POLIAMBULATORIO FISIOGYM 

REGOLAMENTO PER IL CORRETTO TRATTAMENTO DEI DATI   

GDPR UE 679/2016

Info: privacy@fisiogym.net

 

 

Premessa

 

A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) — relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali (di seguito, Regolamento).
Il Regolamento nasce dalla necessità di predisporre maggiori tutele a favore dei diritti e delle libertà dei cittadini oltre alla volontà — da parte del Legislatore comunitario – di assicurare: certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.

Cosa cambia con il Regolamento generale sulla protezione dei dati:

  • Viene ridisegnato l’organigramma aziendale privacy
  • Si introducono regole più chiare su informativa e consenso
  • Vengono definiti i limiti al trattamento automatizzato dei dati personali
  • Sono poste le basi per l’esercizio di nuovi diritti
  • Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue
  • Fissate norme rigorose per i casi di violazione dei dati (data breach)
  • Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e in caso di inosservanza delle regole rischiano pesanti sanzioni.

1. Organigramma aziendale privacy

L’organigramma privacy del Poliambulatorio FISIOGYM prima del 25 maggio 2018 (data di entrata in vigore del Regolamento) si articolava in:

 

  • un Titolare del trattamento (persona giuridica del Poliambulatorio, nella persona del suo rappresentante legale),
  • in un responsabile interno del trattamento
  • nel restante personale in servizio nominato dal Titolare quale incaricato del trattamento.

 

Dal 25 maggio 2018 il Poliambulatorio FISIOGYM ha nominato:

  1. a fronte dei contratti di fornitura di prodotti o servizi, in corso di esecuzione o da stipulare, aventi ad oggetto il trattamento di dati personali, il Fornitore quale Responsabile del trattamento esterno, verificando l’attuazione delle misure tecniche e organizzative, da parte del fornitore stesso;
  2. a fronte dei contratti o accordi di erogazione dei servizi sanitari, in corso di esecuzione o da stipulare, aventi ad oggetto il trattamento di dati personali, il medico o il professionista sanitario quale Responsabile del trattamento esterno, verificando l’attuazione delle misure tecniche e organizzative, da parte dello stesso;
  3. quelli che una volta erano stati designati quali responsabili interni del trattamento con la nuova denominazione di: “soggetti autorizzati al trattamento”.

 

Da ciò consegue che in applicazione del Regolamento sono aumentati i profili di responsabilità in capo ai “soggetti autorizzati al trattamento” (ex Responsabili interni) dipendenti e/o collaboratori in ottemperanza la principio di “accountability” nonché dei fornitori (responsabile del trattamento esterno) in merito agli obblighi generali e di sicurezza del trattamento dei dati come indicato dal Regolamento 679/2016.

 

Le nomine di cui ai punti a) b) e c) avvengono previa trasmissione da parte Titolare con l’apposita modulistica e di ulteriori informazioni in merito, prima dell’inizio del rapporto di lavoro/collaborazione o del contratto.

2. Tipologia di dati trattati

Al fine di elaborare l’elenco dei trattamenti dei dati, posti in essere dal Titolare, si procede come segue:

  • si individuano i tipi di dati personali trattati, in base alla loro natura (comuni, giudiziari o sensibili) ed alla categoria di soggetti cui essi si riferiscono (clienti, fornitori, utenti, personale, etc);
  • si descrivono le aree, i locali e gli strumenti con i quali si effettuano i trattamenti;

2.1  Tipologie di dati trattati

I dati trattati dal Titolare si possono suddividere come segue:

1 – Dati comuni relativi a clienti/utenti

2 – Dati comuni relativi a fornitori ed altri soggetti

3 – Dati sensibili (sanitari) necessari per lo svolgimento delle prestazioni sanitarie legati all’attività propria del Titolare e regolati dalle vigenti norme in materia.

2. Portabilità dei dati

Nel Regolamento viene introdotto il diritto alla “portabilità” dei propri dati personali per trasferirli da un titolare del trattamento a un altro. L’interessato può richiedere copia dei dati per portarli con sé o trasferirli ad altro Titolare. Il trasferimento di dati personali verso Paesi extra Ue o organizzazioni internazionali non viene effettuato dal Poliambulatorio Fisiogym.

3. Il principio di “responsabilizzazione”

Il Poliambulatorio Fisiogym, raccogliendo le linee guida del Regolamento 679/2016, introduce la responsabilizzazione del Titolare del trattamento (accountability) e un approccio che tenga in maggior considerazione i rischi che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.

Va precisato che, a differenza di quanto stabilito dalla Direttiva 95/46/CE la quale introduceva una distinzione tra misure di sicurezza minime ed idonee, l’applicazione di misure di sicurezza è finalizzata alla messa in sicurezza dell’organizzazione, ciò significa che la conformità non garantisce la sicurezza mentre è vero il contrario, cioè che la sicurezza rende compliance le misure predisposte.
L’adozione di misure tecniche ed organizzative avviene all’interno di un processo di miglioramento continuo, il che comporta in capo al Titolare, l’obbligo di intervenire ogni qual volta ciò si renda necessario (ad es. perché è cambiata la normativa oppure perché sono intervenute nuove tecnologie o nuove organizzazioni interne che vanno ad impattare sui trattamenti in essere, oppure, perché si implementano nuovi trattamenti).
Il principio di accountability (responsabilità) costituisce il valore aggiunto dell’intero corpo di norme contenute nel Regolamento e produce il passaggio da un approccio alla materia di tipo essenzialmente formalistico (basato sulla necessità di dovere compiere una serie di adempimenti, di per sé non sempre sinonimi di una concreta protezione dei dati trattati) ad un approccio finalizzato all’adozione di politiche aziendale (misure tecniche, organizzative e politiche) tali da raggiungere due scopi:

  1. rendere effettiva la protezione dei dati personali;
  2. dimostrarne la reale applicazione.

4. Data breach

È obbligo per il Titolare del trattamento comunicare eventuali violazioni dei dati personali al Garante.
Rispondere in modo efficace a una violazione dei dati richiede un approccio multidiscìplinare ed integrato con il coinvolgimento di diverse funzioni aziendali, di volta in volta, coinvolte.

Il primo adempimento posto in essere dal Poliambulatorio Fisiogym è l’adozione del Registro dei trattamenti di dati personali, ma prima ancora, i dipendenti ed i collaboratori sono informati e formati sul Regolamento 679/2016 per comprendere l’importanza e il valore dei dati, nonché gli ingenti danni economici legati a una perdita di informazione.

Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare informerà in modo chiaro, semplice e immediato anche tutti gli interessati e darà indicazioni su come intende limitare i danni.

Il Poliambulatorio Fisiogym in quanto titolare, potrà decidere di non informare gli interessati se riterrà che la violazione non comporti un rischio elevato per i loro diritti oppure se dimostrerà di avere già adottato misure di sicurezza o, infine, nell’eventualità in cui informare gli interessati potrebbe comportare uno sforzo sproporzionato al rischio.

In questo ultimo caso dovrà provvedere con una comunicazione pubblica. L’Autorità Garante potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria valutazione dei rischi correlati alla violazione commessa.

5. La figura del DPO (Data Protection Officer) 

Il Regolamento 679/2016 introduce la figura del “Responsabile della protezione dei dati” (Data Protection Officer o DPO), incaricato di assicurare una gestione corretta dei dati personali da parte di un Ente che tratta dati personali e sensibili.
Tuttavia, in attesa di disposizione chiare da parte del Garante per la Privacy, il Poliambulatorio Fisiogym decide di non avvalersi di un DPO.

6. I dodici nuovi diritti per il cittadino

I clienti/pazienti del Poliambulatorio Fisiogym, riguardo al trattamento dei propri dati personali, vantano una serie di diritti elencati di seguito:

Primo diritto: il rilascio della informativa

Attraverso la Informativa, vanno fornite all’interessato notizie relative al:

  • Titolare (identità + dati di contatto)
  • rappresentante /coordinatore
  • finalità del trattamento, con relativo riferimento normativa
  • se il trattamento è svolto per l’esercizio di un legittimo interesse del Titolare o di un terzo, quale sia il legittimo interesse; gli eventuali destinatari dei dati personali
  • l’intenzione, eventuale, di trasferire i dati trattati in un Paese terzo.

 

A corredo di tali informazioni, sempre al fine di rendere più trasparente l’intero procedimento, vanno fornite ulteriori informazioni relativamente ai seguenti aspetti:

  • periodo di conservazione,
  • diritti in capo all’interessato,
  • diritto di revocare il consenso;
  • diritto di proporre reclamo ad una Autorità di controllo;
  • se la comunicazione dei dati è legata ad un obbligo di natura contrattuale o legale;
  • se al trattamento è connesso un processo decisionale automatizzato.

Secondo diritto: tutele sulla prestazione del consenso

La prestazione del consenso è il primo atto di partecipazione attiva dell’utente e rappresenta l’accettazione, non obbligatoria, al trasferimento e trattamento dei dati. Il consenso deve essere espresso mediante un atto positivo inequivocabile, libero e specifico. Non è vincolante il mezzo, potendo comunicarlo in forma scritta, mediante mezzi elettronici o verbalmente.
Ai fini di una valutazione della libertà del consenso particolare attenzione dovrà essere posta ai dati personali che vengono richiesti ed alla correlazione rispetto alla prestazione. Può capitare, infatti, che la richiesta di consenso per l’esecuzione di una prestazione sanitaria sia condizionata dall’autorizzazione al trattamento di dati non necessari. In casi come questi viene pregiudicata proprio la libertà del consenso manifestato dal cittadino nonché la violazione del principio di minimizzazione dei dati ossia il criterio secondo cui i dati richiesti devono essere adeguati, pertinenti e limitati rispetto alla finalità per la quale sono richiesti.
Tenuto conto che i dati rappresentano il paziente e continuano a rappresentarlo anche durante e dopo il trattamento, occorre che, già all’atto della prestazione del consenso, questi sia debitamente informato delle garanzie che saranno adoperate per tutelare i dati nonché dei diritti che ha di accedere, di intervenire per controllare il trattamento (ad esempio presentando un eventuale reclamo), o di rettificare o anche ritirare il consenso.

Su questo punto, il Poliambulatorio Fisiogym tratterà esclusivamente i dati necessari per lo svolgimento delle prestazioni sanitarie per cui è stato autorizzato. Nell’Informativa consegnata viene indicato il sito del garante per poter effettuare liberamente un reclamo di caso di violazione del principio di minimizzazione. Infine, è data la possibilità per il paziente di ritirare il consenso assumendosene le ricadute.

Terzo diritto: divieto di trattare alcune categorie di dati personali

Il divieto di trattare alcune categorie di dati personali nasce dalla semplice considerazione che i dati non sono tutti uguali. Le informazioni che riguardano la persona non hanno tutte lo stesso peso e lo stesso valore.
Ci sono, effettivamente, dati strumentali alla richiesta di attivazione di determinati servizi o contratti per i quali all’utente sarà sottoposto un modulo per fornire il consenso, e dati che non hanno, per loro stessa natura, alcun ruolo nella stipula di nuovi contratti. Per il primo tipo di dati indicati, il controllo che potrà essere fatto sull’operato del titolare del trattamento, nel momento in cui viene richiesto il consenso, sarà di tipo funzionale ed orientato a rispetto del principio della minimizzazione dei dati raccolti.
Accanto a queste informazioni, vi sono poi categorie di dati, relative alla persona, per le quali vige il divieto di trattamento, superabile solo nel caso in cui vi sia un consenso esplicito prestato per assolvere a diritti e/o obblighi specifici, per tutelare interessi vitali (salute) o anche, tra l’altro, nel caso in cui sia l’interessato a renderli di dominio pubblico.
Questi dati, che godono di particolare tutela, sono quelli inerenti l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale. Per il trattamento di dati relativi a condanne penali occorre il controllo della pubblica autorità.

Il Poliambulatorio Fisiogym per erogare il proprio servizio di assistenza socio-sanitaria e sociale, dichiara nell’Informativa che saranno trattati entrambi queste tipologie di dati in forma mista (cartacea e informatica) sponendo la massima attenzione alla loro salvaguardia sia verso l’esterno (fornitori, Ulss, Regione) sia al proprio interno (dipendenti, medici collaboratori). I dati che godono di particolare tutela, potranno essere trattati solo da personale adeguatamente formato e informato e con strumenti che ne garantiscono la massima sicurezza (sia per gli archivi cartacei che informatici).

Quarto: il diritto di accesso dell’interessato

Il diritto di accesso dell’interessato è strettamente connesso alla durata del trattamento dei dati scaturente dal consenso prestato. Esso rimarca il rapporto indissolubile tra utente e dati personali per cui la persona interessata ha sempre il diritto di ottenere dal titolare del trattamento la conferma che vi sia in corso un trattamento dei propri dati e, in caso positivo, accedere alle informazioni inerenti Io specifico trattamento, ossia sapere per quali fini sono stati adoperati i dati, quali dati sono stati adoperati, a chi sono stati comunicati, il periodo di tempo entro cui i dati saranno conservati o una previsione della durata, la possibilità di esercitare i diritti di rettifica, cancellazione o di limitazione all’uso dei dati, o anche il rifiuto del trattamento, cosi come il diritto di proporre reclamo presso l’autorità di controllo.
Il diritto di accesso rappresenta, proprio per il potere che conferisce all’ospite/utente, una porta aperta sull’operato del titolare del trattamento riconoscendo il grande potere, ad ogni persona fisica, di controllare nel tempo le tracce lasciate dai propri dati e di intervenire, eventualmente, per cambiare le cose.
In sintesi è come se venisse riconosciuto il potere di controllare le conseguenze del consenso prestato e di correggerlo o di cancellarlo, come pure solo di monitorarlo ottenendo le informazioni richieste, ricordando che quei dati sono e restano dell’interessato.
Per accedere a queste informazioni, occorre che il titolare del trattamento riscontri la richiesta. In capo allo stesso si configura, pertanto, il dovere di fornire le informazioni.

Il Poliambulatorio Fisiogym da la possibilità al paziente in qualsiasi momento, di accedere liberamente ai suoi dati facendone richiesta al Titolare i cui riferimenti sono scritti nell’Informativa consegnata.

Quinto: il dovere di fornire le informazioni richieste

Il dovere di fornire le informazioni richieste è strettamente collegato alla richiesta del paziente o formulata nell’esercizio del diritto di accesso e rappresenta il riscontro che il titolare del trattamento (Poliambulatorio Fisiogym) ha il dovere di fornire all’interessato senza alcun aggravio economico, salvo il caso in cui risultino manifestamente infondate o eccessive.

Quanto alla tempistica è stato fissato un termine massimo di un mese, prorogabile a due mesi nei casi di complessità o di elevato numero di richieste.

Sesto: la possibilità di proporre reclamo/ricorso

La possibilità di proporre reclamo/ricorso è riconosciuta al paziente nel caso in cui il titolare del trattamento non riesca a fornire le informazioni richieste dall’interessato,

Infatti, decorso il tempo di un mese o più, in caso di proroga, il titolare del trattamento (Poliambulatorio Fisiogym) dovrà comunque informare delle sue difficoltà a fornire tempestivo riscontro, nonché della possibilità per il cittadino di adire, con reclamo, l’autorità di controllo (Garante per la protezione dei dati personali) oppure, con ricorso, l’autorità giurisdizionale (giudice ordinario).

 

Sia nell’Informativa che nella bacheca esposta al pubblico del Poliambulatorio Fisiogym, sono presenti i riferimenti del Garante per la privacy a cui poter inviare liberamente un reclamo.

 

 

Settimo: il diritto di rettifica

Il diritto di rettifica potrà essere esercitato ogni qualvolta l’interessato (la persona cui appartengono i dati) riscontri l’utilizzo di dati personali inesatti.

L’inesattezza dei dati posseduti dal titolare del trattamento è un’ipotesi che può verificarsi e che può avere anche conseguenze rilevanti per l’ospite/utente. Da qui la necessità di fornire gli utenti del diritto ad ottenere la rettifica dei dati, al fine di evitare che l’errore possa danneggiarli o, comunque, avere conseguenze negative.

 

Il Poliambulatorio Fisiogym indica nell’Informativa la possibilità di chiedere la rettifica dei dati qualora non siano corretti, richiedendo la cancellazione di eventuali dati sovrabbondanti ma non di quelli richiesti per Legge dal Titolare.

 

 

Ottavo: la revoca del consenso

La revoca del consenso non è sottoposta ad alcun vincolo o condizione né di carattere temporale né di natura strutturale. Cosi come viene garantita la possibilità di esprimere un consenso “libero”, il Regolamento garantisce il diritto di revocare il consenso con la stessa “libertà”.
Il diritto di revocare il consenso è, pertanto, esercitabile in qualsiasi momento. Ovviamente il trattamento dei dati avvenuto nell’arco di tempo coperto dal consenso espresso, resta lecito. Inoltre, occorre che non siano stabilite modalità di revoca del consenso più articolate (finalizzate a disincentivare la revoca) rispetto a quelle di prestazione dello stesso.
Di ciò, ossia del diritto di revocare il consenso, il paziente avrà notizia già nel momento stesso in cui presta il consenso.

Dal Poliambulatorio Fisiogym viene assicurato il diritto alla revoca del consenso segnalandolo al Titolare, assumendosene le ricadute (temine di erogazione del servizio).

 

 

Nono: il diritto all’oblio

La finalità principale di questo diritto riconosciuto al paziente consiste nella possibilità di chiedere la cancellazione dei propri dati personali e nella pretesa che tali informazioni non vengano più fatte oggetto di trattamento.

La conservazione dei dati sanitari è sottoposta alle leggi dello Stato in materia. Per questo la conservazione dei dati presso il Poliambulatorio Fisiogym è illimitata.

Decimo: il diritto di limitazione del trattamento

Il diritto di limitazione del trattamento è attivabile dal paziente ogni qualvolta vi sia una situazione da verificare o un conflitto tra interessato e titolare del trattamento.
Al fine di evitare che questo tempo di sospensione necessario per dirimere l’eventuale controversia possa, pur esso, rappresentare un ulteriore aggravio per il paziente, si è ritenuto opportuno creare una sorta di “sospensione” per mezzo della quale si opera una limitazione temporale del trattamento in attesa di conoscere la sorte dei dati.

Il paziente può chiedere al Poliambulatorio Fisiogym (titolare del trattamento), ed ha il diritto di ottenerla, una limitazione di uso dei dati. La richiesta deve essere motivata facendo riferimento ad una contestazione sull’esattezza dei dati, su un ipotizzato trattamento illecito o anche perché ci si è opposti al trattamento. Tuttavia, tale limitazione sarà compatibile con la prestazione erogata al paziente. Qualora non sia possibile garantire questa compatibilità, la prestazione al paziente sarà interrotta.

Undicesimo: il diritto alla portabilità dei dati

Il diritto alla portabilità dei dati è predisposto, funzionalmente, sul riconoscimento del diritto del paziente di trasmettere i propri dati, forniti ad un titolare del trattamento, ad altro titolare.

Tuttavia, il paziente non può opporsi al trattamento perché i dati sanitari acquisiti hanno conservazione illimitata.

Dodicesimo: il diritto di opporsi al trattamento dei dati personali

Il diritto di opporsi al trattamento dei dati personali può essere esercitato dal paziente in qualsiasi momento.
Tale diritto afferma che non vi sono motivi particolari che devono essere addotti alla base della richiesta, ricevuta la quale, al titolare del trattamento non resterà altro da fare che astenersi dal trattare ulteriormente i dati, a meno che non dimostri l’esistenza di motivi legittimi cogenti che prevalgono su quelli dell’ interessato.
Anche questo diritto dell’interessato viene comunicato in sede di richiesta iniziale del consenso.

Tuttavia, sempre nell’Informativa viene esplicitato che il paziente non può opporsi al trattamento perché i dati acquisiti hanno conservazione illimitata.

7. I poteri dell’autorità di controllo (Garante privacy)

All’autorità di controllo, in Italia è il Garante Privacy, sono conferiti poteri di indagine, correttivi, autorizzativi e consultivi, oltre al potere di infliggere sanzioni amministrative pecuniarie.
Tali poteri possono esercitati direttamente dal garante o, indirettamente, con l’ausilio del Nucleo Speciale della Guardia di Finanza.

8. Sanzioni amministrative per violazioni del Regolamento

Ci si riferisce alle violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile di cui ai seguenti articoli:

  • 8 (consenso dei minori),
  • art, 10 (trattamenti che non richiedono l’identificazione degli interessati),
  • 23 (privacy by design e privacy by default),
  • 24 (contitolarità del trattamento),
  • 25 (nomina rappresentante del Titolare non stabilito nell’Unione Europea),
  • 26 (Responsabili del trattamento),
  • 27 (istruzioni e autorità del Titolare),
  • 28 (documentazione relativa a ciascun trattamento di dati personali),
  • 29 (cooperazione con l’Autorità di vigilanza),
  • 30 (sicurezza del trattamento),
  • 3I (notificazione dei data breach all’Autorità),
  • 32 (comunicazione dei data breach agli interessati),
  • 33 (DPIA — Data Protection Impact Assessment),
  • 34 (consultazione preventiva dell’Autorità di vigilanza),
  • artt, 35, 36 e 37 (designazione, posizione e compiti del DPO — Data Protection Officer),
  • 39 (compiti del Responsabile della protezione dei dati)
  • 40 (processi di certificazione).

Sanzioni amministrative fino a 20 milioni di curo, o in caso di un’impresa, fino al 4% del fatturato totale annuo mondiale.

Sono soggette a sanzioni amministrative fino a 20 milioni di euro, o in caso di un’impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, sono invece previste per le violazioni in materia di;

  • principi base del trattamento, (art. 5 e ss.)
  • condizioni per il consenso, (art. 7 e ss.)
  • diritti degli interessati, (art. 12 e ss,)
  • trasferimento di dati personali all’estero, (artt. 44 e ss.)
  • mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall’Autorità di vigilanza. (art. 58)

9. Sanzioni penali per la violazione al Regolamento

Le sanzioni penali rimangono di competenza di ogni singolo Stato, che deve predisporre sanzioni “effettive, proporzionate e dissuasive”.

10. Le responsabilità e le sanzioni

Chi risponde delle violazioni

Nella individuazione del soggetto a cui imputare un profilo di responsabilità, si dovrà operare in base alla legge n. 689/1981 la quale prevede che la notificazione del verbale (redatto dall’Autorità Garante della Privacy o dal Nucleo Speciale della Guardia di Finanza) venga effettuata al contravventore e al responsabile in solido, purché quest’ultima figura sia stata formalmente designata e siano riscontrate anche inadempienze gravi imputabili a tale ruolo.

Inoltre, l’art. 3 della legge n. 689/1981 prevede che la violazione amministrativa sia applicata anche qualora ricorra solo la colpa dell’agente, questo ha risvolti particolarmente rilevanti sul piano operativo,

Mentre l’art. 167 del vecchio Codice in materia di protezione dei dati personali (d.lgs. n. 196/2003) disciplinava il trattamento illecito come un reato a dolo specifico e richiedeva anche il nocumento (danno patrimoniale apprezzabile), questi due elementi non sono necessari affinché ricorra la violazione amministrativa.

Con il Regolamento é sufficiente che manchi l’informativa o consenso o che il consenso prestato non abbia i requisiti di legge perché venga applicata la violazione amministrativa.

A tale riguardo diversi articoli del Regolamento europeo rafforzano gli obblighi generali e di sicurezza del trattamento in capo al responsabile del trattamento (esterno al Poliambulatorio Fisiogym), dagli articoli 28 e 30 all’alt 33 sulla notificazione della violazione dei dati, infine, l’articolo 83, dando rilevanza al grado di responsabilità tra titolare e responsabile rende esplicita l’attribuzione anche al responsabile dell’illecito amministrativo.

11. Riferimenti

https://www.garanteprivacy.it/web/guest/regolamentoue