PRIVACY PILLS : 3 – Il Responsabile
PRIVACY PILLS 3 : IL RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD-DPO)
Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Il testo del regolamento abroga la precedente normativa, concepita in un periodo nel quale solo una ridotta parte della popolazione europea utilizzava la rete internet, non esistevano le nuove tecnologie sempre in evoluzione all’interno di social media o per il tramite di app e marketplace di nuova generazione, inoltre non esisteva l’attuale “società della sorveglianza elettronica” nella quale, più o meno inconsapevolmente, sono gli stessi cittadini a pubblicare i propri dati personali all’interno delle piattaforme digitali.
Attraverso questa rubrica pubblicheremo alcune informazioni “in pillole” per cercare di dare un’idea dell’enorme cambiamento che sta avvenendo nel mondo della Privacy. Le pillole saranno tematiche e riguarderanno alcune fra le principali novità che incideranno direttamente nella quotidianità degli operatori.
Tematiche già trattate:
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al “Consenso”
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all’ “Informativa”.
La pillola di oggi riguarda: IL RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD-DPO)
Il Responsabile per la Protezione dei Dati (RPD) o Data Protection Officer (DPO) è una figura introdotta dal GDPR. Storicamente già conosciuta in alcune legislazioni europee, è un professionista (interno o esterno) con un ruolo aziendale e con competenze giuridiche, informatiche, di risk management e di analisi dei processi; la cui responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda, ovvero la Protezione dei Dati Personali, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Quali sono i compiti del DPO:
- informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal Regolamento europeo e da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
- verificare l’attuazione e l’applicazione del Regolamento, delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, inclusi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
- fornire, se richiesto, pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti;
- fungere da punto di contatto per gli interessati in merito a qualunque problematica connessa al trattamento dei loro dati o all’esercizio dei loro diritti;
- fungere da punto di contatto per il Garante per la protezione dei dati personali oppure, eventualmente, consultare il Garante di propria iniziativa.
DPO obbligatorio, le indicazione del Garante Italiano
Il consiglio che proporremo in tutte le pills sarà quello di rivolgersi ad uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare situazioni di panico proporremo alcune semplici idee per poter approcciare alle novità del GDPR.
Per questa Pills è stato lo stesso GARANTE italiano per la Protezione dei Dati Personali a chiarire le novità introdotte dal GDPR, attraverso la pubblicazione di alcune risposte alle domande più frequenti inoltrategli.
Il GDPR esplicita l’obbligatorietà del DPO nei seguenti casi:
- a)amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
- b)tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il controllo regolare e sistematico degli interessati;
- c)tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Il GARANTE ha chiarito che “Sono tenuti alla designazione del responsabile della protezione dei dati personali i soggetti le cui principali attività consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o i trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati e che il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del responsabile del trattamento dei dati personali
Pertanto, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
A cura di:
Avv. Fabio Maggesi
- Posted by MepLaw
- On 5 Aprile 2018