La figura del DPO ai sensi del GDPR 2016/679
La figura del DPO ai sensi del GDPR 2016/679
Il GDPR 2016/679 pubblicato in GUE in data 04/05/2016 è il Regolamento Europeo sulla data protection, che riscrive integralmente la disciplina della privacy, introducendo la figura del DPO sarà in vigore dal 25/05/2018.
Il GDPR prende in considerazione:
il DIRITTO D’ACCESSO, DI RETTIFICA, DI CANCELLAZIONE E SICUREZZA dei dati personali;
il DIRITTO ALLA PORTABILITA’ dei dati, al fine di consentire all’interessato di ricevere dal titolare del trattamento un’informativa che contenga tutti i suoi dati affinché possa trasmetterlo ad altro titolare.
Di rilievo è l’obbligo da parte del Responsabile del trattamento o del Titolare di comunicare eventuali violazioni dei dati personali al Garante, l’obbligo di rispondere in modo efficace ad un DATA BREACH.
Il DPO sarà un professionista con competenze giuridico-informatriche, con conoscenza specialistica della normativa e della prassi in materia di protezione dei dati ex dall’ART. 39, nello specifico le competenze consisteranno:
1) INFORMAZIONE E CONSULENZA al titolare ed al responsabile del trattamento dei dati, in merito agli obblighi sanciti sia dal Regolamento sia dalle normative ad esso correlate;
2) SORVEGLIANZA SULL’OSSERVAZIONE DEL REGOLAMENTO dal Regolamento da parte del titolare e del Responsabile del trattamento ivi compresa l’attribuzione ndelle responsabilità e della sensibilizzazione del personale che partecipa al trattamento dei dati;
3) FORNIRE PARERI RELATIVAMENTE ALLA VALUTAZIONE D’IMPATTO E SORVEGLIANDO LO SVOLGIMENTO ai sensi dell’art. 35
4) COOPERARE CON L’AUTORITA’ DI CONTROLLO;
5) CONSULTAZIONBE PREVENTIVA ai sensi dell’art. 36.
Il DPO, che si potrebbe considerare quale evoluzione della figura del "privacy officer" (ex art. 18 della direttiva 95/46/Ce) dovrà, nello svolgimento delle sue funzioni, valutare ogni rischio inerente il trattamento dei dati, tenendo in considerazione la natura e l’ambito di applicazione, il contesto e delle finalità del medesimo. La sua attività avrà l’obiettivo di osservare, valutare, organizzare e gestire il trattamento dei dati personali, indi la loro protezione, affinché questi vengano trattati nel rispetto delle normative sulla privacy sia europee sia nazionali.
E’ indispensabile quindi un breve richiamo all’Art. 9 co. 1 che disciplina quelle che sono le categorie particolari dei dati personali (ex dati sensibili) cioè quelli che si riferiscono all’origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici, salute, vita sessuale ed orientamento sessuale.
Il DPO sarà designato del Titolare o Responsabile, si tratta di una figura chiave, dovrà agire in maniera indipendente (ex ART. 97), non riceverà alcuna istruzione circa i suoi compiti (ex Art. 38 par. 3), riferirà sempre al vertice gerarchico (ex Art 38 par. 3): garantendo di fatto che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite nell’esercizio delle funzioni di consulenza ed informazione al del Titolare o al Responsabile.
Si tratta, ad oggi di una professione non regolamentata, non richiede né abilitazioni né certificazioni né iscrizioni ad ordini professionali, il Garante ha in punto fornito idonei chiarimenti con la nota 288/07/2017.
L’incarico sarà assegnato mediante atto di designazione con obbligo di motivare la scelta del Professionista. Successivamente alla nomina sarà necessario:
comunicare al Garante il nominativo, al fine di consentire agevolmente ogni contatto con l’Autorita’,
riportare il nominativo nell’informativa fornita agli interessati (i quali dovranno essere informati in caso di violazione dei dati ex art. 33 par. 3 lett. B).
L’ar. 37 specifica 3 casi in cui sarà obbligatorio designare il DPO:
se i8l trattamento viene effettuato da un’autorità pubblica o da un organismo pubblico (eccezion fatta per le autorità giurisdizionali nell’esercizio delle loro funzioni)
se l’attività principale del Titolare o del Responsabile consistono in trattamenti che per la natura e ambito di applicazione o finalità richiedono un monitoraggio regolare e sistematico degli interessati su "larga scala"
se l’attività principale del Titolare o del Responsabile consistono in trattamenti su larga scala di categorie particolari dei dati.
Per tutti i casi non specificati non vi è alcun obbligo di nominare il DPO, gli avvocati quindi saranno esclusi da ogni obbligo.
Il GDPR prende in considerazione:
il DIRITTO D’ACCESSO, DI RETTIFICA, DI CANCELLAZIONE E SICUREZZA dei dati personali;
il DIRITTO ALLA PORTABILITA’ dei dati, al fine di consentire all’interessato di ricevere dal titolare del trattamento un’informativa che contenga tutti i suoi dati affinché possa trasmetterlo ad altro titolare.
Di rilievo è l’obbligo da parte del Responsabile del trattamento o del Titolare di comunicare eventuali violazioni dei dati personali al Garante, l’obbligo di rispondere in modo efficace ad un DATA BREACH.
Il DPO sarà un professionista con competenze giuridico-informatriche, con conoscenza specialistica della normativa e della prassi in materia di protezione dei dati ex dall’ART. 39, nello specifico le competenze consisteranno:
1) INFORMAZIONE E CONSULENZA al titolare ed al responsabile del trattamento dei dati, in merito agli obblighi sanciti sia dal Regolamento sia dalle normative ad esso correlate;
2) SORVEGLIANZA SULL’OSSERVAZIONE DEL REGOLAMENTO dal Regolamento da parte del titolare e del Responsabile del trattamento ivi compresa l’attribuzione ndelle responsabilità e della sensibilizzazione del personale che partecipa al trattamento dei dati;
3) FORNIRE PARERI RELATIVAMENTE ALLA VALUTAZIONE D’IMPATTO E SORVEGLIANDO LO SVOLGIMENTO ai sensi dell’art. 35
4) COOPERARE CON L’AUTORITA’ DI CONTROLLO;
5) CONSULTAZIONBE PREVENTIVA ai sensi dell’art. 36.
Il DPO, che si potrebbe considerare quale evoluzione della figura del "privacy officer" (ex art. 18 della direttiva 95/46/Ce) dovrà, nello svolgimento delle sue funzioni, valutare ogni rischio inerente il trattamento dei dati, tenendo in considerazione la natura e l’ambito di applicazione, il contesto e delle finalità del medesimo. La sua attività avrà l’obiettivo di osservare, valutare, organizzare e gestire il trattamento dei dati personali, indi la loro protezione, affinché questi vengano trattati nel rispetto delle normative sulla privacy sia europee sia nazionali.
E’ indispensabile quindi un breve richiamo all’Art. 9 co. 1 che disciplina quelle che sono le categorie particolari dei dati personali (ex dati sensibili) cioè quelli che si riferiscono all’origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, biometrici, salute, vita sessuale ed orientamento sessuale.
Il DPO sarà designato del Titolare o Responsabile, si tratta di una figura chiave, dovrà agire in maniera indipendente (ex ART. 97), non riceverà alcuna istruzione circa i suoi compiti (ex Art. 38 par. 3), riferirà sempre al vertice gerarchico (ex Art 38 par. 3): garantendo di fatto che il vertice amministrativo venga a conoscenza delle indicazioni e delle raccomandazioni fornite nell’esercizio delle funzioni di consulenza ed informazione al del Titolare o al Responsabile.
Si tratta, ad oggi di una professione non regolamentata, non richiede né abilitazioni né certificazioni né iscrizioni ad ordini professionali, il Garante ha in punto fornito idonei chiarimenti con la nota 288/07/2017.
L’incarico sarà assegnato mediante atto di designazione con obbligo di motivare la scelta del Professionista. Successivamente alla nomina sarà necessario:
comunicare al Garante il nominativo, al fine di consentire agevolmente ogni contatto con l’Autorita’,
riportare il nominativo nell’informativa fornita agli interessati (i quali dovranno essere informati in caso di violazione dei dati ex art. 33 par. 3 lett. B).
L’ar. 37 specifica 3 casi in cui sarà obbligatorio designare il DPO:
se i8l trattamento viene effettuato da un’autorità pubblica o da un organismo pubblico (eccezion fatta per le autorità giurisdizionali nell’esercizio delle loro funzioni)
se l’attività principale del Titolare o del Responsabile consistono in trattamenti che per la natura e ambito di applicazione o finalità richiedono un monitoraggio regolare e sistematico degli interessati su "larga scala"
se l’attività principale del Titolare o del Responsabile consistono in trattamenti su larga scala di categorie particolari dei dati.
Per tutti i casi non specificati non vi è alcun obbligo di nominare il DPO, gli avvocati quindi saranno esclusi da ogni obbligo.
Articolo del: