|
STUDIO LEGALE Avv.
STEFANO COMELLINI BOLOGNA |
|
|
Diritto Industriale | Diritto dell’Informatica | varie |
|
|
|
Privacy: la nuova figura del "Data Protection
Officer" e quando è obbligatorio nominarlo |
|
Lo scorso
16 maggio 2016 è stato pubblicato
sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento (UE) 2016/679 “relativo alla protezione dei dati
delle persone fisiche con riguardo al trattamento dei dati personali nonché
alla libera circolazione di tali dati”. Detto Regolamento, entrato
in vigore il 24 maggio 2016, abroga la
vecchia Direttiva 95/46/CE (attuata in Italia prima con la
legge n. 675/1996 e, successivamente, con il D. Lgs.
n. 196/2003) e diventerà
“direttamente” applicabile in tutti gli Stati membri dell’UE (senza
necessità di un intervento legislativo dei singoli Stati) a decorrere dal 25 maggio 2018. Il Regolamento introduce
(all’art. 37) la nuova figura del
“RESPONSABILE DELLA PROTEZIONE dei dati personali” ("Data Protection Officer" -
DPO). Questa figura
dovrà essere designata
"obbligatoriamente" (dal Titolare del trattamento e
dal Responsabile del trattamento) ogniqualvolta: a) il trattamento è effettuato da
un'autorità pubblica o da un organismo pubblico, eccettuate le autorità
giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del Titolare
del trattamento o del Responsabile del trattamento consistono in trattamenti
che, per loro natura, ambito di applicazione e/o finalità, richiedono il
monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del Titolare
del trattamento o del Responsabile del trattamento consistono nel
trattamento, su larga scala, di categorie particolari di dati
personali
di cui all'articolo 9 (c.d. dati particolari o sensibili, che
rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni
politiche o filosofiche, o l’appartenenza sindacale, nonché dati genetici e
biometrici o relativi alla vita o all’orientamento sessuale) o di dati relativi a condanne penali e a
reati
di cui all'articolo 10. Il
“Responsabile della protezione dei dati” (che potrà essere un dipendente
dell’azienda oppure un soggetto esterno e, in quest’ultimo caso, assolverà i
suoi compiti in base ad un contratto di servizi) sarà designato in funzione
delle sue qualità professionali e dovrà possedere un'adeguata conoscenza
della normativa e delle prassi di gestione dei dati personali. La sua
attività dovrà essere svolta in piena autonomia e indipendenza, in assenza di
conflitti di interesse. Tra i vari
compiti del "Responsabile della protezione dei dati" l’art. 39
del Regolamento elenca i seguenti: a) informare e consigliare il Titolare o il Responsabile del
trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal regolamento nonché da
altre disposizioni dell'Unione o degli Stati membri relative alla protezione
dei dati; b) verificare l'attuazione e
l’applicazione
del regolamento, di altre disposizioni dell'Unione o degli Stati membri
relative alla protezione dei dati nonché delle politiche del Titolare o del
Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità,
la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle
connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione
d'impatto
sulla protezione dei dati e sorvegliarne l’adempimento; d) cooperare con l'autorità di
controllo;
e e) fungere da punto di contatto per
l'autorità di controllo
(Garante della Privacy) per questioni connesse al trattamento, tra cui la
consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso,
consultazioni relativamente a qualunque altra questione. Per
completezza, è bene rammentare (per evitare di confondere
le varie figure) che il “Titolare
del Trattamento” è, invece, il soggetto (persona fisica
o giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od
organismo) che determina
le finalità e i mezzi del trattamento dei dati personali,
mentre il “Responsabile
del Trattamento” è il soggetto (persona fisica o
giuridica, pubblica amministrazione e qualsiasi altro ente,
associazione od organismo) preposto
al trattamento dei dati personali per conto del titolare del trattamento (vedasi
gli artt. 4, nn. 7 e 8, del citato Regolamento). (8 agosto 2016) |
|
|
|
|
|
Diritto Industriale | Diritto dell’Informatica | varie |
|