“Consigliato” il responsabile dati

La nomina di un DPO (Data Protection Officer, in italiano RPD, Responsabile per la Protezione dei Dati), che secondo il regolamento europeo non è obbligatoria per tutti, è “raccomandata” dal Garante a tutti i titolari “anche alla luce del principio di accountability che permea il regolamento”.
Questa una delle indicazioni fornite dal Garante della privacy nelle Faq, pubblicate sul suo sito, relative al comparto privato in vista dell’entrata in vigore del Regolamento (Gdpr) il 25 maggio 2018.
Si ripete, dunque, quello che già era accaduto con la tenuta del “Registro delle attività di trattamento”, disciplinato dall’articolo 30 della Gdpr. Una misura prescritta per soggetti o trattamenti di rilevante importanza diventa consigliata alla generalità dei titolari e individuata come modalità favorita per dimostrare il rispetto dei requisiti del Gdpr (in caso di controversie, ispezioni, procedimento davanti al Garante).
Il motivo è facile da intuire: il regolamento è una norma nuova che, almeno rispetto alla legislazione italiana, muta la struttura del sistema privacy. Fino al 25 maggio, i titolari devono dimostrare di avere messo in atto misure minime per la tutela dei dati trattati; dal 25 maggio in poi le misure che permetteranno di dimostrare la compliance con il regolamento devono essere sufficienti (il principio di accountability, appunto).
La sufficienza delle misure andrà misurata ex ante. Il titolare dovrà provare di aver adottato misure tali da rendere i dati e i trattamenti sicuri e legittimi. Il registro in cui annotare trattamenti e regole può certamente costituire una prima prova di ciò; e così un Dpo validamente scelto (garanzia di competenza e professionalità) e dotato delle necessarie strutture e risorse (personale, locali, attrezzature).
Di certo la sua nomina dovrà essere un processo sostanziale e non un obolo formale alle prescrizioni del Gdpr. Quindi, non solo il Dpo designato dovrà possedere i requisiti di “conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati” previsti dall’articolo 37 del regolamento, ma dovrà anche interagire con le funzioni aziendali per assicurare il rispetto della normativa, la gestione delle criticità e, in aggiunta, “fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento” (articolo 39).
Questa inedita figura a metà tra la consulenza e la garanzia è stata individuata fin da subito come una delle novità più evidenti introdotte dal regolamento. Il Dpo deve agire in piena indipendenza e autonomia, senza ricevere istruzioni e riferendo direttamente ai vertici aziendali. Non ci sono incompatibilità con altri incarichi, ma il Garante evidenzia la necessaria assenza di un “conflitto di interesse” in capo al Dpo. Ciò può creare qualche problema all’interno delle aziende, che in molti casi potrebbero essere portate a nominare responsabile un dipendente che si sta già occupando attivamente di privacy.
Invece, dice il Garante, è sconsigliabile nominare Dpo chi opera all’interno di strutture che hanno potere decisionale in ordine alle finalità e alle modalità del trattamento dei dati, e quindi (se ne deduce) anche chi ha costruito e gestisce in prima persona il sistema dei documenti privacy di una società. Queste risorse dovranno essere, semmai, il punto di contatto con il Dpo. La scelta della persona da nominare non va quindi sottovalutata. Il responsabile è una professione creata ex novo dal Regolamento; potrebbe diventare uno dei cardini su cui ruota l’intero sistema privacy.

Articolo tratto da Il Sole 24 Ore

Articoli correlati

Reclamo gratuito all’Authority
Se l’istanza di esercizio dei diritti, non va a buon fine, l’interessato può alternativamente rivolgersi al Garante o al tribunale. Nel caso in cui ci si rivolga all’autorità amministrativa, la...
Scopri di più
Privacy, imprese in allerta
Il reclamo privacy al Garante è gratis: per far valere i diritti previsti dal regolamento Ue 2016/679 sulla protezione dei dati non si pagano diritti di segreteria. Enti pubblici e...
Scopri di più
Privacy, una tutela facile facile
Il nuovo regolamento europeo sulla privacy, operativo dal 25 maggio, ha certamente reso più semplice la presentazione di un ricorso al Garante. Per un semplice motivo: non si paga nulla....
Scopri di più
Una procedura per gestire la violazione dei dati
Il decreto legislativo 196/2003 prevedeva che la notificazione all’autorità garante di una violazione dei dati avvenisse solo a fronte di specifiche situazioni. Il nuovo regolamento europeo invece impone una notificazione...
Scopri di più
L’avvocato ai margini del Gdpr
Gli avvocati non devono essere nominati responsabili esterni del trattamento. Anche a seguito dell’applicazione del regolamento Ue sulla privacy n. 2016/679, con riferimento all’attività forense, il rapporto con il cliente...
Scopri di più
Dati da proteggere nel lavoro agile
Conciliare il lavoro “agile”, fuori dai locali dell’azienda, con la protezione dei dati (a volte riservati) che l’azienda mette a disposizione del lavoratore. È una delle esigenze che si manifestano...
Scopri di più
L’antiriciclaggio limita la privacy
I dati acquisiti e archiviati dai soggetti tenuti alla adeguata verifica ai fini antiriciclaggio prevalgono sul diritto alla privacy e all’oblio. Dal 25 maggio 2018 è divenuto pienamente applicabile nel...
Scopri di più
PC dei dipendenti controllabili per tutelare i beni aziendali
Il controllo datoriale attraverso un’indagine retrospettiva di carattere informatico sull’utilizzo del computer in dotazione al dipendente, da cui si era riscontrato un utilizzo del bene aziendale per finalità extra lavorative,...
Scopri di più
Privacy, caccia al responsabile
In arrivo nelle scuole il responsabile della protezione dei dati personali, previsto dal nuovo regolamento europeo sulla privacy (Ue/2016/679) in vigore dal 25 maggio. A pochi giorni dall’entrata in vigore...
Scopri di più
Sanzioni privacy senza contraddittorio
L’iter di approvazione del decreto “si concluda quanto prima, in modo da assicurare ai titolari del trattamento il necessario riordino”. Sono parole contenute nel documento depositato lo scorso 31 maggio...
Scopri di più
Privacy, modello per i reclami
Pronti da usare il modello di reclamo e il modello di esercizio dei diritti di privacy, aggiornati al Regolamento Ue 2016/679 sulla protezione dei dati personali. Sono stati messi a...
Scopri di più
La salute non chiede il consenso
Il consenso per la privacy sanitaria è sul viale del tramonto o almeno è quello cui si profila a dare credito la bozza di decreto di armonizzazione della legislazione italiana...
Scopri di più
In condominio nomine privacy da fare
L’amministratore di condominio non è “nominato” automaticamente responsabile del trattamento. Dal 25 maggio è in vigore il regolamento europeo in materia di protezione dei dati personali n. 2016/679, conosciuto anche...
Scopri di più
Privacy, i 10 errori da evitare
Il responsabile della protezione dei dati non è un factotum; le sanzioni non sono sospese; il responsabile esterno non è il Dpo; gli amministratori di sistema, anche se non sono...
Scopri di più
Privacy, Ue pronta alle procedure di infrazione
Lo scorso 25 maggio sono arrivate al garante italiano circa 20mila comunicazioni da parte dei Dpo (Data Protection Officer o responsabili per la protezione dei dati). La nuova figura prevista...
Scopri di più
Sanzioni privacy ad alta tensione
Non sarà facilissimo il coordinamento tra penale e amministrativo quando sarà in vigore la nuova disciplina a tutela della privacy. Almeno quella prevista dal decreto che adegua il nostro ordinamento...
Scopri di più
La nuova privacy parte zoppa
L’armonizzazione alla privacy europea può attendere. È slittato a dopo il 25 maggio l’esame del decreto di armonizzazione da parte delle commissioni speciali di Camera e Senato. La delega, in...
Scopri di più
Privacy con trattamento su misura
Modalità di adeguamento, nuovi ruoli e nuove funzioni previste dal Gdpr, il regolamento europeo sulla privacy che sarà in vigore dal 25 maggio: sono alcuni dei temi emersi nel corso...
Scopri di più
La privacy ora entra in tribunale
Un responsabile della protezione dei dati (all’inglese Dpo) anche per la giustizia penale. Con compiti di consulenza e vigilanza interna. Lo prevede il decreto legislativo, definitivamente approvato dal Consiglio dei...
Scopri di più
Privacy, resta il nodo sanzioni
Bene la previsione di una fase transitoria e il percorso di semplificazione immaginato per le Pmi. Mentre restano criticità sul fronte delle sanzioni: l’impatto di quelle amministrative, molto pesanti in...
Scopri di più
{"slides_column":"3","slides_scroll":"1","dots":"false","arrows":"true","autoplay":"true","autoplay_interval":"2500","speed":"1200","rtl":"false","loop":"true","design":"design-22"}

Powered by WishList Member - Membership Software

x

Questo sito web utilizza i cookie

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizza il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che ha fornito loro o che hanno raccolto dal suo utilizzo dei loro servizi. Acconsenta ai nostri cookie se continua ad utilizzare il nostro sito web.

Accetto Declino Centro privacy IMPOSTAZIONI DELLA PRIVACY Cookie Policy
X