Read Aloud the Text Content

This audio was created by Woord's Text to Speech service by content creators from all around the world.

Text Content or SSML code:

diapositiva successiva Coinvolgimento del DPO sulle questioni riguardanti la protezione dei dati personali Ai sensi dell’articolo 38 del Regolamento, il titolare e il responsabile assicurano che il DPO sia “tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”. È, difatti, essenziale che il DPO sia coinvolto quanto prima possibile in ogni questione attinente la protezione dei dati. Per quanto concerne le valutazioni di impatto sulla protezione dei dati, il regolamento prevede espressamente che il DPO vi sia coinvolto fin dalle fasi iniziali e specifica che il titolare ha l’obbligo di consultarlo nell’effettuazione di tali valutazioni. Ciò significa che occorrerà garantire, per esempio: • che il DPO sia invitato a partecipare su base regolare alle riunioni del management di alto e medio livello; • la presenza del DPO ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati. Il DPO deve disporre tempestivamente di tutte le informazioni pertinenti in modo da poter rendere una consulenza idonea; • che il parere del DPO riceva sempre la dovuta considerazione. In caso di disaccordi, il WP29 raccomanda, quale buona prassi, di documentare le motivazioni che hanno portato a condotte difformi da quelle raccomandate dal DPO; • che il DPO sia consultato tempestivamente qualora si verifichi una violazione dei dati o un altro incidente. diapositiva successiva Risorse necessarie L’articolo 38, secondo paragrafo, del Regolamento obbliga il titolare o il responsabile del trattamento a sostenere il DPO “fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica”. È quindi necessario: 1. Un supporto attivo delle funzioni del DPO da parte del senior management (per esempio, a livello del consiglio di amministrazione). 2. L’individuazione del tempo sufficiente per l’espletamento dei compiti affidati al DPO. Ciò riveste particolare importanza se il DPO viene designato con un contratto part-time, oppure se il dipendente si occupa di protezione dati oltre a svolgere altre incombenze. In caso contrario, il rischio è che le attività cui il DPO è chiamato finiscano per essere trascurate a causa di conflitti con altre priorità. 3. Un Supporto adeguato in termini di risorse finanziarie, infrastrutture (sede, attrezzature, strumentazione) e, ove opportuno, personale. 4. La Comunicazione ufficiale della nomina del DPO a tutto il personale, in modo da garantire che la sua presenza e le sue funzioni siano note all’interno dell’azienda o dell’organismo. 5. L’accesso garantito ad altri servizi (risorse umane, ufficio giuridico, IT, sicurezza, ecc.) così da fornire al DPO supporto, informazioni e input essenziali. 6. La formazione permanente. I DPO dovrebbero avere la possibilità di curare il proprio aggiornamento con riguardo agli sviluppi nel settore della protezione dati. Ciò mira, in ultima analisi, a consentire un incremento continuo del livello di competenze proprio dei DPO, che dovrebbero essere incoraggiati a partecipare a corsi di formazione su materie attinenti alla protezione dei dati e ad altre occasioni di professionalizzazione (forum in materia di privacy, workshop, ecc.). Alla luce delle dimensioni e della struttura della singola azienda o del singolo organismo, può risultare necessario costituire un ufficio o un gruppo di lavoro DPO (formato dal DPO stesso e dal rispettivo personale). In casi del genere, è opportuno definire con precisione la struttura interna del gruppo di lavoro nonché i compiti e le responsabilità individuali. Analogamente, se la funzione di DPO viene esercitata da un fornitore di servizi esterno all’azienda o all’organismo, potrà aversi la costituzione di un gruppo di lavoro formato da soggetti operanti per conto di tale fornitore e incaricati di svolgere le funzioni di DPO sotto la direzione di un responsabile che funga da contatto per il cliente. diapositiva successiva Indipendenza L’articolo 38, terzo paragrafo, del Regolamento fissa alcune garanzie essenziali per consentire ai DPO di operare con un grado sufficiente di autonomia all’interno dell’organizzazione del titolare/ responsabile. In particolare, questi ultimi sono tenuti ad assicurare che il DPO “non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti”. Il considerando 97 aggiunge che i DPO, “dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”. Ciò significa che il DPO, nell’esecuzione dei compiti attribuitigli ai sensi dell’articolo 39, non deve ricevere istruzioni sull’approccio da seguire nel caso specifico – quali siano i risultati attesi, come condurre gli accertamenti su un reclamo, se consultare o meno l’autorità di controllo. Né deve ricevere istruzioni sull’interpretazione da dare a una specifica questione attinente alla normativa in materia di protezione dei dati. Si ricorda, però, che il titolare o il responsabile mantengono la piena responsabilità dell’osservanza della normativa in materia di protezione dei dati e devono essere in grado di dimostrare tale osservanza. Se il titolare o il responsabile assumono decisioni incompatibili con il Regolamento e le indicazioni fornite dal DPO, quest’ultimo dovrebbe avere la possibilità di manifestare il proprio dissenso ai decisori. diapositiva successiva Rimozione o penalizzazione del DPO L’articolo 38, terzo paragrafo, del Regolamento prevede, inoltre, che il DPO, “non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti”. Le penalizzazioni possono assumere molte forme e avere natura diretta o indiretta. Per esempio, potrebbero consistere nella mancata o ritardata promozione, nel blocco delle progressioni di carriera, nella mancata concessione di incentivi rispetto ad altri dipendenti. Non è necessario che si arrivi all’effettiva applicazione di una penalizzazione, essendo sufficiente anche la sola minaccia nella misura in cui sia rivolta al DPO in rapporto alle attività da questi svolte. Viceversa, e conformemente alle normali regole di gestione applicabili a ogni altro dipendente o fornitore soggetto alla disciplina del rispettivo contratto nazionale ovvero alle norme di diritto penale e del lavoro, sarebbe legittimamente possibile interrompere il rapporto con il DPO per motivazioni diverse dallo svolgimento dei compiti che gli sono propri: per esempio, in caso di furto, molestie sessuali o di altro genere, o altre analoghe e gravi violazioni deontologiche. diapositiva successiva Conflitto di interessi In base all’articolo 38, paragrafo 6, del Regolamento al DPO è consentito di “svolgere altri compiti e funzioni”, ma a condizione che il titolare o il responsabile del trattamento si assicuri che “tali compiti e funzioni non diano adito a un conflitto di interessi”. Ciò significa, in modo particolare, che un DPO non può rivestire, all’interno dell’organizzazione del titolare o del responsabile, un ruolo che comporti la definizione delle finalità o modalità del trattamento di dati personali. Si tratta di un elemento da tenere in considerazione caso per caso guardando alla specifica struttura organizzativa del singolo titolare o responsabile. A seconda delle attività, delle dimensioni e della struttura organizzativa del titolare o del responsabile, si possono indicare le seguenti buone prassi: - individuare le qualifiche e funzioni che sarebbero incompatibili con quella di DPO; • redigere regole interne a tale scopo onde evitare conflitti di interessi; • prevedere un’illustrazione più articolata dei casi di conflitto di interessi; • dichiarare che il DPO non versa in alcuna situazione di conflitto di interessi con riguardo alle funzioni di DPO, al fine di sensibilizzare rispetto al requisito in questione; • prevedere specifiche garanzie nelle regole interne e fare in modo che nel segnalare la disponibilità di una posizione lavorativa quale DPO ovvero nel redigere il contratto di servizi si utilizzino formulazioni sufficientemente precise e dettagliate così da prevenire conflitti di interessi. Al riguardo, si deve ricordare, inoltre, che un conflitto di interessi può assumere varie configurazioni a seconda che il DPO sia designato fra soggetti interni o esterni all’organizzazione. diapositiva successiva Schema generale del corso LE FIGURE SOGGETTIVE diapositiva successiva L’INTERESSATO Definizione (articolo 4 G. D. P. R. ) L’interessato è definito dall’articolo 4 del Regolamento come la persona fisica identificata o identificabile e si considera identificabile la persona che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line, o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Non vi sono, quindi, sostanziali differenze rispetto a quanto previsto dal previgente Codice in materia di protezione dei dati personali e i diritti dell’interessato sono disciplinati dal Capo III del Regolamento.