06 novembre 2018 Segnalazioni di riciclaggio, l'Alert arriva sul cellulare Leggi di più
Diventa un nostro cliente

GDPR: il Data Protection Officer muove i primi passi

data protection officer

Lo scorso 24 maggio 2016, l’Unione Europea ha approvato il nuovo Regolamento Ue 679/2016 “GDPR” in materia di protezione e tutela dei dati personali che è diventato direttamente applicabile, in tutti gli Stati Membri dell’Unione dal 25 maggio 2018.

Il GDPR ha introdotto, in particolare, il “Principio dell’Accountability”, ai sensi del quale il Titolare del trattamento deve essere in grado di dimostrare di aver adottato un processo complessivo di misure organizzative, procedurali e tecniche per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi.

Oltre al “Principio dell’Accountability” sopra citato, il Regolamento Europeo porta con se una serie di novità che andranno a incidere profondamente nella sfera degli interessati e del Titolare stesso, tra le quali si evidenziano quelle relative all’ampliamento dei diritti dell’interessato, così come previsti all’art. 15 e ss. del GDPR, il concetto di Privacy by design e by default, il concetto di Data Protection Impact Assessment (cd. DPIA), il concetto di data breach (violazione dei dati), ma soprattutto la figura del Responsabile per la Protezione dei Dati “RPD” o Data Protection Officer “DPO”.

È importante segnalare, preliminarmente, che la figura del DPO viene qualificata sia all’art. 37 del GDPR sia dalle Linee Guida 243 del Working Party 29 (WP29) sia dalle FAQ 2018 emanate dal Garante . Benchè suddetta figura risulti obbligatoria nei soli casi previsti all’art. 37, par. 1, lett. b) e c), nonché per quei soggetti designati dalle FAQ 2018 quali: istituti di credito, imprese assicurative, sistemi di informazione creditizia, società finanziarie, società di informazioni commerciali, società di revisione contabile, società di recupero crediti ecc... ad oggi, la scelta di designare un Responsabile per la Protezione dei Dati, anche se non obbligati, risulta essere la scelta prudenziale migliore (così come da incoraggiamento del WP29 nelle Linee Guida 243).

Responsabile che, a norma dell’art. 37 paragrafo 5, dovrà essere nominato: “….in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39 ” e che, quindi, avrà come obiettivo fondamentale quello di tutelare i dati personali, adempiendo alle proprie funzioni in piena autonomia ed indipendenza e in assenza di conflitti di interesse con le relative conoscenze specialistiche in materia di privacy.

Ovviamente il ruolo del DPO, così come confermato dalla WP29 e dalle FAQ 2018 emanate dal Garante, potrà essere affidato non solo ad uno dei dipendenti dell’azienda, laddove non vi sia conflitto di interessi e sussistano i requisiti professionali richiesti, ma potrà, in alternativa, essere esternalizzato e quindi affidato a una società terza attraverso la stipulazione di un contratto di servizi.

Riuscire a destreggiarsi all’interno di una normativa tanto complessa quanto specifica, risulta essere di difficile attuazione, soprattutto, se nell’individuazione di quella figura a cui il GDPR fornisce una serie di specifiche professionali e che ha il compito di tutelare i dati personali, ci si affida a soggetti inesperti o improvvisati. Ciò che è certo sono le modalità con le quali la nomina va effettuata. Il Garante Italiano ha messo a disposizione oltre che una procedura on-line, visionabile sul sito www.garanteprivacy.it, anche una serie di documenti utili per impratichirsi con la procedura di notifica e con le istruzioni da seguire durante tutto il processo.

Unione Fiduciaria S.p.A. nella sua esperienza maturata nei molti progetti in ambito privacy, sia nel ramo finanziario che industriale, può vantare a suo attivo una moltitudine di nomine in qualità di Responsabile della Protezione dei Dati, dove l’attività svolta spazia dal rispetto dei compiti affidati a norma dell’art. 39 del GDPR, alle verifiche relative agli eventuali progetti di adeguamento avviati dai singoli Clienti.