Privacy – Linee guida per i responsabili della protezione dei dati (RPD/DPO) – Prima sintesi
CircolariA distanza di diciannove anni dall’entrata in vigore della prima legge italiana in materia di privacy (8 maggio 1997), lo scorso 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679 che entrerà in vigore il prossimo 25 maggio 2018.
Il Nuovo Regolamento, che fa parte di un pacchetto di norme di protezione dati unitamente alla “Direttiva in materia di trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini”, promuove la tutela dei dati personali basata sulla responsabilizzazione dei titolari del trattamento dati (c.d. accountability).
La logica propria del Regolamento è, infatti, quella di procedere ad una messa a punto di processi interni alle aziende (per tutti coloro che trattano dati personali) che, partendo da una valutazione dei rischi sull’utilizzo dei dati stessi, possa mettere in atto sistemi di tutela ad hoc.
Diventerà, pertanto, obbligatorio, effettuare una valutazione di impatto preventiva (DPIA) laddove il trattamento dei dati ponga rischi per i diritti delle persone.
Molti dei principi della precedente normativa rimarranno validi anche con l’entrata in vigore del nuovo Regolamento (l’obbligo di informativa, il consenso dell’interessato, la distinzione tra dati personali e dati sensibili). Altri, invece, rappresentano delle novità o parzialmente tali (la denominazione degli attori – il titolare del trattamento, il responsabile del trattamento, i corresponsabili, il responsabile della protezione dati, il diritto all’oblio, il data breach, l’accountability).
Per alcune aziende sarà necessario dotarsi anche di un Responsabile della protezione dei dati (RPD)/Data Protection Officer (DPO), ossia di una figura specializzata che assicuri la corretta gestione delle informazioni.
Scompariranno alcuni oneri amministrativi, quali ad esempio quelli di notificazione anticipata di particolari trattamenti al Garante; in tal senso, si parla di una maggiore responsabilizzazione a fronte di una semplificazione.
Il nuovo Regolamento UE ridisegna, inasprendo, il sistema sanzionatorio; si passa da violazioni più leggere, con sanzioni fino a 10 milioni di euro, a quelle più gravi, che possono tradursi in multe fino al 4% del fatturato di gruppo.
Stante la carenza di precisi riferimenti per molti degli istituti descritti nel Regolamento e l’indeterminatezza di alcune regole e della loro attuazione, le disposizione regolamentari sono state oggetto di specifici interventi da parte dell’Autorità Garante che ha predisposto “Linee-Guida sui responsabili della protezione dei dati (RPD)” con relative FAQ che provvediamo ad allegare e che sono pubblicate, sul sito del Garante della Privacy.
Le Linee guida, come le precedenti concernenti le valutazioni di impatto sulla protezione dei dati (DPIA), sono opera del “Working Party 29” – Gruppo di Lavoro art. 29 in materia di protezione dei dati personali e offrono interessanti spunti per l’applicazione del nuovo Regolamento generale per la protezione dei dati personali (General Data Protection Regulation o GDPR) e per garantirne una corretta comprensione.
Le Linee Guida, cui si aggiungono anche le FAQ elaborate dal Garante, entrano nel merito di una delle principali novità del Regolamento, che sarà operativo dal 25 maggio 2018, ovvero la figura del Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO).
Il RPD o DPO è una figura di fondamentale importanza ai fini della responsabilizzazione (accountability) dei titolari del trattamento dati e per garantire un corretto adempimento alla normativa.
Il DPO rappresenta, infatti, un’interfaccia fra tutti i soggetti coinvolti nella gestione della privacy nell’impresa: autorità di controllo, interessati, reparti operativi all’interno delle aziende. Il Regolamento riconosce a tale figura un ruolo chiave nel nuovo sistema di “governance dei dati”.
È fondamentale rammentare che il DPO non risponde dell’inosservanza al Regolamento, di cui rimangono unici responsabili il titolare e il responsabile del trattamento stesso.
Le Linee guida entrano, poi, nel merito dei casi in cui è necessario nominare un DPO, di coloro cui spetta tale nomina, di quali sono le caratteristiche che deve avere la persona che ricopre tale ruolo, di come deve svolgersi tale ruolo, della posizione del DPO e dei suoi compiti.
Al fine di fornire ulteriori indicazioni sull’argomento provvediamo ad inviare anche una nota di commento redatta da ANCE che fornisce ulteriori chiarimenti elaborati in accordo con il Garante.
All.: 12_Linee-guida sui responsabili della protezione dei dati (RPD)