Adempimenti privacy 2018: obbligo di nominare il “Responsabile della Protezione dei Dati” (DPO) per imprese e professionisti entro il 25 maggio 2018.
Il nuovo Regolamento (UE) 2016/679 all’articolo 30 statuisce l’obbligo per aziende e professionisti di procedere entro e non oltre alla nomina del Responsabile della Protezione Dati (detto anche DPO – Data Protection Officer) oltre alla istituzione, tenuta e conservazione del “Registro del trattamento” argomento approfondito in “Privacy – Nuovo regolamento ed istituzione di un registro delle attività di trattamento”
I compi che deve assolvere il “Responsabile della Protezione dei Dati” (DPO) sono contemplati dall’articolo 39 del Regolamento UE 2016/679 ed è una figura di particolare importanza. Infatti la normativa prevede che il ruolo deve essere ricoperto solo da persone che abbiano un’adeguata conoscenza della normativa e della prassi sulla protezione dei dati.
La scelta e l’affidamento di questo incarico devono essere ufficializzati attraverso una comunicazione all’Autorità di Controllo e la pubblicazione dei dati relativi alla figura del Responsabile. Anche se sono richieste esperienze e competenze dettagliate, il Garante della Privacy ha specificato che per ricoprire il ruolo di DPO non sono richiesti attestati o iscrizioni ad albi professionali. Al momento, sembra essere sufficiente la conoscenza della normativa e dell’organizzazione aziendale.
In base al contenuto dell’articolo 37 del regolamento, la nomina è obbligatoria nei seguenti casi:
- quando è una Pubblica Autorità ad eseguire il trattamento. Fanno eccezione le Autorità giurisdizionali nell’esercizio delle proprie funzioni;
- quando le attività del Titolare o Responsabile del trattamento riguardano, per natura e finalità, il regolare e sistematico monitoraggio su larga scala degli interessati. (per approfondimento vedasi le Linee guida sui responsabili della protezione dei dati pag. 27, 28 e 29)
- quando c’è il coinvolgimento di informazioni e dati personali appartenenti a categorie particolari (articolo 9 del regolamento) o relativi a condanne penali e reati previsti dall’articolo 10.
Il Garante della Privacy nelle FAQs, in particolare la n. 3, ha individuato i seguenti soggetti (elenco non esaustivo) obbligati alla nomina del DPO:
- istituti di credito;
- imprese assicurative;
- sistemi di informazione creditizia;
- società finanziarie;
- società di informazioni commerciali;
- società di revisione contabile;
- società di recupero crediti;
- istituti di vigilanza;
- partiti e movimenti politici;
- sindacati;
- CAF e patronati;
- società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas);
- imprese di somministrazione di lavoro e ricerca del personale;
- società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione;
- società di call center;
- società che forniscono servizi informatici;
- società che erogano servizi televisivi a pagamento.
- Schema di atto di designazione del Responsabile della Protezione dei Dati (38 k)
- Modello comunicazione al Garante dei dati dell’RPD (30 k) a breve sarà disponibile una procedura per l’invio telematico al Garante della comunicazione dei dati del Responsabile della Protezione dei Dati (RPD). Si consiglia quindi di attendere che tale procedura venga attivata prima di procedere alla suddetta comunicazione.
- Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243
- FAQs
Soggetti non obbligati alla nomina del DPO
Nelle FAQs pubblicate dal Garante sulla Privacy nella n. 4 sono indicati i soggetto non obbligati alla nomina del Responsabile della Protezione dei Dati, ricordando che è un elenco non esaustivo, che di seguito si riporta in relazione a trattamenti effettuati da:
- liberi professionisti operanti in forma individuale;
- agenti, rappresentanti e mediatori operanti non su larga scala;
- imprese individuali o familiari;
- piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti
Il “Gruppo Art. 29” precisa che “….. la designazione obbligatoria di un RPD può essere prevista anche in casi ulteriori in base alla legge nazionale o al diritto dell’UE. Inoltre, anche ove la designazione di un RPD non sia obbligatoria, può risultare utile procedere a tale designazione su base volontaria. Il Gruppo di lavoro “Articolo 29” (Gruppo di lavoro) incoraggia un approccio di questo genere. Qualora si proceda alla designazione di un RPD su base volontaria, si applicano gli identici requisiti – in termini di criteri per la designazione, posizione e compiti – che valgono per i RPD designati in via obbligatoria.”
Privacy 2018: le sanzioni
L’Unione Europea ha previsto, data l’importanza dei dati conservati, delle sanzioni molto severe a carico sia il Titolare o Responsabile del trattamento dei dati sia delle imprese. Il Titolare che non rispetta gli obblighi (come previsto dall’articolo 83 comma 4 del Regolamento) può essere multato per un importo fino a 20.000.000 di euro e per le imprese è prevista un’ammenda che può arrivare al 4% del fatturato mondiale annuo dell’anno precedente.
Il DPO deve essere scelto entro il 25 maggio 2018 e a decorrere da quella data, aziende, professionisti e pubbliche amministrazioni dovranno avere già applicato le prescrizioni del Regolamento europeo.
Possono essere interessanti anche le seguenti pubblicazioni:
- MINISTERO FINANZE - Decreto ministeriale 01 febbraio 2024 Modalità di utilizzo dei dati fiscali relativi ai corrispettivi trasmessi al Sistema tessera sanitaria Art. 1 Definizioni 1. Ai fini del presente decreto si intende per: a) «dati fiscali», i…
- GARANTE PROTEZIONE DATI PERSONALI - Nota 03 dicembre 2021, n. 484 - Tabulati: Tim nega l'accesso a un cliente e scatta la sanzione del Garante privacy - Customer care: Garante privacy, no al controllo a distanza dei lavoratori - Sanità: sì del Garante…
- GARANTE PROTEZIONE dei DATI PERSONALI - Nota n. 503 del 26 maggio 2023 - Enti locali: indagine del Garante Privacy sui Responsabili protezione dati - Videosorveglianza: sanzionata un’azienda di abbigliamento - Antiriciclaggio: no a limitazione diritto…
- GARANTE per la PROTEZIONE dei DATI PERSONALI - Nota n. 517 del 6 febbraio 2024 - Intercettazioni: Garante, più tutele per i dati nelle infrastrutture centralizzate - Garante: no a cancellazione di un articolo dall’archivio online di un quotidiano -…
- Lavoro: no del Garante Privacy all’uso del riconoscimento facciale per controllo presenze - Trasporti: Garante Privacy, più tutele per i dati degli abbonati - Siti e app per il contatto tra medico e paziente: le indicazioni del Garante -…
- Lavoro: no del Garante Privacy all’uso del riconoscimento facciale per controllo presenze - Trasporti: Garante Privacy, più tutele per i dati degli abbonati - Siti e app per il contatto tra medico e paziente: le indicazioni del Garante -…
RICERCA NEL SITO
NEWSLETTER
ARTICOLI RECENTI
- L’indennità sostitutiva di ferie non godute
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 9009 depositata…
- Il giudice tributario è tenuto a valutare la corre
La Corte di Cassazione, sezione tributaria, con l’ordinanza n. 5894 deposi…
- Il lavoratore ha diritto al risarcimento del danno
La Corte di Cassazione, sezione lavoro, con l’ordinanza n. 10267 depositat…
- L’Iva detratta e stornata non costituisce elusione
L’Iva detratta e stornata non costituisce elusione, infatti il risparmio fiscale…
- Spese di sponsorizzazione sono deducibili per pres
La Corte di Cassazione, sezione tributaria, con l’ordinanza n. 6079 deposi…