GDPR Ready Normativa privacy

Il Regolamento Europeo sul trattamento dei dati personali numero 679 del 2016, il cui acronimo è GDPR (General Data Protection Regulation) è entrato definitivamente in vigore dal maggio 2018.

Quanti dei tuoi clienti hanno già messo in atto le procedure necessarie per la messa a norma?

Ecco alcune indicazioni che chiariscono quali sono i principali cambiamenti introdotti dalla nuova normativa.

Tutte le aziende italiane, così come le autorità e gli organismi pubblici che trattano dati personali sono tenute a fare alcuni adempimenti più o meno sostanziali rispetto al passato, meno impattanti per quelle aziende che hanno adottato alla lettera le indicazioni della normativa precedente, misure che riguardavano appunto il trattamento di dati personali o sensibili nonché la sicurezza e protezione degli stessi.

Rispetto a tale normativa, nota come Codice Privacy e fondata sulla L. 196 del 2003, il GDPR interviene di fatto su molti aspetti che riguardano nello specifico nuove funzioni, ovvero persone responsabili, e indicando quali interventi adottare sulle policy di trattamento dei dati personali e relativa sicurezza.

Il Responsabile della protezione dei dati (DPO dall’inglese Data Protection Officer) è indubbiamente la più “discussa” in questi mesi in quanto non contemplata nella precedente normativa.

Altra figura introdotta, quella del CPO (dall’inglese Chief Privacy Officer), è un DPO che opera in autonomia e a cui è conferito potere decisionale nello svolgimento delle proprie mansioni, figura che nella versione italiana del Regolamento UE 2016/679 ha assunto anche la denominazione di  Responsabile della Protezione dei Dati (RPD).

Uno dei tanti “falsi miti” che circolano in questi mesi è che questa responsabilità possa essere attribuita ad interim al Titolare del trattamento. Questo non può in alcun modo accadere in quanto tale titolare, già noto nella precedente normativa.

Il DPO ha dei compiti precisi e ben circoscritti e deve:

  1. occuparsi della raccolta di informazioni per individuare i trattamenti svolti;
  2. analizzare e verificare la conformità dei trattamenti;
  3. informare, formare, dare consulenza e indicazioni al titolare e al responsabile/i;
  4. individuare i rischi connessi al trattamento per suggerire al titolare del trattamento le modalità di valutazione d’impatto,
  5. informare e fornire consulenza rispetto agli obblighi derivanti dal GDPR al titolare del trattamento o al responsabile del trattamento nonché a tutti i dipendenti che eseguono il trattamento;
  6. sorvegliare l’applicazione del Regolamento e delle politiche del Titolare del trattamento in materia di protezione dei dati personali;
  7. attribuire responsabilità, sensibilizzare e formare il personale che interviene nei processi di trattamento;
  8. quando necessario fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  9. cooperare e fungere da punto di contatto per l’Autorità di controllo per questioni connesse al trattamento.

Programmare sessioni di consulenza, informazione e formazione in azienda rientrano tra le attività principali che il DPO deve assolvere, nonché la funzione di contatto con il Garante della privacy e con i terzi interessati al trattamento.

Il DPO deve altresì rendicontare l’attività svolta, assicurare tempi di risposta brevi e predeterminati agli interessati, risondere alla richiesta di pareri sull’osservanza del Regolamento nonché relativi alla valutazione di impatto privacy.

 

Quali caratteristiche principali deve avere il DPO?

  • un knowhow specifico in materia di privacy, meglio se certificato;
  • conoscenze approfondite sulla sicurezza informatica e/o il risk management;
  • sulla base delle due precedenti caratteristiche deve godere della fiducia del Titolare del trattamento.

Ti sei mai chiesto se il Commercialista possa essere il DPO per i propri clienti?

La risposta è NO, il DPO non può operare in conflitto d’interesse, inteso come capacità di determinare finalità e mezzi del trattamento dovendo il DPO anche vigilare sull’osservanza al Regolamento (GDPR).

Questo non vieta che lo Studio possa occuparsi dell’attività di audit, della messa a disposizione strumenti di formazione (anche on-line) per gli incaricati nonché erogare consulenza per l’adeguamento e contribuire all’individuazione del candidato ideale per tale ruolo.

Per saperne di più accedi alla pagina del nostro servizio Privacy per aziende o contattaci qui, una nuova opportunità di busness per il tuo Studio!

Comments are closed.