Meeting Hub Meeting Hub blog
dpo gdpr

DPO e GDPR: la legge sulla privacy

Stai leggendo il regolamento UE sulla privacy e non sai da dove cominciare per te e per la tua azienda? Ti stai chiedendo chi è il DPO? Segui i nostri consigli e scoprirai tutto ciò che ti serve.

Il GDPR è il regolamento generale sulla protezione dei dati (in inglese General Data Protection Regulation), regolamento (UE) n. 2016/679: è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy.

Un tentativo per rendere uniformi le normative degli Stati Membri in materia di privacy, uno sforzo per rafforzare la tutela dei dati personali, una serie di regole da rispettare per professionisti, aziende e persone fisiche.

Introduce una figura importante che è il Dpo, una opportunità di carriera ma anche un impegno per alcune aziende

In questo articolo ti spiego:

  • Chi è e di cosa si occupa il DPO
  • Cosa dice il GDPR
  • Cosa cambia con la nuova legge sulla privacy

DPO

icona utente con stelline intorno

DPO è una sigla che sta per Data Protection Officer, anche se molti la utilizzano come Data Privacy Officer.

Si tratta dell’innovazione più importante del regolamento UE Privacy. La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali all’interno di un’azienda affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali. Devono inoltre proteggere in ogni modo il dato.

Non tutte le aziende devono dotarsi di tale figura, ma solo quelle che hanno grandi dimensioni e le autorità pubbliche. Esistono poi determinate categorie di aziende che trattano dati particolarmente sensibili o dati in forma massiva. Vediamo più nello specifico.

DPO: Requisiti

Il DPO non deve avere effettuato studi particolari ma deve avere qualche competenza specifica soprattutto in ambito informatico.

Infatti deve conoscere sistemi informatici ma anche avere conoscenze base giuridiche ed economiche e buona professionalità e affidabilità.

Deve essere un problem solver abile e veloce nelle sue decisioni organizzative. Deve inoltre essere indipendente dall’amministrazione.

dpo

Cosa fa il DPO

 L’art. 39 del Regolamento UE Privacy parla dei compiti del DPO:

  • informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  • sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  • cooperare con l’autorità di controllo;
  • fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

DPO privacy: quando è obbligatorio

Il Data Protection Officer deve essere una figura presente in azienda quando si esercitano tali tipi di attività:

  • Attività di un’autorità pubblica o di un organismo pubblico;
  • Attività che richiedono un monitoraggio regolare e sistematico degli interessati su larga scala;
  • Attività che richiedono un trattamento su larga scala di categorie particolari di dati personali di cui all’articolo 9 cioè “i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

In parole povere si parla degli enti pubblici, dei call center e di altre specifiche categorie, bisogna valutare caso per caso ma anche qui la materia è ancora nebulosa e incerta.

Tra le varie aziende, devono avere un DPO: istituti di credito, imprese assicurative, sistemi di informazione creditizia, partiti politici, sindacati, società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas), laboratori di analisi mediche.

dpo

GDPR

icona schema gdpr

Adesso ti spiego nello specifico cosa dice il GDPR italiano e approfondiamo la normativa privacy. Sei pronto a fare un po’ di chiarezza in mezzo a tutta questa confusione?

 

GDPR: quando entra in vigore?

Essendo un regolamento è direttamente applicabile in Italia dalla data della sua efficacia, il 25 maggio 2018. Il nostro Paese ha di recente dettato una serie di regole per l’attuazione del regolamento e per la specificazione di alcuni punti controversi ma ancora la confusione è tanta, me ne rendo conto!

Cosa c’era prima?

 Adesso c’è un unico regolamento per tutti ma cosa c’era prima in Italia e in Europa?

  • La direttiva madre 95/46/CE del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali;
  • Codice privacy (dlgs 196/2003).

C’è da dire che il codice privacy non è però stato abrogato e rappresenta ancora un punto di riferimento importante per la privacy in Italia.

Privacy 2018: cosa cambia

Cosa è la privacy?

lucchetto

La sua definizione nasce inizialmente con l’esigenza di tutelare la vita privata dei soggetti, in particolare i cosiddetti VIP, dalle ingerenze di fotografi e paparazzi. In generale si tratta di un diritto della persona di controllare che le informazioni che la riguardano vengano trattate o guardate da altri solo in caso di necessità.

Con l’avvento di Internet le vecchie regole sono state aggiornate per evitare che la rete sia una zona franca dove ciascuno possa fare un po’ come vuole. Importante è capire cosa dice, adesso, la normativa privacy e come è cambiata, ti spiego meglio il GDPR italiano.

muro con molte telecamere

GDPR Italiano

Il GDPR responsabilizza le persone o gli enti che gestiscono i dati personali. Per trattare dati personale è dunque necessario:

  • Il consenso, che deve essere sempre esplicito;
  • Un interesse vitale;
  • Un obbligo contrattuale;
  • Un obbligo di legge;
  • Un interesse pubblico o legittimo.

I cittadini dunque possono stare più tranquilli perché in pieno controllo dei propri dati mentre aziende e professionisti devono mettere in atto una serie di interventi.

Mentre in precedenza il concetto di privacy era molto trascurato, con informative che venivano preparate e firmate senza troppa attenzione, adesso ci sono sanzioni molto elevate per i trasgressori e delle indicazioni da applicare assolutamente.

Inoltre tutti gli Stati e tutti i protagonisti (enti, aziende ecc.) sono messi sullo stesso piano, con norme condivise e adattate al cambiamento tecnologico.

Quali sono i dati tutelati?

lucchetto con attorno stelle

Nel Regolamento UE Privacy si parla di trattamento di dati personali. Secondo la Commissione Europea “i dati personali sono qualunque informazione relativa a un individuo, collegata alla sua vita sia privata, sia professionale o pubblica. Può riguardare qualunque dato personale: nomi, foto, indirizzi email, dettagli bancari, interventi su siti web di social network, informazioni mediche o indirizzi IP di computer” .

Ci sono poi dati abbastanza particolari, non si parla più di dati sensibili ma di varie categorie di dati come quelli genetici (DNA, RNA ecc.), biometrici (riconoscimento facciale) e sulla salute (certificati medici). I dati dell’azienda (tipo partita Iva o indirizzo) non sono oggetto di regolamentazione.

Consenso

foglio di pergamena

Non può più essere implicito, presunto o tacito ma deve essere sempre espresso. La richiesta di consenso deve essere semplice e chiara, rivolta ad un maggiore di 16 anni (in caso contrario ci vuole il consenso dei genitori).

In genere basta un’informativa sulla privacy in calce alla quale ci sia la classica formula di richiesta del consenso. Una disciplina che è dunque uguale a quella prevista nel nostro codice privacy, con i dovuti accorgimenti e le indicazioni degli articoli del Regolamento UE Privacy.

modulo consenso privacy

GDPR: chi deve adeguarsi?

Si introduce il concetto di accountability sulla concreta adozione delle misure imposte dalla nuova normativa. Il titolare dell’azienda o il professionista sono liberi di arrivare al risultato della protezione dei dati personali effettuando una preventiva valutazione dei rischi.

Ecco alcuni accorgimenti da adottare:

  • Valutazione DPIA (valutazione del rischio). Si individuano i dati personali trattati, i rischi e le misure adottate;
  • Registro dei Trattamenti. non obbligatorio per le imprese con meno di 250 dipendenti ma, “caldamente consigliato”. In ogni caso lo devono avere le aziende che trattano dati rischiosi o molti dati. Può essere telematico o cartaceo e consente una panoramica su tutto quanto;
  • Ci vuole per dipendenti ma anche per i vertici;
  • Definizione organigramma. Si definiscono così ruoli e compiti;
  • Audit di controllo. Fatti con cadenza regolare;
  • Intervento sul pregresso. Si rivedono i contratti, le informative e si aggiornano;
  • Regolamento policy interna. Si definiscono le procedura di conservazione e di intervento in caso di violazione.

Sanzioni

Ma cosa rischia chi non si adegua al nuovo regolamento UE Privacy? Tanto, tantissimo! Le sanzioni sono sia civili che amministrative e sono di due tipi: sanzioni fino a 10  milioni di euro e fino al 2% del fatturato anno precedente e sanzioni e fino a 20 milioni di euro e fino al 4% del fatturato anno precedente.

La Guardia di Finanza si occuperà di verificare la corretta applicazione delle norme tramite ispezioni a campione.

gdpr sanzioni

I diritti dell’interessato

icona diritti utente

 Ecco di seguito alcuni dei diritti riconosciuti dal regolamento UE Privacy

  • Il diritto ad una risposta celere. Massimo un mese;
  • Il diritto di accesso. Avere copia dei dati personali;
  • Il diritto all’oblio. Richiedere la cancellazione dei propri dati personali;
  • Il diritto di limitazione del trattamento. Rettifica o opposizione in qualsiasi momento;
  • Il diritto alla portabilità dei dati. Trasportare o trasmettere i dati da un titolare all’altro.

GDPR: come adeguarsi

Sei sempre più confuso e non sai proprio da cosa partire? Ecco qua qualche consiglio. Potresti partire dal conservare meglio i tuoi dati, sia i registri cartacei che le banche dati, inserire la cifratura dei dati personali, usare un registro dei trattamenti e velocizzare il sistema nel caso in cui ti venga richiesto qualche dato. Chiedi sempre il consenso e fai firmare a tutti la nuova informativa sulla privacy.

I soggetti protagonisti

stemma utente flag

 Ma quali sono i soggetti chiamati in causa da questo regolamento?

  • Interessato al trattamento: persona fisica oggetto del trattamento dati;
  • Titolare del trattamento: la persona fisica o giuridica titolare del trattamento;
  • Responsabile del trattamento: la persona fisica o giuridica interna o esterna responsabile di un determinato trattamento. Si parla ad esempio dei consulenti, devono essere nominati con apposito contratto;
  • DPO (Data Protection Officer) o RPD (Responsabile Protezione Dati) o Privacy Officer: la figura più importante e innovativa. Non è necessaria in tutte le aziende.

Come hai visto ci sono tante novità in materia di privacy, spero di averti dato dei buoni consigli e di averti chiarito le idee. Se hai bisogno ancora di qualche dritta, sai dove trovarci, MeetingHub è quello che fa per te!

Stai tranquillo, manterremo la tua privacy!

Claudio Colombrita

Claudio Colombrita

Ebook Meeting Hub

Inserisci i tuoi dati e riceverai gratuitamente via mail l'Ebook completo.

Ben fatto! A minuti riceverai via mail l'Ebook!
Oh oh! qualcosa è andato storto! Riprova più tardi!

Articoli Correlati