PRIVACY PILLS 3 : IL RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD-DPO)
Il 25 maggio 2018 sarà applicabile in tutti gli Stati
Membri il nuovo regolamento europeo in materia di protezione dei dati
personali, con il quale si darà inizio a
una nuova era per la tutela del diritto alla privacy dei cittadini europei
nei rapporti con le pubbliche amministrazioni e le imprese.
Il testo del regolamento abroga la
precedente normativa, concepita in un periodo nel quale solo una ridotta
parte della popolazione europea
utilizzava la rete internet, non esistevano le nuove tecnologie sempre in evoluzione
all’interno di social media o per il tramite di app e marketplace di nuova
generazione, inoltre non esisteva l’attuale “società della sorveglianza
elettronica” nella quale, più o meno inconsapevolmente, sono gli stessi
cittadini a pubblicare i propri dati personali all’interno delle piattaforme
digitali.
Attraverso questa rubrica
pubblicheremo alcune informazioni “in pillole” per cercare di dare un’idea dell’enorme
cambiamento che sta avvenendo nel mondo della Privacy. Le pillole saranno
tematiche e riguarderanno alcune fra le principali novità che incideranno
direttamente nella quotidianità degli operatori.
Tematiche già trattate:
Tematiche già trattate:
PILL 1: ( Articolo Online del 20 Marzo ) la tematica relativa al "Consenso"
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".
PILL 2: ( Articolo Online del 30 Marzo ) la tematica relativa all' "Informativa".
La pillola di oggi riguarda: IL RESPONSABILE PER LA PROTEZIONE DEI DATI (RPD-DPO)
Il Responsabile per la
Protezione dei Dati (RPD) o Data Protection Officer (DPO) è una figura introdotta
dal GDPR. Storicamente già conosciuta in alcune legislazioni europee, è un
professionista (interno o esterno) con un ruolo aziendale e con competenze
giuridiche, informatiche, di risk management e di analisi dei processi; la cui
responsabilità principale è quella di osservare, valutare e organizzare la
gestione del trattamento di dati personali all’interno di un’azienda, ovvero la
Protezione dei Dati Personali, affinché questi siano trattati nel rispetto
delle normative privacy europee e nazionali.
Quali sono i compiti del DPO:
·
informare e consigliare il titolare o il responsabile
del trattamento, nonché i dipendenti, in merito agli obblighi derivanti dal
Regolamento europeo e da altre disposizioni dell'Unione o degli Stati membri
relative alla protezione dei dati;
·
verificare l’attuazione e l’applicazione del
Regolamento, delle altre disposizioni dell'Unione o degli Stati membri relative
alla protezione dei dati nonché delle politiche del titolare o del responsabile
del trattamento in materia di protezione dei dati personali, inclusi
l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del
personale coinvolto nelle operazioni di trattamento, e gli audit relativi;
·
fornire, se richiesto, pareri in merito alla
valutazione d'impatto sulla protezione dei dati e sorvegliare i relativi
adempimenti;
·
fungere da punto di contatto per gli interessati in
merito a qualunque problematica connessa al trattamento dei loro dati o
all’esercizio dei loro diritti;
·
fungere da punto di contatto per il Garante per la protezione
dei dati personali oppure, eventualmente, consultare il Garante di propria
iniziativa.
Il consiglio che proporremo in tutte
le pills sarà quello di rivolgersi ad
uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare
situazioni di panico proporremo alcune semplici idee per poter approcciare alle
novità del GDPR.
Per questa Pills è stato lo stesso GARANTE
italiano per la Protezione dei Dati Personali a chiarire le novità introdotte
dal GDPR, attraverso la pubblicazione di alcune risposte alle domande più
frequenti inoltrategli.
Il GDPR esplicita l’obbligatorietà
del DPO nei seguenti casi:
a)
amministrazioni ed enti pubblici, fatta
eccezione per le autorità giudiziarie;
b)
tutti i soggetti la cui attività
principale consiste in trattamenti che, per la loro natura, il loro oggetto o
le loro finalità, richiedono il controllo regolare e sistematico degli
interessati;
c)
tutti i soggetti la cui attività
principale consiste nel trattamento, su larga scala, di dati sensibili,
relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.
Il GARANTE ha chiarito
che “Sono tenuti alla designazione del responsabile della protezione dei dati
personali i soggetti le cui principali attività
consistono in trattamenti che richiedono il monitoraggio regolare e
sistematico degli interessati su larga scala o i trattamenti su larga scala di
categorie particolari di dati personali o di dati relative a condanne penali e
a reati e che il diritto dell'Unione o degli Stati membri può prevedere
ulteriori casi di designazione obbligatoria del responsabile del trattamento
dei dati personali
Pertanto, sono tenuti
alla nomina, a titolo esemplificativo e non esaustivo: istituti di credito;
imprese assicurative; sistemi di informazione creditizia; società finanziarie;
società di informazioni commerciali; società di revisione contabile; società di
recupero crediti; istituti di vigilanza; partiti e movimenti politici;
sindacati; caf e patronati; società operanti nel settore delle
"utilities" (telecomunicazioni, distribuzione di energia elettrica o
gas); imprese di somministrazione di lavoro e ricerca del personale; società
operanti nel settore della cura della salute, della prevenzione/diagnostica
sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri
di riabilitazione; società di call center; società che forniscono servizi
informatici; società che erogano servizi televisivi a pagamento.
A cura di:
Avv. Fabio Maggesi
Nessun commento:
Posta un commento