Il working party 29 ne chiarisce i termini

Devo nominare un DPO?

Il working party 29 ne chiarisce i termini

blog-img
Privacy - Blog 19/05/2017 Saev Group

 Gli avvocati non devono nominare un responsabile per la protezione dei dati (o all’inglese Dpo). Lo stesso vale anche per il singolo studio medico. E chi fa il Dpo per la p.a. deve conoscere il diritto amministrativo.

La precisazione arriva dal gruppo di lavoro articolo 29 della Commissione europea, che ha diffuso le linee guida sulla figura introdotta dal regolamento dell’Ue n. 2016/679 sulla protezione dei dati.

Il documento, del 13 dicembre 2016, illustra la disciplina applicabile al data protection officer, appunto il Dpo: chi e in quali casi si deve nominare il responsabile; quali sono i requisiti per diventarlo; quale sia la sua responsabilità.

Vediamo, dunque, i chiarimenti del gruppo dei garanti europei della privacy. Il gruppo di lavoro art. 29. Il Gruppo è stato istituito dall’articolo 29 della direttiva 95/46 sulla privacy.

È un organismo consultivo e indipendente, composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno stato dell’Ue, dal garante europeo della protezione dei dati, e da un rappresentante della Commissione europea.

Svolge attività consultive e di coordinamento della normativa sulla tutela della riservatezza. Il Dpo. È una funzione che ha compiti consultivi, di assistenza e di vigilanza del rispetto della disciplina del regolamento Ue sulla privacy.

Può essere contattato direttamente dagli interessati e dal garante della privacy. Nomina obbligatoria. In alcuni casi la nomina del Dpo è obbligatoria. In sintesi si tratta tutti gli enti pubblici e dei soggetti privati che effettuano monitoraggio delle persone su larga scala oppure trattano dati sensibili su larga scala. Il problema è l’assoluta vaghezza e indeterminatezza del regolamento Ue, che non definisce il concetto di larga scala e gli altri requisiti valutativi della norma specifica (articolo 37).

Le linee guida in commento offrono qualche spunto in più, ma non è ancora sufficiente. Se ne rende conto lo stesso gruppo di lavoro art. 29 che rinvia a ulteriori precisazioni ed esemplificazioni. Vediamo, comunque, le prime indicazioni del documento.

Privati.

Le Linee guida danno alcuni indici generali per individuare i requisito della larga scala: numero degli interessati; volume dei dati e tipi di dati trattati, durata del trattamento, ambito geografico dell’attività.

Le linee guida forniscono anche alcuni esempi di trattamenti su larga scala: gli ospedali, i sistemi di traporto pubblico, geo-localizzazione dei clienti di una catena commerciale internazionale, le compagnie di assicurazione, le banche, i fornitori di servizi di telecomunicazioni, i motori di ricerca per trattamenti di dati per pubblicità mirata al comportamento delle persone.

Le linee guida fanno anche alcuni esempi in cui non c’è la larga scala. Il primo esempio è quello del trattamento di dati dei pazienti da parte di un singolo medico; il secondo caso è quello del trattamento di dati relativi a condanne e violazioni penali da parte di un singolo avvocato.

Enti pubblici.

Tutti gli enti pubblici, tranne gli organi giudiziari, devono nominare il Dpo: i ministeri come le università, i comuni come le regioni. Le linee guida, sul punto della individuazione degli enti pubblici, rinviano alle leggi nazionali.

Poi aggiungono che ci sono enti, diversi dagli enti pubblici istituzionali, cui si applica diritto pubblico, e che operano per il pubblico interesse. Per esempio le public companies nel settore dei servizi pubblici (energia, ambiente ecc.). Per questi enti la nomina del Dpo non è obbligatoria, ma è consigliata come buona pratica.

Competenza.

Le linee guida delineano l’identikit del Dpo. Ci sono, del resto, forti aspettative nel mercato della consulenza sulla privacy. E bisogna individuare bene i soggetti idonei. È importante, sostengono le linee guida, che i Dpo abbiano competenza sulla normativa nazionale ed europea e sulle prassi relative alla materia della protezione di dati. Le linee guida aggiungono la necessità di una profonda conoscenza del regolamento europeo.

È utile anche prevedere programmi di aggiornamento continuo. A queste competenze sulla normativa specifica della privacy è utile aggiungere la conoscenza del settore commerciale del titolare del trattamento.

Il Dpo dovrebbe avere sufficiente conoscenza delle operazioni di trattamento, e altrettanta sufficiente conoscenza del sistema informativo, della sicurezza de dati e delle esigenza di protezione dei dati. Nel caso di ente pubblico, il Dpo dovrebbe avere una solida conoscenza dell’ordinamento e dell’organizzazione delle pubbliche amministrazioni.

Potrebbe interessarti anche...

Notizie dal Blog

Eventi, Normative, Novità e Consigli dei Nostri esperti

I diritti dell’interessato nella nuova informativa alla luce della nuova disciplina comunitaria
Protezione dei dati

I diritti dell’interessato nella nuova informativa alla luce della nuova disciplina comunitaria

Necessario è l'adeguamento alla nuova Normativa
La privacy non esiste

Necessario è l'adeguamento alla nuova Normativa

Consulenza e controllo assimilabile all’Organismo di vigilanza ex 231/01
Il DPO nelle P.A.

Consulenza e controllo assimilabile all’Organismo di vigilanza ex 231/01

Il working party 29 ne chiarisce i termini
Devo nominare un DPO?

Il working party 29 ne chiarisce i termini

Strumento di contrasto agli attentati terroristici
La protezione dei dati

Strumento di contrasto agli attentati terroristici

Come “blindare” il sistema informativo e garantire un corretto trattamento dei dati dei correntisti.
Banche: clienti più sicuri con il tracciamento delle operazioni

Come “blindare” il sistema informativo e garantire un corretto trattamento dei dati dei correntisti.

Le regole del garante per rispettare la privacy dei cittadini e dei dipendenti
La PA su Internet

Le regole del garante per rispettare la privacy dei cittadini e dei dipendenti

Tutto quello che l'albergatore deve sapere
Le regole Privacy per gli hotels

Tutto quello che l'albergatore deve sapere

Il regolamento, integrato dal documento, non dovrà essere così sottoposto nuovamente al parere del Garante.
Giustizia: il Garante privacy fissa le regole per la mediazione civile

Il regolamento, integrato dal documento, non dovrà essere così sottoposto nuovamente al parere del Garante.

E' stato consentito di conservare per novanta giorni le immagini registrate
Videosorveglianza e tutela aziendale

E' stato consentito di conservare per novanta giorni le immagini registrate

Rivolto a coloro che svolgono indagini sulla qualità dei servizi offerti ai cittadini
Linee guida del Garante per gli organismi sanitari

Rivolto a coloro che svolgono indagini sulla qualità dei servizi offerti ai cittadini

In data 23 Giugno 2011 ha presentato presso la sala della Lupa la relazione sul 14° anno di attività
Relazione 2011 del Garante Privacy

In data 23 Giugno 2011 ha presentato presso la sala della Lupa la relazione sul 14° anno di attività

contatto_banner.jpg

Subito in regola in due mosse...

Prendi appuntamento con un consulente SAEV direttamente presso la tua Azienda e verifica senza impegno il Tuo stato di adeguamento, oppure richiedi subito uno dei Corsi di Formazione SAEV per essere subito operativo.

Saev al Tuo fianco

Scopri tutti i Servizi Saev

I nostri consulenti sapranno seguirti in tutte le fasi dell'adeguamento e della formazione.

Orgogliosi di aver contribuito alla loro impresa

Clienti in regola. E soddisfatti.

Inoxa Logo
Cremeria Rosa Logo
Fondazione Pergolesi Spontini Logo
Elica Logo
Defendi Logo
Schiavoni Logo
Talevi Logo
ristopro Logo
Copyright © 2018 Saev. Tutti i diritti riservati. - Saev SRL - Viale Don Minzoni, 3/f 60035 Jesi (AN) IT - P.IVA 02478240423 - REA: AN - 190683
Web Marketing e Sviluppo Portale Aziendale by Crealia - Strategie Integrate Online e Offline