Cookie Policy

Nomina del Responsabile del Trattamento Dati Personali

Ultima modifica: 22 settembre 2025

con la presente, l’Utente, in qualità di Titolare del trattamento (di seguito “Titolare”), per ottemperare alle disposizioni di cui al Regolamento Europeo 2016/679 e successive integrazioni e modifiche, nomina Webidoo S.p.A. con sede legale in Milano, Via Gioberti 8, P. IVA 10076860963 Responsabile del trattamento dei dati personali (di seguito “Responsabile”), ai sensi e per gli effetti dell’art. 28 del Regolamento UE 679/2016, nell’ambito delle attività di trattamento di dati personali di cui al contratto stipulato tra le parti e per il quale il presente atto costituisce parte integrante ed essenziale. 

Viene conferito, pertanto, l’incarico di effettuare le operazioni di trattamento di dati personali per conto del Titolare, nel rispetto delle prescrizioni previste da: 

  • Regolamento UE 679/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito GDPR);
  • Provvedimenti generali dell’Autorità Garante per la Protezione dei Dati Personali (di seguito Garante Privacy);

Il Titolare del trattamento fornisce, per il tramite della presente, le indicazioni idonee a svolgere le operazioni di trattamento affidate al Responsabile nel rispetto della normativa privacy vigente e, in ottemperanza a quanto prescritto dall’art. 28.3 del GDPR, vigilerà sulla puntuale osservanza degli adempimenti, nonché delle istruzioni impartite. 

Il Responsabile, nell’espletamento dell’incarico, dovrà:

  1. trattare i dati personali solo ai fini dell’adempimento al contratto e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite dal Titolare. In particolare, il Responsabile non eserciterà alcun controllo sui dati personali, e pertanto, non potrà trasferire gli stessi a terzi soggetti, ad eccezione del caso in cui tale possibilità sia specificatamente autorizzata dal titolare;
  1. non tratterrà o utilizzerà i dati personali per scopi diversi da quelli previsti e necessari per fornire le prestazioni stabilite in contratto;
  2. non tratterrà dati personali per proprie finalità;
  3. prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà il Titolare se, a suo parere, (i) una qualsiasi istruzione fornita dal Titolare si pone in violazione di legge e (ii) il Responsabile è soggetto al rispetto di previsioni di legge, che potrebbero rendere per lo stesso, in tutto o in parte, impossibile o illegale agire conformemente alle istruzioni impartite dal Titolare o nel rispetto di quanto previsto dalla legge applicabile;
  4. al fine di garantire il rispetto delle istruzioni impartite dal Titolare, avvalersi di adeguati processi e di ogni altra misura tecnica idonea ad attuare le istruzioni fornite dal Titolare stesso, incluse (i) le procedure idonee a garantire il rispetto dei diritti e delle richieste formulate al Titolare dagli interessati relativamente ai loro Dati personali, (ii) l’adozione di adeguate interfacce o sistemi di supporto che consentano di garantire e fornire informazioni agli interessati, (iii) procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta del Titolare, dei dati personali di ogni interessato, (iv) procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta del Titolare, (v) misure che consentano di contrassegnare i dati personali o gli account, per consentire al Titolare di poter applicare particolari regole ai dati personali dei singoli interessati, così come, ad esempio, terminare l’attività di comunicazione per alcuni interessati, (vi) procedure atte a garantire il diritto degli Interessati alla portabilità dei dati e di limitazione di trattamento, su richiesta del Titolare;
  5. rispettare la legge applicabile e deve adempiere gli obblighi previsti dal presente atto di nomina in modo da evitare che il Titolare incorra nella violazione di un qualunque obbligo previsto dalla medesima legge applicabile;
  6. Richiedere un’autorizzazione preventiva al Titolare ai fini dell’erogazione di nuovi servizi che comportino il trattamento dei dati personali oggetto dell’accordo, non disciplinati da contratto o atto giuridico precedentemente stipulato.

CARATTERISTICHE DEI DATI PERSONALI OGGETTO DI TRATTAMENTO

Il Titolare del trattamento definisce, nel rispetto dell’art 28 del GDPR, i seguenti elementi identificativi del trattamento dei dati affidati al Responsabile

Durata del trattamento 

Equivalente alla durata contrattuale

Natura e finalità del trattamento

Il trattamento è necessario per dare esecuzione al contratto e le finalità di trattamento sono definite dal Titolare del trattamento

Tipi di dati personali trattati

Dati personali comuni

Categorie di interessati

Clienti e potenziali clienti del Titolare

PERSONALE DEL RESPONSABILE ESTERNO 

  1. Designare le persone autorizzate al trattamento, conferendogli per iscritto l'incarico di compiere tali operazioni e assicurare che, in ottemperanza dell’art. 29 del GDPR, fruiscano della formazione Privacy relativa alle modalità di trattamento dei dati a cui hanno accesso;
  2. Sempre ai sensi dell’art. 29 del GDPR, vigilare sull’operato delle persone autorizzate al trattamento, assicurandosi che ricevano e applichino apposite istruzioni operative e che tutelino in modo assoluto la riservatezza e la sicurezza dei dati personali trattati.

SUB-RESPONSABILE

  1. Richiedere un’autorizzazione scritta al Titolare nel caso in cui volesse ricorrere a soggetti terzi, a loro volta nominati “Responsabili Esterni del trattamento” direttamente da Webidoo o dal Responsabile se gli viene conferito potere di firma, ai sensi dell’art. 28 del GDPR;
  2. Vigilare sulle attività eventualmente affidate a ulteriori Responsabili, come indicato nell’art. 28 del GDPR, assicurandosi che il trattamento soddisfi i requisiti previsti dal regolamento e le prescrizioni contenute nella presente lettera di nomina e nelle Istruzioni Operative. 

REGISTRO DEI TRATTAMENTI 

  1. Redigere e tenere aggiornato un registro di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, ai sensi dell’art. 30, comma 2 del GDPR; inoltre, il Responsabile si impegna a fornirne prontamente una copia su richiesta dello stesso e/o delle autorità competenti;
  2. Fornire al Titolare tutte le informazioni relative al trattamento dei Dati Personali necessarie allo stesso al fine di poter predisporre il proprio registro dei trattamenti, ai sensi dell’articolo 30, comma 1, del GDPR.

VALUTAZIONE DI IMPATTO (DATA PROTECTION IMPACT ASSESSMENT)

  1. Fornire tempestivamente tutte le informazioni necessarie al Titolare per condurre eventuali attività di valutazione di impatto sulla protezione dei dati ai sensi dell’art. 35 del GDPR (i.e. Data Protection Impact Assessment).

SICUREZZA E GESTIONE DEGLI INCIDENTI

  1. Assicurare che il trattamento avvenga nel rispetto delle misure di sicurezza tecniche, informatiche, organizzative, logistiche e procedurali predisposte e ritenute idonee dal Titolare, come indicato all’art. 32 del GDPR, specificate nelle Istruzioni Operative;
  2. Comunicare prontamente e comunque non oltre le 24 ore dalla scoperta dell’incidente di sicurezza, al Titolare del trattamento, in ottemperanza all’art. 33 del GDPR, qualsiasi evento che possa comportare una violazione, anche accidentale, della sicurezza dei dati personali, ovvero la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nell’ambito dei trattamenti effettuati, fornendo al Titolare tutte le informazioni disponibili sull’evento.
  3. Il Responsabile deve attivarsi immediatamente per indagare sulla violazione dei dati personali e per individuare, prevenire e limitare gli effetti negativi di tale violazione, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo del Titolare, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile non deve rilasciare, né pubblicare alcun comunicato stampa, avviso o relazione riguardante la violazione dei dati personali senza aver ottenuto il previo consenso scritto del Titolare. 

RICHIESTE DEGLI INTERESSATI E DELLE AUTORITA’

  1. Fornire tempestivamente al Titolare del trattamento, e comunque entro 24 ore dall’avvenuta ricezione, tutte le informazioni necessarie per assolvere alle richieste dell’Interessato, ai sensi degli artt. 15,16,17, 18, 20 e 21 del GDPR, ovvero accesso, rettifica, cancellazione, limitazione, portabilità, opposizione al trattamento.
  2. Provvedere ad informare immediatamente il Titolare, e comunque entro 24 ore dall’avvenuta ricezione, di ogni richiesta, ordine ovvero attività di controllo da parte dell’Autorità Garante per la protezione dei dati personali o dell’Autorità Giudiziaria.

AUDIT

  1. Garantire al Titolare l’accesso ai propri locali e ai locali di qualsiasi Sub-Responsabile, ai computer e altri sistemi informativi, ad atti, documenti e a quanto ragionevolmente richiesto per verificare che il Responsabile, e/o i suoi Sub-fornitori rispettino gli obblighi disciplinati da questo Atto di nomina (o contenuti in qualsiasi accordo di Sub-trattamento), sempre a condizione che tali verifiche non comportino l’analisi di tutti i dati di terze parti e che queste verifiche non collidano con obblighi di riservatezza del Responsabile o del Sub-Responsabile. Infatti, può essere necessario rispettare la riservatezza degli interessi commerciali, dei dati di terze parti e delle informazioni dei Fornitori o dei Sub-fornitori, la cui conoscenza potrebbe realizzarsi nel corso delle verifiche stesse. I costi dell’audit saranno a carico del Titolare, a meno che l'audit riveli qualsiasi inosservanza da parte del Responsabile o del Sub-Responsabile degli obblighi di questo. In questo ultimo caso i costi dell’Audit saranno a carico del Responsabile.

EVENTUALE TRATTAMENTO DEI DATI PERSONALI FUORI DALL’AREA ECONOMICA EUROPEA 

  1. Laddove i Dati Personali vengano trattati dal Responsabile o - salvo quanto previsto dall’art. 7 - da una Società del Gruppo del Responsabile o da altri Sub-Fornitori, al di fuori dello spazio economico europeo, o in un territorio che non garantisce un adeguato livello di protezione dei dati riconosciuto dalla Commissione europea, il trasferimento sarà regolato dalle Clausole contrattuali tipo definite dalla Commissione Europea, che disciplineranno ogni trattamento effettuato.
  2. Qualsiasi trattamento effettuato fuori dal territorio dell’Unione Europea, da uno dei suddetti soggetti, dovrà essere preventivamente comunicato al Titolare.

CANCELLAZIONE DEI DATI PERSONALI

  1. Il Responsabile provvede alla cancellazione dei dati personali trattati per l’esecuzione dei servizi del contratto al termine del periodo di conservazione indicato dal Titolare e in qualsiasi circostanza in cui sia richiesto dal Titolare stesso, compresa l’ipotesi in cui la stessa debba avvenire su esercizio del relativo diritto dell’Interessato.
  2. Alla cessazione del presente Atto di designazione, per qualsiasi causa essa avvenga, i dati personali dovranno, a discrezione del Titolare, essere distrutti o restituiti alla stessa, unitamente a qualsiasi supporto fisico o documento contenente dati personali di titolarità del Titolare.

RESPONSABILITA’ SOLIDALE

  1. Rispondere in solido per il danno cagionato dal trattamento dei dati, ai sensi dell’art. 82 del GDPR, nel caso in cui non abbia adempiuto a quanto previsto dal GDPR e/o non abbia agito nel rispetto delle Istruzioni Operative fornite (c.d. principio di Liability).

Qualora venisse meno o perdesse efficacia per qualsiasi motivo il rapporto giuridico sottostante tra il Responsabile e il Titolare del trattamento, anche la presente nomina verrà automaticamente meno senza bisogno di comunicazioni o revoche.

Il Responsabile è a conoscenza del fatto che il mancato adempimento dell'obbligo di diligente e corretta esecuzione delle predette indicazioni e delle Istruzioni Operative allegate potrà costituire elemento di valutazione della sua attività oltre a rilevare in termini di responsabilità, sia nei confronti del Titolare che degli Interessati, ai sensi e per gli effetti della Legge.

Istruzioni Operative

Istruzioni Operative per il trattamento di dati personali dirette ai Responsabili del Trattamento art. 28 Regolamento UE 679/2016

INDICE

1)DEFINIZIONI

1.1)Dati personali

1.2)Trattamento dei dati personali

1.3)Soggetti coinvolti nel trattamento

2)MISURE DI SICUREZZA ADEGUATE

2.1)Le regole di ordinaria diligenza

2.2)L’accesso ai dati dalla postazione di lavoro

2.3)La gestione delle password per l’accesso ai sistemi

2.4)Utilizzo e custodia di strumenti per l’autenticazione

2.5)L’uso dell’antivirus e altri accorgimenti

2.6)Supporti di memorizzazione dei dati

2.7)Archivi su supporti cartacei

2.8)Mezzi di trasmissione e riproduzione dei documenti

3)MISURE DI SICUREZZA IDONEE

3.1)Trattamento di dati personali relativi a particolari tipologie di Persone autorizzate al trattamento – Amministratori di Sistema

3.3)Violazione di dati personali degli Interessati

3.4)Comunicazioni al Titolare

3.5)Trattamento di dati personali effettuati con l’ausilio di terze parti

3.6)Evasione richieste dei diritti degli Interessati

1)DEFINIZIONI

1.1)Dati personali

Per dati personali si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile, (definita soggetto Interessato del trattamento); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

1.2)Trattamento dei dati personali

Il trattamento dei dati personali consiste in qualunque operazione o complesso di operazioni svolte con o senza l’ausilio di un elaboratore elettronico o di un procedimento comunque automatizzato, che prevede operazioni quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione dei dati stessi.

1.3)Soggetti coinvolti nel trattamento

La normativa italiana ed europea identifica le figure che, a diversi livelli di responsabilità, devono rendere conto della corretta gestione dei dati personali:

  • Il Titolare, soggetto a cui competono le decisioni circa le finalità e le modalità di trattamento di dati personali, ivi compreso il profilo della sicurezza dei dati;
  • Il Data Protection Officer, il soggetto interno o esterno all’organizzazione a cui è affidato il compito di promuovere e coordinare tutte le attività necessarie per garantire la piena conformità in tema di privacy e protezione dei dati personali;
  • Il Responsabile, ovvero la persona fisica o giuridica che tratta dati personali per conto del Titolare del trattamento sulla base di una specifica nomina;
  • La persona autorizzata al trattamento, colui che compie le operazioni del trattamento di dati personali, attenendosi alle istruzioni impartite dal Titolare e/o dal Responsabile;
  • L’Interessato, la persona fisica cui si riferiscono i dati personali.

Inoltre con il Provvedimento del 27 novembre 2008, il Garante ha altresì identificato gli Amministratori di Sistema che si individuano generalmente in ambito informatico, come figure professionali preposte alla gestione e alla manutenzione di “impianti di elaborazione o di sue componenti”, tra cui rientrano gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza, e gli amministratori di sistemi software complessi (applicazioni).

2) MISURE DI SICUREZZA ADEGUATE

Di seguito vengono riportate le misure di sicurezza che il Responsabile dovrà rispettare e far rispettare a tutte le Persone autorizzate al trattamento appartenenti alla sua organizzazione in modo da ottemperare alla normativa vigente riducendo al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta (art. 32 del GDPR).

2.1) Le regole di ordinaria diligenza

Nello svolgimento delle operazioni di trattamento, è necessario attenersi e far osservare alcune regole di ordinaria diligenza al fine di evitare che soggetti estranei possano venire a conoscenza dei dati personali oggetto del trattamento e comprometterne la riservatezza, integrità e disponibilità.

Il Responsabile deve pertanto, garantire che nel perimetro delle attività svolte per conto del Titolare si presti particolare attenzione a non divulgare a terzi estranei i dati personali degli Interessati, né condividerli o comunicarli, in qualsiasi forma, a persone che non ne necessitano per lo svolgimento delle proprie mansioni lavorative (il rischio di divulgazione è amplificato, ad esempio, dal fare copie, per uso personale, dei dati su cui svolgono le operazioni).

Oltre a queste regole generali, per le medesime finalità, è inoltre richiesto che, qualora le postazioni di lavoro vengano abbandonate temporaneamente (per un periodo di tempo superiore a 15 minuti), si provveda a raccogliere la documentazione cartacea contenente dati personali in modo da non lasciarla a disposizione di eventuali soggetti che si trovino a transitare nei pressi delle stesse, chiudendo i file contenenti dati personali e bloccando le postazioni di lavoro o la console che consente l’accesso ai dati personali.

2.2) L’accesso ai dati dalla postazione di lavoro

Tutte le persone autorizzate al trattamento che operano presso l’organizzazione del Responsabile e che accedono a dati personali conservati e/o elaborati tramite sistemi elettronici ed informatici sono tenute a utilizzare, dove richiesto, user-id e password.

Nel caso di allontanamento dalla postazione di lavoro è opportuno chiudere le applicazioni in uso o gli strumenti di accesso e di amministrazione dei Sistemi Operativi, Database, Applicazioni, etc., o bloccare la postazione di lavoro e comunque impostare un blocco schermo con password in modo che si attivi automaticamente dopo alcuni minuti di inattività.

2.3) La gestione delle password per l’accesso ai sistemi

Le persone autorizzate al trattamento appartenenti all’organizzazione del Responsabile, devono osservare le seguenti misure: modificare la password al primo accesso successivo all’assegnazione, prescindendo dal luogo ove si accede; avere cura di impostare la password con una lunghezza di almeno 8 caratteri e secondo le caratteristiche che sono state previste (ad es. uso di caratteri speciali, uso di minuscole e maiuscole, ecc.); non basarla su informazioni facilmente deducibili, quali il nome proprio o di parenti, la data di nascita, il proprio codice fiscale e non includerla in alcun processo di connessione automatica. Laddove per la password non sia prevista una scadenza da parte del sistema stesso, deve poi essere sostituita almeno ogni 3 mesi; in caso di mancato utilizzo per un periodo superiore a 3 mesi, la user-id deve essere disabilitata e in caso di revoca/esclusione che consentiva l'accesso all’elaboratore o all’applicazione, la user-id deve decadere con decorrenza immediata. 

È opportuno inoltre che la password venga mantenuta riservata e non divulgata a terzi; si dovrà pertanto evitare, tra le altre accortezze, di trascriverla su fogli, agende, post-it facilmente accessibili ed è invece richiesto di utilizzare una password diversa da quelle utilizzate in passato almeno negli ultimi 6 mesi, nonché utilizzare in ambito aziendale una password che non corrisponde a servizi/siti Internet personali.

Nel caso infine in cui una password perda di segretezza (es. per l’accidentale smarrimento della stessa, la divulgazione a terzi per motivi di lavoro, ecc.), si dovrà provvedere alla sua immediata sostituzione.

2.4) Utilizzo e custodia di strumenti per l’autenticazione

È possibile che per l’accesso a postazioni di lavoro o a sistemi/applicazioni, i soggetti preposti vengano dotati di dispositivi di autenticazione supplementari (es. smart card, token per la generazione di “one time password” e altri strumenti per la rilevazione delle caratteristiche biometriche, ecc.).

Si ricorda che questi strumenti forniscono credenziali di autenticazione personale del soggetto a cui sono assegnati e, come tali, devono essere custoditi con perizia non consegnandoli a nessuno, non lasciandoli incustoditi e non comunicandone caratteristiche, codici identificativi, numeri seriali, “one time password” o quant’altro ne consenta una precisa identificazione a chiunque.

Nell’effettuare l’accesso alla postazione o al sistema con le proprie credenziali, infine, non si deve consentire che attraverso queste un altro soggetto, anche se Persona autorizzata al trattamento, possa effettuare qualsiasi tipo di operazione.

2.5) L’uso dell’antivirus e altri accorgimenti

Il Responsabile Esterno è tenuto a mettere in campo tutte le attività volte a minimizzare i danni che possono essere causati dai virus informatici.

Le persone autorizzate al trattamento appartenenti all’organizzazione del Responsabile Esterno devono pertanto verificare, nell’ambito delle proprie attività di trattamento, che il programma antivirus installato sia sempre funzionante nel momento in cui la postazione client è collegata alla LAN aziendale e consentire all’antivirus di eseguire le fasi di aggiornamento e scanning, senza mai disattivarlo.

Qualora venissero utilizzati dei supporti removibili (CD/DVD, chiavi USB, unità disco esterne, memorie flash) è sempre opportuno verificarli, con l’ausilio del programma antivirus in dotazione, prima dell'esecuzione dei file in esso contenuti, laddove questo non sia attivato automaticamente.

Infine si ricordano ulteriori accorgimenti relativi all’utilizzo della casella di posta elettronica; in particolare si dovrebbe evitare di rispondere a email che richiedono una conferma di lettura (se non da account conosciuti) o che invitano a cancellarsi da mailing list, segnalare tempestivamente alle unità tecniche aziendalmente preposte i casi di spamming o comunque di ricevimento non richiesto di email a sfondo commerciale, sessuale o finanziario, nonché evitare di partecipare né contribuire a diffondere email il cui testo contiene inviti alla spedizione del messaggio a quanti più utenti possibile (es. c.d. catene di Sant’Antonio).

2.6) Supporti di memorizzazione dei dati

Nel caso in cui sia necessario utilizzare supporti removibili per la memorizzazione temporanea di dati personali (ad es. per la copia e lo scambio di informazioni), è necessario osservare alcune precauzioni al fine di salvaguardare la riservatezza degli stessi.

In particolare, è opportuno che si utilizzino i supporti solo dopo aver provveduto a cancellare i dati e le informazioni precedentemente contenuti e che si eviti di lasciarli incustoditi. Sempre in ottica di minimizzazione del rischio di diffusione dei dati personali degli Interessati, è sempre consigliabile provvedere all’encrypting dei dati memorizzati sul supporto comunicando la password di encryption solo al destinatario dei suddetti dati memorizzati.

2.7) Archivi su supporti cartacei

Il Responsabile Esterno deve garantire che tutti i dati personali presenti su supporti di tipo cartaceo vengano mantenuti in archivi chiusi o in contenitori preferibilmente muniti di serratura (ad es. cassettiere, armadi) in cui tali supporti devono essere riposti al termine delle operazioni di trattamento. 

2.8) Mezzi di trasmissione e riproduzione dei documenti

Nell’ambito dei trattamenti di dati che richiedono l’utilizzo di stampanti e fotocopiatrici occorre evitare di lasciare incustoditi, presso le stesse, documenti contenenti dati personali e accertarsi, in caso di uso della fotocopiatrice, che non rimangano originali o copie nella macchina. In caso di cattiva qualità della stampa distruggere il supporto cartaceo e non riutilizzarlo come carta da riciclo.

3) MISURE DI SICUREZZA IDONEE

Di seguito vengono riportate le misure idonee prescritte dai Provvedimenti del Garante Privacy, dalla normativa vigente e/o disposte direttamente dal Titolare del trattamento, che il Responsabile Esterno dovrà rispettare nell’espletamento delle attività di trattamento di dati a cui le stesse misure risultano applicabili (art. 32 del GDPR).

3.1) Trattamento di dati personali relativi a particolari tipologie di Persone autorizzate al trattamento – Amministratori di Sistema

Tutti i soggetti che vengono coinvolti nel processo di designazione e verifica delle attività delle persone autorizzate al trattamento appartenenti all’organizzazione del Responsabile Esterno a cui sono attribuite mansioni da System Administrator sono tenuti a conformarsi alle prescrizioni del Provvedimento del Garante Privacy del 27 novembre 2008 (Misure e accorgimenti prescritti ai Titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema) di seguito descritte. 

3.2) Violazione di dati personali degli Interessati 

È possibile che nell’ambito dei trattamenti di dati personali effettuati per conto del Titolare, il Responsabile e i soggetti da lui autorizzati al trattamento si rendano direttamente responsabili o vengano a conoscenza di una violazione di dati personali, che si configura come una fattispecie di data breach, definito come qualsiasi “violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l’accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico”.

Pertanto, tutti i Responsabili Esterni devono prevenire tale fattispecie individuando e adottando le misure tecniche ed organizzative adeguate al rischio esistente per salvaguardare la sicurezza dei dati personali degli Interessati.

Nel caso in cui si configuri un’ipotesi di violazione, secondo quanto disposto dall’art. 33 del GDPR è necessario che il Responsabile Esterno dia prontamente comunicazione al Titolare, non oltre le 24 ore dalla detection dell’evento di sicurezza, e fornisca tutte le ulteriori informazioni eventualmente richieste. 

3.3) Comunicazioni al Titolare

Il Responsabile del Trattamento deve rendere al Titolare ogni informazione in ordine a qualsiasi questione rilevante ai sensi e per gli effetti del GDPR e, in generale, della Normativa sulla Protezione dei Dati. Il Responsabile non potrà adottare autonome decisioni in ordine alle finalità e alle modalità del Trattamento. In caso di necessità e urgenza, il Responsabile dovrà informare al più presto il Titolare, affinché quest'ultimo possa prendere le opportune decisioni.

Inoltre, deve avvisare immediatamente il Titolare di ogni richiesta, ordine ovvero attività di controllo da parte dell'Autorità Garante per la protezione dei dati personali o dell'Autorità Giudiziaria.

3.4) Trattamento di dati personali effettuati con l’ausilio di terze parti

Ai sensi dell’art. 28 del Nuovo Regolamento Europeo, il Responsabile, a prescindere dalla tipologia dei dati trattati, nonché dalle modalità e finalità del trattamento, può, previa autorizzazione scritta del Titolare del trattamento, ricorrere ad un altro Responsabile (che si configura come Sub-Responsabile), a cui trasferire/affidare in tutto o in parte il trattamento di dati personali, nominato tale attraverso una lettera di nomina con allegate dettagliate istruzioni operative in base alla tipologia dei dati trattati, modalità e finalità del trattamento effettuato.

Su tale Sub-Responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il Titolare del trattamento e il primo Responsabile Esterno.

Qualora il Sub-Responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile Esterno iniziale conserva nei confronti del Titolare l'intera responsabilità dell'adempimento degli obblighi del Sub-Responsabile.

3.5) Evasione richieste dei diritti degli Interessati

Nel caso in cui il Responsabile, durante lo svolgimento della propria attività, venga coinvolto direttamente o indirettamente nella gestione delle richieste degli Interessati relative ad accesso, aggiornamento, rettifica, integrazione, cancellazione, trasformazione in forma anonima o blocco dei dati trattati in violazione di legge che il Nuovo Regolamento europeo sulla Data Protection ha integrato con il diritto alla portabilità e all’oblio (artt. 15, 16, 17, 18, 20 e 21 del GDPR.), questo è tenuto a collaborare, nelle modalità e nelle tempistiche previste, e comunque non oltre le 24 ore dall’avvenuta ricezione, ad evadere tali richieste.