{"id":24298,"date":"2024-07-01T00:16:36","date_gmt":"2024-06-30T23:16:36","guid":{"rendered":"https:\/\/vanleeuwenlawfirm.eu\/it\/?p=24298"},"modified":"2026-06-16T15:03:38","modified_gmt":"2026-06-16T14:03:38","slug":"ruolo-del-titolare-del-trattamento","status":"publish","type":"post","link":"https:\/\/vanleeuwenlawfirm.eu\/it\/tech-e-digitale\/privacy-dati-e-sicurezza-informatica\/ruolo-del-titolare-del-trattamento\/","title":{"rendered":"Ruolo del titolare del trattamento"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"24298\" class=\"elementor elementor-24298\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-efe9bdf elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"efe9bdf\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-4263bd18\" data-id=\"4263bd18\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-5602332d elementor-widget elementor-widget-text-editor\" data-id=\"5602332d\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p data-start=\"63\" data-end=\"1830\">Il titolare del trattamento occupa, nell\u2019ambito del Regolamento generale sulla protezione dei dati, il centro di gravit\u00e0 normativo, organizzativo e operativo di ogni trattamento di dati personali. Non si tratta di una qualificazione meramente formale, bens\u00ec del soggetto che orienta il trattamento, ne determina le finalit\u00e0, sceglie i mezzi essenziali e assume la responsabilit\u00e0 della liceit\u00e0, proporzionalit\u00e0, trasparenza e controllabilit\u00e0 dell\u2019intera operazione di trattamento. Quando i dati personali sono trattati all\u2019interno di catene digitali, ambienti di piattaforma, infrastrutture cloud, portali clienti, registri interni, banche dati marketing, sistemi di conformit\u00e0 o processi di prevenzione delle frodi, la questione relativa a chi agisca come titolare del trattamento \u00e8 direttamente collegata alla questione di chi sia responsabile, a livello di governance, della progettazione, dell\u2019esecuzione e del controllo di tale trattamento. La qualificazione come titolare del trattamento incide quindi non soltanto sugli obblighi in materia di protezione dei dati, ma anche sulla governance, sulla gestione dei rischi, sulla contrattualizzazione, sull\u2019auditabilit\u00e0, sui rapporti con le autorit\u00e0 di controllo, sulla tutela della reputazione e sulla direzione strategica dell\u2019integrit\u00e0 digitale. Un\u2019organizzazione che determina le finalit\u00e0 e i mezzi del trattamento non pu\u00f2 limitarsi a una conformit\u00e0 procedurale o a una documentazione standardizzata; deve essere in grado di spiegare perch\u00e9 i dati personali vengono trattati, perch\u00e9 tale trattamento \u00e8 necessario, in che modo la metodologia adottata si rapporta ai diritti degli interessati e quali garanzie siano state predisposte per prevenire abusi, trattamenti eccessivi, ambiguit\u00e0 e perdita di controllo.<\/p><p data-start=\"1832\" data-end=\"3333\">Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, il ruolo del titolare del trattamento assume una portata ancora pi\u00f9 ampia, poich\u00e9 i dati personali vengono spesso trattati non solo per le ordinarie esigenze operative dell\u2019impresa, ma anche per la valutazione dei rischi, l\u2019accettazione dei clienti, il monitoraggio delle transazioni, le indagini sulle frodi, le segnalazioni interne, l\u2019analisi degli incidenti, lo screening delle sanzioni, la rilevazione in materia di cybersicurezza, la gestione delle controversie e l\u2019assunzione di decisioni a livello di governance. Tali attivit\u00e0 di trattamento si collocano all\u2019intersezione tra conformit\u00e0, sicurezza, integrit\u00e0, tutela della riservatezza e resilienza digitale. Ne deriva un\u2019esigenza rafforzata di definire con precisione il ruolo del titolare del trattamento e di assumerlo in modo sostanziale. I rischi di criminalit\u00e0 digitale non possono essere gestiti efficacemente quando rimane incerto chi determini le finalit\u00e0, chi decida sull\u2019utilizzo dei sistemi, chi sia responsabile della proporzionalit\u00e0 del trattamento dei dati, chi informi gli interessati e chi debba rispondere in caso di reclami, richieste delle autorit\u00e0 di controllo o incidenti. Il ruolo di titolare del trattamento opera pertanto come punto di ancoraggio giuridico e organizzativo: determina dove abbia inizio la responsabilit\u00e0, come tale responsabilit\u00e0 debba essere organizzata internamente e in che modo debba poter essere giustificata all\u2019esterno.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-ea4837b elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"ea4837b\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-75fba59\" data-id=\"75fba59\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-0289813 elementor-widget elementor-widget-text-editor\" data-id=\"0289813\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h4 data-start=\"3335\" data-end=\"3389\">Determinare le finalit\u00e0 e i mezzi del trattamento<\/h4><p data-start=\"3391\" data-end=\"4558\">Il nucleo del ruolo di titolare del trattamento risiede nella determinazione delle finalit\u00e0 e dei mezzi del trattamento. Il titolare del trattamento decide perch\u00e9 i dati personali vengono trattati e all\u2019interno di quali parametri funzionali, organizzativi e tecnici tale trattamento abbia luogo. Ci\u00f2 significa che la valutazione non si concentra soltanto su chi abbia materialmente accesso ai dati o su chi amministri un sistema, ma soprattutto su chi eserciti un\u2019influenza decisiva sulla finalit\u00e0 del trattamento e sulle scelte essenziali relative alle modalit\u00e0 con cui il trattamento viene eseguito. Le domande relative al motivo per cui i dati vengono raccolti, al modo in cui vengono utilizzati, alle categorie di dati necessarie, agli interessati coinvolti, alla durata della conservazione e ai destinatari ai quali i dati vengono comunicati appartengono al cuore stesso della funzione di titolare del trattamento. Un\u2019organizzazione che compie tali scelte non pu\u00f2 trincerarsi dietro soggetti esecutori, fornitori tecnologici o dipartimenti interni che svolgono soltanto singole componenti del processo. La responsabilit\u00e0 giuridica segue il controllo sostanziale.<\/p><p data-start=\"4560\" data-end=\"5674\">Negli ambienti digitali, tale valutazione diventa spesso pi\u00f9 complessa, poich\u00e9 il trattamento dei dati avviene mediante pi\u00f9 sistemi, dipartimenti e prestatori esterni. Un dipartimento commerciale pu\u00f2 definire la finalit\u00e0 della profilazione dei clienti, un dipartimento informatico pu\u00f2 determinare la configurazione tecnica, una funzione di conformit\u00e0 pu\u00f2 alimentare modelli di rischio e un fornitore esterno pu\u00f2 gestire la piattaforma sulla quale il trattamento si svolge materialmente. La questione centrale rimane tuttavia chi assuma le decisioni determinanti sul perch\u00e9 e sul come del trattamento. Quando un\u2019organizzazione stabilisce che dati personali saranno utilizzati per la segmentazione della clientela, la rilevazione delle frodi, il monitoraggio delle transazioni o la classificazione dei rischi, tale organizzazione sar\u00e0 di regola titolare del trattamento per quella specifica operazione, anche quando un terzo ne curi l\u2019esecuzione tecnica. La mera esternalizzazione di attivit\u00e0 operative non modifica la posizione giuridica quando il controllo sulle finalit\u00e0 e sui mezzi rimane in capo al committente.<\/p><p data-start=\"5676\" data-end=\"6917\">Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, tale qualificazione riveste particolare importanza, poich\u00e9 molti trattamenti vengono giustificati mediante considerazioni di sicurezza, integrit\u00e0 o controllo dei rischi, pur potendo incidere in modo significativo sulla vita privata degli interessati. Si pensi, ad esempio, alla registrazione di segnali di comportamento anomalo, alla combinazione di dati provenienti da fonti differenti, alla valutazione dei clienti attraverso profili di rischio o all\u2019analisi di tracce digitali a seguito di un incidente. In tali situazioni, il titolare del trattamento deve determinare preventivamente quale finalit\u00e0 venga perseguita, quali dati siano necessari, quali metodi di analisi siano accettabili e quali limiti si applichino a un eventuale riutilizzo. In assenza di una chiara determinazione delle finalit\u00e0, sorge il rischio che dati raccolti per una finalit\u00e0 collegata all\u2019integrit\u00e0 vengano successivamente impiegati per finalit\u00e0 commerciali, disciplinari o investigative pi\u00f9 ampie, senza un\u2019adeguata base giuridica o una sufficiente trasparenza. Determinare finalit\u00e0 e mezzi non \u00e8 dunque una questione tecnica preliminare, ma una decisione fondamentale di governance.<\/p><h4 data-start=\"6919\" data-end=\"7019\">Assumere la responsabilit\u00e0 primaria ai sensi del Regolamento generale sulla protezione dei dati<\/h4><p data-start=\"7021\" data-end=\"8051\">Il titolare del trattamento assume la responsabilit\u00e0 primaria del rispetto del Regolamento generale sulla protezione dei dati. Tale responsabilit\u00e0 non si limita all\u2019adempimento di singoli obblighi, ma comprende anche la capacit\u00e0 di dimostrare che il trattamento, nel suo complesso, sia stato concepito in modo lecito, corretto, trasparente e controllabile. Il principio di accountability esige che il titolare del trattamento non tenti di ricostruire a posteriori le ragioni per cui determinati dati siano stati trattati, ma stabilisca preventivamente una posizione difendibile sulla base giuridica, sulla limitazione delle finalit\u00e0, sulla necessit\u00e0, sulla proporzionalit\u00e0, sulla sicurezza, sui periodi di conservazione, sui diritti degli interessati e sul processo decisionale interno. Si tratta di una responsabilit\u00e0 dimostrabile: ci\u00f2 che rileva non \u00e8 soltanto l\u2019intenzione di agire con diligenza, ma l\u2019esistenza di misure concrete, documentazione chiara, coinvolgimento della governance e meccanismi di controllo effettivi.<\/p><p data-start=\"8053\" data-end=\"9101\">Questa responsabilit\u00e0 primaria comporta conseguenze rilevanti per l\u2019organizzazione interna. Il titolare del trattamento deve assicurare che gli obblighi in materia di protezione dei dati non vengano frammentati tra dipartimenti legali, team informatici, funzioni di conformit\u00e0, unit\u00e0 commerciali e fornitori esterni senza una responsabilit\u00e0 finale chiaramente individuata. Quando vengono trattati dati personali, deve risultare chiaro quale funzione sia responsabile della valutazione di liceit\u00e0, chi sovrintenda all\u2019esecuzione, chi garantisca la qualit\u00e0 dei dati, chi gestisca le richieste degli interessati, chi controlli i periodi di conservazione e chi assuma le decisioni in caso di incidenti o richieste delle autorit\u00e0 di controllo. Il Regolamento generale sulla protezione dei dati non richiede una responsabilit\u00e0 soltanto documentale, ma un sistema operativo di direzione e rendicontazione nel quale la posizione giuridica del titolare del trattamento sia tradotta concretamente in procedure, competenze, controlli e linee di reporting.<\/p><p data-start=\"9103\" data-end=\"10128\">Nel contesto della Gestione integrata dei rischi di criminalit\u00e0 digitale, tale responsabilit\u00e0 primaria assume un rilievo rafforzato, poich\u00e9 i rischi di integrit\u00e0 e di criminalit\u00e0 danno spesso luogo a trattamenti intensivi di dati. Segnali di frode, segnalazioni interne, analisi forensi, controlli sulle sanzioni, log di accesso, dati di comunicazione e fascicoli clienti possono contenere informazioni sensibili e produrre conseguenze significative per gli interessati. Il titolare del trattamento deve quindi poter non solo spiegare che il trattamento era necessario per la gestione dei rischi, ma anche dimostrare che il trattamento prescelto era proporzionato, accuratamente delimitato e verificabile. I rischi di criminalit\u00e0 digitale non devono trasformarsi in un\u2019autorizzazione generale alla raccolta illimitata di dati o a processi decisionali opachi. La responsabilit\u00e0 primaria del titolare del trattamento consiste nel garantire simultaneamente la gestione dei rischi e la protezione giuridica degli interessati.<\/p><h4 data-start=\"10130\" data-end=\"10189\">Scegliere una valida base giuridica per il trattamento<\/h4><p data-start=\"10191\" data-end=\"11247\">Per ogni trattamento di dati personali, il titolare del trattamento deve poter fare affidamento su una base giuridica valida. Tale base giuridica costituisce la porta d\u2019accesso legale al trattamento e determina, in larga misura, le condizioni, le limitazioni e gli obblighi di giustificazione applicabili. Il consenso, l\u2019esecuzione di un contratto, l\u2019adempimento di un obbligo legale, la salvaguardia di interessi vitali, l\u2019esecuzione di un compito di interesse pubblico e il legittimo interesse possiedono ciascuno un proprio ambito applicativo e un proprio onere probatorio. Il titolare del trattamento deve quindi fare pi\u00f9 che limitarsi a nominare una base giuridica; deve essere in grado di spiegare perch\u00e9 tale base corrisponda alla finalit\u00e0 concreta, alla natura dei dati, alla posizione dell\u2019interessato e al contesto nel quale il trattamento avviene. Un generico riferimento all\u2019interesse aziendale, alla sicurezza o alla conformit\u00e0 non \u00e8 sufficiente quando non risulti chiaro quale specifica operazione di trattamento sia sostenuta da quella base.<\/p><p data-start=\"11249\" data-end=\"12258\">La scelta della base giuridica richiede una valutazione sostanziale preventiva. In caso di consenso, occorre stabilire se questo sia stato prestato liberamente, in modo specifico, informato e inequivocabile, e se la revoca possa essere effettivamente attuata. In caso di contratto, deve essere valutato se il trattamento sia necessario per l\u2019esecuzione del contratto, e non semplicemente utile o commercialmente desiderabile. In caso di obbligo legale, il fondamento normativo deve essere sufficientemente concreto. In caso di legittimo interesse, deve essere effettuato un bilanciamento tra l\u2019interesse dell\u2019organizzazione e i diritti e le libert\u00e0 degli interessati. Tale valutazione deve essere seria, specifica e verificabile. Soprattutto nei trattamenti connessi alla sicurezza, alla prevenzione delle frodi, alle indagini interne o al monitoraggio, il legittimo interesse pu\u00f2 essere rilevante, ma ci\u00f2 non elimina l\u2019obbligo di motivare attentamente necessit\u00e0, proporzionalit\u00e0, sussidiariet\u00e0 e trasparenza.<\/p><p data-start=\"12260\" data-end=\"13442\">Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, la scelta della base giuridica costituisce spesso uno degli elementi pi\u00f9 sensibili della responsabilit\u00e0 del titolare del trattamento. I trattamenti collegati ai rischi di criminalit\u00e0 digitale possono essere legittimi e necessari, ma riguardano frequentemente dati relativi a comportamenti, comunicazioni, transazioni, localizzazione, accessi, identit\u00e0 o sospetti di irregolarit\u00e0. Il titolare del trattamento deve pertanto evitare che il controllo della criminalit\u00e0 venga utilizzato come giustificazione generica per trattamenti di dati estesi. Ogni trattamento deve essere ricondotto a una finalit\u00e0 concreta e a una base giuridica appropriata. Ci\u00f2 vale, ad esempio, per le indagini relative al phishing, la rilevazione di schemi di accesso anomali, l\u2019analisi di incidenti malware, l\u2019esame di violazioni interne dei dati o la valutazione dei rischi di frode connessi ai clienti. Una base giuridica difendibile esiste soltanto quando sia chiaro perch\u00e9 il trattamento sia necessario, perch\u00e9 mezzi meno invasivi siano insufficienti e quali garanzie esistano contro abusi o indebite estensioni del trattamento.<\/p><h4 data-start=\"13444\" data-end=\"13474\">Informare gli interessati<\/h4><p data-start=\"13476\" data-end=\"14371\">La trasparenza costituisce un obbligo centrale del titolare del trattamento. Gli interessati devono essere informati, in modo chiaro, intelligibile e accessibile, del trattamento dei loro dati personali. Tale informazione comprende, tra l\u2019altro, l\u2019identit\u00e0 del titolare del trattamento, le finalit\u00e0 del trattamento, le basi giuridiche applicabili, le categorie di dati personali, i destinatari o le categorie di destinatari, i periodi di conservazione, i diritti degli interessati, eventuali trasferimenti al di fuori dello Spazio economico europeo e le informazioni rilevanti relative a processi decisionali automatizzati. Questo obbligo informativo non ha lo scopo di soddisfare un requisito puramente formale o testuale; mira a consentire agli interessati di ottenere una comprensione effettiva di ci\u00f2 che accade ai loro dati e delle possibilit\u00e0 di cui dispongono per esercitare un controllo.<\/p><p data-start=\"14373\" data-end=\"15393\">La qualit\u00e0 della trasparenza non si misura dalla lunghezza della documentazione sulla privacy, ma dal carattere comprensibile, concreto e utilizzabile delle informazioni fornite. Formulazioni generiche, descrizioni troppo ampie delle finalit\u00e0, categorie imprecise di destinatari o periodi di conservazione vaghi indeboliscono la funzione stessa dell\u2019obbligo informativo. L\u2019interessato deve poter comprendere quali dati vengano trattati, perch\u00e9 ci\u00f2 avvenga e quali conseguenze il trattamento possa comportare. Ci\u00f2 esige che il titolare del trattamento allinei informative privacy, comunicazioni interne, informazioni sui cookie, comunicazioni ai clienti e informazioni sui processi con il trattamento effettivamente svolto. Quando l\u2019informazione esterna non corrisponde alla prassi interna, emerge un serio problema di governance: l\u2019organizzazione afferma allora qualcosa di diverso da ci\u00f2 che fa. La trasparenza non \u00e8 quindi soltanto una questione comunicativa, ma anche una verifica della capacit\u00e0 di controllo interno.<\/p><p data-start=\"15395\" data-end=\"16491\">Nel settore della Gestione integrata dei rischi di criminalit\u00e0 digitale, la trasparenza pu\u00f2 generare tensioni, poich\u00e9 taluni trattamenti riguardano la sicurezza, la rilevazione, le indagini o la prevenzione degli abusi. Non tutte le misure operative possono essere divulgate nel dettaglio senza compromettere l\u2019efficacia della sicurezza o delle investigazioni. Ci\u00f2 non elimina tuttavia l\u2019obbligo del titolare del trattamento di fornire informazioni chiare sulle categorie di trattamento, sulle finalit\u00e0, sulle basi giuridiche, sui diritti e sulle garanzie. In materia di monitoraggio, prevenzione delle frodi, controllo degli accessi, classificazione dei rischi o indagini sugli incidenti, l\u2019equilibrio tra trasparenza ed efficacia deve essere valutato in anticipo. La gestione della criminalit\u00e0 digitale perde legittimit\u00e0 quando gli interessati restano completamente all\u2019oscuro di forme strutturali di trattamento dei dati che possono riguardarli. Il titolare del trattamento deve quindi applicare un quadro di trasparenza che sia chiaro, senza indebolire inutilmente la sicurezza operativa.<\/p><h4 data-start=\"16493\" data-end=\"16535\">Garantire i diritti degli interessati<\/h4><p data-start=\"16537\" data-end=\"17569\">Il titolare del trattamento deve assicurare che gli interessati possano esercitare effettivamente i loro diritti ai sensi del Regolamento generale sulla protezione dei dati. I diritti di accesso, rettifica, cancellazione, limitazione del trattamento, portabilit\u00e0 dei dati, opposizione e protezione contro decisioni basate esclusivamente su trattamenti automatizzati costituiscono il nucleo pratico della protezione dei dati. Tali diritti sono effettivi soltanto quando l\u2019organizzazione \u00e8 in grado di localizzare, comprendere, valutare i dati personali e rispondere adeguatamente entro i termini di legge. Un canale formale per la ricezione delle richieste non \u00e8 sufficiente quando, sul piano sottostante, manca una visione d\u2019insieme dei sistemi, dei fascicoli, dei flussi di dati, dei periodi di conservazione, delle funzioni responsabili e dei motivi di eccezione. Il titolare del trattamento deve quindi organizzare l\u2019esercizio dei diritti come un processo integrato, e non come una reazione episodica a richieste individuali.<\/p><p data-start=\"17571\" data-end=\"18550\">La gestione delle richieste degli interessati richiede precisione giuridica e disciplina operativa. In caso di richiesta di accesso, deve essere chiaro quali dati personali siano trattati, quali finalit\u00e0 vengano perseguite, a chi i dati siano stati comunicati e per quanto tempo vengano conservati. In caso di rettifica, occorre valutare se i dati siano fattualmente inesatti, incompleti o fuorvianti. In caso di cancellazione, deve essere stabilito se un\u2019ulteriore conservazione rimanga necessaria oppure se obblighi legali di conservazione, diritti in sede giudiziaria o interessi prevalenti giustifichino il proseguimento della conservazione. In caso di opposizione, deve essere effettuato un bilanciamento concreto. Il titolare del trattamento deve evitare di respingere le richieste in modo routinario mediante riferimenti generici agli interessi aziendali, alla sicurezza o alla complessit\u00e0 amministrativa. Ogni decisione deve essere specifica, comprensibile e difendibile.<\/p><p data-start=\"18552\" data-end=\"19695\" data-is-last-node=\"\" data-is-only-node=\"\">Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, i diritti degli interessati risultano particolarmente sensibili, poich\u00e9 i trattamenti avvengono spesso in contesti nei quali interessi divergenti entrano in conflitto. Un interessato pu\u00f2 richiedere l\u2019accesso a dati collegati alla prevenzione delle frodi, a segnalazioni interne, a log di sicurezza, a indagini sugli incidenti, a registrazioni degli accessi o a valutazioni dei rischi. Una divulgazione completa pu\u00f2 talvolta incidere sui diritti di terzi, sugli interessi investigativi o sulle misure di sicurezza, ma ogni limitazione dei diritti deve essere sempre giuridicamente motivata e applicata in modo proporzionato. Il titolare del trattamento deve essere in grado di distinguere tra dati che possono essere comunicati, passaggi che devono essere oscurati e informazioni che possono essere temporaneamente o parzialmente limitate in ragione di interessi prevalenti. I rischi di criminalit\u00e0 digitale rendono tale valutazione pi\u00f9 complessa, ma non esonerano il titolare del trattamento dall\u2019obbligo di trattare i diritti con seriet\u00e0, diligenza e tracciabilit\u00e0.<\/p><h4 data-start=\"0\" data-end=\"55\">Supervisione delle misure di sicurezza appropriate<\/h4><p data-start=\"57\" data-end=\"1115\">Il titolare del trattamento \u00e8 responsabile di garantire che i dati personali siano protetti mediante misure tecniche e organizzative appropriate. Tale obbligo va ben oltre la mera esistenza di politiche di sicurezza, regole sulle password o controlli informatici generali. Il suo nucleo risiede nella domanda se le misure adottate corrispondano realmente alla natura dei dati personali, alla sensibilit\u00e0 del trattamento, alla dimensione degli insiemi di dati coinvolti, alla vulnerabilit\u00e0 degli interessati, alla tecnologia utilizzata, alle minacce presenti nell\u2019ambiente digitale e alle possibili conseguenze di perdita, accesso non autorizzato, manipolazione o trattamento illecito. La sicurezza non costituisce quindi un ambito tecnico separato dalla protezione dei dati, ma un elemento essenziale della liceit\u00e0 e dell\u2019affidabilit\u00e0 del trattamento. Un titolare del trattamento che tratta dati personali senza misure di sicurezza appropriate compromette non soltanto la riservatezza e l\u2019integrit\u00e0, ma anche la legittimit\u00e0 del trattamento nel suo complesso.<\/p><p data-start=\"1117\" data-end=\"2321\">Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, tale obbligo di sicurezza presenta un collegamento diretto con i rischi di criminalit\u00e0 digitale. Phishing, ransomware, malware, furto di credenziali, ingegneria sociale, abuso interno, sottrazione di dati, accesso non autorizzato, compromissione della catena di fornitura e manipolazione degli ambienti digitali possono determinare l\u2019esposizione, l\u2019alterazione, la distruzione o l\u2019utilizzo dei dati personali per ulteriori condotte criminali. Il titolare del trattamento non deve quindi limitarsi a reagire agli incidenti, ma deve valutare preventivamente quali minacce siano rilevanti per lo specifico trattamento e quali misure siano necessarie per ridurre tali minacce. Tali misure possono includere gestione degli accessi, registrazione dei log, cifratura, segmentazione della rete, politiche di backup, gestione delle vulnerabilit\u00e0, controllo dei fornitori, modelli di autorizzazione, monitoraggio, sensibilizzazione, procedure di risposta agli incidenti e verifiche periodiche. La domanda decisiva \u00e8 sempre se la misura esista soltanto sulla carta oppure funzioni in modo dimostrabile nell\u2019effettiva operativit\u00e0 digitale.<\/p><p data-start=\"2323\" data-end=\"3475\">La dimensione di governance della sicurezza merita particolare attenzione. Il titolare del trattamento non pu\u00f2 delegare integralmente la sicurezza ai reparti informatici, ai fornitori esterni o agli specialisti della sicurezza, sottraendosi al contempo alla responsabilit\u00e0 per le scelte di rischio, le priorit\u00e0, i budget, la governance e il controllo. Quando i dati personali sono trattati in processi aziendali critici, ambienti clienti, sistemi di conformit\u00e0 o contesti di indagine forense, la sicurezza deve essere integrata nelle decisioni relative alla progettazione, all\u2019acquisto, all\u2019implementazione, all\u2019utilizzo, al monitoraggio e alla cessazione dei sistemi. Un\u2019organizzazione che prende sul serio la Gestione integrata dei rischi di criminalit\u00e0 digitale non tratta la sicurezza come un aspetto secondario, ma come una condizione dell\u2019integrit\u00e0 digitale. Il titolare del trattamento deve poter dimostrare che le misure di sicurezza si fondano su un\u2019analisi dei rischi, vengono valutate periodicamente, corrispondono alle minacce attuali e sono adattate quando mutano la tecnologia, il panorama delle minacce o il contesto del trattamento.<\/p><h4 data-start=\"3477\" data-end=\"3536\">Selezione e direzione dei responsabili del trattamento<\/h4><p data-start=\"3538\" data-end=\"4498\">Quando un titolare del trattamento incarica un responsabile del trattamento, la responsabilit\u00e0 primaria del trattamento rimane in capo al titolare. L\u2019esternalizzazione di attivit\u00e0 tecniche o operative non comporta il trasferimento della responsabilit\u00e0 giuridica relativa a liceit\u00e0, trasparenza, sicurezza, diritti degli interessati e accountability. Il titolare deve quindi valutare con attenzione se il responsabile del trattamento offra garanzie sufficienti in termini di competenza, sicurezza, affidabilit\u00e0, continuit\u00e0, gestione dei sub-responsabili, localizzazione dei dati, risposta agli incidenti e conformit\u00e0 alle istruzioni. Tale valutazione non pu\u00f2 limitarsi all\u2019idoneit\u00e0 commerciale, al prezzo, alla funzionalit\u00e0 o alla reputazione di mercato. La questione centrale \u00e8 se il responsabile sia in grado di eseguire il trattamento all\u2019interno del quadro giuridico, tecnico e organizzativo richiesto dal Regolamento generale sulla protezione dei dati.<\/p><p data-start=\"4500\" data-end=\"5575\">Questa responsabilit\u00e0 inizia prima della conclusione del contratto e prosegue per tutta la durata della collaborazione. Il titolare del trattamento deve impartire istruzioni chiare su quali dati personali possano essere trattati, per quali finalit\u00e0, a quali condizioni di sicurezza, con quali periodi di conservazione, quali sub-responsabili possano essere coinvolti, come debbano essere notificate le violazioni dei dati, come debbano essere supportate le richieste degli interessati e che cosa debba accadere alla cessazione dei servizi. L\u2019accordo sul trattamento dei dati non deve essere un allegato standard scollegato dalla prestazione effettiva, ma uno strumento operativamente utile che rifletta i flussi di dati, i sistemi, i ruoli e i rischi reali. Quando gli accordi contrattuali rimangono astratti, sorge il rischio che il responsabile del trattamento assuma nella pratica margini di autonomia pi\u00f9 ampi di quelli giuridicamente consentiti, oppure che il titolare mantenga un controllo insufficiente sul trattamento, sulla sicurezza e sulla risposta agli incidenti.<\/p><p data-start=\"5577\" data-end=\"6769\">Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, la direzione dei responsabili del trattamento \u00e8 particolarmente importante perch\u00e9 i rischi di criminalit\u00e0 digitale sorgono spesso nelle catene operative. Fornitori cloud, software house, prestatori di servizi gestiti, piattaforme di marketing, prestatori di pagamento, societ\u00e0 investigative, amministratori informatici e piattaforme dati possono avere accesso a grandi volumi di dati personali o a infrastrutture digitali critiche. Una vulnerabilit\u00e0 presso un responsabile del trattamento pu\u00f2 quindi condurre direttamente a violazioni dei dati, interruzioni operative, danni reputazionali e richieste dell\u2019autorit\u00e0 di controllo nei confronti del titolare. Il titolare del trattamento non pu\u00f2 pertanto affidarsi esclusivamente a certificazioni o garanzie contrattuali, ma deve anche verificare periodicamente se il responsabile agisca effettivamente secondo le istruzioni e mantenga misure appropriate. La gestione dei fornitori diventa cos\u00ec parte della gestione della criminalit\u00e0 digitale: la catena \u00e8 forte soltanto quanto l\u2019anello pi\u00f9 debole che tratta, gestisce o rende tecnicamente accessibili i dati personali.<\/p><h4 data-start=\"6771\" data-end=\"6820\">Tenuta della documentazione e accountability<\/h4><p data-start=\"6822\" data-end=\"7907\">L\u2019accountability costituisce un principio fondante del ruolo di titolare del trattamento. Il titolare non deve soltanto rispettare il Regolamento generale sulla protezione dei dati, ma deve anche essere in grado di dimostrare tale rispetto. Ci\u00f2 richiede una prassi documentale accuratamente strutturata, nella quale attivit\u00e0 di trattamento, finalit\u00e0, basi giuridiche, categorie di dati personali, destinatari, periodi di conservazione, misure di sicurezza, valutazioni dei rischi, valutazioni d\u2019impatto sulla protezione dei dati, rapporti con i responsabili del trattamento, trasferimenti, incidenti e processi decisionali siano registrati in modo verificabile. La documentazione non ha una funzione meramente amministrativa. Essa costituisce la prova del controllo di governance, del ragionamento giuridico e della padronanza operativa. Senza documentazione sufficiente, la conformit\u00e0 diventa vulnerabile, perch\u00e9 non \u00e8 possibile dimostrare successivamente perch\u00e9 siano state adottate determinate scelte, quali rischi siano stati valutati e quali garanzie siano state implementate.<\/p><p data-start=\"7909\" data-end=\"8877\">Un quadro efficace di accountability richiede che la documentazione sia aggiornata, coerente e fattualmente accurata. Molte organizzazioni dispongono di registri, policy e modelli, ma perdono il collegamento tra documentazione e pratica quando i processi cambiano, vengono introdotti nuovi sistemi, i fornitori sono sostituiti, i flussi di dati si ampliano o emergono nuove finalit\u00e0 di utilizzo. Il titolare del trattamento deve quindi garantire che il registro delle attivit\u00e0 di trattamento non sia un documento statico, ma uno strumento di governance che evolva insieme all\u2019operativit\u00e0 digitale. Anche le analisi dei rischi, le valutazioni d\u2019impatto, i bilanciamenti di interessi, i piani di conservazione e le informative privacy devono essere riesaminati quando il trattamento cambia. L\u2019accountability richiede disciplina nella gestione delle versioni, nella registrazione delle decisioni, nell\u2019attribuzione delle responsabilit\u00e0 interne e nella verifica periodica.<\/p><p data-start=\"8879\" data-end=\"9995\">Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, la documentazione assume un\u2019importanza rafforzata, poich\u00e9 i trattamenti effettuati per finalit\u00e0 di integrit\u00e0, sicurezza e gestione della criminalit\u00e0 sono spesso intensivi, sensibili e dipendenti dal contesto. Nella rilevazione delle frodi, nelle indagini interne, nello screening delle sanzioni, nell\u2019analisi degli incidenti cyber, nel monitoraggio degli accessi o nella raccolta forense di dati, deve essere chiaro quali dati siano stati trattati, perch\u00e9 ci\u00f2 fosse necessario, chi vi abbia avuto accesso, quali limitazioni si applicassero, per quanto tempo i dati vengano conservati e quali valutazioni siano state compiute tra gestione dei rischi e diritti degli interessati. I rischi di criminalit\u00e0 digitale comportano spesso pressione, urgenza e incertezza, ma tali circostanze non rendono la documentazione meno importante. Al contrario: quando sorgono controlli, reclami, procedimenti civili o questioni di rilevanza penale, la qualit\u00e0 del fascicolo \u00e8 spesso decisiva per la difendibilit\u00e0 della condotta del titolare del trattamento.<\/p><h4 data-start=\"9997\" data-end=\"10047\">Notifica e gestione delle violazioni dei dati<\/h4><p data-start=\"10049\" data-end=\"10991\">Il titolare del trattamento deve individuare, valutare, gestire e, ove necessario, notificare tempestivamente le violazioni dei dati all\u2019autorit\u00e0 di controllo e informare gli interessati. Una violazione dei dati non si limita al furto massivo di dati o alla loro divulgazione pubblica. Anche la perdita di un dispositivo, l\u2019invio a un destinatario errato, l\u2019accesso non autorizzato, la cifratura da ransomware, la pubblicazione accidentale, un errore interno di autorizzazione, una configurazione cloud errata o la manipolazione di dati personali possono costituire una violazione dei dati. Il titolare deve quindi disporre di un processo mediante il quale gli incidenti siano rapidamente identificati, indagati sul piano fattuale, valutati giuridicamente e gestiti sul piano operativo. I termini legali di notifica richiedono rapidit\u00e0, ma la rapidit\u00e0 non deve andare a discapito di un\u2019analisi accurata e di una chiara assunzione decisionale.<\/p><p data-start=\"10993\" data-end=\"12091\">La valutazione di una violazione dei dati richiede un\u2019analisi concreta dei rischi. Il titolare del trattamento deve stabilire quali dati personali siano stati interessati, quanti interessati siano coinvolti, quali categorie di dati siano in questione, se i dati siano stati visualizzati, copiati, alterati o distrutti, quali misure di sicurezza fossero presenti, quali conseguenze possano verificarsi e quali azioni di mitigazione siano state adottate. Deve inoltre essere valutato se la notifica all\u2019autorit\u00e0 di controllo sia obbligatoria e se gli interessati debbano essere informati direttamente perch\u00e9 sussiste una probabile elevata esposizione ai rischi per i loro diritti e libert\u00e0. Una valutazione carente pu\u00f2 condurre a notifiche tardive, a mancate notifiche ingiustificate o a comunicazioni insufficienti verso gli interessati. Il titolare deve quindi organizzare non soltanto la risposta agli incidenti, ma anche una struttura decisionale giuridica nella quale protezione dei dati, sicurezza, governance, comunicazione ed eventuali competenze esterne siano coinvolte al momento opportuno.<\/p><p data-start=\"12093\" data-end=\"13223\">Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, la gestione delle violazioni dei dati \u00e8 direttamente collegata alla gestione della criminalit\u00e0 digitale. Molte violazioni dei dati non derivano da errori amministrativi, ma da attacchi digitali mirati, abuso di account, malware, phishing, ransomware, condotte interne o compromissione di fornitori. In tali casi, il titolare del trattamento non deve soltanto adempiere agli obblighi di notifica, ma anche comprendere il vettore d\u2019attacco, limitare ulteriori danni, preservare le prove, ripristinare i sistemi interessati, coordinare la comunicazione e prevenire il ripetersi dell\u2019evento. La gestione delle violazioni dei dati non \u00e8 quindi una procedura privacy isolata, ma una componente integrata della risposta agli incidenti, della cybersicurezza, del controllo giuridico e della gestione reputazionale. Il titolare deve poter dimostrare non soltanto che la notifica sia stata effettuata, ma anche che l\u2019incidente sia stato compreso a livello di governance, seguito tecnicamente e utilizzato in modo strutturale per rafforzare sicurezza e governance.<\/p><h4 data-start=\"13225\" data-end=\"13312\">Integrazione della protezione dei dati nella governance e nel processo decisionale<\/h4><p data-start=\"13314\" data-end=\"14398\">La responsabilit\u00e0 del titolare del trattamento raggiunge la sua piena portata quando la protezione dei dati viene integrata nella governance e nel processo decisionale. La protezione dei dati non pu\u00f2 funzionare efficacemente come livello separato di conformit\u00e0, consultato soltanto dopo l\u2019acquisto dei sistemi, la progettazione dei processi o l\u2019adozione di scelte commerciali. Il Regolamento generale sulla protezione dei dati richiede che la protezione dei dati sia considerata sin dalle prime fasi della definizione delle politiche, dello sviluppo dei prodotti, della selezione dei fornitori, della progettazione dei processi, dell\u2019utilizzo dei dati, della valutazione dei rischi e del processo decisionale di governance. Ci\u00f2 significa che il titolare deve garantire ruoli chiari, diritti decisionali definiti, linee di escalation, reportistica, momenti di verifica e attenzione di governance per la protezione dei dati. La protezione dei dati deve essere visibile nel modo in cui l\u2019organizzazione assume le proprie decisioni, non soltanto nei documenti redatti successivamente.<\/p><p data-start=\"14400\" data-end=\"15444\">Questa integrazione richiede un modello di governance nel quale siano collegati profili giuridici, tecnici, operativi e strategici. Nuovi prodotti digitali, marketing basato sui dati, applicazioni di intelligenza artificiale, screening dei clienti, prevenzione delle frodi, migrazioni cloud, collaborazioni con terzi e flussi internazionali di dati devono essere valutati preventivamente rispetto a base giuridica, proporzionalit\u00e0, minimizzazione dei dati, trasparenza, sicurezza, periodi di conservazione, diritti degli interessati e capacit\u00e0 di rispondere alle aspettative dell\u2019autorit\u00e0 di controllo. Il titolare del trattamento deve evitare che la protezione dei dati venga ridotta a testi di consenso, banner cookie o clausole standard. La questione reale \u00e8 se l\u2019organizzazione sia in grado di trattare dati personali soltanto quando sussistano una necessit\u00e0 chiara, una base giuridica valida, una finalit\u00e0 limitata e una garanzia appropriata. La governance rende tale valutazione strutturale, ripetibile e opponibile a livello decisionale.<\/p><p data-start=\"15446\" data-end=\"16609\" data-is-last-node=\"\" data-is-only-node=\"\">Nell\u2019ambito della Gestione integrata dei rischi di criminalit\u00e0 digitale, l\u2019integrazione della protezione dei dati \u00e8 indispensabile, perch\u00e9 rischi di criminalit\u00e0 digitale, protezione dei dati, cybersicurezza, conformit\u00e0 e responsabilit\u00e0 di governance si intersecano costantemente. Un\u2019organizzazione che intenda gestire i rischi di criminalit\u00e0 necessita di dati per rilevazione, analisi, monitoraggio e risposta, ma deve al tempo stesso evitare che la gestione dei rischi sfoci in sorveglianza sproporzionata, profilazione poco chiara, conservazione eccessiva o processi decisionali opachi. Il titolare del trattamento deve quindi stabilire un equilibrio tra protezione dell\u2019organizzazione, protezione degli interessati e tutela dell\u2019integrit\u00e0 dei processi digitali. La protezione dei dati nella governance significa che questa tensione non viene risolta in modo episodico o ad hoc, ma integrata strutturalmente nella strategia, nelle policy, nelle scelte di sistema, nella reportistica sui rischi e nella rendicontazione di governance. In tal modo, il ruolo di titolare del trattamento diventa una funzione essenziale dell\u2019organizzazione digitale responsabile.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-dbf32cf elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"dbf32cf\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-7701d7f\" data-id=\"7701d7f\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-cfa3b1f elementor-widget elementor-widget-spacer\" data-id=\"cfa3b1f\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"spacer.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<div class=\"elementor-spacer\">\n\t\t\t<div class=\"elementor-spacer-inner\"><\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-0c261b4 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"0c261b4\" data-element_type=\"section\" data-e-type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-149386d\" data-id=\"149386d\" data-element_type=\"column\" data-e-type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-ccb9172 elementor-widget elementor-widget-post-grid\" data-id=\"ccb9172\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"post-grid.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\r\n\r\n<div class=\"blog-container blog-container-grid\">\r\n    \r\n    <div class=\"wi-blog fox-blog blog-grid fox-grid blog-card-has-shadow blog-card-normal column-3 spacing-normal\">\r\n    \r\n    \n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22498 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/prevenzione\/\" rel=\"bookmark\">        \r\n        Prevenzione\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22504 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/rilevamento\/\" rel=\"bookmark\">        \r\n        Rilevamento\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22509 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/indagine\/\" rel=\"bookmark\">        \r\n        Indagine\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22514 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/risposta\/\" rel=\"bookmark\">        \r\n        Risposta\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22519 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/consulenza\/\" rel=\"bookmark\">        \r\n        Consulenza\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22524 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/contenzioso\/\" rel=\"bookmark\">        \r\n        Contenzioso\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->\n<article class=\"wi-post post-item post-grid fox-grid-item post-align- post--thumbnail-before post-22530 post type-post status-publish format-standard has-post-thumbnail hentry category-struttura\" itemscope itemtype=\"https:\/\/schema.org\/CreativeWork\">\n\n    <div class=\"post-item-inner grid-inner post-grid-inner\">\n        \n                \n        \n<div class=\"post-body post-item-body grid-body post-grid-body\">\n\n    <div class=\"post-body-inner\">\n\n        <div class=\"post-item-header\">\r\n<h2 class=\"post-item-title wi-post-title fox-post-title post-header-section size-tiny\" itemprop=\"headline\">\r\n    <a href=\"https:\/\/vanleeuwenlawfirm.eu\/it\/informazioni-su\/struttura\/negoziazione\/\" rel=\"bookmark\">        \r\n        Negoziazione\r\n    <\/a>\r\n<\/h2><\/div>\n    <\/div>\n\n<\/div><!-- .post-item-body -->\n\n\n        \n    <\/div><!-- .post-item-inner -->\n\n<\/article><!-- .post-item -->        \r\n            \r\n    <\/div><!-- .fox-blog -->\r\n    \r\n        \r\n<\/div><!-- .fox-blog-container -->\r\n\r\n    \t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Il titolare del trattamento occupa, nell\u2019ambito del Regolamento generale sulla protezione dei dati, il centro di gravit\u00e0 normativo, organizzativo e operativo di ogni trattamento di dati personali. Non si tratta di una qualificazione meramente formale, bens\u00ec del soggetto che orienta il trattamento, ne determina le finalit\u00e0, sceglie i mezzi essenziali e assume la responsabilit\u00e0 della liceit\u00e0, proporzionalit\u00e0, trasparenza e controllabilit\u00e0 dell\u2019intera operazione di trattamento. Quando i dati personali sono trattati all\u2019interno di catene digitali, ambienti di piattaforma, infrastrutture cloud, portali clienti, registri interni, banche dati marketing, sistemi di conformit\u00e0 o processi di prevenzione delle frodi, la questione relativa a chi<\/p>\n","protected":false},"author":1,"featured_media":34759,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[39],"tags":[],"class_list":["post-24298","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-privacy-dati-e-sicurezza-informatica"],"acf":[],"_links":{"self":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24298","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/comments?post=24298"}],"version-history":[{"count":14,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24298\/revisions"}],"predecessor-version":[{"id":34820,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/posts\/24298\/revisions\/34820"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/media\/34759"}],"wp:attachment":[{"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/media?parent=24298"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/categories?post=24298"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vanleeuwenlawfirm.eu\/it\/wp-json\/wp\/v2\/tags?post=24298"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}