ADDIO BOLLETTE DA 28 GIORNI. SI RITORNA ALLA FATTURAZIONE MENSILE – RISARCIMENTI PER GLI UTENTI
22 Dicembre 2017TITOLARE E RESPONSABILE DEI DATI: NON E’ CONSENTITO LO “SCARICABARILE”
29 Gennaio 2018[column width=”1/1″ last=”true” title=”” title_type=”single” animation=”none” implicit=”true”]
IL GDPR PREVEDE L’OBBLIGO DI NOMINARE IL D.P.O. (Data Protection Officer)
MA LA MIA AZIENDA LO DEVE NOMINARE DAVVERO???
Come sappiamo il 25 maggio 2018 diventa applicabile anche in Italia, come in tutto il resto della U.E., il Regolamento Europeo n. 679/2018 che, tra le altre cose, istituisce (art. 37) l’obbligo di nominare una nuova figura: quella del D.P.O. (Data Protection Officer). Tradotto in italiano è pari all’acronimo R.P.D. (Responsabile Protezione Dati).
Chi è questa figura e cosa fa? La dobbiamo nominare?
Se tratto dati sanitari dei miei clienti, se ho fatto un’app per gli smartphone che riceve dati di geolocalizzazione, se sono una società di vigilanza che fa uso di video sorveglianza, se curo la domotica dei miei clienti, forse sì. Le sanzioni del Regolamento arrivano fino 10 milioni di euro (o al 4% del fatturato mondiale annuo).
Vuoi saperne di più?
Continua con la lettura dell’articolo…
Avv. Francesco Cucci
Dicevamo del D.P.O.
Cosa fa il D.P.O.?
Il D.P.O. deve:
a) informare e fornire consulenza al titolare o al responsabile del trattamento, nonché ai dipendenti degli stessi in merito agli obblighi derivanti dal regolamento
b) sorvegliare l’osservanza del regolamento e delle varie disposizioni statali o comunitarie sulla proiezione dei dati nonché delle politiche aziendali sulla tutela dei dati, compresi la ripartizione delle responsabilità, la formazione del personale, ecc.
c) fornire, eventualmente, un parere in merito alla valutazione dell’impatto che il concreto trattamento dei dati può produrre
d) cooperare con il garante
e) fungere da punto diretto di contatto con il garante.
Non poco, a ben vedere!
L’obbligo
di nominare il D.P.O. (o R.P.D.), per gli operatori privati (quindi non per le autorità pubbliche, le quali hanno sempre l’obbligo di nomina), nasce se le attività principali di trattamento dei dati:
– richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
– consistono in trattamento su larga scala di particolari dati personali (art. 9) che potremmo definire, con la vecchia terminologia, “sensibili”.
A questo punto, sorge la domanda: la mia azienda, la mia attività professionale, ricade in tale casistica?
Devo nominare il D.P.O.?
Cerchiamo di capire.
Innanzitutto:
cosa si intende per “attività principale” di un’azienda in riferimento al trattamento dati?
Una clinica privata che eroga prestazioni sanitarie, non tratta dati come prima attività, come invece, potrebbe fare una società di elaborazione dati. E’ evidente, tuttavia, che per una corretta prestazione medico-sanitaria la clinica privata non potrà fare a meno di registrare e trattare una imponente serie di informazioni dei suoi pazienti, che, proprio perché imprescindibile rispetto alla scelta delle attività sanitarie da erogare, rientrerà nelle sue attività principali.
Altrettanto dicasi, ad esempio, di un’impresa di sicurezza privata, che sia incaricata di sorvegliare più centri commerciali ed aree pubbliche. L’attività principale erogata, in realtà, non è il trattamento del dato, ma la prevenzione dei crimini a danno dei clienti, ma i dati raccolti e trattati nella sorveglianza sono inscindibili dall’attività di sicurezza e vigilanza, rientrando nell’attività principale.
Cosa significa “larga scala”?
Il regolamento non ne fornisce una definizione né criteri di riferimento.
Il Gruppo di Lavoro Articolo 29 (istituito, appunto, dall’Art. 29 della Direttiva Europea n. 45/96), indica alcuni criteri da tenere in considerazione per valutare se il trattamento dei dati sia fatto “su larga scala”, tra i quali:
- il numero di soggetti interessati dal trattamento in rapporto percentuale alla popolazione di riferimento
- il volume dei dati
- in numero di tipologie di dati
- la durata del trattamento
- la portata geografica.
Ad esempio, devono considerarsi trattamenti su larga scala, quelli aventi ad oggetto:
- i dati dei propri pazienti da parte di un ospedale
- gli spostamenti degli utenti del servizio di trasporto
- la geolocalizzazione raccolta per finalità statistiche (si pensi a certe “app” o a certe tessere socio rilasciate da vari store)
- la clientela di una compagnia assicurativa o di una banca.
Cosa significa monitoraggio regolare e sistematico degli interessati?
Per il Gruppo di Lavoro “Articolo 29” si tratta del monitoraggio collegabile a questo tipo di attività:
- curare il funzionamento di una rete telefonica;
- il reindirizzamento di messaggi di posta elettronica (si pensi quante volte si usano i c.d. “filtri” di posta per “inoltrare” i messaggi in arrivo su altri indirizzi)
- monitoraggio di dati relativi allo stato di benessere psicofisico, alla forma fisica e alla salute attraverso dispositivi indossabili o software di training collegati a credenziali (palestre, impianti sportivi, ecc.)
- utilizzo di telecamere a circuito chiuso (in ambiti aperti ad un afflusso rilevante di persone)
- dispositivi connessi, quali contatori intelligenti, automobili intelligenti, dispositivi per la domotica (pass, badge, geolocalizzatori, centraline antifurto connesse a servizi esterni, ecc.)
I dubbi sono legittimi.
Il consiglio, comunque, è di effettuare in ogni caso sulla propria azienda un’attività di analisi e valutazione sotto questo specifico profilo, con l’avvertenza di predisporsi per poterne documentare in futuro l’effettivo svolgimento, a giustificazione della scelta eventualmente di non nominarlo, e questo in base al principio di responsabilizzazione introdotto dal Regolamento (c.d. accountability).
Avv. Francesco Cucci
Se sei un’azienda o un professionista e necessiti di una consulenza, contattami ai recapiti che trovi sul sito.
[/column]