Cosa intendiamo per dati personali?

Ott 6, 2018

Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..

Particolarmente importanti sono:

  • i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa);
  • i dati rientranti in particolari categorie: si tratta dei dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;
  • i dati relativi a condanne penali e reati: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2018/10/DatiPersonali.pdf” width=”800″ height=”915″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]

 

Codice in materia di protezione dei dati personali (testo coordinato)

Ott 3, 2018

Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE

NOTE PER LA LETTURA DEL TESTO

  • le novelle introdotte dal decreto legislativo 10 agosto 2018 n. 101 sono evidenziate in rosso (sia gli articoli “nuovi” o interamente sostitutivi di articoli del Codice previgente, sia le “inserzioni mirate” in articoli confermati);
  • per completezza, sono riportati i numeri e le rubriche degli articoli abrogati.

 

Il Garante delle Privacy (fonte dell’articolo) evidenzia.

  • Il presente testo coordinato è reso disponibile al solo scopo informativo e non ha valore ufficiale.
  • Hanno valore ufficiale infatti solo i testi normativi pubblicati sulla Gazzetta Ufficiale della Repubblica Italiana.

 

V 3.0 – 1 ottobre 2018
(Il testo tiene conto dell’errata corrige pubblicato nella GU Serie Generale n. 212 del 12-09-2018 e dell’avviso di rettifica pubblicato nella GU Serie Generale n. 225 del 27-09-2018)

[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2018/10/Codice-in-materia-di-protezione-dei-dati-personali.pdf” width=”800″ height=”1090″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]

 

GDPR DECRETO LEGISLATIVO 10 agosto 2018, n. 101

Set 6, 2018

Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento UE 2016/679 (GDPR) del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129) (GU Serie Generale n.205 del 04-09-2018)

Note: Entrata in vigore del provvedimento: 19/09/2018

 

[raw]
[column size=”1/4″ wpautop=”true”]
Capo I
[/column]
[column size=”3/4″ wpautop=”true”]
MODIFICHE AL TITOLO E ALLE PREMESSE DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI DI CUI AL DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196
[/column]
[/raw]
[raw]
[column size=”1/4″ wpautop=”true”]
Capo II
[/column]
[column size=”3/4″ wpautop=”true”]
MODIFICHE ALLA PARTE I DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI DI CUI AL DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196
[/column]
[/raw]
[raw]
[column size=”1/4″ wpautop=”true”]
Capo III
[/column]
[column size=”3/4″ wpautop=”true”]
MODIFICHE ALLA PARTE II DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI DI CUI DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196
[/column]
[/raw]
[raw]
[column size=”1/4″ wpautop=”true”]
Capo IV
[/column]
[column size=”3/4″ wpautop=”true”]
MODIFICHE ALLA PARTE III E AGLI ALLEGATI DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI DI CUI AL DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196
[/column]
[/raw]
[raw]
[column size=”1/4″ wpautop=”true”]
Capo V
[/column]
[column size=”3/4″ wpautop=”true”]
DISPOSIZIONI PROCESSUALI
[/column]
[/raw]
[raw]
[column size=”1/4″ wpautop=”true”]
Capo VI
[/column]
[column size=”3/4″ wpautop=”true”]
DISPOSIZIONI TRANSITORIE, FINALI E FINANZIARIE
[/column]
[/raw]

[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2018/09/Gazzetta-Ufficiale-205-2019.pdf” width=”800″ height=”1090″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]

Dlgs 196/03 Allegato B

Giu 27, 2018

ALLEGATO B

DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA
(Artt. da 33 a 36 del codice)

Trattamenti con strumenti elettronici

Modalita’ tecniche da adottare a cura del titolare, del responsabile ove designato e dell’incaricato, in caso di trattamento con strumenti elettronici:

Sistema di autenticazione informatica

1. Il trattamento di dati personali con strumenti elettronici e’ consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o piu’ credenziali per l’autenticazione.

4. Con le istruzioni impartite agli incaricati e’ prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell’incaricato.

5. La parola chiave, quando e’ prevista dal sistema di autenticazione, e’ composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all’incaricato ed e’ modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e’ modificata almeno ogni tre mesi.

6. Il codice per l’identificazione, laddove utilizzato, non puo’ essere assegnato ad altri incaricati, neppure in tempi diversi.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica.

8. Le credenziali sono disattivate anche in caso di perdita della qualita’ che consente all’incaricato l’accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento.

10. Quando l’accesso ai dati e agli strumenti elettronici e’ consentito esclusivamente mediante uso della componente riservata della credenziale per l’autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita’ con le quali il titolare puo’ assicurare la disponibilita’ di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita’ di operativita’ e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e’ organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l’incaricato dell’intervento effettuato.

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Sistema di autorizzazione

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e’ utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, e’ verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza

15. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo’ essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

16. I dati personali sono protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita’ di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l’aggiornamento e’ almeno semestrale.

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.

Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l’elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilita’ nell’ambito delle strutture preposte al trattamento dei dati;

19.3. l’analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l’integrita’ e la disponibilita’ dei dati, nonche’ la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilita’;

19.5. la descrizione dei criteri e delle modalita’ per il ripristino della disponibilita’ dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu’ rilevanti in rapporto alle relative attivita’, delle responsabilita’ che ne derivano e delle modalita’ per aggiornarsi sulle misure minime adottate dal titolare. La formazione e’ programmata gia’ al momento dell’ingresso in servizio, nonche’ in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformita’ al codice, all’esterno della struttura del titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

20. I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di cui all’art. 615-ter del codice penale, mediante l’utilizzo di idonei strumenti elettronici.

21. Sono impartite istruzioni organizzative e tecniche per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono intelligibili e tecnicamente in alcun modo ricostruibili.

23. Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.

24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di dati con le modalita’ di cui all’articolo 22, comma 6, del codice, anche al fine di consentire il trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di identificare direttamente gli interessati. I dati relativi all’identita’ genetica sono trattati esclusivamente all’interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all’esterno dei locali riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi equipollenti; il trasferimento dei dati in formato elettronico e’ cifrato.

Misure di tutela e garanzia

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria struttura, per provvedere alla esecuzione riceve dall’installatore una descrizione scritta dell’intervento effettuato che ne attesta la conformita’ alle disposizioni del presente disciplinare tecnico.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Trattamenti senza l’ausilio di strumenti elettronici

Modalita’ tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici:

27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali. Nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati, la lista degli incaricati puo’ essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione.

28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

29. L’accesso agli archivi contenenti dati sensibili o giudiziari e’ controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.

 

La gestione in outsourcing dei dati personali

Mag 30, 2018

Il GDPR nel riportare la definizione di “responsabile del trattamento” fa riferimento in via esclusiva al responsabile esterno, per cui nel prosieguo dell’articolo quando si leggerà il termine “Responsabile del trattamento” si intenderà suddetta interpretazione che è la sola consentita dalla lettura del Regolamento (UE) n. 679/2016.

La nomina del Responsabile da parte del Titolare presuppone che quest’ultimo abbia compiuto in precedenza una congrua verifica volta ad accertare la capacità dei Responsabili di porre in essere misure tecniche ed organizzative adeguate, il tutto al fine di soddisfare i requisiti del Regolamento e la tutela dei diritti degli interessati.

Ai sensi del Considerando 81, il Titolare dovrà circoscrivere la scelta nei confronti di quei soggetti “”che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse per mettere in atto misure tecniche e organizzative”.

Si richiama l’obbligo della firma di un contratto, in capo al Responsabile del trattamento, che dovrà disciplinare almeno i seguenti aspetti: la materia, la durata, le finalità del trattamento; in aggiunta al tipo di dati personali, alla categoria dei soggetti interessati ed agli obblighi ed ai diritti facenti capo al Titolare.

A tale riguardo sempre il Considerando 81 precisa che

Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. L’applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento. L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato. Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure da un’autorità di controllo in conformità del meccanismo di coerenza e successivamente dalla Commissione. Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali.

Quando è obbligatorio procedere alla nomina di un Responsabile trattamento dati
Corre l’obbligo in capo al titolare o al responsabile di nominare un Responsabile del trattamento dei dati personali in due ipotesi:

  1. Qualora il titolare affidi uno specifico trattamento a un responsabile;
  2. Qualora un responsabile del trattamento affidi a un altro responsabile del trattamento l’esecuzione di specifiche attività di trattamento per conto del titolare.

Trattamento in outsourcing dei dati personali
I Responsabili esterni all’organizzazione del Titolare sono soggetti giuridicamente autonomi che svolgono in regime di outsourcing trattamenti di dati la cui Titolarità spetta all’Azienda/Ente.

Nel trattamento dei dati personali ai quali ha accesso, il Responsabile esterno dovrà attenersi alle istruzioni del Titolare comunicando tempestivamente allo stesso l’insorgere di eventuali problematiche non regolamentate in tema di trattamento di dati personali comuni e/o sensibili e/o giudiziari.

Contestualmente alla nomina di tali soggetti quali Responsabili esterni del trattamento sarà introdotta nel contratto/convenzione una apposita formula di garanzia con la quale il soggetto esterno si impegna ad osservare compiutamente quanto disposto dalla normativa sul trattamento dei dati personali; il soggetto esterno si impegna, altresì, ad informare l’Azienda/Ente sulla puntuale adozione delle misure di sicurezza, in modo da evitare rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Suddetta clausola di garanzia prevede, inoltre, l’impegno del Responsabile esterno a non effettuare operazioni di comunicazione e diffusione dei dati personali sottoposti al trattamento verso soggetti terzi diversi dall’azienda committente, ad attenersi alle decisioni del Garante per la protezione dei dati personali e alle istruzioni che gli verranno impartite, in merito, dal Titolare.

Gli obblighi in capo al responsabile
In particolare, nel suddetto trattamento, dovranno essere osservati i seguenti obblighi:

  • attenersi alle istruzioni impartite dal Titolare e dal Responsabile aziendale del trattamento;
  • richiedere ed utilizzare soltanto i dati necessari per l’adempimento delle obbligazioni contrattuali;
  • adottare tutte le misure delle quali si renda necessaria l’adozione immediata e urgente, al fine di procedere alla tutela dei dati e relazionare in merito al Titolare del trattamento dei dati in oggetto;
  • segnalare tempestivamente al Titolare del trattamento l’opportunità di adozione delle misure di non immediata applicazione;
  • attenersi ad un generale dovere di non divulgazione dei dati trattati o di cui sia venuto a conoscenza tramite altre fonti e al rispetto del Regolamento 2016/679 (UE);
  • individuare e nominare per iscritto gli incaricati del trattamento (anche se tale adempimento non è espressamente previsto dal Regolamento, si ritiene che lo stesso rivesta ancora una sua importanza per cui tale procedura andrebbe svolta, almeno sino ad un pronunciamento da parte del Garante italiano) specificando a quale tipologia di riferimento l’addetto è assegnato ( ad es: manutenzione hardware e/o software, fino a scendere nel dettaglio, ad es: addetti a manutenzione di applicativi di base, addetti a manutenzione di applicativi speciali, addetti alla manutenzione dell’hardware periferico, addetti alla manutenzione dell’hardware centrale, addetti alla manutenzione degli apparati facsimile, dei telefoni e da altri apparati di telecomunicazione; addetti al monitoraggio di rete; ecc.);
  • adottare le misure di sicurezza e vigilare sul loro rispetto da parte degli incaricati, segnalando al Titolare del trattamento eventuali reclami da parte degli interessati, informando il Titolare del trattamento di qualunque fatto che possa compromettere la sicurezza dei dati trattati;
  • adottare tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al recupero periodico degli stessi con copie di backup, assicurandosi della qualità delle stesse copie; ove il Responsabile in outsourcing fosse autorizzato, come da contratto, a tale trattamento dei dati;
  • comunicare al Titolare con periodicità annuale l’elenco dei soggetti nominati incaricati al trattamento dei dati personali;
  • collaborare con il Titolare del trattamento al fine di dare riscontro alle eventuali richieste avanzate dal Garante della privacy o da altra Autorità pubblica o dagli interessati del trattamento per l’esercizio dei loro diritti stabiliti dal Regolamento;
  • verificare che i flussi di dati personali all’interno della Società e le comunicazioni di dati verso terzi avvengano con procedure atte a rispettare la confidenzialità e la riservatezza dei soggetti coinvolti;
  • comunicare immediatamente al Titolare del trattamento gli eventuali nuovi trattamenti da intraprendere nel Suo settore di competenza, provvedendo alle necessarie formalità di legge;
  • al termine del rapporto contrattuale, cancellare dalle Vostre banche dati o da altri supporti informatici, i dati personali trattati laddove la loro conservazione non sia più necessaria;
  • rispettare gli altri obblighi stabiliti dal Regolamento;
  • rispettare le istruzioni allegate alla lettera di nomina che rappresentano il mansionario a cui attenersi e a cui fare attenere il personale nominato incaricato;
  • inviare un rapporto semestrale al Titolare in merito al rispetto e all’adempimento del presente mansionario e di tutto ciò che è disciplinato dalla normativa di riferimento ed attiene alla Ditta stessa;
  • svolgere attività di supporto riferita, in particolare, al salvataggio giornaliero/periodico dei dati applicativi dei server nei quali risiedono i software oggetto di assistenza da parte del Responsabile in outsourcing, come da contratto, ed eventuali ripristini.

 

Pin It on Pinterest