{"id":8960,"date":"2017-09-18T07:56:49","date_gmt":"2017-09-18T07:56:49","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/eugdpracademy\/knowledgebase\/eu-gdpr-controller-vs-processor-what-are-the-differences-2\/"},"modified":"2023-11-27T23:13:57","modified_gmt":"2023-11-27T23:13:57","slug":"il-gdpr-dellue-controllori-a-confronto-con-processori-quali-sono-le-differenze","status":"publish","type":"adv_resources","link":"https:\/\/advisera.com\/it\/articoli\/il-gdpr-dellue-controllori-a-confronto-con-processori-quali-sono-le-differenze\/","title":{"rendered":"Il GDPR dell\u2019UE: controllori a confronto con processori \u2013 Quali sono le differenze?"},"content":{"rendered":"<p>Una delle domande che ha sollevato i maggiori dubbi nelle organizzazioni che lavorano all&#8217;implementazione del GDPR dell&#8217;UE \u00e8 stata quali siano le differenze tra il controllore<sup>1)<\/sup> di dati e il processore<sup>2)<\/sup> di dati secondo il GDPR.<\/p>\n<p>&#8220;Nell&#8217;ambito del <a href=\"https:\/\/advisera.com\/gdpr\/\" target=\"_blank\" rel=\"noopener noreferrer\">Regolamento Generale per la Protezione dei Dati dell&#8217;Unione Europea<\/a> (o GDPR), qual \u00e8 la nostra responsabilit\u00e0 nei confronti dei dati personali che i nostri clienti gestiscono nel campo di applicazione della loro attivit\u00e0 commerciale? Voglio dire, i dati personali sono raccolti e trattati dai nostri clienti e noi li registriamo soltanto.&#8221;\u00a0\u00e8 qualcosa che viene comunemente chiesto nelle organizzazioni con cui ho lavorato.<\/p>\n<p>Infatti, alcune organizzazioni non hanno alcun controllo sui dati dei loro clienti (li registrano soltanto). La domanda \u00e8: All&#8217;interno del GDPR dell&#8217;UE, quali sono le responsabilit\u00e0 di queste organizzazioni se registrano i dati personali? Sono coperte dai nuovi regolamenti europei?<\/p>\n<h2><strong>Regolamento Generale Europeo sulla Protezione dei Dati (il GDPR dell\u2019UE)<\/strong><\/h2>\n<p>Questo nuovo regolamento (il <a href=\"https:\/\/advisera.com\/it\/articoli\/cose-la-gdpr-ue\/\" target=\"_blank\" rel=\"noopener noreferrer\">GDPR dell\u2019UE<\/a>)\u00a0\u00e8 stato approvato il 14 aprile 2016 dal Parlamento Europeo e dal Consiglio Europeo. Sar\u00e0 applicato direttamente in ogni paese, UE o non UE (che conservi i dati personali dei cittadini europei), consentendo una coerenza delle norme tra le nazioni sui diritti relativi alla privacy dei cittadini. Per saperne di pi\u00f9, leggi l&#8217;articolo: <a href=\"https:\/\/advisera.com\/it\/articoli\/cose-il-gdpr-dellue-e-perche-e-applicabile-al-mondo-intero\/\" target=\"_blank\" rel=\"noopener noreferrer\">Cos\u2019\u00e8 il GDPR dell\u2019UE e perch\u00e8 \u00e8 applicabile al mondo intero?<\/a><\/p>\n<p>In primo luogo, tutte le organizzazioni raccolgono e \/ o conservano i dati personali dei propri dipendenti purch\u00e9 siano cittadini europei; pertanto, tutte le organizzazioni, all\u2019interno o all\u2019esterno dell\u2019UE, sono responsabili dell&#8217;elaborazione di questi dati all&#8217;interno del GDPR dell&#8217;UE. D&#8217;altra parte, le organizzazioni possono registrare i dati personali dei propri clienti diretti o i dati personali che i propri clienti raccolgono da persone fisiche. All&#8217;interno del GDPR dell&#8217;UE, la responsabilit\u00e0 dell&#8217;organizzazione \u00e8 diversa a seconda del fatto che questa raccolga i dati direttamente dagli interessati oppure no?<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><div id=\"sidebar-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2><strong>Controllori a confronto con i Processori<\/strong><\/h2>\n<p>Secondo l&#8217;<a href=\"https:\/\/advisera.com\/gdpr\/definitions\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 4<\/a> del GDPR dell&#8217;UE, i diversi ruoli sono identificati come segue:<\/p>\n<ul>\n<li><em>&#8220;Controllore&#8221;: \u201d\u00e8 una persona fisica o giuridica, autorit\u00e0 pubblica, agenzia o altro organismo che, da solo o congiuntamente con altri, determina le finalit\u00e0 e i mezzi di trattamento dei dati personali&#8221;<\/em><\/li>\n<li><em>&#8220;Processore&#8221;: \u201c\u00e8 una persona fisica o giuridica, autorit\u00e0 pubblica, agenzia o altro organismo che elabora dati personali per conto del controllore&#8221;<\/em><\/li>\n<\/ul>\n<p>Quindi, le organizzazioni che determinano i mezzi di trattamento dei dati personali sono controllori, indipendentemente dal fatto che raccolgano direttamente i dati dagli interessati. Ad esempio, una banca (controllore) raccoglie i dati dei propri clienti quando questi aprono un conto, ma \u00e8 un&#8217;altra organizzazione (processore) che registra, digitalizza e cataloga tutte le informazioni prodotte sulla carta dalla banca. Queste aziende possono essere data center o societ\u00e0 di gestione dei documenti. Entrambe le organizzazioni (controllori e processori) sono responsabili della gestione dei dati personali di questi clienti.<\/p>\n<h2><strong>Quali sono le responsabilit\u00e0 dei controllori?<\/strong><\/h2>\n<p>Secondo l&#8217;<a href=\"https:\/\/advisera.com\/gdpr\/principles-relating-to-processing-of-personal-data\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 5<\/a> del GDPR dell&#8217;UE, il controllore \u00e8 competente per, e deve essere in grado di dimostrare la conformit\u00e0 a, i principi relativi al trattamento dei dati personali. Questi sono: liceit\u00e0, correttezza e trasparenza, minimizzazione dei dati, accuratezza, limitazioni e integrit\u00e0 della conservazione e riservatezza dei dati personali.<\/p>\n<p>Secondo l&#8217;<a href=\"https:\/\/advisera.com\/gdpr\/responsibility-of-the-controller\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 24<\/a> del GDPR dell&#8217;UE, &#8220;<em>Tenuto conto della natura, dell&#8217;ambito di applicazione, del contesto e delle finalit\u00e0 del trattamento, nonch\u00e9 dei rischi aventi probabilit\u00e0 e gravit\u00e0 diverse per i diritti e le libert\u00e0 delle persone fisiche, il titolare del trattamento\u00a0 &#8211; o controllore &#8211; mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento \u00e8 effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.<\/em>&#8221;<\/p>\n<p>Esempi di tali misure possono essere l&#8217;attribuzione di responsabilit\u00e0 per la protezione dei dati, una valutazione d&#8217;impatto sulla protezione dei dati e un piano di mitigazione dei rischi, l\u2019implementazione della pseudonimizzazione (il trattamento dei dati personali in modo tale che i dati personali non possano pi\u00f9 essere attribuiti a un interessato specifico senza l&#8217;utilizzo di informazioni aggiuntive) e della minimizzazione dei dati per soddisfare i requisiti del presente Regolamento e proteggere i diritti degli interessati.<\/p>\n<p>Se esistono pi\u00f9 organizzazioni che condividono la responsabilit\u00e0 per il trattamento dei dati personali, il GDPR dell&#8217;UE considera la possibilit\u00e0 dell&#8217;esistenza di contitolari del trattamento. Questi devono determinare le proprie responsabilit\u00e0 mediante un accordo e fornire il contenuto di questo accordo agli interessati, definendo i mezzi di comunicazione con i processori con un unico punto di contatto.<\/p>\n<h2><strong>Quali sono le responsabilit\u00e0 dei processori?<\/strong><\/h2>\n<p>Secondo l&#8217;<a href=\"https:\/\/advisera.com\/gdpr\/processor\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 28<\/a> del GDPR dell&#8217;Unione Europea, &#8220;<em>Qualora un trattamento debba essere effettuato per conto del titolare del trattamento \u2013 o controllore -, quest&#8217;ultimo ricorre unicamente a responsabili del trattamento \u2013 o processori &#8211; che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell&#8217;interessato.<\/em><em>&#8220;<\/em><\/p>\n<p>Ci\u00f2 significa che se una qualsiasi societ\u00e0 all\u2019interno o al di fuori dell&#8217;UE desidera rimanere in attivit\u00e0, sia essa controllore o processore, dovr\u00e0 implementare i controlli necessari per assicurarsi di essere conforme con il GDPR dell&#8217;UE, poich\u00e9 le sanzioni possono essere applicate sia ai controllori che ai processori. Ai sensi dell&#8217;<a href=\"https:\/\/advisera.com\/gdpr\/general-conditions-for-imposing-administrative-fines\/\" target=\"_blank\" rel=\"noopener noreferrer\">articolo 83<\/a>, sono inflitte ammende per &#8220;<em>il grado di responsabilit\u00e0 del controllore o del processore tenendo conto delle misure tecniche e organizzative da essi messe in atto<\/em> &#8220;.<\/p>\n<h2>L\u2019implementazione della SO 27001 soddisfa i requisiti del GDPR dell&#8217;UE?<\/h2>\n<p>L&#8217;implementazione della <a href=\"https:\/\/advisera.com\/27001academy\/it\/che-cose-la-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a> copre la maggior parte dei requisiti del GDPR dell&#8217;UE; tuttavia, alcuni controlli dovrebbero essere adattati per includere i dati personali all&#8217;interno del\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/documentation\/isms-scope-document\/\" target=\"_blank\" rel=\"noopener noreferrer\">Sistema di Gestione della Sicurezza dell\u2019Informazione<\/a>. Per ulteriori informazioni, leggi l&#8217;articolo\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/blog\/2016\/10\/17\/does-iso-27001-implementation-satisfy-eu-gdpr-requirements\/\" target=\"_blank\" rel=\"noopener noreferrer\">Does ISO 27001 implementation satisfy EU GDPR requirements?<\/a><\/p>\n<p>Oltre a ci\u00f2 che \u00e8 previsto per l&#8217;implementazione della ISO 27001 affinch\u00e9 un&#8217;organizzazione, controllore o processore (entrambe dovranno svolgere queste attivit\u00e0), possa assicurare la conformit\u00e0 al GDPR dell&#8217;UE, dovranno essere incluse alcune misure quali:<\/p>\n<ul>\n<li>le procedure per garantire l&#8217;esercizio dei diritti degli interessati<\/li>\n<li>i meccanismi per il\u00a0<a href=\"https:\/\/advisera.com\/27001academy\/documentation\/information-transfer-policy\/\" target=\"_blank\" rel=\"noopener noreferrer\">trasferimento<\/a> transfrontaliero di dati<\/li>\n<li>il contenuto minimo della valutazione d&#8217;impatto sulla protezione dei dati<\/li>\n<li>le procedure da seguire in caso di violazione dei dati personali<\/li>\n<\/ul>\n<p>Tutte queste misure possono essere integrate nel Sistema di Gestione della Sicurezza dell&#8217;Informazione, consentendo la garanzia di conformit\u00e0 legale e il miglioramento continuo, anche se il SGSI e il GDPR dell&#8217;UE sono allineati.<\/p>\n<p>Le organizzazioni coperte dal GDPR dell&#8217;UE, che siano controllori o processori, hanno tempo fino al maggio 2018 per implementare una serie di misure che potrebbero causare un cambiamento drastico al loro modo di operare. Non sapere da dove iniziare pu\u00f2 rendere l\u2019intero processo troppo complesso. L&#8217;implementazione di un SGSI pu\u00f2 essere il sostegno mancante di cui l&#8217;organizzazione che deve rispettare con il GDPR dell&#8217;UE ha bisogno.<\/p>\n<p><em>Leggi questo libro bianco gratuito:\u00a0<\/em><a href=\"https:\/\/info.advisera.com\/eugdpracademy\/it\/download-gratuiti\/che-cose-il-gdpr-dell-ue-e-in-che-modo-la-iso-27001-puo-essere-d-aiuto\" target=\"_blank\" rel=\"noopener noreferrer\">Cos\u2019\u00e8 il GDPR dell&#8217;UE e in che modo la ISO 27001 pu\u00f2 essere d\u2019aiuto?<\/a><em>\u00a0per saperne di pi\u00f9 sulla protezione della privacy.<\/em><\/p>\n<hr \/>\n<p><span style=\"font-size: 8pt;\"><sup>1)<\/sup> Si utilizza qui e di seguito il termine non ufficiale di \u201cControllore\u201d al posto di quello ufficiale di \u201cTitolare del trattamento\u201d riportato nel testo dell\u2019UE, in quanto pi\u00f9 intuitivo.<\/span><br \/>\n<span style=\"font-size: 8pt;\"> <sup>2)<\/sup> Si utilizza qui e di seguito il termine non ufficiale di \u201cProcessore\u201d al posto di quello ufficiale di \u201cResponsabile del trattamento\u201d riportato nel testo dell\u2019UE,\u00a0in quanto pi\u00f9 intuitivo.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una delle domande che ha sollevato i maggiori dubbi nelle organizzazioni che lavorano all&#8217;implementazione del GDPR dell&#8217;UE \u00e8 stata quali siano le differenze tra il controllore1) di dati e il processore2) di dati secondo il GDPR. &#8220;Nell&#8217;ambito del Regolamento Generale per la Protezione dei Dati dell&#8217;Unione Europea (o GDPR), qual \u00e8 la nostra responsabilit\u00e0 nei [&hellip;]<\/p>\n","protected":false},"author":47,"featured_media":0,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-8960","adv_resources","type-adv_resources","status-publish","hentry","adv_resource_type-articles-it","adv_standard-eu-gdpr-it","adv_topic-basics","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/adv_resources\/8960","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/users\/47"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/comments?post=8960"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/adv_resources\/8960\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/media?parent=8960"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/it\/wp-json\/wp\/v2\/tags?post=8960"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}