Istituti di Vigilanza e DPO

Obbligo di nomina del RPD/DPO.

Gli Istituti di vigilanza hanno l'obbligo del GDPR e la nomina del DPO come confermato dal Garante della Privacy. FAQ Garante 2018 > - Il titolare risponde in solido in caso di sanzioni.

Le figure della Privacy

L’Interessato, il Titolare o i Contitolari, il Responsabile e il Data Protection Officer (DPO). Diritti e responsabilità dei soggetti.

L'interessato

Il GDPR nasce con l’obiettivo di tutelare i dati personali delle persone fisiche che nel Regolamento vengono definite “Interessati del trattamento”. Il Regolamento conferisce agli Interessati una serie di diritti e garanzie, alcuni dei quali sono stati mantenuti dalla precedente normativa, mentre altri sono stati introdotti ex novo. I nuovi diritti e le garanzie introdotte dal GDPR sono il diritto:
- a essere informati - di sapere chi e come si trattano i suoi dati personali - di accedere ai propri dati personali - alla rettifica dei propri dati - di revoca - di opporsi al trattamento - alla cancellazione - all’oblio - di cancellare informazioni rese pubbliche - alla portabilità dei dati.

Il Responsabile

Si definisce con questo appellativo la persona fisica o giuridica, l’autorità pubblica, il servizio o l’organismo, che tratta i dati personali per conto del Titolare del trattamento
Questa figura ha il compito di mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR e a garantire la tutela dei diritti dell’interessato. È per questo che i trattamenti messi in atto dal Responsabile sono tassativamente disciplinati da un contratto (o altro atto giuridico) che lo vincoli al Titolare. Devono essere determinati contrattualmente: - la materia disciplinata - la durata del trattamento - la natura e le finalità del trattamento - il tipo di dati personali e le categorie di interessati -gli obblighi e i diritti del Titolare e del Responsabile.

Sanzioni amministrative e penali

Qualora non vengano ottemperati gli obblighi sanciti dal GDPR si può incorrere in sanzioni amministrative e in sanzioni penali. Le sanzioni amministrative più alte arrivano fino a 20 milioni di euro o al 4% del fatturato globale annuo e si applicano a: violazioni dei principi del trattamento, incluse le condizioni per il consenso; violazioni dei diritti degli Interessati e inosservanza delle norme in tema di trasferimento internazionale dei dati.
Le sanzioni amministrative più basse arrivano fino a 10 milioni di euro o al 2% del fatturato globale annuo e si applicano alla violazione delle obbligazioni di Titolari e Responsabili, in particolare la mancata nomina del DPO se necessaria.
Le sanzioni penali, decretate dal legislatore italiano, riguardano invece:
il trattamento illecito di dati personali; l’acquisizione fraudolenta, la comunicazione e la diffusione illecita di dati personali oggetto di trattamento su larga scala; le false dichiarazioni rese al Garante; l’inosservanza dei provvedimenti del Garante.

Il Titolare

Il Titolare del trattamento è "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali" (art. 4. par. 1, n. 7 GDPR). In sostanza il titolare è colui che tratta i dati senza ricevere istruzioni da altri, colui che decide "perché" e "come" devono essere trattati i dati. Il titolare del trattamento stabilisce le finalità e le modalità del trattamento dei dati personali. I dipendenti che trattano i dati personali all’interno dell'organizzazione lo fanno per adempiere ai compiti di titolare del trattamento della tua azienda/organizzazione.

Il DPO / RPD

Il DPO, Data Protection Officer - in italiano RPD, Responsabile della Protezione dei Dati – è la nuova figura introdotta dal GDPR e che ha la funzione di affiancare titolare, addetti e responsabili del trattamento affinché conservino i dati e gestiscano i rischi seguendo i princìpi e le indicazioni del Regolamento europeo.
Il DPO è quindi un consulente tecnico e legale, con potere esecutivo. Infatti, il suo ruolo è doppio, perché non solo consiglia e sorveglia, ma funge anche da tramite fra l’organizzazione e l’autorità. I suoi compiti sono indicati in maniera puntuale nel GDPR all’articolo 39 e sono essenzialmente tre: informare, sorvegliare e cooperare.

Chi ne risponde

L’art. 82, comma 1, del Regolamento, stabilisce che “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento“.
Tuttavia, mentre il titolare deve risarcire qualsiasi danno cagionato dal suo trattamento in violazione del Regolamento, il responsabile del trattamento risponde solo se non ha adempiuto agli obblighi a lui specificatamente diretti o ha agito in modo difforme o contrario alle istruzioni del titolare. Da tali norme si evince che i soggetti tenuti al risarcimento del danno sono il titolare del trattamento ed il responsabile incaricato.

Riferimenti all'obbligo RPD/DPO

Chiarimenti dagli Organi europei e dal Garante della Privacy Italia in merito al RPD/DPO.
 Il DPO (Data Processor Officer) è equivalente in Italia al RPD (Responsabile Protezione Dati)

Comitato UE della protezione dei dati

L’attività della società di vigilanza privata svolge la sorveglianza di un certo numero di centri commerciali, aree e strutture private e spazi pubblici. La sorveglianza, si specifica in questo caso, è l'attività principale della società che, a sua volta è “legata in modo inscindibile al trattamento dei dati personali. Pertanto, questa società deve designare un DPO”. La terminologia utilizzata laddove viene specificato che la sorveglianza è “legata in modo inscindibile a al trattamento dei dati personali” ( Linee Guida paragrafo 2.1.2), non può che essere il punto di partenza non solo quanto alla nomina di un “Responsabile della protezione dei dati” ma anche quanto all’esigenza di far chiarezza, nell’ambito dello specifico settore, in ordine all’applicazione del GDPR per mettere in luce criticità ed opportunità, così da predisporre un “adeguato” programma di compliance specifico per il settore, anche alla luce del sistema sanzionatorio previsto.

Garante Privacy Italia

"Sono tenuti alla nomina del DPO, a titolo esemplificativo: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione e/o diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento”.
Garante della Privacy - FAQ del 26/03/2018.

Servizio DPO

Il servizio DPO viene attivato dall'azienda tramite nomina sul sito del Garante della Privacy. https://www.garanteprivacy.it/regolamentoue/rpd.
Deve inoltre essere inserito nella Privacy Policy con la mail di contatto e segnalato sul sito web aziendale. 

Data della nomina

Entro il 25 maggio 2018 per le aziende già attive alla data. Per le aziende con inizio attività dopo il 25 maggio 2018, la nomina del RPD/DPO è obbligatoria prima dell'entrata in attività dell'azienda.

Relazione del Titolare

La relazione del titolare del trattamento in merito alla nomina del DPO non è necessaria in quanto il settore è già stato identificato e inserito nella lista dei settori obbligati alla nomina del DPO.

Sanzioni

La mancanza della nomina del DPO, per le aziende dei settori in obbligo, viene sanzionata, in caso di verifiche, con l'importo pari al 2% del fatturato annuo dell'esercizio precedente.

La conformità al GDPR

Come essere conformi alla normativa e non incorrere in sanzioni amministrative e penali.  

1 - Elaborare il GDPR aziendale

Il Documento GDPR di conformità aziendale consiste nella elaborazione e stampa dei seguenti argomenti:

1 - Registro delle Attività di Trattamento del Titolare
2 - Inventario assets aziendali
3 - Configurazione informative e consensi
4 - Documento valutazione impatto
5 - Valutazione dei rischi
6 - Misure di minimizzazione dei rischi
7 - Gestione e nomina dei soggetti autorizzati
8 - Gestione e nomina dei Responsabili
9 - Gestione della violazione dei dati

2 - Redigere le Policy aziendali

Sono documenti e regolamenti recanti le disposizioni al personale e altri soggetti in merito alla privacy.

1 - Organizzazione aziendale Privacy
2 - Regolamento Utilizzo Sistemi ICT
3 - Data Breach
4 - Disaster recovery
5 - Business continuity
6 - Cyber Security
7 - Backup e Retention
8 - Attivazione utenze (User Access Life-cycle Management)
9 - Amministratore di sistema

3 - Nominare il DPO

Il DPO viene incaricato tramite documento di nomina. Ha il ruolo di Consulente e controllore. Le principali attività:

1 - Consulenza e supporto al Titolare
2 - Supporto al personale aziendale
3 - Supporto all'elaborazione del Documento di impatto
4 - Supporto al definizione dei trattamenti
5 - Consulenza in caso di eventi con criticità
6 - Audit periodici per la verifica della conformità
7 - Audit periodici sull'applicazione delle Policy aziendali
8 - Relazione annuale sulle attività e conformità aziendale
9 - Supporto al Titolare in caso di Ispezioni

Intervista sulla Privacy

Interessante intervista al Comandante del Gruppo Privacy (GdF) Colonnello Marco Menegazzo. 

Il Comandante del Gruppo Privacy rilascia una breve intervista riguardo al Regolamento GDPR e agli interventi in merito del Gruppo Privacy.

Il Regolamento europeo GDPR sulla Privacy

A chi è rivolto

La conformità al GDPR

Ispezioni e sanzioni

Prezzi dei servizi

Modalità di acquisto >      Modalità del servizio >    Condizioni di fornitura >

CONSULENZA GDRP

Piccola attività  Note >

  • Sedi aziendali: 1 - Dipendenti: fino a 5
  • Collaboratori e consulenti: fino a 3
  • Risorse (PC, server, cellulari...): fino a 8
  • Sito web - Impianto Videosorveglianza  
  • Supporto onsite e consulenza per 1 mese
  • GDPR digitale editabile e cartaceo
350
una tantum

CONSULENZA GDRP

Media attività  Note >

  • Sedi aziendali: 1 - Dipendenti: fino a 20
  • Collaboratori e consulenti: fino a 8
  • Risorse (PC, server, cellulari...): fino a 30
  • Sito web - Impianto Videosorveglianza
  • Supporto onsite e consulenza per 1 mese
  • GDPR digitale editabile e cartaceo
490
una tantum

FORMAZIONE GDRP

Corsi di formazione

  • Direzione aziendale:  Più informazioni > 
  • In presenza, durata 4 ore: 120 €
  • Dipendenti:  Più informazioni >
  • In presenza, durata 4 ore: 120 € 
  • Videoconferenza, 2 moduli da 2 ore: 120 €
  • Attestato di frequenza per i partecipanti
120
una tantum

SERVIZIO DPO

Servizi e attività

  • Consulenza e supporto al Titolare
  • n° 2 Audit periodici verifica conformità
  • n° 1 Audit sull'applicazione delle Policy
  • Relazione annuale sulle attività privacy
  • Supporto al Titolare in caso eventi critici
  • Supporto al Titolare in caso di Ispezioni
650
annuale

© Copyright 2020 - Tutti i diritti riservati - Clustertech.it - P. IVA 03076050925

Il sito usa solo cookies necessari che non richiedono consenso. Leggi la nostra Privacy policy.