazione,
• la conservazione,
• l'adattamento o la modifica,
• l'estrazione,
• la consultazione,
• l'uso,
• la comunicazione mediante
trasmissione, diffusione o qualsiasi
altra forma di messa a disposizione,
• il raffronto o l'interconnessione,
• la limitazione,
• la cancellazione,
• la distruzione.

© Pasquale Tarallo
71
Disposizioni Generali . Definizioni
Limitazione del Trattamento (A4 comma 3)

© Pasquale Tarallo
72
La Limitazione del Trattamento (C67)

© Pasquale Tarallo
73
La Limitazione del Trattamento (C67) (continua)

© Pasquale Tarallo
74
Profilazione (A4 comma 4)

© Pasquale Tarallo
75
Profilazione (A4 comma 4) (continua)

© Pasquale Tarallo
76
La Profilazione (C24)

© Pasquale Tarallo
77
La Profilazione (C24) (continua)

© Pasquale Tarallo
78

© Pasquale Tarallo
79

© Pasquale Tarallo
80

© Pasquale Tarallo
81

© Pasquale Tarallo
82

© Pasquale Tarallo
83

© Pasquale Tarallo
84

© Pasquale Tarallo
85

© Pasquale Tarallo
86

© Pasquale Tarallo
87
Pseudonimizzazione (A4 comma 5)

© Pasquale Tarallo
88
Pseudonimizzazione (C26)

© Pasquale Tarallo
89
Pseudonimizzazione (C26) (continua)

© Pasquale Tarallo
90

© Pasquale Tarallo
91

© Pasquale Tarallo
92

© Pasquale Tarallo
93

© Pasquale Tarallo
94

© Pasquale Tarallo
95
Archivio (A4 comma 6)

© Pasquale Tarallo
96
Archivio (C15)

© Pasquale Tarallo
97
Titolare del Trattamento (A4 comma 7)

© Pasquale Tarallo
98
Titolare del Trattamento (C74)

© Pasquale Tarallo
99
Titolare del Trattamento (C74) (continua)

© Pasquale Tarallo
100
Responsabile del Trattamento (A4 comma 8)

© Pasquale Tarallo
101
Il Responsabile: alcune considerazioni – 1 di 10

© Pasquale Tarallo
102

© Pasquale Tarallo
103

© Pasquale Tarallo
104

© Pasquale Tarallo
105

© Pasquale Tarallo
106

© Pasquale Tarallo
107

© Pasquale Tarallo
108

© Pasquale Tarallo
109

© Pasquale Tarallo
110

© Pasquale Tarallo
111

© Pasquale Tarallo
112
Destinatario (A4 comma 9)

© Pasquale Tarallo
113
Il Destinatario (C31)

© Pasquale Tarallo
114
Il Destinatario (C31) (continua)

© Pasquale Tarallo
115
Terzi (A4 comma 10)

© Pasquale Tarallo
116
Consenso dell’Interessato (A4 comma 11)

© Pasquale Tarallo
117
Consenso dell’Interessato (C32)

© Pasquale Tarallo
118
Consenso dell’Interessato (C32) (continua)

© Pasquale Tarallo
119
Consenso dell’Interessato (C32) (continua)

© Pasquale Tarallo
120
Il Consenso (C33)

© Pasquale Tarallo
121
Violazione dei dati personali (A4 comma 12)

© Pasquale Tarallo
122
Violazione dei dati personali (C85)

© Pasquale Tarallo
123
Violazione dei dati personali (C85) (continua)

© Pasquale Tarallo
124
Dati Genetici (A4 comma 13)

© Pasquale Tarallo
125
Dati Genetici (C34)

© Pasquale Tarallo
126
Dati Biometrici (A4 comma 14)

© Pasquale Tarallo
127
Dati Biometrici (C51)

© Pasquale Tarallo
128
Dati Biometrici (C51) (continua)

© Pasquale Tarallo
129

© Pasquale Tarallo
130

© Pasquale Tarallo
131
Dati relativi alla salute (A4 comma 15)

© Pasquale Tarallo
132
Dati relativi alla salute (C35)

© Pasquale Tarallo
133
Dati relativi alla salute (C35) (continua)

© Pasquale Tarallo
134
Dati relativi alla salute (C35) (continua)

© Pasquale Tarallo
135
Stabilimento Principale (A4 comma 16)

© Pasquale Tarallo
136
Stabilimento Principale (A4 comma 16) (continua)

© Pasquale Tarallo
137
Stabilimento Principale (C36)

© Pasquale Tarallo
138
Stabilimento Principale (C36) (continua)

© Pasquale Tarallo
139

© Pasquale Tarallo
140

© Pasquale Tarallo
141

© Pasquale Tarallo
142
Stabilimento Principale (C37)

© Pasquale Tarallo
143
Rappresentante (A4 comma 17)

© Pasquale Tarallo
144
Il Rappresentante (C80)

© Pasquale Tarallo
145
Il Rappresentante (C80) (continua)

© Pasquale Tarallo
146

© Pasquale Tarallo
147

© Pasquale Tarallo
148
Impresa (A4 comma 18)

© Pasquale Tarallo
149
Gruppo Imprenditoriale (A4 comma 19)

© Pasquale Tarallo
150
Gruppo Imprenditoriale (C37)

© Pasquale Tarallo
151
Gruppo Imprenditoriale (C37) (continua)

© Pasquale Tarallo
152
Il Gruppo Imprenditoriale (C48)

© Pasquale Tarallo
153
Norme Vincolanti di Impresa (A4 comma 20)

© Pasquale Tarallo
154
Norme Vincolanti di Impresa (C37, già discusse, e C110)

© Pasquale Tarallo
155
Autorità di Controllo (A4 comma 21)

© Pasquale Tarallo
156
Autorità di Controllo Interessate (A4 comma 22)

© Pasquale Tarallo
157
Autorità di Controllo Interessate (C124)

© Pasquale Tarallo
158
Autorità di Controllo Interessate (C124) (continua)

© Pasquale Tarallo
159
Autorità di Controllo Interessate (C124) (continua)

© Pasquale Tarallo
160
Trattamento transfrontaliero (A4 comma 23)

© Pasquale Tarallo
161
Disposizioni Generali – Definizioni
Obiezione pertinente e motivata (A4 comma 24)

© Pasquale Tarallo
162
Servizio della Società dell’informazione (A4 comma 25)

© Pasquale Tarallo
163
Organizzazione Internazionale (A4 comma 26)

164
© Pasquale Tarallo
2 La Guida dell’Autorità Garante per
la Protezione dei Dati Personali

© Pasquale Tarallo
165
Una chiave di Lettura al GDPR è suggerita dalla nostra Autorità
Garante per la Protezione dei Dati Personali con una GUIDA
La guida qui riportata
• Trae origine dal testo redatto dalla
nostra Autorità Garante per la
Protezione dei Dati Personali (*)
Inoltre
• Tiene conto del modo in cui il
nuovo Regolamento trova
applicazione nel nuovo scenario
digitale
* L’autorità richiama l’attenzione sulla
possibilità che in seguito si potranno
apportare opportune integrazioni e
modifiche alla Guida alla luce
dell'evoluzione della riflessione a livello
nazionale ed europeo

© Pasquale Tarallo
166
Trasferimento
dei dati
Approccio basato sul rischio
& Accountability
Titolare, Responsabile, e
Incaricato del Trattamento
Diritti degli interessati
Informativa
Fondamenti di liceità del
Trattamento
La nostra Autorità Garante ha preso in esame vari punti
per spiegare i passi utili alla comprensione del GDPR

167
© Pasquale Tarallo
3 I Fondamenti di Liceità

© Pasquale Tarallo
168
Trattamento

© Pasquale Tarallo
169
I Fondamenti di Liceità
Il regolamento conferma che ogni Trattamento deve trovare
fondamento in un'idonea base giuridica; i fondamenti di
liceità del Trattamento sono indicati all'art. 6 del regolamento
e coincidono, in linea di massima, con quelli previsti
attualmente dal Codice, ovvero:
• il CONSENSO
• l’adempimento ad OBBLIGHI CONTRATTUALI
• gli INTERESSI VITALI della persona interessata o di terzi
• gli OBBLIGHI DI LEGGE cui è soggetto il Titolare
• l’INTERESSE PUBBLICO o l’ESERCIZIO DI PUBBLICI
POTERI
• l’INTERESSE LEGITTIMO prevalente del Titolare o di terzi
cui i dati vengono comunicati.

© Pasquale Tarallo
170
Cosa è INVARIATOCosa CAMBIA
Articoli del
Codice Privacy
e Altre
Disposizioni
Articoli e
Considerando
del GDPR
Il Consenso
Cosa Bisogna Chiedersi ?

© Pasquale Tarallo
171
Cosa CAMBIA
Il Consenso
Cosa Cambia
• DEVE essere ESPLICITO per i DATI SENSIBILI (si veda art. 9
Regolamento), anche per le DECISIONI basate su
TRATTAMENTI AUTOMATIZZATI (compresa la
profilazione – art. 22).
• NON deve essere necessariamente DOCUMENTATO PER
ISCRITTO, né è richiesta la "forma scritta", anche se questa è
modalità idonea a configurare l'inequivocabilità del consenso e
il suo essere esplicito (per i dati sensibili).
• Il Titolare (art. 7.1) DEVE essere in grado di DIMOSTRARE
che l'Interessato ha prestato il consenso a uno specifico
Trattamento..
• Il consenso dei MINORI è valido a partire dai SEDICI ANNI:
prima di tale età occorre raccogliere il consenso dei genitori o di
chi ne fa le veci.

© Pasquale Tarallo
172
Cosa è INVARIATO
Il Consenso
Cosa è Invariato
• DEVE ESSERE, in tutti i casi, LIBERO, SPECIFICO,
INFORMATO E INEQUIVOCABILE
• NON È AMMESSO IL CONSENSO TACITO O PRESUNTO
(no a caselle pre-spuntate su un modulo).
• DEVE ESSERE MANIFESTATO attraverso una apposita
dichiarazione o azione positiva inequivocabile (gli
approfondimenti sono riportati nei considerando 39 e 42 del
regolamento)

© Pasquale Tarallo
173
Ancora sul Consenso – 1 di 3

© Pasquale Tarallo
174

© Pasquale Tarallo
175

© Pasquale Tarallo
176
Cosa CAMBIA
L’Interesse Vitale di un Terzo
Cosa Cambia
• Il Regolamento per la Protezione dei Dati Personali consente di
invocare l’INTERESSE VITALE DI UN TERZO unicamente nel
caso in cui nessuna delle altre condizioni di liceità può trovare
applicazione (sul punto vale il Considerando 46)

© Pasquale Tarallo
177
Cosa è INVARIATO
L’Interesse Vitale di un Terzo
Cosa è Invariato
• Dalla Guida dell’Autorità si evince che non vi sono
indicazioni del Regolamento su questo punto che lascino
invariati norme o disposizioni della legislazione attualmente
in vigore.

© Pasquale Tarallo
178
Cosa CAMBIA
L’Interesse Legittimo Prevalente di un Titolare o di un Terzo
- Cosa Cambia
• Il BILANCIAMENTO fra legittimo interesse del Titolare o del
terzo e diritti e libertà dell'Interessato non spetta all'Autorità
ma è COMPITO DELLO STESSO TITOLARE* DEL
TRATTAMENTO.
* Il Regolamento fa leva sul cosiddetto principio di
RESPONSABILIZZAZIONE (ACCOUNTABILITY)
introdotto per indurre il Titolare a mettere in atto misure
tecniche e organizzative adeguate per garantire, ed essere in
grado di dimostrare, che il Trattamento sia effettuato
conformemente al Regolamento. medesimo. Sul punto di torna
in seguito.

© Pasquale Tarallo
179
Cosa è INVARIATO
L’Interesse Legittimo Prevalente di un Titolare o di un Terzo
- Cosa è Invariato
• L'interesse legittimo del Titolare o del terzo DEVE
PREVALERE sui diritti e le libertà fondamentali
dell'Interessato per costituire un valido fondamento di liceità.
• Il Regolamento sancisce espressamente che l'interesse legittimo
del Titolare NON COSTITUISCE IDONEA BASE
GIURIDICA per i trattamenti svolti dalle autorità pubbliche
in esecuzione dei rispettivi compiti.

© Pasquale Tarallo
180
Ancora sull’Interesse Legittimo – 1 di 2

© Pasquale Tarallo
181
Ancora sull’Interesse Legittimo – 2 di 2

182
© Pasquale Tarallo
4 L’Informativa

© Pasquale Tarallo
183
Trattamento
Informativa

© Pasquale Tarallo
184
Articoli del
Codice Privacy
e Altre
Disposizioni
Articoli e
Considerando
del GDPR
L’Informativa

© Pasquale Tarallo
185
Cosa CAMBIA
L’Informativa – Contenuti ed Obblighi del Titolare
Cosa Cambia – 1 di 3
CONTENUTI DELL’INFORMATIVA
I contenuti dell'informativa sono elencati in modo tassativo dal
Regolamento negli articoli 13, paragrafo 1, e 14, paragrafo 1, del
regolamento e in parte SONO PIÙ AMPI RISPETTO AL
CODICE. In questo senso il Regolamento prevede che IL
TITOLARE DEVE SEMPRE specificare
• i dati di contatto del Responsabile per la Protezione dei Dati
(in italiano RPD oppure in inglese DPO) se esistente
• la base giuridica del Trattamento
• qual è il suo interesse legittimo se quest'ultimo costituisce la
base giuridica del Trattamento.

© Pasquale Tarallo
186
Cosa CAMBIA
Inoltre il Titolare DEVE SEMPRE specificare
• se trasferisce i dati personali in Paesi terzi e, in caso
affermativo, attraverso quali strumenti, come ad esempio:
 si tratta di un Paese terzo giudicato adeguato dalla
Commissione europea
 si utilizzano Regole Vincolanti per aziende multinazionali
con più sedi locali (Binding Corporate Rules – BCR) per
trasferimenti infragruppo
 sono state inserite specifiche clausole contrattuali modello,
ecc..

© Pasquale Tarallo
187
Cosa CAMBIA
• Il Regolamento prevede anche ulteriori informazioni in quanto
«necessarie per garantire un Trattamento corretto e
trasparente». In particolare, il Titolare deve specificare:
 il periodo di conservazione dei dati o i criteri seguiti per stabilire
tale periodo di conservazione
 il diritto di presentare un reclamo all'autorità di controllo
 se il Trattamento comporta processi decisionali automatizzati
(anche la profilazione), l'informativa deve specificarlo
 deve indicare anche la logica di tali processi decisionali e le
conseguenze previste per l'Interessato.

© Pasquale Tarallo
188
Cosa CAMBIA
L’Informativa – Tempistica
Cosa Cambia
TEMPI DELL'INFORMATIVA
• Nel caso di dati personali non raccolti direttamente presso
l'Interessato l'informativa deve essere fornita entro un termine
ragionevole che non può superare 1 mese dalla raccolta,
• oppure al momento della comunicazione (NON della
registrazione) dei dati (a terzi o all'Interessato)

© Pasquale Tarallo
189
Cosa CAMBIA
L’Informativa - Modalità
Cosa Cambia
MODALITÀ DELL'INFORMATIVA
Il Regolamento specifica molto più in dettaglio rispetto al
Codice le caratteristiche dell'informativa, che deve avere forma
• concisa
• trasparente
• intelligibile
• e facilmente accessibile per l'Interessato
occorre utilizzare un linguaggio chiaro e semplice, e per i
minori occorre prevedere informative idonee (come riportato
anche dal Considerando 58).

© Pasquale Tarallo
190
Cosa CAMBIA
Cosa Cambia
• L'informativa è data, in linea di principio, per iscritto e
preferibilmente in formato elettronico (soprattutto nel contesto
di servizi online) anche se sono ammessi "altri mezzi", quindi
può essere fornita anche oralmente, ma nel rispetto delle
caratteristiche di cui sopra (art. 12, paragrafo 1).
• Il Regolamento ammette l'utilizzo di icone per presentare i
contenuti dell'informativa in forma sintetica, ma solo "in
combinazione" con l'informativa estesa. Le icone dovranno
essere identiche in tutta l'Ue e saranno definite prossimamente
dalla Commissione europea.

© Pasquale Tarallo
191
Cosa CAMBIA
Cosa Cambia
• Sono inoltre parzialmente diversi i requisiti che il
Regolamento fissa per l'esonero dall'informativa (come si
esplicita nell’art. 13, paragrafo 4 e art. 14, paragrafo 5 del
regolamento, oltre a quanto previsto nell'articolo 23, paragrafo
1, di quest'ultimo) ,
• Spetta al Titolare, in caso di dati personali raccolti da fonti
diverse dall'Interessato, valutare se la prestazione
dell'informativa agli interessati comporti uno sforzo
sproporzionato

© Pasquale Tarallo
192
Cosa è INVARIATO
Cosa è Invariato
• L'informativa deve essere fornita all'Interessato prima di
effettuare la raccolta dei dati (se raccolti direttamente presso
l'Interessato, come si evince nell’art. 13).
• Se i dati non sono raccolti direttamente presso l'Interessato
(art.14), l'informativa deve comprendere anche le categorie dei
dati personali oggetto di Trattamento.

© Pasquale Tarallo
193
Cosa è INVARIATO
Cosa è Invariato
• In tutti i casi, il Titolare deve specificare la propria identità e
quella dell'eventuale rappresentante nel territorio italiano, le
finalità del Trattamento, i diritti degli interessati (compreso il
diritto alla portabilità dei dati), se esiste un Responsabile del
Trattamento e la sua identità, e quali sono i destinatari dei
dati.
NOTA: ogni volta che le finalità cambiano si impone di
informarne l'Interessato prima di procedere al Trattamento
ulteriore.

© Pasquale Tarallo
194
Ancora sull’Informativa - 1 di 5

© Pasquale Tarallo
200
I Diritti degli Interessati
Il Regolamento disciplina
• Il diritto di ACCESSO
• Il diritto di cancellazione (DIRITTO ALL’OBLIO)
• Il diritto alla LIMITAZIONE DEL TRATTAMENTO
• Il diritto alla PORTABILITÀ DEI DATI
• le Modalità per l’ESERCIZIO DEI DIRITTI

© Pasquale Tarallo
202
Articoli del
Codice Privacy
e Altre
Disposizioni
Articoli e
Considerando
del GDPR
Modalità per l’esercizio dei diritti
Cosa è Cambiato

© Pasquale Tarallo
203
Cosa è cambiato – 1 di 2
• Il termine per la risposta all'Interessato è, per tutti i
diritti (compreso il diritto di accesso), 1 mese,
estendibili fino a 3 mesi in casi di particolare
complessità
• il Titolare deve comunque dare un riscontro
all'Interessato ENTRO 1 MESE DALLA RICHIESTA,
anche in caso di diniego
• SPETTA AL TITOLARE valutare la complessità del
riscontro all'Interessato e stabilire l'ammontare
dell'eventuale contributo da chiedere all'Interessato, ma
soltanto se si tratta di richieste manifestamente
infondate o eccessive (anche ripetitive) (art. 12.5) , a
differenza di quanto prevedono gli art. 9, comma 5, e 10,
commi 7 e 8, del Codice=, ovvero se sono chieste più
"copie" dei dati personali nel caso del diritto di accesso
(art. 15, paragrafo 3.
Cosa CAMBIA

© Pasquale Tarallo
204
Cosa è cambiato – 2 di 2
• Nel caso di richieste di più copie il Titolare deve tenere
conto dei costi amministrativi sostenuti.
• Il riscontro all'Interessato di regola deve avvenire in
forma scritta anche attraverso strumenti elettronici che
ne favoriscano l'accessibilità
• Può essere dato oralmente solo se così richiede
l'Interessato (art. 12, paragrafo 1; oppure anche art. 15,
paragrafo 3)
• La risposta fornita all'Interessato non deve essere solo
"intelligibile", ma anche CONCISA, TRASPARENTE E
FACILMENTE ACCESSIBILE, oltre a utilizzare un
LINGUAGGIO SEMPLICE E CHIARO.
Cosa CAMBIA

© Pasquale Tarallo
205
Cosa è Invariato – 1 di 2
• Il Titolare del Trattamento deve agevolare l'esercizio dei
diritti da parte dell'Interessato, adottando ogni misura
(tecnica e organizzativa) a ciò idonea.
• Benché sia il solo Titolare a dover dare riscontro in caso
di esercizio dei diritti (artt. 15-22), il responsabile è
tenuto a collaborare con il titolare ai fini dell'esercizio
dei diritti degli interessati (art. 28, paragrafo 3, lettera e),
• L'esercizio dei diritti è, in linea di principio, gratuito per
l'Interessato, ma possono esservi eccezioni (riportate
nelle slide precedenti, dove abbiamo visto cosa cambia).
• Il Titolare ha il diritto di chiedere informazioni
necessarie a identificare l'Interessato, e quest'ultimo ha il
dovere di fornirle, secondo modalità idonee (come
disciplinato, in particolare, agli art. 11, paragrafo 2 e art.
12, paragrafo 6)
Cosa è INVARIATO

© Pasquale Tarallo
206
Cosa è Invariato – 2 di 2
• Sono ammesse deroghe ai diritti riconosciuti dal
Regolamento, ma solo sul fondamento di disposizioni
normative nazionali ai sensi dell'articolo 23 nonché di
altri articoli relativi ad ambiti specifici (si vedano, in
particolare, art. 17, paragrafo 3, per quanto riguarda il
diritto alla cancellazione/"oblio", art. 83 trattamenti di
natura giornalistica e art. 89 trattamenti per finalità di
ricerca scientifica o storica o di statistica).
• In via generale, possono continuare a essere applicate
tutte le deroghe previste dall'art. 8, comma 2, del Codice
in quanto compatibili con le disposizioni citate.
• Al momento il Garante sta valutando la piena
rispondenza delle disposizioni del Codice con altri
requisiti fissati per la legislazione nazionale per renderla
coerente con il Regolamento
Cosa è INVARIATO

© Pasquale Tarallo
209
Articoli del
Codice Privacy
e Altre
Disposizioni
Articoli e
Considerando
del GDPR
Diritto di accesso

© Pasquale Tarallo
210
Diritto di accesso
Cosa Cambia
• Il diritto di accesso prevede in ogni caso il DIRITTO DI
RICEVERE UNA COPIA DEI DATI personali oggetto
di Trattamento.
• Fra le informazioni che il Titolare deve fornire non
rientrano le "modalità" del Trattamento, mentre
occorre INDICARE IL PERIODO DI
CONSERVAZIONE previsto o, se non è possibile, i
criteri utilizzati per definire tale periodo, nonché le
garanzie applicate in caso di trasferimento dei dati
verso Paesi terzi.
Cosa CAMBIA

© Pasquale Tarallo
211
Diritto d accesso
Cosa è Invariato
indicazioni del Regolamento su questo punto che
lascino invariati norme o disposizioni della
legislazione attualmente in vigore.
Cosa è INVARIATO

© Pasquale Tarallo
213
Articoli del
Codice Privacy
e Altre
Disposizioni
Articoli e
Considerando
del GDPR
Diritto di cancellazione/all’oblio

© Pasquale Tarallo
214
Diritto alla cancellazione/all’oblio
Cosa cambia
• Il diritto cosiddetto "all'oblio" si configura come un
diritto alla cancellazione dei propri dati personali in
forma rafforzata.
• Si prevede, infatti, l'obbligo per i titolari (se hanno "reso
pubblici" i dati personali dell'Interessato: ad esempio,
pubblicandoli su un sito web) di informare della
richiesta di cancellazione altri titolari che trattano i dati
personali cancellati, compresi "qualsiasi link, copia o
riproduzione (come si evince dall’art. 17 paragrafo 2).
• Ha un campo di applicazione più esteso di quello
espresso dal Codice (art.7, comma 3, lettera b), poiché
l'Interessato ha il diritto di chiedere la cancellazione dei
propri dati, per esempio, anche dopo revoca del
consenso al Trattamento (come si evince dall’art. 17
paragrafo 1).
Cosa CAMBIA

© Pasquale Tarallo
215
Diritto alla cancellazione/all’oblio
Cosa è Invariato
Dalla Guida dell’Autorità si evince che non vi sono
indicazioni del Regolamento su questo punto che lascino
invariati norme o disposizioni della legislazione
attualmente in vigore.
Cosa è INVARIATO

© Pasquale Tarallo
216
Articoli del
Codice Privacy
e Altre
Disposizioni
Articoli e
Considerando
del GDPR
Diritto di Limitazione del Trattamento

© Pasquale Tarallo
217
Diritto di Limitazione del Trattamento Cosa Cambia
• Si tratta di un diritto diverso e più esteso rispetto al
"blocco" del Trattamento di cui all'art. 7, comma 3, lettera
a), del Codice: in particolare, È ESERCITABILE NON
SOLO IN CASO DI VIOLAZIONE DEI PRESUPPOSTI
DI LICEITÀ DEL TRATTAMENTO (quale alternativa
alla cancellazione dei dati stessi), BENSÌ ANCHE SE
L'INTERESSATO CHIEDE LA RETTIFICA DEI DATI
(in attesa di tale rettifica da parte del Titolare) O SI
OPPONE AL LORO TRATTAMENTO ai sensi dell'art.
21 del regolamento (in attesa della valutazione da parte
del Titolare).
• Esclusa la conservazione, OGNI ALTRO
TRATTAMENTO DEL DATO DI CUI SI CHIEDE LA
LIMITAZIONE È VIETATO a meno che ricorrano
determinate circostanze (consenso dell'Interessato,
accertamento diritti in sede giudiziaria, tutela diritti di
altra persona fisica o giuridica, interesse pubblico
rilevante).
Cosa CAMBIA

© Pasquale Tarallo
218
Diritto di Limitazione del Trattamento
Cosa è Invariato
indicazioni del Regolamento su questo punto che
lascino invariati norme o disposizioni della
Cosa è INVARIATO

© Pasquale Tarallo
220
Articoli del
Codice Privacy
e Altre
Disposizioni
Articoli e
Considerando
del GDPR
Diritto alla portabilità dei dati

© Pasquale Tarallo
221
Cosa Cambia
• Si tratta di uno dei nuovi diritti previsti dal
Regolamento, anche se non è del tutto sconosciuto ai
consumatori (si pensi alla portabilità del numero
telefonico).
• Non si applica ai trattamenti non automatizzati (quindi
non si applica agli archivi o registri cartacei) e sono
previste specifiche condizioni per il suo esercizio.
• Sono portabili solo i dati trattati con il consenso
dell'Interessato o sulla base di un contratto stipulato
con l'Interessato (quindi non si applica ai dati il cui
Trattamento si fonda sull'interesse pubblico o
sull'interesse legittimo del Titolare, per esempio), e solo i
dati che siano stati "forniti" dall'Interessato al Titolare.
• Il Titolare deve essere in grado di trasferire
direttamente i dati portabili a un altro Titolare indicato
dall'Interessato, se tecnicamente possibile.
Cosa CAMBIA

© Pasquale Tarallo
222
Cosa è Invariato
• Essendo una nuova disposizione prevista dal
Regolamento non vi sono norme o disposizioni nella
Cosa è INVARIATO

© Pasquale Tarallo
227
Titolare, Responsabile, Incaricato del Trattamento
Diventa
opportuno
chiedersi
Diventa
opportuno
chiedersi

© Pasquale Tarallo
228
Titolare, Responsabile, Incaricato
• All’art. 26 del Regolamento si disciplina LA
CONTITOLARITÀ DEL TRATTAMENTO E SI
IMPONE AI TITOLARI DI DEFINIRE
SPECIFICAMENTE (con un atto giuridicamente valido
ai sensi del diritto nazionale) IL RISPETTIVO AMBITO
DI RESPONSABILITÀ E I COMPITI CON
PARTICOLARE RIGUARDO ALL'ESERCIZIO DEI
DIRITTI DEGLI INTERESSATI, che hanno comunque
la possibilità di rivolgersi indifferentemente a uno
qualsiasi dei titolari operanti congiuntamente.
• Si fissano più dettagliatamente (rispetto all'art. 29 del
Codice) le CARATTERISTICHE DELL'ATTO con cui il
Titolare designa un Responsabile del Trattamento
attribuendogli specifici compiti: deve trattarsi, infatti, di
un contratto (o altro atto giuridico conforme al diritto
nazionale).
Cosa CAMBIA

© Pasquale Tarallo
229
• L'atto con cui il Titolare designa un Responsabile del
Trattamento deve disciplinare tassativamente almeno
le materie riportate dal Regolamento al fine di
dimostrare che il Responsabile fornisce "garanzie
sufficienti" su:
 la NATURA
 la DURATA
 le FINALITÀ DEL TRATTAMENTO o dei
trattamenti assegnati
 le CATEGORIE DI DATI oggetto di Trattamento,
 le MISURE TECNICHE E ORGANIZZATIVE
adeguate a consentire il rispetto delle istruzioni
impartite dal Titolare e, in via generale, delle
disposizioni contenute nel Regolamento.
Cosa CAMBIA

© Pasquale Tarallo
230
• Si consente (art. 28 par. 4) la nomina di sub-
responsabili del Trattamento da parte di un
Responsabile, per specifiche attività di Trattamento,
nel rispetto degli stessi obblighi contrattuali che legano
Titolare e Responsabile primario
• il Responsabile risponde dinanzi al Titolare
dell'inadempimento dell'eventuale sub-Responsabile,
anche ai fini del risarcimento di eventuali danni
causati dal Trattamento, salvo dimostri che l'evento
dannoso "non gli è in alcun modo imputabile« (art,82
par, 1 e 3).Cosa CAMBIA

© Pasquale Tarallo
231
Cosa Cambia - 4 di 4
• Si prevedono obblighi specifici in capo ai responsabili
del Trattamento, in quanto distinti da quelli pertinenti ai
rispettivi titolari. Ciò riguarda, in particolare:
 la tenuta del REGISTRO DEI TRATTAMENTI
svolti
 L'ADOZIONE DI IDONEE MISURE TECNICHE
E ORGANIZZATIVE per garantire la sicurezza dei
trattamenti
 la designazione di un RPD-DPO, nei casi previsti
dal Regolamento o dal diritto nazionale.
• Si ricorda, infine, che anche il Responsabile non stabilito
nell'Ue dovrà designare un rappresentante in Italia
quando ricorrono particolari condizioni di cui all'art. 27,
paragrafo 3, del regolamento – diversamente da quanto
prevede oggi l'art. 5, comma 2, del Codice.
•
Cosa CAMBIA

© Pasquale Tarallo
232
Cosa è Cambiato
• Il Regolamento definisce caratteristiche soggettive e
responsabilità di Titolare e Responsabile del
Trattamento negli stessi termini di cui alla direttiva
95/46/CE (e, quindi, al Codice italiano).
• Pur non prevedendo espressamente la figura dell'
"incaricato" del Trattamento, il Regolamento non ne
esclude la presenza in quanto fa riferimento a "persone
autorizzate al Trattamento dei dati personali sotto
l'autorità diretta del Titolare o del Responsabile (come si
evince in particolare, all’art. 4, n. 10, del regolamento) .
Cosa è INVARIATO

© Pasquale Tarallo
242
Articoli del
Codice Privacy
e Altre
Disposizioni
Articoli e
Considerando
del GDPR
Approccio basato sul rischio e responsabilizzazione

© Pasquale Tarallo
243
Cosa CAMBIA
• Il Regolamento pone con forza l'accento sulla capacità di dare
conto con responsabilità (ACCOUNTABILITY
nell'accezione inglese) dei titolari e dei responsabili – ossia,
sulla rispettiva capacità di dare luogo a comportamenti
proattivi e tali da dimostrare la concreta adozione di misure
finalizzate ad assicurare l'applicazione del Regolamento
(come si legge (si negli artt. 23-25, in particolare, e l'intero
Capo IV).
• Si tratta di una GRANDE NOVITÀ PER LA PROTEZIONE
DEI DATI in quanto viene affidato ai titolari il compito di
decidere autonomamente le modalità, le garanzie e i limiti del
Trattamento dei dati personali – nel rispetto delle disposizioni
normative e alla luce di alcuni criteri specifici indicati nel
Regolamento.

© Pasquale Tarallo
244
Cosa CAMBIA
• Uno dei primi criteri individuati per l’accountability è
sintetizzato dalle due espressioni inglesi «DATA
PROTECTION BY DEFAULT» e DATA
PROTECTION BY DESIGN", ossia dalla NECESSITÀ
DI CONFIGURARE IL TRATTAMENTO PREVEDENDO FIN
DALL'INIZIO LE GARANZIE INDISPENSABILI "al fine di
soddisfare i requisiti" del Regolamento e tutelare i diritti degli
interessati – tenendo conto del contesto complessivo ove il
Trattamento si colloca e dei rischi per i diritti e le libertà degli
interessati.

© Pasquale Tarallo
245
Cosa CAMBIA
• Quanto fin qui delineato deve avvenire a monte, prima di
procedere al Trattamento dei dati vero e proprio ("sia al
momento di determinare i mezzi del Trattamento sia all'atto del
Trattamento stesso«, secondo quanto afferma l'art. 25 del
regolamento, e richiede, pertanto, un'analisi preventiva sugli
impatti relativi alla protezione dei dato (DPIA – DATA
PROTECION IMPACT ASSESSMENT) e un impegno
applicativo da parte dei titolari che devono sostanziarsi in una
serie di attività specifiche e dimostrabili.

© Pasquale Tarallo
246
Cosa CAMBIA
• Fondamentali fra tali attività sono quelle connesse al secondo
criterio individuato nel Regolamento rispetto alla gestione degli
obblighi dei titolari, ossia il rischio inerente al Trattamento,
ovvero il RISCHIO DI IMPATTI NEGATIVI sulle libertà e i
diritti degli interessati (come esplicitano nei (si vedano
considerando 75-77).

© Pasquale Tarallo
247
Cosa CAMBIA
• Gli impatti dovranno essere analizzati attraverso un apposito
PROCESSO DI VALUTAZIONE (come disciplinato negli art,
35-36) o PIA, cioè Privacy Impact Assessment, tenendo conto
dei rischi noti o evidenziabili e delle misure tecniche e
organizzative (anche di sicurezza) che il Titolare ritiene di dover
adottare per mitigare tali rischi.

© Pasquale Tarallo
248
Cosa CAMBIA
• All'esito di questa valutazione di impatto il Titolare potrà
decidere in autonomia se iniziare il Trattamento (avendo
adottato le misure idonee a mitigare sufficientemente il rischio)
ovvero consultare l'autorità di controllo competente per
ottenere indicazioni su come gestire il rischio residuale.
• L'autorità non avrà il compito di "autorizzare" il Trattamento,
bensì di indicare le misure ulteriori eventualmente da
implementare a cura del Titolare e potrà (come disposto all’art.
58 del Regolamento), ove necessario, adottare tutte le misure
correttive:
 ammonimento del Titolare
 limitazione, oppure
 divieto di procedere al Trattamento.

© Pasquale Tarallo
249
Cosa CAMBIA
• L'intervento delle autorità di controllo sarà quindi
principalmente "ex post", ossia si collocherà successivamente
alle determinazioni assunte autonomamente dal Titolare.
• Questo spiega l'ABOLIZIONE a partire dal 25 maggio 2018 di
alcuni istituti finora previsti, come la NOTIFICA
PREVENTIVA dei trattamenti all'autorità di controllo e il
cosiddetto PRIOR CHECKING (O VERIFICA
PRELIMINARE), sostituiti da obblighi di tenuta di un Registro
dei trattamenti da parte del Titolare/Responsabile e, appunto,
di effettuazione di valutazioni di impatto in piena autonomia.

© Pasquale Tarallo
250
Cosa CAMBIA
• Alle autorità di controllo, e in particolare al "Comitato europeo
della protezione dei dati" (l'erede dell'attuale Gruppo "Articolo
29") spetterà un ruolo fondamentale al fine di garantire
uniformità di approccio e fornire ausili interpretativi e analitici:
il Comitato è chiamato, infatti, a produrre linee-guida e altri
documenti di indirizzo su queste e altre tematiche connesse,
anche per garantire quegli adattamenti che si renderanno
necessari alla luce dello sviluppo delle tecnologie e dei sistemi di
Trattamento dati.

© Pasquale Tarallo
251
Cosa CAMBIA
Registro dei trattamenti – Cosa Cambia
• Tutti i titolari e i responsabili di Trattamento, eccettuati gli
organismi con meno di 250 dipendenti ma solo se non
effettuano trattamenti a rischio, devono tenere un Registro delle
operazioni di Trattamento.
• Si tratta di uno strumento fondamentale non soltanto ai fini
dell'eventuale supervisione da parte del Garante, ma anche allo
scopo di disporre di un quadro aggiornato dei trattamenti in
essere all'interno di un'azienda o di un soggetto pubblico –
indispensabile per ogni valutazione e analisi del rischio.
• Il Registro deve avere forma scritta, anche elettronica, e deve
essere esibito su richiesta al Garante.

© Pasquale Tarallo
255
Misure di sicurezza – Cosa Cambia – 1 di 3
• Le misure di sicurezza devono "garantire un livello di
sicurezza adeguato al rischio" del Trattamento (art. 32,
paragrafo 1); in questo senso, la lista di cui al paragrafo
1 dell'art. 32 è una lista aperta e non esaustiva ("tra le
altre, se del caso").
• Per lo stesso motivo, non potranno sussistere dopo il 25
maggio 2018 obblighi generalizzati di adozione di
misure "minime" di sicurezza (ex art. 33 Codice) poiché
tale valutazione sarà rimessa, caso per caso, al titolare e
al responsabile in rapporto ai rischi specificamente
individuati come da art. 32 del regolamento.Cosa CAMBIA

© Pasquale Tarallo
256
• Si richiama l'attenzione anche sulla possibilità di
utilizzare l'adesione a specifici codici di condotta o a
schemi di certificazione per attestare l'adeguatezza delle
misure di sicurezza adottate.
• Tuttavia, facendo anche riferimento alle prescrizioni
contenute, in particolare, nell'Allegato "B" al Codice,
l'Autorità potrà valutare la definizione di linee-guida o
buone prassi sulla base dei risultati positivi conseguiti in
questi anni.
Cosa CAMBIA

© Pasquale Tarallo
257
• Per alcune tipologie di trattamenti (quelli di cui all'art. 6,
paragrafo 1), lettere c) ed e) del regolamento) potranno
restare in vigore (in base all'art. 6, paragrafo 2, del
regolamento) le misure di sicurezza attualmente
previste attraverso le disposizioni di legge volta per
volta applicabili: è il caso, in particolare, dei trattamenti
di dati sensibili svolti dai soggetti pubblici per finalità di
rilevante interesse pubblico nel rispetto degli specifici
regolamenti attuativi (ex artt. 20 e 22 Codice), ove questi
ultimi contengano disposizioni in materia di sicurezza
dei trattamenti.
•Cosa CAMBIA

© Pasquale Tarallo
258
Violazione dei dati (data Breach) – Cosa Cambia
• A partire dal 25 maggio 2018, tutti i titolari – e non
soltanto i fornitori di servizi di comunicazione
elettronica accessibili al pubblico, come avviene oggi –
dovranno notificare all'autorità di controllo le violazioni
di dati personali di cui vengano a conoscenza, entro 72
ore e comunque "senza ingiustificato ritardo", ma
soltanto se ritengono probabile che da tale violazione
derivino rischi per i diritti e le libertà degli interessati (si
veda considerando 85).
• La notifica all'autorità dell'avvenuta violazione non è
obbligatoria, essendo subordinata alla valutazione del
rischio per gli interessati che spetta, ancora una volta, al
titolare.
Cosa CAMBIA

© Pasquale Tarallo
259
• Se la probabilità di tale rischio è elevata, si dovrà
informare delle violazione anche gli interessati, sempre
"senza ingiustificato ritardo"; fanno eccezione le
circostanze indicate al paragrafo 3 dell'art. 34, che
coincidono solo in parte con quelle attualmente
menzionate nell'art. 32-bis del Codice.
• I contenuti della notifica all'autorità e della
comunicazione agli interessati sono indicati, in via non
esclusiva, agli artt. 33 e 34 del regolamento.
• Su questo e su tutta la disciplina in materia, il Comitato
europeo della protezione dati (si veda art. 70, paragrafo
1, lettere g) e h) ) è stato chiamato a formulare linee-
guida specifiche, alle quali sta già lavorando il Gruppo
"Articolo 29".
Cosa CAMBIA

© Pasquale Tarallo
260
• La nostra Autorità ha messo a disposizione un modello
per la notifica dei trattamenti da parte dei fornitori di
servizi di comunicazione elettronica accessibili al
pubblico che intende rielaborare al fine di renderlo
utilizzabile da tutti i titolari di Trattamento secondo
quanto prevede il regolamento.
Cosa CAMBIA

© Pasquale Tarallo
262
Data Protection Officer (DPO) – Cosa Cambia – 1 di 2
• Anche la designazione di un "Responsabile della
Protezione Dati" (RPD, ovvero DPO se si utilizza
l'acronimo inglese: Data Protection Officer) riflette
l'approccio responsabilizzante che è proprio del
Regolamento, essendo finalizzata a facilitare l'attuazione
del Regolamento da parte del Titolare/del Responsabile.
• Non è un caso, infatti, che fra i compiti del RPD rientrino
"la sensibilizzazione e la formazione del personale" e la
sorveglianza sullo svolgimento della valutazione di
impatto.
Cosa CAMBIA

© Pasquale Tarallo
263
Data Protection Officer (DPO) – Cosa Cambia – 2 di 2
• La designazione del DPO è obbligatoria in alcuni casi, e il
Regolamento tratteggia le caratteristiche soggettive e
oggettive di questa figura (indipendenza, autorevolezza,
competenze manageriali: si vedano I termini che il WP29
ha ritenuto opportuno chiarire attraverso alcune linee-
guida di recente pubblicazione, disponibili anche sul sito
del Garante con le rispettive domande ricorrenti (FAQ).
Cosa CAMBIA

© Pasquale Tarallo
266
Articoli del
Codice Privacy
e Altre
Disposizioni
Articoli e
Considerando
del GDPR
Trasferimento dei dati verso Paesi Terzi e Organizzazioni
Internazionali

© Pasquale Tarallo
267
Internazionali – 1 di 9
• Viene meno il requisito dell'autorizzazione nazionale (si
vedano art. 45, paragrafo 1, e art. 46, paragrafo 2).
• Il trasferimento verso un Paese terzo "adeguato" ai sensi
della decisione assunta in futuro dalla Commissione,
ovvero sulla base di clausole contrattuali modello,
debitamente adottate, o di norme vincolanti d'impresa
approvate attraverso la specifica procedura di cui all'art.
47 del regolamento, potrà avere inizio senza attendere
l'autorizzazione nazionale del Garante - a differenza di
quanto attualmente previsto dall'art. 44 del Codice.
Cosa CAMBIA

© Pasquale Tarallo
268
• L'autorizzazione del Garante sarà ancora necessaria se
un titolare desidera utilizzare clausole contrattuali ad-
hoc (cioè non riconosciute come adeguate tramite
decisione della Commissione europea) oppure accordi
amministrativi stipulati tra autorità pubbliche – una
delle novità introdotte dal regolamento.
Cosa CAMBIA

© Pasquale Tarallo
269
• Il Regolamento consente di ricorrere anche a codici di
condotta ovvero a schemi di certificazione per
dimostrare le "garanzie adeguate" previste.
• Ciò significa che i titolari o i responsabili del
Trattamento stabiliti in un Paese terzo potranno far
valere gli impegni sottoscritti attraverso l'adesione al
codice di condotta o allo schema di certificazione, ove
questi disciplinino anche o esclusivamente i
trasferimenti di dati verso Paesi terzi, al fine di
legittimare tali trasferimenti.
• Tuttavia, (si vedano art. 40, paragrafo 3, e art. 42,
paragrafo 2) tali titolari dovranno assumere, inoltre, un
impegno vincolante mediante uno specifico strumento
contrattuale o un altro strumento che sia giuridicamente
vincolante e azionabile dagli interessati.
Cosa CAMBIA

© Pasquale Tarallo
270
• Il Regolamento vieta trasferimenti di dati verso titolari o
responsabili in un Paese terzo sulla base di decisioni
giudiziarie o ordinanze amministrative emesse da
autorità di tale Paese terzo, a meno dell'esistenza di
accordi internazionali in particolare di mutua assistenza
giudiziaria o analoghi accordi fra gli Stati (art. 48).
• Si potranno utilizzare, tuttavia, gli altri presupposti e in
particolare le deroghe previste per situazioni specifiche.
Cosa CAMBIA

© Pasquale Tarallo
271
• Si deve ricordare che il Regolamento sancisce come sia
lecito trasferire dati personali verso un Paese terzo non
adeguato "per importanti motivi di interesse pubblico",
in deroga al divieto generale.
• In questo caso deve trattarsi di un interesse pubblico
riconosciuto dal diritto dello Stato membro del Titolare
o dal diritto dell'Ue (si veda art. 49, paragrafo 4) e
dunque non può essere fatto valere l'interesse
pubblico dello Stato terzo ricevente.
Cosa CAMBIA

© Pasquale Tarallo
272
• Il Regolamento fissa i requisiti per l'approvazione delle
norme vincolanti d'impresa e i contenuti obbligatori di
tali norme.
• L'elenco indicato al riguardo nel paragrafo 2 dell'art. 47
non è esaustivo e, pertanto, potranno essere previsti
dalle autorità competenti, a seconda dei casi, requisiti
ulteriori.
• Ad ogni modo, l'approvazione delle norme vincolanti
d'impresa dovrà avvenire esclusivamente attraverso il
meccanismo di coerenza di cui agli artt. 63-65 del
regolamento – ossia, è previsto in ogni caso l'intervento
del Comitato europeo per la protezione dei dati (coe
disciplinato all’art. 65, paragrafo 1, lettera d).
Cosa CAMBIA

© Pasquale Tarallo
273
• Il Regolamento al Capo V ha confermato l'approccio
attualmente vigente in base alla direttiva 95/46 e al
Codice Italiano per quanto riguarda i flussi di dati al di
fuori dell'Unione europea e dello spazio economico
europeo, prevedendo che tali flussi sono vietati, in linea
di principio a meno che intervengano specifiche
garanzie.
Cosa è INVARIATO

© Pasquale Tarallo
274
• Il Regolamento ha confermato la possibilità di deroga se
intervengono le seguenti specifiche garanzie:
 l’adeguatezza del Paese terzo riconosciuta tramite
decisione della Commissione europea (art. 44,
comma 1, lettera b), del Codice);
 l’assenza di decisioni di adeguatezza della
Commissione, garanzie adeguate di natura
contrattuale o pattizia che devono essere fornite dai
titolari coinvolti (fra cui le norme vincolanti
d'impresa - BCR, e clausole contrattuali modello,
come descritto all’art. 44, comma 1, lettera a) del
Codice);
 in assenza di ogni altro presupposto, utilizzo di
deroghe al divieto di trasferimento applicabili in
specifiche situazioni corrispondenti in parte alle
disposizioni dell'art. 43, comma 1, del Codice).
Cosa è INVARIATO

© Pasquale Tarallo
275
• Le decisioni di adeguatezza sinora adottate dalla
Commissione (livello di protezione dati in Paesi terzi, a
partire dallo scudo per la Privacy (Privacy Shield), e
clausole contrattuali tipo per titolari e responsabili) e gli
accordi internazionali in materia di trasferimento dati
stipulati prima del 24 maggio 2016 dagli Stati membri
restano in vigore fino a loro eventuale revisione o
modifica.
• Restano valide, conseguentemente, le autorizzazioni
nazionali sinora emesse dal Garante successivamente a
tali decisioni di adeguatezza della Commissione
• Restano valide, inoltre, le autorizzazioni nazionali che il
Garante ha rilasciato in questi anni per specifici casi,
sino a loro eventuale modifica
Cosa è INVARIATO

© Pasquale Tarallo
277
Contenuti di questa presentazione e di ulteriori contributi
Come specificato al principio della presentazione
i contenuti fin qui esposti
fanno parte di un progetto editoriale più ampio
Ideato, Realizzato e Distribuito GRATUITAMENTE
che può essere richiesto in formato ppt via mail
inviando i propri riferimenti completi a
Pasquale Tarallo

© Pasquale Tarallo
278
Riferimenti dell’autore e dove trovare altri contributi simili
Email pasqualetarallo@tin.it
Tel. +39 02 90377918
Mobile +39 3394561469

GDPR

Recommended

Recommended

More Related Content

What's hot

What's hot (6)

Similar to GDPR

Similar to GDPR (20)

More from Pasquale Tarallo

More from Pasquale Tarallo (6)

GDPR