HOME Articoli

Lo sai che? Responsabile protezioni dati: chi è e chi deve nominarlo?

Lo sai che? Pubblicato il 24 aprile 2018

Articolo di

> Lo sai che? Pubblicato il 24 aprile 2018

Tra pochissimo diventerà obbligatorio adeguarsi alle nuove norme europee in materia di privacy che impongono la nomina del responsabile della protezione dei dati. Vediamo chi è e per chi sarà obbligatorio  

Il 25 maggio 2018 è ormai alle porte. Manca poco e il nuovo regolamento europeo relativo alla protezione dei dati personali delle persone fisiche ed alla loro  libera circolazione [1] sarà operativo. Tra un mese, dunque, diventerà obbligatorio conformarsi alle nuove regole europee in materia di privacy. Il nuovo Regolamento privacy, infatti, sarà operativo a partire dal 25 maggio 2018: entro tale termine dovranno essere adeguate le normative interne i ciascuno Stato membro dell’Unione Europea, compresa ovviamente l’Italia.

Con il nuovo regolamento cambieranno le regole per coloro che si trovano a maneggiare dati personali: ad esempio le società di telefonia, le pubbliche amministrazioni e qualsiasi azienda con cui l’utente si troverà a sottoscrivere un contratto contenente i suoi dati personali. In proposito, questi soggetti, saranno chiamati ad un adempimento fondamentale: la nomina del responsabile della protezione dei dati. Vediamo meglio di chi si tratta e quali soggetti sono obbligati ad effettuare la sua nomina.

Chi è il responsabile della protezione dei dati?

Il Regolamento europeo ha introdotto la figura del Responsabile della Protezione dei Dati Personali (detto Dpo – Data protection office). Si tratta di un soggetto in possesso di specifici requisiti come competenza, esperienza, indipendenza, autonomia di risorse, con il compito di garantire la tutela della privacy attraverso la verifica della corretta applicazione del Regolamento, la formazione del personale, la sensibilizzazione, la consulenza ecc.

Il soggetto non deve essere in possesso di specifiche attestazioni formali o né essere iscritto in appositi albi, ma deve certamente possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano il settore di riferimento. Deve essere in grado di offrire la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, aiutando il titolare nell’adozione di misure (anche di sicurezza) e garanzie adeguate ai rischi del contesto in cui svolge la sua attività. 

Ovviamente, il responsabile della protezione dei dati personali, per l’esercizio della sua attività, deve poter disporre di risorse necessarie per l’espletamento dei propri compiti.

 Chi deve nominare il responsabile della protezione dati?

Il titolare e il responsabile del trattamento dei dati personali, in alcuni casi stabiliti dalla legge [2], sono obbligati alla designazione del responsabile della protezione dei dati personali. A titolo esemplificativo sono tenuti alla nomina del Dpo:

  • gli Istituti di credito;
  • le imprese assicurative;
  • i sistemi di informazione creditizia;
  • le società finanziarie;
  • le società di informazioni commerciali; 
  • le società di revisione contabile;
  • le società di recupero crediti;
  • gli istituti di vigilanza;
  • i partiti e movimenti politici;
  • i sindacati;
  • caf e patronati;
  • le società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
  • le imprese di somministrazione di lavoro e ricerca del personale;
  • le società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
  • le società di call center;
  • le società che forniscono servizi informatici;
  • le società che erogano servizi televisivi a pagamento.

Responsabile protezione dati: può essere un soggetto interno?  

Il ruolo di responsabile della protezione dei dati personali può essere ricoperto sia da un soggetto interno che da un soggetto esterno alla struttura tenuta alla sua nomina. Può trattarsi cioè di un dipendente del titolare o del responsabile che conosca la realtà operativa in cui avvengono i trattamenti dei dati personali, oppure può trattarsi di soggetti esterni.

Il responsabile della protezione dei dati interno viene nominato mediante uno specifico atto di designazione, mentre quello scelto all’esterno, opererà in base a un contratto di servizi. In entrambi gli saranno indicati espressamente i compiti attribuiti, le risorse assegnate per lo svolgimento dell’incarico, nonché ogni altra utile informazione in relazione al contesto di riferimento.

Con la nomina del responsabile della protezione dei dati, il titolare o il responsabile del trattamento non sono liberati dalle loro responsabilità, ma rimangono responsabili dell’osservanza della normativa in materia di protezione dei dati.

Il ruolo di responsabile della protezione dei dati personali è compatibile con altri incarichi a condizione che non vi sia un conflitto di interessi. In quest’ottica può risultare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (ad esempio amministratore delegato).

Privacy: la nuova normativa

La necessità della nuova normativa in punto di privacy e la previsione di un soggetto preposto alla sua tutela quale è il responsabile della protezione dei dati personali derivano inevitabilmente dai numerosi rischi per la privacy, cresciuti esponenzialmente per via dello sviluppo tecnologico e della globalizzazione.  Per tali ragioni si è reso necessario predisporre un più solido sistema di protezione del diritto alla riservatezza. Ecco perché secondo la nuova disciplina europea, devono conformarsi alle prescrizioni dettate in punto di privacy tutte le aziende pubbliche e tutte quelle realtà (anche private) in cui il trattamento dei dati presenta rischi specifici.

Privacy: i dati a scadenza

Tra le altre novità previste dalla nuova disciplina in tema di trattamento di dati personali vi un concetto nuovo e sinora sconosciuto: ossia il concetto di scadenza dei dati. Ciò significa che nel momento in cui l’azienda entra in possesso di dati di alcuni utenti, non può tenerli per sempre. Pertanto ogni azienda nella propria informativa privacy dovrà anche specificare il tempo entro il quale il dato sensibile andrà trattato, scaduto il quale il trattamento diventerà illegittimo.

Privacy: gli scopi della nuova normativa 

La nuova disciplina ha i seguenti scopi:

  • responsabilizzare maggiormente il titolare del trattamento dei dati personali in considerazione del rischio che il trattamento possa comportare per  i diritti e le libertà degli interessati (si parla in proposito di «accountability»);
  • garantire la protezione dei dati sin dalla progettazione del sistema di trattamento degli stessi, ad esempio attraverso la possibilità da parte del titolare di far certificare le modalità di trattamento dei dati;
  • introdurre regole più chiare sia in materia di informativa agli interessati sia per l’esercizio dei diritti dei medesimi. Sul punto, per approfondimenti leggi: Informativa sulla privacy: come funziona;
  • garantire che il consenso del soggetto interessato al trattamento dei dati personali sia sempre preventivo ed inequivocabile anche nel caso in cui venga espresso con mezzi elettronici, escludendo espressamente ogni ipotesi di consenso tacito; per i minori di 16 anni è inoltre previsto che gli enti fornitori di servizi via web o Social Network debbano richiedere il consenso al trattamento dei dati personali a chi esercita la responsabilità genitoriale (per saperne di più leggi anche: Consenso sulla privacy: cos’è e quando è necessario);
  • assicurare agli interessati la possibilità di revocare in ogni momento il consenso a determinati trattamenti di dati personali;
  • adottare ogni misura necessaria per il cosiddetto “data breach“,principio in base al quale il quale il titolare del trattamento dovrà comunicare eventuali violazioni esterne dei dati personali dei propri utenti al Garante nazionale e, nel caso in cui la violazione rappresenti una minaccia per i diritti e le libertà delle persone, dovrà informare dell’accaduto anche i soggetti interessati.

Privacy: come viene tutelata?

Al fine di garantire la protezione dei dati personali il Regolamento ha introdotto due importanti principi, ovverosia il principio di privacy by default e quello di privacy by design. Il principio di privacy by default fa riferimento alla necessità di tutelare la vita privata dei cittadini – appunto – di default, ovvero come impostazione predefinita dell’organizzazione aziendale. In altri termini, ogni azienda dovrà necessariamente dotarsi di un sistema tale da proteggere adeguatamente i dati personali ed evitare il rischio di una loro violazione.

Il concetto di privacy by design, invece, stabilisce che la protezione dei dati deve avvenire fin dal disegno e/o progettazione di un processo aziendale. Quindi, ogni azienda deve effettuare una cosiddetta valutazione dell’impatto-privacy, cioè una puntuale e documentata analisi dei rischi per i diritti e le libertà degli interessati. Questa analisi deve condurre ad escludere il verificarsi in concreto dei rischi legati al trattamento dei dati personali quali ad esempio la loro distruzione, perdita, modifica e divulgazione non autorizzata.

Privacy e nuove sanzioni 

Una delle più grandi novità del regolamento è quella che riguarda i casi di ”data breach“,ossia le violazioni dei dati, per esempio in occasione di attacchi informatici. La norma introduce infatti il diritto per tutti i cittadini, siano essi aziende o persone fisiche, di conoscere la violazione dei dati che le aziende saranno obbligate a comunicare al Garante. Le norme che sanzionano il trattamento illecito di dati personali sono molto severe.  Il Regolamento, infatti, ha innalzato sensibilmente la misura delle pene pecuniarie, che potranno arrivare fino ad un massimo di 20 milioni di euro o fino al 4% del fatturato annuo.

note

[1] Regolamento Eu 2016/679.

[2] Nei casi previsti dall’art. 37, par. 1, lett. b) e c), del Regolamento (UE) 2016/679.

Autore immagine: Pixabay.com

Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter.
Scarica L’articolo in PDF

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 


CERCA CODICI ANNOTATI