Protezione dei Dati Personali

Il regolamento generale sulla protezione dei dati è in vigore già dal 25 Maggio 2016, ma fino al 25 Maggio 2018 è consentita la convivenza tra il nuovo regolamento e le precedenti disposizioni legislative.

A partire dal 25 Maggio 2018, invece, tutte le disposizioni del D. Lgs. 196/2003 ritenute incompatibili con le disposizioni del regolamento saranno annullate.

Chi deve occuparsi della protezione dei dati?

Il nuovo regolamento europeo in materia di protezione dei dati personali ha introdotto la presenza di una nuova figura in azienda, il Data Protection Officer (DPO) o Responsabile per la Protezione dei Dati (RPD).

Tale figura era già presente, in realtà, all’interno della direttiva europea 95/46 come “privacy officier”, la sua presenza in azienda garantiva semplificazioni ed esenzioni.

Il ruolo del DPO è di tutelare i dati personali adempiendo alle proprie funzioni in piena autonomia ed indipendenza, in assenza di conflitti di interesse, soprattutto quando si gestiscono monitoraggi su larga scala.

Chi è il DPO?

Si tratta di un consulente esperto che affianca il titolare nella gestione e protezione dei dati personali, aggiornandosi su rischi, normativa e misure di sicurezza.

Il DPO può essere un dipendente o una persona esterna che deve essere, però, nominata anche responsabile del trattamento in modo da avere accesso ai dati.

Il DPO può essere una persona fisica o un’organizzazione e può tranquillamente essere nominato per un gruppo di imprese al fine di abbattere i costi.

Quando la designazione è obbligatoria?

Come previsto dall’art.37 il titolare o il responsabile del trattamento devono designare, utilizzando un apposito contratto, il DPO e comunicarlo all’Autorità di controllo nazionale.

La designazione è obbligatoria in 3 casi:

  1. Per amministrazioni ed enti pubblici, ma anche per organismi privati incaricati dello svolgimento di funzioni pubbliche o che svolgono pubblici poteri;
  2. In caso di attività principale svolta dal titolare o dal responsabile del trattamento consistente nel trattamento di dati che richiedono il controllo regolare e sistematico degli interessati su larga scala;
  3. Se la principale attività consiste nel trattamento su larga scala di dati sensibili genetici, giudiziari, biometrici e relativi a salute e vita sessuale.

Il Garante italiano non ha imposto obblighi riguardo attestati necessari per essere nominato DPO, né riguardo l’iscrizione ad albi professionali; questa scelta è legata alla ferma volontà di prediligere una conoscenza approfondita della normativa e delle prassi in materia di privacy, nonché delle norme e procedure amministrative di settore.

Cosa deve fare il DPO?

Deve informare e consigliare il titolare o il responsabile del trattamento ed i dipendenti sugli obblighi previsti dalle norme, verificandone attuazione ed applicazione.

In caso di richiesta da parte del titolare, deve fornire pareri ed assisterlo in merito alla valutazione di impatto sulla protezione dei dati sorvegliando sugli adempimenti.

Il DPO ha la possibilità di consultare il Garante, visto il suo ruolo di punto di contatto per il Garante stesso e per gli interessati al trattamento.

Il DPO deve realizzare l’inventario dei trattamenti e tenere il registro dei trattamenti, nonostante siano il titolare o il responsabile ad essere obbligati a tenere tali adempimenti e siano responsabili verso gli interessati e le autorità di controllo.

Il titolare deve, però, avere cura di mettere in atto misure tecniche ed organizzative adeguate in quanto il DPO risponde solo per quanto riguarda i suoi obblighi di consulenza e assistenza del titolare.

L’unico soggetto responsabile del rispetto della normativa è il titolare, il quale potrà solo avanzare pretese risarcitorie basate sulla responsabilità contrattuale nei confronti del DPO.