{"id":24292,"date":"2024-06-30T20:09:37","date_gmt":"2024-06-30T19:09:37","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/it\/?p=24292"},"modified":"2026-06-16T15:02:51","modified_gmt":"2026-06-16T14:02:51","slug":"ruolo-del-responsabile-del-trattamento","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/it\/tech-e-digitale\/privacy-dati-e-sicurezza-informatica\/ruolo-del-responsabile-del-trattamento\/","title":{"rendered":"Ruolo del responsabile del trattamento"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"24292\" class=\"elementor elementor-24292\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-efe9bdf elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"efe9bdf\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-4263bd18\" data-id=\"4263bd18\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-5602332d elementor-widget elementor-widget-text-editor\" data-id=\"5602332d\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-start=\"65\" data-end=\"2087\">Il responsabile del trattamento occupa, nell\u2019ambito del Regolamento generale sulla protezione dei dati, una posizione che va ben oltre l\u2019immagine tradizionale di un prestatore esterno incaricato di compiere meri atti tecnici. In un\u2019economia digitale nella quale infrastrutture cloud, piattaforme SaaS, fornitori di servizi gestiti, data center, fornitori di cybersicurezza, sistemi HR, prestatori di servizi di pagamento, tecnologie di marketing e servizi specializzati di analytics sostengono una parte sostanziale del trattamento operativo dei dati, il responsabile del trattamento si colloca al centro della catena del rischio digitale. La qualificazione giuridica come responsabile del trattamento resta formalmente collegata al trattamento effettuato per conto del titolare del trattamento, ma la sua rilevanza pratica \u00e8 divenuta notevolmente pi\u00f9 incisiva. Un responsabile del trattamento pu\u00f2 avere accesso a insiemi di dati estesi, gestire sistemi critici, determinare impostazioni di sicurezza, facilitare la registrazione dei log, rilevare violazioni dei dati personali, eseguire processi di ripristino e avvalersi di sub-responsabili all\u2019interno di catene internazionali. In tal modo, il suo ruolo incide direttamente su affidabilit\u00e0, continuit\u00e0, riservatezza, disponibilit\u00e0 e controllabilit\u00e0. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, tale posizione assume un rilievo particolarmente elevato, poich\u00e9 i dati personali non sono soltanto sensibili sotto il profilo della protezione della vita privata, ma costituiscono anche un obiettivo appetibile per frodi, abuso di identit\u00e0, presa di controllo di account, phishing, ransomware, compromissione della posta elettronica aziendale e altri rischi di criminalit\u00e0 digitale. Il responsabile del trattamento non \u00e8 quindi una parte contrattuale periferica, ma un anello della catena la cui qualit\u00e0 contribuisce a determinare se i dati personali restino effettivamente protetti contro abuso, manipolazione, perdita e accesso non autorizzato.<\/p><p data-start=\"2089\" data-end=\"4009\">La questione centrale nel ricorso a un responsabile del trattamento non consiste soltanto nel verificare l\u2019esistenza di un accordo sul trattamento dei dati, ma nel valutare se il rapporto effettivo sia stato strutturato in modo sufficientemente governabile, verificabile ed esigibile. Un accordo meramente cartaceo, privo di controllo operativo, offre una protezione limitata quando restano incerti il luogo di conservazione dei dati, i sub-responsabili coinvolti, le modalit\u00e0 di segnalazione degli incidenti, gli standard di sicurezza applicabili, il modo in cui vengono implementate le modifiche del servizio e le modalit\u00e0 pratiche di esercizio dei diritti degli interessati. Il Regolamento generale sulla protezione dei dati attribuisce pertanto grande rilievo a istruzioni, sicurezza, riservatezza, controllo della catena, assistenza, cessazione del rapporto e dimostrabilit\u00e0. Tali obblighi non devono essere intesi come clausole contrattuali isolate, bens\u00ec come requisiti di governance interdipendenti che determinano se un trattamento esternalizzato dei dati possa avvenire in modo responsabile. Nel contesto della Gestione integrata dei rischi di criminalit\u00e0 digitale, ci\u00f2 significa che i rapporti con i responsabili del trattamento devono essere valutati sotto il profilo della liceit\u00e0 giuridica, della resilienza digitale, della dipendenza dalla catena, della solidit\u00e0 probatoria e del controllo direzionale. Un\u2019organizzazione che esternalizza il trattamento dei dati resta responsabile dell\u2019idoneit\u00e0 del responsabile del trattamento, della sufficiente concretezza degli accordi e della possibilit\u00e0 di monitorare la conformit\u00e0 durante l\u2019intero rapporto. Il responsabile del trattamento \u00e8 quindi al tempo stesso soggetto esecutivo e punto di rischio: limitato nella determinazione giuridica delle finalit\u00e0, ma fortemente influente nella protezione, nella continuit\u00e0 e nell\u2019integrit\u00e0 effettive dei dati personali.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-ea4837b elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"ea4837b\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-75fba59\" data-id=\"75fba59\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-0289813 elementor-widget elementor-widget-text-editor\" data-id=\"0289813\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h4 data-start=\"4011\" data-end=\"4066\">Trattamento per conto del titolare del trattamento<\/h4><p data-start=\"4068\" data-end=\"5552\">Il responsabile del trattamento non tratta i dati personali per finalit\u00e0 proprie, ma esclusivamente per conto e su incarico del titolare del trattamento. Questo principio costituisce l\u2019ancoraggio giuridico del ruolo del responsabile del trattamento ai sensi del Regolamento generale sulla protezione dei dati. Il titolare del trattamento determina perch\u00e9 i dati personali vengono trattati, per quale finalit\u00e0 ci\u00f2 avviene e all\u2019interno di quale quadro essenziale il trattamento si svolge. Il responsabile del trattamento dei dati compie invece le operazioni materiali necessarie per eseguire tale trattamento, come hosting, conservazione, manutenzione, supporto tecnico, trattamento amministrativo, monitoraggio della sicurezza, gestione dei backup o servizi di piattaforma. Questa ripartizione dei ruoli non \u00e8 una formalit\u00e0, ma determina l\u2019intera distribuzione delle responsabilit\u00e0 all\u2019interno della catena del trattamento dei dati. Quando il responsabile del trattamento utilizza dati personali per una propria finalit\u00e0 commerciale, per proprie analisi, per lo sviluppo di prodotti al di fuori del servizio concordato o per il riutilizzo a favore di altri clienti, sorge immediatamente una tensione con la qualificazione come responsabile del trattamento. L\u2019essenza del trattamento per conto altrui risiede quindi nella subordinazione funzionale: il responsabile del trattamento pu\u00f2 agire entro i limiti dell\u2019incarico, ma non oltre la finalit\u00e0 per la quale i dati sono stati forniti.<\/p><p data-start=\"5554\" data-end=\"7190\">Nell\u2019ambito di servizi digitali complessi, tale delimitazione diventa sempre pi\u00f9 vulnerabile. Molti responsabili del trattamento offrono piattaforme standardizzate nelle quali configurazione tecnica, impostazioni di sicurezza, luoghi di conservazione e processi operativi sono in larga misura determinati dal prestatore del servizio. Il titolare del trattamento pu\u00f2 quindi impartire formalmente istruzioni, mentre lo spazio operativo effettivo \u00e8 ampiamente modellato dalle condizioni standard del fornitore, dai limiti tecnici e dai moduli contrattuali. Questa realt\u00e0 non riduce l\u2019importanza della qualificazione come responsabile del trattamento, ma richiede una verifica pi\u00f9 rigorosa. Il trattamento per conto del titolare presuppone che siano stabiliti in anticipo quali operazioni di trattamento avranno luogo, quali categorie di dati saranno interessate, quali interessati saranno coinvolti, quali sistemi saranno utilizzati, quali possibilit\u00e0 di accesso esisteranno e quali limiti si applicheranno all\u2019uso, alla conservazione, al trasferimento e alla cancellazione. Senza tale livello di specificit\u00e0, il rapporto di incarico pu\u00f2 facilmente trasformarsi in un rapporto di dipendenza diffusa, nel quale il titolare del trattamento dispone di una visibilit\u00e0 insufficiente sul trattamento effettivo dei dati personali. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, ci\u00f2 \u00e8 problematico, perch\u00e9 l\u2019incertezza relativa a incarico, accesso e limitazione delle finalit\u00e0 aumenta il rischio di flussi di dati non controllati, scelte di sicurezza deboli e insufficiente rilevazione dei rischi di criminalit\u00e0 digitale.<\/p><p data-start=\"7192\" data-end=\"8725\">Un rapporto con il responsabile del trattamento strutturato con cura inizia pertanto con una valutazione sostanziale del servizio prima che qualsiasi dato personale venga trattato. Il titolare del trattamento deve poter stabilire se il trattamento sia realmente necessario per la finalit\u00e0 prevista, se il responsabile del trattamento agir\u00e0 esclusivamente entro tale finalit\u00e0 e se il servizio sia sufficientemente trasparente da consentire un controllo effettivo. Ci\u00f2 implica una descrizione chiara della natura e della finalit\u00e0 del trattamento, della durata del trattamento, delle tipologie di dati personali, delle categorie di interessati e degli obblighi del responsabile del trattamento. Tali elementi non possono rimanere a un livello di formulazione generale, poich\u00e9 espressioni generiche offrono scarso sostegno in caso di controversie, incidenti o richieste da parte dell\u2019autorit\u00e0 di controllo. Il rapporto di incarico deve essere sufficientemente concreto da permettere di stabilire, sul piano giuridico e operativo, quali atti siano consentiti e quali atti eccedano l\u2019incarico. In tal modo, il responsabile del trattamento dei dati viene inserito in una struttura pi\u00f9 ampia di gestione della criminalit\u00e0 digitale, nella quale l\u2019esternalizzazione non conduce a una perdita di controllo, bens\u00ec a un\u2019esecuzione controllata entro confini chiari. Il responsabile del trattamento pu\u00f2 occupare una posizione tecnicamente forte, ma tale posizione deve restare sempre subordinata all\u2019incarico conferito dal titolare del trattamento.<\/p><h4 data-start=\"8727\" data-end=\"8764\">Vincolo a istruzioni documentate<\/h4><p data-start=\"8766\" data-end=\"10181\">L\u2019obbligo di agire esclusivamente sulla base di istruzioni documentate costituisce una delle garanzie pi\u00f9 essenziali nel rapporto tra titolare del trattamento e responsabile del trattamento dei dati. Le istruzioni formano il quadro giuridico e operativo entro il quale il responsabile del trattamento pu\u00f2 raccogliere, consultare, conservare, modificare, proteggere, trasferire, cancellare o trattare in altro modo dati personali. In assenza di tali istruzioni, manca la delimitazione normativa del trattamento e sorge il rischio che il responsabile del trattamento attribuisca una propria interpretazione agli atti consentiti. Il Regolamento generale sulla protezione dei dati richiede quindi pi\u00f9 di accordi orali o riferimenti generali al servizio. Le istruzioni devono essere registrate, verificabili e sufficientemente specifiche rispetto alla natura del trattamento. Ci\u00f2 riguarda non solo i compiti svolti dal responsabile del trattamento, ma anche le limitazioni: quali dati non possono essere utilizzati, quali trattamenti sono esclusi, quali luoghi sono vietati, quali livelli di accesso si applicano e quali condizioni disciplinano le modifiche. Le istruzioni documentate rendono il rapporto di trattamento controllabile e costituiscono una prova essenziale quando un\u2019autorit\u00e0 di controllo, un giudice, un interessato o un audit interno chiedono perch\u00e9 un determinato trattamento dei dati abbia avuto luogo.<\/p><p data-start=\"10183\" data-end=\"11738\">Nelle catene digitali, l\u2019importanza delle istruzioni documentate aumenta perch\u00e9 il trattamento dei dati avviene spesso mediante processi automatizzati che non vengono valutati separatamente in ogni singola occasione. Una piattaforma software pu\u00f2 generare automaticamente log, conservare metadati, creare backup, analizzare il comportamento degli utenti, elaborare avvisi di sicurezza o replicare dati in ambienti diversi. Tali processi possono essere funzionalmente necessari, ma devono comunque rientrare nell\u2019ambito dell\u2019incarico. Le istruzioni devono quindi contenere non soltanto linguaggio giuridico, ma anche riflettere la realt\u00e0 tecnica. Deve essere chiaro come scorrono i flussi di dati, quali azioni di sistema avvengono per impostazione predefinita, quali scelte sono configurabili e quali trattamenti derivano da sicurezza, manutenzione, risoluzione dei problemi o gestione delle prestazioni. Quando questi livelli tecnici restano fuori dal campo visivo, un titolare del trattamento pu\u00f2 aver impartito formalmente istruzioni, mentre parti essenziali del trattamento effettivo non sono state realmente delimitate. Nel quadro della Gestione integrata dei rischi di criminalit\u00e0 digitale, questo aspetto merita particolare attenzione, perch\u00e9 gli aggressori sfruttano spesso debolezze tecniche, percorsi di accesso non controllati e diritti di sistema poco chiari. Le istruzioni documentate non sono quindi rilevanti soltanto ai fini del diritto della protezione dei dati, ma costituiscono anche uno strumento di gestione della criminalit\u00e0 digitale.<\/p><p data-start=\"11740\" data-end=\"13283\">Un responsabile del trattamento dei dati deve inoltre essere in grado di individuare situazioni in cui un\u2019istruzione sia poco chiara, contraddittoria o potenzialmente illecita. Il responsabile del trattamento non \u00e8 un controllore indipendente del titolare del trattamento, ma non pu\u00f2 nemmeno eseguire ciecamente istruzioni manifestamente contrarie agli obblighi in materia di protezione dei dati. In un rapporto solido con il responsabile del trattamento viene quindi stabilito come le istruzioni sono impartite, modificate, confermate e documentate, chi \u00e8 autorizzato a impartirle e come avviene l\u2019escalation quando un\u2019istruzione \u00e8 giuridicamente o tecnicamente problematica. Questo livello procedurale impedisce che decisioni cruciali scompaiano in e-mail isolate, ticket di supporto informali o accordi operativi privi di garanzia direzionale. In particolare nei casi di risposta agli incidenti, migrazioni, modifiche dei sistemi, esportazione dei dati, richieste di cancellazione e misure urgenti, \u00e8 essenziale che le istruzioni siano rapide, chiare e probatoriamente affidabili. Il valore delle istruzioni non risiede soltanto nella delimitazione preventiva, ma anche nella responsabilizzazione dimostrabile ex post. Un responsabile del trattamento che pu\u00f2 dimostrare che il trattamento \u00e8 avvenuto esclusivamente entro parametri scritti e stabiliti rafforza la posizione del titolare del trattamento e riduce il rischio che l\u2019esternalizzazione venga considerata come un trasferimento non controllato di potere fattuale sui dati personali.<\/p><h4 data-start=\"13285\" data-end=\"13339\">Assenza di determinazione autonoma delle finalit\u00e0<\/h4><p data-start=\"13341\" data-end=\"14748\">Il responsabile del trattamento dei dati, in linea di principio, non determina autonomamente le finalit\u00e0 e i mezzi essenziali del trattamento. Questo lo distingue dal titolare del trattamento e costituisce un elemento centrale della qualificazione ai sensi del Regolamento generale sulla protezione dei dati. La determinazione delle finalit\u00e0 riguarda la domanda del perch\u00e9 i dati personali vengano trattati e quale risultato il trattamento intenda conseguire. I mezzi essenziali riguardano scelte fondamentali, come quali dati personali siano necessari, quali interessati siano coinvolti, per quanto tempo i dati siano conservati, a chi vengano comunicati e su quale base giuridica il trattamento avvenga. Il responsabile del trattamento pu\u00f2 effettuare scelte pratiche o tecniche quando esse rientrano nell\u2019incarico, ma non pu\u00f2 determinare autonomamente l\u2019orientamento normativo del trattamento. Quando, ad esempio, un fornitore utilizza dati dei clienti per costruire propri profili, combina insiemi di dati per migliorare propri prodotti, impiega dati per finalit\u00e0 di marketing indipendenti o decide autonomamente che i dati saranno conservati pi\u00f9 a lungo di quanto richiesto dall\u2019incarico, il ruolo pu\u00f2 spostarsi verso quello di titolare del trattamento. Tale spostamento pu\u00f2 avere conseguenze rilevanti in materia di responsabilit\u00e0, trasparenza, contrattualistica, controllo e diritti degli interessati.<\/p><p data-start=\"14750\" data-end=\"16133\">Nella pratica, la distinzione tra margine decisionale tecnico e determinazione autonoma delle finalit\u00e0 \u00e8 spesso delicata. I responsabili del trattamento dispongono frequentemente di competenze specialistiche che il titolare del trattamento non possiede internamente. Essi determinano quali tecniche di sicurezza vengono utilizzate, come viene configurata l\u2019infrastruttura, come avviene il monitoraggio, quale strategia di backup viene applicata e come vengono sviluppate le funzionalit\u00e0 della piattaforma. Ci\u00f2 non li trasforma automaticamente in titolari del trattamento. La competenza tecnica esercitata nel quadro di un incarico resta compatibile con il ruolo di responsabile del trattamento, purch\u00e9 il trattamento resti funzionale alla finalit\u00e0 determinata dal titolare del trattamento. Il limite viene superato quando il responsabile del trattamento inizia a utilizzare dati personali per un interesse proprio non necessario al servizio concordato, oppure quando decide di fatto sul nucleo del trattamento. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, tale limite deve essere sorvegliato con attenzione, perch\u00e9 l\u2019ambiguit\u00e0 dei ruoli conduce a responsabilit\u00e0 incerte in caso di incidenti, violazioni dei dati, accessi non autorizzati, trasferimenti e abuso dei dati. L\u2019ambiguit\u00e0 dei ruoli costituisce un autonomo punto di rischio nelle catene digitali.<\/p><p data-start=\"16135\" data-end=\"17710\">Contratti, due diligence e governance operativa devono pertanto esaminare espressamente quali decisioni il responsabile del trattamento dei dati assuma autonomamente e quali decisioni rientrino nelle istruzioni del titolare del trattamento. Espressioni generali come \u201cmiglioramento del servizio\u201d, \u201csecurity analytics\u201d, \u201cottimizzazione della piattaforma\u201d o \u201cinsight sugli utenti\u201d possono risultare giuridicamente problematiche quando non \u00e8 chiaro se dati personali siano utilizzati per tali finalit\u00e0 e per quale ragione. Neppure la pseudonimizzazione o l\u2019aggregazione eliminano automaticamente ogni rischio, specialmente quando rimane possibile la reidentificazione o la combinazione con altri insiemi di dati. Il titolare del trattamento deve poter valutare se tali forme di trattamento rientrino nell\u2019incarico o richiedano basi giuridiche separate, obblighi di trasparenza distinti e una diversa ripartizione dei ruoli. Un responsabile del trattamento che mantiene la purezza del proprio ruolo limita l\u2019uso dei dati personali a quanto necessario per il servizio, sottopone trattamenti ulteriori a una valutazione separata e si astiene da sfruttamenti autonomi privi di una chiara base giuridica. In tal modo si evita che l\u2019esternalizzazione si trasformi gradualmente in un potere condiviso o autonomo sui dati. Per la gestione della criminalit\u00e0 digitale, tale chiarezza \u00e8 di grande importanza, perch\u00e9 ruoli definiti stabiliscono chi debba agire, notificare, indagare, rimediare e rendere conto quando i dati personali sono colpiti da minacce digitali o da carenze operative.<\/p><h4 data-start=\"17712\" data-end=\"17760\">Obbligo di garantire una sicurezza adeguata<\/h4><p data-start=\"17762\" data-end=\"19035\">L\u2019obbligo di adottare misure tecniche e organizzative adeguate rientra tra le responsabilit\u00e0 pi\u00f9 rilevanti del responsabile del trattamento dei dati. Il responsabile del trattamento \u00e8 spesso pi\u00f9 vicino del titolare ai sistemi effettivi, ai diritti di accesso, ai database, alle interfacce, ai log, alle configurazioni cloud e alle misure di sicurezza. Di conseguenza, esercita un\u2019influenza diretta sulla protezione dei dati personali contro perdita, accesso non autorizzato, distruzione, alterazione, esfiltrazione o trattamento illecito. La sicurezza adeguata deve essere valutata in relazione al rischio, al contesto, allo stato dell\u2019arte, ai costi di attuazione, alla natura dei dati personali, all\u2019estensione del trattamento e alle possibili conseguenze per gli interessati. Una promessa generica secondo cui la sicurezza sarebbe \u201cadeguata\u201d non \u00e8 sufficiente. Il responsabile del trattamento deve poter dimostrare concretamente quali misure siano state adottate, come tali misure siano mantenute, come siano gestite le vulnerabilit\u00e0, come sia limitato l\u2019accesso, come avvenga la registrazione dei log e come sia organizzato il ripristino dopo un incidente. La sicurezza non \u00e8 dunque un allegato del servizio, ma una condizione essenziale per la liceit\u00e0 del trattamento.<\/p><p data-start=\"19037\" data-end=\"20463\">Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, questo obbligo di sicurezza assume una dimensione ulteriore. I dati personali sono spesso il carburante della criminalit\u00e0 digitale. Credenziali di accesso, copie di documenti di identit\u00e0, dati finanziari, recapiti, informazioni mediche, fascicoli HR, profili clienti e dati di comunicazione possono essere utilizzati per phishing, frode d\u2019identit\u00e0, estorsione, ransomware, ingegneria sociale, presa di controllo di account e attacchi mirati contro organizzazioni o individui. Un responsabile del trattamento che consente autenticazione debole, applica una segmentazione insufficiente, non monitora i log, trascura la gestione delle patch o controlla in modo insufficiente i sub-responsabili aumenta non solo i rischi per la protezione dei dati, ma anche rischi pi\u00f9 ampi di criminalit\u00e0 digitale. La sicurezza adeguata deve pertanto essere affrontata come una combinazione di prevenzione, rilevazione, risposta e ripristino. La prevenzione riguarda misure quali cifratura, limitazione degli accessi, autenticazione a pi\u00f9 fattori, minimizzazione dei dati, hardening e configurazione sicura. La rilevazione riguarda monitoraggio, logging, individuazione di anomalie e alerting. La risposta riguarda procedure di incidente, escalation, contenimento e conservazione forense. Il ripristino riguarda backup, misure di continuit\u00e0, test di recupero e valutazione.<\/p><p data-start=\"20465\" data-end=\"21858\">Nella selezione e nel monitoraggio di un responsabile del trattamento dei dati, il titolare del trattamento deve quindi valutare sostanzialmente se il livello di sicurezza sia adeguato alla natura del trattamento. Certificazioni, relazioni di assurance, penetration test, documenti di policy e dichiarazioni di sicurezza possono essere rilevanti, ma non devono essere accettati acriticamente come prova sufficiente. La domanda centrale resta se le misure corrispondano al trattamento concreto e se il responsabile del trattamento sia in grado di mantenere la sicurezza per l\u2019intera durata del servizio. Anche la gestione dei cambiamenti \u00e8 rilevante. Nuove funzionalit\u00e0, migrazioni, sub-responsabili modificati, luoghi di conservazione differenti o modelli di accesso alterati possono modificare sostanzialmente il profilo di rischio. L\u2019obbligo di sicurezza adeguata \u00e8 quindi dinamico: ci\u00f2 che oggi \u00e8 difendibile pu\u00f2 risultare insufficiente domani a causa di nuove minacce, vulnerabilit\u00e0 tecniche o mutati flussi di dati. Nell\u2019ambito della gestione della criminalit\u00e0 digitale, ci\u00f2 significa che la sicurezza non pu\u00f2 limitarsi a garanzie contrattuali al momento della sottoscrizione. Valutazione continua, reporting, analisi degli incidenti e seguito direzionale sono necessari per evitare che il responsabile del trattamento dei dati diventi il punto debole nella protezione dei dati personali.<\/p><h4 data-start=\"21860\" data-end=\"21890\">Segretezza e riservatezza<\/h4><p data-start=\"21892\" data-end=\"23180\">Segretezza e riservatezza costituiscono uno strato fondamentale di protezione in ogni rapporto con un responsabile del trattamento. Il responsabile del trattamento dei dati deve garantire che le persone autorizzate ad accedere ai dati personali siano soggette a un adeguato obbligo di riservatezza. Tale obbligo riguarda non soltanto i dipendenti permanenti, ma anche personale temporaneo, specialisti esterni, addetti al supporto, amministratori, sviluppatori, consulenti e altre persone che possano ottenere accesso ai dati personali tramite il responsabile del trattamento. La riservatezza \u00e8 pi\u00f9 di una clausola in un contratto di lavoro o in un codice di condotta generale. Essa riguarda una limitazione reale dell\u2019accesso, della conoscenza e dell\u2019uso. Solo le persone che necessitano dei dati personali per l\u2019esecuzione dell\u2019incarico possono ottenere accesso, e tale accesso deve essere limitato, registrato e controllato. Senza tali misure, la riservatezza rimane una garanzia meramente documentale. Il Regolamento generale sulla protezione dei dati richiede che la riservatezza sia concretamente integrata mediante gestione delle autorizzazioni, accessi basati sui ruoli, formazione, logging, revisioni degli accessi e conseguenze disciplinari o contrattuali in caso di violazione.<\/p><p data-start=\"23182\" data-end=\"24496\">Il significato della riservatezza \u00e8 particolarmente rilevante negli ambienti digitali nei quali l\u2019accesso ai dati personali pu\u00f2 avvenire da remoto, tramite portali di supporto, strumenti di gestione, API o account amministrativi. Un dipendente di un responsabile del trattamento pu\u00f2 talvolta ottenere in breve tempo accesso a grandi volumi di dati sensibili. Una singola debolezza nell\u2019autorizzazione, nella verifica delle persone o nella supervisione pu\u00f2 quindi causare un danno significativo. La riservatezza \u00e8 pertanto direttamente collegata a rischi interni, violazioni dei dati personali, ingegneria sociale e abuso di diritti amministrativi. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, la segretezza deve essere collegata a una pi\u00f9 ampia gestione della criminalit\u00e0 digitale. Il rischio non si limita agli aggressori esterni che penetrano nei sistemi; anche l\u2019accesso interno o semi-interno pu\u00f2 essere abusato, estorto o insufficientemente monitorato. Ci\u00f2 comprende consultazioni non autorizzate, esportazioni illecite, manipolazione dei dati, vendita di informazioni, gestione negligente dei dati dei clienti o abuso dei diritti di supporto. Un serio obbligo di riservatezza richiede pertanto una combinazione di vincolo giuridico, disciplina organizzativa e restrizione tecnica.<\/p><p data-start=\"24498\" data-end=\"25926\" data-is-last-node=\"\" data-is-only-node=\"\">Il responsabile del trattamento deve poter dimostrare che la riservatezza \u00e8 garantita all\u2019interno della propria organizzazione e nella catena dei sub-responsabili. Ci\u00f2 significa che gli obblighi di riservatezza devono essere contrattualmente documentati, ma anche che l\u2019accesso ai dati personali deve essere periodicamente riesaminato, che la cessazione del rapporto di lavoro deve comportare una rapida revoca dei diritti, che l\u2019accesso privilegiato deve essere gestito rigorosamente e che gli accessi eccezionali devono essere registrati e valutati. Anche la formazione svolge un ruolo importante. Le persone con accesso ai dati personali devono comprendere quali dati vengono trattati, quali limitazioni si applicano, come riconoscere phishing e ingegneria sociale, come segnalare incidenti e quali conseguenze pu\u00f2 comportare un trattamento non autorizzato. La riservatezza non \u00e8 quindi un obbligo statico, ma un processo attivo di controllo. Un responsabile del trattamento dei dati che prende sul serio la riservatezza limita l\u2019accesso a quanto strettamente necessario, monitora costantemente tale accesso e crea una cultura dimostrabile di cura intorno ai dati personali. Ci\u00f2 non rafforza soltanto il rapporto con il responsabile del trattamento sul piano giuridico, ma lo rende anche pi\u00f9 resiliente rispetto ai rischi di criminalit\u00e0 digitale derivanti da errore umano, vulnerabilit\u00e0 interne e abuso di autorit\u00e0 operative.<\/p><h4 data-start=\"0\" data-end=\"69\">Ricorso a sub-responsabili del trattamento soggetto a condizioni<\/h4><p data-start=\"71\" data-end=\"1404\">Il ricorso a sub-responsabili del trattamento rientra tra gli aspetti pi\u00f9 sensibili del rapporto con il responsabile del trattamento, poich\u00e9 i dati personali non rimangono pi\u00f9 esclusivamente all\u2019interno della sfera operativa diretta del responsabile principale. Ogni sub-responsabile aggiunge un ulteriore anello alla catena del trattamento dei dati e, con esso, un ulteriore punto in cui riservatezza, disponibilit\u00e0, integrit\u00e0, trasferimento, sicurezza e controllo possono essere compromessi. Il Regolamento generale sulla protezione dei dati richiede pertanto che un responsabile del trattamento non possa liberamente ricorrere ad altri responsabili senza previa autorizzazione o senza un quadro contrattuale che garantisca lo stesso livello di protezione previsto nel rapporto originario di trattamento. Tale requisito riveste importanza fondamentale, poich\u00e9 il titolare del trattamento non deve trovarsi, a posteriori, di fronte a una catena effettiva di fornitori, soggetti di hosting, prestatori di supporto, partner infrastrutturali o societ\u00e0 estere del gruppo di cui non aveva preventiva conoscenza. Il ricorso a sub-responsabili modifica la natura del rischio: laddove inizialmente esisteva un solo rapporto contrattuale, sorge una catena nella quale ogni anello pu\u00f2 rafforzare o indebolire la protezione dei dati personali.<\/p><p data-start=\"1406\" data-end=\"2794\">Nella pratica, il sub-trattamento \u00e8 spesso incorporato nei servizi digitali moderni. I fornitori cloud operano con data center, reti di distribuzione dei contenuti, sedi di supporto, fornitori di sicurezza, componenti di analytics e moduli software di terzi. Le piattaforme SaaS possono fare affidamento su hosting esterno, fornitori di posta elettronica, servizi di logging, strumenti di monitoraggio, soluzioni di autenticazione e prestatori di supporto clienti. Di conseguenza, un rapporto con un responsabile del trattamento apparentemente semplice pu\u00f2 in realt\u00e0 poggiare su una catena internazionale e tecnicamente stratificata. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, tale catena deve essere visibile, valutabile e contrattualmente controllabile. Non \u00e8 rilevante soltanto l\u2019identit\u00e0 del sub-responsabile, ma anche la funzione svolta da tale soggetto, le categorie di dati personali interessate, il luogo del trattamento, le misure di sicurezza adottate, ogni eventuale trasferimento al di fuori dello Spazio economico europeo, le procedure di notifica degli incidenti e le possibilit\u00e0 di audit o verifica. Senza queste informazioni, il titolare del trattamento non pu\u00f2 valutare se il ricorso al sub-responsabile sia compatibile con i propri obblighi in materia di protezione dei dati e con il pi\u00f9 ampio quadro di gestione della criminalit\u00e0 digitale.<\/p><p data-start=\"2796\" data-end=\"4312\">Una clausola accuratamente redatta sui sub-responsabili richiede pertanto pi\u00f9 di una generica autorizzazione contenuta in un contratto standard. \u00c8 importante che il titolare del trattamento riceva, in via preventiva o periodica, un elenco aggiornato dei sub-responsabili, che le modifiche sostanziali siano comunicate tempestivamente e che il titolare possa opporsi quando un nuovo sub-responsabile comporti un rischio inaccettabile. Il responsabile principale del trattamento deve inoltre garantire contrattualmente che ciascun sub-responsabile sia vincolato da obblighi equivalenti in materia di sicurezza, riservatezza, istruzioni, risposta agli incidenti, cancellazione, trasferimenti e cooperazione. La responsabilit\u00e0 per una catena adeguatamente controllata non termina con il mero trasferimento di clausole contrattuali. Un responsabile del trattamento che ricorre a sub-responsabili deve poter dimostrare che la selezione \u00e8 stata effettuata con cura, che i rischi sono stati valutati, che le garanzie sono monitorate e che le carenze possono essere seguite da interventi effettivi. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, ci\u00f2 \u00e8 essenziale, poich\u00e9 i rischi di criminalit\u00e0 digitale si materializzano spesso attraverso l\u2019anello pi\u00f9 debole della catena. Un responsabile principale solido perde gran parte del proprio valore se un sub-responsabile non adeguatamente controllato ha accesso a dati personali, dati di logging, backup o sistemi di gestione senza garanzie equivalenti.<\/p><h4 data-start=\"4314\" data-end=\"4374\">Assistenza nell\u2019esercizio dei diritti degli interessati<\/h4><p data-start=\"4376\" data-end=\"5531\">Il responsabile del trattamento svolge un importante ruolo di supporto nell\u2019esercizio dei diritti degli interessati. I diritti di accesso, rettifica, cancellazione, limitazione del trattamento, portabilit\u00e0 dei dati e opposizione possono, sul piano formale, essere rivolti al titolare del trattamento, ma la loro esecuzione pratica dipende spesso da sistemi e ambienti di dati gestiti dal responsabile. Quando i dati personali sono conservati in sistemi cloud, database applicativi, ambienti di backup, portali clienti, file di log o sistemi di supporto tecnico, il titolare del trattamento non pu\u00f2 gestire integralmente o nei tempi richiesti una richiesta di un interessato senza la cooperazione del responsabile del trattamento. L\u2019obbligo di assistenza del responsabile non \u00e8 quindi meramente accessorio, ma incide direttamente sull\u2019effettiva eseguibilit\u00e0 dei diritti in materia di protezione dei dati. Un diritto che esiste sul piano giuridico ma che non pu\u00f2 essere tecnicamente eseguito entro un termine ragionevole perde gran parte del proprio significato e pu\u00f2 condurre a reclami, rischi di intervento dell\u2019autorit\u00e0 di controllo e perdita di fiducia.<\/p><p data-start=\"5533\" data-end=\"6901\">Tale obbligo richiede processi predisposti in anticipo. Non \u00e8 sufficiente che un responsabile del trattamento verifichi soltanto dopo il ricevimento di una richiesta concreta se i dati possano essere localizzati, esportati, corretti o cancellati. Sistemi, processi e accordi contrattuali devono tenere conto dei diritti degli interessati fin dall\u2019inizio. Ci\u00f2 significa che i dati personali devono essere reperibili, le categorie di dati devono essere sufficientemente classificate, devono esistere funzionalit\u00e0 di esportazione, la cancellazione deve essere tecnicamente realizzabile, le limitazioni devono poter essere applicate e deve essere chiaro quali dati si trovino nei sistemi attivi, negli archivi, nei backup, negli ambienti di logging e nelle catene di sub-responsabili. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, questa operazionalizzazione riveste particolare importanza. L\u2019incapacit\u00e0 di localizzare o correggere tempestivamente i dati pu\u00f2 infatti non solo comportare una violazione dei diritti alla protezione dei dati, ma anche determinare processi decisionali errati, identificazioni sbagliate, processi cliente esposti alla frode, segnalazioni ingiustificate o un aumento dei rischi di criminalit\u00e0 digitale. Qualit\u00e0 dei dati, tracciabilit\u00e0 ed esercizio dei diritti sono quindi strettamente connessi all\u2019integrit\u00e0 digitale.<\/p><p data-start=\"6903\" data-end=\"8382\">L\u2019accordo sul trattamento dei dati deve disciplinare in modo concreto come sar\u00e0 prestata l\u2019assistenza relativa ai diritti degli interessati, entro quali termini il responsabile del trattamento dovr\u00e0 rispondere, quali canali di comunicazione saranno utilizzati, quali costi potranno eventualmente essere addebitati, come sar\u00e0 gestita la verifica dell\u2019identit\u00e0 e come sar\u00e0 garantito che il responsabile non prenda decisioni sostanziali riservate al titolare del trattamento. Il responsabile del trattamento deve fornire assistenza, ma non deve determinare senza istruzioni se una richiesta debba essere accolta o respinta, salvo che specifici accordi contrattuali e parametri giuridici lo consentano. Deve inoltre essere garantito che le richieste ricevute direttamente dal responsabile siano immediatamente inoltrate o trattate secondo istruzioni prestabilite. In un quadro correttamente controllato, ogni richiesta \u00e8 considerata come un test della qualit\u00e0 dei dati, della progettazione dei sistemi e dell\u2019accountability. Quando un\u2019organizzazione dipende da un responsabile che non pu\u00f2 fornire un\u2019esportazione affidabile, capacit\u00e0 di ricerca mirata o cancellazione verificabile, sorge una vulnerabilit\u00e0 strutturale. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, il responsabile del trattamento deve pertanto essere valutato in base alla misura in cui il suo servizio tecnico contribuisce effettivamente a trasparenza, controllabilit\u00e0 e tutela giuridica.<\/p><h4 data-start=\"8384\" data-end=\"8486\">Cooperazione in materia di sicurezza, incidenti e valutazioni d\u2019impatto sulla protezione dei dati<\/h4><p data-start=\"8488\" data-end=\"9754\">Il responsabile del trattamento deve sostenere il titolare del trattamento nell\u2019adempimento degli obblighi relativi a sicurezza, violazioni dei dati personali, analisi dei rischi e valutazioni d\u2019impatto sulla protezione dei dati. Tale obbligo di cooperazione deriva dalla posizione del responsabile quale soggetto che spesso dispone della visibilit\u00e0 pi\u00f9 diretta sugli ambienti tecnici, sui log di accesso, sulle configurazioni, sulle vulnerabilit\u00e0, sugli avvisi di sistema, sulle attivit\u00e0 di supporto e sugli incidenti operativi. Il titolare del trattamento pu\u00f2 essere giuridicamente tenuto a valutare le misure di sicurezza, notificare tempestivamente le violazioni dei dati personali o svolgere una valutazione d\u2019impatto sulla protezione dei dati, ma necessita a tal fine di informazioni che spesso si trovano presso il responsabile del trattamento. Un responsabile che fornisce informazioni insufficienti o tardive pu\u00f2 porre il titolare del trattamento in una posizione in cui i termini legali non vengono rispettati, i rischi non sono pienamente compresi e le misure correttive non risultano adeguatamente motivate. La cooperazione non \u00e8 quindi una questione di cortesia, ma una condizione necessaria per una gestione dei rischi lecita, verificabile ed efficace.<\/p><p data-start=\"9756\" data-end=\"11133\">La tempestivit\u00e0 \u00e8 particolarmente importante in caso di incidenti di sicurezza. Una violazione dei dati personali o un incidente cyber pu\u00f2 evolversi pi\u00f9 rapidamente di quanto il processo decisionale giuridico riesca a seguire. Ransomware, furto di credenziali, accesso non autorizzato, malware, configurazioni errate, abuso di API o esfiltrazione possono produrre in breve tempo conseguenze significative per gli interessati e per le organizzazioni. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, deve pertanto essere chiaro in anticipo quali eventi siano qualificati come incidenti, quando l\u2019escalation sia obbligatoria, quali informazioni il responsabile del trattamento debba fornire, quali dati forensi debbano essere preservati, chi sia autorizzato a comunicare, quali misure di contenimento si applichino e come le prove debbano essere messe in sicurezza. Non si tratta soltanto della notifica formale di una violazione dei dati personali, ma anche della qualit\u00e0 della ricostruzione fattuale. Senza logging, cronologie, analisi tecnica, valutazione dell\u2019impatto e visibilit\u00e0 sui dataset interessati, il titolare del trattamento non pu\u00f2 valutare se sia richiesta una notifica all\u2019autorit\u00e0 di controllo o agli interessati. Il responsabile svolge quindi un ruolo determinante nel passaggio dalla perturbazione tecnica alla qualificazione giuridica.<\/p><p data-start=\"11135\" data-end=\"12852\">Il responsabile del trattamento deve inoltre essere in grado di fornire informazioni sostanziali per le valutazioni d\u2019impatto sulla protezione dei dati e per le pi\u00f9 ampie analisi dei rischi. Quando un trattamento pu\u00f2 presentare un rischio elevato per i diritti e le libert\u00e0 degli interessati, pu\u00f2 essere necessaria una valutazione d\u2019impatto sulla protezione dei dati. Il titolare del trattamento ne resta il principale responsabile, ma il responsabile deve poter fornire informazioni sulle funzionalit\u00e0 dei sistemi, sulle misure di sicurezza, sui flussi di dati, sulla gestione degli accessi, sui periodi di conservazione, sui sub-responsabili, sui trasferimenti e sulle limitazioni tecniche. Tali informazioni devono essere sufficientemente concrete da consentire una reale valutazione dei rischi. Dichiarazioni generiche di conformit\u00e0 o documentazione commerciale non sono sufficienti a tale scopo. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, la valutazione d\u2019impatto sulla protezione dei dati deve inoltre essere intesa come qualcosa di pi\u00f9 di una formalit\u00e0 del diritto della protezione dei dati. Essa costituisce uno strumento per esaminare sistematicamente i rischi di criminalit\u00e0 digitale, gli scenari di abuso, le dipendenze, le vulnerabilit\u00e0 e le capacit\u00e0 di risposta. Il responsabile del trattamento non deve quindi limitarsi a rispondere a domande, ma deve contribuire attivamente alla comprensione del funzionamento effettivo della tecnologia. Un responsabile che non offre trasparenza sui processi critici o che non \u00e8 in grado di fornire informazioni adeguate sugli incidenti costituisce un rischio di governance che deve essere valutato prima della conclusione del contratto.<\/p><h4 data-start=\"12854\" data-end=\"12920\">Cancellazione o restituzione dei dati al termine del servizio<\/h4><p data-start=\"12922\" data-end=\"14078\">Dopo la cessazione dei servizi, il responsabile del trattamento deve cancellare o restituire i dati personali al titolare del trattamento, in base alle istruzioni, agli accordi contrattuali e agli eventuali obblighi legali di conservazione. Tale obbligo riveste grande importanza, poich\u00e9 la fine di un rapporto di servizio non significa automaticamente che i dati personali scompaiano effettivamente dai sistemi. I dati possono rimanere negli ambienti di produzione, nei backup, negli archivi, negli ambienti di test, nei file di log, nei ticket di supporto, nelle repliche, negli export, negli archivi temporanei, negli ambienti di disaster recovery o nei sistemi dei sub-responsabili. In assenza di chiari accordi di uscita, permane il rischio che i dati personali restino accessibili, vulnerabili o illecitamente conservati dopo la cessazione del rapporto. La fase di chiusura costituisce quindi un momento critico nel ciclo di vita del trattamento dei dati. Mentre i contratti dedicano spesso grande attenzione all\u2019avvio dei servizi, la Gestione integrata dei rischi di criminalit\u00e0 digitale richiede anche una disciplina precisa della loro conclusione.<\/p><p data-start=\"14080\" data-end=\"15272\">Un processo di uscita accurato deve essere progettato in anticipo e non deve essere improvvisato soltanto quando il rapporto \u00e8 gi\u00e0 sotto pressione o quando la cessazione \u00e8 gi\u00e0 stata comunicata. Il titolare del trattamento deve poter determinare se i dati personali saranno restituiti, in quale formato, entro quale termine, tramite quale canale sicuro, con quale verifica e con quali garanzie di completezza. Quando \u00e8 richiesta la cancellazione, deve essere chiaro quali sistemi siano interessati, come sar\u00e0 eseguita la cancellazione, come saranno coinvolti i sub-responsabili, come saranno trattati i backup e come sar\u00e0 dimostrato che i dati non siano pi\u00f9 disponibili per il trattamento ordinario. I backup richiedono particolare attenzione, perch\u00e9 la cancellazione fisica immediata pu\u00f2 talvolta essere tecnicamente complessa. In tal caso, devono esistere accordi relativi all\u2019isolamento, all\u2019esclusione dall\u2019uso attivo, alla sovrascrittura automatica, ai periodi di conservazione e alle restrizioni sul ripristino. Senza tale precisione, un responsabile pu\u00f2 invocare limitazioni tecniche mentre i dati personali continuano in realt\u00e0 a esistere pi\u00f9 a lungo di quanto necessario o consentito.<\/p><p data-start=\"15274\" data-end=\"16675\">L\u2019obbligo di cancellare o restituire i dati ha rilievo anche per la gestione della criminalit\u00e0 digitale. I dataset residui costituiscono bersagli attraenti per gli aggressori, soprattutto quando ricadono al di fuori del monitoraggio attivo o dei processi ordinari di sicurezza. Vecchi export, file di migrazione, backup o copie di test possono contenere dati personali sensibili senza che l\u2019organizzazione sappia ancora che tali dati esistono. Ci\u00f2 aumenta il rischio di violazioni dei dati personali, frode d\u2019identit\u00e0, accesso non autorizzato e abuso. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, la conservazione dei dati deve pertanto essere considerata non solo come una questione di termini di conservazione, ma anche come una questione di rischio. Quanto pi\u00f9 a lungo i dati personali rimangono inutilmente esistenti, tanto pi\u00f9 ampia diventa la superficie di attacco e tanto pi\u00f9 difficile diventa mantenere il controllo. Un responsabile del trattamento deve quindi poter dimostrare che la cessazione conduce a una chiusura controllata, a un trasferimento sicuro, a una cancellazione dimostrabile e alla revoca degli accessi. Un chiaro accordo di uscita protegge non soltanto la posizione giuridica del titolare del trattamento, ma impedisce anche che il trattamento esternalizzato dei dati continui dopo la cessazione del rapporto sotto forma di vulnerabilit\u00e0 nascosta.<\/p><h4 data-start=\"16677\" data-end=\"16722\">Dimostrabilit\u00e0 e disponibilit\u00e0 all\u2019audit<\/h4><p data-start=\"16724\" data-end=\"17880\">La dimostrabilit\u00e0 costituisce la garanzia conclusiva degli obblighi del responsabile del trattamento. Un responsabile del trattamento deve mettere a disposizione informazioni sufficienti per consentire la verifica della conformit\u00e0 al Regolamento generale sulla protezione dei dati e all\u2019accordo sul trattamento dei dati. Tale obbligo \u00e8 connesso al pi\u00f9 ampio principio di accountability: non \u00e8 richiesto soltanto il rispetto delle regole, ma anche la capacit\u00e0 di dimostrare tale rispetto in modo convincente. Per il titolare del trattamento, ci\u00f2 \u00e8 essenziale, poich\u00e9 la responsabilit\u00e0 formale permane anche quando il trattamento \u00e8 stato esternalizzato. Senza accesso alle informazioni rilevanti, non \u00e8 possibile stabilire se il responsabile del trattamento rispetti le istruzioni, applichi una sicurezza adeguata, gestisca con cura i sub-responsabili, segnali tempestivamente gli incidenti, assista nell\u2019esercizio dei diritti degli interessati e cancelli correttamente i dati dopo la cessazione del rapporto. La dimostrabilit\u00e0 non \u00e8 quindi una questione amministrativa secondaria, ma un presupposto del controllo direzionale e della difendibilit\u00e0 giuridica.<\/p><p data-start=\"17882\" data-end=\"19309\">La disponibilit\u00e0 all\u2019audit deve essere strutturata in modo pratico e proporzionato. Essa pu\u00f2 assumere la forma di relazioni periodiche, certificazioni, attestazioni di assurance, report di sicurezza, risultati di penetration test, informazioni relative alle valutazioni d\u2019impatto sulla protezione dei dati, elenchi di sub-responsabili, report di incidente, documenti di policy, dichiarazioni tecniche o audit mirati. La forma precisa dipende dalla natura del trattamento, dal profilo di rischio, dalla sensibilit\u00e0 dei dati e dalla posizione del responsabile. Un trattamento su larga scala o ad alto rischio pu\u00f2 richiedere maggiore profondit\u00e0 rispetto a un supporto amministrativo limitato. Allo stesso tempo, la disponibilit\u00e0 all\u2019audit non deve essere svuotata da restrizioni troppo ampie, dalla discrezionalit\u00e0 unilaterale del responsabile o da documentazione esclusivamente generica. Un meccanismo di audit deve consentire realmente al titolare del trattamento di ottenere una ragionevole garanzia circa la conformit\u00e0. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, le informazioni di audit non devono inoltre limitarsi a dichiarazioni sulla privacy, ma devono offrire visibilit\u00e0 sui rischi di criminalit\u00e0 digitale, sugli incidenti di sicurezza, sulla gestione degli accessi, sulle vulnerabilit\u00e0, sulla capacit\u00e0 di ripristino, sulle catene di sub-responsabili e sulle dipendenze operative rilevanti.<\/p><p data-start=\"19311\" data-end=\"20634\" data-is-last-node=\"\" data-is-only-node=\"\">Una solida struttura di audit e responsabilizzazione rafforza l\u2019intera catena del trattamento dei dati. Essa rende visibili i punti in cui sorgono i rischi, le misure di miglioramento necessarie e gli accordi contrattuali da rafforzare. Un responsabile del trattamento disposto alla trasparenza, alla verifica e al seguito correttivo dimostra che la protezione dei dati non \u00e8 trattata come un mero obbligo contrattuale, ma come parte integrante dell\u2019erogazione professionale di servizi digitali. Per il titolare del trattamento, ci\u00f2 crea una posizione pi\u00f9 difendibile nei confronti delle autorit\u00e0 di controllo, degli interessati, degli organi direttivi, dei clienti e degli altri stakeholder. Una disponibilit\u00e0 insufficiente all\u2019audit costituisce, al contrario, un serio segnale di allarme. Un responsabile che rifiuta di fornire visibilit\u00e0 su sicurezza, sub-responsabili, incidenti o conformit\u00e0 chiede in sostanza fiducia senza controllo. In un contesto caratterizzato da crescenti rischi di criminalit\u00e0 digitale, ci\u00f2 \u00e8 insufficiente. Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, il responsabile del trattamento deve quindi non solo trattare i dati conformemente alle istruzioni, ma anche poter dimostrare che tale trattamento \u00e8 lecito, sicuro, controllabile e resiliente lungo l\u2019intera catena.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-dbf32cf elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"dbf32cf\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-7701d7f\" data-id=\"7701d7f\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-a26795a elementor-widget elementor-widget-spacer\" data-id=\"a26795a\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"spacer.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<div class=\"elementor-spacer\">\n\t\t\t<div class=\"elementor-spacer-inner\"><\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-c34bdae elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"c34bdae\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-2024687\" data-id=\"2024687\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-1edb905 elementor-widget elementor-widget-post-grid\" data-id=\"1edb905\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"post-grid.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\r\n\r\n<div class=\"blog-container blog-container-grid\">\r\n    \r\n    <div class=\"wi-blog fox-blog blog-grid fox-grid blog-card-has-shadow blog-card-normal column-3 spacing-normal\">\r\n    \r\n    \n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22498 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/prevenzione\/\" rel=\"bookmark\">        \r\n        Prevenzione\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22504 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/rilevamento\/\" rel=\"bookmark\">        \r\n        Rilevamento\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22509 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/indagine\/\" rel=\"bookmark\">        \r\n        Indagine\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22514 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/risposta\/\" rel=\"bookmark\">        \r\n        Risposta\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22519 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/consulenza\/\" rel=\"bookmark\">        \r\n        Consulenza\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22524 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/contenzioso\/\" rel=\"bookmark\">        \r\n        Contenzioso\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22530 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/negoziazione\/\" rel=\"bookmark\">        \r\n        Negoziazione\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->        \r\n            \r\n    <\/div><!-- .fox-blog -->\r\n    \r\n        \r\n<\/div><!-- .fox-blog-container -->\r\n\r\n    \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Il responsabile del trattamento occupa, nell\u2019ambito del Regolamento generale sulla protezione dei dati, una posizione che va ben oltre l\u2019immagine tradizionale di un prestatore esterno incaricato di compiere meri atti tecnici. In un\u2019economia digitale nella quale infrastrutture cloud, piattaforme SaaS, fornitori di servizi gestiti, data center, fornitori di cybersicurezza, sistemi HR, prestatori di servizi di pagamento, tecnologie di marketing e servizi specializzati di analytics sostengono una parte sostanziale del trattamento operativo dei dati, il responsabile del trattamento si colloca al centro della catena del rischio digitale. La qualificazione giuridica come responsabile del trattamento resta formalmente collegata al trattamento effettuato per<\/p>\n","protected":false},"author":1,"featured_media":34760,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[39],"tags":[],"class_list":["post-24292","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-privacy-dati-e-sicurezza-informatica"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/comments?post=24292"}],"version-history":[{"count":14,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24292\/revisions"}],"predecessor-version":[{"id":34819,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24292\/revisions\/34819"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/media\/34760"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/media?parent=24292"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/categories?post=24292"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/tags?post=24292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}