Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

diapositiva successiva Requisiti Il DPO è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai propri compiti. Tale figura, di alto livello professionale, può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure adempiere ai suoi compiti in base a un contratto di servizi e quindi può essere un libero professionista. Il DPO deve essere prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali sia dal titolare del trattamento che dal responsabile del trattamento, e gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal Regolamento. Il DPO deve godere di ampia autonomia e non riceve alcuna istruzione per quanto riguarda l’esecuzione dei propri compiti. Inoltre il Regolamento specifica (articolo 38) che il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti, ma riferisce direttamente ai massimi superiori gerarchici del titolare del trattamento o del responsabile del trattamento. diapositiva successiva Compiti del DPO Responsabilità diffusa Ogni direzione sarà obbligata a interpellare il DPO in caso di attività con impatto sulla Data Protection È una figura il governance (vedi legge 231) • Consulenza in merito al regolamento e alla sua applicazione • Attuazione del regolamento: policy del titolare, formazione del personale • Cooperazione e collaborazione con l’autorità di controllo Verranno adesso approfonditi i compiti del DPO. (articolo 39 G. D. P. R. ). diapositiva successiva a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati. Il titolare del trattamento non potrà contare più sull’Autorità Garante per ottenere chiarimenti o consulenza come nel caso dell’articolo 17 del Codice in materia di protezione dei dati personali (verifica preliminare), ma avrà il DPO come suo punto di riferimento in materia. diapositiva successiva b) sorvegliare l’osservanza del Regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo. Nel considerando 97 si specifica che il titolare o il responsabile del trattamento dovrebbe essere “assistito [dal DPO] nel controllo del rispetto a livello interno del presente regolamento”. Fanno parte di questi compiti di controllo svolti dal DPO, in particolare: • la raccolta di informazioni per individuare i trattamenti svolti; • l’analisi e la verifica dei trattamenti in termini di loro conformità, • l’attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile. Il controllo del rispetto del Regolamento non significa che il DPO sia personalmente responsabile in caso di inosservanza. Il Regolamento chiarisce che spetta al titolare, e non al DPO, “mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento” (articolo 24, paragrafo 1). Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non del DPO. diapositiva successiva c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del Regolamento. In base all’articolo 35, paragrafo 1, del G. D. P. R. spetta al titolare del trattamento, e non al DPO, condurre, ove necessario, una valutazione di impatto sulla protezione dei dati (D. P. I. A., nell’acronimo inglese). Tuttavia, il DPO svolge un ruolo fondamentale e di grande utilità assistendo il titolare nello svolgimento di tale D. P. I. A.. In ossequio al principio di “protezione dei dati fin dalla fase di progettazione” (o data protection by design), l’articolo 35, secondo paragrafo, prevede in modo specifico che il titolare “si consulta” con il DPO quando svolge una D. P. I. A.. A sua volta, l’articolo 39, primo paragrafo, lettera c) affida al DPO il compito di “fornire, se richiesto, un parere in merito alla valutazione di impatto sulla protezione dei dati e sorvegliarne lo svolgimento”. Il WP29 raccomanda che il titolare si consulti con il DPO, fra l’altro, sulle seguenti tematiche: • se condurre o meno una D. P. I. A.; • quale metodologia adottare nel condurre una D. P. I. A.; • se condurre la D. P. I. A. con le risorse interne ovvero esternalizzandola; • quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i rischi per i diritti e gli interessi delle persone interessate; • se la D. P. I. A. sia stata condotta correttamente o meno, e se le conclusioni raggiunte (procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al Regolamento. diapositiva successiva d) cooperare con l’autorità di controllo. e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36 del Regolamento, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. Le linee guida chiariscono che questi compiti attengono al ruolo di “facilitatore” attribuito al DPO nel senso che lo stesso funge da punto di contatto per facilitare l’accesso, da parte dell’autorità di controllo, ai documenti e alle informazioni necessarie per l’adempimento dei compiti ispettivi o connessi all’esercizio dei poteri di indagine, correttivi, autorizzativi e consultivi di cui all’articolo 58 del Regolamento. Per il punto e) valgono le stesse considerazioni di cui al punto d). diapositiva successiva Linee guida sui responsabili della protezione dei dati (RPD) del WP 29 adottate il 16 dicembre 2016 ed emendate in data 5 aprile 2017 Le linee guida chiariscono che alcuni titolari e responsabili del trattamento sono tenuti a nominare un DPO in via obbligatoria. Ciò vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dai dati oggetto di trattamento, e per altri soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche ovvero trattino su larga scala categorie particolari di dati personali (dati sensibili). Inoltre si suggerisce che ove il Regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere a tale designazione su base volontaria. diapositiva successiva Data Protection Officer (DPO) Nomina di un DPO Le linee guida suggeriscono ai titolari e responsabili di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un DPO. In tal modo è possibile dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti. diapositiva successiva Cosa si intende per autorità pubblica o organismo pubblico Nel Regolamento non si rinviene alcuna definizione di “autorità pubblica” o “organismo pubblico”. Il WP29 ritiene che tale definizione debba essere conforme al diritto nazionale; conseguentemente, sono autorità pubbliche o organismi pubblici le autorità nazionali, regionali e locali ma, a seconda del diritto nazionale applicabile, la nozione ricomprende anche tutta una serie di altri organismi di diritto pubblico. In tale ambito il WP29 formula le seguenti raccomandazioni in termini di buone prassi: • gli organismi privati incaricati di funzioni pubbliche o che esercitano pubblici poteri dovrebbero nominare un DPO; e • le attività del DPO nominato nei termini sopra indicati dovrebbero estendersi a tutti i trattamenti svolti, compresi quelli che non sono connessi all’espletamento di funzioni pubbliche o all’esercizio di pubblici poteri quali, per esempio, la gestione di un database del personale. diapositiva successiva Cosa si intende per attività principali L’articolo 37, paragrafo 1, lettere b) e c) del Regolamento contiene un riferimento alle “attività principali del titolare del trattamento o del responsabile del trattamento”. Nel considerando 97 si afferma che le attività principali di un titolare del trattamento “riguardano le sue attività primarie ed esulano dal trattamento dei dati personali come attività accessoria”. Con “attività principali” si possono intendere: le operazioni essenziali che sono necessarie al raggiungimento degli obiettivi perseguiti dal titolare o dal responsabile del trattamento. Tuttavia, l’espressione “attività principali” non va interpretata nel senso di escludere quei casi in cui il trattamento di dati costituisce una componente inscindibile dalle attività svolte dal titolare o dal responsabile. Per esempio, l’attività principale di un ospedale consiste nella prestazione di assistenza sanitaria, ma non sarebbe possibile prestare tale assistenza nel rispetto della sicurezza e in modo efficace senza trattare dati relativi alla salute, come le informazioni contenute nella cartella sanitaria di un paziente.