Criteri per definire l'obbligo del DPO in ambito privato.
Il GDPR nasce con l’obiettivo di tutelare i dati personali delle persone fisiche che nel Regolamento vengono definite “Interessati del trattamento”. Il Regolamento conferisce agli Interessati una serie di diritti e garanzie, alcuni dei quali sono stati mantenuti dalla precedente normativa, mentre altri sono stati introdotti ex novo. I nuovi diritti e le garanzie introdotte dal GDPR sono il diritto:
- a essere informati - di sapere chi e come si trattano i suoi dati personali - di accedere ai propri dati personali - alla rettifica dei propri dati - di revoca - di opporsi al trattamento - alla cancellazione - all’oblio - di cancellare informazioni rese pubbliche - alla portabilità dei dati.
Si definisce con questo appellativo la persona fisica o giuridica, l’autorità pubblica, il servizio o l’organismo, che tratta i dati personali per conto del Titolare del trattamento.
Questa figura ha il compito di mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR e a garantire la tutela dei diritti dell’interessato. È per questo che i trattamenti messi in atto dal Responsabile sono tassativamente disciplinati da un contratto (o altro atto giuridico) che lo vincoli al Titolare. Devono essere determinati contrattualmente: - la materia disciplinata - la durata del trattamento - la natura e le finalità del trattamento - il tipo di dati personali e le categorie di interessati -gli obblighi e i diritti del Titolare e del Responsabile.
Qualora non vengano ottemperati gli obblighi sanciti dal GDPR si può incorrere in sanzioni amministrative e in sanzioni penali. Le sanzioni amministrative più alte arrivano fino a 20 milioni di euro o al 4% del fatturato globale annuo e si applicano a: violazioni dei principi del trattamento, incluse le condizioni per il consenso; violazioni dei diritti degli Interessati e inosservanza delle norme in tema di trasferimento internazionale dei dati.
Le sanzioni amministrative più basse arrivano fino a 10 milioni di euro o al 2% del fatturato globale annuo e si applicano alla violazione delle obbligazioni di Titolari e Responsabili, in particolare la mancata nomina del DPO se necessaria.
Le sanzioni penali, decretate dal legislatore italiano, riguardano invece:
il trattamento illecito di dati personali; l’acquisizione fraudolenta, la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala; le false dichiarazioni rese al Garante; l’inosservanza dei provvedimenti del Garante.
Il Titolare del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati. Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. I dipendenti che trattano i dati personali all’interno dell'organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione.
Il DPO, Data Protection Officer - in italiano RPD, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal GDPR e che ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo.
Il DPO è quindi un consulente tecnico e legale, con potere esecutivo. Infatti, il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità. I suoi compiti sono indicati in maniera puntuale nel GDPR all’articolo 39 e sono essenzialmente tre: informare, sorvegliare e cooperare.
L’art. 82, comma 1, del Regolamento, stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento“.
Tuttavia, mentre il titolare deve risarcire qualsiasi danno cagionato dal suo trattamento in violazione del Regolamento, il responsabile del trattamento risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare. Da tali norme si evince che i soggetti tenuti al risarcimento del danno sono il titolare del trattamento ed il responsabile incaricato.
Soggetti interessati alla nomina del DPO
I casi in cui è d'obbligo, consigliato, opportuno o non necessario.
L’art. 37 GDPR richiede la nomina del RPD quando le attività principali del titolare o Responsabile del trattamento incorrono in uno dei seguenti criteri:
a) Trattamento dei dati da autorità o organismo pubblico. Se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico, con l’eccezione delle autorità giudiziarie nell’esercizio delle funzioni giurisdizionali.
b) Trattamento dei dati con monitoraggio dei dati su larga scala. Se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala.
c) Trattamento su larga scala di categorie di dati particolari. Se le attività principali del titolare o Responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 (dati sanitari, biometrici [...]) o di dati relativi a condanne penali e a reati di cui all'articolo 10.
In base all’articolo 37, paragrafo 1, lettere b) e c) del RGPD, occorre che il trattamento di dati personali avvenga su ‘larga scala’ per far scattare l’obbligo di nomina di un RPD. E’ chiaro che il concetto di ‘larga scala’, è generico e privo di riferimento numerico o comunque oggettivo. Tali trattamenti devono intendersi come quelli che “mirano al trattamento di una notevole quantità di dati personali a livello provinciale, regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.
Espressamente è precisato che “Il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”.
Si deve, in ogni caso, tener conto dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala:
- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
- la durata, ovvero la persistenza, dell’attività di trattamento;
- la portata geografica dell’attività di trattamento.
Rientrano in casi di trattamento su larga scala (si riportano gli esempi richiamati nelle citate Linee guida):
- trattamento di dati relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività;
- trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
- trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ad esempio ai clienti di una catena di fast food;
- trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
- trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
- trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
Rientrano nel concetto di “Monitoraggio regolare e sistematico” tutte le forme di tracciamento e profilazione su Internet anche per finalità di pubblicità comportamentale. E’ stato, infatti, chiarito che per stabilire se un’attività di trattamento sia assimilabile al controllo del comportamento dell’interessato, è opportuno verificare se le persone fisiche sono tracciate su internet, compreso l’eventuale ricorso successivo a tecniche di trattamento dei dati personali che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali. Tuttavia, occorre evidenziare che il tracciamento on line è solo uno dei possibili casi di monitoraggio. (Un altro caso comune di tracciamento è la videosorveglianza)
L’aggettivo “sistematico” ha almeno uno dei seguenti significati: che avviene per sistema; predeterminato, organizzato o metodico; che ha luogo nell’ambito di un progetto complessivo di raccolta di dati; svolto nell’ambito di una strategia. Se le attività principali del titolare o del responsabile consistono nel trattamento su larga scala di categorie particolari di dati (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni filosofiche o religiose, o l’appartenenza sindacale, oltre al trattamento di dati genetici, dati biometrici al fine dell’identificazione univoca di una persona fisica, e di dati relativi alla salute, alla vita sessuale o all’orientamento sessuale di una persona fisica) o di dati personali relativi a condanne penali e reati.
L’aggettivo “regolare” ha almeno uno dei seguenti significati: che avviene in modo continuo ovvero a intervalli definiti per un arco di tempo definito; ricorrente o ripetuto a intervalli costanti; che avviene in modo costante o a intervalli periodici.
Stante la caratteristiche degli intermediari sopra descritti, si può certamente ritenere che i soggetti iscritti alle sezioni C e E, stante la tipologia della loro intermediazione limitata ad un numero di casi modesto, non eseguano certamente trattamenti su larga scala e, pertanto, non abbiano l’obbligo della nomina del DPO.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Etiam iaculis dolor sed mauris sodales laoreet. Integer malesuada leo at mauris dictum tempor vel rhoncus felis. Aenean vitae convallis tortor. Donec et ipsum dui. Quisque imperdiet erat et tincidunt dignissim. Sed ut ante lectus. Aenean nec dolor consectetur, sodales metus a, ultrices mi.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Etiam iaculis dolor sed mauris sodales laoreet. Integer malesuada leo at mauris dictum tempor vel rhoncus felis. Aenean vitae convallis tortor. Donec et ipsum dui. Quisque imperdiet erat et tincidunt dignissim. Sed ut ante lectus. Aenean nec dolor consectetur, sodales metus a, ultrices mi.
Imprese assicurative - Scopri di più >
Caf e patronati - Scopri di più >
Istituti di vigilanza - Scopri di più >
Società che forniscono servizi informatici - Scopri di più >
Società di informazioni commerciali e marketing - Scopri di più >
Studi associati (Medici, Avvocati, Elaborazioni paghe...)
- Scopri di più > - Listino Prezzi dei servizi >
Società di call center - Scopri di più >
Ospedali privati - Scopri di più >
Laboratori di analisi mediche - Scopri di più >
Centri di riabilitazione - Scopri di più >
Strutture termali - Scopri di più >
Casa di cura privata -Scopri di più >
Residenza Sanitaria Assistenziale (RSA) - Residenza Socioassistenziale per Anziani - (RSSA)
Scopri di più >
Supermarket, discount, outlet... - Scopri di più >
Enti e imprese terzo settore - Scopri di più >
Associazioni sportive - Scopri di più >
Piccole attività: ristoranti, bar, centri estetici, officine meccaniche... - Scopri di più >
Agenzie funebri - Scopri di più >
La nomina del DPO deve essere valutata dal titolare o dal Responsabile del trattamento (col supporto del Consulente Privacy) in base alle condizioni dettate dal GDPR, dalle indicazioni del WP29 e dalle indicazioni del Garante.
Il Titolare del trattamento è l'azienda, nella persona del rappresentante legale, il Responsabile del trattamento è l'azienda, nella persona del rappresentante legale, che tratta dati personali per conto di un Titolare del trattamento.
La valutazione della nomina del DPO effettuata dal Titolare o Responsabile del Trattamento dei dati deve essere documentata con le motivazioni e criteri adottati inerenti alla decisione presa.
In occasione di controlli il Titolare e il Responsabile del trattamento devono dimostrare, con evidenze documentali, che hanno effettuato la valutazione sia che abbiano nominato il DPO e sia che non lo abbiano nominato e perché.
Per medie attività e aziende Il Garante Privacy italiano consiglia che, nel dubbio della valutazione, la nomina del DPO sia sempre “opportuna”, in quanto meglio garantisce la conformità aziendale alla normativa.
La violazione degli obblighi previsti (nomina del DPO) dagli artt. 37, 38 e 39 del Regolamento comporta, ai sensi dell’art. 83, comma 4, una sanzione amministrativa fino al 2% del fatturato totale annuo dell’esercizio precedente.
Liberi professionisti operanti in forma individuale (Avvocato, Ingegnere, Architetto, Commercialista).
Scopri di più > - Listino prezzi dei servizi >
Imprese individuali o familiari.
Agenti, rappresentanti e mediatori non operanti su larga scala.
Piccole e medie imprese, con riferimento ai trattamenti dei dati di fornitori e dipendenti. Se invece la PMI ha come funzionale al “core business” un’attività di Marketing (email, call center, ecc.), deve nominare il DPO.
© Copyright 2020 - Tutti i diritti riservati - Clustertech.it - P. IVA 03076050925