GDPR: obblighi e diritti degli attori in gioco

… Ormai ci siamo evoluti (o involuti?) in un nuovo modello di convivenza sociale e viviamo on line la nostra esistenza, dove i dati sono sempre di più una «merce di scambio»

La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La condivisione e la raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano.

La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali.

Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. E’ opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche

Con il Regolamento UE viene in parte ridisegnato l’organigramma privacy, con l’introduzione di nuove figure soggettive e l’attribuzione di nuovi compiti e responsabilità

Definibile come un “attore chiave” nel nuovo sistema di governance dei dati, il DPO è una figura complessa.
Riassume in sé la trama dei principi, etici prima che giuridici, che ammanta il Regolamento europeo.
Analizziamolo insieme: 

DPO
DPOResponsabile della protezione dati
Designato in funzione delle qualità professionali, in particolare della conoscenza della normativa e della prassi in materia di protezione dei dati

E’ importante analizzare i casi in cui sia obbligatoria la nomina e quali siano gli adempimenti, nonché le “attività principali” che ne derivano.
Anzitutto occorre operare una distinzione tra i due contesti: mentre per le amministrazioni e gli enti pubblici è obbligatorio nominare il DPO , le organizzazioni private dovranno designarlo solo qualora la loro attività principale consista in trattamenti che richiedano il controllo regolare e sistematico degli interessati o interessino dati di tipo sensibile.
Alla luce di tale considerazione, anche qualora le organizzazioni private non rientrino nell’obbligo, è necessario rimarcare come lo stesso Gruppo dei Garanti europei  esorti ad avvalersi di un DPO.
La motivazione è semplice: da una parte il DPO può favorire all’interno del contesto organizzativo in cui opera il rispetto del Regolamento e, dall’altra, la sua presenza può generare un vantaggio competitivo per le imprese (in quanto soggetto posto a garanzia dei diritti e della tutela dei dati degli interessati, anche in virtù del suo ruolo di intermediario tra l’Autorità di controllo/interessati e l’organizzazione presso la quale svolge la propria attività professionale).
La designazione del DPO deve essere comunicata ufficialmente a tutto il personale dipendente e  indicato agli interessati nell’informativa in modo che tutti sappiano dell’esistenza di questa nuova funzione all’interno dell’organizzazione e possano ricevere il supporto necessario in materia di data protection, consentendo, attraverso l’accesso alle informazioni, di facilitarne lo svolgimento dei compiti. Inoltre la nomina deve essere comunicata al Garante per la privacy (puoi scaricare il modulo al seguente link modello di nomina  e/0 comunicazione nomina avvenuta)

 I Garanti europei hanno ulteriormente chiarito che, in base alla valutazione di alcune circostanze, il Titolare o il Responsabile del trattamento potranno essere obbligati, singolarmente o congiuntamente, alla nomina del DPO (in tal caso, i rispettivi DPO avranno l’obbligo di cooperare tra loro).
Tuttavia, qualora l’obbligo ricada sul solo Titolare, non è detto che anche il Responsabile del trattamento sia, a sua volta, obbligato automaticamente alla nomina (sebbene ciò potrebbe costituire una buona prassi).

Ma cosa deve assicurare l’organizzazione al suo DPO?

Sia che si tratti di un contesto pubblico o di un contesto privato, il DPO deve godere delle dovute garanzie di indipendenza e inamovibilità nello svolgimento delle attività di indirizzo e controllo e, al contempo, gli devono essere fornite utili indicazioni per il corretto espletamento del suo ruolo. Come già sottolineato all’interno del Regolamento, inoltre, al DPO deve essere assicurato un sostegno adeguato in termini di risorse finanziarie, infrastrutturali (locali, strutture, attrezzature) e, se occorre, di coordinamento, a livello di risorse aziendali (personale).

I compiti e le responsabilità del DPO non possono dipendere unicamente dalle logiche di mercato. Logiche che, tra l’altro, hanno recentemente alimentato il proliferare di proposte formative, tra le quali è spesso difficile distinguere, con sufficiente chiarezza, quelle realmente orientate a plasmare le qualità e le competenze professionali di questa nuova figura e quelle invece mirate unicamente al rilascio dei cosiddetti “bollini di qualità” (spesso di dubbio valore) da appuntare sul curriculum.
Il ruolo del DPO è troppo delicato per essere svilito attraverso un’opera di mercificazione (anche delle certificazioni) che ha accompagnato (purtroppo) tanti ruoli/modelli di “responsabilità” in altri settori del diritto.
In Italia non è ancora stato individuato alcun ente di accreditamento ai fini del Regolamento, né sono stati definiti i requisiti aggiuntivi per l’accreditamento degli organismi di certificazione (art. 43, par. 1, lett. b) e i criteri di certificazione (art. 42 par. 5).
È il caso di ricordare che la protezione dei dati personali è un diritto fondamentale, che converge nella tutela dell’identità personale, imprescindibile in questa nostra società dell’informazione, tanto più libera, quanto più vulnerabile. È precisamente questa, d’altra parte, la ratio dell’obbligo di nomina del DPO posto in capo a Titolari e Responsabili, nel caso in cui si tratti di autorità o organismi pubblici, indipendentemente dai dati personali oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche o trattino su larga scala categorie particolari di dati personali

È evidente, dunque, che al Data Protection Officer non può e non deve spettare una funzione di tutela degli interessi del Titolare e del Responsabile, ma un ruolo esclusivamente dedicato alla protezione dei dati personali.

SE SEI INTERESSATO AD APPROFONDIRE L’ARGOMENTO SEGUICI SULLE NOSTRE PAGINE SOCIAL O ISCRIVITI ALLA NOSTRA NEWSLETTER.

Nel prossimo articolo un focus sulla privacy police aziendale relativa al GDPR .

COMMENTA PER FARCI SAPERE QUALI SONO LE TUE PERPLESSITÀ ED OPINIONI A RIGUARDO. OPPURE COMPILA IL QUESTIONARIO AL SEGUENTE LINK PER OTTENERE UN REPORT GRATUITO SULLO STATO DELLA TUA AZIENDA : TEST AZIENDA

Il 25 Maggio sta per arrivare, il nostro obiettivo è di rendervi consapevoli sulle novità ed adempimenti introdotti dalla normativa.

2018-03-14T13:53:13+00:00

Leave A Comment

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Iscriviti alla Newsletter

Resta sempre informato su le ultime novità. Inserisci la tua email per ricevere aggiornamenti utili alla tua attività.

Newsletter mensile

 

contrast_data_protection_officer_uk

Inserendo l’email dichiari di accettare la nostra privacy policy