Contatti per Informazioni:

Servizio di Designazione del Responsabile della Protezione dei Dati

Servizio di Designazione del Responsabile della Protezione dei Dati

SERVIZIO DI DESIGNAZIONE R.P.D.

Il nuovo Regolamento Europeo (679/2016) sulla protezione dei dati introduce un’unica legislazione in tutti gli Stati Membri dell’UE.
In Italia, a partire dal 25 Maggio 2018, va in scena il nuovo Regolamento generale sulla protezione dei dati 2016/679 GDPR, pubblicato sulla Gazzetta Ufficiale europea L. 119 il 4 maggio 2016 e che sarà obbligatorio appunto a partire dal 25 maggio 2018.
Con il nuovo Regolamento UE sulla Privacy, vengono introdotte importanti novità quali il diritto all’oblio, il diritto alla portabilità dei dati, il principio di accountability, le notificazioni delle violazioni alle autorità nazionali e anche agli stessi utenti (c.d. data breaches), modalità di accesso ai propri dati personali più facili per gli interessati, il meccanismo del “one-stop-shop”, con il quale le imprese avranno a che fare con un’unica autorità di vigilanza, e il concetto di “privacy by design”.

PREMESSE
Linee guida sui Responsabili della Protezione dei Dati (RPD) o Data Protection Officer (DPO).
Il Regolamento Generale sulla Protezione dei Dati (GDPR) esplicherà i propri effetti a partire dal 25 maggio 2018 ed offrirà un quadro di riferimento per la protezione dei dati in Europa, aggiornato e fondato sul principio di responsabilizzazione (accountability). I Responsabili della Protezione dei Dati (RPD), meglio conosciuti come DPO (Data Protection Officer), saranno al centro di questo nuovo quadro giuridico in molti ambiti e dovranno facilitare ’osservanza delle disposizioni del GDPR.
In base al Regolamento, alcuni titolari e responsabili del trattamento sono tenuti a nominare in via obbligatoria un RPD. Questo vale per tutte le autorità pubbliche e tutti i soggetti pubblici, indipendentemente dalla natura e tipologia di dati trattati, e per soggetti che, come attività principale, effettuino un monitoraggio regolare e su larga scala delle persone fisiche o trattino su larga scala categorie particolari di dati personali e sensibili. Anche dove il regolamento non imponga in modo specifico la designazione di un DPO, può risultare utile procedere su base volontaria alla sua nomina.
Ancor prima dell’adozione del Regolamento, il Gruppo di Lavoro “articolo 29″ (WP29) ha sostenuto che questa figura rappresenti un elemento fondante ai fini della responsabilizzazione, e che la nomina del RPD possa facilitare l’osservanza della normativa ed aumentare il margine competitivo delle imprese. I Responsabili della Protezione dei Dati fungono inoltre da interfaccia fra i soggetti coinvolti: autorità di controllo, interessati, divisioni operative all’interno di un’azienda o di un ente.
In caso di inosservanza del GDPR, i Responsabili della Protezione dei Dati non rispondono personalmente. Il Regolamento stesso chiarisce spetta al titolare o al responsabile del trattamento garantire ed essere in grado di dimostrare che le operazioni sono conformi alle disposizioni di legge. L’onere di assicurare il rispetto della normativa in materia di protezione e tutela dei dati ricade sul titolare o sul responsabile.

Di seguito alcune linee guida a cura del Garante Privacy:

1. Nomina di un R.P.D.
2. La nomina di un Responsabile Protezione Dati è obbligatoria in 3 casi:
a) se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
b) se le attività principali del titolare o del responsabile consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
c) se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati o di dati personali relativi a condanne penali e reati.
Il WP29 raccomanda a titolari e responsabili di documentare le valutazioni compiute all’interno dell’azienda o dell’ente per stabilire se si applichi o meno l’obbligo di nomina di un RPD, così da poter dimostrare che l’analisi ha preso in esame correttamente i fattori pertinenti. Ciò non vieta che un’azienda o un ente, quando non intenda nominare un RPD su base volontaria e non sia tenuta a farlo, ricorra comunque a personale o consulenti esterni incaricati di incombenze relative alla protezione dei dati personali. In tal caso è fondamentale garantire che non vi siano ambiguità in termini di denominazione, status e compiti di queste figure; è dunque essenziale che in tutte le comunicazioni interne all’azienda e anche in quelle esterne queste figure o consulenti non siano indicati con la denominazione di “RPD”.
Il concetto di monitoraggio regolare e sistematico degli interessati non trova definizione all’interno del Regolamento; tuttavia tra questo rientrano senza dubbio tutte le forme di tracciamento e profilazione su Internet, anche per finalità di pubblicità comportamentale.
Il Responsabile Protezione Dati deve essere in grado di comunicare con gli interessati in modo efficiente e di collaborare con le autorità di controllo interessate. Deve inoltre essere facilmente raggiungibile da ciascuno stabilimento, nel caso sia stato nominato da un gruppo imprenditoriale. Il fatto che egli sia raggiungibile – vuoi fisicamente all’interno dello stabile ove operano i dipendenti, vuoi attraverso una linea dedicata o altri mezzi di comunicazione idonei e sicuri – è fondamentale al fine di garantire all’interessato la possibilità di contattare il Responsabile Protezione Dati stesso. Quest’ultimo, è vincolato al segreto e alla riservatezza nell’esercizio delle proprie funzioni.
Poichè questa figura è chiamata ad una molteplicità di funzioni, il titolare deve assicurarsi che un unico RPD sia in grado di adempiere in modo efficiente a tali funzioni.

Se un trattamento riveste particolare complessità oppure comporta un volume consistente di dati sensibili, L’ RPD avrà probabilmente bisogno di un livello più elevato di conoscenze specialistiche e di supporto.
Il Regolamento non specifica le qualità professionali che L’ RPD deve avere, tuttavia sono pertinenti al riguardo la conoscenza della normativa e delle prassi nazionali ed europee in materia di protezione dei dati. Dovrebbe avere sufficiente familiarità con le operazioni di trattamento svolte nell’azienda, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dati manifestate dal titolare. Le qualità professionali dovrebbero comprendere anche l’integrità ed elevati standard deontologici.
L’ RPD svolge un ruolo chiave nel promuovere la cultura della protezione dei dati all’interno dell’azienda o dell’ente e contribuisce a dare attuazione a principi fondamentali del trattamento, i diritti degli interessati, la protezione dei dati sin dalla fase di progettazione, i registri delle attività di trattamento, la sicurezza dei trattamenti e la notifica e comunicazione delle violazioni di dati personali.

2. Posizione dell’R.P.D.
E’ fondamentale che l’R.P.D. sia coinvolto in tutte le questioni riguardanti la protezione dei dati personali, a partire dalle fasi iniziali di impatto sulla privacy e protezione dei dati nell’azienda. E’ essenziale inoltre che egli partecipi su base regolare alle riunioni del management di alto e medio livello, che sia tempestivamente informato ogniqualvolta debbano essere assunte decisioni che impattano sulla protezione dei dati o qualora si verifichi una violazione dei dati, che il suo parere riceva sempre la dovuta considerazione.
Il management deve fornire supporto attivo alle funzioni del Responsabile Protezione Dati e dargli tempo sufficiente per l’espletamento dei compiti affidati. Tra le risorse necessarie il titolare deve garantire all’ RPD supporto adeguato in termini di finanze, infrastrutture e, dove necessario, personale (risorse umane, legali, IT, ecc.).
La comunicazione della nomina dell’RPD deve pervenire ufficialmente a tutto il personale aziendale, in modo da garantire che la sua presenza e le sue funzioni siano note e chiare a tutto il personale.
Gli RPD devono avere inoltre la possibilità di curare il proprio aggiornamento e la loro formazione, per un incremento costante delle competenze nel settore della protezione dei dati.

Tra le garanzie essenziali per l’operato dell’RPD ci deve essere un grado sufficiente di autonomia all’interno dell’azienda. Il titolare mantiene la piena responsabilità dell’osservanza della normativa in materia di protezione dei dati e deve essere in grado di dimostrarla. Se il titolare assume decisioni incompatibili con l’RPD, quest’ultimo dovrebbe avere la possibilità di manifestare il proprio dissenso al decisore.
Se un Responsabile Protezione Dati svolge anche altre funzioni in azienda, l’affidamento di questo ruolo non deve dare adito a conflitti di interesse.

3. Compiti dell’RPD
Al Responsabile Protezione Dati viene affidato il compito di sorvegliare l’osservanza del Regolamento Generale sulla Protezione Dati.
Fanno parte di questi compiti di controllo svolti dall’RPD:
– la raccolta di informazioni per individuare i trattamenti svolti;
– l’analisi e la verifica dei trattamenti in termini di loro conformità;
– l’attività di informazione, consulenza e indirizzo nei confronti del titolare.
Il controllo del rispetto del Regolamento non significa che l’RPD sia personalmente responsabile in caso di inosservanza. Il rispetto delle norme in materia di protezione dei dati fa parte della responsabilità d’impresa del titolare del trattamento, non dell’RPD.
Secondo il principio di protezione dei dati fin dalla fase di progettazione (data protection by design) il Regolamento prevede che il titolare si consulti con il Responsabile Protezione Dati quando svolge una valutazione di impatto sulla protezione dei dati. Qualora il titolare non concordi con le indicazioni fornite dall’RPD, è necessario venga prodotta della documentazione in cui si riporti chiaramente per iscritto quali sono le motivazioni per cui non è possibile conformarsi a tali indicazioni.
Si chiede all’RPD di definire inoltre un ordine di priorità nell’attività svolta e di concentrarsi sulle questioni che presentino maggiori rischi in termini di protezione dei dati.
E’ previsto dal Regolamento che il titolare o il responsabile del trattamento, e non l’RPD, tenga un registro delle attività di trattamento svolte sotto la propria responsabilità e di tutte quelle svolte per conto di un titolare del trattamento. Nella pratica, spesso sono i Responsabili Protezione Dati a realizzare e tenere un registro di tali attività sulla base delle informazioni fornite loro dai vari uffici o unità che trattano dati personali.

Tale registro va considerato uno degli strumenti che consentono all’RPD di adempiere agli obblighi di sorveglianza nel rispetto del regolamento, informazione e consulenza nei riguardi del titolare o del responsabile. Il registro deve essere considerato anche uno strumento che consente al titolare e all’autorità di controllo, su richiesta, di disporre di un quadro complessivo di trattamenti di dati personali svolti dallo specifico soggetto. In quanto tale, costituisce un presupposto indispensabile ai fini dell’osservanza delle norme ed un’efficace misura di responsabilizzazione.

SANZIONI – ART. 83 –
SOCIAL E MINORI – ART. 8 –
DIRITTO ALL’OBLIO – ART. 17 –
DIRITTO ALLA PORTABILITA’ DEI DATI – ART. 20 –
RESPONSABILITA’ VERTICALE – ART. 5.2 –
DIRITTO ALL’ACCESSO DELL’ INTERESSATO – ART. 15 –
REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO – ART. 30 –
NOTIFICA DI UNA VIOLAZIONE DEI DATI PERSONALI – ART. 33 –
MECCANISMO DELLO SPORTELLO UNICO (one stop shop) – ART. 60 –

IL RESPONSABILE DELLA PROTEZIONE DEI DATI – Art. 37 – 38 – 39 –

VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI – ART. 35 –
PROTEZIONE DEI DATI FIN DALLA PROGETTAZIONE E PER IMPOSTAZIONE PREDEFINITA – ART. 25 –

LA NOSTRA PROPOSTA

Il nuovo Regolamento, agli artt. 35, 36 e 37, definisce, inoltre, quale deve essere il ruolo del Responsabile della Protezione dei Dati (R.P.D.), per il quale è prevista una designazione obbligatoria quando:
• il trattamento è effettuato da un’autorità o da enti pubblici, fatta eccezione per i tribunali;
• le attività principali del Data Controller o Data Processor consistono in operazioni di trattamento che, in virtù della loro natura, del loro scopo e/o della loro finalità, richiedono un monitoraggio regolare e sistematico delle persone interessate su larga scala;
• le attività principali del Data Controller o Data Processor consistono nel trattamento su larga scala di categorie speciali di dati (dati sensibili) e di dati relativi alle condanne penali;
• se previsto dal diritto dell’Unione o dal diritto dello Stato membro, un gruppo di imprese può designare un unico R.P.D. a condizione che sia facilmente raggiungibile da parte di ciascuno stabilimento. Più autorità od enti pubblici possono designare un unico R.P.D., tenendo conto della loro struttura e dimensione
In questo nuovo scenario gli enti pubblici dovranno adeguarsi alla nuova normativa, assegnando all’interno della propria struttura o rivolgendosi a professionisti esterni, la funzione di “Responsabile della Protezione dei Dati”, il quale oltre ad un bagaglio di conoscenze normative di settore, dovrà assicurare conoscenze avanzate di security e di sistemi informativi.
L’R.P.D., figura storicamente già presente in alcune legislazioni europee, è un professionista (sia esso soggetto interno o esterno) che deve avere un ruolo aziendale con competenze giuridiche, informatiche, di risk management e di analisi dei processi.
La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’azienda, sia essa pubblica che privata, affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.
Il Responsabile della Protezione dei Dati (R.P.D.), è il punto di contatto dell’azienda/ente nei confronti dell’Autorità Garante Privacy e dell’interessato al trattamento.

SERVIZIO DI DESIGNAZIONE del
(Responsabile della Protezione dei Dati)
ESTERNO
Quattrocolori sas, attraverso la propria divisione “R.P.D. Professional Service” che si avvale di un team di Esperti con comprovata esperienza in materia di Privacy, Avvocati, Consulenti privacy, Data Protection Officer, offre, un contratto di servizi (Art. 37, c.6 del Regolamento sulla Protezione dei Dati | GDPR 216/679) che svolgerà, per conto del Cliente, i compiti richiesti dal Regolamento Privacy UE 2016/679.
I servizi offerti dal nostro Responsabile della Protezione dei Dati R.P.D. al Titolare del trattamento o al Responsabile del trattamento, a titolo di esempio, sono:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD (art. 30) , nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;
b) sorvegliare l’osservanza del RGPD, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del RGPD;
d) cooperare con il Garante per la protezione dei dati personali;
e) fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
f) tenere il registro delle attività di trattamento sotto la responsabilità del titolare o del responsabile ed attenendosi alle istruzioni impartite;
g) Sessioni di formazione al Personale in materia di Regolamento Europeo sulla Protezione dei Dati Personali – GDPR 679/16 e Cybersecurity a vari livelli.

Chi Siamo

FORMAPA è un progetto studiato per offrire servizi formativi alle Pubbliche Amministrazioni, ideato ed erogato dalla Quattrocolori Sas, società specializzata nel proporre servizi ad alto valore aggiunto per gli enti locali.

Contatti

Via S. D’Acquisto, 1 – Parete (Ce)

Tel: 081.8125270
Fax: 081.5035083
Email: info@formapa.it

top
Quattrocolori sas - P.Iva 03694200613
X