giovedì, 28 marzo 2024

W la Privacy

W la Privacy

Niente Dpo nelle piccole strutture: possono bastare collaboratori ben istruiti

23/08/2018

MILANO - Chi deve nominare il Dpo, ovvero il responsabile della protezione dei dati? Si tratta di una nuova figura che il regolamento europeo ha previsto obbligatoria per gli enti pubblici e per coloro che trattano dati particolari su larga scala o svolgono trattamenti che, per loro natura, richiedono un monitoraggio continuo e un’attenzione particolare. È, tuttavia, un profilo consigliabile a tutte le aziende che, per dimensione, o per tipologia di trattamento, necessitano di una figura che possa concretamente verificare la tenuta delle misure di sicurezza, degli adempimenti posti in essere e dell’attenzione che, all’interno dell’azienda, viene posta sulla privacy.

Per gli studi professionali di piccole o medie dimensioni non sarà necessaria tale nomina, che apparirebbe sproporzionata rispetto alle tipologie e alla quantità di trattamenti e di dati trattati. Tuttavia, è bene ricordare che difficilmente il titolare potrà svolgere in assoluta autonomia tutti i trattamenti.

Spesso, infatti, si avvarrà di apporti che potranno spaziare dall’aiuto di una o più risorsa di segreteria a quello di uno o più collaboratori. In questi casi è necessario che quelle persone vengano adeguatamente istruite riguardo all’utilizzo delle informazioni trattate, alle finalità che attengono il trattamento e a tutto quanto previsto nel registro dei trattamenti.

Rispetto al codice privacy, che il 25 maggio scorso ha ceduto il passo al regolamento, ora non sono più previste le figure degli “incaricati” e dei “responsabili interni”, ma con la nuova normativa resta di fatto valida la motivazione di responsabilizzare tutti coloro che intervengono all’interno del medesimo trattamento fatto da un titolare e quindi sarà opportuno distribuire regole diversificate per la tipologia di trattamento. Il regolamento non precisa se queste istruzioni debbano essere impartite per iscritto o meno, ma alla luce del principio di responsabilizzazione (accountability) che è il cuore della nuova normativa, sarà bene che il titolare lasci traccia di tale passaggio e, dunque, sarà preferibile che le indicazioni ai collaboratori siano scritte.

Appare inoltre consigliabile che il titolare individui una figura all’interno che lo possa coadiuvare nelle attività collegate a un corretto trattamento delle informazioni e a un concreto adeguamento al regolamento, una figura con cui condividere la conoscenza della materia e delle sue evoluzioni, che saranno frequenti perché si dovrà tener conto sia delle indicazioni e delle istruzioni che il Garante presumibilmente darà sui diversi temi e della giurisprudenza che aiuterà a meglio interpretare la norma europea.

Ciò che è importante mettere a fuoco è che l’adeguamento non è un fatto eccezionale che, una volta affrontato, lo si possa lasciare alle spalle, ma è piuttosto un continuo e dinamico controllo per verificare costantemente che siano rispettate le misure di attenzione e di sicurezza previste, oltre che monitorare il rispetto dei tempi di conservazione e quindi di successiva cancellazione dei dati.

Articolo a cura di Nicola Bernardi, presidente di Federprivacy


maggiori informazioni su:
www.federprivacy.it



Tutte le news

Privacy e Videosorveglianza

Preparazione alla Certificazione

Ethos Academy

Corsi in programmazione riconosciuti per il mantenimento e la preparazione alla certificazione TÜV Italia

Webinar
La Norma CEI 64-8

Cybersecurity

Webinar

Ethos Academy

La cybersicurezza dei sistemi di videosorveglianza
Corso riconosciuto da TÜV Italia