In occasione dell’Evento, organizzato da DIGITAL 360 Group a Milano lo scorso 19 Aprile, sono stati affrontati i temi che avevano sollevato non poche polemiche nei giorni scorsi.
Fonti: Agenda Digitale; Garante Prinvacy;
All’evento sono intervenuti autorevoli rappresentanti del Garante per la Protezione dei Dati Personali e del Cini – Consorzio Interuniversitario Nazionale dell’informatica.
Ecco la sintesi su alcune questioni di particolare interesse ai fini dell’applicazione in ambito aziendale, del nuovo regolamento europeo.
GDPR unico riferimento
A far data dal 25 maggio 2018, la legge riferimento sarà il GDPR.
Con il nuovo Dlgs, di cui il Governo sta discutendo la bozza per l’adeguamento della normativa nazionale alle disposizioni del presente regolamento, sarà abrogata la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Tale intervento è diretto essenzialmente a settori specifici di attività, quali ad esempio la sanità e la ricerca.
Il GDPR sarà comunque obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
La figura del Data Privacy Officer (DPO)
Con il nuovo regolmento europeo è stata delineata anche una nuova figura professionale, Data Privacy Officer – DPO, che sarà ritenuta obbligatoria solo in alcuni ambiti.
Dove tale figura sarà obbligatoria, questi potrà essere un consulente esterno all’azienda ma dovrà possedere i requisiti di professionalità, indipendenze e autonomia di spesa, diventando una sorta di auditor interno dei processi di trattamento dei dati personali.
Sarà anche il Soggetto che il Garante contatterà in caso debba acquisire informazioni o formulare contestazioni rivolte a chi tratta i dati personali in azienda.
Il DPO si configura essenzialmente come un esperto conoscitore dei processi e dei dati aziendali oltre che delle norme e tendenzialmente non è da identificarsi né in una figura di Avvocato né di un Informatico.
Certificazioni o codici di condotta dei DPO
Non esiste alcuna norma del GDPR che imponga di certificarsi o di aderire ad un codice di condotta anche perché non esiste ad oggi alcun organismo autorizzato dagli organi competenti a rilasciare certificazioni relativamente alla conformità del presente regolamento.
Le attestazioni delle competenze professionali raggiunte o della formazione eseguita possono essere utili per valutare un candidato, ma non rappresentano e non equivalgono a una “abilitazione” allo svolgimento del ruolo del DPO (né interni né esterni).
Oltre il 25 Maggio, quali sanzoni?
Il Garante privacy rimanda di sei mesi controlli e relative sanzioni.
Il Garante italiano si pone nella stessa scia del CNIL, l’Autorità garante francese, che ha dichiarato l’istituzione di un grace period durante il quale non sanzionerà le aziende che, a seguito di ispezioni, dovessero risultare inadempienti rispetto ai nuovi obblighi introdotti dal GDPR (purché i titolari siano in buona fede, dimostrino di avere avviato un processo di adeguamento e uno spirito di collaborazione con l’Autorità).
Resteranno sanzionabili le condotte che violano regole già consolidate da tempo nella normativa nazionale e confermati dal GDPR.
Non è definito il quadro sanzionatorio nel dettaglio per mantenere un grado di discrezionalità nell’applicazione.
Il Regolamento distingue le violazioni in due gruppi tali da corrispondere a illeciti più o meno gravi; l’art. 83 del GDPR prevede che “siano in ogni singolo caso effettive, proporzionate e dissuasive”.
Valutazione d’impatto
L’estensione e il contesto del trattamento, il numero di soggetti interessati e la natura dei dati oggetto di trattamento costituiscono fattori da tenere in debito conto nel determinare l’obbligatorietà della valutazione d’impatto.
Le nomine degli Autorizzati al trattamento (già Incaricati ex D.Lgs 196/2003) sono redatte sulla base delle caratteristiche e delle esigenze aziendali derivanti dalla valutazione d’impatto effettuata.