Di Più
Navigazione
CAPO I Disposizioni generali (1-4)
Articolo 1. Oggetto e finalitàArticolo 2. Ambito di applicazione materialeArticolo 3. Ambito di applicazione territorialeArticolo 4. Definizioni
CAPO II Principi (5-11)
Articolo 5. Principi applicabili al trattamento di dati personaliArticolo 6. Liceità del trattamentoArticolo 7. Condizioni per il consensoArticolo 8. Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazioneArticolo 9. Trattamento di categorie particolari di dati personaliArticolo 10. Trattamento dei dati personali relativi a condanne penali e reatiArticolo 11. Trattamento che non richiede l'identificazione
CAPO III Diritti dell'interessato (12-23)
Articolo 12. Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessatoArticolo 13. Informazioni da fornire qualora i dati personali siano raccolti presso l'interessatoArticolo 14. Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessatoArticolo 15. Diritto di accesso dell'interessatoArticolo 16. Diritto di rettificaArticolo 17. Diritto alla cancellazione («diritto all'oblio»)Articolo 18. Diritto di limitazione di trattamentoArticolo 19. Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamentoArticolo 20. Diritto alla portabilità dei datiArticolo 21. Diritto di opposizioneArticolo 22. Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazioneArticolo 23. Limitazioni
CAPO IV Titolare del trattamento e responsabile del trattamento (24-43)
Articolo 24. Oggetto e finalitàArticolo 25. Protezione dei dati fin dalla progettazione e protezione per impostazione predefinitaArticolo 26. Contitolari del trattamentoArticolo 27. Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell'Unione
Articolo 28. Responsabile del trattamento
Articolo 29. Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamentoArticolo 30. Registri delle attività di trattamentoArticolo 31. Cooperazione con l'autorità di controlloArticolo 32. Sicurezza del trattamentoArticolo 33. Notifica di una violazione dei dati personali all'autorità di controlloArticolo 34. Comunicazione di una violazione dei dati personali all'interessatoArticolo 35. Valutazione d'impatto sulla protezione dei datiArticolo 36. Consultazione preventivaArticolo 37. Designazione del responsabile della protezione dei datiArticolo 38. Posizione del responsabile della protezione dei datiArticolo 39. Compiti del responsabile della protezione dei datiArticolo 40. Codici di condottaArticolo 41. Monitoraggio dei codici di condotta approvatiArticolo 42. CertificazioneArticolo 43. Organismi di certificazione
CAPO V Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (44-50)
Articolo 44. Principio generale per il trasferimentoArticolo 45. Trasferimento sulla base di una decisione di adeguatezzaArticolo 46. Trasferimento soggetto a garanzie adeguateArticolo 47. Norme vincolanti d'impresaArticolo 48. Trasferimento o comunicazione non autorizzati dal diritto dell'UnioneArticolo 49. Deroghe in specifiche situazioniArticolo 50. Cooperazione internazionale per la protezione dei dati personali
CAPO VI Autorità di controllo indipendenti (51-59)
Articolo 51. Autorità di controlloArticolo 52. IndipendenzaArticolo 53. Condizioni generali per i membri dell'autorità di controlloArticolo 54. Norme sull'istituzione dell'autorità di controlloArticolo 55. CompetenzaArticolo 56. Competenza dell'autorità di controllo capofilaArticolo 57. CompitiArticolo 58. PoteriArticolo 59. Relazioni di attività
CAPO VII Cooperazione e coerenza (60-70)
Articolo 60. Cooperazione tra l'autorità di controllo capofila e le altre autorità di controllo interessateArticolo 61. Assistenza reciprocaArticolo 62. Operazioni congiunte delle autorità di controlloArticolo 63. Meccanismo di coerenzaArticolo 64. Parere del comitato europeo per la protezione dei datiArticolo 65. Composizione delle controversie da parte del comitatoArticolo 66. Procedura d'urgenzaArticolo 67. Scambio di informazioniArticolo 68. Comitato europeo per la protezione dei datiArticolo 69. IndipendenzaArticolo 70. Compiti del comitatoArticolo 71. RelazioniArticolo 72. ProceduraArticolo 73. PresidenteArticolo 74. Compiti del presidenteArticolo 75. SegreteriaArticolo 76. Riservatezza
CAPO VIII Mezzi di ricorso, responsabilità e sanzioni (77-84)
Articolo 77. Diritto di proporre reclamo all'autorità di controlloArticolo 78. Diritto a un ricorso giurisdizionale effettivo nei confronti dell'autorità di controlloArticolo 79. Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamentoArticolo 80. Rappresentanza degli interessatiArticolo 81. Sospensione delle azioniArticolo 82. Diritto al risarcimento e responsabilitàArticolo 83. Condizioni generali per infliggere sanzioni amministrative pecuniarieArticolo 84. Sanzioni
CAPO IX Disposizioni relative a specifiche situazioni di trattamento (85-91)
Articolo 85. Trattamento e libertà d'espressione e di informazioneArticolo 86. Trattamento e accesso del pubblico ai documenti ufficialiArticolo 87. Trattamento del numero di identificazione nazionaleArticolo 88. Trattamento dei dati nell'ambito dei rapporti di lavoroArticolo 89. Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statisticiArticolo 90. Obblighi di segretezzaArticolo 91. Norme di protezione dei dati vigenti presso chiese e associazioni religiose
CAPO X Atti delegati e atti di esecuzione (92-93)
Articolo 92. Esercizio della delegaArticolo 93. Procedura di comitato
CAPO XI Disposizioni finali (94-95)
Articolo 94. Abrogazione della direttiva 95/46/CEArticolo 95. Rapporto con la direttiva 2002/58/CEArticolo 96. Rapporto con accordi precedentemente conclusiArticolo 97. Relazioni della CommissioneArticolo 98. Riesame di altri atti legislativi dell'Unione in materia di protezione dei datiArticolo 99. Entrata in vigore e applicazione
RGPD > Articolo 28. Responsabile del trattamento
Scarica il PDF

Articolo 28 RGPD. Responsabile del trattamento

1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.

2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraphs to article 28(2) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.


per accedere al testo completo

3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento. Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:

a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(a) GDPR:

8.2.2 Organization’s purposes

Control

The organization should ensure that PII processed on behalf of a customer are only processed for the purposes expressed in the documented instructions of the customer.

Implementation guidance

The contract between the organization and the customer should include, but not be limited to, the objective and time frame to be achieved by the service.


per accedere al testo completo

b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 13.2.4.

Here is the relevant paragraph to article 28(3)(b) GDPR:

6.10.2.4 Confidentiality or non-disclosure agreements

Implementation guidance

The organization should ensure that individuals operating under its control with access to PII are subject to a confidentiality obligation. The confidentiality agreement, whether part of a contract or separate, should specify the length of time the obligations should be adhered to.


per accedere al testo completo

c) adotti tutte le misure richieste ai sensi dell’articolo 32;

Testi correlati
Testi correlati

d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(d) GDPR:

8.5.7 Engagement of a subcontractor to process PII

Control

The organization should only engage a subcontractor to process PII according to the customer contract.

Implementation guidance

Where the organization subcontracts some or all of the processing of that PII to another organization, a written authorization from the customer is required prior to the PII processed by the subcontractor. This can be in the form of appropriate clauses in the customer contract, or can be a specific “one-off” agreement.

 


per accedere al testo completo

e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(e) GDPR:

8.3.1 Obligations to PII principals

Control

The organization should provide the customer with the means to comply with its obligations related to PII principals.

Implementation guidance

A PII controller’s obligations can be defined by legislation, by regulation and/or by contract. These obligations can include matters where the customer uses the services of the organization for implementation of these obligations.


per accedere al testo completo

f) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

Testi correlati
Testi correlati

g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(3)(g) GDPR:

8.4.2 Return, transfer or disposal of PII

Control

The organization should provide the ability to return, transfer and/or disposal of PII in a secure manner. It should also make its policy available to the customer.

Implementation guidance

At some point in time, PII can need to be disposed of in some manner. This can involve returning the PII to the customer, transferring it to another organization or to a PII controller (e.g. as a result of a merger), deleting or otherwise destroying it, de-identifying it or archiving it.


per accedere al testo completo

h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato.

ISO 27701
ISO 27701

Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.

ISO 27701
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII processors.

Here is the relevant paragraph to article 28(4) GDPR:

8.5.6 Disclosure of subcontractors used to process PII

Control

The organization should disclose any use of subcontractors to process PII to the customer before use.

Implementation guidance

Provisions for the use of subcontractors to process PII should be included in the customer contract.


per accedere al testo completo

5. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.

Testi correlati
Testi correlati

6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.

Testi correlati
Testi correlati

7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.

Testi correlati
Testi correlati

8. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.

Testi correlati
Testi correlati

9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.

10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.

Testi correlati
Testi correlati

Commento dell'esperto ISO 27701 Considerando Linee guida e Giurisprudenza lascia un commento
Commento dell'esperto

(EN) A processor is a person or an organization that processes personal data on behalf and under the authority of a controller [Articles 4(8) and 28(1)]. The term used in the English text of the General Data Protection Regulation (GDPR) remains difficult to apprehend by a non-legal audience, so it is useful to turn to other linguistic versions for a better understanding.


per accedere al testo completo

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
(EN) Ask a question
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to articles 28(5), 28(6), and 28(10) GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.


per accedere al testo completo

Considerando

(81) Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento. L'applicazione da parte del responsabile del trattamento di un codice di condotta approvato o di un meccanismo di certificazione approvato può essere utilizzata come elemento per dimostrare il rispetto degli obblighi da parte del titolare del trattamento. L'esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell'interessato. Il titolare del trattamento e il responsabile del trattamento possono scegliere di usare un contratto individuale o clausole contrattuali tipo che sono adottate direttamente dalla Commissione oppure da un'autorità di controllo in conformità del meccanismo di coerenza e successivamente dalla Commissione. Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell'Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali.

Linee guida e Giurisprudenza lascia un commento
[js-disqus]