PROTEZIONE DEI DATI PERSONALI

Il DPO, acronimo di Data Protection Officer (letteralmente Responsabile della Protezione Dati) è una figura introdotta in Italia dal GDPR.

Il DPO svolge un ruolo fondamentale all’interno del nuovo sistema di governance dei dati, trattandosi di figura volta ad assicurare il rispetto dei requisiti previsti dal Regolamento e, in generale, a sorvegliare l’osservanza della normativa in materia di protezione dei dati personali

Clicca qui per conoscere l’elenco dei miei incarichi come DPO

Il Regolamento (EU) n. 679/2016 (RGPD) pone con forza l’accento sulla “responsabilizzazione” (accountability nell’accezione inglese) di titolari e responsabili – ossia, sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Si tratta di una grande novità per la protezione dei dati in quanto viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali – nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel regolamento.

Agevoliamo l’individuazione delle misure necessarie e predisponiamo la documentazione idonea a comprovarne l’adozione.

L’articolo 30 del Regolamento (EU) n. 679/2016 (RGPD) prevede tra gli adempimenti principali del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento. Si tratta di un documento contenente le principali informazioni relative alle operazioni di trattamento svolte.

Abbiamo implementato un registro informatico completo che consente altresì la tenuta dei seguenti ulteriori registri (necessari):

• registro delle attività rilevanti a documentazione dell’accountability;
• registro delle istanze di esercizio dei diritti da parte degli interessati;
• registro delle violazioni di dati personali (data breach);
• registro degli incidenti di sicurezza che non costituiscono violazione di dati personali;

Differentemente rispetto al Codice privacy, il Regolamento:

– disciplina la contitolarità del trattamento (art. 26) e impone ai titolari di definire specificamente il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente;

– fissa più dettagliatamente le caratteristiche dell’atto con cui il titolare designa un responsabile del trattamento attribuendogli specifici compiti: deve trattarsi, infatti, di un contratto (o altro atto giuridico conforme al diritto nazionale) e deve disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 al fine di dimostrare che il responsabile fornisce “garanzie sufficienti” – quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel regolamento;

– consente la nomina di sub-responsabili del trattamento da parte di un responsabile (si veda art. 28, paragrafo 4), per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali che legano titolare e responsabile primario; quest’ultimo risponde dinanzi al titolare dell’inadempimento dell’eventuale sub-responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l’evento dannoso “non gli è in alcun modo imputabile”;

– prevede obblighi specifici in capo ai responsabili del trattamento, in quanto distinti da quelli pertinenti ai rispettivi titolari (tenuta del registro dei trattamenti svolti, adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti, designazione di un RPD-DPO.

Siamo al vostro fianco nell’individuare le differenti e peculiari fattispecie di trattamento, condurre le necessarie verifiche e predisporre gli atti ed i documenti richiesti dalla normativa.

Ai sensi dell’articolo 29 del Regolamento (UE) 2016/679 (RGPD), chiunque agisca sotto l’autorità del responsabile o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento. Pur non disciplinando espressamente la figura dell’ “incaricato” del trattamento (invece prevista dal previgente Codice privacy), il regolamento non ne esclude la presenza, anzi.

A seguito delle modifiche apportate dal D.Lgs. 101/2018, il Codice privacy, nella sua versione attuale, prevede all’articolo 2-quaterdecies, che Il  titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate.

Considerato che negli enti complessi (quali P.A. e società) Titolare del trattamento è l’ente in quanto tale, occorre individuare esattamente quali persone fisiche siano responsabili dell’adozione delle decisioni rilevanti sotto il profilo della protezione dei dati personali.

Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l’autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Si tratta di uno degli elementi di maggiore rilevanza nel nuovo quadro normativo, perché esprime chiaramente la responsabilizzazione (accountability) dei titolari nei confronti dei trattamenti da questi effettuati. I titolari sono infatti tenuti non soltanto a garantire l´osservanza delle disposizioni del regolamento, ma anche a dimostrare adeguatamente in che modo garantiscono tale osservanza; la valutazione di impatto ne è un esempio.

Con l’adozione di apposite Linee guida (provvedimento del 15 maggio 2014), il Garante è intervenuto per assicurare l’osservanza della disciplina in materia di protezione dei dati personali nell’adempimento degli obblighi di pubblicazione sul web di atti e documenti. Le linee guida hanno lo scopo di individuare le cautele che i soggetti pubblici sono tenuti ad applicare nei casi in cui effettuano attività di diffusione di dati personali sui propri siti web istituzionali per finalità di trasparenza o per altre finalità di pubblicità dell’azione amministrativa.

Forniamo assistenza relativamente alla tutela dei dati personali connessa alla concorrente applicazione di altre normative (ad es.: Decreto Legislativo 14 marzo 2013 n. 33, in tema di trasparenza amministrativa; Legge 7 agosto 1990 n. 241; articolo 391-quater C.p.p., …)

Nel caso di designazione quale DPO, occorre che i soggetti pubblici e privati comunichino al Garante il nominativo del soggetto designato.

Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto.

Ove il servizio affidato non comprenda la designazione come DPO, possiamo assistere il titolare del trattamento in tutte le occasioni di confronto con il Garante, abbiano essa natura procedimentale o contenziosa.