LA NUOVA FIGURA DEL RESPONSABILE DEI DATI: IL DPO
15 febbraioDPO: quali compiti e quale responsabilità?
Principio di “accountability” e adeguatezza delle misure di sicurezza Tra i principi più importanti introdotti dal Regolamento c’è il concetto di responsabilizzazione (“accountability”) dei titolari del trattamento. Il principio non è previsto dalla direttiva 95/46/ CE ma non è completamente nuovo in quanto già oggetto di analisi da parte del Gruppo di lavoro ex articolo 29 che, nel parere n. 3/2010, raccomandava testualmente “che il titolare del trattamento dei dati debba essere in grado di dimostrare di avere adottato un processo complessivo di misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, anche attraverso l’elaborazione di specifici modelli organizzativi e che debba dimostrare in modo positivo e proattivo che i trattamenti di dati effettuati sono adeguati e conformi al regolamento europeo in materia di privacy”.
L’art. 5 del regolamento compie, al paragrafo 1, un lungo elenco dei principi applicabili al trattamento dei dati personali (“liceità”, “correttezza e trasparenza”, “minimizzazione dei dati”, “esattezza”, “limitazione della conservazione”, “integrità e riservatezza”) e, al paragrafo 2, introduce il principio di “accontability”:
“il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo”.
Il titolare del trattamento, quindi, non solo, come prescritto dall’art. 25, paragrafo 2, deve mettere in atto “misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”, ma ha, come previsto dall’art. 25, paragrafo 1, anche l’obbligo di dimostrare di aver rispettato i principi generali contenuti nel paragrafo 1 e di avere adottato “misure tecniche e organizzative adeguate”.
Data Breach notification
In caso di violazione dei dati personali, l’art. 33 prescrive al titolare del trattamento di notificare la violazione all’autorità di controllo (che, nel nostro Paese, è il “Garante per la protezione dei dati personali”) senza ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione presenti un rischio per i diritti e la libertà delle persone fisiche. La notifica deve contenere una serie di informazioni quali, ad esempio la descrizione della natura della violazione e, se possibile, il numero degli interessati, le probabili conseguenze della violazione, la descrizione delle misure adottate o da adottare per porre rimedio alla violazione e anche, se del caso, per attenuarne i possibili effetti negativi.
La notifica effettuata tardivamente va corredata dei motivi del ritardo. È prevista, dall’art. 34, anche la necessità di darne comunicazione, senza ritardo, direttamente allo stesso interessato quando la violazione è suscettibile di presentare un “rischio elevato” per i diritti e le libertà delle persone fisiche. La comunicazione all’interessato non è però sempre richiesta. Non lo è se: a) il titolare del trattamento ha messo in atto misure tecniche e organizzative adeguate di protezione applicate ai dati oggetto di violazione, in particolare quelle destinate a rendere i dati personali incomprensibili ai non autorizzati, quali al cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un “rischio elevato” per i diritti e le libertà degli interessati; c) se la comunicazione richiederebbe “sforzi spropositati”; in tal caso si procede ad una comunicazione pubblica.
Autore: Redazione
In: Diritto civile e commerciale
I presenti contributi sono tratti da
https://www.diritto.it/la-nuova-figura-del-responsabile-dei-dati-dpo/