“Consigliato” il responsabile dati

La nomina di un DPO (Data Protection Officer, in italiano RPD, Responsabile per la Protezione dei Dati), che secondo il regolamento europeo non è obbligatoria per tutti, è “raccomandata” dal Garante a tutti i titolari “anche alla luce del principio di accountability che permea il regolamento”.
Questa una delle indicazioni fornite dal Garante della privacy nelle Faq, pubblicate sul suo sito, relative al comparto privato in vista dell’entrata in vigore del Regolamento (Gdpr) il 25 maggio 2018.
Si ripete, dunque, quello che già era accaduto con la tenuta del “Registro delle attività di trattamento”, disciplinato dall’articolo 30 della Gdpr. Una misura prescritta per soggetti o trattamenti di rilevante importanza diventa consigliata alla generalità dei titolari e individuata come modalità favorita per dimostrare il rispetto dei requisiti del Gdpr (in caso di controversie, ispezioni, procedimento davanti al Garante).
Il motivo è facile da intuire: il regolamento è una norma nuova che, almeno rispetto alla legislazione italiana, muta la struttura del sistema privacy. Fino al 25 maggio, i titolari devono dimostrare di avere messo in atto misure minime per la tutela dei dati trattati; dal 25 maggio in poi le misure che permetteranno di dimostrare la compliance con il regolamento devono essere sufficienti (il principio di accountability, appunto).
La sufficienza delle misure andrà misurata ex ante. Il titolare dovrà provare di aver adottato misure tali da rendere i dati e i trattamenti sicuri e legittimi. Il registro in cui annotare trattamenti e regole può certamente costituire una prima prova di ciò; e così un Dpo validamente scelto (garanzia di competenza e professionalità) e dotato delle necessarie strutture e risorse (personale, locali, attrezzature).
Di certo la sua nomina dovrà essere un processo sostanziale e non un obolo formale alle prescrizioni del Gdpr. Quindi, non solo il Dpo designato dovrà possedere i requisiti di “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati” previsti dall’articolo 37 del regolamento, ma dovrà anche interagire con le funzioni aziendali per assicurare il rispetto della normativa, la gestione delle criticità e, in aggiunta, “fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento” (articolo 39).
Questa inedita figura a metà tra la consulenza e la garanzia è stata individuata fin da subito come una delle novità più evidenti introdotte dal regolamento. Il Dpo deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici aziendali. Non ci sono incompatibilità con altri incarichi, ma il Garante evidenzia la necessaria assenza di un “conflitto di interesse” in capo al Dpo. Ciò può creare qualche problema all’interno delle aziende, che in molti casi potrebbero essere portate a nominare responsabile un dipendente che si sta già occupando attivamente di privacy.
Invece, dice il Garante, è sconsigliabile nominare Dpo chi opera all’interno di strutture che hanno potere decisionale in ordine alle finalità e alle modalità del trattamento dei dati, e quindi (se ne deduce) anche chi ha costruito e gestisce in prima persona il sistema dei documenti privacy di una società. Queste risorse dovranno essere, semmai, il punto di contatto con il Dpo. La scelta della persona da nominare non va quindi sottovalutata. Il responsabile è una professione creata ex novo dal Regolamento; potrebbe diventare uno dei cardini su cui ruota l’intero sistema privacy.

Articolo tratto da Il Sole 24 Ore

Articoli correlati

Protezione dei dati, barra a dritta
Il nuovo regolamento Ue sulla protezione dei dati (Gdpr) entra in vigore venerdì prossimo, 25 maggio. E non ci sono possibilità di proroghe. Lo dice Giovanni Buttarelli, il Garante europeo...
Scopri di più
Raccolta differenziata, i sacchi trasparenti violano la privacy
L’estensione sul territorio nazionale del servizio di raccolta dei rifiuti “porta a porta” sta facendo aumentare la percentuale di raccolta differenziata con conseguente diminuzione dei rifiuti che finiscono in discarica,...
Scopri di più
Gradualità nelle sanzioni privacy
Confindustria, Abi, Ania, Assonime e Confcommercio inviano due lettere a governo e garante in vista della scadenza del 25 maggio. Troppe incertezze mettono a rischio la compliance. Serve lo sblocco...
Scopri di più
Il decreto inviato a Camere e Authorithy
Il decreto legislativo che deve coordinare la privacy europea con quella nazionale può iniziare il proprio iter. Lo scorso 10 maggio Palazzo Chigi l’ha inviato al Parlamento e al Garante,...
Scopri di più
Privacy, ecco il nuovo decreto
Punita l’acquisizione fraudolenta e la diffusione di ingenti dati personali; a 16 anni il consenso dei minori per la rete; la sanità perde l’obbligo del consenso e oblazione in vista...
Scopri di più
Le linee guida dei Garanti europei forniscono informazioni sulla Dpia
La valutazione di impatto privacy obbligatoria tutte le volte in cui il trattamento dei dati comporta rischi elevati per i diritti e le libertà delle persone. L’articolo 35 del regolamento...
Scopri di più
Privacy, rischi da valutare subito
Sono tenuti a redigere la “valutazione di impatto privacy” (la sigla inglese è Dpia: data privacy impact assessment) i datori di lavoro che: sono in possesso di dati sensibili di...
Scopri di più
Spiare l’e-mail è controllo a distanza
Con il provvedimento 53/2018 il Garante della privacy pone un freno alla prassi di molti datori di lavoro di conservare in modo massivo le e-mail scambiate dai dipendenti attraverso gli...
Scopri di più
Telecamere in azienda: visione “in diretta” solo in casi eccezionali
Installazione di impianti audiovisivi facilitata, anche se le aziende devono fare i conti con la vecchia modulistica. La circolare 5/2018 dell’ispettorato nazionale del lavoro (Inl) segna un’apertura rispetto al passato,...
Scopri di più
Informativa chiara al lavoratore sui dati raccolti
L’entrata in vigore, il 25 maggio, del nuovo regolamento europeo sulla protezione dei dati personali (2016/679) avrà un impatto anche sugli adempimenti informativi delle aziende per il controllo a distanza...
Scopri di più
“Consigliato” il responsabile dati
La nomina di un DPO (Data Protection Officer, in italiano RPD, Responsabile per la Protezione dei Dati), che secondo il regolamento europeo non è obbligatoria per tutti, è “raccomandata” dal...
Scopri di più
{"slides_column":"3","slides_scroll":"1","dots":"false","arrows":"true","autoplay":"true","autoplay_interval":"2500","speed":"1200","rtl":"false","loop":"true","design":"design-22"}
Powered by WishList Member - Membership Software
X