• Via Salvatore Matarrese, 4 - 70124 Bari, Italia
  • +39 080 693 1240

GDPR e DPO

General Data Protection Regulation

Il Regolamento generale sulla protezione dei dati (GDPR, dall’inglese General Data Protection Regulation) è un regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. È il provvedimento più significativo degli ultimi 20 anni in materia di protezione dei dati e ha implicazioni importanti per qualsiasi organizzazione al mondo che si rivolga ai cittadini dell’Unione Europea.


La legislazione punta a dare a ogni individuo il controllo sull’utilizzo dei propri dati, tutelando “i diritti e le libertà fondamentali delle persone fisiche”: con questa finalità, stabilisce requisiti precisi e rigorosi per il trattamento dei dati, la trasparenza, la documentazione da produrre e conservare e il consenso degli utenti.

Affermare che non si è interessati al diritto alla privacy perché non si ha nulla da nascondere è come dire che non si è interessati alla libertà di parola perché non si ha nulla da dire.
EDWARD SNOWDEN

Ogni trattamento di dati personali deve rispettare i principi stabiliti all’articolo 5 del Regolamento (UE) 2016/679. Questi principi includono: liceità, correttezza e trasparenza del trattamento; limitazione della finalità del trattamento; minimizzazione dei dati; esattezza e aggiornamento dei dati; limitazione della conservazione; integrità e riservatezza dei dati personali.

Il registro fornisce un quadro aggiornato dei trattamenti effettuati dall’organizzazione e può includere ulteriori informazioni a discrezione del titolare o responsabile. Il registro deve essere redatto per iscritto, anche in formato elettronico, e deve essere disponibile per il Garante su richiesta.

A partire dal 25 maggio 2018, i titolari devono notificare al Garante le violazioni dei dati personali entro 72 ore o senza ingiustificato ritardo se i diritti e le libertà degli interessati sono a rischio. Se il rischio è elevato, gli interessati devono essere informati senza ingiustificato ritardo. I contenuti della notifica all’Autorità e della comunicazione agli interessati sono indicati negli articoli 33 e 34 del Regolamento. Tutti i titolari devono documentare le violazioni subite, indipendentemente dalla notifica, e fornire questa documentazione al Garante su richiesta.

Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio del trattamento. Queste misure possono includere la pseudonimizzazione e la cifratura dei dati, misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché procedure per verificare e valutare regolarmente l’efficacia delle misure di sicurezza adottate.

Il titolare del trattamento deve adottare misure tecniche e organizzative adeguate per garantire un proporzionato livello di sicurezza in base al rischio associato ai dati utilizzati. Queste misure possono includere la pseudonimizzazione (ossia sostituire i dati identificativi con un identificatore univoco) e la cifratura. Inoltre, sono necessarie misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento dei dati. Infine, il titolare deve stabilire procedure per verificare e valutare regolarmente l’efficacia delle misure adottate.

Il Regolamento definisce le caratteristiche e le responsabilità del titolare e del responsabile del trattamento in modo simile alla direttiva 95/46/CE e al Codice privacy italiano.

Tuttavia, il Regolamento dettaglia specificamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento e gli assegna compiti specifici. Questo atto deve essere un contratto o un altro atto giuridico conforme al diritto nazionale e deve disciplinare in modo preciso almeno le materie elencate nel paragrafo 3 dell’articolo 28. Questo è necessario per dimostrare che il responsabile fornisce “garanzie sufficienti”, come la natura, la durata e la finalità del trattamento, le categorie di dati trattati e le misure tecniche e organizzative adeguate per rispettare le istruzioni del titolare e le disposizioni del Regolamento.

Inoltre, il Regolamento impone obblighi specifici ai responsabili del trattamento, diversi da quelli dei rispettivi titolari. Questi obblighi includono la tenuta del registro dei trattamenti effettuati, l’adozione di adeguate misure tecniche e organizzative per garantire la sicurezza dei trattamenti e la designazione di un Responsabile della Protezione dei Dati (RPD-DPO) nei casi previsti dal Regolamento o dal diritto nazionale.

Una novità importante introdotta dal Regolamento è la possibilità per un responsabile del trattamento di designare sub-responsabili per specifiche attività di trattamento, rispettando gli stessi obblighi contrattuali tra titolare e responsabile principale. Il responsabile primario è responsabile nei confronti del titolare per eventuali inadempienze del sub-responsabile e può essere tenuto a risarcire eventuali danni causati dal trattamento, a meno che non dimostri che l’evento dannoso “non gli è in alcun modo imputabile”.

La designazione di un “responsabile della protezione dei dati” (RPD) è finalizzata a facilitare l’implementazione della normativa da parte del titolare o del responsabile del trattamento (articolo 39).

Tra i compiti del RPD vi è l’educazione e la formazione del personale, nonché la supervisione dell’effettuazione della valutazione d’impatto di cui all’articolo 35. Inoltre, il RPD funge da punto di contatto per gli interessati e per l’autorità di controllo in merito a qualsiasi questione riguardante l’applicazione del Regolamento.

La designazione del RPD è obbligatoria in alcuni casi (articolo 37), e il Regolamento definisce le caratteristiche soggettive e oggettive di questa figura, come l’indipendenza, l’autorevolezza e le competenze manageriali (articoli 38 e 39). Il Gruppo di lavoro “Articolo 29” ha fornito delle linee guida al riguardo, disponibili sul sito dell’autorità di protezione dei dati, per ulteriori dettagli insieme alle relative FAQ.

I RPD, che possono essere dipendenti o indipendenti dal titolare del trattamento, dovrebbero essere in grado di svolgere le loro funzioni e compiti in modo indipendente.

Il parere del RPD e qualsiasi azione intrapresa in contrasto con tale parere devono essere registrati e possono essere utilizzati contro il titolare o il responsabile in caso di indagine da parte delle autorità di protezione dei dati. Al contrario, agire in conformità con il parere o le indicazioni del RPD può essere considerato come un elemento di dimostrazione di conformità al Regolamento (Considerando 77).

L’entrata in vigore del Regolamento Europeo per la protezione dei dati personali (GDPR) il 25 maggio 2018 ha reso fondamentale per i soggetti che trattano dati personali adottare misure di sicurezza tecniche, organizzative e precauzionali per proteggere la diffusione dei dati sensibili e prevenire potenziali illeciti.

Il concetto chiave del GDPR è l’accountability, ovvero la responsabilizzazione, che riguarda tutte le fasi del trattamento dei dati. Secondo l’articolo 29 del Regolamento, il responsabile del trattamento, o chiunque agisca sotto la sua autorità o quella del titolare, non può trattare dati personali a meno che non sia istruito in tal senso dal titolare del trattamento, a meno che ciò non sia richiesto dalla legislazione dell’Unione Europea o degli Stati membri.

I requisiti formativi sono introdotti dall’articolo 39.1.b del Regolamento, che prevede tra i compiti del Responsabile della Protezione dei Dati (DPO) la sorveglianza dell’osservanza delle politiche del titolare del trattamento o del responsabile in materia di protezione dei dati personali, comprese attività di sensibilizzazione e formazione del personale coinvolto nei trattamenti e nei relativi controlli. Inoltre, l’articolo 32.4 del Regolamento stabilisce che chiunque abbia accesso a dati personali non può trattarli se non è stato istruito in tal senso dal titolare del trattamento.

Le aziende e le pubbliche amministrazioni devono quindi implementare processi formativi che rispondano ai requisiti delle misure di sicurezza, che devono essere testabili, verificabili e valutabili per chiunque gestisca dati personali.

In caso di violazione degli articoli 29 e 39 (obbligo formativo), potrebbero essere applicate sanzioni amministrative pecuniarie rilevanti.

DPO

Il data Protection Officer (di seguito DPO) è una figura introdotta dal Regolamento generale sulla protezione dei dati 2016/679 | GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio ’16.

Il DPO, figura storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

L’art. 39 del Regolamento europeo sulla protezione dei dati personali elenca i principali compiti del DPO (Responsabile della protezione dei dati):

  1. Il responsabile della protezione dei dati | DPO | è incaricato almeno dei seguenti compiti:
  2. a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento Privacy UE 2016/679 (GDPR), nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  3. b) sorvegliare l’osservanza del Regolamento Privacy UE 2016/679 (GDPR), di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  4. c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;d) cooperare con l’autorità di controllo;
  5. e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

  Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

Il Regolamento sulla Data Protection, entrato in vigore il 25 maggio 2016 si applicherà a tutti i 28 Stati membri UE a decorrere dal 25 maggio 2018, disciplina l’istituzione della figura del Data Protection Officer (in italiano Responsabile della protezione dei dati) nei seguenti casi:

  1. a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. b) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
  3. c) le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 (dati particolari | sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10.

L’articolo 9 del Regolamento al comma 1 definisce quelli che sono le categorie particolari di dati personali (ex dati sensibili) ed in particolare i dati personali che: “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

Scarica PDF o visita link per approfondimenti

Guida all' applicazione del Regolamento UE 2016 679
Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video
Linee guida 5/2020 sul consenso ai sensi del regolamento (UE) 2016/679
Linee guida 5/2019 sui criteri per l'esercizio del diritto all'oblio nel caso dei motori di ricerca, ai sensi del RGPD
Diritti degli interessati
Principi generali del trattamento dei dati personali
©+2024Samo S.r.l.s. | P.IVA IT08143350729 | Tutti i diritti riservati
Facebook-f Instagram Linkedin