2. stabilisca chiaramente: • le istruzioni per il trattamento dei dati • la natura e le finalità del trattamento; • le tipologie di dati soggetti al trattamento; • la durata del trattamento; e • i diritti e gli obblighi di entrambe le parti; 3. non sollevi il Titolare del trattamento o il responsabile del trattamento da un obbligo previsto dall’ADDPA; e 4. vieti: • la raccolta, il trattamento o il trasferimento di dati in violazione degli obblighi spe- cifici del responsabile del trattamento che sono stati analizzati nel paragrafo prece- dente; e • di incrociare i dati con quelli che il medesimo responsabile del trattamento riceve da o per conto di un’altra o più persone o raccoglie dalla propria interazione con un individuo. Il contratto tra Titolare del trattamento e responsabile del trattamento può, previo accor- do, consentire al il Titolare del trattamento di monitorare il rispetto del contratto da parte del responsabile attraverso misure che includono, a titolo esemplificativo ma non esau- stivo, revisioni manuali continue e scansioni automatizzate, nonché valutazioni regolari, audit o altri test tecnici e operativi almeno una volta ogni 12 mesi. Le disposizioni sul contratto scritto sopra esaminate si applicano – mutatis mutandis e ove del caso – anche al contratto tra responsabile del trattamento e sub responsabile(i) del trattamento. Come è agevole rilevare, le disposizioni dell’ADPPA in materia di rapporti tra Titolare e re- sponsabile del trattamento ricalcano – a partire dalla obbligatoria previsione di un contra- to scritto e di specifiche e separate istruzioni – la disciplina che sulla materia anche il GDPR ha introdotto con l’articolo 28 GDPR, poi specificato nella sua sfera applicativa anche dalle Linee Guida del Comitato europeo sulla protezione dei dati personali 7/2020 sul concetto di Titolare e responsabile del trattamento nel GDPR. Vi sono inoltre altre disposizioni dell’ASDPPA che sembrano richiamare direttamente principi fondamentali oramai consolidati in UE circa l’individuazione e il ruolo del respon- sabile del trattamento. Ad esempio, l’articolo 302(c)(1) che stabilisce che determinare se una persona agisce come Titolare o come responsabile del trattamento di dati è una que- stione basata sull’esame fattuale dell’influenza effettiva che dipende dal contesto specifico e concreto del trattamento.
68
Made with FlippingBook Online newsletter maker