fbpx
Il DPO (Data Protection Officer) nel GDPR

Il DPO (Data Protection Officer) nel GDPR

Il DPO (Data Protection Officer) nel GDPR

In due precedenti articoli abbiamo affrontato la tematica del titolare del trattamento dei dati. Adesso parleremo del DPO (Data Protection Officer), che è una figura che lavora a stretto contatto col titolare.

DPO e GDPR

La figura del DPO è regolata dagli artt. 37, 38 e 39 del GDPR. È un manager esperto della protezione dei dati. Deve avere una conoscenza trasversale e multidisciplinare: giuridica, informatica, ingegneristica ed economica. Se opera in ambito pubblico deve poi avere conoscenza delle procedure amministrative.

È sempre obbligatoria la presenza del DPO in un’organizzazione?

No. Ci sono casi nei quali è necessaria la presenza di un DPO. Ma in altri casi no. Sta al titolare il compito di verificare i requisiti a fronte dei quali è obbligatoria la designazione. Dell’obbligo di designazione del DPO troviamo dei riferimenti anche nelle linee guida. Tra i casi nei quali è previsto l’obbligo di dotarsi di un DPO troviamo le pubbliche amministrazioni

Qual’è il compito del DPO?

Sorvegliare la corretta applicazione del GDPR all’interno dell’organizzazione per la quale opera. Per questo promuove l’adozione degli strumenti di accountability. Strumenti, questi, di cui abbiamo già parlato in articoli precedenti:

  1. i registri delle attività di trattamento;
  2. valutazioni d’impatto dei trattamenti sulla protezione dei dati: l’art. 35, par. 2 del GDPR attribuisce al titolare del trattamento il compito di svolgere questa valutazione. Il DPO per questo articolo dovrebbe essere unicamente consultato in merito alla correttezza di questa valutazione. Tuttavia, nella pratica, quando è designato un DPO, è questo a fare la DPIA. Infatti quest’ultimo ha le competenze per capire come ridurre il rischio d’impresa e quindi fare una corretta valutazione d’impatto.
  3. elaborazione di modelli organizzativi;
  4. le certificazioni.

Legame tra Data Protection Officer e Titolare del trattamento

Il DPO deve relazionarsi col titolare del trattamento in quanto deve a lui rendere conto del suo operato. Il Data Protection Officer può essere sia una figura interna che una figura esterna all’azienda per la quale presta i suoi servizi. Nel caso sia un DPO interno, il GDPR lo tutela garantendogli indipendenza che lo mette al sicuro da eventuali dissapori che possono nascere col titolare del trattamento.

 

Contattaci subito per un preventivo

8 + 3 =

Privacy by default

Privacy by default

Privacy by default e GDPR

Il precedente articolo si intitolava “Privacy by design e GDPR“. Adesso parleremo del tema previsto dall’art. 25, par. 2 del GDPR: la privacy by default.

Nell’articolo intitolato “Accountability, la novità più grande del GDPR“, abbiamo detto che privacy by default significa che proteggere i dati debba essere la regola predefinita. Infatti in italiano questa tipologia di privacy viene tradotta con: protezione dei dati per impostazione predefinita. Quindi, devono essere raccolti solo quei dati personali necessari per la specifica finalità. Ciò in conformità a quanto stabilito dal principio di minimizzazione

Raffronto tra privacy by design e privacy by default

Grazie alla privacy by design:

  1. si consente ai consumatori di avere una totale consapevolezza di come i loro dati siano tutelati;
  2. i consumatori possono facilmente gestire i propri dati.

Quindi, in quest’epoca di innovazione tecnologica, attuare bene la privacy by design permette alle aziende di avere un vantaggio competitivo rispetto ai propri competitor. Difatti, i consumatori si sentiranno maggiormente tutelati da una privacy by design attuata bene.

Grazie alla privacy by default:

Il titolare del trattamento deve adottare tutte quelle misure tecniche e organizzative che garantiscano che i dati siano trattati per impostazione predefinita. Ciò in modo che siano rispettati contemporaneamente e parallelamente i principi di necessità e di finalità del trattamento. Tutti i dati registrati in banche dati sono della natura e delle specie più diverse. Probabilmente tutti questi dati sono trattati, registrati e conservati per finalità diverse. Privacy by default significa che tutti questi dati dovranno essere trattati a seconda delle diverse finalità di trattamento, nel rispetto del principio di necessità. Anche qui, questo obbligo vale per una serie di elementi:

  • la quantità di dati raccolti;
  • la portata del trattamento;
  • il periodo di conservazione;
  • l’accessibilità.

Il GDPR stabilisce poi che: “per impostazione predefinita non possono essere resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento di una persona fisica”. Quindi in questo caso sono vietati gli automatismi.

Cosa accomuna il principio di privacy by design con il principio di privacy by default?

In comune queste due tipologie di privacy, hanno la possibilità di poter utilizzare le certificazioni previste dall’art. 42 del GDPR, come elemento per dimostrare di essere conformi ai requisiti previsti dal Regolamento. Tuttavia, la certificazione non riduce la responsabilità del titolare o del responsabile. Infatti rimangono in piedi i poteri di vigilanza dell’autorità di controllo, ossia del Garante.

Contattaci subito per un preventivo

11 + 2 =

Il titolare del trattamento nel GDPR

Il titolare del trattamento nel GDPR

Il titolare del trattamento nel GDPR

Chi è il titolare del trattamento dei dati personali?

Il titolare del trattamento è definito dal GDPR all’art. 4, par. 7:

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali…

Quando titolare del trattamento è una persona giuridica

Dire che titolare del trattamento può essere anche una persona giuridica, pone un problema. Ossia: l’individuazione del soggetto che è preposto a prendere le decisioni e che dovrà assumersi le conseguenze di queste decisioni. A tal riguardo, il riferimento va alla figura del legale rappresentante.

Titolare e finalità del trattamento

Dalla definizione del GDPR vediamo che il titolare è colui che determina, oltre che i mezzi, anche le finalità del trattamento. A tal riguardo, è necessario che il titolare tratti dati che siano:

  • adeguati;
  • pertinenti;
  • limitati.

Ma adeguati, pertinenti e limitati a cosa? A quanto necessario rispetto alle finalità per le quali sono trattati. Ciò in linea col principio di accountability e col principio di minimizzazione dei dati.

Cosa significa principio di minimizzazione dei dati?

Significa evitare di usare quei dati dell’interessato che non sono assolutamente indispensabili rispetto al trattamento da effettuare. Quindi per rispettare questo principio, è necessario fare una valutazione a priori. Tale valutazione dovrà portare il titolare del trattamento a farsi una domanda. Cioè: rispetto al trattamento che devo fare, a che cosa mi serve questo dato? Quanto mi serve? Perché mi serve?

Titolare del trattamento e accountability

Tra questi due termini vi è una strettissima correlazione.Così come tra titolare e i principi di privacy by design e privacy by default. Tutti argomenti che abbiamo trattato in precedenti articoli:

  1. Accountability. La novità più grande del GDPR;
  2. Privacy by design e GDPR;
  3. Privacy by default.

Ma veniamo al legame tra titolare e accountability (principio di responsabilizzazione).

Il principio di accountability, attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5, par. 1). Il rispetto di questo principio è verificabile da parte del titolare utilizzando la valutazione d’impatto sulla protezione dei dati personali di cui abbiamo parlato in due precedenti articoli:

Contattaci subito per un preventivo

12 + 4 =

Titolare del trattamento e adempimenti

Titolare del trattamento e adempimenti

Titolare del trattamento e adempimenti

In un precedente articolo abbiamo già visto la figura del titolare del trattamento. Ora vedremo quali adempimenti devono da lui essere soddisfatti.

Gli adempimenti del titolare del trattamento

Quali sono gli adempimenti richiesti al titolare?

  1. Registri delle attività di trattamento (art. 30 GDPR): questi sono dei validi strumenti che possono essere usati in sede di ispezione. Cioè per valutare se il titolare nel porre in essere un trattamento ha agito responsabilmente e rispettando i principi posti a tutela dei dati dell’interessato dal GDPR.
  2. Valutazione d’impatto sulla protezione dei dati e consultazione preventiva (artt. 35-36 GDPR): attraverso questa valutazione si valuta se un determinato trattamento che si vuole porre in essere possa costituire un rischio per i diritti e le libertà dell’interessato. Quindi quello che viene valutato è la pericolosità di un determinato trattamento. Il WP 29 ha fornito 9 criteri, e nel caso in cui se ne realizzano 2 è necessario effettuare la valutazione d’impatto. Come possiamo notare quello che vuole essere realizzato è il principio di accountability.
  3. Responsabile della protezione dei dati (DPO) (artt. 37-39 GDPR): il titolare deve verificare i casi nei quali è obbligatoria la designazione di un DPO (data protection officer). A tal riguardo esistono delle linee guida che disciplinano quest’obbligo.
  4. Sicurezza dei dati personali (artt. 32-34 GDPR): è indispensabile garantire quelle che il Codice Privacy definisce “misure minime di sicurezza”. Il GDPR non riprende questa espressione. Tuttavia da un punto di vista contenutistico (che la dicitura sia o no presente nel Regolamento) è indispensabile che almeno le misure minime siano garantite. Ad esempio a tal riguardo si parla di obbligo di comunicazione del data breach. Le misure minime sono quindi un parametro di riferimento dal quale bisogna partire, per cercare di accrescere sempre la sicurezza dei dati dell’interessato. Ciò anche in un’ottica di adeguatezza alle disposizioni previste dal GDPR.

Contattaci subito per un preventivo

8 + 11 =

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati

Valutazione d’impatto sulla protezione dei dati personali

Legame tra accountability e DPIA

Il precedente articolo era incentrato sul concetto di accountability. In questo, parleremo della valutazione d’impatto sulla protezione dei dati personali. Il motivo per il quale vedremo oggi questa tematica, è che è strettamente legata al principio di accountability. Infatti, la valutazione d’impatto, è un documento che dimostra se il titolare è stato responsabile nella progettazione del trattamento. Questo tema è conosciuto anche con il nome di DPIA (data protection impact assessment), ed è lo strumento di prevenzione più potente previsto dal GDPR che si basa sulla valutazione dei rischi.

Ma quali rischi?

I rischi sono quelli ai quali possono andare incontro i dati personali nel momento in cui vengono trattati. Quindi, il fatto che il titolare del trattamento debba valutare questi rischi, gli permette di offrire una maggiore tutela ai dati dell’interessato.

Documentazione della valutazione d’impatto

Questa valutazione deve essere sempre documentata nel Registro dei trattamenti. In questo registro devono essere inserite anche le misure di sicurezza. Ciò consente di responsabilizzare il titolare in quanto prende consapevolezza di quello che sta facendo. Nel caso in cui venga poi fatta una ispezione, è probabile che l’ispettore chieda che gli venga fornito il Registro dei trattamenti.

Quando abbiamo l’obbligo di fare la DPIA?

Per i trattamenti di dati personali “normali”, non vi è questo obbligo. Invece, per i trattamenti di dati personali che il Codice Privacy definisce “sensibili” è previsto l’obbligo di fare la valutazione d’impatto.

Ma perché?

Perché in questo caso il trattamento dei dati personali determina un rischio elevato per la tutela dei dati. Purtroppo il concetto di “rischio elevato” non è definito dal GDPR.

Qual’è il momento giusto per redigere la valutazione d’impatto?

La DPIA deve essere fatta prima che il trattamento dei dati abbia luogo. Sono tre le motivazioni che ci portano a dire questo:

  1. capire se il trattamento che vogliamo porre in essere sia o no lecito.
  2. individuare quali sono i rischi che eventualmente il trattamento presenta.
  3. comprendere come mitigare i rischi.

 

Nel prossimo articolo parleremo dei 9 criteri in base ai quali è probabile che ci troveremo di fronte ad un rischio elevato che giustifichi l’obbligo di redigere una DPIA.

Contattaci subito per un preventivo

10 + 3 =

L’amministratore di sistema

L’amministratore di sistema

L’amministratore di sistema

Ieri abbiamo visto la figura del responsabile esterno del trattamento. Oggi in un precedente articolo abbiamo parlato degli incaricati del trattamento. Adesso, vediamo l’amministratore di sistema.

Come avevamo infatti detto ieri, ci sono tre figure preposte al trattamento dei dati personali:

  1. il responsabile del trattamento;
  2. gli incaricati del trattamento (ossia chi opera sotto l’autorità del titolare e/o del responsabile del trattamento;
  3. gli amministratori di sistema.

Chi è l’amministratore di sistema?

L’amministratore di sistema è generalmente individuato in ambito informatico, nelle figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti. Il data base in buona sostanza.

Gli amministratori in molti casi sono concretamente considerati come veri e propri “responsabili” di specifiche fasi lavorative che possono comportare elevate criticità rispetto alla protezione dei dati. Esempi di queste attività tecniche sono:

  1. il salvataggio dei dati (backup/ recovery);
  2. l’organizzazione dei flussi di rete;
  3. la gestione dei supporti di memorizzazione;
  4. la manutenzione hardware.

Queste operazioni comportano infatti nella maggior parte dei casi, un effettivo accesso e una gestione di dati personali che viene pertanto a configurarsi esattamente alla stregua di un trattamento rilevante ai sensi di legge.

L’amministratore di sitsema nel GDPR

Questa figura non si trova all’interno del GDPR e, a differenza degli incaricati del trattamento di cui abbiamo già parlato, non è menzionato nemmeno nel Codice Privacy. A causa di ciò il Garante ha dovuto addirittura fare un provvedimento generale, ipotizzando quali siano i casi in cui sia necessario nominare un amministratore di sistema.

È almeno prevista una definizione tecnica?

La cosa strana è che non è prevista nemmeno una definizione tecnica di amministratore. Bisogna risalire al provvedimento del Garante a cui abbiamo fatto cenno poc’anzi per averne una.

Amministratori e art. 29 del GDPR

Come per gli incaricati che non erano previsti espressamente dal GDPR, anche nel caso degli amministratori possiamo riferirci all’art. 29. Infatti anche questi ultimi rientrano nella categoria di soggetti che devono agire sotto l’autorità e dietro la delega del titolare o del responsabile.

 

Contattaci subito per un preventivo

5 + 14 =

Call Now Button
Open chat