A partire dal 25 maggio 2018 è direttamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo. Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue.
In sintesi col GDPR:
- Si introducono regole più chiare su informativa e consenso;
- Vengono definiti i limiti al trattamento automatizzato dei dati personali;
- Poste le basi per l’esercizio di nuovi diritti;
- Stabiliti criteri rigorosi per il trasferimento degli stessi al di fuori dell’Ue;
- Fissate norme rigorose per i casi di violazione dei dati (data breach).
Tutte le aziende e gli enti pubblici, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e in caso di inosservanza delle regole rischiano pesanti sanzioni.
Il Garante ha dato precise indicazioni alle PA. Le priorità operative sono tre:
- La designazione in tempi stretti del Responsabile della protezione dei dati (DPO);
- L’istituzione del Registro delle attività di trattamento;
- La notifica dei data breach.
La figura del DPO (Data Protection Officer)
E’ stata prevista la figura del “Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di assicurare una gestione corretta dei dati personali nelle imprese e negli enti e individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.
Il Responsabile della protezione dei dati:
- Riferisce direttamente al vertice,
- E’ indipendente, non riceve istruzioni per quanto riguarda l’esecuzione dei compiti;
- Gli vengono attribuite risorse umane e finanziarie adeguate alla mission.
Il DPO deve avere una specifica competenza “della normativa e delle prassi in materia di dati personali nonché delle norme e delle procedure amministrative che caratterizzano il settore”. E’ non meno importante però che abbia anche “qualità professionali adeguate alla complessità del compito da svolgere” e possa dimostrare di avere anche competenze specifiche rispetto ai tipi di trattamento posti in essere al titolare. E’ altrettanto importante l’autonomia decisionale e l’estraneità del DPO rispetto alla determinazione delle finalità e delle modalità del trattamento dei dati se si vuole restituire agli interessati quella sovranità sulla circolazione dei propri dati.
| File | Tipo | Dimensione | Dettagli | |
|---|---|---|---|---|
| Designazione DPO UE2016/679 – 01.01.2022 | 2 MB | Atto di designazione del Responsabile della Protezione dei Dati personali (DPO) ai sensi dell’art. 37 del Regolamento UE2016-679 (GDPR). | ||
| Designazione DPO UE2016/679 – 04.02.2021 | 1 MB | Atto di designazione del Responsabile della Protezione dei Dati personali (DPO) ai sensi dell’art. 37 del Regolamento UE2016-679 (GDPR). | ||
| Designazione DPO UE2016/679 – 24.05.2018 | 854 KB | Atto di designazione del Responsabile della Protezione dei Dati personali (DPO) ai sensi dell’art. 37 del Regolamento UE2016-679 (GDPR). |