Nel nuovo regolamento la definizione data protection ha preso il posto della parola privacy. Il nuovo termine adottato ha quindi un significato molto più vasto e il problema di fondo non sarà semplicemente essere in possesso di dati sensibili, ma saperli gestire nel modo corretto.

Il 26 maggio prossimo entrerà in vigore definitivamente il Regolamento dell’Unione Europea in materia di trattamento di dati personali (GDPR) che introduce nuovi principi, nuove prassi operative e più diritti per i titolari dei dati personali ed un livello di protezione degli stessi uniforme in tutti gli Stati dell’Unione, al fine di eliminare il divario normativo attualmente esistente, consentire una migliore circolazione delle informazioni e facilitare le attività economiche tra le imprese e gli enti che operano sul territorio europeo, garantendo maggiore certezza giuridica. Il Regolamento abroga la direttiva n. 95/46/CE, sebbene molti dei suoi obiettivi e principi rimarranno validi.

Trattandosi di una norma che ha efficacia diretta piena, la sua entrata in vigore determinerà l’automatica applicabilità delle norme in esso contenute nei confronti di tutti i cittadini italiani, ciò significa, nella sostanza, che tutti coloro che trattano dati personali sarebbero direttamente chiamati a rendere la propria organizzazione compliance rispetto alle norme del GDPR, senza attendere ulteriori dettami interni, anche se il Regolamento stesso (cons. n.10) afferma espressamente che gli Stati membri restano comunque liberi di mantenere o introdurre norme nazionali, al fine di specificare ulteriormente l’applicazione delle disposizioni contenute nel Regolamento n. 679.

Tra i nuovi adempimenti, è prevista una nuova figura professionale :  il Responsabile per la protezione dei dati personali (Data Protection Officer).
Il Data Protection Officer o, per meglio dire, il Responsabile della Protezione dei Dati, è una nuova figura professionale che va ad inserirsi nel panorama, già nutrito, dei consulenti aziendali sempre più proiettati ad una totale compliance in materia di sicurezza nelle aziende
Il DPO (Data Protection Officer) sarà quindi un manager ma anche obbligatoriamente dovrà avere approfondite conoscenze sia in campo normativo sia in materia di sicurezza informatica.
Le attività del DPO potranno comprendere anche le attività già previste per il ruolo di responsabile privacy.

Il DPO è obbligatorio in qualsiasi caso in cui il trattamento sia effettuato da:

• una pubblica amministrazione o da un suo organismo,
• società con più di 250 dipendenti,
• aziende, le cui attività principali siano costituite, per loro natura, scopo o finalità, da sistematico e regolare monitoraggio delle persone interessate, oppure se l’attività principale del titolare implicherà un trattamento su larga scala di dati sensibili, relativi alla salute o alla vita sessuale, genetici, oppure giudiziari e biometrici.  (escluse comunque le autorità giurisdizionali)

Il DPO rimarrà in carica, come minimo, due anni, rinnovabili alla scadenza. L’incarico potrà essere affidato ad un soggetto terzo laddove, il precedente DPO, non detenga più le qualità richieste dalla norma.
Un DPO dovrà detenere qualità di natura professionale, esperienza ed abilità nell’area “legge sulla privacy”, nonché rispettare i compiti (o parte di essi come da accordi presi con l’amministrazione del titolare) previsti per detta figura. Il DPO non dovrà avere conflitti di interesse in azienda e dovrà essere coinvolto preventivamente nelle decisioni del management. Il DPO potrà anche essere un dipendente interno all’azienda oppure esterno in forza di un contratto di servizi.

I requisiti del DPO, Responsabile della protezione dei dati personali, nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:
1. possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali;
2. adempiere alle sue funzioni in piena indipendenza ed in assenza di conflitti di interesse;
3. operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio.

Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della protezione dei dati personali le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

I compiti del DPO sono:

• Informare il titolare e gli incaricati, circa gli obblighi derivanti dai dati trattati;
• Monitorare l’implementazione ed applicazione delle politiche adottate dal titolare in materia di protezione dei dati, assegnazione delle responsabilità, formazione delle risorse umane (in materia di protezione dei dati) ed in materia di verifiche derivanti da quanto sopra;
• Assicurare che la “documentazione” di cui ai precedenti punti (l’equivalente del nostro DPS) sia redatta ed efficacemente aggiornata. Vengono riconosciuti importanti principi come l’accountability, ovvero un obbligo del rendiconto delle attività che incidono sulla protezione dei dati personali ma in un’ottica proattiva, per esempio il considerando n. 74 asserisce che “il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure”, inoltre, è previsto che “Per dimostrare che si conforma al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe tenere un registro delle attività di trattamento effettuate sotto la sua responsabilità” (considerando n. 82 e art. 30). In questo contesto viene quindi previsto un obbligo di tenere un registro delle attività del trattamento dei dati personali, adempimento solo per alcuni limitati profili simile al Documento Programmatico per la Sicurezza (c.d. D.P.S.) previsto fino al 2012 nel Codice della Privacy (disposizioni abrogate all’art. 34 lett. g e punto 19 dell’Allegato B del Codice della Privacy).
• Monitorare che accessi illeciti ai dati siano notificati (ricordiamo che le violazioni di dati personali o data breach devono essere notificate dal controller, senza ritardo, alle autorità competenti ), nel rispetto della norma, all’autorità Garante. Il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che fissano per amministrazioni pubbliche e aziende l’obbligo di comunicazione nei casi in cui a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati. In riferimento agli incidenti informatici, la procedura di garanzia degli interessati (contraenti) coinvolti nella violazione dei dati personali (c.d. Data Breach Notification) non sarà più solo limitata ai soli fornitori di servizi di comunicazioni elettroniche, ma avrà una portata estesa che potrà riguardare sia i diversi operatori dalla sanità che tutti gli operatori di internet e altri.
• Monitorare l’efficacia, l’adeguatezza e l’applicazione del DPIA (Data protection impact assessment ovvero l’obbligo di effettuare una valutazione d’impatto sulla protezione dei dati personali) nonché la sistematica autorizzazione e consultazione del titolare al trattamento verso il DPO prima di adottare una decisione che coinvolga il trattamento dati e la privacy;
• Rispondere e cooperare con le richieste dell’autorità Garante per la Privacy;
• Agire come punto di contatto per le questioni, sollevate dal Garante, correlate ai trattamenti svolti in azienda.

I soggetti coinvolti nel nuovo modello organizzativo sul trattamento dei dati – regolamento europeo privacy ue 2016/679 ( ex dps) sono :

• Il Titolare del Trattamento, ora chiamato Data Controller o Responsabile del trattamento, dotato di un potere decisionale in ordine alle tecniche da adottare e alle misure organizzative, al fine di garantire la conformità al Regolamento delle operazioni di trattamento dei dati.
• Il Responsabile esterno del Trattamento / Amministratore di Sistema, ora chiamato Joint Controller o Co-responsabile del trattamento (ad esempio ad un fornitore di servizi in Cloud )
• Il responsabile ed incaricato del trattamento, ora chiamato Data Processor e Incaricato del Trattamento o più semplicemente Data Handler, sarà l’attuale responsabile e potrà procedere al trattamento dei dati solo su istruzione del responsabile.
• Il responsabile della sicurezza dei dati, ora chiamato Data Protection Officer ( DPO )

E la tua Azienda necessita di un adeguamento ?
Contattaci SUBITO e SENZA IMPEGNO