Il DPO (Data Protection Officer) nel GDPR

Il DPO (Data Protection Officer) nel GDPR

Il DPO (Data Protection Officer) nel GDPR

In due precedenti articoli abbiamo affrontato la tematica del titolare del trattamento dei dati. Adesso parleremo del DPO (Data Protection Officer), che è una figura che lavora a stretto contatto col titolare.

DPO e GDPR

La figura del DPO è regolata dagli artt. 37, 38 e 39 del GDPR. È un manager esperto della protezione dei dati. Deve avere una conoscenza trasversale e multidisciplinare: giuridica, informatica, ingegneristica ed economica. Se opera in ambito pubblico deve poi avere conoscenza delle procedure amministrative.

È sempre obbligatoria la presenza del DPO in un’organizzazione?

No. Ci sono casi nei quali è necessaria la presenza di un DPO. Ma in altri casi no. Sta al titolare il compito di verificare i requisiti a fronte dei quali è obbligatoria la designazione. Dell’obbligo di designazione del DPO troviamo dei riferimenti anche nelle linee guida. Tra i casi nei quali è previsto l’obbligo di dotarsi di un DPO troviamo le pubbliche amministrazioni

Qual’è il compito del DPO?

Sorvegliare la corretta applicazione del GDPR all’interno dell’organizzazione per la quale opera. Per questo promuove l’adozione degli strumenti di accountability. Strumenti, questi, di cui abbiamo già parlato in articoli precedenti:

  1. i registri delle attività di trattamento;
  2. valutazioni d’impatto dei trattamenti sulla protezione dei dati: l’art. 35, par. 2 del GDPR attribuisce al titolare del trattamento il compito di svolgere questa valutazione. Il DPO per questo articolo dovrebbe essere unicamente consultato in merito alla correttezza di questa valutazione. Tuttavia, nella pratica, quando è designato un DPO, è questo a fare la DPIA. Infatti quest’ultimo ha le competenze per capire come ridurre il rischio d’impresa e quindi fare una corretta valutazione d’impatto.
  3. elaborazione di modelli organizzativi;
  4. le certificazioni.

Legame tra Data Protection Officer e Titolare del trattamento

Il DPO deve relazionarsi col titolare del trattamento in quanto deve a lui rendere conto del suo operato. Il Data Protection Officer può essere sia una figura interna che una figura esterna all’azienda per la quale presta i suoi servizi. Nel caso sia un DPO interno, il GDPR lo tutela garantendogli indipendenza che lo mette al sicuro da eventuali dissapori che possono nascere col titolare del trattamento.

 

Contattaci subito per un preventivo

12 + 10 =

Il titolare del trattamento nel GDPR

Il titolare del trattamento nel GDPR

Il titolare del trattamento nel GDPR

Chi è il titolare del trattamento dei dati personali?

Il titolare del trattamento è definito dal GDPR all’art. 4, par. 7:

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali…

Quando titolare del trattamento è una persona giuridica

Dire che titolare del trattamento può essere anche una persona giuridica, pone un problema. Ossia: l’individuazione del soggetto che è preposto a prendere le decisioni e che dovrà assumersi le conseguenze di queste decisioni. A tal riguardo, il riferimento va alla figura del legale rappresentante.

Titolare e finalità del trattamento

Dalla definizione del GDPR vediamo che il titolare è colui che determina, oltre che i mezzi, anche le finalità del trattamento. A tal riguardo, è necessario che il titolare tratti dati che siano:

  • adeguati;
  • pertinenti;
  • limitati.

Ma adeguati, pertinenti e limitati a cosa? A quanto necessario rispetto alle finalità per le quali sono trattati. Ciò in linea col principio di accountability e col principio di minimizzazione dei dati.

Cosa significa principio di minimizzazione dei dati?

Significa evitare di usare quei dati dell’interessato che non sono assolutamente indispensabili rispetto al trattamento da effettuare. Quindi per rispettare questo principio, è necessario fare una valutazione a priori. Tale valutazione dovrà portare il titolare del trattamento a farsi una domanda. Cioè: rispetto al trattamento che devo fare, a che cosa mi serve questo dato? Quanto mi serve? Perché mi serve?

Titolare del trattamento e accountability

Tra questi due termini vi è una strettissima correlazione.Così come tra titolare e i principi di privacy by design e privacy by default. Tutti argomenti che abbiamo trattato in precedenti articoli:

  1. Accountability. La novità più grande del GDPR;
  2. Privacy by design e GDPR;
  3. Privacy by default.

Ma veniamo al legame tra titolare e accountability (principio di responsabilizzazione).

Il principio di accountability, attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5, par. 1). Il rispetto di questo principio è verificabile da parte del titolare utilizzando la valutazione d’impatto sulla protezione dei dati personali di cui abbiamo parlato in due precedenti articoli:

Contattaci subito per un preventivo

15 + 6 =

Titolare del trattamento e adempimenti

Titolare del trattamento e adempimenti

Titolare del trattamento e adempimenti

In un precedente articolo abbiamo già visto la figura del titolare del trattamento. Ora vedremo quali adempimenti devono da lui essere soddisfatti.

Gli adempimenti del titolare del trattamento

Quali sono gli adempimenti richiesti al titolare?

  1. Registri delle attività di trattamento (art. 30 GDPR): questi sono dei validi strumenti che possono essere usati in sede di ispezione. Cioè per valutare se il titolare nel porre in essere un trattamento ha agito responsabilmente e rispettando i principi posti a tutela dei dati dell’interessato dal GDPR.
  2. Valutazione d’impatto sulla protezione dei dati e consultazione preventiva (artt. 35-36 GDPR): attraverso questa valutazione si valuta se un determinato trattamento che si vuole porre in essere possa costituire un rischio per i diritti e le libertà dell’interessato. Quindi quello che viene valutato è la pericolosità di un determinato trattamento. Il WP 29 ha fornito 9 criteri, e nel caso in cui se ne realizzano 2 è necessario effettuare la valutazione d’impatto. Come possiamo notare quello che vuole essere realizzato è il principio di accountability.
  3. Responsabile della protezione dei dati (DPO) (artt. 37-39 GDPR): il titolare deve verificare i casi nei quali è obbligatoria la designazione di un DPO (data protection officer). A tal riguardo esistono delle linee guida che disciplinano quest’obbligo.
  4. Sicurezza dei dati personali (artt. 32-34 GDPR): è indispensabile garantire quelle che il Codice Privacy definisce “misure minime di sicurezza”. Il GDPR non riprende questa espressione. Tuttavia da un punto di vista contenutistico (che la dicitura sia o no presente nel Regolamento) è indispensabile che almeno le misure minime siano garantite. Ad esempio a tal riguardo si parla di obbligo di comunicazione del data breach. Le misure minime sono quindi un parametro di riferimento dal quale bisogna partire, per cercare di accrescere sempre la sicurezza dei dati dell’interessato. Ciò anche in un’ottica di adeguatezza alle disposizioni previste dal GDPR.

Contattaci subito per un preventivo

14 + 13 =

Il contitolare del trattamento nel GDPR

Il contitolare del trattamento nel GDPR

Il contitolare del trattamento

I soggetti preposti al trattamento dei dati personali

Il contitolare del trattamento, insieme al titolare e al responsabile del trattamento sono i tre soggetti preposti al trattamento dei dati personali.

Del titolare ne abbiamo già parlato in due articoli:

  1. Il titolare del trattamento nel GDPR;
  2. Titolare del trattamento e adempimenti.

Oggi parleremo della figura del contitolare del trattamento.

Il contitolare del trattamento nel GDPR

Il GDPR disciplina questa figura all’art. 26 del GDPR il quale al comma 1 ci dice che:

Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito alla osservanza degli obblighi…

Da questa prima parte del comma 1 si evince quindi che i contitolari sono dei titolari che insieme stabiliscono le finalità e i mezzi del trattamento. Elemento centrale di questo rapporto è l’accordo interno che si instaura tra le parti. Tale accordo ha una natura contrattuale e deve disciplinare il rispettivo ambito di responsabilità dei contitolari. Gli interessati hanno il diritto di rivolgersi indifferentemente a uno qualsiasi dei titolari che operano congiuntamente. Inoltre come dice l’art. 26 al comma 3, l’interessato può esercitare i propri diritti nei confronti e contro ciascun titolare del trattamento. Le responsabilità i contitolari le hanno poi anche verso i soggetti terzi, e perciò è indispensabile capire chi deve fare cosa nell’ambito di questo rapporto paritetico.

Gli adempimenti dei contitolari

Sono gli stessi dei titolari:

  1. Registro delle attività di trattamento (art. 30);
  2. DPIA e consultazione preventiva (artt. 35-36);
  3. DPO (artt. 37-39)
  4. Sicurezza dei dati personali (artt. 32-34)

Nella categoria della sicurezza dei dati personali rientra l’obbligo di comunicazione al Garante del data breach.

Qual’è il senso della contitolarità?

Sentire la necessità di una gestione comune, fermo restando le prerogative di ognuno dei contitolari. Ad esempio, in alcuni casi può essere avvertita la necessità di condividere i data base, mentre in altri questi vengono tenuti staccati. Nel momento in cui si decidesse per condividere il data base sarebbe come dire: ” dammi quel dato di cui ho bisogno” e viceversa. Ciò che è importante per parlare di contitolare del trattamento, è che nessuno di essi sia subordinato ad un altro. Altrimenti non c’è più contitolarità. All’opposto, vi è una sinergia di soggetti paritetici che hanno capacità decisionale paritetica.

 

 

Contattaci subito per un preventivo

10 + 7 =

Il responsabile del trattamento nel GDPR

Il responsabile del trattamento nel GDPR

Il responsabile del trattamento

I soggetti preposti al trattamento dei dati personali

Il responsabile, insieme al titolare e al contitolare del trattamento sono i tre soggetti preposti al trattamento dei dati personali.

Del titolare ne abbiamo già parlato in due articoli:

  1. Il titolare del trattamento nel GDPR;
  2. Titolare del trattamento e adempimenti.

In un articolo più recente abbiamo poi parlato anche della figura del contitolare.

Oggi parleremo della figura del responsabile.

Il responsabile del trattamento nel GDPR

Il GDPR disciplina questa figura sia all’art. 4, par. 8, sia all’art. 28 del GDPR.

L’art. 4, par. 8 ci dice che responsabile del trattamento è:

la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Quindi, il responsabile agisce per conto del titolare e quindi non va confuso con il titolare stesso, perché sono figure con specificità ben distinte. L’importanza della figura del responsabile, ne determina l’obbligatorietà della sua esistenza. Inoltre, prima di venire designato, esso viene preventivamente valutato al fine di testare la sua attitudine al ruolo. Quindi il titolare prima di nominare il responsabile, dovrà valutare se un certo soggetto sia in grado di garantire quelle che l’art. 28, par. 1 chiama garanzie sufficienti. Cioè, le misure tecniche e organizzative adeguate per far fronte alle esigenze, alle richieste e all’esercizio dei diritti dell’interessato. Anzi si può dire che il responsabile del trattamento, è definito tale, solo se è in grado di garantire queste cose. Il responsabile può, poi, previa autorizzazione scritta, specifica o generale, del titolare del trattamento, ricorrere ad un altro responsabile. Ciò ad esempio per l’esecuzione di specifiche attività di trattamento per conto del titolare.

In quale forma deve avvenire la designazione?

La designazione viene fatta sotto forma di contratto scritto anche in formato elettronico, art. 28, par. 9 del GDPR. Inoltre il responsabile è un soggetto esterno all’organizzazione per la quale lavora.

Contattaci subito per un preventivo

1 + 13 =

Call Now Button
Open chat