Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

diapositiva successiva REGISTRO DELLE ATTIVITÀ DI TRATTAMENTO Nozione (articolo 30 G. D. P. R. ) L’articolo 30 del Regolamento prevede che ogni titolare del trattamento e il suo eventuale rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Anche ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento. diapositiva successiva Il registro contiene le seguenti informazioni: a) il nome e i dati di contatto del titolare del trattamento e di ogni contitolare del trattamento, del rappresentante del titolare del trattamento e dell’eventuale responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza, tecniche e organizzative. Anche ogni responsabile del trattamento e il suo eventuale rappresentante tengono un registro di tutte le categorie di attività di trattamento dei dati personali svolte per conto di un titolare del trattamento, contenente: a) nome e dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e dell’eventuale responsabile della protezione dei dati; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative. diapositiva successiva Casi di obbligatorietà L’articolo 30, però, chiarisce che l’obbligo della tenuta di questi registri non si applica alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati come quelli sensibili e giudiziari. Al di là dei casi di obbligatorietà tali registri sono fondamentali al fine di monitorare i diversi trattamenti che coinvolgono un’azienda o un organismo. diapositiva successiva CODICI DI CONDOTTA Nozione (articolo 40 G. D. P. R. ) Continua nel Regolamento l’incoraggiamento all’utilizzo dei codici di condotta che già, per la verità, è proprio della normativa precedente. In effetti il Regolamento è molto più incisivo ed all’articolo 40 sancisce che gli Stati membri, le autorità di controllo, il Comitato europeo per la protezione dei dati e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento, in funzione delle specificità settoriali e delle esigenze specifiche delle micro, piccole e medie imprese. Le associazioni e gli altri organismi previsti dal Regolamento che intendono elaborare un codice di condotta o modificare o prorogare un codice esistente sottopongono il progetto di codice all’autorità di controllo (cioè al nostro Garante). L’autorità di controllo esprime un parere sulla conformità al Regolamento del progetto di codice o del codice modificato o prorogato e lo approva, se ritiene che offra garanzie sufficientemente adeguate. In questo caso l’autorità di controllo registra e pubblica il codice. diapositiva successiva CERTIFICAZIONI Nozione (articolo 42 G. D. P. R. ) Gli articoli 42 e 43 del Regolamento danno ampio spazio alla certificazione ed agli organismi di certificazione. In particolare l’articolo 42 prevede che gli Stati membri, le autorità di controllo, il Comitato europeo per la protezione dei dati e la Commissione incoraggiano, in particolare a livello di Unione, l’istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al Regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Si tiene conto delle esigenze specifiche delle micro, piccole e medie imprese. I meccanismi, i sigilli o i marchi approvati, oltre ad essere applicati dai titolari del trattamento e dai responsabili del trattamento soggetti al Regolamento, possono essere istituiti anche al fine di dimostrare la previsione di adeguate garanzie da parte dei titolari del trattamento o responsabili del trattamento non soggetti al Regolamento ai sensi dell’articolo 3, nel quadro dei trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali alle condizioni di cui all’articolo 46, paragrafo 2, lettera f). diapositiva successiva Chi le rilascia La certificazione è rilasciata dagli organismi di certificazione di cui all’articolo 43 o dall’autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente ai sensi dell’articolo 58, paragrafo 3, o dal comitato, ai sensi dell’articolo 63. Ove i criteri siano approvati dal comitato, ciò può risultare in una certificazione comune, il sigillo europeo per la protezione dei dati. Naturalmente il titolare del trattamento o il responsabile del trattamento che sottopone il trattamento effettuato al meccanismo di certificazione fornisce all’organismo di certificazione o, se del caso, all’autorità di controllo competente tutte le informazioni e l’accesso alle attività di trattamento necessarie a espletare la procedura di certificazione. diapositiva successiva Durata La certificazione è rilasciata al titolare del trattamento o responsabile del trattamento per un periodo massimo di 3 anni e può essere rinnovata alle stesse condizioni purché continuino ad essere soddisfatti i requisiti pertinenti. È revocata, se del caso, dagli organismi di certificazione o dall’autorità di controllo competente, qualora non siano o non siano più soddisfatti i requisiti per la certificazione. diapositiva successiva Schema generale del corso IL DPO diapositiva successiva DATA PROTECTION OFFICER (DPO) Nozione (articolo 37 G. D. P. R. ) Tra le maggiori novità del Regolamento Europeo sulla protezione dei dati personali rientra sicuramente la previsione del Data Protection Officer (DPO) o responsabile della protezione dei dati, figura di indubbio rilievo le cui competenze, per la verità, non sono state ancora chiarite nel modo migliore dagli organi comunitari. L’articolo 37 del Regolamento prevede che quando: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali, oppure b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati di cui all’articolo 9 (dati sensibili) o di dati relativi a condanne penali e a reati di cui all’articolo 10. il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati (c.d. data protection officer). diapositiva successiva Ambito pubblicistico Qualora il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione. Naturalmente per i noti problemi connessi alla scarsità di risorse della pubblica amministrazioneè prevedibile che la maggior parte degli enti pubblici attingeranno dal proprio personale per la designazione di un DPO e questo comporterà, indubbiamente, alcuni problemi come evidenziato dal WP 29, istituito dalla Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, nelle linee guida sui responsabili della protezione dei dati (RPD, acronimo equivalente a DPO) adottate il 16 dicembre 2016 ed emendate poi il 5 aprile 2017, al fine di chiarire quali debbano essere i requisiti ed i compiti di un Data Protection Officer e quale dovrà essere in concreto il suo apporto nel campo della protezione dei dati personali di un’unità organizzativa.