Condividi
questa pagina sul Social Network a cui sei già loggato!
  

Chi deve designare un responsabile della protezione dei dati

Chi deve designare un responsabile della protezione dei dati
Adalberto Biasiotti
 Adalberto Biasiotti
 Privacy
09/11/2017: L’inerzia che tutte le maggiori aziende, pubbliche o private, mostrano nei confronti della designazione di un responsabile della protezione dei dati mi induce a tornare su questo critico argomento.

Pubblicità

L’incredibile inerzia che molte aziende pubbliche e private mostrano, nei confronti della individuazione e designazione di un responsabile della protezione dei dati, mi ha fatto sorgere il dubbio che forse gli esperti del settore non abbiano sensibilizzato a sufficienza i titolari del trattamento su quest’obbligo di legge.

Questa è la ragione per la quale desidero dedicare alcune note, con il prezioso supporto dell’articolo 29 Working party, ad illustrare i casi in cui è obbligatorio designare un responsabile della protezione dei dati.

Queste note sono suddivise in più parti, per prendere in considerazione le varie lettere del comma 1 dell’articolo 37, che di seguito riporto.

 

Articolo 37 Designazione del responsabile della protezione dei dati

1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

 

Comincio a prendere in considerazione la lettera a).

Il prezioso parere dell’articolo 29 Working party ha ben chiarito che tra l’autorità ed organismi pubblici vanno anche comprese le autorità e gli organismi che svolgono un servizio di pubblico interesse.

Ciò significa che non solo tutte le autorità pubbliche, come Comuni, istituzioni museali pubbliche, province, regioni, aziende sanitarie locali e non, sono obbligate a designare un responsabile della protezione dei dati, ma anche tutte le aziende, seppur private, che svolgono un servizio di pubblico interesse.

Tra queste posso elencare senza alcun dubbio le società per la gestione delle autostrade, le società di trasporto pubblico, sia su rotaia, sia su gomma, gli enti erogatori e distributori di energia elettrica e servizi telefonici, i servizi radiotelevisivi, i gestori di rete di distribuzione di acqua, le aziende che raccolgono ed trattano rifiuti urbani, gli ordini professionali, i gestori di case popolari, nonché numerosissime altre attività, tra le quali indubbiamente vanno anche inseriti gli istituti di vigilanza privata, che addirittura l’articolo 29 Working party ha esplicitamente menzionato.

 

Come si vede, l’ambito di applicazione è assai allargato e ricordo ancora una volta che il responsabile della protezione dei dati deve essere pienamente operativo ed aver svolto già le sue preziose attività di supporto al titolare al responsabile del trattamento, prima della data ultima del 24 maggio 2018.

Un ulteriore raccomandazione riguarda il fatto che, una volta che sia stato designato un responsabile della protezione dei dati, è bene che esso si occupi di tutte le attività di trattamento sviluppate dal titolare, anche se esse potrebbero non rientrare, a rigore, nelle attività critiche. Ad esempio, non mi sembra logico che un responsabile della protezione dei dati si debba occupare solo degli applicativi che trattano le bollette da emettere ai clienti e non anche degli applicativi che trattano i dati personali dei dipendenti.

 

Se poi qualche titolare del trattamento, che rientra nelle categorie sopra illustrate, ritiene che la peculiare attività che egli svolge non rientri tra le indicazioni del regolamento, offro un tanto caldo, quanto disinteressato consiglio:

 

ove il titolare del trattamento ritenga di non rientrare fra le categorie previste dall’articolo 27 del regolamento generale europeo sulla protezione dei dati, è bene che sviluppi un documento molto articolato, e supportato da valide considerazioni di natura tecnica e legale, ove saranno ben illustrate tutte le ragioni che lo hanno portato ad assumere la decisione di non aver bisogno di un responsabile della protezione dei dati.

 

Raccomando di compilare con molta attenzione questo documento, perché un domani esso potrebbe essere richiesto in esame da parte dell’autorità garante nazionale, che vorrà sapere come mai il titolare del trattamento non aveva ancora designato un responsabile della protezione dei dati.

Se il documento non sarà sufficientemente convincente, scatteranno sanzioni non certo leggere!

 

 

Adalberto Biasiotti

 



Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.

Entra

FORUM

Quesiti? Proponili nel FORUM!

Ti potrebbero interessare anche


Commenti:


Nessun commento è ancora presente.
FBEsegui il login a Facebook per pubblicare il commento anche sulla tua bacheca
GPEsegui il login tramite Google+!
GPEsegui il login tramite Twitter!
Nome e cognome: (obbligatorio)
E-Mail (ricevi l'avviso di altri commenti all'articolo)
Inserisci il tuo commento: