Il trattamento dei dati aziendali e la responsabilità per ciascuna figura aziendale
Il Nuovo Regolamento EU 2016/679 introduce il concetto di Accountability, la responsabilità di ogni figura coinvolta nel trattamento dei dati.
Chi sono i protagonisti della privacy in una azienda e quali i compiti e le responsabilità?
Anzitutto, il TITOLARE DEL TRATTAMENTO DATI, ossia la persona giuridica (ente, impresa, associazione) che determina il motivo, le modalità e quali categorie di dati debbano e possano essere trattate.
Il Regolamento introduce un’altra opzione giuridicamente possibile, quella di CONTITOLARI DEL TRATTAMENTO DATI (JOINT CONTROLLERS), condizione che può verificarsi quando due entità giuridicamente distinte agiscono insieme come titolari del trattamento. Un esempio tipico è una banca dati riguardante i clienti insolventi, gestita congiuntamente da diversi istituti di credito.
Altra figura rilevante è quella del RESPONSABILE DEL TRATTAMENTO DATI, il soggetto che elabora e gestisce i dati per conto del titolare del trattamento.
Per motivi di chiarezza e trasparenza, i dettagli del rapporto tra un titolare del trattamento e un responsabile del trattamento dovrebbero essere disciplinati da un incarico scritto. La mancata stipula di tale incarico costituisce una violazione dell’obbligo normativo e potrebbe dar luogo a sanzioni.
I responsabili del trattamento potrebbero voler delegare alcuni compiti ad altri responsabili di secondo livello. Ciò sarà giuridicamente possibile con il nuovo Regolamento, esplicitandone i dettagli nell’incarico tra il titolare del trattamento e il responsabile di primo livello.
DPO (DATA PROTECTION OFFICER) o RPD (in italiano, RESPONSABILE DELLA PROTEZIONE DEI DATI)
E’ un ruolo nuovo, previsto dal nuovo Regolamento ed attualmente non presente nella normativa italiana sulla privacy; Sarà obbligo nominare tale figura in alcuni casi, ovvero quando:
1. il trattamento è effettuato da un’autorità pubblica;
2. le attività principali del titolare del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; (es. reti metropolitane, aeroporti, società che gestiscono grandi impianti di videosorveglianza o che effettuano attività di profilazione degli utenti, ecc.)
3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali ad es. dati sensibili (salute, vita sessuale, stato economico, ecc.) giudiziari, genetici, biometrici (es. impronte digitali) o relativi a condanne penali/reati.
Il D.P.O. potrà essere scelto e designato tra i soggetti alle dipendenze del titolare del trattamento oppure tra terzi esterni con cui vi sia un rapporto contrattuale.
Quali requisiti sono previsti per questa nuova figura?
Il D.P.O. che le aziende decideranno di nominare dovrà essere un professionista che possieda un’adeguata conoscenza della normativa e delle prassi di gestione dei dati e che operi in piena autonomia ed in assenza di conflitti di interesse.
Sua responsabilità sarà quella di informare e consigliare il titolare, il responsabile del trattamento e i dipendenti, in merito agli obblighi sulla privacy; verificare l’attuazione e l’applicazione della normativa; sensibilizzare e formare gli addetti coinvolti.
Alla luce di quanto riportato con il nuovo Regolamento spetterà dunque alle aziende saper valutare e designare correttamente i diversi soggetti, attribuendone i giusti compiti e le responsabilità e controllandone di fatto il corretto operato in applicazione al Regolamento.
Contattaci e approfitta della nuova promozione valida fino al 30/01/2018. Ti verrà riservato il 20% di sconto sulla redazione delle pratiche e il 10% di sconto sul servizio di assistenza.
Non perderti per strada, fai il prossimo passo!! Buona Lettura.
