stampa articolo  esporta articolo in PDF

Chi ha bisogno di un responsabile della protezione dei dati?

Chi ha bisogno di un responsabile della protezione dei dati?
Adalberto Biasiotti
 Adalberto Biasiotti
 Privacy
24/05/2016: Il 24 maggio 2016 entra in vigore il nuovo regolamento generale europeo sulla protezione dei dati 679/2016. Le nuove regole si applicano ai nuovi trattamenti, mentre per i trattamenti già in corso vi è tempo fino al 24 maggio 2018. Di Adalberto Biasiotti.
Pubblicità

 
Durante un recente webinar sono state molte le domande che mi sono state poste, afferenti a tempi e modi di entrata in vigore delle nuove ed avanzate disposizioni del regolamento europeo 679/2016. Un aspetto che merita particolare attenzione è legato alla designazione del responsabile della protezione dei dati, soggetto del tutto sconosciuto in Italia ma già noto in altri paesi.


Pubblicità
MegaItaliaMedia
 
Trascrivo letteralmente l’articolo specifico del regolamento:
 
Articolo 37 Designazione del responsabile della protezione dei dati
1. Il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.
omissis
 
Sulla base del principio che questo obbligo di designazione non si applica a trattamenti già in essere, in quanto vi è un periodo di grazia che si estende fino a 24 maggio 2018, appare evidente che ogni nuovo trattamento che viene svolto dai titolari sopra elencati, o che ha per oggetto le attività sopra elencate, deve necessariamente essere sottoposto al vaglio di un responsabile della protezione dei dati.
Un altro articolo illustra in dettaglio le  competenze, le responsabilità ed i compiti di questo nuovo soggetto, che dà indubbiamente un grande contributo al miglioramento delle modalità di trattamento di dati personali.
Si faccia attenzione alla differenza significativa che esiste nelle tre lettere del comma uno.
Mentre la lettera a) impone l’obbligo di  designazione ad un qualsivoglia titolare, quale che siano i trattamenti che egli svolge, se è un’autorità o un organismo pubblico (ad eccezione ad esempio delle procure della Repubblica), le lettere b)  C) non fanno riferimento ad una specifica categoria di titolari, ma fanno riferimento al tipo di trattamento che il titolare svolge.
 
Mi sembra del tutto legittimo ritenere che una grande catena di supermercati, che emette tessere di fedeltà con attribuzione di punteggi, analisi di acquisti a premio e altre attività similari, applicabili a decine di migliaia di clienti, debba necessariamente designare un responsabile della protezione dei dati personali.
 
Parimenti, una grande catena di istituzioni sanitarie private, che gestisce dozzina di cliniche ed ambulatori in varie parti d’Italia, indubbiamente tratta su larga scala dati personali particolari (art. 9 - dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona) dovrà necessariamente designare un responsabile della protezione dei dati. Stesso ragionamento si applica certamente i sindacati.
 
Se il trattamento è già in corso, si potrà aspettare fino alla data ultima di entrata in vigore, ma credo proprio che potrebbe essere un’idea non particolarmente brillante.
 
Chiudo infine questo intervento segnalando che non bisogna soltanto esaminare i casi in cui la designazione di questo responsabile è obbligatoria, ma bisogna utilizzare lungimiranza e buon senso, uniti alla diligenza del buon padre di famiglia, valutando attentamente l’opportunità di designare un responsabile della protezione dati personali anche dove tale designazione non è obbligatoria per legge, ma è certamente opportuna!
 
 
24 maggio 2018: data fatidica
Sarà quindi il 24 maggio 2018 la data ultima entro la quale dovranno essere adottate tutte le indicazioni del nuovo regolamento europeo sulla protezione dei dati personali, che sono decisamente più impegnative e vincolanti, rispetto a quelle dell’attuale decreto legislativo 196/2003.
Il regolamento introduce nuove responsabilità, rafforza i diritti degli interessati e pone dei limiti al movimento internazionale dei dati.
Come abbiamo già accennato, sono più di 28.000 i responsabili della protezione dei dati personali, di cui le aziende avranno bisogno, in tutta Europa. Ricordiamo anche che la stima è alquanto prudenziale.
Vi sono alcuni passi che le aziende possono già cominciare a prendere, per avviare il processo di rispetto delle nuove indicazioni del regolamento.
Il primo passo è evidentemente quello di fare una completa rassegna di tutti i dati personali che vengono trattati, le modalità di trattamento, le modalità di archiviazione e ,fattore di cui poco sino ad oggi i titolari si sono preoccupati, indicare un termine entro il quale i dati dovranno essere cancellati.
Occorre cominciare ad individuare un responsabile per la protezione dei dati personali, a fronte di un’offerta che per ora è decisamente insufficiente, rispetto alla domanda.
Occorre attivare al più presto un piano per fronteggiare possibili violazioni dei dati, che in precedenza doveva essere attivato solo per gli operatori delle telecomunicazioni, mentre oggi invece il piano deve essere chiamato in causa a fronte di qualsiasi violazione. Se la violazione ha caratteristiche di particolare gravità ed impatto sugli interessati, occorre anche avviare fin da adesso un piano per informare gli incaricati del fatto che i loro dati sono stati violati.
 
Non mancherò di tenere aggiornati i lettori sulla graduale applicazione dei dettati del regolamento, che dovrà essere integrato da disposizioni nazionali, assunte dalle autorità Garanti, ma inquadrate in un processo di coerenza, che obbliga le stesse autorità a confrontarsi con le altre autorità europee e, soprattutto,  con il neocostituito comitato europeo per la protezione dei dati.
 
 
Adalberto Biasiotti
 
 
 
 
 
 
 



Creative Commons License Questo articolo è pubblicato sotto una Licenza Creative Commons.
 

Hai qualcosa da dire su questo articolo? Aggiungi ora il tuo commento


Ad oggi, nessun commento è ancora stato inserito.
Nome e cognome: (obbligatorio)
Email (se vuoi ricevere l'avviso di altri commenti)
Inserisci il tuo commento:(obbligatorio)

Leggi anche altri articoli sullo stesso argomento:

Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Forum di PuntoSicuro Entra

FORUM

Quesiti? Proponili nel FORUM!