IL CODICE DELLA PRIVACY AD UN ANNO DALL'ENTRATA IN VIGORE DEL GDPR LA STRUTTURA PRIVACY: TITOLARE, RESPONSABILE, CO- TITOLARE E DPO

Transcript

1 IL CODICE DELLA PRIVACY AD UN ANNO DALL'ENTRATA IN VIGORE DEL GDPR LA STRUTTURA PRIVACY: TITOLARE, RESPONSABILE, CO- TITOLARE E DPO

2 TITOLARE DEL TRATTAMENTO Art. 5 il titolare = soggetto competente a garantire il rispetto dei principi del GDPR Onere di porre in essere tutti i necessari adempimenti come, per esempio, la mappatura delle operazioni di trattamento mediante la creazione di un apposito registro che renda verificabile l attuazione dei principi sanciti dalla norma Onere della prova Art. 24 il titolare del trattamento deve non solo mettere in atto, ma anche riesaminare e aggiornare, adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengono effettuate in conformità con le disposizioni del GDPR 2

3 Il principio di accountability richiede l adozione di appropriate misure ex ante, nella fase di elaborazione e predisposizione dei processi, ma anche delle regolari verifiche ex post per controllare la tenuta del sistema Il regolamento, visto dalla prospettiva del titolare, non assicura sufficiente certezza del diritto Ampio margine discrezionale Necessaria puntuale valutazione del rischio calata nella realtà concreta

4 RESPONSABILE DEL TRATTAMENTO Sotto l autorità del titolare possono agire soggetti da lui delegati Art. 29 del regolamento parla del responsabile o chiunque agisca sotto la sua autorità. Il responsabile è quel soggetto attivo, persona fisica o giuridica, che svolge l attività per conto del titolare, cioè un trattamento in outsourcing Non esiste più il responsabile interno del trattamento in base al regolamento ma abbiamo ancora in vigore il Codice quindi le nomine per chi tratta i dati rimangono

5 Art. 28 del GDPR L incarico deve essere formalizzato dal titolare con autorizzazione scritta, specifica o generale, dove venga indicata la designazione, la durata, i dati oggetto del trattamento delegato, le modalità di svolgimento e le finalità dell incarico. Il contenuto dell articolo riproduce essenzialmente quello della direttiva e della maggior parte delle disposizioni nazionali già esistenti.

6 L esecuzione del trattamento deve essere disciplinata con un contratto o con una scrittura che abbiano la natura di negozio recettizio poiché deve essere firmato da entrambi Natura sinallagmatica e vincolante del rapporto Il responsabile s impegna a trattare i dati solo limitatamente alle indicazioni ricevute dal titolare nella nomina, a garantire il rispetto dei principi sanciti nel regolamento e, in generale, della normativa applicabile S impegna ad assistere il titolare durante ogni eventuale controllo o a soddisfare le richieste del Garante Privacy, diventando così co-obbligato insieme al titolare In caso di risarcimento del danno cagionato dal trattamento il responsabile risponde in solido con il titolare entro i limiti stabiliti dall incarico

7 Il responsabile deve necessariamente fornire garanzie circa la sicurezza e, in particolare, l attuazione di misure tecniche e organizzative adeguate. Art. 28, par. 3 del regolamento indica dettagliatamente i doveri del responsabile

8 Il ruolo del responsabile è strumentale alla realizzazione delle finalità stabilite dal titolare Per distinguere nella prassi le due figure sarà necessario avere attenzione a identificare quale soggetto fissa le finalità del trattamento, potendo eventualmente configurarsi il caso di una cotitolarità Il responsabile deve avere un margine discrezionale minimo rispetto al titolare che si assume la responsabilità del trattamento

9 CON-TITOLARE ART. 26 REGOLAMENTO 1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati. 2. L'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato. 3. Indipendentemente dalle disposizioni dell'accordo di cui al paragrafo 1, l'interessato può esercitare i propri diritti ai sensi del presente regolamento nei confronti di e contro ciascun titolare del trattamento.

10 Elementi essenziali: codecisione in merito alle finalità e a i mezzi di un determinato trattamento. E risarcibile qualsiasi danno causato da una violazione del regolamento (Art. 82.1). Responsabilità in solido

11 DATA PROTECTION OFFICER (DPO) Novità artt GDPR Interno o esterno alla struttura aziendale? Conflitto interessi Team di compliance per avere una panoramica precisa di tutti i processi nei vari dipartimenti

12 La nomina del DPO sarà obbligatoria per le autorità e gli organismi pubblici, per quei soggetti privati che, per lo svolgimento della loro attività, svolgono attività di monitoraggio regolare e sistematico degli individui su ampia scala, come per esempio tutte le società di trasporto pubblico o di gestione delle infrastrutture. L obbligatorietà è inoltre prevista nel caso in cui le attività principali del titolare coinvolgano il trattamento su ampia scala di dati personali. La nomina del DPO può essere una modalità innovativa per la gestione della privacy.

13 TRATTAMENTO SU LARGA SCALA Obbligo di nomina per il titolare che effettua trattamenti su larga scala Parere working group 29 Ospedali, trasporti, monitoraggio assicurazioni Area grigia molto ampia

14 SOCIETA APPARTENENTI A GRUPPO Art. 37 par. 2 prevede la possibilità di procedere a una nomina cumulativa Capacità di analisi normativa e giurisprudenziale su tutti i paesi del gruppo Attenzione alla normativa di trasposizione e adattamento nei vari Stati membri DPO deve essere facilmente raggiungibile così da divenire il punto di contatto per la risoluzione dei bilanciamenti d interessi contrapposti. La nomina unitaria da parte di un gruppo imprenditoriale dovrà essere corredata da un notevole sostegno di personale interno nelle varie dislocazioni.

15 COMPITI DPO La responsabilità principale del DPO è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali e, conseguentemente, la loro protezione all interno di un azienda affinché sia garantito il rispetto della normativa europea e nazionale in materia di privacy Assiste il titolare grazie a una conoscenza specialistica della normativa Capace di declinare l astrattezza dei principi del GDPR nella pratica dei processi aziendali del titolare

16 Ai sensi dell art. 39 del GDPR, il DPO è incaricato di informare e fornire consulenza al titolare o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento europeo nonché da altre disposizioni del diritto europeo relative alla protezione dei dati. Egli deve inoltre sorvegliare l osservanza del regolamento, di altre disposizioni europee e nazionali applicabili per la protezione dei dati. Il DPO funge da auditor e da referente per la gestione dei dati personali.

17 RUOLO DPO Ruolo centrale nell organizzazione aziendale Deve poter indirizzare i propri consigli direttamente agli organi di vertice della società Formazione del personale Punto contatto con le autorità di controllo