Ruolo del GDPR e figura del Data Protection Officier nelle società
Home » News » Focus

Il GDPR nelle società

Redazione

Versione PDF del documento

In relazione alle disposizioni, a fare data dal 25 maggio 2018, si deve menzionare il Regolamento UE 2016/679 (anche detto GDPR, General Data Protection Regulation), che consente di eliminare le diversità che si sono formate nel tempo tra gli ordinamenti dei vari Stati membri.

Il Regolamento si prefigge l’obiettivo di disciplinare a livello normativo gli aspetti indissolubilmente legati allo sviluppo tecnologico degli ultimi decenni, tra i quali spiccano le questioni sul diritto obliosa, il diritto alla portabilità delle informazioni, il diritto ad essere informati in caso di violazione delle informazioni.

Le società che lavorano sul web, o che raccolgono e processano una moltitudine di informazioni personali, si trovano a dovere affrontare queste tematiche. Le imprese, ad esempio, fanno sempre più ricorso ai metodi basati sulla scienza dei Big Data per definire le proprie strategie.

Nel complesso, il GDPR dota i soggetti Interessati di poteri di informazione e controllo nei confronti del Titolare sul trattamento delle proprie informazioni personali. Allo stesso tempo, il Legislatore ha dovuto compiere un bilanciamento rispetto ai valori, altrettanto meritevoli di tutela, della trasparenza e della libera cedibilità delle informazioni. Le informazioni relative alla persona di ognuno, nonché alle sue abitudini, presentano un valore economico centrale, che attira l’ago della bilancia verso una qualificazione delle informazioni personali, perché suscettibili di valutazioni quantitative e di scambi di natura economico-commerciale.

Data Protection Officier (DPO)

Tra le modifiche più rilevanti, rientra la figura del Data Protection Officer, il responsabile della protezione delle informazioni personali. Il DPO svolgerà principalmente compiti informativi e di controllo sulla compliance in materia di privacy, e fungerà da punto di contatto per i soggetti interessati, in merito a qualunque inconveniente connesso al trattamento delle loro informazioni, nonché all’esercizio dei loro diritti, e per il Garante per la protezione delle informazioni personali.

Lo dovranno avere gli enti pubblici, le aziende private dove le “core activities” del titolare del trattamento o del responsabile del trattamento consistano in trattamenti che richiedono il monitoraggio sistematico su larga scala, e le aziende private dove le attività principali del titolare del trattamento o del responsabile del trattamento “sono relative al trattamento, su larga scala, di informazioni sensibili o di informazioni relative a condanne penali e a reati”.

In questo contesto il responsabile della protezione dei dati nel GDPR o Data Protection Officer avrà di sicuro un triplice ruolo cruciale di supervisore interno per dimostrare la conformità, di facilitatore e comunicatore sia verso il vertice dell’organizzazione sia verso l’esterno.

Il GDPR obbliga a prevenire e mitigare i rischi secondo un approccio attivo, questo significa da una parte tutelare i diritti e le libertà degli interessati, ma anche e soprattutto valutare preventivamente l’impatto che alcune scelte possano avere sull’immagine dell’organizzazione e sulla continuità operativa dell’organizzazione. Il Codice della Privacy, sino adesso oggetto di tre revisioni legislative, subirà altre modifiche per attuare e rendere coerente la disciplina italiana con regolamento (UE) 2016/679.

Tra i principi e adempimenti introdotti dal regolamento merita particolare attenzione il cosiddetto principio di accountability (c.d. principio di “responsabilizzazione”), in virtù del quale i titolari e i responsabili del trattamento dovranno gestire la propria organizzazione in modo preventivo per garantire in ogni fase del trattamento la piena conformità al trattamento e raccogliere prove documentali per dimostrarla.

Considerare il DPO come l’unico adempimento sarebbe un errore: deve essere recepito un diverso approccio al rischio che tenga in conto la gravità e la possibilità di verificare qualunque evento che interferisca con la riservatezza, l’integrità e la disponibilità (c.d. RID) delle informazioni personali relative ai trattamenti delle informazioni personali dell’organizzazione.

Per mitigare il rischio il titolare del trattamento dovrà necessariamente ricorrere alle migliori soluzioni disponibili sul mercato, ricorrendo a soluzioni tecnologiche e organizzative avanzate come ad esempio la pseudonimizzazione e la criptazione delle informazioni. In mancanza di misure adeguate al rischio il titolare del trattamento non sarebbe in grado di dimostrare di avere raggiunto il livello adeguato di sicurezza.

Costituisce un esempio l’adempimento di trasparenza relativo alla violazione delle informazioni (c.d. data breach notification) cioè incidente di sicurezza, nel quale qualunque titolare che subisca un incidente di sicurezza dovrà, ricorrendo le circostanze, notificare lo stesso al Garante privacy ed eventualmente anche agli interessati se ci siano rischi elevati di pregiudizio per costoro.

Nonostante la designazione del Data Protection Officer sia accompagnata da una semplificazione in termini di nomina condivisa tra i diversi enti pubblici e tra gruppi di imprese, questo adempimento comporterà maggiori oneri per le finanze pubbliche.

Il Data Protection Officer anche in ambito privato ha un ruolo pervasivo, dovendo essere coinvolto tempestivamente su ogni questione a lui relativa per garantire una protezione delle informazioni effettiva dei cittadini e allo stesso tempo tutelare il titolare e il responsabile del trattamento, dovendo supervisionare le attività di attribuzioni di ruoli e responsabilità, piani di sensibilizzazione, di formazione nonché le attività di controllo.

I presenti contributi sono tratti da 

Le strutture societarie: caratteristiche a confronto

Le strutture societarie: caratteristiche a confronto

Alessandra Concas, 2018, Maggioli Editore

La presente trattazione è incentrata sulle dinamiche societarie. Inizia con la definizione del contratto di società e prosegue con la disciplina giuridica e le caratteristiche di questi enti, elencando in modo dettagliato i caratteri dei vari tipi di società e...




Quando è obbligatoria la nomina del Dpo?

In ambito privato, l’articolo 37, comma 1, lett. b) del regolamento europeo prevede l’obbligo di designare il DPO quando le attività principali del titolare e del responsabile richiedono su larga scala un monitoraggio regolare e sistematico. Ad esempio, rientrano in questo presupposto gli operatori di telecomunicazione, gli operatori che effettuano profilazione per finalità di marketing comportamentale oppure erogare premi assicurativi, localizzazione attraverso applicazioni, monitoraggio sullo stato di salute attraverso dispositivi indossabili e interconnessi (c.d. wearable devices), programmi di fedeltà e simili.

Il DPO in ambito privato è obbligatorio anche per le organizzazioni che trattano come attività principale informazioni sensibili (o meglio particolari secondo il regolamento) oppure informazioni giudiziarie su larga scala, rientrano in questa previsione assicurazioni e istituti di credito.

Allo stesso modo, saranno obbligati a nominare il DPO i soggetti che svolgono come attività principale il monitoraggio sistematico e regolare su larga scala degli interessati. In termini indicativi, rientrano in questa categoria oltre agli operatori di telecomunicazioni, i fornitori di applicazioni, chi offre programmi fedeltà, chi effettua il marketing comportamentale e in genere chi effettua su larga scala attività di profilazione su internet.

A seconda della complessità del contesto nel quale dovrà svolgere la sua attività, il DPO dovrà essere anche in grado di gestire questioni relative alle diverse giurisdizioni. Più nel merito, i complessi compiti affidati al DPO sono previsti a livello minimale dal regolamento potendo il titolare e il responsabile affidare anche altri compiti.

Nello specifico il DPO dovrà:

  • Informare e fornire consulenza al titolare e al responsabile del trattamento nonché ai dipendenti

degli obblighi che derivano dal regolamento.

  • Sorvegliare l’osservanza del regolamento, nonché delle altre disposizioni europee o di diritto interno in materia di protezione informazioni.
  • Sorvegliare sulle attribuzioni delle responsabilità, sulle attività di sensibilizzazione, formazione e attività di controllo.
  • Fornire pareri e sorvegliare alla redazione della Data protection impact assessment (c.d. Dpia).
  • Fungere da punto di contatto e collaborare con l’Autorità Garante per la protezione delle informazioni personali.
  • Controllare che le violazioni delle informazioni personali siano documentate, notificate e comunicate (c.d. Data Breach Notification Management).

I presenti contributi sono tratti da 

Le strutture societarie: caratteristiche a confronto

Le strutture societarie: caratteristiche a confronto

Alessandra Concas, 2018, Maggioli Editore

La presente trattazione è incentrata sulle dinamiche societarie. Inizia con la definizione del contratto di società e prosegue con la disciplina giuridica e le caratteristiche di questi enti, elencando in modo dettagliato i caratteri dei vari tipi di società e...



© RIPRODUZIONE RISERVATA


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it